Yeni Başlayanlar İçin Bilgi Güvenliği

Neden Bu Döküman?

Bu döküman, dijitalleşen dünyanın sunduğu fırsatların yanı sıra artan siber güvenlik risklerine
dikkat çekme amacıyla hazırlanmıştır. Günümüzde her geçen gün daha fazla veriye erişiliyor,
daha çok sistem dijitalleşiyor ve teknoloji günlük yaşamın vazgeçilmez bir parçası haline
geliyor. Ancak bu dönüşüm, beraberinde görünmeyen büyük bir risk alanını da getiriyor: bilgi
güvenliği.

Bu dökümanın amacı yalnızca teknik bilgiler sunmak değildir. Hedef, bilgi güvenliğine daha
geniş bir çerçeveden bakarak hem teknik uzmanlara hem de yöneticilere temel bir farkındalık
kazandırmak ve alanın kritik önemini anlatmaktır. Çünkü bilgi güvenliği artık sadece bilişim
departmanlarının değil, her bireyin ve kurumun sorumluluğu haline gelmiştir.
Bilgi güvenliği yalnızca teknik bir uzmanlık değil, dijital çağda tüm bireylerin sahip olması
gereken temel bir beceridir.

Bilgi Güvenliğinin Bugünü ve Yarını

Günümüzde bilgi güvenliği, sadece teknik uzmanların ilgilendiği dar bir konu olmaktan
çıkmıştır. Küresel ölçekte dijitalleşme artarken, küçük işletmelerden uluslararası şirketlere,
bireylerden devlet kurumlarına kadar herkes bilgi güvenliğinin doğrudan etkilediği bir
dünyada yaşamaktadır. Sosyal medya hesaplarından kişisel cihazlara, finansal
uygulamalardan kurumsal sistemlere kadar pek çok alan artık siber saldırıların hedefi
durumundadır.

Siber saldırılar yalnızca maddi zarar vermekle kalmaz; kurumların marka itibarını sarsar, iş
sürekliliğini sekteye uğratır ve kritik altyapıları tehdit ederek ulusal güvenlik risklerine neden
olabilir. Geleneksel güvenlik yaklaşımları, günümüzün sürekli gelişen tehditlerine karşı
yetersiz kalmaktadır. Artık dinamik, çok katmanlı ve sürekli gelişen güvenlik mimarileri
zorunlu hale gelmiştir.

Yeni nesil güvenlik yaklaşımları; sıfır güven (Zero Trust) modeli, yapay zekâ destekli tehdit
algılama sistemleri ve proaktif olay müdahale ekipleri üzerine kurulmaktadır. Bu dönüşüm,
siber güvenliğin yalnızca bir maliyet kalemi olmaktan çıkıp organizasyonların dayanıklılık
stratejisinin temel bileşeni haline geldiğini göstermektedir.

Gelecek dönemde siber güvenliğin önemi daha da artacaktır. Kuantum bilgisayarların
gelişmesi mevcut kriptografi yöntemlerini tehdit edecek; yapay zekâ saldırı ve savunma
tekniklerini dönüştürecektir. IoT cihazlarının hızla yaygınlaşması ise bireysel ve kurumsal risk
yüzeylerini genişletecektir.

Amacımız okuyucunun tehditleri doğru tanımasını, etkili önlemler almasını ve sürekli gelişen
bu alanda daha hazırlıklı olmasını desteklemektir. Bilgi güvenliği kısa vadeli bir görev değil,
süreklilik gerektiren stratejik bir yolculuktur.

Bölüm 1: Bilgi Güvenliğine Giriş

1.1 Bilgi Güvenliğinin Temelleri

Bilgi güvenliği, bilginin yetkisiz erişimlerden korunması, doğruluğunun ve değişmezliğinin
sağlanması ile ihtiyaç duyulduğunda yetkili kullanıcılar tarafından erişilebilir olması
süreçlerini kapsar. Ancak bu kavram, yalnızca kötü niyetli siber saldırılarla mücadeleden
ibaret değildir. İnsan hataları, teknik arızalar, doğal afetler ve içeriden gelen kasıtlı zararlar da
bilgi güvenliğinin koruması gereken alanlardandır.

Bilgi, sadece dijital sistemlerde bulunmaz; sözlü iletişimler, yazılı belgeler, dijital veri
tabanları ve bulut platformları gibi farklı ortamlar aracılığıyla varlığını sürdürür. Bu çeşitlilik,
bilgi güvenliğinin çok katmanlı ve disiplinler arası bir yaklaşım gerektirdiğini gösterir.
Etkili bilgi güvenliği uygulamaları, insan faktörünü, süreç yönetimini ve teknolojik çözümleri
dengeli şekilde bir araya getirmelidir. Teknik önlemler kadar, çalışanların farkındalığı ve
kurumsal politikalar da kritik öneme sahiptir. Çünkü pek çok güvenlik açığı, teknolojik değil,
insan kaynaklı zafiyetlerden doğar.

Bilgi güvenliği yönetimi kapsamında, kurumlar öncelikle güvenlik politikaları belirler,
personeline düzenli eğitimler verir, uygun teknolojik altyapıyı kurar ve sürekli izleme
sistemleriyle olası riskleri tespit eder. Ayrıca, yaşanan güvenlik olaylarına etkin müdahale ve
hızlı kurtarma planları oluşturmak da temel sorumluluklar arasında yer alır.
Bu bütünsel yaklaşım, bilgi güvenliğinin sadece teknik bir sorun değil; aynı zamanda
organizasyon kültürüne entegre edilmesi gereken stratejik bir süreç olduğunu ortaya koyar.

1.2 Güvenlik Üçgeni: Gizlilik, Bütünlük, Erişilebilirlik

Bilgi güvenliğinin temel taşı olarak kabul edilen Gizlilik (Confidentiality), Bütünlük
(Integrity) ve Erişilebilirlik (Availability) prensipleri, genellikle “CIA üçgeni” olarak
adlandırılır. Bu üç unsur, herhangi bir bilgi sisteminin güvenlik stratejilerinin merkezinde yer
alır ve her biri, bilgi varlıklarının korunmasında farklı ama birbiriyle bağlantılı roller üstlenir.

Gizlilik (Confidentiality)

Gizlilik, bilginin sadece yetkili kişiler veya sistemler tarafından erişilebilir olması anlamına
gelir. Bu, kişisel verilerin, ticari sırların, finansal bilgilerin veya devlet sırrı niteliğindeki
verilerin korunması için kritik öneme sahiptir. Gizlilik ihlalleri, bilgiye izinsiz erişim sonucu
ortaya çıkar ve bireylerin mahremiyetinin ihlali, şirketlerin itibar kaybı veya ulusal güvenlik
tehditleriyle sonuçlanabilir.

Gizliliği sağlamak için kullanılan başlıca teknikler arasında şifreleme, kimlik doğrulama
(parola, biyometrik doğrulama, çok faktörlü kimlik doğrulama), erişim kontrol listeleri (ACL)
ve rol tabanlı erişim kontrolü (RBAC) yer alır. Ayrıca, sosyal mühendislik saldırılarına karşı
kullanıcı farkındalığı da gizliliğin korunmasında önemli bir unsurdur.

 

Bütünlük (Integrity)

Bütünlük, bilginin doğruluğunu, tutarlılığını ve eksiksizliğini koruma amacını taşır. Bir veri
parçası, yetkisiz veya yanlışlıkla yapılan değişikliklerden etkilenmeden, kaynağıyla uyumlu
kalmalıdır. Bütünlük ihlali, veri kaybı, değiştirilmesi veya bozulması sonucunda ortaya çıkar
ve kritik kararların yanlış verilmesine yol açabilir.

Bütünlüğü sağlamak için kullanılan yöntemler arasında dijital imzalar, hash fonksiyonları,
kontrol toplamları (checksums) ve sürüm kontrol sistemleri bulunur. Ayrıca, değişikliklerin
takip edilmesi için log kayıtlarının tutulması ve yetkisiz müdahalelerin engellenmesi
önemlidir.

Erişilebilirlik (Availability)

Erişilebilirlik, bilginin ve bilgi sistemlerinin ihtiyaç duyulduğunda kesintisiz ve zamanında
erişilebilir olmasıdır. Erişilebilirlik ilkesinin ihlali, hizmet kesintileri, sistem arızaları veya
saldırılar sonucu bilgilerin erişilemez hale gelmesiyle ortaya çıkar. Bu durum iş kaybı, müşteri
memnuniyetsizliği ve güvenlik açıklarına yol açabilir.

Erişilebilirliği artırmak için yedekleme sistemleri, felaket kurtarma planları (Disaster
Recovery Planning), yük devretme (failover) mekanizmaları ve Dağıtılmış Hizmet Reddi
(DDoS) saldırılarına karşı koruma sistemleri gibi önlemler alınır. Ayrıca, donanım ve yazılım
bileşenlerinin düzenli bakımı ve güncellenmesi erişilebilirlik için gereklidir.

Prensipler Arasındaki Denge

Gizlilik, bütünlük ve erişilebilirlik prensipleri çoğu zaman birbiriyle çelişebilir. Örneğin,
gizliliği artırmak için uygulanan katı erişim kontrolleri, yetkili kullanıcıların bilgiye
zamanında ulaşmasını zorlaştırabilir; bu da erişilebilirliği olumsuz etkiler. Benzer şekilde,
sistemde yüksek erişilebilirlik sağlamak için bazı güvenlik önlemlerinden ödün verilebilir.
Bu nedenle, güvenlik profesyonellerinin ve karar vericilerin önceliği, kurumun iş hedefleri ve
risk toleransına uygun olarak bu üç unsuru dengeli şekilde yönetmek olmalıdır. Güvenlik
politikaları, teknolojik çözümler ve kullanıcı eğitimleri bu dengenin sağlanmasında kritik rol
oynar.

1.3 Modern Tehdit Manzarası

Günümüzde bilgi güvenliğinde tehdit kavramı, bilginin gizliliğini, bütünlüğünü ve
erişilebilirliğini tehlikeye atabilecek her türlü risk veya saldırı yöntemini ifade eder. Modern
tehdit manzarası, geçmişteki basit zararlı yazılım ve bilgisayar virüslerinden çok daha
karmaşık, hedef odaklı ve sürekli gelişen bir yapıya dönüşmüştür. Bu durum, hem bireyler
hem de kurumlar için güvenlik önlemlerinin sürekli güncel tutulmasını zorunlu kılmaktadır.
Siber tehditler, teknik zafiyetlerin yanı sıra insan davranışlarını da hedef alır. Sosyal
mühendislik, kimlik avı (phishing), fidye yazılımları (ransomware), gelişmiş kalıcı tehditler
(Advanced Persistent Threats – APT), tedarik zinciri saldırıları (supply chain attacks) ve
hizmet reddi saldırıları (Denial of Service – DoS) günümüzün en yaygın saldırı türleri arasında
yer almaktadır.

Fidye yazılımları, bir sistemdeki verileri şifreleyerek kullanıcıların veya kurumların verilere
erişimini engeller ve verilerin geri getirilmesi için fidye talep eder. Son yıllarda özellikle
sağlık, eğitim ve kamu hizmetleri gibi kritik sektörler fidye yazılımı saldırılarının ana hedefi
haline gelmiştir.

Kimlik avı saldırıları, kullanıcıları kandırarak şifre, kredi kartı bilgisi veya oturum açma
kimlik bilgileri gibi hassas verileri ele geçirmeyi amaçlar. Saldırganlar, sahte e-postalar, kopya
internet siteleri veya sahte mobil uygulamalar kullanarak kullanıcıları aldatır ve kimlik
bilgilerini toplar.

Zero-day saldırıları, henüz keşfedilmemiş veya üretici firma tarafından herhangi bir güvenlik
yaması yayınlanmamış yazılım açıklarını hedef alır. Bu saldırılar özellikle savunmasız
sistemlere yönelik hızlı ve etkili sızma girişimlerinde kullanılır.

Supply chain saldırıları, doğrudan hedefe saldırmak yerine hedefin çalıştığı tedarikçi veya
üçüncü taraf servis sağlayıcılar üzerinden sisteme sızmayı hedefler. Son yıllarda dünya
çapında ses getiren SolarWinds ve MOVEit saldırıları, bu yöntemin ne kadar etkili ve yıkıcı
olabileceğini göstermiştir.

