Bir veri ihlaliyle karşılaşmak, çoğu ekip için "eğer" değil "ne zaman" meselesidir. Sunucularınızı ne kadar iyi sertleştirirseniz sertleştirin, çalınmış bir parola, yamalanmamış bir eklenti ya da sosyal mühendislikle kandırılan bir çalışan er ya da geç bir kapı aralayabilir. İşte bu kapı aralandığında sonucu belirleyen şey, saldırının ne kadar sofistike olduğu değil, sizin ilk saatlerde ne yaptığınızdır. Panik içinde, dağınık ve rastgele verilen kararlar zararı katlar; önceden yazılmış, provası yapılmış bir plan ise aynı olayı yönetilebilir bir aksaklığa dönüştürür.
Bu rehberde bir veri ihlali müdahale planının (incident response plan) neden şart olduğunu, hangi aşamalardan oluştuğunu ve her aşamada somut olarak ne yapmanız gerektiğini anlatıyorum. Hazırlıktan tespite, sınırlamadan kanıt korumaya, kök neden analizinden kurtarmaya kadar tüm zinciri; ayrıca KVKK'nın öngördüğü 72 saatlik bildirim yükümlülüğünü ve olay anındaki iletişim planını kıdemli bir sistem yöneticisinin bakış açısıyla ele alıyorum. Amacım, olay yaşandığında elinizde "şimdi ne yapacağız?" sorusuna hazır cevap veren bir yol haritası bırakmak.
Neden Önceden Plan Yapmak Zararı Azaltır?#
İhlal anında en pahalı kaynak zamandır. Saldırgan sisteminizde ne kadar uzun kalırsa, o kadar çok veriye ulaşır, o kadar derine kök salar ve temizlenmesi o kadar zorlaşır. Sektör verileri, tespit ve sınırlama süresi kısaldıkça olayın toplam maliyetinin belirgin biçimde düştüğünü tutarlı olarak gösteriyor. Planı olmayan ekipler ilk saatleri "kimi arayacağız, sunucuyu kapatalım mı, yedeğimiz sağlam mı?" gibi soruların cevabını ararken harcar. Planı olan ekipler ise aynı saatlerde çoktan saldırganı izole etmiş olur.
Önceden hazırlanmış bir plan üç şeyi ortadan kaldırır: kararsızlığı, bilgi eksikliğini ve panik hatalarını. Kimin neyi yapacağı bellidir, kritik erişim bilgileri elde hazırdır ve "sunucuyu formatlayıp temiz yedekten dönelim" gibi kanıtları yok edecek hamleler engellenmiş olur. Aşağıda müdahale sürecini altı ana aşamaya bölerek ilerleyeceğim; bunları bir kontrol listesi gibi baştan sona takip edebilirsiniz. Sağlam bir zemin için önce sunucu güvenliği temelleri yazısındaki sertleştirme adımlarını uygulamış olmanızı da öneririm; müdahale planı, güçlü bir savunmanın tamamlayıcısıdır, yerine geçen bir şey değil.
Hazırlık Aşaması: Olay Öncesi Yapılacaklar#
Bir müdahale planının %80'i olaydan önce yazılır. Yangın çıktığında yangın tüpünün yerini öğrenmeye çalışmazsınız; aynı mantık burada da geçerlidir. Hazırlık aşamasında dört şeyi netleştirin: ekip ve roller, iletişim zinciri, envanter ve araçlar, yedekler.
