🛡️ Kiberqoruma

Dərs 1: CIA Triad — İnformasiya Təhlükəsizliyinin Konstitusiyası

Kiber təhlükəsizliyin fundamental təməli üç əsas prinsip üzərində qurulub: Confidentiality (Məxfilik), Integrity (Bütövlük) və Availability (Əlçatanlıq). İstənilən kiber hücum və ya müdafiə strategiyası birbaşa olaraq bu triadadakı elementlərdən birinə hədəflənir.

1. Confidentiality (Məxfilik) nələrə əsaslanır?

Məxfilik, məlumatın yalnız səlahiyyəti olan şəxslər, proseslər və ya cihazlar tərəfindən oxuna bilməsini təmin edir. İcazəsiz hər hansı bir giriş məxliliyin pozulması deməkdir.

• Real təhdid: Şəbəkə paketlərinin sniff edilməsi (izlənilməsi), verilənlər bazasının sızdırılması.
• Müdafiə mexanizmləri: Güclü simmetrik və asimmetrik şifrələmə alqoritmləri (məs. AES-256), Giriş Nəzarət Siyahıları (ACL) və çoxfaktorlu identifikasiya.

2. Integrity (Bütövlük) və Məlumat Dəqiqliyi

Bütövlük, məlumatların saxlandığı və ya ötürüldüyü zaman dəyişdirilmədən, silinmədən və ya saxtalaşdırılmadan orijinal qalmasını təmin etməkdir.

• Real təhdid: Ortadakı adam (MitM) hücumu zamanı hakerin bank köçürmə sənədindəki məbləği və ya hesabı dəyişdirməsi.
• Müdafiə mexanizmləri: Kriptoqrafik heş funksiyaları (SHA-256, SHA-3) və rəqəmsal imzalar. Məlumatın heş dəyəri dəyişibsə, deməli bütövlük pozulub.

3. Availability (Əlçatanlıq) və Davamlılıq

Əlçatanlıq, sistemlərin, xidmətlərin və məlumatların səlahiyyətli istifadəçilər üçün ehtiyac duyulduğu hər an işlək vəziyyətdə olmasıdır.

• Real təhdid: Ransomware hücumları ilə sistemlərin kilidlənməsi və ya DDoS hücumları ilə serverlərin sıradan çıxarılması.
• Müdafiə mexanizmləri: Kritik infrastrukturun ehtiyat nüsxələrinin (Backup) çıxarılması, yük tarazlaşdırıcılar (Load Balancers) və DDoS mühafizə sistemləri (Cloudflare və s.).

Dərs 2: Sosial Mühəndislik və İnsan Psixologiyasının Manipulyasiyası

Sosial mühəndislik — texnoloji boşluqları deyil, kiber təhlükəsizlik zəncirinin ən zəif həlqəsi olan insan faktorunu hədəf alan manipulyasiya sənətidir. Hakerlər insanların qorxu, maraq, təcililik və ya güvən hisslərindən istifadə edirlər.

Əsas Hücum Metodologiyaları:

• Phishing (Fişinq): Ən geniş yayılmış kütləvi hücumdur. Saxta e-poçtlar və ya qeydiyyat formaları vasitəsilə istifadəçilərə tələ linkləri göndərilir.
• Spear Phishing (Hədəfli Fişinq): Təsadüfi insanlara deyil, xüsusi olaraq seçilmiş şəxslərə (məsələn, şirkətin maliyyə müdirinə) qarşı, onların şəxsi məlumatlarından istifadə edilərək hazırlanan çox inandırıcı hücum formasıdır.
• Vishing (Səsli Fişinq): Telefon zəngləri vasitəsilə həyata keçirilir. Hücumçu özünü bank təhlükəsizlik əməkdaşı, polis və ya dövlət məmuru kimi təqdim edərək qurbanın kart məlumatlarını və ya SMS kodlarını tələb edir.
• Baiting (Yemləmə): Qurbanın maraq hissini hədəf alır. Üzərinə "Şirkətin Maaş Siyahısı" yazılmış viruslu bir USB flaş kartın ofisin dəhlizində və ya avtodayanacaqda qəsdən yerə atılması buna klassik nümunədir.

Müdafiə Taktikası:

Şirkətlərdə mütəmadi olaraq kiber təhlükəsizlik maarifləndirmə təlimləri keçirilməli və daxil olan şübhəli e-poçtlar mütləq "Daxili Təhlükəsizlik" departamentinə yönləndirilməlidir. Hər hansı təcili təzyiq göstərən mesaj gördükdə emosional qərar verilməməlidir.

Dərs 3: Zərərli Proqramların Anatomiyası və Təsnifatı (Malware)

Zərərli proqram təminatı (Malware) — kompüter sistemlərinə zərər vurmaq, məlumatları oğurlamaq və ya icazəsiz giriş əldə etmək üçün yazılmış hər növ kod və ya tətbiqə verilən ümumi addır.

