Siber Güvenlikte Varsayılan Ayarların Tehlikesi
“Kurduk ve Çalışıyor” Demenin Bedeli
Bir sistem kurulduğunda ekranda beliren o tanıdık cümle çoğu zaman rahatlatıcıdır:
“Kurulum başarıyla tamamlandı.”
Ama siber güvenlikte bu cümle çoğu zaman bir son değil, riskin başlangıcıdır. Çünkü birçok kurum için kurulum tamamlandığında yapılması gereken en kritik adım atlanır:
Varsayılan ayarları sorgulamak.
Saldırganlar yeni açıklar aramaz, önce varsayılanları dener. Çünkü varsayılan ayarlar, üretici için “herkese uyan” çözümlerdir; saldırgan için ise herkese açık davetiyeler.
Varsayılan Ayarlar Nedir ve Neden Tehlikelidir?
Varsayılan ayarlar, bir ürünün ya da sistemin ilk kurulduğunda çalışmasını sağlayan ön tanımlı yapılandırmalardır. Ama bu ayarlar:
- Güvenlikten çok kullanılabilirliği önceler
- Her sektör, her altyapı ve her risk profili için aynı kalır
- “En kötü senaryoya” göre değil, “en az sorun çıkarana” göre tasarlanır
Bu yüzden varsayılan ayarlar çoğu zaman sessiz ama sistematik riskler üretir.
En Büyük Yanılgı: “Üretici Güvenli Yapmıştır”
Birçok kurum şu varsayımla hareket eder:
“Bu ürünü bu kadar büyük bir firma yaptıysa, güvenli ayarlamıştır.”
Gerçekte ise üreticiler şu dengeyi gözetir:
- Kurulum kolaylığı
- Hızlı devreye alma
- Minimum destek talebi
Güvenlik ise çoğu zaman kullanıcının sorumluluğuna bırakılır. Bu nedenle varsayılan ayarlar genellikle minimum koruma sağlar, maksimum güvenlik değil.
Firewall’lar: Açık Gelen Kapılar
Firewall’lar genellikle güvenliğin temel taşı olarak görülür. Ancak varsayılan kurallarla çalışan bir firewall:
- Gerekenden fazla portu açık bırakabilir
- Geniş IP aralıklarına izin verebilir
- Loglamayı kısıtlı yapabilir
- İç ağ trafiğini yeterince denetlemez
Bu durumda firewall vardır ama sınırlar belirsizdir. Saldırgan için önemli olan da tam olarak budur.
EDR ve Antivirüslerde Sessiz Risk
EDR veya antivirüs kurulduğunda “aktif” görünmesi, her şeyin yolunda olduğu anlamına gelmez.
Varsayılan ayarlarda sık görülen sorunlar:
- Sadece bilinen tehditlere tepki verilmesi
- Davranışsal analizlerin kapalı olması
- Otomatik müdahalenin pasif durumda kalması
- Offline kalan uç noktaların izlenmemesi
Bu ayarlarla çalışan bir EDR, saldırıyı görür ama durdurmaz.
Yani alarm çalar, ama kapı kilitlenmez.
Bulut Ortamlarında Varsayılan Felaketler
Bulut servisleri hızlıdır, esnektir ve güçlüdür. Ancak varsayılan ayarlarla kullanıldığında risk çarpan etkisiyle büyür.
Sık yapılan hatalar:
- Depolama alanlarının herkese açık bırakılması
- IAM rollerinin gereğinden geniş tanımlanması
- Loglamanın kapalı olması
- API erişimlerinin sınırlandırılmaması
Bulutta yapılan bir varsayılan ayar hatası, dakikalar içinde küresel bir veri sızıntısına dönüşebilir.
Kullanıcı Hesapları ve Parolalar
Varsayılan kullanıcı politikaları genellikle zayıftır:
- Karmaşık parola zorunluluğu yoktur
- MFA kapalıdır
- Hesap kilitleme eşikleri yüksektir
- Servis hesapları denetlenmez
Bu ayarlarla çalışan bir sistem, brute-force veya credential stuffing saldırılarına davetiye çıkarır.
“Sonra Değiştiririz” Sendromu
Varsayılan ayarların en tehlikeli yanı, genellikle şu cümleyle birlikte gelmesidir:
“Şimdilik böyle kalsın, sonra bakarız.”
Ancak pratikte:
- Sistem canlıya alınır
- Yoğunluk artar
- Kimse geri dönüp bakmaz
Bu “geçici” ayarlar aylarca, hatta yıllarca kalır. Saldırganlar için süreklilik, fırsattır.
Varsayılan Ayarlar Neden Denetimlerden Geçer?
Çünkü çoğu denetim şu soruya bakar:
- Ürün var mı?
- Çalışıyor mu?
Ama şu soruyu sormaz:
- Doğru yapılandırılmış mı?
- Kuruma özel riskleri kapsıyor mu?
Bu nedenle varsayılan ayarlar, denetim raporlarında “uygun” görünür ama gerçek saldırılarda çöker.
Varsayılan Ayarlara Karşı Ne Yapılmalı?
Tamamen kaçınmak mümkün değildir, ama yönetilebilir hale getirilebilir.
Bunun için:
- Kurulum sonrası mutlaka hardening yapılmalı
- Varsayılan kullanıcılar ve parolalar kaldırılmalı
- Gereksiz servisler kapatılmalı
- Loglama ve izleme aktif hale getirilmeli
- Ayarlar düzenli olarak gözden geçirilmeli
En önemlisi:
“Varsayılan” kelimesi bir uyarı olarak görülmeli.
Sonuç: En Sessiz Açık En Tehlikelisidir
Siber saldırıların büyük bir kısmı karmaşık açıklar üzerinden değil,
kimsenin dokunmadığı ayarlar üzerinden gerçekleşir.
Varsayılan ayarlar, sistemlerin çalışmasını sağlar.
Ama güvenliği sağlamaz.
Gerçek güvenlik, sistemi çalıştırmakla değil,
onu kuruma ve tehdide göre yeniden şekillendirmekle başlar.
Siber Güvenlikte Varsayılan Ayarların Tehlikesi