İlk olarak bir müdahale ekibi ve rolleri tanımlayın. Küçük bir işletmede bu ekip iki üç kişi olabilir ama roller yine de belli olmalı: olayı yöneten kişi (incident lead), teknik müdahaleyi yapan sistem yöneticisi, hukuki/uyumluluk sorumlusu ve iletişim/PR sorumlusu. Bu bilgileri makine tarafından okunabilir tek bir dosyada tutmak, olay anında herkesin aynı kaynağa bakmasını sağlar:
# incident-response.yml — olaydan önce hazırlanır, mesai dışı iletişim dahil
mudahale_ekibi:
olay_yoneticisi:
isim: "A. Yılmaz"
telefon: "+90 5xx xxx xx xx"
sistem_yoneticisi:
isim: "B. Demir"
telefon: "+90 5xx xxx xx xx"
hukuk_uyumluluk:
isim: "C. Kaya (VERBİS irtibat kişisi)"
iletisim_pr:
isim: "D. Şahin"
dis_iletisim:
hosting_destek: "Clou.TR panel > destek"
hukuk_musaviri: "[email protected]"
siber_sigorta_police_no: "POL-2026-xxxx"
kritik_sistemler:
- ad: "web-01"
rol: "WordPress + WooCommerce"
veri: "musteri PII, siparis"
- ad: "db-01"
rol: "MySQL birincil"
veri: "musteri, odeme referans"
İkinci olarak varlık envanterini çıkarın: hangi sunucular var, üzerlerinde ne çalışıyor, hangileri kişisel veri işliyor? İhlal anında "hangi veri etkilendi?" sorusuna hızlı cevap verebilmek için bu haritaya ihtiyacınız olacak. Üçüncüsü, düzenli ve geri yükleme testi yapılmış yedekler. Bir yedek, ancak geri yüklenebildiği kanıtlanmışsa yedektir. Kesintisiz ve otomatik bir yedekleme kurgusu için yedekleme hizmetimizden yararlanabilir, mantığını yedekleme rehberi üzerinden pekiştirebilirsiniz. Son olarak loglama: SSH, web sunucusu, veritabanı ve uygulama loglarının merkezi bir yerde ve yeterince uzun süre tutulduğundan emin olun; kanıt ve kök neden analizi tamamen bunlara dayanır.
1. Adım: Tespit ve Doğrulama#
Müdahale, birinin "bir şeyler yanlış" dediği an başlar. Tetikleyici çok çeşitli olabilir: izleme sisteminizden gelen bir uyarı, olağandışı giden trafik, veritabanında beliren tanımadığınız kayıtlar, arama motorunda görünen spam bağlantılar, bir müşterinin "hesabım ele geçirildi" bildirimi ya da doğrudan barındırma sağlayıcınızdan gelen bir kötü amaçlı yazılım uyarısı. İlk göreviniz doğrulamaktır: bu gerçekten bir ihlal mi, yoksa yanlış alarm mı?
Doğrulama için hızlıca canlı sistemin durumuna bakın. Kimler bağlı, hangi süreçler çalışıyor, dışarıya beklenmedik bağlantılar var mı?
# Aktif oturumlar ve son giriş kayıtları
who
last -a | head -n 20
# Dışarıya açık ve dinleyen bağlantılar (şüpheli portlar için)
ss -tunap | grep ESTAB
# CPU'yu yiyen tanımadığınız süreçler (kripto madenciliği tipik belirtidir)
ps aux --sort=-%cpu | head -n 15
# Web dizininde son 48 saatte değişen dosyalar (arka kapı avı)
find /var/www -type f -mtime -2 -printf '%TY-%Tm-%Td %TH:%TM %p\n' | sort
Başarısız SSH giriş denemelerinin patlaması, kaba kuvvet saldırısının işareti olabilir; bunun mantığını SSH bağlantısı ve güvenliği yazısında bulabilirsiniz. Bir şeyi doğrularken hiçbir şeyi silmeyin — panikle "temizlik" yapmak, birazdan ihtiyaç duyacağınız kanıtları yok eder. Olayı doğruladığınız an bir zaman çizelgesi (timeline) tutmaya başlayın: saat kaçta ne fark edildi, hangi komut çalıştırıldı, kim bilgilendirildi. Bu kayıt hem kök neden analizi hem de yasal bildirim için altın değerindedir.