Ən Təhlükəli Zərərli Proqram Növləri:

1. Ransomware (Fidyə Proqramları): Sistemə sızdıqdan sonra güclü kriptoqrafik alqoritmlərlə (məs. RSA-2048) bütün istifadəçi fayllarını şifrələyir. Faylların açılması müqabilində izlənilməsi qeyri-mümkün olan kriptovalyutalar (Bitcoin, Monero) tələb edir. *Nümunə: WannaCry, REvil.*
2. Spyware & Keyloggers (Casus Proqramlar): Sistemdə tamamilə gizli fəaliyyət göstərir. Klaviaturada basılan hər bir düyməni (şifrələr, kart nömrələri), kamera görüntülərini və ekran şəkillərini qeydə alaraq hakerin C2 (Command and Control) serverinə göndərir.
3. Trojans (Troya Atları): Faydalı, qanuni proqram və ya oyun kimi maskalanır. İstifadəçi onu işə saldıqda, arxa fonda haker üçün xüsusi giriş qapısı (Backdoor) açır.
4. Worms (Soxulcanlar): Viruslardan fərqli olaraq, yayılmaq üçün hər hansı bir insan müdaxiləsinə və ya icraçı fayla ehtiyac duymur. Şəbəkə boşluqlarından istifadə edərək bir kompüterdən digərinə avtomatik olaraq özünü kopyalayır.

Aşkarlama və Təmizləmə:

Müasir EDR (Endpoint Detection and Response) sistemləri yalnız imzalara görə deyil, proqramların davranış analizlərinə (Heuristic Analysis) görə də zərərli proqramları sıfırıncı saniyədə bloklaya bilir.

Dərs 4: Şəbəkə Hücumları — MitM və DDoS Hücum Ssenariləri

Şəbəkə kiber təhlükəsizliyin magistral yoludur və hakerlər bu yolda məlumatları ələ keçirmək və ya yolu tamamilə bağlamaq üçün mürəkkəb protokollardan istifadə edirlər.

1. Man-in-the-Middle (MitM) — Ortadakı Adam Hücumu

Hücumçu, iki qanuni tərəf (məsələn, sizin brauzeriniz və daxil olduğunuz bank saytı) arasındakı rabitə kanalına gizlicə daxil olur. O, ARP Poisoning (ARP zəhərlənməsi) və ya DNS Spoofing texnikaları ilə bütün şəbəkə trafikini öz kompüterindən keçməyə məcbur edir.

Nəticə: Şifrəsiz (HTTP) şəbəkələrdə yazdığınız hər sətir parol və mesaj haker tərəfindən açıq mətn kimi oxunur.

2. DDoS (Distributed Denial of Service) — Paylanmış Xidmətdən İmtina

Bu hücumun məqsədi məlumat oğurlamaq deyil, hədəf serverin resurslarını (CPU, RAM, Şəbəkə genişliyi) tamamilə tükəndirmək və onu çökdürməkdir. Haker əvvəlcə internetdəki minlərlə mühafizəsiz IoT cihazı və ya kompüteri yoluxduraraq özünə böyük bir zombi ordusu (Botnet) qurur. Daha sonra bir əmrlə bütün bu botnetləri eyni anda hədəf sayta saxta sorğular göndərməyə yönəldir.

Müdafiə Strategiyaları:

• MitM-ə qarşı mütləq HTTPS, SSH və güclü VPN protokollarından istifadə olunmalıdır.
• DDoS hücumlarına qarşı hədəf sistemlərin önündə qabaqcıl Anycast şəbəkə arxitekturaları və gələn trafiki analiz edən skanerlər qurulmalıdır.

Dərs 5: Kriptoqrafiya — Simmetrik və Asimmetrik Şifrələmə Metodları

Kriptoqrafiya — məlumatları icazəsiz şəxslərdən gizlətmək və qorumaq üçün riyazi üsullarla oxunmaz formaya salmaq elmidir. Müasir rəqəmsal dünya tamamilə kriptoqrafiyanın iki əsas qolu üzərində bərqərar olub.

1. Simmetrik Şifrələmə (Symmetric Encryption)

Məlumatın şifrələnməsi (Encryption) və şifrəsinin açılması (Decryption) prosesində **eyni gizli açardan** istifadə olunur. Çox sürətlidir və böyük həcmli dataların qorunması üçün idealdır.

• Ən populyar alqoritm: AES (Advanced Encryption Standard). Bu gün bank sistemləri və hərbi strukturlar AES-256 standartından istifadə edirlər və bu şifrəni sındırmaq mövcud super-kompüterlərlə milyardlarla il çəkir.
• Əsas problemi: Gizli açarı qarşı tərəfə təhlükəsiz şəkildə necə ötürmək olar? Əgər açar ələ keçsə, bütün sistem çökür.

2. Asimmetrik Şifrələmə (Asymmetric Encryption)

Bu problem asimmetrik kriptoqrafiya ilə həll olunur. Burada riyazi olaraq bir-birinə bağlı iki fərqli açar var:

• Public Key (Açıq Açar): Hər kəsə açıqdır. Məlumatları yalnız şifrələmək üçün istifadə olunur.
• Private Key (Gizli Açar): Yalnız sahibində qalır. Public key ilə şifrələnmiş məlumatı yalnız bu gizli açarla açmaq olar.
• İstifadə sahəsi: RSA, ECC alqoritmləri. HTTPS (SSL/TLS) bağlantılarında ilk əlaqə qurularkən və rəqəmsal imzalarda geniş istifadə olunur.

