Honeypot Kurulumu: KOBİ İçin Erken Uyarı Sistemi
Özet: Honeypot nedir, KOBİ ölçeğinde nasıl kurulur, hangi tipler vardır ve sessiz çalışan bu erken uyarı sisteminin pratik yapılandırması.
Özet: Honeypot, ağda saldırganın hedef alacağı şekilde tasarlanmış sahte bir cihaz, dosya, hesap veya servistir. Meşru kullanıcıların asla erişmeyeceği bu varlıklara herhangi bir bağlantı denemesi olduğunda, bu kesin bir tehdit göstergesidir — false positive yok denecek kadar düşüktür. KOBİ ölçeğinde tam honeypot ağı kurmak abartı olabilir; ancak canary token dosyaları, sahte admin hesabı, fake SMB share gibi minimum yatırımlı "honey objeler" saldırının ofise girdiğini ilk dakikalarda haber verir.
KOBİ'de saldırının ortalama tespit süresi haftalar düzeyinde. Saldırgan içeri girdiğinde EDR alarmlarını atlatabilir, log gürültüsü içinde kaybolabilir, hatta ay tutarında sessiz keşif yapabilir. Honeypot bu denklemi tersine çevirir: saldırgan ağı keşfederken muhtemelen "Yedekler" veya "Finans" adlı klasöre tıklamak isteyecektir — orada gerçek dosya yerine bir canary token bulursa, tıkladığı an siz haberdar olursunuz.
Bu yazıda KOBİ ölçeğinde honeypot ve "honey objeler" konseptini, kurulum yöntemlerini ve düşük maliyetli alternatifleri ele alıyoruz. Hedef kitlemiz IT sorumluları, güvenliği proaktif düşünen yöneticiler ve "sessiz tetikleyici" mantığına meraklı karar vericiler.
Honeypot Nedir, Neden Etkili?
Honeypot, saldırganın çekici bulacağı şekilde tasarlanmış bir tuzaktır. Çekiciliği gerçekçi olmasından gelir; saldırgan onu gerçek bir hedef sanır.
Çalışma Prensibi
- Honeypot ağa yerleştirilir (sahte sunucu, dosya, hesap, vs.)
- Meşru kullanıcılar buna asla erişmez (gizli, listelenmemiş)
- Bir kullanıcı erişirse — bu kullanıcı meşru değildir
- Anında alarm tetiklenir
Klasik EDR/SIEM Sınırı
- EDR: uç noktada anormal davranış bekler
- SIEM: log korelasyonu yapar
- Honeypot: niyet sezer — saldırgan keşif yaparken yakalanır
İlk iki kategori "bir şey olduktan sonra" tepki verir; honeypot saldırganı keşif fazında yakalama imkanı sunar.
Honeypot Tipleri
Honeypot'lar etkileşim seviyesi ve amaca göre sınıflandırılır.
Etkileşim Seviyesi
| Tip | Açıklama | Risk | Maliyet |
|---|---|---|---|
| Düşük etkileşim | Sahte servis taklidi (yalnızca port/banner) | Düşük | Düşük |
| Orta etkileşim | Sınırlı protokol uygulaması (örnek: SSH login simülasyonu) | Orta | Orta |
| Yüksek etkileşim | Tam işletim sistemi, gerçek davranış | Yüksek (saldırgan gerçek erişim alabilir) | Yüksek |
KOBİ için düşük-orta etkileşim ideal; yüksek etkileşim akademik araştırma için.
Amaca Göre
| Tip | Kullanım |
|---|---|
| Production honeypot | Üretim ağında erken uyarı için |
| Research honeypot | Saldırı tekniklerini öğrenme |
| Honey token | Sahte veri (parola, kart no, dosya) — kullanılınca alarm |
| Honey user | Sahte AD hesabı — login denemesi alarm |
| Honeynet | Birden çok honeypot'tan oluşan sahte ağ |
KOBİ ölçeğinde honey token ve production honeypot en pragmatik kategoriler.
