Klasik brute-force saldırısı tek IP'den kısa sürede çok sayıda parola denemesi yapar. Credential stuffing ise aynı parola listesini çok sayıda IP'ye dağıtarak dener. Low-and-slow saldırılar saatler boyunca az sayıda deneme yapar. Oturum çalma girişimleri ise login başarılı olduktan sonra IP, kullanıcı ajanı veya davranış değişikliğiyle kendini gösterir. Bu saldırıların hepsini aynı rate-limit kuralıyla yakalamak gerçekçi değildir.
Yalnız IP bazlı lockout kullanılırsa dağıtık credential stuffing kaçabilir ve ortak ağdan gelen gerçek kullanıcılar haksız yere etkilenebilir. Yalnız kullanıcı bazlı lockout kullanılırsa saldırgan bilerek hesap kilitleme saldırısı yapabilir. Yalnız CAPTCHA kullanılırsa her login denemesi gereksiz sürtünmeye dönüşür ve kullanıcı deneyimi bozulur.
Birçok çözüm yalnızca login anına bakar. Oysa hesap ele geçirme riski login'den sonra da devam eder: parola değiştirme, e-posta değiştirme, ödeme aracı ekleme, API token üretme veya para transferi gibi hassas aksiyonlar yeni bağlamda geliyorsa bu post-login abuse sinyalidir. Bu davranış session binding ve step-up MFA ile birlikte değerlendirilmelidir.
Doğru yaklaşım, her saldırı sınıfı için uygun scope ve sinyal kombinasyonunu kullanmaktır. IP, username, username_ip ve composite scope'lar; bot skoru, failed-auth velocity, IP itibarı ve session binding uyumsuzluğu ile birlikte çalışmalıdır.
TR7 Hesap Ele Geçirme Koruması bu modeli sunar: WAAP trafik sinyallerini AAM erişim politikalarıyla birleştirir ve ATO riskini tek kural yerine çok katmanlı policy graph üzerinden yönetir.
TR7, ATO savunmasını çok sinyalli puanlama, saldırı sınıfına göre scope seçimi, kademeli eskalasyon ve AAM koordinasyonu ile uygular.
Bot skoru, failed-auth velocity, IP itibarı ve session binding uyumsuzluğu aynı karar hattında değerlendirilir. Böylece yalnızca IP veya yalnızca kullanıcı adı üzerinden değil, saldırının gerçek davranış biçimine göre karar alınır.
IP scope tek kaynaklı brute-force denemelerini, username scope dağıtık credential stuffing'i, username_ip scope hedefli saldırıları, composite scope ise IP, kullanıcı ajanı ve header kombinasyonlarını izlemek için kullanılır. Her scope kendi sayaç ve eşik davranışıyla çalışır.
İlk aşamada olay audit'e yazılır, ardından self-hosted CAPTCHA devreye alınır, son aşamada lockout uygulanır. Bu model saldırganı yavaşlatırken gerçek kullanıcı üzerindeki gereksiz sürtünmeyi azaltır.
WAAP trafik sinyalleri AAM lockout ve step-up MFA politikalarıyla birlikte çalışabilir. CAPTCHA eşiğine yaklaşan veya oturum bağlamı değişen kullanıcı için ek doğrulama tetiklenebilir.
Hesap Ele Geçirme Koruması, login öncesi trafik riskini, login başarısızlıklarını ve login sonrası oturum davranışını aynı koruma zincirinde toplar.
TR7, warning → CAPTCHA → lockout akışıyla ATO savunmasını kademeli hale getirir. Warning aşaması kullanıcıya sürtünme göstermeden audit izi üretir. CAPTCHA aşaması otomasyonu zorlar ve gerçek kullanıcıya kontrollü doğrulama sunar. Lockout aşaması ise belirli scope için deneme kapasitesini geçici olarak durdurur.