Dərs 6: Veb Boşluqları — SQL Injection (SQLi) və Data Oğurluğu

SQL Injection — veb proqramlaşdırma sahəsindəki ən qədim və ən dağıdıcı boşluqlardan biridir. Bu, proqramçının istifadəçidən gələn giriş məlumatlarını (məsələn, giriş pəncərəsindəki istifadəçi adı və ya axtarış sahəsi) kifayət qədər süzgəcdən keçirməməsi ucbatından yaranır.

Hücumun Mexanizmi:

Haker giriş formasına normal mətn yerinə verilənlər bazasının (Database) başa düşəcəyi xüsusi SQL sintaksisi daxil edir.

Zəif kod nümunəsi:

Haker istifadəçi adı yerinə ' OR '1'='1 daxil etdikdə, sorğu bu formaya düşür və verilənlər bazası şərti həmişə doğru (True) qəbul etdiyi üçün parolu yoxlamadan hakeri birbaşa admin panelinə daxil edir.

Nəticələri:

Haker bazadakı bütün istifadəçi cədvəllərini çəkə bilər (Data Exfiltration), yeni verilənlər əlavə edə bilər və ya bütün bazanı silə bilər.

Müdafiə:

Heç vaxt istifadəçi daxiletmələri birbaşa SQL sorğusuna birləşdirilməməlidir. **Prepared Statements (Parametrized Queries)** və ya müasir ORM kitabxanalarından istifadə edilməlidir.

Dərs 7: Veb Boşluqları — Cross-Site Scripting (XSS)

SQL Injection-dan fərqli olaraq, Cross-Site Scripting (XSS) hücumları birbaşa verilənlər bazasını deyil, həmin veb-sayta daxil olan **digər günahsız istifadəçilərin brauzerlərini** hədəf alır.

XSS Necə İşləyir?

Haker veb saytdakı rəy yazma, profil adı dəyişmə kimi bölmələrə zərərli **JavaScript** kodları yerləşdirir. Əgər sayt bu kodu təmizləmədən (sanitize etmədən) saxlayırsa, digər istifadəçilər həmin rəb bölməsinə daxil olduqda kod onların brauzerində gizlicə işə düşür.

Növləri:

• Stored XSS (Daimi): Zərərli skript verilənlər bazasında saxlanılır və səhifəyə daxil olan hər kəsə təsir edir.
• Reflected XSS (Müvəqqəti): Zərərli kod xüsusi link vasitəsilə qurbana göndərilir və klikləndiyi an icra olunur.

Təhlükəli Ssenari:

Bu kiçik sətir istifadəçinin saytdakı aktiv oturumunu saxlayan **Session Cookie** tokenini hakerə ötürür. Haker parolu bilmədən sizin hesabınıza tam daxil ola bilir.

Müdafiə:

Gələn bütün məlumatlar HTML Entity Encoding-dən keçirilməli (məsələn, `<` işarəsi `&lt;`-ə çevrilməlidir) və cookie faylları üçün **HttpOnly** flag-i aktiv edilməlidir.

Dərs 8: Giriş Nəzarəti və Avtomatlaşdırılmış Şifrə Hücumları

Şifrələr hələ də rəqəmsal şəxsiyyətimizi qoruyan əsas qapılardır, lakin hakerlər bu qapıları qırmaq üçün əllə təxmin etmirlər. Onlar saniyədə milyonlarla kombinasiya sınayan güclü alətlərdən (John the Ripper, Hydra, Hashcat) istifadə edirlər.

Şifrə Sındırma Strategiyaları:

• Brute Force (Kobud Güc Hücumu): Riyazi olaraq mümkün olan bütün simvol, rəqəm və hərf birləşmələrini sırayla sınayır. Qısa və sadə parollar (məs. 5 simvollu) bir neçə saniyəyə sındırılır.
• Dictionary Attack (Lüğət Hücumu): Dünyada ən çox istifadə edilən parolların (123456, password, qwerty, iloveyou) daxil olduğu böyük lüğət faylları (Wordlists) vasitəsilə sürətli yoxlama aparır.
• Credential Stuffing: Hakerlər hər hansı bir kiçik saytdan sızdırdıqları e-poçt və şifrə kombinasiyalarını avtomatik olaraq bank, Netflix və ya sosial media saytlarında yoxlayırlar, çünki insanların çoxu eyni şifrəni hər yerdə istifadə edir.

Sistem Səviyyəli Müdafiə:

Ardıcıl 3 və ya 5 uğursuz giriş cəhdindən sonra hesabı müvəqqəti bloklayan **Rate Limiting** və ya Captcha sistemləri qurulmalıdır.