KOBİ İçin Pratik "Honey Obje" Stratejileri
Tam honeypot kurulumuna girmeden, dakikalar içinde yapılabilecek erken uyarılar:
1. Canary Token Dosyaları
Canarytokens.org gibi servisler, açıldığında "ana sunucuya" alarm gönderen takip dosyaları üretir.
Yerleştirme yerleri:
- Dosya sunucusunda
Yedek_Sifreler.docx— saldırgan keşif yaparken çekici Finans_2024_Bilanço.xlsx— muhasebe klasöründeVPN_Adminler.txt— IT ortak klasöründeMüşteri_Liste_Tam.csv— pazarlama klasöründe- Cloud (OneDrive, Google Drive) içine
Saldırgan dosyayı açtığında IP, zaman, kullanıcı bilgisi size e-posta ile gelir.
2. Honey Hesap (Sahte AD Kullanıcı)
Active Directory'de meşru görünen bir kullanıcı oluşturulur.
- Ad:
Servis HesabıveyaIT_Sysadmin - Açıklama gerçekçi
- Yeterli yetki — saldırgan değerli sansın
- Asla kimse bu hesapla giriş yapmamalı
- Login denemesi → alarm
Microsoft Defender for Identity, Azure AD, açık kaynak araçlarla kurulabilir.
3. Honey Share (Sahte SMB Klasör)
Dosya sunucusunda paylaşılan ama içinde gerçek olmayan klasör.
- Ad:
\\fileserver\Yedeklerveya\\fileserver\Sifreler - İçinde sahte (canary token) dosyalar
- Erişim alarm tetikler
Saldırgan ağı taradığında bu paylaşımı görür, açar, alarm geçer.
4. Honey Credential (Sahte Parola)
Belirli bir kullanıcıya ait sahte kimlik bilgisi (gerçek olmayan) çeşitli yerlere yerleştirilir:
- Browser autofill (sahte kayıt)
- Komut geçmişi (örnek:
mysql -u admin -p [PAROLA]) - Wiki/dokümantasyonda
Bu kimlik bir yerde kullanılırsa (login denemesi) alarm.
5. Honey URL
İnternet'e açık görünen bir admin paneli — gerçekte tuzak.
admin.firma.com.trgibi alt alan- Sahte login sayfası
- Login denemesi → IP/UA bilgisi loglanır
Saldırgan kuruma karşı keşif yaparken bunu denerse fark edilir.
Açık Kaynak Honeypot Çözümleri
KOBİ'de düşük maliyetle deneyebileceğiniz açık kaynak araçlar:
| Araç | Tip | Notlar |
|---|---|---|
| Cowrie | SSH/Telnet honeypot | Yaygın, log zengin |
| Dionaea | Multi-protocol (SMB, FTP, SIP) | Karmaşık ama güçlü |
| Honeyd | Network honeypot framework | Eski ama temel referans |
| OpenCanary | Canary kapsamlı | Kurumsal Canary'nin açık kaynağı |
| T-Pot | Honeypot platformu | Birden çok honeypot Docker'da |
| Conpot | ICS/SCADA honeypot | Endüstriyel ortam |
| Glastopf | Web app honeypot | Web saldırılarını yakalar |
Başlangıç için OpenCanary veya T-Pot önerilir — kurumsal seviyede deneyim.
Ticari Honeypot ve Aldatma Platformları
KOBİ ölçeğinde ticari seçenekler:
- Thinkst Canary — Donanım/sanal "canary" cihazı, kurulum çok kolay
- Attivo Networks (SentinelOne Singularity Identity) — Aldatma teknolojisi platformu
- Illusive Networks — Identity-based aldatma
- Acalvio — Geniş aldatma teknolojisi
- Tracebit — Bulut-native aldatma
Thinkst Canary KOBİ için özellikle pragmatiktir: 30 dakikada kurulum, "sahte sunucu" ya da "sahte yazıcı" gibi davranır, yıllık abonelikle gelir.
