“Siber Dünyanın Anatomisi” başlıklı kapsamlı küresel rapor; Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment ve SOC Consulting birimlerinin 2025 yılı boyunca elde ettiği verilere dayanıyor. Çalışmada en sık karşılaşılan saldırgan teknikleri, araçları ve tespit senaryoları incelenirken, tespit edilen olayların ayırt edici özelliklerine de ışık tutuyor.

Rapora göre, en yoğun şekilde izlenen saldırı tekniklerinin büyük bir kısmı kimlik bilgileri ve kimlik yönetimi süreçleri etrafında şekilleniyor. Çeşitli Saldırı Göstergelerinin (IoA) dönüşüm oranlarını* inceleyen analiz, siber tehditlerde öne çıkan şu taktikleri gözler önüne seriyor:

Parola Tahmini (%34,8): Saldırganların bir hesaba erişim sağlamak için sistematik olarak farklı parolaları denediği bu yöntem, dönüşüm listesinin zirvesinde yer alıyor. Tekniğin ilk sırada yer almasının nedeni hem gerçek saldırılarda hem de yetkili güvenlik testlerinde yoğun olarak kullanılması ve günümüz siber güvenlik dünyasında kalıcı bir tehdit oluşturmasıdır. Zayıf veya yinelenen parolalar kullanan organizasyonlar, bu köklü stratejinin işe yaramasına zemin hazırlamaya devam ediyor.

Yerel Hesap Oluşturma (%34,7): Saldırganlar sisteme bir kez sızdıktan sonra, ilk elde ettikleri erişim noktası fark edilip kapatılsa bile içeride kalmayı sürdürmek için sık sık yeni yerel hesaplar açıyor. Güvenlik tatbikatlarında da sıklıkla gözlemlenen bu teknik, doğru telemetri altyapısıyla tespit edilebiliyor; ancak şirketler genellikle bu görünürlüğü sağlayacak telemetri altyapısı bulunmuyor.

Yetkili Hesapların Suistimal Edilmesi (%34,5): Saldırganlar sisteme zararlı yazılım bulaştırmak yerine, ele geçirdikleri geçerli kimlik bilgileriyle giriş yaparak normal kullanıcı faaliyetlerinin arasında kamufle oluyor. Erişim süreci tamamen yasal göründüğü için bu durum tespiti ciddi şekilde zorlaştırıyor. Yüksek dönüşüm oranı, sızdırılan kimlik bilgilerinin neden hâlâ en tehlikeli saldırı vektörlerinden biri olduğunu açıkça kanıtlıyor.

Hesap Manipülasyonu (%32): Saldırganlar, içerideki erişimlerini kalıcı kılmak ve pekiştirmek için mevcut hesaplar üzerinde değişiklik yapıyor; devre dışı bırakılmış hesapları yeniden aktif hale getiriyor, grup üyeliklerini değiştiriyor veya yetki yükseltiyor. Bu durum, siber korsanların sisteme yeni araçlar sokmak yerine, halihazırda var olan unsurları kullanarak hakimiyetlerini artırdıklarına dair genel eğilimi destekliyor.

Ağ Servislerinin Keşfi (%31,2): Saldırganlar bir ağın daha derinlerine ilerlemeden önce, genellikle erişebilecekleri açık servisleri ve sistemleri tarar. Bu keşif adımı, bir sonraki aşamanın (yatay ilerleme ve daha fazla sızma) en güçlü habercisidir. Durumun erken safhada tespit edilmesi, güvenlik ekiplerine müdahale için kritik bir zaman penceresi kazandırıyor.

Rapor, saldırgan tekniklerini, gözlemlenen şüpheli faaliyetlerin ne kadarının kesinleşmiş birer siber olaya dönüştüğüne bakarak sıralıyor. Kaspersky uzmanlarına göre, MITRE ATT&CK® matrisi çok geniş bir saldırgan tekniği kataloğu sunsa da etkili bir savunma için hatalı alarm üretmekten kaçınırken, kötü niyetli olma olasılığı en yüksek davranışlara öncelik verilmesi gerekiyor.

Kaspersky Güvenlik Operasyonları Merkezi (SOC) Müdürü Sergey Soldatov konuya ilişkin şunları söylüyor: “Siber tehdit aktörleri hedeflerine ulaşmak için her zaman gelişmiş zararlı yazılımlara ihtiyaç duymazlar. Çoğu senaryoda, meşru yönetim araçları ve ele geçirilmiş hesaplar, fark edilmeden bir kurum içinde ilerlemenin en hızlı ve en etkili yoludur. Bu tekniklerin popülaritesini koruması; kurumların saldırgan davranışlarına karşı derin bir görünürlüğe ve bir saldırının farklı aşamalarındaki şüpheli faaliyetleri birbiriyle ilişkilendirme yeteneğine ihtiyaç duyduğunu gösteriyor. Şirketler bu zorlukların üstesinden gelmek için, tehdit tespitinden sürekli koruma ve müdahaleye kadar tüm olay yönetimi döngüsünü kapsayan Kaspersky Yönetilen Tespit ve Yanıt (MDR) ile Olay Müdahalesi (IR) çözümlerimizle güvenlik altyapılarını güçlendirebilirler.”