Dərs 9: Çoxfaktorlu Kimlik Doğrulaması (MFA) və İdentifikasiya

Müasir dünyada yalnız şifrə ilə qorunmaq tamamilə qeyri-mümkündür. Çünki şifrə sızdırıla, təxmin edilə və ya fişinqlə oğurlana bilər. Bu səbəbdən **MFA (Multi-Factor Authentication)** təhlükəsizlik üçün məcburi hala gəlib.

İdentifikasiyanın 3 Əsas Sütunu:

1. Bildiyiniz bir şey (Something you know): Şifrəniz, PİN kodunuz və ya gizli sualınız.
2. Sahib olduğunuz bir şey (Something you have): Mobil telefonunuz, fiziki USB təhlükəsizlik açarınız (YubiKey) və ya autentifikasiya tətbiqiniz (Google Authenticator).
3. Olduğunuz bir şey (Something you are): Biometrik məlumatlarınız — barmaq iziniz, FaceID, göz qüzehi qişanız.

SMS yoxsa Authenticator?

SMS vasitəsilə gələn 2FA kodları artıq mükəmməl təhlükəsiz hesab olunmur, çünki hakerlər **SIM Swapping (SİM kartın kopyalanması)** texnikası ilə sizin nömrənizi öz kartlarına köçürə bilərlər. Zaman əsaslı birdəfəlik kodlar (TOTP) istehsal edən tətbiqlər (Google/Microsoft Authenticator) daha etibarlıdır.

Dərs 10: Firewall (Təhlükəsizlik Divarı) Arxitekturası və WAF

Firewall — daxili təhlükəsiz şəbəkə ilə xarici qeyri-təhlükəsiz şəbəkə (İnternet) arasında yerləşən və əvvəlcədən təyin edilmiş qaydalara (Ruleset) əsasən gələn-gedən paketləri süzgəcdən keçirən cihaz və ya proqram təminatıdır.

Nəsillərinə görə Firewall Növləri:

• Packet Filtering (Paket Süzgəcləmə): İlk nəsil firewall-dur. Paketlərin məzmununa baxmır, yalnız Mənbə IP, Hədəf IP və Port nömrələrinə (məs. Port 80, Port 443) görə icazə verir və ya bloklayır.
• Stateful Inspection: Şəbəkə bağlantısının vəziyyətini yadda saxlayır. Paketlərin yalnız tək-tək parametrlərinə deyil, mövcud qanuni seansa aid olub-olmadığına nəzarət edir.
• NGFW (Next-Generation Firewall): Müasir sistemlərdir. Paketlərin daxilini dərindən araşdırır (Deep Packet Inspection), istifadəçiləri və tətbiqləri tanıyır, daxili IPS moduluna sahib olur.
• WAF (Web Application Firewall): Xüsusi olaraq OSI modelinin 7-ci (Application) qatında işləyir. Veb serverlərin önünə qoyulur və SQLi, XSS kimi birbaşa saytları hədəf alan tətbiq səviyyəli hücumları bloklayır.

Dərs 11: Şəbəkə Gözətçiləri — IDS və IPS Sistemləri

Firewall şəbəkə qapısındakı mühafizəçidirsə, IDS və IPS sistemləri binanın daxilində hərəkət edən şübhəli şəxsləri təqib edən ağıllı təhlükəsizlik kameralarıdır.

1. IDS (Intrusion Detection System) — Sızma Aşkarlama Sistemi

Şəbəkə trafikinin bir nüsxəsini (Mirror traffic) qəbul edir və analiz edir. Əgər məlum bir haker hücumunun izinə rast gələrsə (Signature-based) və ya şəbəkədə qəfil anomal bir aktivlik görərsə (Anomaly-based), **yalnız sistem administratoruna xəbərdarlıq (Alert) göndərir.** Trafikə müdaxilə edib onu kəsmir.

2. IPS (Intrusion Prevention System) — Sızmanın Qarşısını Alma Sistemi

Şəbəkə xəttinin birbaşa üzərində (In-line) yerləşir. Hücumu aşkar etdiyi eyni milisaniyədə **avtomatik olaraq müdaxilə edir**, zərərli paketi bloklayır və hücum edən IP ünvanı ilə əlaqəni tamamilə kəsir.

Analiz Metodları:

Hər iki sistem iki üsulla işləyir: **İmza əsaslı** (əvvəllər bilinən virusların verilənlər bazası ilə müqayisə) və **Anomaliya əsaslı** (süni intellekt vasitəsilə normal şəbəkə davranışından kənara çıxmaların təyini).

Dərs 12: Zero-Day (Sıfırıncı Gün) Boşluqları və Yama İdarəetməsi

Zero-Day — bir proqram təminatında, əməliyyat sistemində və ya aparatda mövcud olan, lakin istehsalçının (Microsoft, Apple, Cisco) hələ xəbəri olmadığı və buna görə də hər hansı bir təhlükəsizlik yamasının (Patch) mövcud olmadığı boşluqlara deyilir.

"Sıfırıncı Gün" Adı Haradan Gəlir?

