2010'da Stuxnet İran'da nükleer santrifüjleri fiziksel olarak tahrip etti. 2016'da Industroyer Ukrayna elektrik şebekesini saatlerce karanlığa gömdü. 2017'de Triton Suudi Arabistan petrokimya tesisinde güvenlik sistemini hedef aldı. 2021'de Colonial Pipeline ABD doğu yakasında benzin krizine yol açtı. Kritik altyapı siber saldırıları artık akademik tehdit değil, son 15 yılın somut realitesidir. Türkiye'de USOM verilerine göre enerji sektörü siber saldırı denemelerinde sürekli ilk sıralarda.
Geleneksel siber güvenlik yaklaşımı IT odaklıdır — Defender for Endpoint, Defender for Office, antivirüs. Ancak SCADA, PLC, RTU gibi OT (Operasyonel Teknoloji) sistemleri farklı dünyadır: ajan kuralamaz, yamalanamaz (kesinti riski), eski protokoller (Modbus şifresiz), çoğu zaman 10-20 yıl önce tasarlandı. Microsoft Defender for IoT bu boşluğu pasif network monitoring ile doldurur. Bu rehber Türkiye kritik altyapı operatörleri için pratik mimari, üretici-spesifik dikkatler ve Sentinel entegrasyonunu anlatır.
1. IT vs OT Farkı — Neden Standart Defender Yetersiz
| Boyut | IT | OT |
| Öncelik | Gizlilik (Confidentiality) | Erişilebilirlik (Availability) |
| Yama döngüsü | Aylık | Yıllık veya nadir (kesinti riski) |
| Yaşam ömrü | 3-5 yıl | 15-25 yıl |
| Ajan kurulum | Mümkün | Genelde mümkün değil |
| Protokol | HTTPS, TLS 1.3 | Modbus (şifresiz), DNP3, IEC 61850 |
| Şifreleme | Standart | Çoğu zaman yok |
| Authentication | MFA, sertifika | Statik şifre, default credentials yaygın |
Bu farklar nedeniyle Defender for Endpoint OT cihazlarında çalışmaz, çalıştırılırsa sistemi tehlikeye atar. Defender for IoT pasif yaklaşımla — ağ trafiğini dinleyerek — OT cihazlarını izler.
2. Defender for IoT Mimarisi
Üç ana bileşen:
- Network Sensor (sahada) — TAP veya SPAN port üzerinden OT ağ trafiğini pasif dinler. Donanım veya sanal makine olarak çalışır.
- Cloud Connector — sensor verisini Azure'a şifreli iletir.
- Defender for IoT Portal (Azure) — envanter, anomaly tespit, incident yönetimi, Sentinel entegrasyon.
Pasif olduğu için OT cihazlarını etkilemez, üretim kesilmez. Trafik kopyası alınır, analiz edilir, anomaly varsa uyarı tetiklenir.
3. Üretici-Spesifik Açıklar ve İzleme
Defender for IoT çoğu OT üreticisinin protokollerini ve cihaz davranışlarını tanır:
- Siemens S7 (PLC) — TIA Portal komutları, function block çağrıları, anomaly bilinen Stuxnet vektörleri dahil
- ABB AC500 — Codesys protokolü, parametre değişiklikleri
- Schneider Modicon M580 — Modbus + Ethernet/IP
- Rockwell ControlLogix — EtherNet/IP, FactoryTalk
- GE Mark VIe (türbin kontrol) — özel GE protokolü
- Yokogawa CENTUM (DCS) — Vnet/IP
Microsoft Defender for IoT ekipleri CVE veritabanı + güvenlik bültenlerini sürekli izler, yeni açıklar tespit edildiğinde otomatik kural güncellemesi gönderir. Türk operatörün kendisinin bu güncelleme yükü yoktur.
4. Anomaly Tespit Senaryoları
Defender for IoT ML tabanlı anomaly tespiti tipik olarak şunları yakalar:
- Yetkisiz PLC programlama — TIA Portal benzeri yazılım sahaya çağrı yaparsa flag
- Anormal komut sıralaması — bir motora normalde gönderilmeyen sıra
- Yeni cihaz — onaylanmamış cihaz OT ağına katıldı
- Anormal trafik hacmi — sıradan günde 1 MB, ani 50 MB sızıntı şüphesi
- Bilinen CVE açığı kullanımı — Stuxnet, Industroyer benzeri imzalar
- Coğrafi anomaly — yurt dışı IP'den bağlantı denemesi
- Yan kanal saldırıları — geçerli komut ama anormal zamanlama
Her uyarı risk skoru ile gelir; yüksek risk Sentinel'a otomatik incident olarak akar.