Honeypot Yerleştirme — Tipik KOBİ Senaryosu
Bir KOBİ ofisinde honeypot stratejisi:
Ağ Tarafı
- Bir sahte "yedekleme sunucusu" ofis VLAN'ında (Thinkst Canary gibi cihaz)
- Sahte SMB share dosya sunucusunda
- Sahte yazıcı (printer) — özellikle endüstriyel ortamlarda
- Sahte SCADA cihazı (üretim tesisinde)
Kimlik Tarafı
- Sahte AD kullanıcı (
SysAdmin_Backup) - Honey credential — IT belgesinde
- Sahte servis hesabı (kasada parola, asla kullanılmıyor)
Veri Tarafı
- Canary token dosyalar dosya sunucusunda
- Cloud (OneDrive/Drive) içinde tetik dosyaları
- Müşteri/finans klasörlerinde dağıtık
Alarm
Tüm sinyaller merkezi bir kanala (e-posta, SMS, SOC platformu) yönlendirilir. IT ekibi 24/7 izleyemiyorsa MDR sağlayıcıya yönlendirilebilir.
False Positive Önleme
Honeypot'un en büyük avantajı false positive azlığıdır — ama yanlış kurulumla bu özellik kaybolur.
Yaygın Hatalar
- Honey hesabı meşru bir vardiya rotasyon hesabıyla benzer ad
- Canary dosya gerçek bir klasörle adı çakışıyor, kullanıcı yanlışlıkla açıyor
- Honey share, kurum yazıcısının taradığı klasörle aynı yolda
- Yedekleme yazılımı tüm dosyaları taradığı için canary tetikliyor
Önlemler
- Honey objelerin yerleşim koordinasyonu IT ekibinde dökümante
- Yedekleme/tarama servisleri için exclusion (istisna) tanımı
- Periyodik test — gerçek false positive var mı?
Honeypot ve Diğer Güvenlik Katmanları
Honeypot tek başına yetmez; diğer katmanlarla birleşir.
| Katman | Honeypot ile İlişki |
|---|---|
| EDR | Honeypot'a erişim → EDR ile uç noktada doğrulama |
| SIEM | Honeypot alarmları SIEM'e akar, korelasyon |
| MDR | Honeypot izleme MDR ekibine devredilebilir |
| Network Segmentation | Honeypot'lar farklı VLAN'larda |
| Threat Intel | Honeypot saldırı verisi, threat intel için kaynak |
Yamanlar Bilişim Olarak Sunduğumuz Hizmetler
KOBİ ölçeğinde honeypot/aldatma destek alanlarımız:
- Mevcut tehdit tespit kapasitesi denetimi
- Honey objeler stratejisi tasarımı
- Canary token dağıtım planı
- OpenCanary / T-Pot / Thinkst Canary kurulum
- AD honey hesabı oluşturma
- SIEM/MDR alarm entegrasyonu
- Yıllık aldatma stratejisi gözden geçirme
Sıkça Sorulan Sorular
Sonuç
Honeypot, KOBİ ölçeğinde "ileri seviye" gibi görünen ama aslında düşük maliyetle yüksek değer üreten bir savunma katmanıdır. Tam honeypot ağı kurmak gerekmiyor; canary token'ler, sahte AD hesabı ve sahte SMB share gibi minimum yatırımlı aldatma objeleri saldırganı keşif fazında yakalar. Honeypot alarmı, EDR/SIEM gürültüsünden bağımsız, neredeyse %100 güvenilir bir tehdit göstergesidir.
Yamanlar Bilişim olarak ölçeğinize ve risk profiline uygun honey strateji tasarımları sunuyor; saldırgana ofisinizi sessiz bir tuzak ağına dönüştürmenizi sağlayan, fakat IT operasyonunuzu yormayan çözümler kuruyoruz.
Sıkça Sorulan Sorular
Neden False Positive Yok?
Standart EDR/SIEM alarmları şüpheli olabilir alarmları üretir; bunların önemli bir kısmı false positive çıkar. Honeypot ise bu varlığa kim eriştiyse kötü niyetli prensibinde çalışır — meşru bir sebep yoktur. Bu yüzden honeypot alarmı yüksek güvenilirlikli sayılır.
Honeypot kurmak yasal olarak sorun yaratır mı?