Bu o deməkdir ki, proqramın yaradıcısının bu problemi həll etmək üçün tam olaraq **0 günü** olub. Hakerlər bu boşluqları kəşf etdikdə gizli saxlayırlar və qara bazarda (Dark Web) milyonlarla dollara satırlar.

Hücum Ssenarisi:

Haker dövlət əhəmiyyətli bir quruma qarşı Zero-day boşluğundan istifadə edir. Antiviruslar və Firewall-lar bu hücumu tanıya bilmir, çünki sistemlərində bu təhlükəyə aid heç bir "imza" və ya qayda yoxdur.

Müdafiə Konsepti:

Zero-day hücumlarından qorunmaq üçün sistemlərin davranışını izləyən **Sandbox** (izolyasiya olunmuş test mühiti) texnologiyalarından və mütəmadi yama idarəetməsindən (Patch Management) istifadə edilməlidir.

Dərs 13: Kali Linux və Professional Sızma Testi Mərhələləri

Sızma Testi (Penetration Testing və ya Pentest) — bir şirkətin kiber müdafiəsini gücləndirmək üçün icazəli şəkildə həyata keçirilən real haker hücumu simulyasiyasıdır. Bu məqsədlə ən çox istifadə olunan əməliyyat sistemi daxilində yüzlərlə kiber alət olan **Kali Linux**-dur.

Beynəlxalq Pentest Mərhələləri:

1. Information Gathering (Kəşfiyyat): Hədəf şirkət haqqında internetdən, sosial şəbəkələrdən subdomenlərin, IP ünvanlarının və e-poçtların tapılması (OSINT).
2. Vulnerability Scanning (Skan etmə): `Nmap` aləti ilə hədəf serverlərdə hansı portların açıq olduğu və hansı proqram versiyalarının işlədiyi yoxlanılır. Boşluqlar skan edilir (`Nessus`).
3. Exploitation (Sızma): Tapılan boşluqlardan istifadə edərək sistemə real giriş əldə edilir. Bunun üçün xüsusi eksploytlar (`Metasploit` freymvorku) işə salınır.
4. Post-Exploitation (Sistemdə Qalma): Sistem daxilində yetkilərin artırılması (Privilege Escalation - sadə istifadəçidən Admin/Root səviyyəsinə qalxma) və gizli giriş qapılarının qoyulması.
5. Reporting (Hesabatlılıq): Ən kritik mərhələdir. Tapılan bütün boşluqlar və onların həlli yolları sənədləşdirilərək şirkət rəhbərliyinə təqdim olunur.

Dərs 14: Kabelsiz Şəbəkə Təhlükəsizliyi — WEP, WPA2 və WPA3 fərqləri

Wi-Fi şəbəkələri məlumatları hava dalğaları vasitəsilə ötürdüyü üçün fiziki divarları aşır və kənardan hər bir haker üçün əlçatan olur. Bu səbəbdən kabelsiz trafikin güclü şifrələnməsi vacibdir.

Təkamül Standartları:

• WEP (Wired Equivalent Privacy): İlk Wi-Fi təhlükəsizlik protokoludur. Riyazi alqoritmindəki ciddi səhvlərə görə bu gün Kali Linux-dakı sadə alətlərlə cəmi 2-3 dəqiqə ərzində tamamilə sındırıla bilir. İstifadəsi qəti qadağandır.
• WPA2 (Wi-Fi Protected Access 2): Hazırda dünyada ən çox istifadə olunan standartdır. AES şifrələməsindən istifadə edir. Lakin 4-yollu əlaqə qurma (4-way Handshake) prosesi zamanı ötürülən paketlər haker tərəfindən havadan tutula (Aircrack-ng ilə) və oflayn rejimdə brute-force ilə sındırıla bilər. Həmçinin KRACK hücumuna qarşı həssasdır.
• WPA3: Ən son və ən təhlükəsiz standartdır. **SAE (Simultaneous Authentication of Equals)** protokolundan istifadə edir. Şifriniz zəif olsa belə, hakerlərin kənardan paket tutaraq lüğət hücumları etməsinin qarşısını tamamilə alır və hər sessiya üçün fərqli şifrələmə açarları təyin edir.

Dərs 15: Bulud Təhlükəsizliyi (Cloud Security) və Paylaşılan Məsuliyyət Modeli

Şirkətlərin öz fiziki serverlərindən Amazon Web Services (AWS), Microsoft Azure və Google Cloud kimi bulud infrastrukturlarına köçməsi kiber təhlükəsizliyin qaydalarını dəyişdirdi.

Paylaşılan Məsuliyyət Modeli (Shared Responsibility Model)

Buludda təhlükəsizlik tək tərəfli deyil. Öhdəliklər iki hissəyə bölünür:

1. Bulud provayderinin məsuliyyəti (Security OF the Cloud): Provayder serverlərin yerləşdiyi fiziki məlumat mərkəzlərinin (Datacenter) mühafizəsinə, elektrik kəsintilərinə, hiperviziatorların və fiziki şəbəkə infrastrukturunun qorunmasına cavabdehdir.
2. Müştərinin (Sizin) məsuliyyəti (Security IN the Cloud): Bulud daxilində qurduğunuz virtual maşınların əməliyyat sistemlərinin yenilənməsi, verilənlər bazasının şifrələnməsi, giriş parolları, İAM (Identity and Access Management) siyasəti və veb kodlarınızın təhlükəsizliyi tamamilə sizə aiddir. Buludda olan datanın sızması 95% hallarda müştərinin səhv konfiqurasiyasından qaynaqlanır.