Olayları ciddiyetine göre sınıflandırmak, ne kadar hızlı ve kiminle hareket edeceğinizi belirler:
| Seviye | Örnek | Etki | İlk yanıt hedefi |
|---|---|---|---|
| Düşük | Tek bir spam yorumu, izole başarısız giriş | Veri sızıntısı yok | Saatler içinde |
| Orta | Bir kullanıcı hesabının ele geçirilmesi | Sınırlı erişim | 1 saat içinde |
| Yüksek | Web dizinine arka kapı, defacement | Sistem bütünlüğü riskte | Dakikalar içinde |
| Kritik | Müşteri/veritabanı sızıntısı, fidye yazılımı | Kişisel veri açığa çıktı | Anında + KVKK saati başlar |
2. Adım: Sınırlama (Containment)#
Doğrulama biter bitmez amaç değişir: artık kanamayı durdurmak istiyorsunuz. Sınırlama, saldırganın erişimini kesmek ve etkinin yayılmasını önlemektir. Buradaki en kritik ilke şudur: sunucuyu hemen kapatmayın ve formatlamayın. Kapatmak, RAM'deki uçucu kanıtları ve çalışan saldırgan süreçlerini yok eder; asıl istediğiniz, sistemi ağdan yalıtmaktır, yok etmek değil.
Pratikte sınırlama şu adımları içerir. Şüpheli IP'leri veya tüm dış erişimi güvenlik duvarında engelleyin:
# Saldırganın bilinen IP'sini anında engelle
sudo iptables -A INPUT -s 203.0.113.66 -j DROP
# Gerekirse sistemi yönetim dışı tüm trafiğe kapat (yalnız kendi IP'ne izin ver)
sudo iptables -A INPUT -p tcp --dport 22 -s SENIN_IP -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP
Ele geçirilmiş olabilecek tüm kimlik bilgilerini geçersiz kılın: yönetici parolaları, veritabanı şifreleri, API anahtarları, SSH anahtarları ve WordPress "salt" değerleri. Aktif oturumları kapatın ki çalınmış bir çerezle içeride kalan biri atılsın. Web sitesini geçici olarak bakım moduna alarak hem ziyaretçileri korur hem de saldırganın yüzeyini daraltırsınız:
# Siteyi bakım moduna al: yalnız yönetici IP'si geçer, herkese 503 dön
server {
listen 443 ssl;
server_name ornek.com;
set $maintenance 1;
if ($remote_addr = 198.51.100.10) { set $maintenance 0; }
location / {
if ($maintenance) { return 503; }
try_files $uri $uri/ /index.php?$args;
}
error_page 503 /bakim.html;
location = /bakim.html { root /var/www/bakim; internal; }
}
Bir sunucu tümüyle ele geçirildiyse ve işletmeniz için kritikse, temiz bir sunucuya geçiş yapmak en hızlı sınırlama olabilir. Kaynaklarınızın izole olduğu bir sanal sunucu ya da tam yalıtım için bir VDS üzerinde temiz bir kopyayı ayağa kaldırıp trafiği oraya yönlendirebilir, ele geçirilmiş makineyi analiz için dokunmadan bırakabilirsiniz. Sürekli otomatik saldırılar altında olduğunuzu düşünüyorsanız, önüne bir WAF ve DDoS koruma katmanı koymak yeni denemeleri kapıda süzer.
3. Adım: Kanıt Toplama ve Koruma#
Sınırlamayı sağladıktan sonra, temizliğe geçmeden önce kanıtları güvence altına alın. Bunun iki nedeni var: hem kök nedeni doğru bulmak hem de olası bir yasal süreçte (KVKK incelemesi, dava, sigorta talebi) elinizde tutarlı bir delil zinciri olması. Kanıtı ilk fırsatta, sistemi değiştirmeden dondurmalısınız.
