Yaşayan Organizma · AI Red Team Tatbikatı

SOC ekiplerinizi gerçekçi APT senaryolarında ölçün.

Yaşayan organizasyon, Claude destekli saldırgan ve L1/L2/L3 ticket iş akışı ile bir araya gelen tatbikat platformu. Ekibinizin karar kalitesini, escalation doğruluğunu ve müdahale süresini ölçer.

Demo Talep Et Nasıl Çalışır
8Sektör Pilotu
120+Fake Çalışan
L1–L3Tier Workflow
12+SOC Monitor
Tasarım İlkesi

Script'li tatbikatın ötesinde.

Geleneksel tatbikat script'tir: "adım 1 phishing, adım 2 lateral". Simurge'de saldırgan kendi kampanyasını planlar, savunmaya göre adapte eder, her tatbikat benzersiz biter.

Yaşayan organizasyon

Tatbikat içinde 50–120 kişilik fake bir şirket çalışır: gerçek departmanlar, çalışma saatleri, farkındalık profilleri, e-posta ilişki grafı ve günlük iş akışları. Saldırgan AI bu organizmayı okur, en zayıf halkayı hedefler.

3 katmanlı AI saldırgan

Tatbikat başında kampanya planı üretilir. Her 20 tick'te plan gözden geçirilir, gerekirse adapte edilir. Her 3 tick'te bir taktik karar verilir. Savunmanın aksiyonlarına göre persona davranışı değişir.

AI Mimarisi

Stratejik plan. Operasyonel denetim. Taktik karar.

Gerçek bir APT kampanyası üç katmanda ilerler. Simurge üç katmanı da simüle eder.

1

Stratejik planlama

Kampanya adı, nihai hedef, birincil target, crown jewel'lar, faz yapısı ve başarı kriterleri tatbikat başında oluşturulur.

2

Operasyonel denetim

Her 20 tick'te plan durumu değerlendirilir. Savunma agresifse stealth moda geçilir, hedef değiştirilir veya faz atlanır.

3

Taktik karar

Her 3 tick'te bir hamle: phishing, lateral hareket, credential theft, data exfil. 11 giriş vektörü, 9 post-compromise tekniği.

Sektör Pilotları

Sekiz sektör, sekiz ayrı organizma.

Her pilot kendi regülasyonu, crown jewel sistemleri ve tehdit modeli ile gelir. Bankacılıktan sağlığa, enerjiden savunma sanayine, havacılıktan telekoma.

🏦

Simurge Bank

55 çalışan · BDDK & KVKK · SWIFT, SAP, Core Banking

Orta ölçekli özel banka. BEC, SWIFT fraud ve kredi kartı veri sızıntısı senaryolarına uygun.

Simurge Enerji

68 çalışan · ICS/OT · EPDK & USOM · SCADA/PLC/HMI

Elektrik üretim + kombine çevrim + hidroelektrik. Stuxnet, Triton ve Industroyer benzeri senaryolar.

✈️

Simurge Havayolları

80 çalışan · 24/7 ops · SHGM · Amadeus, DCS, AMOS

Bayrak taşıyıcı havayolu, IST hub. Pilot EFB phishing, DCS ransomware ve SITA tedarik zinciri senaryoları.

📡

Simurge Telekom

120 çalışan · BTK & KVKK · HSS, SS7, Diameter, LI

Mobil + sabit operatör. SIM swap fraud, SS7 intercept ve mass subscriber breach senaryoları.

🏥

Simurge Sağlık Grubu

95 çalışan · KVKK & SBSGM · HBYS, PACS, LIS, e-Reçete

Çok şubeli özel hastane grubu. Hasta dosyası ransomware, PACS görüntü manipülasyonu ve e-Reçete sahteciliği senaryoları.

🛢️

Simurge Doğalgaz

72 çalışan · EPDK & USOM · Kompresör, vana SCADA, ölçüm telemetrisi

Boru hattı + dağıtım. Vana sabotajı, kompresör manipülasyonu ve Colonial Pipeline benzeri ransomware senaryoları.

💻

Simurge Bilişim

60 çalışan · KVKK · GitHub, AWS, Kubernetes, SSO

SaaS şirketi. Secret leak, supply chain (npm/pip), CI/CD compromise ve K8s escape senaryoları.

🛡️

Anka Savunma Teknolojileri

140 çalışan · MSB & SSB · CAD, test menzili, SCIF, tedarikçi ağı

İHA + AR-GE. Engineering workstation kompromise, CAD veri sızıntısı, test verisi exfil ve tedarikçi supply chain senaryoları.

