RED TEAM NEDİR?

Şirkete Saldırmak İçin Para Alan Adamlar: Red Team Nedir?

Bir düşünün: Size “şu bankaya gir, sistemlerini ele geçir, kimse fark etmeden çık” dense ne hissedersiniz? Çoğu insan bunu bir suç filmi sahnesi olarak düşünür. Ama siber güvenlik dünyasında bunun görevi olan insanlar var — ve üstelik tamamen yasal. 

İşte bunlara Red Team diyoruz.

Ordudan Siber Dünyaya Uzanan Bir Kavram

“Red Team” kavramı aslında siber güvenliğin icadı değil. Kökleri soğuk savaş dönemine, ABD ordusunun savaş tatbikatlarına kadar uzanıyor. O dönemde tatbikatlarda bir grup “düşman kuvvetleri” oynuyor, diğer grup ise savunmayı üstleniyordu. Kırmızı takım saldırıyor, mavi takım savunuyordu.

Siber güvenlik bu metaforu olduğu gibi benimsedi. Bugün:

Red Team: Saldırganları simüle eden ekip

Blue Team: Savunma, izleme ve müdahale ekibi

Purple Team: İkisinin iş birliği yaptığı hibrit yaklaşım

“Pentest ile Aynı Şey Değil Mi?” — Değil

Bu soruyu çok duyacaksınız. Aralarında fark var, hem de ciddi bir fark.

Penetration Test (Pentest): Belirli bir sistemi, uygulamayı ya da ağı test eder. Kapsam bellidir, süre kısıtlıdır. “Şu web uygulamasında açık var mı bak” der, size bir liste verir.

Red Team: Tüm kurumu hedef alır. Süre daha uzundur (bazen haftalar, bazen aylar). Amaç sadece teknik açıkları bulmak değil — insanları kandırmak, fiziksel alanlara sızmak, sosyal mühendislik yapmak dahil her türlü yöntemi denemek. Tıpkı gerçek bir saldırgan gibi düşünüp hareket etmek.

Pentest size “bu duvarda şu taş gevşek” der. Red team gelir, o taşı söker, içeri girer, kasayı açar, çıkar ve siz hâlâ fark etmezsiniz. Sonra rapor yazar.

Peki Bunlar Ne Yapar, Somut Olarak?

Red team operasyonları genellikle şu aşamalardan geçer:

1. Keşif (Reconnaissance) Şirkete dair her şeyi toplar. LinkedIn’de çalışanlar kimler? Şirketin hangi altyapısı dışarıya açık? DNS kayıtları ne diyor? Çöp kutusunda ne var? (Evet, fiziksel keşif de dahil.)

2. Silah Hazırlama (Weaponization) Elde edilen bilgilerle saldırı vektörleri hazırlanır. Phishing maili mi? Sahte VPN giriş sayfası mı? USB bellek mi?

3. Teslimat ve Sızma (Delivery & Exploitation) Hazırlanan “silah” hedefe ulaştırılır. Bir çalışan o phishing mailine tıklar mı? İçeriden biri bilinmeyerek zararlı USB’yi takar mı?

4. Yayılma (Lateral Movement) Sisteme girildi. Şimdi amaç: Daha derin, daha yetkili noktalara ulaşmak. Domain admin olabilir miyiz?

5. Hedef (Objective) Red team'in asıl amacına ulaşması: Kritik verilere erişim, sistemi çökertme kapasitesi veya ne belirlendiyse o.

Gerçek Bir Senaryo: Şirkete Fiziksel Olarak Sızmak 

Merak ediyorsunuzdur, sadece bilgisayar başında mı yapılıyor bunlar? Hayır. 

Bir red team operasyonunda görevli kişiler bazen ofis binasına girmeye çalışır. Kurye kılığına bürünürler, teknik servis personeli gibi davranırlar ya da sadece kendinden emin bir şekilde yürüyüp güvenlik görevlisinin yanından geçerler. Sosyal mühendislik burada başlı başına bir disiplin. 

Bir röportajda okumuştum: Red team üyesi, şirketin ofisine bakım teknisyeni kıyafetiyle girmiş, sunucu odasına ulaşmış, cihaza erişim sağlamış ve kimse fark etmeden çıkmış. Sonra bunu rapora yazmış. Müşteri hem şok olmuş hem de teşekkür etmiş. 

Çünkü bunu gerçek bir saldırgan da yapabilirdi. 

Blue Team Ne Yapıyor Peki? 

Red team saldırıyorsa, blue team savunuyor. Ağ trafiğini izliyorlar, anormal davranışları tespit ediyorlar, olaylara müdahale ediyorlar. SIEM sistemleri, EDR araçları, log analizi — bunların hepsi blue team’in silahları. 

Red team ile blue team arasındaki ilişki rekabet değil, aslında bir öğretme-öğrenme döngüsü. Red team bir açık bulduğunda, blue team bunu nasıl kapatacağını öğrenir. Blue team bir saldırıyı erkenden tespit ettiğinde, red team daha sofistike yöntemler geliştirmek zorunda kalır. 

Red Team’e Kim İhtiyaç Duyar? 

“Küçük şirketlerin buna ihtiyacı yok” diye düşünebilirsiniz. Ama fidye yazılımı saldırılarının büyük çoğunluğu küçük ve orta ölçekli işletmeleri hedef alıyor — çünkü onların savunmaları daha zayıf. 

Bununla birlikte, ciddi anlamda red team operasyonlarına en çok şu sektörler yatırım yapıyor:

fintech ve bankacılık, sağlık, savunma ve kamu kurumları, kritik altyapı.

Bu Alana Girmek İsteyenler İçin

Red team’de çalışmak istiyorsanız şunları bilmeniz gerekiyor: Bu alan hem teknik hem de yaratıcı bir zihin istiyor. Sadece araç kullanmayı bilen biri değil, neden bu aracın çalıştığını anlayan biri aranıyor.

Başlangıç noktaları olarak:

TryHackMe / HackTheBox → Pratik yapabilecek platformlar

CEH (Certified Ethical Hacker) → Giriş seviyesi sertifika

OSCP (Offensive Security Certified Professional) → Sektörde ciddiye alınan, zorlu bir sertifika

CTF yarışmaları → Capture The Flag, hem öğretici hem eğlenceli

Sonuç

Savunmayı gerçekten anlamak istiyorsanız, saldırıyı anlamak zorundasınız. Kötü niyetli bir aktörün gözünden bakabilmek, en iyi savunma stratejilerini doğuruyor.