Advanced Persistent Threats, genellikle uzun vadeli, hedef odaklı ve çok katmanlı saldırı
kampanyalarıdır. Bu tür tehdit aktörleri, çoğunlukla devlet destekli gruplardan veya organize
suç örgütlerinden oluşur ve aylarca hatta yıllarca hedef sistemlerde varlık gösterebilir.

Denial of Service saldırıları ve özellikle dağıtılmış hizmet reddi saldırıları (Distributed Denial
of Service – DDoS), bir sistem veya hizmeti aşırı trafik ile kullanılamaz hale getirmeyi
hedefler. Bu saldırılar, finans kuruluşları, e-ticaret siteleri ve kamu hizmetleri gibi kesintisiz
hizmet vermesi gereken yapıları hedef alarak ciddi iş kesintilerine yol açar.

Modern tehdit ortamında yalnızca dış saldırılar değil, içeriden gelen tehditler (insider threats)
de önemli bir risk kaynağıdır. Çalışan hataları, ihmaller, yetkisiz erişimler veya kötü niyetli
çalışanlar kaynaklı veri sızıntıları, kurumsal güvenliği tehdit eden yaygın sorunlar arasında
yer alır.

Ayrıca siber suç dünyası artık bireysel hacker gruplarıyla da sınırlı değildir. Günümüzde
saldırgan profili, organize suç örgütleri, devlet destekli tehdit aktörleri ve profesyonel saldırı
gruplarını da kapsayacak şekilde genişlemiştir. Dark web üzerinde saldırı araçlarının ve
hizmetlerinin yaygın şekilde satılması ise saldırıların daha düşük maliyetle daha geniş kitleler
tarafından uygulanabilmesine zemin hazırlamaktadır.
Sonuç olarak modern tehdit manzarası, teknik açıdan daha sofistike, sosyal mühendislik
yönüyle daha ikna edici ve ekonomik olarak daha organize hale gelmiştir. Bu sürekli değişen
ortamda kurumlar ve bireyler, yalnızca bilinen tehditlere değil, ortaya çıkabilecek yeni saldırı
yöntemlerine karşı da hazırlıklı olmak zorundadır.

 

1.4 Temel Terimler ve Kavramlar

Bilgi güvenliği alanında sağlıklı bir anlayış geliştirebilmek için sıkça karşılaşılan temel terim
ve kavramların net bir şekilde tanımlanması önemlidir. Bu bölümde, günlük uygulamalarda ve
literatürde sıklıkla karşımıza çıkan bazı temel terimlere kısa ve açıklayıcı bir bakış
sunulmaktadır.

Saldırgan (Attacker): Yetkisiz şekilde sistemlere erişmeye, zarar vermeye, bilgi çalmaya
veya sistemleri kötüye kullanmaya çalışan kişi veya grupları ifade eder. Saldırganlar çeşitli
motivasyonlara sahip olabilir; finansal kazanç, siyasi hedefler veya kişisel tatmin gibi
amaçlarla hareket edebilirler.

Saldırı (Attack): Bilgi sistemlerine zarar verme, yetkisiz erişim sağlama veya sistemlerin
çalışmasını engelleme amacıyla gerçekleştirilen her türlü kötü niyetli faaliyettir.

Zafiyet (Vulnerability): Bir bilgi sisteminde saldırganların yararlanabileceği zayıflık veya
açık noktadır. Zafiyetler genellikle yazılım hataları, yanlış yapılandırmalar veya insan
hatalarından kaynaklanır.

Tehdit (Threat): Zafiyetleri kullanarak bilgi varlıklarına zarar verebilecek herhangi bir
potansiyel tehlikedir. Bir tehdit doğrudan insan kaynaklı olabileceği gibi doğal afetler veya
teknik arızalar gibi çevresel faktörlerden de kaynaklanabilir.

Risk: Tehditlerin ve zafiyetlerin birleşiminden doğan, bir varlığın zarar görme olasılığıdır.
Risk değerlendirmesi, hangi tehditlerin daha öncelikli olduğunu ve hangi zafiyetlerin acilen
giderilmesi gerektiğini belirlemek için kullanılır.

Malware (Malicious Software): Sistemlere zarar vermek, veri çalmak veya kullanıcıların
kontrolünü ele geçirmek amacıyla geliştirilen her türlü kötü amaçlı yazılımı ifade eder.
Virüsler, trojanlar, ransomware, spyware ve rootkit gibi yazılımlar malware kapsamına girer.
Phishing: Saldırganların, sahte e-posta, SMS veya internet siteleri aracılığıyla kullanıcıları
kandırarak kimlik bilgileri veya finansal veriler gibi hassas bilgileri ele geçirmeye çalıştığı
sosyal mühendislik yöntemidir.

Ransomware: Sistemdeki dosyaları şifreleyerek kullanıcıların verilerine erişimini engelleyen
ve karşılığında fidye talep eden zararlı yazılım türüdür.

Zero-day: Üretici tarafından henüz keşfedilmemiş veya kapatılmamış bir güvenlik açığını
hedef alan saldırıları ifade eder. Zero-day açıkları genellikle yamalar çıkmadan önce
saldırganlar tarafından sömürülür.

Firewall: Yetkisiz erişimleri engellemek ve ağ trafiğini kontrol altında tutmak için kullanılan
yazılım veya donanım tabanlı güvenlik bariyeridir.

Intrusion Detection System (IDS): Ağ veya sistem üzerinde şüpheli faaliyetleri tespit eden
ve yöneticiyi uyaran izleme sistemleridir.

Intrusion Prevention System (IPS): IDS sistemlerine benzer şekilde çalışır ancak tespit
edilen şüpheli aktiviteleri yalnızca bildirmekle kalmaz, aynı zamanda otomatik olarak
engelleyebilir.

DDoS (Distributed Denial of Service): Bir hizmeti çevrimdışı bırakmak amacıyla birçok
kaynaktan eş zamanlı olarak yoğun trafik göndererek hedef sistemleri işlevsiz hale getirme
saldırı türüdür.

Encryption: Verilerin yetkisiz erişimlere karşı korunması için şifreleme algoritmaları ile
dönüştürülmesi işlemidir. Şifrelenmiş veriler yalnızca yetkili kişi veya sistemler tarafından
çözülebilir.

Patch: Yazılım üreticileri tarafından zafiyetleri gidermek veya performansı artırmak amacıyla
yayımlanan yazılım güncellemeleridir.

Authentication: Bir kullanıcının kimliğinin doğrulanması sürecidir. Şifreler, biyometrik
veriler ve çok faktörlü kimlik doğrulama yöntemleri yaygın şekilde kullanılır.

Authorization: Kimliği doğrulanmış bir kullanıcının hangi kaynaklara ve işlemlere
erişebileceğini belirleyen yetkilendirme sürecidir.

Bu kavramlar, ilerleyen bölümlerde anlatılacak daha detaylı konuların anlaşılmasına temel
oluşturur.

Bölüm 2: Siber Tehditler ve Saldırı Teknikleri

2.1 Kötü Amaçlı Yazılımlar: Virüsler, Solucanlar, Truva Atları

Siber tehditler içerisinde en yaygın ve köklü saldırı vektörlerinden biri kötü amaçlı yazılımlar,
yani malware’dir. Malware, sistemlere izinsiz erişim sağlamak, verileri çalmak, sistemleri
bozmak veya yetkisiz işlemler gerçekleştirmek amacıyla geliştirilen her türlü zararlı yazılımı
ifade eder. Zamanla evrimleşerek teknik açıdan daha karmaşık hale gelmiş ve farklı hedeflere
hizmet eden birçok tür ortaya çıkmıştır.

Malware, bulaşma yöntemleri, işleyiş biçimi ve hedefleri açısından farklı sınıflara ayrılır. Bu
bölümde virüsler, solucanlar (worms), truva atları (trojans) gibi klasik türlerin yanı sıra, daha
gelişmiş polimorfik ve metamorfik zararlı yazılım çeşitlerine de değinilecektir.

Virüsler

Virüsler, bulaştıkları dosya veya programlara kendilerini ekleyerek çoğalan bir malware
türüdür. Genellikle kullanıcı bir dosyayı açtığında veya bir programı çalıştırdığında
etkinleşirler. Virüsler, sistemler içinde yayılabilir, dosyaları bozabilir, veri kaybına neden
olabilir ya da sistemi tamamen işlevsiz hale getirebilir.

Solucanlar (Worms)

Solucanlar, virüslerle benzer şekilde çoğalabilir fakat yayılmak için kullanıcı etkileşimine
ihtiyaç duymazlar. Ağ bağlantılarını kullanarak otomatik biçimde yayılırlar ve kısa sürede
geniş sistemlere zarar verebilirler. Özellikle WannaCry ve Conficker gibi worm saldırıları,
küresel çapta ciddi iş kesintilerine yol açmıştır.

Truva Atları (Trojans)

Truva atları, kullanıcıların zararsız sandığı programların içerisine gizlenen malware türüdür.
Genellikle güvenilir görünen yazılımlar aracılığıyla sisteme sızar, çalıştırıldıklarında arka
kapılar açar, veri çalar veya sisteme başka zararlı yazılımlar yükleyebilirler.

Polimorfik Malware

Polimorfik malware, her bulaşma sırasında kendi kod yapısını veya dış görünümünü otomatik
olarak değiştirir. Şifreleme yöntemleri ve değişken şifre çözücü algoritmalar kullanarak
antivirüs yazılımlarının imza tabanlı tespit mekanizmalarını atlatmayı hedefler. Aynı zararlı
işlevi korur fakat her çalıştırıldığında farklı bir biçime bürünür.

Metamorfik Malware

Metamorfik malware, polimorfik zararlı yazılımlardan daha gelişmiş bir türdür. Her
çoğalmada yalnızca dış görünümünü değil, kod yapısını ve işleyiş sırasını da değiştirir.
Ürettiği her yeni sürüm, kod analizinde önceki sürümle büyük yapısal farklar gösterir. Bu tür
zararlı yazılımlar, hem imza tabanlı hem davranış analizi tabanlı savunmaları aşmakta daha
başarılıdır.

Malware’in Etkileri

Malware, sistemlerin performansını düşürebilir, veri kaybına yol açabilir, kritik hizmetlerin
çalışmasını aksatabilir veya sistemin kontrolünü saldırganlara devredebilir. Bazı malware
türleri doğrudan finansal kazanç hedeflerken, bazıları casusluk, sabotaj veya hizmet kesintisi
gibi amaçlara hizmet edebilir.

Yayılma Yöntemleri

Malware yayılımı çok çeşitli yollarla gerçekleşebilir. E-posta ekleri, kötü amaçlı web siteleri,
sosyal mühendislik saldırıları, USB bellekler, korsan yazılım kullanımı ve sistem zafiyetleri
bu yöntemlerin başında gelir. Modern saldırılar genellikle birden fazla yöntemi aynı anda
kullanarak daha geniş bir bulaşma alanı hedefler.

2.2 Fidye Yazılımları (Ransomware) ve İş Modelleri

Fidye yazılımları (ransomware), modern siber tehdit ortamında en yaygın ve en yıkıcı saldırı
türlerinden biri olarak öne çıkmaktadır. Bu saldırı türünde saldırganlar, kurbanların verilerini
şifreleyerek erişimi engeller ve dosyaların geri açılabilmesi için fidye talep eder. Fidye
ödemesi çoğunlukla kripto para birimi ile istenir, böylece saldırganların kimlikleri anonim
kalır.

Fidye yazılımı saldırıları sadece bireyleri değil; sağlık kuruluşları, eğitim kurumları, finans
sektörü, üretim tesisleri ve kritik altyapı hizmetleri gibi büyük ölçekli yapıları da hedef
almaktadır. Bu saldırıların zararı yalnızca maddi kayıplarla sınırlı kalmaz; iş sürekliliğinin
kesilmesi, veri sızıntıları ve itibar kayıpları da ciddi sonuçlar doğurur.

 

Fidye Yazılımlarının Çalışma Prensibi

Fidye yazılımlarının temel işleyişi üç aşamada gerçekleşir:

1. Bulaşma: Fidye yazılımı genellikle e-posta ekleri, kötü amaçlı bağlantılar, yazılım
açıkları veya tedarik zinciri saldırıları yoluyla sisteme sızar.

