Ransomware: 3-2-1 Yedekleme Artık Yetmiyor

Ransomware konusu açıldığında hep aynı tavsiye geliyor: "Üç kopya, iki farklı medya, biri off-site." Yani 3-2-1 kuralı. Bu öneri yıllardır doğruydu, biz de söylüyorduk. Ama 2026 itibariyle yetmiyor.

Saldırgan profilleri değişti. Hedefleme yöntemleri değişti. En önemlisi, saldırılar artık önce yedekleri vuruyor.

Saldırgan Önce Yedekleri Arıyor

2023'e kadar tipik bir ransomware vakası şöyle giderdi. Kullanıcı bir maile tıklar, makro çalışır, dosyalar şifrelenir. Saldırgan fidye ister. Eğer doğru yedek almışsanız 24 saat içinde geri dönersiniz. Hikaye bitti.

2024'ten beri tablo değişti. Modern saldırgan ağa sızdıktan sonra 9-14 gün gizli kalıyor. Bu sürede ne yapıyor? Yedekleme sunucunuzu buluyor. Erişim yetkilerini öğreniyor. Snapshot listenizi çıkarıyor. Önce yedekleri tahrip ediyor. Sonra prod sistemlerine geçiyor. Geri dönüş seçeneğiniz kalmıyor.

Gerçek vakadan Geçen yıl bir müşterimizde tam bunu yaşadık. Saldırgan domain admin yetkisiyle Veeam sunucusuna girmiş. 47 backup job'unu sırayla silmiş. "Off-site" diye tutulan NAS aynı domain'deydi. 12 dakikada tamamı şifrelenmiş.

"Off-Site" Aynı Domain'deyse Off-Site Sayılmaz

3-2-1 kuralının ruhu izolasyondur. Disk farklı olması yetmiyor. Şu sorulara bakın.

Yedekleme sunucusu Active Directory'ye üye mi? Üyeyse AD kompromisi yedekleri de vurur.
Yedekleme hesabı domain admin yetkisinde mi? "Kolay olsun" diye genelde böyle yapılır. Felakettir.
Off-site kopyalarınız izolasyonda mı? "Aynı ağ, farklı klasör" off-site sayılmaz.
Immutable storage kullanıyor musunuz? S3 Object Lock, Veeam Hardened Repository gibi. Yoksa silinebilir, demek ki şifrelenebilir.

Yapılması gereken net. Yedekleme sunucunuzu domain'den çıkarın. Workgroup'a alın. Local kimlik bilgileriyle çalıştırın. MFA aktif edin. Depolamayı immutable mod'a alın.

Antivirüsünüz Modern Tehditi Görmüyor

Türkiye'deki kurumsal yapıların büyük çoğunluğunda hala klasik antivirüs var. ESET, Trend Micro, Kaspersky, Symantec gibi isimler tanıdık geliyor olabilir. Bu ürünler 2010'lar teknolojisi. İmza tabanlı çalışıyorlar, yani bilinen tehditleri tarıyorlar. Modern ransomware'in büyük kısmı bu imzalara hiç takılmadan içeri giriyor. Antivirüs ekranınızda yeşil tik var, ama ağda her şey olabiliyor.

Lazım olan EDR (Endpoint Detection and Response). Davranış tabanlı tespit yapar. "Bu süreç yarım saatte 5.000 dosyayı şifreliyor, durdur" diyebilir. CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Sophos Intercept X bu sınıftan.

Maliyet kullanıcı başına aylık 3-7 USD. Ortalama bir KOBİ için yıllık 10-30 bin TL. Bir ransomware vakasının maliyetiyle kıyaslayın. Tartışmaya gerek yok.

Tipik Bir Türk KOBİ Senaryosu

Bunu gerçek bir vakadan üretiyorum. İsimler değiştirildi. İstanbul'da 80 çalışanlı bir tekstil firması. 4 fiziksel sunucu, VMware, Windows Server 2019, Veeam ile günlük yedek, Synology NAS'a haftalık kopya. Sıradan bir kurulum.