En güçlü kanıt, tüm diskin ve mümkünse belleğin birebir kopyasıdır. Bulut/VPS ortamında bunu bir anlık görüntü (snapshot) alarak yaparsınız; bu, olay anındaki durumu zaman içinde donmuş olarak saklar. Elle disk imajı almanız gerekiyorsa bütünlüğü sağlamak için özet (hash) alın:
# Kritik logları ve web kökünü değiştirmeden, zaman damgalı bir kanıt paketi olarak sakla
sudo tar -czpf /kanit/olay-2026-07-10.tar.gz \
/var/log/auth.log* /var/log/nginx/ /var/www/ \
--warning=no-file-changed
# Bütünlük özeti — sonradan "değiştirilmedi" diyebilmek için
sha256sum /kanit/olay-2026-07-10.tar.gz | sudo tee /kanit/olay-2026-07-10.sha256
Veritabanı tarafında saldırganın izini aramak için de kanıt toplayın. Örneğin beklenmedik yönetici hesapları ya da enjekte edilmiş içerik, ele geçirmenin tipik izleridir:
-- Son eklenen WordPress kullanıcıları ve yetkileri (yetkisiz admin avı)
SELECT u.ID, u.user_login, u.user_registered, m.meta_value AS roller
FROM wp_users u
JOIN wp_usermeta m ON m.user_id = u.ID AND m.meta_key = 'wp_capabilities'
ORDER BY u.user_registered DESC
LIMIT 10;
-- Şüpheli zamanlarda değişen ayarlar
SELECT option_name, LENGTH(option_value) AS boyut
FROM wp_options
WHERE option_name IN ('siteurl','home','users_can_register','default_role');
Topladığınız kanıtları erişimi kısıtlı, ayrı bir yerde saklayın ve kimin ne zaman eriştiğini not edin. WordPress'e özgü ele geçirme belirtileri ve temizlik yaklaşımı için WordPress güvenliği yazısı iyi bir tamamlayıcıdır. Unutmayın: kanıtı topladıktan sonra temizlik yaparsınız, önce değil.
4. Adım: Kök Neden Analizi#
Elinizdeki kanıtlarla artık asıl soruyu yanıtlayabilirsiniz: saldırgan içeri nasıl girdi? Bu adımı atlayıp doğrudan kurtarmaya geçmek, en sık yapılan ve en pahalıya patlayan hatadır — çünkü açık kapıyı kapatmadan sistemi geri yüklerseniz, saldırgan aynı yoldan yeniden girer ve haftalar süren bir "temizle-tekrar hacklen" döngüsüne saplanırsınız.
Kök neden analizinde zaman çizelgesini logların üzerine oturtun. İlk yetkisiz erişim ne zaman oldu? Hangi IP, hangi kullanıcı, hangi istek? Girişten sonra ne yapıldı? Tipik giriş yolları şunlardır: yamalanmamış bir CMS/eklenti açığı, zayıf veya sızmış bir parola, açıkta unutulmuş bir yönetim paneli, güvensiz bir dosya yükleme noktası ya da sunucudaki başka bir siteden sıçrama (paylaşımlı ortamlarda). Web sunucusu erişim loglarında saldırının imzasını genellikle net görürsünüz:
# Nginx erişim logunda POST ile gelen ve 200 dönen şüpheli istekler
grep '"POST' /var/log/nginx/access.log | grep -E 'wp-login|xmlrpc|upload|shell|\.php' | tail -n 40
# Aynı IP'den kısa sürede gelen yüzlerce istek (kaba kuvvet imzası)
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -rn | head
Analizi bitirdiğinizde tek bir cümleyle "kök neden" ifadesi yazabilmelisiniz: örneğin "X eklentisinin 2.3 sürümündeki dosya yükleme açığı üzerinden bir web shell yüklendi." Bu cümle, kurtarma aşamasında neyi kesin olarak düzeltmeniz gerektiğini söyler. Kök nedeni kendi başınıza bulmakta zorlanıyorsanız, olayı bir uzmanla birlikte incelemek için sunucu yönetimi hizmetinden destek alabilirsiniz.
5. Adım: Kurtarma ve Yeniden Devreye Alma#
Kök neden belliyse artık güvenle temizleyip geri dönebilirsiniz. Kurtarmanın altın kuralı: ele geçirilmiş sistemi "elle temizleyip" güvenmek yerine, güvenli olduğunu bildiğiniz temiz bir duruma dönün. Bir saldırgan bir kez içeri girdiyse, gözden kaçırdığınız bir arka kapı bırakmış olma ihtimali her zaman vardır; tek tek zararlı dosya avlamak asla %100 güvence vermez.
