Microsoft 365 Neden Saldırganların Hedefinde? Kimlik Odaklı Güvenlik Rehberi

Neden Microsoft 365?

Microsoft 365, dünya genelinde yüz milyonlarca kullanıcıya hizmet veren, kurumsal iş birliğinin merkezinde yer alan bir platform. E-posta, kimlik yönetimi, dosya paylaşımı ve iş birliği araçlarını tek bir çatı altında birleştiriyor. Tam da bu kapsamlılık, platformu saldırganlar için son derece cazip bir hedef haline getiriyor.

Kritik bir ayrım var: saldırganlar Microsoft 365'i güvenlik açığı olduğu için hedef almıyor. Microsoft, endüstrinin en büyük güvenlik yatırımlarını yapan şirketlerden biri. Saldırganların asıl motivasyonu platformun ölçeği ve kullanıcıların bu platforma duyduğu güven.

Tek bir kimlik ele geçirildiğinde saldırgan potansiyel olarak şunlara erişebilir:

• Outlook üzerinden tüm e-posta yazışmaları
• SharePoint belge kitaplıkları ve intranet içerikleri
• OneDrive dosyaları
• Teams konuşmaları ve toplantı kayıtları
• Tedarikçi ve iş ortağı iletişim bilgileri
• Ve artık Copilot üzerinden yapay zeka destekli veri keşfi

Bu, geleneksel zararlı yazılım enfeksiyonlarından çok daha değerli bir erişim anlamına geliyor. Tek bir kimlik, tüm dijital iş yaşamının anahtarı haline gelmiş durumda.

Modern Saldırı Teknikleri

Saldırganlar, Microsoft 365 ekosistemini hedef alırken giderek daha sofistike teknikler kullanıyor. Bu teknikler platformun güvenlik açıklarını değil, insan davranışını ve güven ilişkilerini istismar ediyor.

İş E-postası Dolandırıcılığı (BEC)

Business Email Compromise, kurumlara yönelik en maliyetli siber saldırı türlerinden biri olmaya devam ediyor. Saldırganlar şu teknikleri birleştiriyor:

• Görünen isim sahteciliği (display name spoofing)
• Orijinaline çok benzeyen alan adları (lookalike domains)
• Ele geçirilmiş tedarikçi hesapları üzerinden güvenilir görünen iletişim
• Aciliyet hissi yaratan sosyal mühendislik taktikleri

Bir tedarikçinin e-posta hesabı ele geçirildiğinde, saldırgan mevcut e-posta zincirine dahil olarak son derece inandırıcı dolandırıcılık mesajları gönderebilir.

MFA Atlatma Teknikleri

Çok faktörlü kimlik doğrulama (MFA) kritik bir güvenlik katmanıdır, ancak saldırganlar bunu atlatmak için gelişmiş yöntemler geliştirdi:

• Token hırsızlığı: Adversary-in-the-middle (AiTM) phishing kitleri, kullanıcının MFA token'ını gerçek zamanlı olarak yakalayabiliyor
• MFA yorgunluğu: Kullanıcıya art arda onay bildirimi göndererek yanlışlıkla onaylamasını sağlama
• Oturum ele geçirme: Çalınan oturum çerezleriyle MFA'yı tamamen atlayarak giriş yapma

Bu teknikler, "MFA açık olduğu sürece güvendeyiz" varsayımının artık yeterli olmadığını gösteriyor.

QR Phishing (Quishing)

Geleneksel URL tabanlı phishing'in ötesinde, saldırganlar artık QR kodları kullanıyor. E-postalardaki QR kodları, kullanıcıları sahte Microsoft giriş sayfalarına yönlendiriyor. Bu teknik özellikle tehlikeli çünkü:

• QR kodları mobil cihazlarda taranıyor ve kurumsal güvenlik filtrelerini atlıyor
• URL, kod içinde gizli olduğu için geleneksel e-posta güvenlik tarayıcıları tarafından tespit edilmesi zor
• Kullanıcılar QR kodlarını meşru bir iletişim aracı olarak algılıyor

SharePoint ve OneDrive Üzerinden Phishing

Saldırganlar, phishing sayfalarını doğrudan SharePoint ve OneDrive üzerinde barındırarak meşru Microsoft altyapısını istismar ediyor. Kurban, tanıdık bir SharePoint URL'si gördüğünde güven duyuyor. Bu teknik, alan adı tabanlı engelleme listelerini etkisiz hale getiriyor.

