Erişimi Doğrulama ve Stabil Hale Getirme
Saldırgan sisteme girdikten sonra ilk olarak erişimin gerçekten çalıştığını kontrol eder. Yetkiler sınırlıysa başka kullanıcı hesapları, servisler veya alternatif erişim yolları denenir. Amaç, tek bir kapıya bağlı kalmamaktır.
Sistem Keşfi (Reconnaissance)
İlk dakikalarda sistem hakkında hızlı bilgi toplanır:
- Hangi işletim sistemi kullanılıyor?
- Sunucu mu, kullanıcı bilgisayarı mı?
- Ağda başka hangi cihazlar var?
Bu keşif, saldırının yönünü belirler.
Yetki Yükseltme Denemeleri
Saldırganlar genellikle düşük yetkiyle başlar. Bu yüzden:
- Yönetici (admin) hakları
- Servis hesapları
-
Yanlış yapılandırmalar
hızlıca kontrol edilir. Yetki yükseltme başarıldığında saldırı çok daha tehlikeli hale gelir.
Kalıcılık Sağlama (Persistence)
Erişim kaybolmasın diye sistemde arka kapılar bırakılır. Örneğin:
- Yeni kullanıcı hesapları
- Zamanlanmış görevler
- Başlangıçta çalışan zararlı dosyalar
Bu sayede saldırgan sistemden atılsa bile tekrar geri dönebilir.
Log ve Güvenlik İzlerini Kontrol Etme
İlk 10 dakikada saldırganlar genellikle:
- Logların tutulup tutulmadığını
- Antivirüs / EDR var mı
-
Güvenlik uyarıları tetiklenmiş mi
kontrol eder. Amaç, fark edilip edilmediklerini anlamaktır.
Yan Sistemlere Geçiş İçin Hazırlık
Eğer ortam uygunsa, saldırganlar aynı ağdaki:
- Dosya sunucularına
- Veritabanlarına
-
E-posta sistemlerine
geçiş planı yapar. Bu aşama, büyük veri sızıntılarının başlangıcıdır.
Neden İlk 10 Dakika Bu Kadar Önemli?
Çünkü bu sürede:
- Saldırgan sistemde kalıcı olur
- Savunma mekanizmaları devre dışı kalabilir
- Olayın tespiti zorlaşır
Birçok olay müdahale raporunda, saldırının ilk dakikalarda durdurulabilseydi büyük zararın önleneceği açıkça görülür.
Kurumlar Ne Yapmalı?
- Gerçek zamanlı log izleme
- EDR / SIEM sistemleri
- Yetki minimizasyonu
- Anormal davranış alarmları
Bu önlemler, saldırganların ilk 10 dakikadaki hareketlerini fark etmeyi sağlar.
Saldırganlar İlk 10 Dakikada Ne Yapar?