5. Microsoft Sentinel Entegrasyonu (SIEM)
Defender for IoT alone bir parça çözümdür; tam değer Sentinel ile entegre edildiğinde ortaya çıkar:
- OT olayları + IT olayları + Office olayları tek SIEM'de
- Cross-domain saldırı tespiti (örn. phishing → IT açığı → OT'ye sıçrama)
- Otomatik playbook'lar — yüksek riskli OT olayında SOC bilgilendirme + ağ izolasyonu
- USOM bildirimleri ile entegrasyon
- 10-yıl audit log saklama (kritik altyapı için)
Tipik bir saldırı senaryosu: çalışana phishing e-postası → endpoint compromise → AD'de privilege escalation → OT ağına geçiş denemesi → Defender for IoT'de PLC yazılımı çalıştırma denemesi tespit edildi → Sentinel cross-correlation ile saldırı zinciri net görüldü → otomatik incident response.
6. USOM ve BTK Uyumu
Türkiye'de enerji sektörü kritik altyapı kabul edilir. USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve BTK düzenlemeleri kapsamında:
- Olay bildirim yükümlülüğü (24-72 saat)
- SOC ve SIEM kurulum beklentisi
- Periyodik sızma testi
- İncident response planı
- Eğitimli güvenlik personeli
Defender for IoT + Sentinel yapısı bu yükümlülüklerin teknolojik kısmını sağlar; organizasyonel uyum (politika, prosedür, eğitim) paralel kurulur.
7. Lisans ve Maliyet
Defender for IoT lisansı cihaz başına ücretlendirilir (yıllık). Tipik fiyatlama:
- 50 OT cihaz için aylık ~$300-500
- 500 cihaz için ~$2.000-3.000
- Network sensor donanımı bir kez (~$3.000-10.000/saha)
- Sentinel veri alma + saklama (loglara göre değişir, ~$1-5/GB)
Tipik orta ölçek RES operatörü için aylık toplam $1.500-3.000 bandında — kritik altyapı için sigorta primi olarak değerlendirilir. Tek bir Industroyer-vari saldırı milyon TL kayıp anlamına gelir.
8. Yaygın Hatalar ve Tuzaklar
- OT ağına IT izleme aracı kurmak — Defender for Endpoint OT cihazlarında çalışmaz, çalıştırılırsa kesinti riski
- Sadece Defender for IoT kurup Sentinel atlamak — anomaly görülür ama cross-domain analiz yapılmaz, gerçek saldırı zinciri kaçırılır
- Network sensor yanlış konuşlandırılır — yanlış SPAN port, eksik trafik görünürlüğü; saha ağ haritası net olmalı
- Default credential'lar düzeltilmeden bırakılır — PLC'lerde admin/admin yaygın. Defender for IoT bunu raporlar ama düzeltmek operatörde
- USOM bildirim akışı kurulmamış — incident olduğunda manuel telefon — yasal süre kaçırılabilir, otomatik akış zorunlu
Sonuç
Stuxnet ve Industroyer kritik altyapı siber tehdidini akademik konudan operasyonel realiteye dönüştürdü. Türkiye'de USOM ve BTK düzenlemeleri kritik altyapı operatörlerine artan yükümlülük getiriyor. Microsoft Defender for IoT pasif network monitoring ile SCADA, PLC, RTU gibi OT sistemlerini izler, üretici-spesifik açıkları tanır, ML tabanlı anomaly tespiti yapar. Microsoft Sentinel SIEM ile entegre edildiğinde IT-OT cross-domain saldırı zincirleri görünür hale gelir, USOM bildirim akışı otomatik kurulur. Kritik altyapı operatörleri için bu kombinasyon artık seçenek değil, sektör standardıdır.
Micro Bilgi Microsoft Yetkili Çözüm Ortağı (CSP) sıfatıyla enerji, su ve doğalgaz operatörlerine Defender for IoT mimari planlama, network sensor konuşlandırma, Sentinel SIEM entegrasyon ve USOM uyum yapılandırma hizmeti sunmaktadır. Enerji Sektörü için Microsoft 365 sayfamızı inceleyin veya ücretsiz kritik altyapı güvenlik değerlendirmesi (NDA ile) için iletişime geçin.
İlgili yazılar: SCADA + Power BI Entegrasyonu · Savunma Sanayi (kritik altyapı paralel)