OAuth Uygulama Kötüye Kullanımı

İlk erişim sağlandıktan sonra saldırganlar, OAuth uygulamaları üzerinden kalıcılık elde ediyor. Kötü amaçlı bir OAuth uygulaması, kullanıcının şifresini değiştirmesinden sonra bile erişimi koruyabiliyor. Bu uygulamalar genellikle meşru görünen izin talepleriyle kullanıcıyı kandırıyor.

Copilot Çağında Artan Risk

Yapay zeka asistanlarının kurumsal ortamlara entegrasyonu, kimlik güvenliğini daha da kritik hale getiriyor. Microsoft 365 Copilot, kullanıcının erişebildiği tüm verileri anında keşfedebilir ve özetleyebilir.

Bu durum, kimlik ele geçirme saldırılarının etkisini katlamasına neden oluyor:

• Saldırgan, ele geçirdiği kimlikle Copilot'u kullanarak hassas verileri dakikalar içinde tarayabilir
• Copilot'un doğal dil sorguları, manuel dosya aramadan çok daha hızlı ve kapsamlı veri keşfi sağlar
• Everyone Except External Users izni gibi aşırı paylaşım sorunları, Copilot üzerinden anında istismar edilebilir

Bu nedenle Copilot dağıtımından önce SharePoint izinlerinin temizlenmesi yalnızca bir iyi uygulama değil, güvenlik açısından zorunluluktur.

Kimlik Odaklı Savunma Stratejisi

Modern tehdit ortamında etkili savunma, dosya tabanlı korumadan kimlik odaklı güvenliğe geçiş gerektirir. Aşağıdaki kontroller, Microsoft 365 ekosistemini korumak için temel oluşturur.

Phishing-Resistant MFA

Geleneksel SMS veya uygulama tabanlı MFA, AiTM saldırılarına karşı savunmasız kalabiliyor. Phishing-resistant MFA seçenekleri:

• FIDO2 güvenlik anahtarları: Fiziksel donanım tabanlı kimlik doğrulama
• Passkeys: Biyometrik veya cihaz tabanlı, phishing'e karşı dayanıklı kimlik bilgileri
• Windows Hello for Business: Kurumsal cihazlarda donanım destekli kimlik doğrulama

Bu yöntemler, token hırsızlığı ve MFA yorgunluğu saldırılarını etkisiz hale getirir.

E-posta Güvenlik Altyapısı

E-posta kaynaklı saldırılara karşı çok katmanlı koruma:

• DMARC, SPF, DKIM: Alan adı sahteciliğini engelleyen e-posta kimlik doğrulama standartları
• Teslim öncesi URL analizi ve sandboxing: Bağlantıların zararlılığını tıklanmadan önce değerlendirme
• Tıklama anı URL yeniden yazma ve izolasyon: Kullanıcı bağlantıya tıkladığında gerçek zamanlı kontrol
• QR kod tarama: Gömülü QR kodlarındaki URL'leri analiz etme yeteneği

Davranışsal Yapay Zeka ve Anomali Tespiti

Kullanıcı davranış kalıplarını analiz ederek anormal aktiviteleri tespit etme:

• Olağandışı giriş konumları ve saatleri
• Beklenmeyen dosya indirme veya paylaşma kalıpları
• Anormal Copilot sorgu desenleri
• Toplu veri erişimi veya dışarı aktarma girişimleri

Tedarik Zinciri Risk Görünürlüğü

BEC saldırılarının önemli bir kısmı tedarikçi hesapları üzerinden gerçekleşiyor. Tedarikçi alan adı risk izleme, iş ortağı güvenlik duruşu değerlendirmesi ve üçüncü taraf erişim politikaları bu riski azaltır.