Dərs 16: VPN (Virtual Private Network) Texnologiyası və Tunelləmə

VPN — ictimai və qeyri-təhlükəsiz şəbəkələr (məsələn, kafe Wi-Fi-ı və ya ümumi internet) üzərindən məlumatların tamamilə şifrələnmiş gizli bir tunel vasitəsilə ötürülməsini təmin edən texnologiyadır.

İş Principi və Tunelləmə:

Kompüterinizdən çıxan hər bir internet paketi normalda provayderiniz (İSP) tərəfindən görünür. VPN aktiv edildikdə isə, məlumatlar hələ kompüteri tərk etmədən güclü kriptoqrafiya ilə kapsullaşdırılır (Encapsulation). Bu şifrəli paket yalnız VPN serverinə çatdıqda açılır.

VPN Müdafiəsinin Üstünlükləri:

• Real IP ünvanınız gizlədilir, internetdə hədəf serverlər yalnız VPN serverinin IP-sini görür.
• İctimai Wi-Fi şəbəkələrində mövcud ola biləcək "Ortadakı Adam" (MitM) hücumçuları sizin trafiki tutsalar belə, yalnız mənasız şifrəli simvollar görəcəklər.
• Professional protokollar: OpenVPN, WireGuard (ən müasir və sürətli olanı) və IPsec.

Dərs 17: Kiber Hüquq və İnsidentlərə Cavab Mexanizmi (Incident Response)

Nə qədər güclü müdafiə qursanız da, bir gün şirkətiniz kiber hücuma məruz qala bilər. Belə kritik anlarda panikaya düşməmək üçün əvvəlcədən hazırlanmış **İnsidentə Cavab Planı (Incident Response Playbook)** tətbiq olunmalıdır.

Beynəlxalq SANS İnstitutuna görə 6 Addım:

1. Preparation (Hazırlıq): Hücum baş vermədən əvvəl bütün təhlükəsizlik alətlərinin sazlanması və komandanın formalaşdırılması.
2. Identification (Aşkarlama): Hücumun növünü (Ransomware, DDOS, Data sızması) və hansı sistemlərə təsir etdiyini loqlar vasitəsilə sürətlə müəyyən etmək.
3. Containment (Təcridetmə): Ən kritik mərhələdir. Yoluxmuş serverlər və kompüterlər dərhal lokal şəbəkədən və internetdən təcrid edilir ki, virus digər sistemlərə yayılmasın.
4. Eradication (Təmizləmə): Şəbəkədən hakerin arxa qapıları (Backdoors), zərərli kodları və troyanları tamamilə silinir.
5. Recovery (Bərpaetmə): Təmizliyindən əmin olunan sistemlər ehtiyat nüsxələrdən (Backup) geri yüklənir və istehsalata qaytarılır.
6. Lessons Learned (Çıxarılan Dərslər): Hücum analiz edilir, buraxılan səhvlər müzakirə olunur və gələcəkdə təkrarlanmaması üçün firewall qaydaları yenilənir.

Dərs 18: SOC (Security Operations Center) — 24/7 Kiber Monitorinq

SOC (Təhlükəsizlik Əməliyyatları Mərkəzi) — bir təşkilatın kiber təhlükəsizlik vəziyyətini fasiləsiz olaraq (24/7/365) monitorinq edən, qiymətləndirən və müdafiə edən mərkəzləşdirilmiş professional mütəxəssislər qrupudur.

SOC Daxilində Rolların Bölgüsü:

• Tier 1 Analyst (Təhlilçi): Gözü mütəmadi ekranlardadır. Təhlükəsizlik alətlərindən gələn minlərlə xəbərdarlığı (Alerts) filtr edir, saxta siqnalları (False Positive) ayırır və real təhdidləri Tier 2-yə ötürür.
• Tier 2 Responder (Müdaxiləçi): Təsdiqlənmiş real kiber insidentlərin dərindən araşdırılması və onların dərhal lokallaşdırılması (Təcrid edilməsi) ilə məşğul olur.
• Tier 3 Threat Hunter (Təhdid Ovçusu): Sistemlərdə hələ heç bir siqnal (alarm) verməyən, gizli fəaliyyət göstərən təkmil haker qruplarını (APT) tapmaq üçün şəbəkə loqlarında proaktiv "ovçuluq" edir.
• SOC Manager: Bütün komandanın işinə, kiber insident hesabatlarına və kənar strukturlarla əlaqəyə cavabdehdir.