2. Şifreleme: Saldırganlar, hedef sistemlerdeki dosyaları güçlü şifreleme algoritmaları ile
şifreler. Kurbanın dosyalarına erişimi tamamen engellenir.

3. Fidye Talebi: Ekrana fidye notu bırakılarak kurbana ödeme için süre verilir. Süre
dolduğunda şifre çözme anahtarının imha edileceği veya verilerin ifşa edileceği
tehdidi yapılır.

Fidye Yazılımı İş Modelleri

Zaman içinde fidye yazılımı saldırıları organize bir endüstri haline gelmiş ve çeşitli iş
modelleri geliştirilmiştir:

 

1. Ransomware-as-a-Service (RaaS)

Ransomware-as-a-Service modeli, fidye yazılımı geliştiricilerinin zararlı yazılım altyapısını
kiralayarak veya satarak başka saldırganlara kullandırdığı bir sistemdir. Bu model sayesinde
teknik bilgisi sınırlı kişiler bile sofistike saldırılar düzenleyebilir. Geliştirici ve saldırgan, elde
edilen fidyenin önceden belirlenen bir yüzdesini paylaşır. RaaS modeli, siber suçun
demokratikleşmesine yol açmış ve saldırı sayısını büyük ölçüde artırmıştır.

 

2. Çifte Şantaj (Double Extortion)

Bu modelde saldırganlar yalnızca verileri şifrelemekle kalmaz, aynı zamanda hassas verileri
sızdırma tehdidinde bulunur. Fidye ödenmediği takdirde veriler genellikle dark web üzerinde
satışa çıkarılır veya kamuya açık platformlarda paylaşılır. Çifte şantaj, özellikle
regülasyonlara tabi sektörlerde daha fazla baskı yaratır.

 

3. Üçlü Şantaj (Triple Extortion)

Triple extortion yaklaşımında, şifreleme ve veri sızdırmaya ek olarak saldırganlar kurbanın
müşterilerini, ortaklarını veya diğer üçüncü tarafları da hedef alır. Bu yöntem, daha geniş bir
baskı mekanizması oluşturarak ödeme yapma ihtimalini artırmayı amaçlar.

 

4. Hizmet Kesintisi Şantajı

Bazı fidye yazılımı grupları, sadece veri şifrelemekle yetinmez; sistemlerin, web sitelerinin
veya kritik hizmetlerin çevrimdışına alınması tehdidinde bulunur. Bu yöntem özellikle kamu
hizmetleri ve büyük ölçekli üretim hatlarında iş sürekliliğini tehdit etmek için kullanılır.

 

Ödeme ve Pazarlık Dinamikleri

Saldırganlar genellikle fidye taleplerini Bitcoin veya Monero gibi izlenmesi zor kripto
paralarla ister. Son yıllarda, bazı fidye yazılımı grupları doğrudan pazarlık süreçleri de
yürütmekte, kurbanlara indirimler, süre uzatımları veya destek hattı gibi hizmetler
sunmaktadır. Bu durum, siber suç dünyasında profesyonel bir müşteri ilişkileri yaklaşımının
geliştiğini göstermektedir.

 

Gelişen Fidye Yazılımı Trendleri

• Hedefli saldırılar (big-game hunting) artış göstermiş, büyük ölçekli kurumlar daha
fazla hedef alınmaya başlanmıştır.
• Tedarik zinciri üzerinden yayılan fidye yazılımları önemli tehditler arasında yerini
almıştır.
• Otomasyon araçları ile güvenlik açıkları hızlıca taranarak zafiyet bulunan sistemler
kitlesel olarak hedeflenmektedir.
• Yeni fidye yazılımlarında şifrelemenin yanında verileri kalıcı şekilde silme veya
sistemleri tamamen erişilmez kılma taktikleri de kullanılmaktadır.

Fidye yazılımı saldırıları yalnızca teknik bir sorun değil, aynı zamanda bir iş riski olarak
değerlendirilmelidir. Bu saldırılar, hazırlıksız kurumları maddi açıdan çöküşe sürükleyebilir
ve yasal yükümlülükler doğurabilir. Bu nedenle organizasyonların yedekleme stratejilerini
gözden geçirmesi, güncel güvenlik yamalarını uygulaması ve saldırı yüzeyini daraltması kritik
öneme sahiptir.

2.3 Sosyal Mühendislik: İnsan Faktörü

Siber güvenlik alanında en karmaşık ve zorlayıcı tehditlerden biri teknoloji değil, insan
zaaflarıdır. Sosyal mühendislik (social engineering), kullanıcıların güvenini manipüle ederek
gizli bilgilere, sistem erişimlerine veya kaynaklara izinsiz şekilde ulaşmayı amaçlayan saldırı
yöntemlerinin genel adıdır. Teknik güvenlik önlemleri ne kadar gelişmiş olursa olsun, insan
davranışlarına yönelik saldırılar, siber saldırganlar için en etkili ve düşük maliyetli araçlardan
biri olmaya devam etmektedir.

Sosyal mühendislik saldırılarının temelinde insan psikolojisinin zaaflarını sömürmek yatar.
Saldırganlar, aceleye getirme, otoriteye başvurma, merak uyandırma, yardımseverlikten
faydalanma veya korkutma gibi taktikleri kullanarak hedeflerini manipüle ederler. Çoğu
durumda hedef, herhangi bir teknik açık bulunmaksızın sadece kandırılarak bilgi verir ya da
zararlı bir işlemi kendi elleriyle gerçekleştirir.

Modern saldırı kampanyalarının büyük bölümü, başarılı olabilmek için sosyal mühendislik
unsurlarını içermektedir. Teknolojik saldırılarla doğrudan ilişkilendirilen birçok büyük veri
sızıntısı ve fidye yazılımı vakasında, saldırının başlangıç noktası olarak insan zaaflarının
kullanıldığı görülmektedir.

En sık karşılaşılan sosyal mühendislik saldırı türlerinden biri oltalama (phishing) saldırılarıdır.
Oltalama saldırıları, sahte e-postalar veya mesajlar aracılığıyla kullanıcının şifre, kimlik
bilgisi veya finansal veri gibi hassas bilgileri ifşa etmesini sağlamayı hedefler. Bu tür
saldırılarda saldırganlar, bankalar, resmi kurumlar veya bilinen hizmet sağlayıcıları gibi
güvenilir görünen kimlikler kullanarak kullanıcıları kandırır.

Bir diğer yaygın saldırı biçimi, sahte telefon aramaları üzerinden yürütülen sesli oltalama
(vishing) saldırılarıdır. Saldırganlar, güvenlik görevlisi, banka çalışanı veya teknik destek
personeli gibi davranarak kullanıcıdan şifre veya doğrulama kodu gibi bilgileri talep ederler.
Özellikle pandemi sonrası dönemde yaygınlaşan uzaktan çalışma modeli ile birlikte vishing
saldırılarında ciddi bir artış yaşanmıştır.

Kurumsal yapılarda görülen hedefli oltalama (spear phishing) saldırıları ise daha sofistike bir
yaklaşım sergiler. Saldırganlar hedef organizasyon veya kişiye özel bilgiler toplayarak son
derece ikna edici sahte iletiler hazırlar. Bu tür saldırılar, üst düzey yöneticiler veya kritik
sistem kullanıcıları gibi hassas erişim yetkisine sahip kişileri hedef alır. Bu stratejiye “iş eposta sahteciliği” (Business Email Compromise – BEC) gibi daha spesifik saldırılar da
dâhildir.

Fiziksel sosyal mühendislik saldırıları da halen geçerliliğini korumaktadır. Yetkisiz kişilerin
kimlik kartı takarak güvenlik alanlarına sızması, yazılı belgeleri çöp kutularından toplaması
(shoulder surfing ve dumpster diving) gibi geleneksel yöntemler hâlen başarılı bir şekilde
uygulanabilmektedir.

Sosyal mühendislik saldırıları yalnızca bireylerin dikkatsizliğinden değil, aynı zamanda
kurumların ihmallerinden de beslenir. Yetersiz güvenlik farkındalığı eğitimleri, zayıf kimlik
doğrulama süreçleri ve aşırı yetki verilmiş kullanıcı hesapları, bu saldırılara zemin hazırlar.
Saldırganlar, hedefleri hakkında kamuya açık kaynaklardan topladıkları bilgilerle saldırı
öncesi hazırlık (reconnaissance) yapar ve manipülasyon yöntemlerini buna göre şekillendirir.
Sosyal mühendislik saldırılarına karşı etkili savunma, yalnızca teknik önlemlerle değil, güçlü
bir güvenlik kültürü ile mümkündür. Çalışanların şüpheli iletişimleri tanıyabilmesi, gizli
bilgileri kolayca paylaşmama alışkanlığı kazanması ve olaylara eleştirel bir bakışla
yaklaşması son derece önemlidir. Sürekli güncellenen farkındalık eğitimleri, sahte oltalama
senaryolarıyla yapılan kurum içi testler ve çok faktörlü kimlik doğrulama gibi uygulamalar,
insan kaynaklı güvenlik açıklarının azaltılmasında kritik rol oynar.

Sonuç olarak, sosyal mühendislik saldırıları yalnızca teknik bir güvenlik sorunu değil,
doğrudan insan davranışları ile ilgili bir risk alanıdır. Teknoloji gelişmeye devam ettikçe
saldırganlar da daha sofistike manipülasyon teknikleri geliştirmekte ve insan faktörü siber
güvenlikte en zayıf halka olmaya devam etmektedir. Güçlü savunma mekanizmaları kurmak
isteyen her kurum için insan kaynağının güvenlik zincirindeki rolü öncelikli bir konu olmak
zorundadır.

 

2.4 Gelişmiş Kalıcı Tehditler (APT’ler)

Siber güvenlik dünyasında en karmaşık ve tehlikeli saldırı türlerinden biri Gelişmiş Kalıcı
Tehditler (Advanced Persistent Threats – APT’ler) olarak tanımlanmaktadır. APT’ler, sıradan
siber saldırılardan farklı olarak, uzun vadeli ve hedef odaklı saldırı kampanyaları şeklinde
yürütülür. Bu tür saldırılar, teknik yetkinliği yüksek, organizasyon yapısı güçlü ve genellikle
devlet destekli gruplar tarafından gerçekleştirilir. APT saldırılarının amacı, yalnızca sistemlere
sızmak değil; bu sistemlerde mümkün olduğunca uzun süre kalmak, sürekli veri toplamak ve
hedeflenen çıkarları destekleyecek operasyonel avantaj elde etmektir.
APT saldırıları ticari kuruluşları, devlet kurumlarını, kritik altyapıları ve savunma sanayii gibi
stratejik öneme sahip organizasyonları hedef alır. Özellikle jeopolitik rekabetin yüksek olduğu
dönemlerde, APT grupları devletlerin istihbarat, sabotaj ve siber casusluk faaliyetlerinin bir
parçası haline gelmektedir.

Bir APT saldırısının tipik özelliği, teknik karmaşıklığın yüksek olması kadar, dikkatli ve uzun
süreli gizlilik içinde yürütülmesidir. Saldırganlar hedef sistemlere sızmadan önce kapsamlı bir
keşif (reconnaissance) süreci yürütür, kurumun ağ yapısını, çalışan profillerini, kullanılan
teknolojileri analiz eder. Saldırı genellikle bir kimlik avı (phishing) e-postasıyla başlar, ancak
tedarik zinciri saldırıları, güvenlik açığı istismarı veya fiziksel erişim gibi daha karmaşık giriş
yolları da kullanılabilir.

APT saldırıları birkaç aşamada ilerler: önce hedef sisteme ilk erişim sağlanır; ardından
sistem üzerinde kalıcılık sağlanarak arka kapılar (backdoor) oluşturulur. Saldırganlar ağ içinde
yatay hareket ederek (lateral movement) daha yüksek yetkilere ulaşır ve kurumsal sistemlerin
derinliklerine sızar. Nihai aşamada ise hassas veriler dışa aktarılır veya siber sabotaj
gerçekleştirilir. Bu süreç aylarca hatta yıllarca sürebilir.

APT saldırılarını diğer saldırılardan ayıran önemli bir unsur, saldırı sonrası temizlik
faaliyetleridir. Saldırganlar faaliyetlerini maskeleyecek yöntemler uygular, log kayıtlarını
siler, izlerini kaybettirmek için trafik şifreleme ve zararlı yazılımı otomatik silme
mekanizmaları kullanır. Bu nedenle APT saldırıları çoğu zaman tespit edilmeden yıllarca
sürdürülebilir.