Microsoft 365 E7 Güvenlik Katmanı

Microsoft 365 E7 Frontier Suite, kimlik odaklı güvenlik için kapsamlı bir araç seti sunuyor:

• Microsoft Defender: E-posta, uç nokta ve bulut uygulamaları için gelişmiş tehdit koruması. AiTM phishing tespiti, OAuth uygulama izleme ve otomatik olay müdahalesi
• Microsoft Entra: Koşullu erişim politikaları, kimlik koruması, ayrıcalıklı kimlik yönetimi (PIM) ve sürekli erişim değerlendirmesi
• Microsoft Purview: Veri sınıflandırma, DLP politikaları, duyarlılık etiketleri ve iç tehdit yönetimi
• Agent 365: Yapay zeka ajanlarının güvenlik ve yönetişim kontrol düzlemi — kurumsal ölçekte ajan gözlemleme, güvenlik ve yönetim

E7, Copilot ve Agent 365'i güvenlik araçlarıyla birleştirerek hem üretkenlik hem de koruma sağlar. Kullanıcı verisi, kurumsal veri ve ajan eylemleri — hepsi kimlik, politika ve gözlemlenebilirlik katmanlarıyla korunur.

Kurumsal Eylem Planı

Kimlik odaklı güvenlik stratejisini uygulamaya koymak için önerdiğimiz yaklaşım:

Acil Adımlar (Hafta 1-2)

• Mevcut MFA dağıtım durumunu değerlendirin — SMS tabanlı MFA kullanan hesapları belirleyin
• Koşullu erişim politikalarını gözden geçirin
• DMARC, SPF ve DKIM kayıtlarını doğrulayın
• Yönetici hesaplarında FIDO2 veya passkey dağıtımını başlatın

Kısa Vade (Hafta 3-6)

• Phishing-resistant MFA'yı tüm kritik kullanıcılara genişletin
• SharePoint ve OneDrive paylaşım politikalarını sıkılaştırın
• OAuth uygulama denetimini yapılandırın ve riskli uygulamaları engelleyin
• Davranışsal anomali tespiti için Defender kurallarını aktifleştirin
• Copilot Studio yönetişim kontrol listesini uygulayın

Orta Vade (Ay 2-3)

• Tedarik zinciri risk değerlendirmesini tamamlayın
• İç tehdit programını yapılandırın (Purview Insider Risk)
• Kullanıcı güvenlik farkındalık eğitimlerini güncelleyin — QR phishing dahil
• Olay müdahale planını yapay zeka destekli saldırılar için güncelleyin
• Bilgi aktivasyonu yol haritasını güvenlik öncelikleriyle birleştirin

Sürekli

• Aylık kimlik güvenliği duruş değerlendirmesi
• Phishing simülasyonları ve sonuç analizi
• OAuth uygulama izleme ve periyodik temizlik
• Koşullu erişim politikalarının düzenli güncellenmesi

Temel İlke: Saldırganlar Artık İçeri Girmiyor, Giriş Yapıyor

Modern siber saldırıların doğası temelden değişti. Saldırganlar güvenlik duvarlarını aşmıyor — meşru kimlik bilgileriyle giriş yapıyor. Bu gerçek, savunma stratejisinin odak noktasını değiştirmeyi zorunlu kılıyor:

• Ağ güvenliğinden kimlik güvenliğine
• Dosya taramadan davranış analizine
• Reaktif müdahaleden proaktif tespit ve önlemeye
• Tekil araçlardan entegre güvenlik platformuna

Microsoft 365, olgun ve güvenli bir platform. Ancak bu güvenliği gerçek korumaya dönüştürmek, doğru yapılandırma, sürekli izleme ve kullanıcı farkındalığı gerektirir.

Fiboo olarak Microsoft 365 kimlik güvenliği, Copilot hazırlık stratejisi ve kurumsal siber güvenlik yönetişimi konusunda danışmanlık sunuyoruz. Kuruluşunuzun kimlik odaklı savunma stratejisini güçlendirmek için bizimle iletişime geçin.