Dərs 19: SIEM Sistemləri və Loq Korrelyasiyasının Gücü

Böyük bir şirkətdə minlərlə kompüter, yüzlərlə server, firewall və antivirus mövcuddur. Hər bir cihaz saniyədə yüzlərlə fəaliyyət loqu (Log) yaradır. İnsan gözü ilə bu milyonlarla sətir mətndə haker sızmasını tapmaq imkansızdır. Burada köməyə **SIEM (Security Information and Event Management)** gəlir.

SIEM Sisteminin Funksiyaları:

1. Log Collection (Məlumat Toplama): Şəbəkədəki bütün cihazlardan loqları mərkəzi bazaya yığır.
2. Correlation (Korrelyasiya): SIEM-in əsl beynidir. Müxtəlif cihazlardan gələn fərqli hadisələri bir-biri ilə əlaqələndirir.

Real Korrelyasiya Qaydası Ssenarisi:

Əgər SIEM eyni anda bu hadisələri görərsə alarm işə düşür:

"Linux serverində ardıcıl 20 uğursuz SSH giriş cəhdi (Firewall loqu) + 1 saniyə sonra uğurlu giriş (OS loqu) + 5 dəqiqə sonra xaricə 50 GB data transferi (Şəbəkə loqu)." SIEM bu fərqli nöqtələri birləşdirərək SOC komandasına dərhal kritik "Sistem sındırıldı!" xəbərdarlığı göndərir.

Dərs 20: Süni İntellekt (AI) Kiber Təhlükəsizlikdə — İki Tərəfli Silah

Süni İntellekt (AI) və Maşın Öyrənməsi (ML) kiber mühitdə həm müdafiəçilər, həm də kibercinayətkarlar üçün inqilabi imkanlar yaradıb.

1. Hakerlərin AI Silahları:

• Təkmil Fişinq: AI (məs. LLM modelləri) vasitəsilə sıfır qrammatik səhvlə, hədəfin dilinə tam uyğun və inanılmaz dərəcədə inandırıcı manipulyasiya mətnləri avtomatik generasiya olunur.
• Deepfake Fırıldaqçılığı: Şirkət rəhbərlərinin (CEO) səsi və video görüntüsü real vaxt rejimində təqlid edilərək maliyyə şöbəsindən kənar hesablara milyonlarla manat vəsait köçürülməsi tələb olunur.
• Polimorfik Zərərli Kod: AI hər dəfə antivirusa yaxalanmamaq üçün öz strukturunu və imzasını dəyişən zərərli proqram kodları yaza bilir.

2. Müdafiəçilərin AI Qalxanı:

Müasir EDR və SIEM sistemləri AI alqoritmləri ilə təchiz edilib. Onlar şəbəkədəki milyardlarla hərəkəti real vaxtda analiz edir və insan operatorların fərq edə bilməyəcəyi incə anomal haker hərəkətlərini sıfırıncı saniyədə təyin edib avtomatik bloklayırlar.

Dərs 21: DevSecOps — Təhlükəsiz Proqram Təminatı Yaradılması

Köhnə proqramlaşdırma modellərində (Waterfall, Agile) təhlükəsizlik ən sonda — proqram tam hazır olduqdan sonra yoxlanılırdı. Bu isə layihənin arxitekturasında ciddi boşluqlar tapıldıqda hər şeyi yenidən yazmaq məcburiyyəti və böyük maddi zərər yaradırdı. **DevSecOps** bu problemi kökündən həll etdi.

Şüar: "Shift Left" (Sola Sürüşmə)

DevSecOps təhlükəsizliyi proqram təminatının yaradılmasının **ilk gününə, yəni ən sol mərhələsinə** gətirir. Kodun hər sətiri yazıldıqca avtomatik testlərdən keçir.

CI/CD Boru Xəttinə (Pipeline) İnteqrasiya Edilən Alətlər:

• SAST (Static Application Security Testing): Proqram işə salınmadan, onun kod sətirlərini skan edərək potensial SQLi və ya XSS səhvlərini proqramçıya bildirir.
• DAST (Dynamic Application Security Testing): Proqram işlək vəziyyətdə ikən ona kənardan avtomatik haker hücumları simulyasiya edərək boşluqları yoxlayır.

Dərs 22: IoT (Əşyaların İnterneti) Cihazları və Botnet Təhlükəsi

Ağıllı kameralar, soyuducular, tibbi avadanlıqlar, marşrutlaşdırıcılar və ağıllı ev sistemləri (IoT) həyatımızı asanlaşdırsa da, kiber aləmdə böyük təhlükə mənbəyidir.

IoT Cihazları Niyə Zəifdir?

Bu cihazların istehsalçıları qiyməti ucuz tutmaq üçün onların daxilinə güclü prosessorlar yerləşdirmirlər, bu isə daxili şifrələmə və firewall-ların qurulmasını qeyri-mümkün edir. Ən acınacaqlısı, əksər IoT cihazları zavod tərəfindən təyin edilmiş standart parollarla (`admin / admin`, `root / 12345`) internetə buraxılır.