Siber güvenlik literatüründe bazı APT grupları, belirli ülkelere atfedilmiş ve kod adlarıyla
tanımlanmıştır. Örneğin; APT28 ve APT29 grupları Rusya ile ilişkilendirilirken, APT10 Çin
kaynaklı saldırı grubu olarak tanınır. İran, Kuzey Kore gibi ülkelerin de aktif olarak APT
operasyonları yürüttüğü belgelenmiştir. Söz konusu gruplar yalnızca veri hırsızlığı değil,
seçimlere müdahale, ekonomik casusluk, siber sabotaj gibi hedeflere yönelik saldırılar da
düzenlemektedir.

APT saldırılarında kullanılan araçlar ve teknikler son derece geniş bir yelpazeye sahiptir.
Gelişmiş zararlı yazılımlar (malware), sıfırıncı gün (zero-day) açıkları, özel olarak
hazırlanmış sızma araçları ve hedef odaklı sosyal mühendislik senaryoları saldırı paketinin
temel bileşenleridir. APT grupları çoğunlukla güvenlik çözümlerini atlatmak için polimorfik
ve metamorfik zararlı yazılımlar kullanır; ağ üzerindeki trafiği tespit edilmemek için şifreler;
sistem güncellemelerini engeller veya güvenlik açıklarını bilinçli olarak açık bırakır.

Bu düzeyde bir tehdide karşı koymak için sadece geleneksel güvenlik araçları yeterli değildir.
Kurumların gelişmiş tehdit algılama sistemlerine (EDR, NDR, SIEM) sahip olması, olağan
dışı davranışları izleyebilmesi ve sürekli tehdit istihbaratı ile savunma stratejilerini
güncellemesi gerekir. Aynı zamanda çalışanların farkındalık düzeyi artırılmalı, özellikle kritik
pozisyonlarda görev yapan personel hedefli saldırılara karşı eğitilmelidir.

APT saldırıları, kurumsal güvenliğin yalnızca teknolojik değil, stratejik bir konu olduğunu
ortaya koyar. Siber güvenlik dünyasında “mutlak koruma” diye bir kavram olmadığı gerçeğini
göz önünde bulundurarak, organizasyonların saldırıya uğrayabileceklerini varsayan ve hızlı
tespit, müdahale ve toparlanma üzerine odaklanan “ihlal varsayımı” (assume breach)
yaklaşımını benimsemesi günümüzde kaçınılmaz hale gelmiştir.

APT’ler, modern siber güvenlik tehdit manzarasında en sofistike ve uzun vadeli tehditler
arasında yer almakta; bireylerin, kurumların ve devletlerin dijital egemenliklerini tehdit
etmeye devam etmektedir. Bu tehdit türüyle mücadele, yalnızca teknik güvenlik önlemleri
değil; sürekli gelişen savunma refleksleri, güçlü siber farkındalık ve güncel tehdit istihbaratı
ile mümkündür.

 

2.5 Güncel Saldırı Senaryoları ve Vaka Analizleri

Siber güvenlik tehditleri sürekli evrimleşmekte ve her geçen yıl saldırı yöntemleri daha
karmaşık hale gelmektedir. Güncel saldırı senaryolarını anlamak, sadece savunma
mekanizmalarını geliştirmek için değil; aynı zamanda kurumların ve bireylerin tehdit algısını
güncel tutabilmeleri için kritik önem taşır. Bu bölümde, son yıllarda dikkat çeken saldırı
örnekleri ve saldırganların kullandığı temel yöntemler incelenecektir.

Günümüzde en sık karşılaşılan saldırı türlerinin başında oltalama (phishing) ve hedefli
oltalama (spear phishing) saldırıları gelmektedir (2.3 de bu konudan bahsedilmiştir). Bu
saldırılar, genellikle e-posta, SMS veya sosyal medya mesajları aracılığıyla yapılır ve
kurbanların kimlik bilgilerini, şifrelerini veya hassas verilerini çalmayı hedefler. Özellikle
finans sektörü, sağlık sektörü ve eğitim kurumları bu tür saldırılar için öncelikli hedefler
arasındadır. Örneğin, COVID-19 pandemisi süresince saldırganlar, sahte sağlık bakanlığı
uyarıları veya aşı bilgilendirme mesajları ile milyonlarca kullanıcıyı hedef almıştır.

Diğer bir dikkat çekici saldırı senaryosu ise tedarik zinciri saldırılarıdır. Saldırganlar,
doğrudan hedef kurumu ele geçirmek yerine, onun hizmet aldığı veya entegre olduğu üçüncü
tarafları hedefleyerek dolaylı bir yol izler. En bilinen örneklerden biri SolarWinds saldırısıdır.
Bu saldırıda, SolarWinds yazılımına zararlı kod entegre edilerek dünya çapında birçok
kurumsal ve devlet sistemine uzun süreli erişim sağlanmıştır. Tedarik zinciri saldırıları,
modern siber saldırıların sistemik riskler yaratabileceğini göstermiştir.

Fidye yazılımı (ransomware) saldırıları da güncel tehdit manzarasında önemli bir yer
tutmaktadır. Özellikle sağlık kurumlarına yönelik saldırılar, insan hayatını tehdit edecek
boyutlara ulaşmıştır. Örneğin, 2021 yılında Colonial Pipeline saldırısı sonucunda Amerika
Birleşik Devletleri’nde enerji arzında büyük kesintiler yaşanmış, fidye ödemesi sonucunda
sistemlerin yeniden çalıştırılabildiği görülmüştür. Benzer şekilde, siber saldırganlar fidye
taleplerini artırmak için çift şantaj yöntemlerini devreye sokmakta ve verileri sızdırma tehdidi
ile baskı yapmaktadır.

Güncel saldırı senaryoları arasında finansal dolandırıcılık da önemli bir yer tutar. İş e-posta
sahteciliği (Business Email Compromise – BEC) saldırılarıyla şirketlerin muhasebe
departmanları hedef alınır ve yüklü miktarlarda para transferleri saldırganların kontrolündeki
hesaplara yönlendirilir. Bu saldırılar genellikle teknik araçlar yerine iyi hazırlanmış sahte
kimlikler ve ikna edici iletişim stratejileri ile gerçekleştirilir.

Daha gelişmiş saldırı kampanyalarında ise APT (Advanced Persistent Threat) gruplarının
uyguladığı uzun vadeli casusluk operasyonları dikkat çeker. Örneğin, Çin kaynaklı olduğu
düşünülen APT gruplarının Batılı teknoloji firmalarından uzun süreli bilgi sızdırdığı
belgelenmiştir. Bu saldırılar genellikle tespit edilmeden aylarca veya yıllarca sürer ve sadece
ileri düzey tehdit tespit sistemleri tarafından anlaşılabilir.

Son dönemde özellikle yapay zekâ destekli saldırılar gündeme gelmiştir. Deepfake
teknolojileri kullanılarak üst düzey yöneticilerin ses veya görüntülerinin taklit edilmesiyle
dolandırıcılık saldırıları yapılmaya başlanmıştır. Bu durum, kimlik doğrulamanın yalnızca
görsel veya sesli teyide dayalı olmasının güvenlik açıklarını artırabileceğini ortaya koymuştur.
Güncel saldırılara baktığımızda, saldırganların yalnızca teknik zafiyetleri değil, insan
hatalarını, organizasyonel zayıflıkları ve tedarik zinciri risklerini hedef aldığını görüyoruz.
Başarılı saldırıların çoğu, birden fazla saldırı vektörünü bir arada kullanan hibrit saldırılardır.
Örneğin, hedefli bir oltalama e-postası ile kimlik bilgileri ele geçirilir, ardından ele geçirilen
kimlik ile sistemlere sızılır ve son aşamada fidye yazılımı kullanılarak kurum işleyişi
tamamen durdurulabilir.

Bu vaka analizleri göstermektedir ki modern siber saldırılar; teknik bilgi, psikolojik
manipülasyon ve iş süreçlerinin derinlemesine analizini bir araya getiren çok boyutlu saldırı
kampanyaları şeklinde gerçekleşmektedir. Bu nedenle güvenlik savunmasının da sadece
teknolojik çözümlerle sınırlı kalmaması, organizasyonel farkındalık, etkili olay müdahale
süreçleri ve sürekli güncellenen savunma stratejileri ile desteklenmesi zorunlu hale gelmiştir.

Bölüm 3: Savunma Stratejileri ve Güvenlik Mimarileri

3.1 Katmanlı Savunma (Defence-in-Depth)

Günümüzün gelişmiş ve sürekli evrilen tehdit manzarasında, siber güvenlik yaklaşımlarının
yalnızca tek bir savunma katmanına dayanması yetersiz kalmaktadır. Bu noktada “Katmanlı
Savunma” ya da global literatürdeki ifadesiyle “Defence-in-Depth”, modern güvenlik
mimarilerinin temel taşı olarak öne çıkar. Katmanlı savunma, güvenlik politikalarının,
teknolojilerin ve insan faktörünün çoklu savunma halkalarıyla organize edilmesini ifade eder.
Amaç, bir saldırganın tek bir savunma önlemini aşarak doğrudan hedefe ulaşmasını
engellemek; her katmanda saldırıyı yavaşlatmak, tespit etmek ve bertaraf etmektir.

Bu yaklaşım, özellikle günümüzde sıkça karşılaşılan çok vektörlü saldırılar karşısında oldukça
etkilidir. Örneğin, bir fidye yazılımı saldırısı yalnızca antivirüs programlarını aşmakla
kalmayabilir; aynı zamanda kimlik doğrulama sistemlerini, yedekleme altyapılarını veya ağ
güvenlik cihazlarını da hedef alabilir. Bu nedenle katmanlı bir yapı, her güvenlik bileşeninin
birbirini tamamlayarak saldırıya karşı çok yönlü bir savunma oluşturmasını sağlar.

 

Katmanlı savunmanın uygulamasında genellikle şu temel güvenlik katmanları bulunur:

• Fiziksel Güvenlik: Sunuculara ve veri merkezlerine fiziksel erişimin sınırlandırılması,
güvenlik kameraları ve biyometrik erişim kontrolleri gibi önlemlerle sağlanır.
• Ağ Güvenliği: Güvenlik duvarları, ağ segmentasyonu, VPN çözümleri, saldırı tespit
ve önleme sistemleri (IDS/IPS) ile ağ trafiği kontrol altına alınır.
• Uygulama Güvenliği: Web uygulama güvenlik duvarları (WAF), güvenli kodlama
prensipleri, güvenlik testleri ve uygulama güncellemeleriyle yazılım katmanı korunur.
• Uç Nokta Güvenliği: Anti-malware yazılımları, EDR çözümleri, cihaz erişim kontrol
politikaları gibi yöntemlerle kullanıcı cihazları güvence altına alınır.
• Veri Güvenliği: Şifreleme, veri kaybı önleme (DLP) sistemleri, sıkı erişim
kontrolleriyle veri ihlallerinin önüne geçilir.
• Kimlik ve Erişim Yönetimi: Çok faktörlü kimlik doğrulama (MFA), yetkilendirme
politikaları, en az ayrıcalık prensibi (principle of least privilege) gibi yöntemlerle
kullanıcı hareketleri sınırlandırılır.
• Sürekli İzleme ve Olay Müdahale: SIEM çözümleri, sürekli log analizi, olay
müdahale ekipleri (CSIRT) ile anomali tespiti ve hızlı müdahale süreçleri sağlanır.
• Eğitim ve Farkındalık: İnsan faktörü en zayıf halka olduğundan, çalışanlara düzenli
güvenlik farkındalık eğitimleri verilmesi bu yapının ayrılmaz bir parçasıdır.

Katmanlı savunmanın temel avantajı, herhangi bir savunma hattının başarısız olması
durumunda diğer katmanların devreye girerek saldırganın ilerlemesini zorlaştırmasıdır. Bu,
güvenliğe “iç içe geçmiş halkalar” mantığıyla yaklaşmayı gerektirir. Özellikle günümüzde
sıkça görülen hedefli saldırılar (spear phishing, APT’ler, tedarik zinciri saldırıları)
düşünüldüğünde, tekil savunma önlemlerine güvenmek son derece risklidir.