ATO saldırıları tek scope ile yakalanamaz. TR7 aynı endpoint üzerinde IP bazlı, kullanıcı adı bazlı, IP+kullanıcı adı bazlı ve composite scope politikalarını birlikte çalıştırabilir. Bu sayede tek IP brute-force, çok IP credential stuffing ve hedefli hesap saldırısı ayrı ayrı izlenir. Saldırgan bir scope'un altından geçse bile diğer scope davranışı yakalayabilir.
failedAuthAttempts tetikleyicisi, belirlenen zaman penceresinde başarısız denemeleri sayar. Bu sayaç kullanıcı, IP veya composite scope'a göre tutulabilir. Kısa pencereler hızlı brute-force denemelerini, uzun pencereler düşük hızlı ATO davranışını görünür hale getirir. Böylece yalnız toplam sayı değil, zaman içindeki deneme yoğunluğu da karara katılır.
TR7, kullanıcı ajanı analizi, IP itibarı, davranış analizi, şüpheli path, header fingerprint, protokol anomalileri, sinyal tutarsızlığı, Tor çıkışı, TLS fingerprint ve datacenter IP gibi faktörleri bot skoruna dahil edebilir. Skor belirli seviyeye ulaştığında CAPTCHA veya bloklama aksiyonu tetiklenebilir. Bu, login denemelerini yalnızca parola hatası olarak değil, otomasyon davranışı olarak da değerlendirir. ATO savunması böylece trafik kalitesini hesaba katar.
Open proxy, kötü bot, saldırı, keşif, spam ve VPN IP gibi IP itibar alt kategorileri ATO kararında risk sinyali olarak kullanılabilir. Bu kategoriler tek başına zorunlu bloklama üretmek zorunda değildir; bot skoru ve lockout politikalarıyla birlikte değerlendirilir. Bilinen kötü altyapıdan gelen login denemeleri daha erken sürtünmeye sokulabilir. Bu yaklaşım, false-positive riskini azaltmak için diğer sinyallerle birleşik çalışır.
Path hammering, rapid requests, yüksek 404 oranı, referer olmadan mutasyon isteği ve beklenmeyen HTTP method kullanımı login yüzeyinde risk sinyali olabilir. Bu göstergeler credential stuffing, account enumeration veya otomatik tarama davranışını ayırt etmeye yardımcı olur. Sinyaller tek başına değil, bot skoru ve failed-auth sayaçlarıyla birlikte değerlendirilir. Böylece saldırı yalnız parola hatalarından değil, trafik davranışından da anlaşılır.
CAPTCHA eşiği aşıldığında TR7 kendi challenge akışını devreye alabilir. Harici bir doğrulama servisine veri göndermeden kullanıcıya kontrollü meydan okuma sunulur. Yanlış CAPTCHA cevapları başarısız deneme sayacına eklenebilir ve eskalasyonu hızlandırabilir. Bu, veri yerleşimi ve regülasyon hassasiyeti olan kurumlar için daha kontrollü bir model sağlar.
TR7, WAAP bot ve lockout sinyallerini AAM erişim politikalarıyla koordine edebilir. CAPTCHA eşiğine yaklaşan, session binding anomalisi üreten veya hassas aksiyon yapan kullanıcı için step-up MFA tetiklenebilir. Bu yaklaşım, login anındaki riski post-login işlemlerde de taşır. Saldırgan doğru parolayı bilse bile ek doğrulama bariyeriyle karşılaşır.
Oturum IP, IP+kullanıcı ajanı veya composite bağlamla ilişkilendirilebilir. Login sonrası IP, kullanıcı ajanı veya bağlam değişimi beklenmeyen şekilde gerçekleşirse session binding anomalisi üretilebilir. Bu sinyal özellikle oturum çalma ve token reuse senaryolarında önemlidir. Hassas endpoint'lerde yeniden doğrulama veya ek kontrol tetiklenebilir.
attemptWindowDuration ile eski başarısız denemelerin ne kadar süre sayılacağı belirlenir. Kullanıcı bugün birkaç parola hatası yaptıysa, pencere süresi dolduğunda temiz davranışa geri dönebilir. Saldırgan ise aynı pencere içinde yeterli deneme biriktirdiğinde CAPTCHA veya lockout ile karşılaşır. Bu model güvenlik ile kullanıcı deneyimi arasında daha sağlıklı denge kurar.
