Kurumlar Ne Yapmalı, Nereden Başlamalı?

Yazar : Şaban Çiçek

LockBit 5.0, klasik bir fidye yazılımı sürümünden ziyade LockBit sonrası ransomware ekosistemini temsil eder. Bu nedenle savunma yaklaşımı da “antivirüs kur – bitti” seviyesinde olamaz. Bu yazı, kurumların pratikte alması gereken gerçekçi ve uygulanabilir önlemleri özetler.

Gerçekçi bakış:
LockBit benzeri saldırılarda asıl sorun “zararlının içeri girmesi” değil, içeri girdikten sonra saatlerce/dakikalarca fark edilmemesidir. Bu nedenle odak: erken tespit + etkiyi sınırlama.

1️⃣ Kimlik ve Yetki Yönetimi (En Kritik Katman)

LockBit saldırılarının büyük kısmı çalıntı kimlik bilgileri ile başlar. Özellikle Domain Admin ve servis hesapları hedeflenir.

• MFA: VPN, RDP, O365, Azure AD – her yerde zorunlu
• Domain Admin hesaplarını günlük işlerde kullanma
• Service account parolalarını uzun ve rotasyonlu yap
• Privileged Access Workstation (PAW) yaklaşımı uygula
• Gereksiz local admin yetkilerini kaldır

💡 LockBit için “admin yetkisi” = oyunun kazanıldığı andır.

2️⃣ EDR / XDR Olmadan Olmaz

LockBit 5.0 benzeri tehditler, klasik antivirüs imzalarını bilerek ve isteyerek aşacak şekilde tasarlanır.

• EDR/XDR (Defender for Endpoint, Sophos, CrowdStrike vb.) aktif olmalı
• “Alert only” değil, block & isolate modları açık olmalı
• Living-off-the-Land (PowerShell, PsExec, WMI) davranışları izlenmeli
• EDR kapatma girişimleri kritik alarm olarak tanımlanmalı

İmza değil, davranış yakalamayan güvenlik çözümü LockBit’e karşı yetersizdir.

3️⃣ Network Segmentasyonu ve RDP Gerçeği

LockBit yayıldığında genellikle: RDP + SMB + yönetim portları üzerinden lateral movement yapar.

• RDP’yi internetten tamamen kapat
• RDP gerekiyorsa: VPN + MFA + IP kısıtı
• Sunucu, kullanıcı, yedek ağlarını ayır
• SMB, RPC, WinRM trafiğini segmentler arası sınırla

Flat network = LockBit için açık büfe.

4️⃣ Yedekleme: Sadece Var Olması Yetmez

LockBit operatörleri artık doğrudan yedekleri hedef alır. Bu yüzden yedekleme mimarisi kritik savunma katmanıdır.

• Offline veya immutable backup (Object Lock, air-gap)
• Backup sunucusu domain admin olmamalı
• Backup’lar düzenli restore testinden geçmeli
• Yedek ortamı ayrı network segmentinde olmalı

Fidye ödemeden kurtulmanın tek yolu: geri dönebilen yedek.

5️⃣ Loglama, SIEM ve Erken Tespit

LockBit saldırıları genellikle saatler veya günler öncesinden sinyal verir. Bu sinyaller log’larda gizlidir.

• Windows Event Log’lar merkezi toplanmalı
• Authentication, privilege escalation, process creation izlenmeli
• SIEM üzerinde anormal davranış kuralları tanımlanmalı
• EDR + Firewall + AD log’ları korele edilmeli

LockBit’i durduran şey şans değil, erken fark etmektir.

6️⃣ Incident Response Planı (Kağıt Üstünde Kalmasın)

Birçok kurum saldırı anında şu soruya takılır: “Şimdi ne yapacağız?” Bu soru soruluyorsa, plan yok demektir.

• Saldırı anında kimin ne yapacağı net olmalı
• Network izolasyonu nasıl yapılacak önceden bilinmeli
• Hangi sistemler kapatılır, hangileri çalışır kalır?
• Hukuk, KVKK, iletişim planı hazır olmalı

Incident Response planı yazılı ve test edilmiş olmalıdır.

Sonuç: LockBit 5.0 Teknik Değil, Operasyonel Bir Tehdittir

LockBit 5.0’a karşı savunma: tek bir ürün veya tek bir ayar değildir. Kimlik, network, endpoint, yedekleme ve süreçlerin birlikte çalışması gerekir.

Doğru soru şudur:

“LockBit 5.0 gelir mi?”
“Geldiğinde biz ne kadar hazırız?”