En sağlıklı yol, ihlal tarihinden önceki temiz bir yedekten geri yüklemek ve ardından kök nedende bulduğunuz açığı kapatmaktır. Sırasıyla: temiz yedekten dönün, tüm bileşenleri (CMS çekirdeği, eklentiler, sunucu paketleri) güncelleyin, açığı yamalayın, tüm parola ve anahtarları yenileyin, sonra sistemi kademeli olarak yeniden yayına alın. Geri yükleme öncesi mutlaka bir doğrulama yapın:
# Temiz yedeği geri yüklemeden önce bütünlüğünü doğrula
sha256sum -c /yedek/2026-07-05-tam.sha256
# Geri yükleme (örnek: sıkıştırılmış tam yedek)
sudo tar -xzpf /yedek/2026-07-05-tam.tar.gz -C /var/www/ornek.com
# Dönüşten sonra dosya bütünlüğü/izin kontrolü
sudo find /var/www/ornek.com -type f -name '*.php' -newermt '2026-07-05' -ls
Sistemi yayına aldıktan sonra iş bitmez — bir süre yakından izleyin. Saldırganın geri dönmeye çalışması olağandır. Değişen dosyaları, giriş loglarını ve giden trafiği birkaç gün boyunca dikkatle takip edin. Yedekten dönme kaslarınızı olay anında değil, öncesinde çalıştırın; yedekleme rehberi ve bir WordPress bakım planı bu geri dönüşü stressiz hale getirir. Kurtarma tamamlandıktan sonra son bir olay sonrası değerlendirme (post-mortem) toplantısıyla "ne öğrendik, planın hangi adımı zayıf kaldı?" sorusunu yanıtlayın ve müdahale planınızı güncelleyin.
KVKK ve 72 Saatlik Bildirim Yükümlülüğü#
Teknik müdahale devam ederken paralel olarak yürüyen bir de yasal süreç vardır. Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, bir veri ihlali kişisel verileri etkiliyorsa, veri sorumlusunun bunu öğrendiği tarihten itibaren en kısa sürede ve makul olarak 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirmesi gerekir. Bu süre, ihlali fark ettiğiniz an işlemeye başlar — teknik olarak her şeyi çözdüğünüz an değil. Bu yüzden "ihlal doğrulandı" dediğiniz saati zaman çizelgesine net yazmak kritik önem taşır.
Yükümlülük tek bir bildirimle de sınırlı değildir. Etkilenen kişiler açısından yüksek risk varsa, ilgili kişilerin de (müşterileriniz, kullanıcılarınız) uygun bir yöntemle bilgilendirilmesi gerekir. Aşağıdaki tablo temel bildirim beklentilerini özetler; kesin yorum ve güncel eşikler için mutlaka bir hukuk danışmanına başvurun:
| Kime | Ne zaman | İçerik |
|---|---|---|
| Koruma Kurulu | İhlali öğrendikten sonra makul olarak 72 saat içinde | İhlalin niteliği, etkilenen veri türleri ve kişi sayısı, olası sonuçlar, alınan önlemler |
| İlgili kişiler (kullanıcılar) | Makul en kısa sürede (yüksek risk varsa) | Ne olduğu, hangi verilerinin etkilendiği, kendilerini korumak için ne yapmaları gerektiği |
| Kayıt (iç) | Her ihlalde | İhlalin ayrıntıları ve müdahalenin belgelenmesi |
Bildirim metnini olay anında sıfırdan yazmak zaman kaybettirir; hazırlık aşamasında bir şablon oluşturun ve boşlukları olay anında doldurun. Kişisel veri işleyen bir web sitesi yönetiyorsanız, KVKK uyumunun ihlal öncesi tarafını KVKK web sitesi uyumu yazısında bulabilirsiniz. Uluslararası kullanıcılarınız varsa GDPR'ın benzer 72 saat kuralı için GDPR nedir yazısına da göz atın. Yasal metnin doğru ve zamanında olması, teknik müdahalenin başarısı kadar önemlidir; eksik ya da geç bildirim, ihlalin kendisinden daha ağır idari yaptırımlara yol açabilir.