Modern katmanlı savunma anlayışı, sadece teknolojik önlemlerle değil; süreçler, prosedürler
ve insan davranışlarıyla da desteklenir. Bu nedenle güvenlik mimarileri oluşturulurken
yalnızca ürün ve yazılım odaklı değil, aynı zamanda sürdürülebilir ve organizasyonel bir
güvenlik kültürü oluşturacak şekilde planlama yapılmalıdır.

Son yıllarda katmanlı savunma yaklaşımı, sıfır güven (Zero Trust), saldırı yüzeyi azaltma
(Attack Surface Reduction), tehdit istihbaratı entegrasyonu gibi modern güvenlik
anlayışlarıyla zenginleşmiştir. Bu yeni nesil yaklaşımlar, katmanlı savunmayı daha dinamik ve
sürekli gelişen bir yapıya dönüştürmüştür.

Kısacası, katmanlı savunma yalnızca saldırıyı önlemeyi değil; tespit, müdahale ve toparlanma
kabiliyetlerini de geliştiren, kurumsal güvenlik için bütünsel bir bakış açısı sunan vazgeçilmez
bir stratejidir.

 

3.2 Sıfır Güven (Zero Trust) Modeli

Sıfır Güven (Zero Trust) modeli, geleneksel ağ güvenliği yaklaşımlarına köklü bir alternatif
olarak son yıllarda hızla yaygınlaşan bir güvenlik felsefesidir. Özünde, hiçbir kullanıcıya,
cihaza veya hizmete otomatik olarak güven duyulmaması prensibini esas alır. Klasik ağ
güvenlik mimarilerinde, kurum içi ağ “güvenli” kabul edilirken, dışarıdan gelen trafiğe karşı
koruma sağlanırdı. Ancak günümüzde artan mobilite, uzaktan çalışma, bulut hizmetleri ve
sofistike saldırılar sonucunda ağ sınırları bulanıklaşmış ve geleneksel iç-dış ayrımı
geçerliliğini büyük ölçüde yitirmiştir. Zero Trust yaklaşımı tam da bu noktada devreye
girerek, “asla güvenme, her zaman doğrula” ilkesini merkeze alır.

Zero Trust modelinde temel varsayım şudur: ağın içi veya dışı fark etmeksizin tüm erişim
talepleri potansiyel bir tehdit olarak değerlendirilmelidir. Bu yaklaşım, hem kurum içinden
gelebilecek kötü niyetli hareketlere hem de ele geçirilmiş hesapların oluşturabileceği risklere
karşı daha sağlam bir savunma sağlar.

 

Zero Trust mimarisinin temel bileşenleri üç ana prensip etrafında şekillenir:

1. Doğrulama ve Kimlik Doğrulama (Verify Explicitly): Tüm erişim talepleri kimlik
doğrulaması, cihaz sağlığı, kullanıcı lokasyonu, uygulama türü gibi çoklu faktörlere
göre sıkı şekilde doğrulanır. Tek seferlik kimlik doğrulama yeterli değildir; her yeni
işlemde güvenlik politikaları tekrar devreye girer. Çok faktörlü kimlik doğrulama
(MFA) Zero Trust’ın temel yapı taşlarındandır.

2. Minimum Yetki (Least Privilege): Kullanıcılara yalnızca görevlerini yerine getirecek
kadar erişim izni verilir. Geniş yetkili erişim modelleri terk edilir, yetki talepleri
sürekli gözden geçirilir. Bu prensip ile içeriden gelebilecek tehditlerin etkisi minimize
edilir.

3. Varsayılan İhlal Yaklaşımı (Assume Breach): Güvenlik sistemleri saldırıya uğramış
gibi tasarlanır. Sürekli izleme, anomali tespiti ve olay müdahalesi kritik önem taşır.
Amaç saldırganın ağda hareket kabiliyetini minimuma indirgemek ve tespit süresini
mümkün olduğunca kısaltmaktır.

Zero Trust yaklaşımı sadece teknolojik araçlar ile değil, aynı zamanda kurumsal politikalar,
süreçler ve insan davranışlarıyla bütünleşik bir şekilde uygulanır.

 

Genellikle Zero Trust uygulamaları şu teknolojilerle desteklenir:

• Kimlik ve erişim yönetimi çözümleri (IAM, Identity Governance)
• Mikro segmentasyon ve ağ segmentasyonu
• Sürekli kimlik doğrulama
• Uç nokta güvenlik çözümleri ve cihaz doğrulaması
• Bulut erişim güvenliği broker’ları (CASB)
• Güvenlik Bilgi ve Olay Yönetimi (SIEM) ve SOAR sistemleri
• Davranış analizi ve yapay zekâ destekli anomali tespiti

Modern Zero Trust mimarileri yalnızca kurum içi sistemlerde değil; çoklu bulut ortamlarında,
SaaS uygulamalarında ve uzaktan çalışan ekiplerde de uygulanmaktadır. Özellikle hibrit
çalışma modellerinin yaygınlaştığı pandemi sonrası dönemde Zero Trust, birçok kurumun
güvenlik dönüşümünün temelini oluşturmuştur.

Zero Trust modelinin uygulanması genellikle aşamalı bir dönüşüm gerektirir. Mevcut
sistemlerin risk analizi yapılarak kritik iş yüklerinden başlanır ve zaman içinde tüm kurumsal
altyapıya yayılır. Bu dönüşüm, teknik değişikliklerin yanı sıra kültürel bir değişim de
gerektirir çünkü çalışan alışkanlıkları, erişim prosedürleri ve güvenlik politikaları yeniden
yapılandırılır.

Sonuç olarak, Zero Trust yalnızca bir teknoloji trendi değil, modern siber güvenlik anlayışının
yeni standardı haline gelmiştir. Saldırı yüzeyinin genişlediği, güvenlik sınırlarının silikleştiği
ve tehditlerin geliştiği günümüz ortamında Zero Trust yaklaşımı, güvenliğin yeniden
tanımlanmasını sağlayan proaktif ve dinamik bir güvenlik stratejisidir.

 

3.3 Güvenlik Duvarları ve Ağ Segmentasyonu

Siber güvenlik mimarisinin temel taşlarından biri olan güvenlik duvarları (firewalls), ağ
trafiğini kontrol ederek yetkisiz erişimleri engellemeye yarayan kritik savunma araçlarıdır. İlk
ortaya çıktıklarından itibaren sürekli gelişen güvenlik ihtiyaçlarına paralel olarak
evrilmişlerdir. Günümüzde klasik paket filtreleme duvarlarından, uygulama katmanı denetimi
yapan gelişmiş güvenlik duvarlarına (Next-Generation Firewalls – NGFW) kadar birçok farklı
türü bulunmaktadır.

Güvenlik duvarlarının temel işlevi, gelen ve giden ağ trafiğini belirlenen güvenlik
politikalarına göre denetlemek ve sadece izin verilen bağlantıların geçişine müsaade etmektir.
Bu sayede dış tehditlerin iç ağa sızması engellenirken, iç ağdaki cihazların da güvenlik
risklerine karşı korunması sağlanır. NGFW’ler, klasik yöntemlerin ötesinde derin paket
incelemesi, uygulama farkındalığı, tehdit istihbaratı entegrasyonu ve kullanıcı bazlı denetim
özellikleri sunar.

Ağ segmentasyonu ise bir organizasyonun ağı içindeki farklı bölgeleri birbirinden izole
ederek güvenliği artıran bir yöntemdir. Segmentasyon, saldırganların ağ içinde yatay
hareketini (lateral movement) zorlaştırır ve olası bir ihlal durumunda etkilerin yayılmasını
engeller. Örneğin, finans departmanının kullandığı sistemler ile genel ofis ağı ayrı
segmentlerde bulunabilir. Böylece, bir segmentteki güvenlik açığı diğer segmentlere sıçramaz.
Segmentasyonun uygulanması farklı yöntemlerle yapılabilir. Fiziksel segmentasyon, farklı ağ
donanımları kullanarak yapılırken, sanal LAN (VLAN) teknolojileri ile mantıksal olarak da
ağlar bölünebilir. Mikro segmentasyon ise özellikle bulut ve sanallaştırma ortamlarında
popülerdir; burada segmentasyon daha ince granülerlikte, hatta tek bir uygulama bileşeni
bazında sağlanabilir.

Güvenlik duvarları ve segmentasyon birlikte çalıştığında, ağ trafiğinin güvenli ve kontrollü
yönetilmesi mümkün olur. Segmentasyon sayesinde kritik sistemler ve hassas veriler, yalnızca
yetkili kullanıcıların erişebileceği güvenli bölgelerde tutulur. Güvenlik duvarları ise bu
segmentlere giriş-çıkışı sıkı bir şekilde denetler.

Son yıllarda, IoT cihazlarının yaygınlaşması ve bulut tabanlı servislerin artması ile birlikte ağ
segmentasyonu daha da önem kazanmıştır. Bu cihazlar sıklıkla standart güvenlik önlemleri
olmayan, savunması zayıf sistemler olabilir ve segmentasyon ile bu riskler azaltılabilir.
Ayrıca, SDN (Software Defined Networking) gibi modern ağ teknolojileri, segmentasyon ve
güvenlik duvarlarının daha esnek ve dinamik bir şekilde uygulanmasına olanak tanımaktadır.
Bu sayede, ağ yapısı ve güvenlik politikaları ihtiyaçlara göre hızlıca değiştirilebilir.

Özetle, güvenlik duvarları ve ağ segmentasyonu, kurumların ağ altyapısını saldırılara karşı
dirençli hale getiren, siber güvenlik stratejisinin vazgeçilmez bileşenleridir. Etkin bir şekilde
yapılandırıldıklarında, hem dış tehditlere karşı güçlü bir bariyer oluşturur hem de iç ağda
oluşabilecek risklerin yayılmasını sınırlarlar.

 

3.4 Uç Nokta Koruma Yöntemleri

Günümüzde kurumların ve bireylerin kullandığı uç noktalar –bilgisayarlar, mobil cihazlar,
tabletler ve IoT aygıtları– siber saldırıların en sık hedef aldığı alanlar haline gelmiştir. Uç
noktalar, doğrudan kullanıcıların ellerinde olduğundan ve ağın dışına veya bulut ortamlarına
bağlandığından, güvenlik açısından en zayıf halka olabilir. Bu nedenle etkili uç nokta koruma
yöntemleri, kapsamlı bir siber güvenlik stratejisinin olmazsa olmaz parçasıdır.

Uç nokta korumasının temel amacı, cihazları zararlı yazılımlardan (malware) korumak,
yetkisiz erişimleri engellemek, veri sızıntısını önlemek ve cihazların genel güvenlik durumunu izlemektir.

Bu kapsamda kullanılan başlıca teknolojiler ve yöntemler şunlardır:

• Antivirus ve Antimalware Yazılımları: Geleneksel olarak kötü amaçlı yazılımlara
karşı ilk savunma hattı olarak kullanılır. Modern versiyonları, imza tabanlı tespitin
yanı sıra davranış analizi, makine öğrenimi ve tehdit istihbaratıyla desteklenerek
bilinmeyen tehditleri de algılayabilir.

• Uç Nokta Algılama ve Müdahale (EDR) Sistemleri: EDR çözümleri, uç noktada
gerçekleşen tüm aktiviteleri sürekli izler, şüpheli davranışları tespit eder ve otomatik
ya da manuel müdahale imkanları sunar. Bu sistemler, saldırının yayılmasını önlemek
ve hızlı müdahale sağlamak için kritik öneme sahiptir.

• Cihaz Yönetimi ve Politikalar: Mobil cihaz yönetimi (MDM) ve uç nokta yönetimi
(EPP) araçları, cihazların güvenlik konfigürasyonlarını merkezden yönetir. Şifre
politikaları, yazılım güncellemeleri, cihaz şifrelemesi gibi standartların uygulanması
sağlanır.

• Veri Koruma Önlemleri: Uç noktalarda saklanan veya işlenen verilerin şifrelenmesi,
veri kaybı önleme (DLP) sistemleri ile izlenmesi ve yetkisiz kopyalamaların
engellenmesi bu katmanın önemli unsurlarıdır.

• Uç Nokta Tehdit İstihbaratı: Güncel ve hedefe yönelik tehditler hakkında bilgi
sağlayan sistemler, savunma mekanizmalarının adaptasyonunu hızlandırır.