Her login attempt için zaman, kaynak IP, kullanıcı ajanı, scope, policy ID ve sonuç bilgisi kaydedilebilir. Warning, CAPTCHA, lockout veya başarılı geçiş gibi sonuçlar olay incelemede ayrıştırılır. E-posta veya telefon gibi alıcı bilgileri maskelenerek audit'in ikinci bir veri sızıntısı kanalına dönüşmesi engellenir. SOC ekipleri saldırı akışını yapısal kayıtlarla takip eder.
Lockout süresi bittikten sonra karantina aksiyonu tanımlanmışsa istemci veya scope ek denetime alınabilir. Bu, saldırganın lockout süresi doldukça aynı denemeleri tekrar etmesini zorlaştırır. Karantina, klasik kilitleme davranışının ötesinde devam eden risk takibi sağlar. Uzun süreli ATO kampanyalarında faydalı bir ek katmandır.
ATO koruması; hazır policy presetleri, native sayaçlar, bot skor eğrisi, pool izolasyonu, composite scope ve AAM sayaç paylaşımıyla birlikte işletilir.
TR7, username, IP ve username_ip scope'ları için hazır lockout politika örnekleri sunabilir. Username scope daha uzun pencereyle credential stuffing'e, IP scope daha kısa pencereyle brute-force davranışına odaklanır. Tüm eşikler, süreler ve aksiyonlar servis ihtiyacına göre değiştirilebilir.
Başarısız login denemeleri hızlı sayaç yapılarıyla izlenir. Bu yaklaşım harici veritabanı çağrısına bağımlılığı azaltır ve login yolunda düşük gecikme sağlar. Cluster ortamında sayaçların eş düğüme replike edilmesi failover sonrası koruma sürekliliği için önemlidir.
Bot skoru düşük sinyallerde hassas, yüksek risk birikiminde doygun davranacak şekilde yorumlanabilir. Bu yaklaşım çok sayıda küçük sinyalin anlamlı riske dönüşmesini sağlar. Yeni sinyal eklendiğinde tüm politika eşiğini baştan tasarlama ihtiyacı azalır.
Her pool kendi traffic protection profiline bağlanabilir. Bir tenant veya servis üzerinde oluşan ATO sinyali başka tenant'ın sayaçlarını etkilemez. Bu izolasyon, çok kiracılı SaaS ve MSP senaryolarında kritik öneme sahiptir.
Composite scope; IP, kullanıcı ajanı, accept-language veya benzeri header bileşenlerini tek takip anahtarında birleştirebilir. Bu model, IP veya kullanıcı adı tek başına yeterli olmadığında daha bağlamlı takip sağlar. Rotating UA veya değişken istemci davranışlarında ek görünürlük sunar.
WAAP failed-auth sayaçları AAM lockout politikalarıyla koordine edilebilir. Saldırgan doğrudan farklı login endpoint'lerine yönelse bile aynı risk davranışı ortak sayaç ve politika hattında değerlendirilebilir. Bu, ATO korumasını yalnızca trafik katmanında değil, kimlik akışında da tutarlı hale getirir.
Bankacılık ekipleri login endpoint'lerinde IP scope ve SSL bağlantı davranışını birlikte izleyebilir. Belirli eşikler aşıldığında CAPTCHA, lockout veya AAM step-up MFA devreye alınır.
Çok sayıda IP'den düşük deneme yapan botlar IP scope altında görünmeyebilir. Username scope aynı hesapta biriken başarısız denemeleri yakalayarak hesap bazlı CAPTCHA veya lockout uygular.
CFO veya yönetici hesabına yönelik düşük sayıda ama odaklı denemeler username_ip veya composite scope ile izlenebilir. Risk yükseldiğinde AAM üzerinden step-up MFA tetiklenir.
Kullanıcı login olduktan hemen sonra IP veya kullanıcı ajanı beklenmedik şekilde değişirse session binding anomalisi üretilebilir. Para transferi, e-posta değişikliği veya token üretimi gibi aksiyonlarda yeniden doğrulama istenebilir.
Credential stuffing, brute-force, düşük hızlı deneme ve oturum çalma girişimlerine karşı entegre ATO savunması. Kendi servislerinizle canlı bir kurulumda gezdirelim.