SOC Kokpiti

L1, L2, L3 — gerçek SOC iş akışı.

Junior analist ne zaman escalate etmeli? Senior hangi aksiyonları alabilir? Incident response ne zaman devreye girer? Simurge her kararı zamanla, doğrulukla ve playbook uyumuyla ölçer.

L1 · TRIAGE

Junior Analist

UEBA veya SIEM alert geldiğinde ilk değerlendirme. Kullanıcı doğrulama, ticket notu, küçük aksiyonlar.

  • SLA: 5–10 dakika
  • Yetki: Not, etiket, doğrulama talebi
L2 · INVESTIGATION

Senior Analist

L1'den gelen eskalasyonu derinleştirir. Host isolation, hesap kilitleme, memory dump; gerekirse L3'e yönlendirme.

  • SLA: 10–15 dakika
  • Yetki: IP block, account lock, isolation
L3 · RESPONSE

Olay Müdahale

Major incident yönetimi. Subnet isolation, regülatör bildirimi, executive brief, kök neden analizi.

  • SLA: 20–30 dakika
  • Yetki: Domain block, full DFIR

Her kapanan ticket otomatik puanlanır: doğru false positive mi, kritik tehdit kaçırıldı mı, escalation doğruluğu nedir, MTTR hedefi tutuyor mu. Tatbikat sonu raporunda analist bazlı performans tablosu.

SOC Araçları

12+ gerçekçi monitor.

Katılımcılar, günlük kullandıkları SOC araçlarına benzer arayüzlerde çalışır. Log akışı, IOC korelasyonu ve adli toplama bütçesi gerçek tatbikat koşullarını yansıtır.

SIEM Dashboard

Korelasyon, UEBA uyarıları, kural eşleşmeleri.

EDR Console

Endpoint process tree, şüpheli aktivite, isolation.

Firewall / IDS

Traffic analizi, kural engelleme, IOC drilldown.

Wireless IDS

Rogue AP, evil twin, deauth flood tespiti.

Signaling IDS

SS7/Diameter/SIP intercept, SIM swap anomaly.

SWIFT Alliance

MT103/MT202/MT940 akışı, 4-göz onayı.

DFIR Toolkit

PCAP, memory dump, disk imaging (bütçe kısıtlı).

Detection Engineering

Sigma kural yazma, MITRE challenge, F1 skoru.

Ticket System

L1/L2/L3 triage, playbook, SLA, quality scoring.

Tatbikat Döngüsü

Yaşayan şirketten rapora — 6 adımlık döngü.

Her adım birbirini tetikler. AI saldırır, takım yanıt verir, sonuçlar ölçülür.

🏢 01 Yaşayan Şirket AI çalışanlar organic kararlar verir. 8 pilot · 50–250 personel · 14 dept. 🎯 02 AI Saldırı Claude 3 katmanlı karar — phishing, CVE, lateral, fraud playbook tetiği. 🎫 03 SOC Ticket EDR/SIEM/UEBA → otomatik ticket L1 → L2 → L3 escalation, SLA tracking. 🛡️ 04 Threat Intel + Patch CVE alert → vulnerable kod → analist fix → AI değerlendirme. 🔍 05 Hunt Query SPL benzeri DSL, bağlamsal öneriler. Tier 3 hunter becerisi. ⚙️ 06 Aksiyon & Rapor 18 aksiyon (block, isolate, recall_swift). Tatbikat sonu Living Report.

Senaryo değil, gerçek bir döngü. Her adım otomatik tetiklenir; takımın aldığı kararlar saldırgana ve sonuçlara yansır.

Fraud Operations

SOC'un yanında ayrı bir savunma katmanı.

Banka ve telekom tatbikatlarında fraud ekibi de simüle edilir. Gerçek vakalardan türetilmiş senaryolar, alınan her kararın finansal ve müşteri etkisi raporda görünür.

Bangladesh Heist

SWIFT operatör compromise + BIC manipülasyonu — Lazarus APT38 paterni.

BEC / CEO Fraud

Deepfake vishing → SWIFT MT103 — Arup 2024 modeli.

SIM Swap → Hesap Ele Geçirme

Telekom + banka cross-pilot. SMS OTP bypass, mobil banking drenajı.

Mule Network + Kripto

Çoklu hesap velocity + ATM cash-out + crypto exchange off-ramp.

Telekom Fraud

IRSF, premium SMS pumping, SIM box bypass — operatöre özel zincirler.