• Sıfır Güven (Zero Trust) Yaklaşımı: Uç noktalar için uygulanan sıfır güven
prensipleri, her erişim talebinin doğrulanmasını ve en az ayrıcalıkla işlem yapılmasını
sağlar.

• Kullanıcı Farkındalığı: Uç noktaların güvenliği sadece teknik araçlarla sağlanamaz;
kullanıcıların bilinçlendirilmesi ve şüpheli durumlarda doğru adımları atması da kritik
önemdedir.

Daha önce de bahsedildiği gibi son yıllarda özellikle uzaktan çalışma modellerinin
yaygınlaşmasıyla birlikte uç nokta güvenliği daha da kritik bir hale gelmiştir. Kurumlar, farklı
lokasyonlarda bulunan çalışanlarının cihazlarını korumak ve güvenli bağlantılar sağlamak
zorundadır. Ayrıca IoT cihazlarının hızla artması, uç nokta koruma kapsamını genişletmekte
ve yeni güvenlik zorlukları ortaya çıkarmaktadır.

Uç nokta koruma stratejileri, kurumların genel güvenlik duruşunu doğrudan etkiler. Zayıf
veya güncel olmayan bir uç nokta savunması, saldırganların ağ içinde kolayca hareket
etmelerine olanak tanır ve geniş çaplı güvenlik ihlallerine yol açabilir.
Özetle, uç nokta koruma yöntemleri, teknolojik gelişmelerle birlikte evrilerek modern siber
güvenlik mimarisinde merkezi bir rol oynamaktadır. Etkin uç nokta güvenliği, sadece
cihazların değil, aynı zamanda kullanıcıların ve kurumsal verilerin bütünsel korunmasını
hedefler.

 

3.5 Güvenlik Bilgi ve Olay Yönetimi (SIEM) Sistemleri

Güvenlik Bilgi ve Olay Yönetimi (Security Information and Event Management – SIEM)
sistemleri, siber güvenlik ekosisteminin en kritik bileşenlerinden biri olarak öne çıkar. SIEM,
kurumların farklı kaynaklardan gelen büyük hacimli güvenlik verilerini toplayarak, analiz
ederek ve ilişkilendirerek merkezi bir görünürlük sağlar; böylece tehditleri erken aşamada
tespit etmeyi ve hızlı müdahale etmeyi mümkün kılar.

SIEM sistemlerinin temel işlevleri üç ana başlıkta toplanabilir: veri toplama, olay korelasyonu
ve uyarı/raporlama. İlk aşamada, SIEM çeşitli kaynaklardan — ağ cihazları, güvenlik
duvarları, sunucular, uygulamalar, uç noktalar, veritabanları ve bulut servisleri gibi — log ve
güvenlik olaylarını toplar. Bu veriler standartlaştırılır ve normalize edilerek analiz için hazır
hale getirilir.

Olay korelasyonu, SIEM’in en kritik özelliklerinden biridir. Toplanan farklı kaynaklardan
gelen veriler arasındaki ilişkiler analiz edilir, önemsiz olaylar filtrelenirken potansiyel saldırı
belirtileri ortaya çıkarılır. Örneğin, bir kullanıcı hesabıyla aynı anda farklı coğrafi bölgelerden
giriş denemeleri yapılması veya sistemde olağan dışı veri transferi gibi anormallikler
korelasyon mekanizmaları ile tespit edilir. Bu sayede güvenlik ekipleri, yüzlerce hatta binlerce
olay arasından gerçek ve acil tehditleri ayırt edebilir.

SIEM sistemleri, genellikle uyarı ve raporlama modülleri ile desteklenir. Güvenlik ekiplerine
anlık bildirimler göndererek olaylara hızlı müdahale imkânı tanır. Ayrıca düzenli olarak
oluşturulan raporlar ile kurumun güvenlik durumu izlenir, uyumluluk gereksinimleri karşılanır
ve yönetim seviyesine anlamlı bilgiler sunulur.

Günümüzde gelişmiş SIEM çözümleri, yapay zekâ (AI) ve makine öğrenimi (ML)
algoritmaları ile desteklenerek, daha sofistike saldırıların tespitinde yüksek başarı sağlar. Bu
teknolojiler, normal davranış profillerini öğrenir, anormallik tespitinde insan hatasını
minimize eder ve sıfırıncı gün (zero-day) saldırılar gibi bilinmeyen tehditlere karşı da
savunma mekanizması oluşturur.

SIEM sistemlerinin bir diğer önemli özelliği, olay müdahale süreçlerini otomatikleştiren
Security Orchestration, Automation, and Response (SOAR) çözümleri ile entegrasyonudur.
Bu entegrasyon sayesinde, tehdit tespitinden sonra yapılacak aksiyonlar — örneğin zararlı
bağlantıların engellenmesi, kullanıcı hesaplarının geçici kilitlenmesi veya sistem yedeklerinin
alınması — otomatik olarak devreye alınabilir. Böylece müdahale süresi kısalır, insan
kaynaklı gecikmeler ve hatalar azaltılır.

SIEM’in kurumlar için önemi, sadece güvenlik tehditlerine karşı savunma sağlamakla sınırlı
değildir. Aynı zamanda endüstri standartları ve regülasyonlara (örneğin GDPR, PCI-DSS,
HIPAA) uyum sağlamak için de kritik bir araçtır. Düzenli log tutma, izlenebilirlik ve olay
kayıtlarının saklanması SIEM ile mümkün hale gelir.

Ancak SIEM sistemlerinin etkin kullanımı için doğru planlama, sürekli bakım ve uzman
güvenlik personelinin varlığı şarttır. Yanlış yapılandırılmış veya aşırı uyarı veren SIEM
çözümleri, “alarm yorgunluğu”na yol açabilir ve gerçek tehditlerin gözden kaçmasına neden
olabilir. Bu nedenle, SIEM projelerinde öncelikle kurumun risk profili ve ihtiyaçları detaylı
analiz edilmeli, sürekli eğitim ve optimizasyon sağlanmalıdır.

Sonuç olarak, SIEM sistemleri modern siber güvenlik mimarisinin beyni gibidir. Karmaşık ve
hızla değişen tehdit ortamında, kurumların saldırıları erken tespit edip etkili şekilde yanıt
verebilmeleri için merkezi, kapsamlı ve entegre bir güvenlik olay yönetim platformu sunar.

 

Bölüm 4: Kurumsal Güvenlik Yönetimi

4.1 Bilgi Güvenliği Politikaları

Bilgi güvenliği sadece teknik çözümlerden ibaret değildir; kurumların sürdürülebilir bir
güvenlik duruşuna sahip olabilmesi için kurumsal düzeyde politika ve prosedürlerle
desteklenmesi gerekir. Bilgi güvenliği politikaları, kurumun bilgi varlıklarını korumaya
yönelik genel yaklaşımını, beklentilerini ve kurallarını belirleyen resmi dokümanlardır. Hem
çalışanların hem de üçüncü tarafların uyması gereken temel ilkeleri tanımlar ve tüm güvenlik
stratejisinin çerçevesini oluşturur.

Bilgi güvenliği politikalarının temel amacı, kurumun bilgi varlıklarını yetkisiz erişim, ifşa,
bozulma, hırsızlık veya kesintiye uğrama gibi risklere karşı korumaktır. Bu politikalar,
yönetim düzeyinde hazırlanan, üst yönetimin onayladığı ve organizasyonun tüm seviyelerine
iletilen bağlayıcı metinlerdir.

Modern bilgi güvenliği politikaları, yalnızca IT departmanına yönelik değildir. İnsan
kaynaklarından fiziksel güvenliğe, hukuk biriminden iş sürekliliği ekiplerine kadar tüm kurum
genelini kapsar.

Etkin bir politika seti genellikle şu başlıkları içerir:
• Erişim Kontrol Politikası: Kimlerin, hangi bilgilere, hangi koşullarda erişebileceğini
tanımlar. Yetki matrisleri oluşturur ve erişimlerin periyodik gözden geçirilmesini
zorunlu kılar.
• Şifre Yönetimi Politikası: Güçlü parola standartlarını, şifre değiştirme sıklığını, çok
faktörlü kimlik doğrulama (MFA) uygulamalarını ve şifre saklama kurallarını belirler.
• Varlık Yönetim Politikası: Kurumun bilgi varlıklarının nasıl envanterlendirileceğini,
sınıflandırılacağını ve korunacağını tanımlar.
• Olay Müdahale Politikası: Güvenlik ihlallerinde izlenecek adımlar, sorumluluklar ve
iletişim kanallarını düzenler. Olay sonrası öğrenme süreçlerini teşvik eder.
• İş Sürekliliği Politikası: Felaket durumlarında iş süreçlerinin nasıl devam
ettirileceğine dair genel çerçeveyi çizer.
• Taşınabilir Medya ve Cihaz Politikası: USB bellekler, taşınabilir diskler, kişisel
mobil cihazlar gibi uç noktalara dair kuralları belirler.
• Eğitim ve Farkındalık Politikası: Çalışanlara düzenli güvenlik eğitimi verilmesini
zorunlu kılarak insan faktörünü güçlendirmeyi hedefler.

İyi tasarlanmış bilgi güvenliği politikaları, yalnızca yasal bir zorunluluk ya da kurumsal
formalite değildir; aynı zamanda kurum kültürünün bir parçasıdır. Bu politikalar sayesinde
çalışanlar hangi davranışların kabul edilebilir olduğunu bilir, güvenlik süreçleri standart hale
gelir ve kurum daha hesap verebilir bir yapıya kavuşur.

Politikaların hazırlık süreci genellikle üst yönetimin desteğini alarak başlar, ardından bilgi
güvenliği ekibi tarafından kapsamlı bir ihtiyaç analizi yapılır. Yürürlüğe girdikten sonra da
politika belgelerinin “yaşayan dokümanlar” olarak görülmesi önemlidir; düzenli olarak
gözden geçirilmeli ve yeni tehditler, iş modelleri veya mevzuat değişikliklerine göre
güncellenmelidir.

Kısaca bilgi güvenliği politikaları teknik önlemleri tamamlayan, insan ve süreç odaklı bir
savunma hattı oluşturur. Politikasız kurumların güvenlik yaklaşımı eksik kalır; sağlam ve
uygulanabilir politikalar ise güvenlik kültürünün temel taşıdır.

 

4.2 Risk Yönetimi ve Risk Değerlendirme Metodolojileri

Bilgi güvenliği yönetiminde en kritik unsurlardan biri riskleri doğru şekilde tespit etmek,
önceliklendirmek ve yönetmektir. Risk yönetimi, yalnızca saldırılardan korunmayı değil; iş
süreçlerinin sürekliliğini sağlamayı, kaynakları verimli kullanmayı ve kurumun stratejik
hedeflerine güvenli şekilde ulaşmasını amaçlar. Etkin bir risk yönetimi, proaktif bir güvenlik
yaklaşımının temelini oluşturur.

Siber güvenlikte risk; bir tehdidin, belirli bir zafiyeti kullanarak bilgi varlıklarına zarar verme
olasılığı ve bu zararın kuruma olan etkisinin birleşimiyle tanımlanır. Yani sadece tehdidin
varlığı değil, bu tehdidin gerçekleşmesi halinde kurumun ne ölçüde zarar göreceği de göz
önünde bulundurulur

Risk Yönetimi Sürecinin Temel Aşamaları:
1. Varlık Envanteri ve Sınıflandırma: Etkili risk yönetimi, kuruma ait tüm bilgi
varlıklarının tanımlanmasıyla başlar. Fiziksel cihazlar, yazılımlar, veritabanları, insan
kaynağı ve hizmet sağlayıcılar dahil olmak üzere tüm varlıklar envantere alınır ve
kritiklik seviyelerine göre sınıflandırılır.

2. Tehdit ve Zafiyet Analizi: Her varlık için potansiyel tehdit kaynakları (siber
saldırganlar, iç tehditler, doğal afetler, sistem arızaları vb.) belirlenir. Ayrıca bu
tehditlerin başarıya ulaşmasını kolaylaştıran zafiyetler (güncellenmeyen sistemler,
zayıf şifreler, yetersiz erişim kontrolleri gibi) analiz edilir.

