Immutable Backup ve Ransomware Gerçeği

Backup Artık Sadece “Yedekleme” Değil

Uzun yıllar boyunca yedekleme (backup), BT dünyasında daha çok operasyonel bir zorunluluk olarak ele alındı. Disk bozulmaları, donanım arızaları, kullanıcı hataları veya felaket senaryoları için “verinin bir kopyasını daha tutmak” yeterli görülüyordu. Ancak dijitalleşmenin hızlanması, verinin kurumsal varlıklar içindeki en kritik unsura dönüşmesi ve özellikle ransomware saldırılarının dramatik şekilde artması, backup kavramını kökten değiştirdi.

Bugün backup artık sadece bir iş sürekliliği (business continuity) konusu değildir. Doğrudan doğruya bir siber güvenlik bileşeni, hatta birçok kurum için son savunma hattıdır. Çünkü modern saldırılar yalnızca üretim sistemlerini değil, yedekleri de hedef almaktadır.

Ransomware Gerçeği: Saldırganlar Neden Önce Backup’ı Vurur?

Ransomware saldırılarının ilk dönemlerinde saldırganların amacı basitti:

“Veriyi şifrele, fidye iste.”

Ancak kurumların backup altyapılarını güçlendirmesi ile birlikte saldırganlar da strateji değiştirdi. Günümüzde başarılı bir ransomware saldırısı çoğunlukla şu adımlarla ilerler:

• Sisteme sızma (phishing, zafiyet, VPN, RDP vb.)

• Yetki yükseltme (admin hakları elde etme)

• Backup sistemlerinin keşfi

• Backup sunucularının, repository’lerin veya snapshot’ların silinmesi

• Ardından üretim sistemlerinin şifrelenmesi

Bu noktada kurum şu gerçekle yüzleşir:

Yedekler de şifrelendiyse, geri dönüş yoktur.

İşte tam bu noktada backup, klasik anlamda bir BT operasyonu olmaktan çıkar; kritik bir güvenlik kontrolüne dönüşür.

Klasik Backup Yaklaşımının Günümüzdeki Açıkları

Birçok kurum hâlâ aşağıdaki varsayımlarla hareket ediyor:

• Backup alınıyor → güvendeyiz

• Yedek başka bir disk üzerinde → yeterli

• Haftalık / günlük yedek → kurtarır

Oysa modern tehdit ortamında bu varsayımlar ciddi riskler barındırır.

Klasik backup yaklaşımlarının zayıf noktaları:

• Silinebilir ve değiştirilebilir olmaları

• Backup sunucusunun domain’e bağlı olması

• Backup admin hesabının ele geçirilmesi durumunda tüm yedeklerin silinebilmesi

• Snapshot’ların saldırgan tarafından yok edilebilmesi

• Aynı kimlik bilgileriyle üretim ve backup ortamlarının yönetilmesi

Bu tablo, bizi kaçınılmaz olarak yeni bir kavrama götürür: Immutable Backup.

Immutable Backup Nedir? (Değiştirilemez Yedek)

Immutable backup, kelime anlamıyla “değiştirilemez yedek” demektir. Teknik olarak ise belirli bir süre boyunca:

• Silinemeyen

• Üzerine yazılamayan

• Değiştirilemeyen

yedek kopyaları ifade eder.

Bu yaklaşım, “backup da saldırıya uğrayabilir” gerçeğini kabul eder ve saldırganın yetkisi olsa bile yedekleri yok edememesini hedefler.

Immutable backup’ın temel özellikleri:

• WORM (Write Once Read Many) mantığı

• Zaman kilidi (retention lock)

• Yönetici yetkisiyle dahi silinememe

• Object Storage tabanlı mimari uyumluluğu

• Ransomware farkındalığı olan backup yazılımlarıyla entegrasyon

Bu sayede saldırgan üretim sistemlerini şifrelese bile, geri dönebileceğiniz temiz bir kopya her zaman vardır.

Immutable Backup Neden Bir Güvenlik Kontrolüdür?

Immutable backup’ı yalnızca bir depolama özelliği olarak görmek büyük bir yanılgıdır. Aslında bu yaklaşım:

• Bir veri bütünlüğü (integrity) kontrolüdür

• Bir fidye pazarlığını anlamsız kılan savunmadır

• Bir incident response enstrümanıdır

• Bir kurumsal risk azaltma mekanizmasıdır

Güvenlik perspektifinden bakıldığında immutable backup:

• Ransomware’in “geri dönüşsüzlük” etkisini ortadan kaldırır

• İş sürekliliğini teknik değil stratejik bir seviyeye taşır

• Kurumun fidye ödeme ihtimalini ciddi şekilde düşürür

• KVKK, ISO 27001, ISO 22301 gibi regülasyonlara uyumu güçlendirir

Bu nedenle günümüzde backup altyapıları, SOC, SIEM, EDR, Firewall gibi güvenlik bileşenleriyle birlikte değerlendirilmelidir.

Immutable Backup + Ransomware: Gerçek Hayat Senaryosu

Bir saldırı senaryosunu iki farklı kurum üzerinden düşünelim:

Senaryo 1 – Klasik Backup

• Üretim sistemleri şifrelendi

• Backup sunucusu da domain admin ile silindi

• Snapshot’lar yok edildi

• Kurum ya fidye ödeyecek ya da verisini kaybedecek

Senaryo 2 – Immutable Backup

• Üretim sistemleri şifrelendi

• Backup repository silinemedi

• Immutable kopyalar korunuyor

• Temiz noktadan geri dönüş mümkün

• Fidye anlamsız

Aradaki fark sadece teknoloji değil; stratejik bir bakış açısıdır.

Backup, Siber Güvenlik Stratejisinin Neresinde Durmalı?

Backup artık tek başına düşünülmemelidir. Kurumsal güvenlik mimarisinde şu başlıklarla birlikte konumlandırılmalıdır:

• Zero Trust yaklaşımı

• Yetki ayrımı (Least Privilege)

• MFA ile backup yönetimi

• Ayrı kimlik altyapısı

• Ağ segmentasyonu

• Offline / air-gapped yedekleme

• Immutable repository

Bu yaklaşım sayesinde backup, saldırı sonrası değil, saldırıya karşı bir savunma mekanizması haline gelir.

LTS Bilişim Perspektifi

LTS Bilişim olarak yedeklemeyi yalnızca “veri kopyalama” olarak değil, kurumların siber dayanıklılığının (Cyber Resilience) temel taşlarından biri olarak ele alıyoruz.

Yaklaşımımız:

• Ransomware farkındalığı olan backup mimarileri

• Immutable ve izole yedekleme katmanları

• Kurumun ölçeğine uygun on-prem, cloud veya hibrit senaryolar

• Güvenlik ekipleriyle entegre çalışan backup tasarımları

Çünkü günün sonunda şu gerçek değişmiyor:

Saldırı kaçınılmaz olabilir, veri kaybı değildir.

Backup Varsa Güvende Değilsiniz, Doğru Backup Varsa Güvendesiniz

Günümüz tehdit ortamında “backup alıyoruz” demek yeterli değildir. Asıl soru şudur:

• Backup’lar silinebilir mi?

• Saldırgan erişirse yok edebilir mi?

• Gerçekten geri dönebilecek miyiz?