Karar Kalitesi Ölçümü

Doğru bloke, gereksiz bloke, kaçırılan fraud — net finansal etki raporda.

DevSecOps + Threat Hunting

SOC operasyonunu derinleştiren 4 modül.

Sadece alert triage değil — Tier 3 hunt query, MITRE coverage gap, AppSec patch döngüsü ve awareness drift. Banka, telekom, sağlık tatbikatlarının hepsinde aktif.

AppSec War Room — ZeroLogon (CVE-2020-1472)
side-by-side diff
❌ vulnerable.py def auth(client): ctx = nl.AUTHENTICATE( challenge=b"\x00"*8) return ctx.session
✓ candidate-fix.py def auth(client): ctx = nl.AUTHENTICATE( challenge=secrets.token_bytes(8)) return ctx.session
82
Patch kabul edildi.
Topology DC node yeşile döndü • CVE patched event yayıldı
MITRE ATT&CK Coverage
14 tactic · 80+ technique
Initial Access
T1566 T1190 T1078 T1133
Execution
T1059.001 T1059.003 T1204 T1053
Persistence
T1136 T1547 T1098
Cred. Access
T1556 T1003 T1110 T1555
Lateral Mvmt.
T1021.001 T1021.002 T1570
Detected Triggered Pending gap Not used
Hunt Query — Encoded PowerShell burst
SPL-like pipeline
event="SOC_LOG" | where data.toolType="EDR_CONSOLE" | where data.content matches "powershell.*-enc" | stats count by data.employeeId | where count > 3
employeeIdcountlast_seen
emp-1417 (M.Yılmaz)1114:23:08
emp-2208 (D.Kara)714:19:51
emp-0931 (S.Aydın)514:11:02
4,812 log fetched · 23 satır · 184ms · 3 host izole edildi
Awareness Drift — T+3h 24min
live
68
Ortalama skor
−12
Tatbikat başından
+5
Immunity kazanan
Departman ortalamaları (4h)
Finans
IT
Hukuk
Pazarlama
Operasyon
Kriz Stüdyosu

Ransomware müzakeresi ve eş zamanlı kriz iletişimi.

Sızma anından çok sonrası önemli. SOC ekibi olayla uğraşırken yönetim, hukuk ve PR aynı anda LockBit ile pazarlık ediyor, BDDK'ya 72 saatlik bildirim hazırlıyor ve müşterilere SMS atıyor. Simurge bu üç akışı tek tatbikatta yan yana çalıştırır.

💀
Modül
AI Ransom Müzakere

Tatbikatta yönetim ve müzakere ekibi LockBit / BlackCat / Qilin gibi gerçek tehdit gruplarının dilini konuşan AI ile pazarlık eder. AI saldırgan proaktif mesaj atar, baskı uygular, sızıntı tehdidi savurur.

🔒 lockbit-tor-onion-7f3a.. ⏱ 11d 04s 22dk
LOCKBIT_OPERATOR · T+02:14
247 GB veri çekildik. 14 günün var. 45 BTC ya da Pazartesi sabahı leak site'a düşer.
MÜZAKERE EKİBİ · T+02:31
Veri kanıtı gerekli. 3 dosya hash'i ile ekran görüntüsü gönderin.
Soğukkanlılık
82
Kanıt disiplini
95
Müzakere etkinliği
%48 indirim
Regülatör farkındalığı
42

Coveware Q1 2024 sektör benchmark'larına göre puanlanır. Skor düşükse AI Coaching kartında 'pazarlık öncesi kanıt iste' gibi spesifik önerilerle döner.

📢
Modül
Kriz İletişim Stüdyosu

Dört kamu kanalı + sektörüne göre 7 regülatör kanalı. Her kanalın kendine özgü zorunlu checklist'i, deadline'ı ve tonu var. AI her açıklamayı ton + tamlık + hukuki risk açısından değerlendirir.

⚖ BDDK · 72s
BDDK-YBS form, etki + iyileştirme planı
🔒 KVKK · 72s
VERBIS bildirim, veri kategorisi
🛡 USOM · 24s
IOC + MITRE ATT&CK eşleme
⚡ EPDK · 24s
Arz güvenliği, ICS/OT segmentasyon
📡 BTK · 24s
MSISDN aralığı, lawful intercept
🏦 SWIFT MT-199 · 2s
Muhabir banka, restore süresi
📰 Basın · 6s
CEO imzası, hukuk onayı
👥 Müşteri · 24s
KVKK madde 12, credit monitoring

Hukuk, PR, IK, Uyumluluk ekipleri aynı anda farklı kanallara çalışır. Her açıklama dakika dakika İtibar Engine'e işlenir — bir kanal kötü açıklama yaparsa skor düşer, sessizlik decay'e yol açar.