3. Risk Değerlendirme: Tehditlerin gerçekleşme olasılığı ile potansiyel etkisi
birleştirilerek riskler ölçülür. Kurumların çoğu bu aşamada kantitatif (sayısal verilere
dayalı) veya kalitatif (düşük, orta, yüksek gibi derecelendirmelerle) metodolojiler
kullanır.

4. Risklerin Önceliklendirilmesi: Tüm riskler aynı öneme sahip değildir. Kurumun
faaliyetlerini ciddi şekilde sekteye uğratabilecek yüksek öncelikli riskler önce ele
alınır. Bu noktada riskin kabul edilebilirlik seviyeleri belirlenir.

5. Risk Azaltma Stratejilerinin Belirlenmesi: Riskler yok edilemese de azaltılabilir,
transfer edilebilir (sigorta gibi), kabul edilebilir ya da tamamen ortadan kaldırılabilir.
Bu aşamada alınacak kontroller, uygulamalar ve iyileştirme planları netleştirilir.

6. Sürekli İzleme ve Güncelleme: Risk ortamı statik değildir. Yeni tehditler ortaya
çıktıkça, iş süreçleri değiştikçe veya teknolojiler evrildikçe riskler de değişir. Bu
yüzden risk yönetimi döngüsel bir süreçtir ve düzenli aralıklarla yeniden gözden
geçirilmelidir.

Öne Çıkan Risk Değerlendirme Metodolojileri:
• ISO 27005: ISO 27001 standardına uyumlu risk yönetimi için yol gösterici bir çerçeve
sunar. Sistematik, kapsamlı ve döngüsel bir değerlendirme sürecini teşvik eder.
• OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation):
Özellikle kurumsal ortamlar için geliştirilmiş, riski iş perspektifinden ele alan detaylı
bir yöntemdir.
• NIST SP 800-30: ABD Ulusal Standartlar ve Teknoloji Enstitüsü tarafından önerilen,
riski sistematik şekilde tanımlama, analiz etme ve değerlendirme süreci.
• FAIR (Factor Analysis of Information Risk): Sayısal risk hesaplamaları için
kullanılan kantitatif bir metodolojidir ve “dolar cinsinden” risk değerlendirmesi
yapılmasına olanak tanır.
• EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité):
Özellikle Avrupa kurumlarında kullanılan, güvenlik ihtiyaçlarının belirlenmesine
odaklanan metodolojidir.
• Ulusal Siber Olaylara Müdahale Merkezi (USOM) Tavsiyeleri ve Ulusal Siber
Güvenlik Strateji Belgeleri → Türkiye’de risk değerlendirme süreçlerinde dikkate
alınan yerel referanslar arasında sayılabilir.

Modern Yaklaşımlar ve Güncel Eğilimler:
Klasik risk değerlendirme yöntemleri, daha dinamik tehdit ortamına uyum sağlamak amacıyla
güncellenmektedir. Özellikle tehdit istihbaratı entegrasyonu, sürekli risk değerlendirme
(Continuous Risk Assessment), yapay zekâ destekli risk tahminleme gibi yöntemler önem
kazanmıştır. Ayrıca iş birimleriyle teknik ekiplerin birlikte çalıştığı bütüncül yaklaşımlar daha
fazla benimsenmektedir.

Özellikle regülasyonlarla (örneğin GDPR, KVKK) uyum kapsamında da risk bazlı yaklaşım
zorunlu hale gelmiştir. Veri işleme faaliyetlerinin risk değerlendirmesi yapılmadan
sürdürülmesi birçok yasal yükümlülüğe aykırıdır.

Risk yönetimi, yalnızca teknik bir faaliyet değil, aynı zamanda üst yönetim seviyesinde karar
alma süreçlerini doğrudan etkileyen bir yönetişim aracıdır. Kurumlar kaynaklarını sınırsız
şekilde güvenliğe ayıramayacağı için, hangi risklerin kabul edilemez olduğunu bilmek ve
öncelikleri buna göre belirlemek; sürdürülebilir, maliyet etkin ve güçlü bir siber güvenlik
mimarisi kurmanın temel adımıdır.

 

4.3 İş Sürekliliği ve Felaket Kurtarma Planları

Kurumların dijitalleşme yolculuğunda karşılaştığı en önemli sorulardan biri, kritik hizmetlerin
kesintisiz şekilde devam ettirilmesidir. Siber saldırılar, donanımsal arızalar, doğal afetler veya
insan hataları, iş süreçlerini anlık olarak durma noktasına getirebilir. Bu noktada sadece
saldırıları önlemek değil, kesinti anında hızlı ve planlı bir şekilde toparlanmak büyük önem
taşır. İş Sürekliliği ve Felaket Kurtarma kavramları, tam da bu ihtiyaca çözüm üretir.

İş Sürekliliği (Business Continuity), kurumun karşılaşabileceği beklenmedik durumlar
karşısında kritik iş süreçlerini kabul edilebilir süreler ve hizmet seviyeleri içerisinde
sürdürebilmesini ifade eder. Felaket Kurtarma (Disaster Recovery) ise BT altyapısının,
uygulamaların ve verilerin belirlenen kurtarma hedeflerine uygun şekilde, mümkün olan en
kısa sürede eski haline döndürülmesini kapsar. Bu iki kavram birbirini tamamlayan, kapsamlı
bir kriz hazırlık yaklaşımı oluşturur.

İyi hazırlanmış bir iş sürekliliği planı, yalnızca IT altyapısına odaklanmaz; iş süreçlerinden
insan kaynaklarına, iletişim kanallarından tedarik zincirine kadar tüm organizasyonel
unsurları kapsar. Bu planlarda öncelikle hangi hizmetlerin kritik olduğu belirlenir, bu
hizmetleri destekleyen sistemler ve insan kaynağı analiz edilir. Ardından, olası bir kesinti
durumunda hangi alternatif yöntemlerle işin sürdürülebileceği tanımlanır. Örneğin, veri
merkezinin kullanılamaz hale gelmesi durumunda coğrafi yedeklilik senaryoları devreye
alınır; çalışanlar için alternatif ofis alanları veya uzaktan çalışma modelleri planlanır.

Felaket kurtarma ise daha teknik odaklıdır ve temel hedef, veri kaybını en aza indirmek ve
kesinti süresini kısaltmaktır. Bu bağlamda kurumlar, veri yedekleme stratejileri, felaket
kurtarma siteleri, bulut tabanlı yedekleme çözümleri, otomatik failover sistemleri gibi
yöntemlerden faydalanır. Günümüzde “Disaster Recovery as a Service” (DRaaS) gibi hizmet
modelleri, felaket kurtarma altyapısını daha esnek ve maliyet etkin hale getirmiştir.

Risk değerlendirmelerinde sıkça kullanılan iki önemli ölçüt bulunur: Recovery Time
Objective (RTO) yani hizmetlerin ne kadar sürede tekrar devreye alınması gerektiği ve
Recovery Point Objective (RPO) yani bir olay yaşandığında ne kadarlık veri kaybının kabul
edilebilir olduğu. Bu iki metrik, kurumların felaket kurtarma stratejisini şekillendiren en kritik
unsurlardır.

Özellikle Türkiye’de son yıllarda artan regülasyonlar, iş sürekliliği ve felaket kurtarma
konularını daha da öncelikli hale getirmiştir. KVKK başta olmak üzere birçok düzenleme,
verilerin güvenliği kadar bütünlüğünün ve erişilebilirliğinin de sağlanmasını zorunlu
kılmaktadır. Finans ve kamu sektörlerinde ise düzenleyici kurumlar, iş sürekliliği planlarının
hazırlanmasını, test edilmesini ve raporlanmasını zorunlu kılmaktadır. Bu bağlamda düzenli
tatbikatlar yapmak ve planları sürekli güncel tutmak, yalnızca bir iyi uygulama değil, yasal bir
yükümlülük haline gelmiştir.

Siber tehditlerin gelişen doğası nedeniyle iş sürekliliği planlarında artık klasik yedekleme
çözümleri yetersiz kalmaktadır. Özellikle fidye yazılımı saldırıları, sistemlerin yanı sıra
yedeklerin de hedef alınabileceğini göstermiştir. Bu nedenle kurumlar, yedeklerini ağdan izole
etmeye (air-gapped backups), immutable storage kullanmaya ve daha sık senaryo bazlı testler
yapmaya yönelmektedir.

İş sürekliliği ve felaket kurtarma planları, yalnızca BT departmanlarının değil tüm kurumun
sorumluluğunda olan, düzenli güncelleme ve tatbikat gerektiren yaşayan dokümanlardır.
Günümüzün hızla değişen tehdit ortamında, krizlere hazırlıklı olmak ve kesintisiz hizmet
sağlayabilmek kurumsal itibarın ve sürdürülebilirliğin temel taşlarından biri haline gelmiştir.
4.4 Denetimler, Sertifikasyonlar ve Mevzuat Uyumu (ISO 27001, KVKK, GDPR)
Kurumsal bilgi güvenliği yönetimi yalnızca iyi niyetli politikalar veya teknik önlemlerle
sınırlı değildir. Kuruluşlar, belirli standartlara ve yasal düzenlemelere uyum sağlamakla da
yükümlüdür. Bu uyumun sağlanması için düzenli denetimler gerçekleştirilir ve ulusal veya
uluslararası standartlara uygunluk sertifikaları alınır. Bu süreçler, kurumların yalnızca kendi iç
güvenlik yapısını değil; aynı zamanda yasal ve sektörel sorumluluklarını yerine getirdiğini de
belgelendirmesine imkân tanır.

 

Bilgi Güvenliği Yönetim Sistemi ve ISO 27001

Dünyada en yaygın kabul gören bilgi güvenliği standartlarından biri ISO/IEC 27001’dir. Bu
standart, kurumsal bilgi varlıklarının sistematik bir yaklaşımla korunmasını sağlayan Bilgi
Güvenliği Yönetim Sistemi (BGYS) çerçevesini tanımlar. ISO 27001, yalnızca teknik
önlemleri değil, risk değerlendirmesini, organizasyonel yapılandırmaları, insan kaynakları
uygulamalarını ve düzenli denetimleri de kapsar.

Bir kuruluşun ISO 27001 sertifikası alması, güvenlik olgunluğunu belirli bir seviyeye
taşıdığını ve bunu dış denetçiler aracılığıyla doğruladığını gösterir. Türkiye’de birçok sektör
için ISO 27001 artık rekabet avantajı sağlamanın ötesinde, kamu ihaleleri veya iş
ortaklıklarında ön koşul haline gelmiştir.

ISO 27001 süreci; mevcut durum analizi, kapsam belirleme, risk değerlendirmesi, gerekli
kontrollerin uygulanması, dokümantasyon çalışmaları, iç denetimler ve akredite kuruluş
tarafından gerçekleştirilen dış denetim aşamalarından oluşur. Sertifika genellikle üç yıl
süreyle geçerli olup, yıllık gözetim denetimleriyle sistemin sürdürülebilirliği kontrol edilir.

Türkiye’de Mevzuat Uyumu: KVKK

Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de kişisel veri işleme faaliyetlerine
yönelik temel yasal çerçeveyi belirler. 6698 sayılı Kanun, hem kamu hem özel sektörde kişisel
verilerin işlenme şartlarını, veri sahibinin haklarını ve veri sorumlusunun yükümlülüklerini
ayrıntılı şekilde düzenlemiştir.

KVKK kapsamında kurumların öncelikle kişisel veri envanteri oluşturması, aydınlatma
yükümlülüğünü yerine getirmesi, veri işleme faaliyetlerini meşru bir zemine oturtması ve veri
güvenliğine ilişkin gerekli teknik ve idari tedbirleri alması beklenir. Kanun aynı zamanda ihlal
bildirim yükümlülüğü, açık rıza alma zorunluluğu ve veri minimizasyonu gibi önemli ilkeler
içerir. Kurumlar, veri sorumluları siciline (VERBİS) kayıt yaptırmakla yükümlü olabilir ve
uyumsuzluk durumunda ciddi idari para cezaları ile karşılaşabilir.

KVKK, teknik güvenlik önlemlerinin ötesinde, organizasyonel düzenlemeleri, sözleşmesel
taahhütleri ve çalışan eğitimlerini de kapsayan geniş kapsamlı bir uyum süreci gerektirir.