Mirai Botnet və Zombi Ordusu:

Hakerlər skanerlər vasitəsilə internetdə parolu dəyişdirilməyən milyonlarla ağıllı kameranı saniyələr içində tapır və öz zərərli kodları ilə yoluxdururlar. Bu cihazlar normal fəaliyyətinə davam edir, lakin eyni zamanda hakerin gizli **Zombi Botnet** ordusuna çevrilir. 2016-cı ildə Mirai botneti bu üsulla dünya internet nəhənglərini (Twitter, Netflix) DDoS hücumu ilə tamamilə çökdürmüşdü.

Dərs 23: Data Loss Prevention (DLP) — Şirkət Məlumatlarının Sızmasının Qarşısı

Kiber təhlükəsizlik yalnız kənardan gələn hakerlərdən qorunmaq deyil. Çox vaxt ən böyük zərər şirkətin daxilindəki işçilər (Insider Threat) tərəfindən qəsdən və ya səhlənkarlıq ucbatından vurulur. **DLP (Məlumat Sızmasının Qarşısının Alınması)** daxili datanı qoruyan əsas sistemdir.

DLP Necə İşləyir?

DLP proqram təminatı şirkət kompüterlərində və şəbəkəsində hərəkət edən məlumatları skan edir. O, xüsusi qaydalar (RegEx şablonları) vasitəsilə məlumatların daxilində kredit kartı nömrələri, şəxsiyyət vəsiqəsi seriyaları və ya "Məxfi" nişanı olan sənədləri tanıyır.

Bloklama Ssenariləri:

• Əgər bir işçi şirkətin müştəri bazasını şəxsi USB flaş kartına köçürmək istəsə, DLP prosesi dərhal bloklayır.
• Kritik mənbə kodlarının (Source Code) Telegram və ya şəxsi e-poçt vasitəsilə kənara göndərilməsi cəhdlərinin qarşısı avtomatik alınır və rəhbərliyə hesabat yönləndirilir.

Dərs 24: Zero Trust (Sıfır Etibar) Memarlığı — Müasir Müdafiə Konsepti

Köhnə ənənəvi təhlükəsizlik modeli "Qala və Xəndək" (Castle and Moat) prinsipinə əsaslanırdı: Şirkət şəbəkəsinin kənarında güclü firewall qrulurdu və şəbəkənin daxilində olan hər kəsə avtomatik güvənilirdi. Lakin haker bir dəfə daxilə sızdıqda bütün sistemi maneəsiz ələ keçirirdi. Müasir dövrün modeli isə **Zero Trust (Sıfır Etibar)** memarlığıdır.

Zero Trust-ın 3 Qızıl Sürəti:

1. Heç vaxt etibar etmə, həmişə doğrula (Never Trust, Always Verify): İstifadəçinin şirkət binasının daxilində və ya kənarda olmasından asılı olmayaraq, hər bir resursa (fayla, serverə) qoşulmaq istədikdə onun kimliyi, cihazının sağlamlıq vəziyyəti yenidən ciddi şəkildə yoxlanılmalıdır.
2. Minimum Giriş Hüququ Siyasəti (Least Privilege Access): Heç bir işçiyə işi üçün lazım olandan artıq yetki verilməməlidir. Mühasib proqramlaşdırma serverlərinə, proqramçı isə kadrlar şöbəsinin datasına daxil ola bilməməlidir.
3. Sızmanı qəbul et (Assume Breach): Sistem sanki artıq sındırılıbmış kimi idarə olunmalı, şəbəkə kiçik seqmentlərə bölünməlidir (Microsegmentation) ki, haker bir kompüteri ələ keçirdikdə digərlərinə keçə bilməsin.

Dərs 25: Rəqəmsal İz (Digital Footprint) və OSINT Təhlükəsi

İnternetdə, sosial şəbəkələrdə keçirdiyimiz hər saniyə, paylaşdığımız hər bir şəkil, rəy, bəyənmə və qeydiyyatdan keçdiyimiz saytlar bizim **Rəqəmsal İzimizi (Digital Footprint)** formalaşdırır. Bu izlər silinmir və hakerlər üçün mükəmməl kəşfiyyat mənbəyidir.

OSINT (Open Source Intelligence) nədir?

OSINT — hər kəsə açıq olan mənbələrdən (Google, LinkedIn, Facebook, dövlət reyestrləri) qanuni yollarla məlumat toplama sənətidir. Peşəkar hakerlər bir şirkətə və ya şəxsə hücum etməzdən əvvəl həftələrlə OSINT analizi aparırlar.

Təhlükəli Zəncir:

Siz sosial şəbəkədə ev heyvanınızın şəklini "Mikki" başlığı ilə paylaşırsınız, LinkedIn-də işlədiyiniz şirkəti və vəzifənizi qeyd edirsiniz. Haker bu məlumatları toplayır, sizin parolları bərpa etmə bölməsindəki "Ev heyvanınızın adı?" gizli sualına "Mikki" yazaraq hesabınızı ələ keçirir. Rəqəmsal gigiyenanın ən ali qaydası — internetdə özünüz və yaxınlarınız haqqında minimum kritik məlumat paylaşmaqdır.