Saldırgan taktik ve teknikleri, tespit edilen olayların nitelikleri, bunların bölgelere ve sektörlere göre dağılımı hakkında daha fazla bilgi edinmek için raporun tamamını okuyabilirsiniz.

*Dönüşüm (Conversion): Belirli bir MITRE ATT&CK tekniğine ait toplam uyarı sayısı içinde, “gerçek pozitif” (gerçek bir tehdit) olarak sınıflandırılan uyarıların oranıdır.

Kimlik Bilgilerine Dayalı Saldırı Teknikleri, Siber Saldırganların En Etkili Yöntemleri Arasında Yer Alıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Günümüzün birbirine bağlı dijital ortamında, hassas bilgileri korumak ve operasyonel bütünlüğü sürdürmek için iş verilerine erişmek için kullanılan tüm cihazların güvenliğini sağlamak çok önemli hale geldi. Temel korumadan yoksun cihazlar, siber saldırganlar tarafından yetkisiz erişim sağlamak, veri çalmak, fidye yazılımı yaymak veya iş operasyonlarını aksatmak için kullanılabiliyor.

Son 12 ay içinde, META bölgesindeki ankete katılanların %31,5’i iş cihazlarını kişisel amaçlarla kullandığını (film/YouTube izlemek, oyun oynamak, alışveriş yapmak, tatil rezervasyonu yapmak vb.) itiraf etti, %23,3’ü iş cihazlarını halka açık Wi-Fi ağlarına bağladı, %3,5’i cihazlarını kaybetti ve %3,3’nün cihazları çalındı. Bu rakamlar, tüm uç noktalar için siber hijyen bilinci ve güvenlik çözümlerine duyulan ihtiyacı vurguluyor.

İş amaçlı cihazlarının kişisel kullanımı, yetkisiz uygulamaların yüklenmesine veya kötü amaçlı web sitelerine maruz kalmaya yol açarak, kötü amaçlı yazılım bulaşma veya veri sızıntısı riskini artırabiliyor. Genellikle şifrelenmemiş ve güvenlik önlemleri yetersiz olan halka açık Wi-Fi ağlarına bağlanmak, siber suçluların hassas iş verilerini ele geçirmesine veya zararlı yazılımlar yüklemesine olanak tanıyor. Bu nedenle VPN ile güvenlik sağlamak şart. Ayrıca, bir cihaz kaybolur veya çalınırsa ve güçlü parolalar, şifreleme veya uzaktan silme özellikleri gibi uygun güvenlik kontrolleri yoksa, kritik iş bilgileri yanlış ellere geçmesi riski de mevcut.

Kaspersky MEA bölgesi Teknik Uzmanı Brandon Muller, şunları söylüyor: “Bulut hizmetlerine, uzaktan çalışmaya ve mobil erişime olan bağımlılığın artmasıyla birlikte, işletmeler kapsamlı güvenlik önlemleri uygulamak zorunda. Siber hijyen, yani basitçe iyi BT alışkanlıkları, güvenlik politikaları ve sağlam güvenlik çözümlerinin kullanımı, iş sistemlerini korumak için vazgeçilmez uygulamalardır. Güvenlik çözümleri, iş bilgilerine erişen her cihaz için uç nokta koruması içermelidir. Çok faktörlü kimlik doğrulama, düzenli yazılım güncellemeleri ve yedeklemeler artık olmazsa olmazlardır.”

Kuruluşların savunmalarını güçlendirmelerine yardımcı olmak için Kaspersky aşağıdakileri öneriyor:

• Şifre ve yazılım yükleme politikalarından ağ segmentasyonu ve veri şifrelemeye kadar çalışanlar için güvenlik politikaları uygulayın.
• Kaspersky Automated Security Awareness Platform gibi çözümlerin pratik siber güvenlik becerilerinin geliştirilmesine yardımcı olabileceği düzenli çalışan eğitimi ve siber güvenlik eğitimi düzenleyin.
• Kaspersky Next ürün serisinden olduğu gibi, her büyüklükteki işletmeye uygun sağlam uç nokta ve ağ koruma ve izleme çözümleri uygulayın.

*Anket, 2025 yılında Kaspersky’nin talebi üzerine Toluna araştırma ajansı tarafından gerçekleştirilmiştir. Çalışma örneklemi, Türkiye, Güney Afrika, Kenya, Pakistan, Mısır, Suudi Arabistan ve BAE olmak üzere yedi ülkede iş için bilgisayar kullanan çalışanlar ve işletme sahipleriyle yapılan 2800 çevrimiçi görüşmeyi içermektedir.

Hiçbir cihaz geride kalmasın: İş bilgilerine güvenli bir şekilde erişin yazısı ilk önce En Gazete üzerinde ortaya çıktı.