Salı 03:14. Bir kullanıcının dizüstüsündeki Excel makrosu malware çalıştırıyor. Makro daha önce tıklanmış bir oltalama mailinden gelmiş.

03:14'ten 11:42'ye kadar (8 saat) saldırgan ağda sessiz dolaşıyor. Active Directory'yi çıkarıyor. Yedekleme sunucusunu buluyor. Domain admin parolasını brute-force ile kırıyor. Parola "Firma2023!" idi. Yaygın hata.

11:42'de hareket başlıyor.

Veeam yedeklerini siliyor
NAS'a SMB ile bağlanıyor, .vbk dosyalarını siliyor (NAS aynı domain'de, aynı kimlik bilgileri çalışıyor)
13:00'te VMware datastore'larına saldırı başlıyor
14:30'da tüm sanal makineler şifreli

15:00'te kullanıcılar şikayet ediyor. Sistemci müdahale ediyor. Yedekleri kontrol ediyor. Yok.

Bilanço Tahmini zarar 2,3 milyon TL operasyonel kayıp. Fidye talebi 180.000 USD. Şirket fidye ödemedi (doğru karar). 23 gün üretim durdu. Müşteri kaybı, tedarik aksamaları, sigorta poliçesi sınırları nedeniyle hasar tazmin edilemedi.

Bu hikayenin tek teknik eksikliği vardı: immutable backup yoktu. Bir tane olsaydı 24 saatte ayağa kalkardı.

Siber Sigorta'nın Sınırları

Türkiye'de siber sigorta yaygınlaşıyor. Ama poliçeleri okuyunca kapsamların dar olduğunu görüyorsunuz. Tipik istisnalar şunlar.

Patch'lenmemiş güvenlik açığından kaynaklı ihlal kapsam dışı.
Domain admin hesaplarda MFA yoksa kapsam dışı.
EDR seviyesinde endpoint koruması yoksa kapsam dışı.
Yedeklemeye ağdan erişilebiliyorsa (air-gap yok) kapsam dışı.

Sonuç şu. Sigorta yalnız başına strateji değil. Ek bir katman. Teknik tedbirleriniz yetmezse poliçe ödeme yapmayabilir.

30-60-90 Yol Haritası

Kurumunuzu objektif değerlendiriyorsanız klasik yaklaşım yerine bu yol haritasını öneriyorum.

İlk 30 gün.

Domain admin hesaplarda MFA aktif
Yedekleme sistemini domain'den çıkar, local hesaplara al
Bir adet immutable kopya oluştur (S3 Object Lock veya Veeam Hardened Linux Repo)
Kullanıcı eğitimine başla (önce yöneticiler, sonra ekipler)

30-60. günler.

EDR dağıtımı tamamlanır
SIEM/log toplama kurulur (Wazuh ücretsiz başlangıç için yeterli)
Tabletop egzersizi planlanır
Patch yönetimi standardize edilir

60-90. günler.

İlk pentest yapılır
DR planı yazılır ve test edilir
Tabletop egzersizi gerçekleştirilir
Siber sigorta poliçesi gözden geçirilir veya alınır

90. gün sonunda olgunluk seviyeniz NIST CSF skalasında 2-3'e çıkar. Bu Türkiye'deki KOBİ ortalamasının üstü. Yaygın saldırı senaryolarına karşı %80-90 koruma sağlar.

Bu konuda destek mi arıyorsunuz?

Durkon olarak 15+ yıllık deneyimimizle kurumlara özel danışmanlık sunuyoruz. Ücretsiz keşif görüşmesi alın.

Ücretsiz Keşif Görüşmesi

Durkon Ekibi Kurumsal BT çözümleri ve siber güvenlik danışmanlığı · 15+ yıl deneyim