İletişim Planı ve Kriz Yönetimi#
Bir ihlalin teknik boyutu kadar, belki daha da fazla, algı boyutu vardır. Müşterileriniz olayın kendisinden çok, ona nasıl karşılık verdiğinizi hatırlar. Şeffaf, hızlı ve dürüst bir iletişim güveni korurken; sessizlik, geciktirme ya da olayı küçümseme kalıcı itibar hasarına yol açar. Bu yüzden iletişim planı, müdahale planının ayrılmaz bir parçasıdır ve olaydan önce yazılmalıdır.
İyi bir kriz iletişimi birkaç ilkeye dayanır. Tek bir sözcü belirleyin ki mesajlar tutarlı olsun. Ne bildiğinizi ve ne bilmediğinizi dürüstçe söyleyin; henüz emin olmadığınız şeyi kesinmiş gibi anlatmayın, çünkü sonradan düzeltmek güveni daha çok sarsar. Kullanıcılara somut aksiyon verin: "parolanızı değiştirin", "şu tarihten önce giriş yaptıysanız oturumlarınızı kapattık" gibi. İç iletişimi de ihmal etmeyin — ekibinizin tamamı aynı bilgiye sahip olmalı ki kimse dışarıya çelişkili mesaj vermesin. Aşağıdaki gibi bir hazır bildirim şablonu, olay anında değerli dakikalar kazandırır:
# musteri-bildirimi-taslak.yml — boşluklar olay anında doldurulur
konu: "Hesap güvenliğiniz hakkında önemli bilgilendirme"
govde: |
Değerli müşterimiz,
{tarih} tarihinde sistemlerimizde bir güvenlik olayı tespit ettik ve
hemen müdahale ettik. İnceleme sonucunda {etkilenen_veri} verilerinizin
etkilenmiş olabileceğini belirledik. {odeme_verisi_durumu}
Önlem olarak parolanızı sıfırladık; bir sonraki girişinizde yeni bir
parola belirlemenizi rica ederiz. Sorularınız için {iletisim_kanali}
üzerinden bize ulaşabilirsiniz.
kanallar:
- eposta
- panel_bildirimi
- web_duyuru
Bildirim e-postalarınızın alıcıya ulaşması için gönderen altyapınızın sağlam olması gerekir; kriz anında "bildirim maili spam'e düştü" durumuna düşmemek için e-posta tarafını ve SPF, DKIM, DMARC ayarlarını önceden doğru kurun. İletişim planınızı da tıpkı teknik planınız gibi tatbikat yaparak deneyin; kağıt üzerinde mükemmel görünen bir plan, ilk kez gerçek baskı altında denendiğinde çatlaklar verir.
Sıkça Sorulan Sorular#
Veri ihlali yaşadığımı fark ettiğimde ilk ne yapmalıyım?#
Önce panik yapmadan olayı doğrulayın ve doğruladığınız anı not edin, çünkü KVKK'nın 72 saatlik süresi bu andan itibaren işler. Ardından sunucuyu kapatıp formatlamadan, saldırganın erişimini kesmek için sistemi ağdan yalıtın ve kimlik bilgilerini geçersiz kılın. Sınırlamayı sağladıktan sonra kanıtları toplayın, kök nedeni bulun ve ancak açığı kapattıktan sonra temiz bir yedekten kurtarmaya geçin.
Ele geçirilen sunucuyu hemen kapatmalı mıyım?#
Genellikle hayır. Sunucuyu aniden kapatmak, RAM'de tutulan uçucu kanıtları ve çalışan saldırgan süreçlerini yok eder; bu da hem kök neden analizini hem de olası yasal süreci zorlaştırır. Bunun yerine sistemi güvenlik duvarıyla ağdan yalıtın, yani erişimi kesin ama makineyi canlı ve incelenebilir halde bırakın; kapatmak yerine izole etmek doğru yaklaşımdır.
