Çok faktörlü kimlik doğrulaması (MFA) giriş yapılan kullanıcıyı onaylar. Peki bu doğrulama sonrası neler olur? Saldırganlar, geçerli oturum jetonlarını çalmanın ardından sistemde dolaşmaya, ayrıcalıkları yükseltmeye ve verileri gizlice dışarı aktarmaya başlar. MFA’nın bu aşamalarda hiçbir koruma sağlamadığı ortaya çıktı.
Bu senaryo, kimlik doğrulamaya büyük yatırımlar yapan kurumların karşılaştığı durumların başında geliyor. Kullanıcı adı ve şifreyle birlikte MFA kodunun girilmesiyle sistem "güvenli" olarak işaretleniyor. Ancak saldırganlar, meşru bir kullanıcının kimlik bilgilerini ele geçirdikten sonra MFA’nın koruma alanını aşabiliyor. Bu durum, kimlik doğrulamanın yalnızca bir anlık doğrulama aracı olduğunu gözler önüne seriyor.
CIO’dan Kritik Bulgu: Oturum Jetonlarının Yönetimi Zayıf
NOV’un CIO’su Alex Philips, şirketin operasyonel testleri sırasında önemli bir boşluk tespit etti. Philips’e göre, yetkili oturum jetonlarının kaynağa özel olarak iptal edilmesi gerekiyor. "Parolayı sıfırlamak yeterli değil. Lateral hareketi durdurmak için oturum jetonlarını anında iptal etmek zorundayız" dedi.
Philips’in bulduğu bu durum, neredeyse tüm kurumsal kimlik yönetim sistemlerinde var olan mimari bir zayıflık. Kullanıcı başarılı bir şekilde kimlik doğrulaması yaptıktan sonra oluşan oturum jetonu, bu güvenin devam etmesini sağlıyor. Jetonu elinde bulunduran kişi—saldırgan ya da çalışan—oturumun tüm izinlerini devralabiliyor. NOV’un araştırması, en gelişmiş saldırıların yüzde 82’sinde oturum jetonu hırsızlığının kullanıldığını ortaya koydu. Şirket, bu bulgular doğrultusunda kimlik politikalarını sıkılaştırmak, koşullu erişim kurallarını uygulamak ve jeton iptal mekanizmalarını yeniden yapılandırmak zorunda kaldı.
Saldırganlar Neden Artık Zararlı Yazılımlara İhtiyaç Duymuyor?
CrowdStrike’un 2026 Küresel Tehdit Raporu’na göre, 2025 yılında gerçekleşen siber saldırıların yüzde 82’sinde herhangi bir zararlı yazılım kullanılmadı. Saldırganlar, meşru kimlik bilgilerini ya da sosyal mühendislik tekniklerini kullanarak sistemlere sızıyor. Adam Meyers, CrowdStrike’un Karşıt Saldırgan Operasyonları Başkan Yardımcısı, bu değişimin nedenini şöyle açıklıyor: "Saldırganlar, ortamda erişim kazanmanın en hızlı yollarından birinin meşru kimlik bilgilerini çalmak olduğunu keşfetti."
Bu yaklaşımın ekonomisi oldukça açık: Günümüzde uç nokta tespit sistemleri, zararlı yazılım kullanmanın maliyetini ve riskini artırıyor. Buna karşın, çalınmış bir kimlik bilgisi hiçbir uyarı tetiklemiyor, imza tabanlı sistemler tarafından algılanmıyor ve kullanıcının sahip olduğu tüm erişim yetkilerini devralıyor.
Ses ve Görüntü Sahteciliği: Kimlik Doğrulama Sistemlerini Aştı
CrowdStrike’un 2025 Küresel Tehdit Raporu’na göre, 2024 yılının ikinci yarısında vishing saldırıları yüzde 442 oranında arttı. Aynı dönemde, ses sahteciliği saldırıları da benzer bir patlama yaşadı. Pindrop’un 2025 Ses Zekası ve Güvenlik Raporu’na göre, deepfake dolandırıcılığı girişimleri 2024 yılında yüzde 1.300’den fazla artış gösterdi. Yüz değiştirme saldırıları ise 2023 yılında yüzde 704 oranında yükseldi.