Üç akış, tek tatbikat
SOC analist EDR'da debug ederken, hukuk KVKK formunu yazıyor, CFO LockBit ile pazarlık ediyor — eğitmen istediği akışa istediği tick'te inject atar.
SOC akışı
L1 / L2 / L3
Müzakere akışı
CEO + CFO + Hukuk
İletişim akışı
PR + IK + Uyumluluk
Eğitmen Kontrolü

Tatbikatı elinizde tutun.

Tatbikatı duraklatın, lobide sahte AP kurup bir çalışanın tuzağa düşmesini bekleyin, BTK/SHGM denetim e-postası fırlatın, belirli bir çalışanı manuel compromise edin. Saldırı hızını faz faz yönetin.

A

Rogue AP Deploy

Konum seçin, süre belirleyin. Yakındaki düşük farkındalıklı çalışanlar captive portal üzerinden kimlik bırakır.

B

Haber ve denetim injekt

BDDK, BTK, USOM veya SHGM bülteni fırlatın. İlgili departmanın stres ve phishing susceptibility skorları değişir.

C

Manuel compromise

Bir çalışan ve vektör seçin, tatbikatın ortasında compromise tetikleyin. Ekip müdahalesini gerçek zamanlı izleyin.

Living Organism Raporu

Tatbikat sonunda 11 bölümlük post-mortem.

Toplantı notu değil. Otomatik üretilen, PDF'e aktarılabilen, BDDK + KVKK + ISO27001 + NIST CSF + DORA gereksinimlerine eşlenen, CISO'dan SOC analistine kadar her rolün kendi katmanını okuyabildiği yapılandırılmış bir post-mortem.

1

CISO Executive Özet

Genel risk skoru, tatbikat sonu durumu (Saldırgan Kazandı / Karışık / Savunma Başarılı), AI üretilmiş yönetici notları.

2

Şirket Durumu

Compromise edilen çalışan / host / asset oranı, departman bazlı etki haritası, etkilenen kritik sistem listesi.

3

AI Saldırılarının Özeti

Phishing, CVE exploit, lateral hareket ve iç phishing sayıları; vektör dağılımı; ilk 15 compromise zinciri.

4

SOC Ekibi Performansı

SOC skoru, ticket istatistikleri, MTTD / MTTR, L1-L2-L3 tier dağılımı, confusion matrix (TP/FP/TN/FN), phishing funnel.

5

Ransomware Pazarlık

Müzakere skoru, indirim oranı, soğukkanlılık, kanıt disiplini, profesyonellik, regülatör farkındalığı — Coveware Q1 2024 sektör benchmark'ları ile.

6

Kriz İletişim Studio

BDDK, KVKK, USOM, EPDK, BTK, basın, müşteri, SWIFT — her kanalda zamanlama, ton, tamlık, hukuki risk skoru.

7

Awareness Drift

Tatbikat başı / sonu farkındalık skorları; en çok düşen ve yükselen çalışanlar; immunity kaybı görünür hale gelir.

8

Saldırı Zaman Çizelgesi (Kill Chain)

Lockheed Martin 7 fazlı kill chain ilerlemesi, faz geçişleri, tam aksiyon logu (313 tick boyunca her atılan adım).

9

Forensik / IOC

Compromise edilen host'lar, asset listesi, IP / hash / domain IOC'leri, MITRE ATT&CK TTP eşlemesi — USOM bildirim formatına uygun.

10

Fiziksel Etki & Casualty Tracker

Sektöre özel: Enerji, Doğalgaz, Havayolu, Sağlık, Anka Savunma pilotlarında tesis bazlı etki, casualty (yaralı / ölü), MW veya kapasite kaybı.

11

Öneriler ve Alınacak Dersler

HIGH / MED / LOW önceliklendirilmiş aksiyon önerileri + tek tıkla otomatik atama: AI mikro tatbikat, bilgi kartı ve farkındalık programı.

📄 PDF olarak indirilebilir · 🔗 Replay linki ile geri oynatılabilir · 📋 BDDK + KVKK + ISO27001 + NIST CSF + DORA eşlemesi rapor içinde gelir

Ekibinizi gerçek APT'ye karşı değerlendirin.

15 dakikalık canlı demo. Sektörünüze özel tatbikat. Katılımcı bazlı rapor.

Demo Talep Et