KVKK'ya bildirimi tam olarak ne zaman yapmam gerekiyor?#
Kişisel verileri etkileyen bir ihlali öğrendiğiniz andan itibaren en kısa sürede ve makul olarak 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapmanız beklenir. Bu süre olayı tamamen çözdüğünüz an değil, ihlali fark ettiğiniz an başlar. Yüksek risk söz konusuysa etkilenen kullanıcıları da ayrıca bilgilendirmeniz gerekir; kesin yükümlülükler için bir hukuk danışmanıyla çalışmanızı öneririm.
Küçük bir işletmenin gerçekten müdahale planına ihtiyacı var mı?#
Kesinlikle evet, hatta küçük işletmeler için daha da kritiktir. Büyük şirketlerin aksine küçük ekiplerin ayrılmış bir güvenlik departmanı yoktur, bu yüzden olay anında herkes ne yapacağını bilmiyorsa kaos büyür. İki üç sayfalık, kimin kimi arayacağını, yedeklerin nerede olduğunu ve ilk üç adımı içeren basit bir plan bile, plansızlığa kıyasla zararı dramatik biçimde azaltır.
Yedekten geri dönmeden önce nelere dikkat etmeliyim?#
En önemlisi, geri döndüğünüz yedeğin ihlal tarihinden önceki temiz bir noktaya ait olduğundan emin olun; aksi halde saldırganın arka kapısını da geri yüklemiş olursunuz. Yedeğin bütünlüğünü bir özet (hash) ile doğrulayın, dönüşten sonra tüm parola ve anahtarları yenileyin ve kök nedende bulduğunuz açığı mutlaka yamalayın. Son olarak sistemi yayına aldıktan sonra birkaç gün yakından izleyerek saldırganın geri dönmediğinden emin olun.
Aynı ihlalin tekrar yaşanmasını nasıl engellerim?#
Tekrarı önlemenin anahtarı, olayı kapatır kapatmaz bir olay sonrası değerlendirme yapıp kök nedeni kalıcı olarak gidermektir. Bulduğunuz açığı yamalamak yetmez; aynı sınıftan açıkları da tarayın, güncellemeleri otomatikleştirin, güçlü parola ve 2FA politikası uygulayın ve saldırı yüzeyinizi bir WAF ile daraltın. Ayrıca müdahale planınızı bu olaydan öğrendiklerinizle güncelleyin; her gerçek olay, planınızı bir sonraki için daha keskin hale getiren bir tatbikattır.
Kapanış#
Veri ihlali müdahalesinde başarı, saldırıyı hiç yaşamamakla değil, yaşandığında soğukkanlı ve planlı hareket edebilmekle ölçülür. Hazırlık, tespit, sınırlama, kanıt koruma, kök neden analizi ve kurtarma zincirini önceden yazıp provasını yaptığınızda; olay anında panik yerine bir kontrol listesi, kararsızlık yerine net roller devreye girer. Buna KVKK'nın 72 saatlik bildirim disiplinini ve dürüst bir iletişim planını eklediğinizde, en kötü günü bile yönetilebilir bir sürece dönüştürebilirsiniz.
Bu planı en iyi tamamlayan şey, ihlal olasılığını en baştan düşüren sağlam bir altyapıdır. Clou.TR'de izole kaynaklı sanal sunucu ve VDS çözümleri, otomatik yedekleme, WAF ve DDoS koruma katmanları, sertifikasyon için SSL ve olay anında yanınızda olan sunucu yönetimi desteği ile hem savunmanızı hem de müdahale gücünüzü tek çatı altında toplayabilirsiniz. Güvenli bir başlangıç için hosting paketlerimize göz atın; hazırlığın en iyi zamanı, ihtiyaç duymadan çok öncesidir.