Güvenlik Denetimlerinde En Çok Atlanan Kontroller
“Kontrol Edildi” Denilen Ama Aslında Hiç Bakılmayan Alanlar
Güvenlik denetimleri çoğu kurum için bir zorunluluk, hatta bazen sadece bir formalitedir. Denetim takvimi gelir, checklist doldurulur, rapor hazırlanır ve “uygun” etiketi vurulur. Ancak gerçek saldırılar başladığında şu cümle sıkça duyulur:
“Ama denetimden geçmiştik…”
Sorun şurada başlar:
Denetimler çoğu zaman varlık kontrolü yapar, etkinlik kontrolü yapmaz. Yani bir şeyin olup olmadığına bakılır, ama gerçekten işe yarayıp yaramadığı sorgulanmaz. İşte bu noktada en kritik kontroller sessizce atlanır.
Konfigürasyonun Var Olması Değil, Doğru Olması
Denetimlerde sıkça şu sorular sorulur:
- Firewall var mı?
- EDR kurulu mu?
- SIEM çalışıyor mu?
Ancak nadiren şu sorular sorulur:
- Firewall kuralları en son ne zaman gözden geçirildi?
- EDR tüm uç noktalarda aktif mi?
- SIEM gerçekten anlamlı alarm üretiyor mu?
Varsayılan ayarlar, çoğu güvenlik ürününde minimum koruma sağlar. Denetimlerde konfigürasyonun derinliğine inilmediğinde, ürünler yalnızca vitrin süsü haline gelir.
Yetki Yönetimi Denetlenir, Yetki Davranışı Denetlenmez
Kullanıcı rolleri listelenir, admin hesapları sayılır, erişim matrisi çıkarılır. Kağıt üzerinde her şey düzgündür. Ancak genellikle şu kontroller atlanır:
- Yetkiler gerçekten ihtiyaç dahilinde mi?
- Geçici verilen yetkiler geri alındı mı?
- Ayrılan personelin erişimleri ne kadar sürede kapatıldı?
- Aynı kişi birden fazla kritik rolü üstleniyor mu?
Denetimler statik fotoğraf çeker, saldırılar ise zaman içinde oluşan hataları kullanır. Bu fark gizli bir zafiyet yaratır.
Log Toplanıyor Ama İzlenmiyor
“Loglar SIEM’e gönderiliyor mu?”
Evet.
Peki:
- Bu loglara kim bakıyor?
- Hangi alarmlar gerçekten inceleniyor?
- Kaç alarm “false positive” diye kapatılıyor?
- Olaylar arasında ilişki kuruluyor mu?
Birçok kurumda loglar yalnızca olası bir olay sonrası bakılmak üzere saklanır. Oysa saldırıların büyük bölümü loglar toplanırken gerçekleşir, ama fark edilmez. Denetimlerde bu operasyonel gerçeklik çoğu zaman göz ardı edilir.
Olay Müdahale Planları Var Ama Hiç Test Edilmedi
Olay müdahale dokümanları denetimlerde sıkça “uygun” olarak işaretlenir. Ancak kritik soru şudur:
Bu plan en son ne zaman uygulandı?
- Tatbikat yapılmayan IR planları teoriktir
- Rol ve sorumluluklar kağıt üzerindedir
- Kriz anında kimin ne yapacağı belirsizdir
Gerçek bir saldırı sırasında dokümanlar değil, refleksler çalışır. Denetimlerde bu reflekslerin test edilmemesi ciddi bir eksikliktir.
Üçüncü Taraf ve Tedarikçi Güvenliği
Birçok saldırı doğrudan ana sistemden değil, bağlı sistemlerden gelir. Ancak denetimlerde genellikle:
- Tedarikçi erişimleri yüzeysel incelenir
- VPN veya API bağlantılarının kapsamı sorgulanmaz
- “Bizim dışımızda” denilerek risk ötelenir
Oysa şirketin güvenliği, en zayıf tedarikçisi kadar güçlüdür. Bu kontrol atlandığında, denetimden geçen sistemler dış kapıdan açık kalır.
İnsan Davranışları Ölçülmez
Teknik kontroller detaylı incelenirken insan faktörü genellikle eğitim başlığı altında geçiştirilir.
Ancak şu sorular nadiren sorulur:
- Kullanıcılar gerçekten phishing’i ayırt edebiliyor mu?
- Alarm yorgunluğu yaşanıyor mu?
- Güvenlik ihlalleri raporlanıyor mu yoksa saklanıyor mu?
İnsan davranışları ölçülmediğinde, en gelişmiş güvenlik mimarisi bile tek bir tıklamayla devre dışı kalabilir.
“Dokunulmayan” Sistemler
Denetimlerde özellikle kaçınılan alanlar vardır:
- Eski ama hâlâ çalışan sistemler
- Kapatılmasından korkulan servisler
- Sahibi belli olmayan uygulamalar
Bu sistemler genellikle denetimde ya hiç incelenmez ya da yüzeysel geçilir. Oysa saldırganlar için en cazip hedefler tam olarak bunlardır.
Denetimlerin En Büyük Eksiği: Senaryo Düşünmemek
Çoğu denetim “kontrol listesi” üzerinden ilerler.
Ama saldırılar checklist’e uymaz.
- “Eğer bir kullanıcı hesabı ele geçirilirse ne olur?”
- “Bu alarm gözden kaçarsa zincir nasıl ilerler?”
- “Bir kontrol çalışmazsa diğeri telafi edebiliyor mu?”
Bu senaryolar sorulmadığında denetim tamamlanmış sayılır, ama güvenlik sağlanmış olmaz.
Sonuç: Denetimden Geçmek Güvende Olmak Değildir
Güvenlik denetimleri, doğru yapıldığında bir aynadır. Yanlış yapıldığında ise yalnızca bir onay mekanizmasına dönüşür. En çok atlanan kontroller, en sessiz ama en yıkıcı riskleri barındırır.
Gerçek güvenlik şurada başlar:
“Bu kontrol var mı?” sorusunu bırakıp,
“Bu kontrol başarısız olursa ne olur?” sorusunu sormaya başladığınızda.
Güvenlik Denetimlerinde En Çok Atlanan Kontroller