Kendi ağınızda honeypot kurmak yasal olarak meşrudur. Ancak: (1) saldırganın honeypot içinde kötü amaçlı eylem yapmasını teşvik etmek entrapment tartışmasına açık olabilir, (2) honeypot içinde başka bir kuruma saldıran saldırgan için sizin sisteminiz aracı sayılabilir. Bu yüzden düşük etkileşim honeypot lar tercih edilir; yüksek etkileşim ileri uzmanlık ister.
Canary token gerçekten KOBİ için ücretsiz mi?
Canarytokens.org Thinkst tarafından sunulan ücretsiz bir servistir; sınırsız token üretebilirsiniz. Tetiklendiğinde size e-posta gelir. Kurumsal versiyonu (Thinkst Canary) abonelik gerektirir, ek özellikler (donanım canary, dashboard, SIEM entegrasyonu) sunar. KOBİ için ücretsiz token lar bile büyük değer üretir.
Saldırgan honeypot olduğunu anlarsa ne olur?
Anlarsa keşif yapmaya devam eder, ama bu durumda bile siz fark edilmiş bir saldırgan olduğunu öğrenmiş olursunuz — bu da değerlidir. Honeypot un kalitesi gerçeğe yakınlığıyla ölçülür: tam etkileşim simülasyonu yapan honeypot ları saldırganın anlaması zordur, basit banner-only honeypot lar deneyimli saldırgan tarafından hızlı tespit edilir.
Kaç honeypot/honey obje yeterli?
Sayıdan çok yerleştirmenin doğruluğu önemli. KOBİ için tipik öneri: 3-5 canary dosya kritik klasörlerde, 1 honey AD hesabı, 1 sahte SMB share, 1 sahte sunucu (cihaz veya VM). Bu mini set saldırı keşfi senaryolarının çoğunu yakalar. Ölçek büyüdükçe artırılır.
Honeypot alarmı ne kadar hızlı tepki vermeyi gerektirir?
Yüksek güvenilirlikli alarmdır — gerçek saldırı kuvvetli ihtimaldir. Tepki süresi mümkün olduğunca kısa olmalı: alarm geldiğinde ilk 30 dakika içinde IT ekibi olayı incelemeli, gerekirse etkilenebilecek sistemleri izole etmeli. 24/7 izleme yoksa MDR hizmeti veya en azından SMS/telefon alarmı şart.
Bulut ortamında honeypot nasıl kurulur?
AWS, Azure, GCP de honey kova (S3 bucket), honey VM, honey API endpoint, honey IAM kullanıcı kurulabilir. Bulut sağlayıcıların kendi tehdit tespit servisleri (Amazon GuardDuty, Microsoft Defender for Cloud) zaten bazı aldatma özellikleri içerir. KOBİ nin bulut yükü artarsa Tracebit gibi cloud-native aldatma platformları değerlendirilebilir.
Yazar
Serdar
Yamanlar Bilişim Uzmanı
Yamanlar Bilişim bünyesinde IT altyapısı, siber güvenlik ve dijital dönüşüm konularında içerikler üretmektedir. Sorularınız için iletişime geçebilirsiniz.
Profesyonel Destek
Bu konuda destek alın
Siber Güvenlik alanında ihtiyaç duyduğunuz çözümü birlikte tasarlayalım. Uzman ekibimiz 1 iş günü içinde size geri döner.
support@yamanlarbilisim.com.tr · Yanıt süresi: 1 iş günü
Devamını Oku
İlgili Makaleler
Insider Threat: KOBİ'lerde İçeriden Tehdit Tespiti
İçeriden tehdit (insider threat) nedir, KOBİ'lerde tespit yöntemleri, ayrılan çalışan, ihmal ve kasıtlı kötü niyet senaryoları.
NDR (Network Detection & Response) KOBİ'ye Gerekir mi?
Network Detection & Response (NDR) nedir, EDR ve SIEM'den farkı, KOBİ ölçeğinde gerekli olup olmadığı ve uygun çözümlerin değerlendirilmesi.
Web Filtreleme ve URL Kontrolü: KOBİ Ofisi İçin Politika
KOBİ ofisinde web filtreleme politikası tasarımı, URL kategori yönetimi, çalışan üretkenliği ile güvenlik dengesi ve KVKK uyumu.