Bu veriler, yapay zekanın yalnızca bir saldırganı daha tehlikeli hale getirmediğini, aynı zamanda her saldırgana uzman düzeyinde sosyal mühendislik yetenekleri kazandırdığını gösteriyor. Kimlik bilgisi tedarik zinciri artık endüstriyel ölçekte çalışıyor.
IAM ve SecOps Arasındaki Boşluk: Oturumlar Nerede Ölüyor?
Gartner’ın 2024 yılında yayınlanan bir raporuna göre, 2026 yılına kadar şirketlerin yüzde 30’u, derin sahtecilikler nedeniyle yüz tabanlı kimlik doğrulama sistemlerine güvenmeyecek. Bu durum, kimlik doğrulama sistemlerinin güvenilirliğinin sorgulanmasına yol açıyor.
Ivanti’nin 2026 Siber Güvenlik Durum Raporu, 1.200’den fazla güvenlik uzmanının görüşlerini derledi. Rapora göre, tehditler ile savunmalar arasındaki hazırlık boşluğu bir yılda ortalama 10 puan genişledi. IEEE Üyesi Kayne McGladrey, bu sorunu iş riskleriyle ilişkilendirerek açıklıyor: "İşletmelerin siber güvenlik risklerini siber güvenlik kategorisi olarak görmesi tamamen yanlış. Asıl odaklanılması gereken şey, işletmenin zarar görmesiyle sonuçlanan risklerdir."
Bu mantık, oturum yönetimi ve jeton yaşam döngüsü yönetiminin, IAM (Kimlik ve Erişim Yönetimi) ve SecOps (Güvenlik Operasyonları) ekipleri arasında bir boşluk olarak kalmasına neden oluyor. McGladrey’e göre, kimse bu konuyu bir iş kaybı olarak görmediği için gerekli bütçe ve kontroller uygulanmıyor.
Meyers’in ifadesiyle: "Kimlik, bulut ve uç nokta tarafında yalnızca parçaları görebilirsiniz. Bu saldırıları durdurmak için en iyi senaryoda bile yaklaşık 29 dakikanız var. Bu nedenle, farklı alanlarda görülen tehditleri birleştirmek için çok alanlı görünürlüğe ihtiyacınız var."
Ivanti’nin Alan CISO’su Mike Riemer, son yirmi yılda değişen paradigma hakkında şunları söylüyor: "Birini tanımadan önce kimliğini doğrulamak gerekiyor. Karşınızdaki kullanıcıyı anlamadan iletişim kurmamalısınız. Bunun içinse kimlik doğrulamanın ötesine geçerek kullanıcı davranışlarını anlamaya odaklanmanız gerekiyor."
Güvenlik ekipleri, MFA’nın sunduğu temel korumanın ötesine bakarak oturum yönetimini yeniden değerlendirmeli. Sadece kimlik doğrulaması değil, oturumun süresi ve kapsamı da titizlikle izlenmeli. Gelecekteki saldırılar, kimlik doğrulama sistemlerinin ötesinde, kullanıcı davranışlarının sürekli olarak analiz edilmesine dayalı olacak. Bu geçiş, yalnızca teknik bir yenilik değil, aynı zamanda işletmelerin siber güvenlik stratejilerini yeniden tanımlamaları anlamına geliyor.
Yapay zeka özeti
MFA girişleri doğrular ancak oturum sonrası faaliyetleri görmez. Saldırganlar 29 dakikada sistemlere sızabiliyor. Oturum jetonlarının yönetimi ve sürekli izleme neden kritik?