Avrupa Birliği Düzenlemeleri: GDPR

Türkiye’de özellikle uluslararası faaliyet gösteren kuruluşlar için bir diğer önemli düzenleme,
Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR)’dür.
GDPR, yalnızca Avrupa Birliği ülkelerinde faaliyet gösteren kurumları değil, AB
vatandaşlarının verilerini işleyen tüm global kuruluşları kapsar.

GDPR, veri sahiplerine güçlü haklar tanır; unutulma hakkı, veri taşınabilirliği, şeffaflık
yükümlülüğü gibi uygulamalar kurumların iş yapış şekillerini doğrudan etkiler. Cezai
yaptırımları ise oldukça ağırdır; veri ihlalleri veya uyumsuzluk durumunda cirosal bazda ciddi
para cezaları uygulanabilir. Türkiye’de faaliyet gösteren ve AB ile iş ilişkisi bulunan
şirketlerin GDPR uyumu sağlaması, ticari sürdürülebilirlik açısından zorunlu hale gelmiştir.

 

Diğer Sertifikasyonlar ve Uyumluluk Çerçeveleri

ISO 27001’in yanında sektöre özgü diğer uyumluluk standartları da önemlidir. Finans
sektöründe PCI DSS (Payment Card Industry Data Security Standard), sağlık sektöründe ISO
27799 veya HIPAA (ABD için) gibi standartlar uygulanır. Türkiye’de BTK, SPK, BDDK gibi
düzenleyici kurumlar da sektör spesifik güvenlik yükümlülükleri getirmektedir.
Denetim süreçleri yalnızca bir belge alımıyla sınırlı kalmamalı; kurumlar bu süreçleri gerçek
güvenlik seviyesini geliştiren bir fırsat olarak değerlendirmelidir. Düzenli iç denetimler,
bağımsız dış denetimler ve sürekli iyileştirme yaklaşımı, kurumsal güvenlik olgunluğunu
artırır.

Günümüz iş dünyasında yasal uyumluluk ve sertifikasyon süreçleri yalnızca cezai
yaptırımlardan korunma aracı değil, aynı zamanda kurumsal itibarın ve müşteri güveninin en
önemli bileşenlerinden biri haline gelmiştir. Standartlara uyum sağlamak, yalnızca bir
güvenlik duvarı kurmak değil, kurumu bütünsel bir güvenlik kültürüyle donatmaktır.

 

Bölüm 5: Uygulamalı Güvenlik

5.1 Güvenli Kodlama Prensipleri

Modern yazılım geliştirme süreçlerinde güvenlik artık ikincil bir konu olmaktan çıkmış, ürün
ve hizmetlerin temel bir bileşeni haline gelmiştir. Güvenli kodlama (secure coding), yazılımın
tasarım aşamasından itibaren güvenlik açıklarının önlenmesine odaklanan bir geliştirme
yaklaşımıdır. Amaç, kodlama hataları kaynaklı zafiyetleri en aza indirmek, saldırganların
suistimal edebileceği yüzeyleri daraltmak ve sürdürülebilir, güvenli sistemler üretmektir.
Yazılım geliştiriciler için en önemli kavramlardan biri “security by design” yani güvenliği
baştan kurgulama anlayışıdır. Güvenli yazılım geliştirme süreci, kodun yalnızca işlevsel
çalışmasını değil, kötü niyetli girişimlere karşı dayanıklı olmasını da hedefler.

Temel Güvenli Kodlama İlkeleri
• Girdi Doğrulama ve Temizleme: Tüm kullanıcı girdileri potansiyel bir tehdit olarak
ele alınmalı, doğrulama yapılmadan işleme sokulmamalıdır. SQL injection, XSS
(Cross-Site Scripting), Command Injection gibi yaygın saldırıların çoğu zayıf giriş
kontrolünden kaynaklanır.
• Yetkilendirme ve Kimlik Doğrulama: Kimlik doğrulama süreçleri güçlü şifreleme
algoritmaları ile desteklenmeli, yetkilendirme kontrolleri hem istemci tarafında hem
de sunucu tarafında uygulanmalıdır. Rollere dayalı erişim kontrolleri (RBAC) gibi
mekanizmalar kullanılmalıdır.
• Hata ve İstisna Yönetimi: Hatalar kullanıcıya hassas sistem bilgisi sızdırmayacak
şekilde ele alınmalıdır. Geliştirme aşamasındaki hata mesajları asla üretim ortamında
gösterilmemeli, loglama ile arka planda takip edilmelidir.
• Güvenli Oturum Yönetimi: Oturum çalma (session hijacking) ve oturum sabitleme
(session fixation) saldırılarına karşı güçlü oturum yönetimi stratejileri uygulanmalıdır.
Oturum süreleri sınırlandırılmalı, oturum kimlikleri tahmin edilemez olmalıdır.
• Veri Şifreleme: Hem veri aktarımında (TLS/SSL) hem de veri saklama sırasında
güçlü kriptografik algoritmalar kullanılmalıdır. Özellikle hassas bilgiler (parola, kişisel
veriler vb.) asla düz metin olarak saklanmamalıdır.
• Minimum Yetki İlkesi: Kodun yalnızca ihtiyacı olan kaynaklara erişimi olmalıdır.
Gereksiz yetkilendirmeler, saldırı yüzeyini genişletir.
• Güvenlik Güncellemeleri ve Bağımlılık Yönetimi: Yazılım bileşenleri ve
kütüphaneler düzenli olarak güncellenmeli, bilinen zafiyetlere sahip üçüncü parti
bağımlılıklar hızla giderilmelidir. SBOM (Software Bill of Materials) yaklaşımı, bu
konuda günümüzde öne çıkmaktadır.

 

Güvenli Kodlama Standartları ve Kaynakları

• OWASP Secure Coding Practices: Uygulayıcılar için kapsamlı kontrol listeleri ve
kodlama önerileri sunar.
• CERT Secure Coding Standards: Özellikle C, C++, Java gibi dillerde güvenli
kodlama için kapsamlı rehberler içerir.
• ISO/IEC 27034: Uygulama güvenliği süreçlerini yöneten uluslararası standarttır.
• SANS Top 25 Most Dangerous Software Errors: En yaygın yazılım güvenlik
hatalarını listeleyen rehberdir.

Türkiye’deki Durum

Türkiye’de son yıllarda güvenli yazılım geliştirme kültürü hızla yaygınlaşmaktadır. Özellikle
kamu projelerinde ve finans sektöründe güvenli kodlama gereklilikleri şartnamelere eklenmiş
durumdadır. Ayrıca Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından hazırlanan
rehberlerde yazılım güvenliği, yazılım yaşam döngüsü boyunca uygulanması gereken temel
bir gereklilik olarak ele alınmaktadır.

Yazılım güvenliği, sadece kodu yazan geliştiricinin değil, ürün yöneticisinden test
mühendislerine kadar tüm yazılım geliştirme ekosisteminin ortak sorumluluğudur. Güvenli
kodlama prensiplerine bağlı kalmak, sadece hataları azaltmaz; daha güvenilir, sürdürülebilir
ve kullanıcı odaklı yazılımlar ortaya çıkarır.

 

5.2 Web Uygulama Güvenliği ve OWASP Top 10

Web uygulamaları, modern dijital hizmetlerin en temel yapı taşlarından biri haline gelmiş
durumda. Ancak bu yaygınlık beraberinde büyük güvenlik risklerini de getiriyor. Kurumlar,
müşteri bilgileri, ticari sırlar ve kritik iş süreçlerini web uygulamaları üzerinden yürüttüğü için
bu uygulamaların güvenliği ihmal edilemez bir öncelik taşıyor. Dünyada web güvenliğinin
standart referansı haline gelen OWASP (Open Worldwide Application Security Project),
periyodik olarak en kritik güvenlik açıklarını “OWASP Top 10” listesi ile yayımlayarak
sektöre yol gösteriyor.

 

OWASP Top 10 Nedir?

OWASP Top 10, dünya genelindeki uygulama güvenlik uzmanlarının katkılarıyla hazırlanan
ve web uygulamalarında en yaygın ve en kritik güvenlik risklerini listeleyen açık kaynak bir
projedir. Amacı; geliştiricilere, sistem yöneticilerine ve güvenlik profesyonellerine web
güvenliği konusunda somut bir rehber sunmaktır.

2021 yılında güncellenen OWASP Top 10 listesi aşağıdaki başlıklardan oluşur:
1. Broken Access Control (Yetkisiz Erişim Kontrolleri): Yetkisiz kullanıcıların
korunması gereken kaynaklara erişmesine neden olan zafiyetlerdir. OWASP analizine
göre incelenen uygulamaların %94’ünde bu tür açıklar tespit edilmiştir.
2. Cryptographic Failures (Kriptografik Hatalar): Eski adıyla “Sensitive Data
Exposure” olarak bilinen bu kategori, verilerin zayıf şifreleme, yanlış
konfigürasyonlar veya şifreleme eksikliği nedeniyle sızdırılmasını kapsar.
3. Injection (Enjeksiyon Saldırıları): SQL injection başta olmak üzere, kullanıcı
girdilerinin sistem komutlarına veya sorgulara kontrolsüz şekilde enjekte edilmesi
sonucu oluşan saldırıları ifade eder.
4. Insecure Design (Güvensiz Tasarım): Yazılımın ilk tasarım aşamasında yeterli
güvenlik önlemlerinin düşünülmemesi sonucu ortaya çıkan zafiyetleri kapsar.
Güvenlik sadece kodlama değil, tasarımın da bir parçası olmalıdır.
5. Security Misconfiguration (Güvenlik Konfigürasyon Hataları): Uygulama, sunucu
veya ağ bileşenlerinde yapılan yanlış veya eksik güvenlik ayarları nedeniyle oluşan
zafiyetlerdir.
6. Vulnerable and Outdated Components (Güvensiz ve Güncellenmemiş Bileşenler):
Üçüncü parti yazılım bileşenlerinin veya kütüphanelerin eski, desteklenmeyen veya
bilinen zafiyetlere sahip sürümlerinin kullanılması önemli bir risk oluşturmaktadır.
7. Identification and Authentication Failures (Kimlik Doğrulama ve Tanımlama
Hataları): Güvensiz kimlik doğrulama mekanizmaları veya oturum yönetimi
zafiyetleri, kullanıcı hesaplarının ele geçirilmesine yol açabilir.
8. Software and Data Integrity Failures (Yazılım ve Veri Bütünlüğü İhlalleri):
Kaynağı doğrulanmamış yazılım güncellemeleri, CI/CD zafiyetleri veya güvenli
olmayan bağımlılıklar bu kategoriye girer.
9. Security Logging and Monitoring Failures (Güvenlik Kaydı ve İzleme
Eksiklikleri): Etkin bir izleme ve loglama eksikliği nedeniyle güvenlik olaylarının
tespit edilmesinde yaşanan gecikmeler veya başarısızlıkları ifade eder.
10. Server-Side Request Forgery (SSRF): Saldırganların uygulamaları kullanarak
sunucunun iç ağ kaynaklarına istek göndermesini sağlayan zafiyetlerdir.

Neden OWASP Top 10 Önemlidir?

OWASP Top 10 listesi sadece bir tehdit listesi değildir; aynı zamanda geliştirme süreçlerinde
güvenlik bilincini artırmayı hedefler. Yazılım geliştirme döngüsünün her aşamasına entegre
edilmesi gereken temel bir kaynak niteliğindedir.

• Eğitim Amaçlı Rehber: Yazılım geliştiricilere en sık yapılan güvenlik hatalarını
öğreterek daha güvenli yazılım geliştirmelerine yardımcı olur.
• Test Kriteri: Penetrasyon testlerinde ve kod denetimlerinde öncelikli kontrol listesi
olarak kullanılır.
• Uyumluluk Referansı: Birçok sektör standardı (örneğin PCI DSS, ISO 27001)
OWASP Top 10’a uyum sağlanmasını tavsiye etmektedir.

Web Uygulama Güvenliğini Geliştirme Önerileri
• Yazılım geliştirme ekiplerine OWASP Top 10 eğitimi verilmesi,
• Uygulamalarda girdi doğrulama ve çıktı kaçışlama prensiplerinin uygulanması,
• Güvenli kimlik doğrulama mekanizmalarının benimsenmesi,
• Üçüncü parti bağımlılıkların düzenli olarak güncellenmesi,
• Yazılım geliştirme süreçlerine otomatik güvenlik testlerinin entegre edilmesi,
• Web Application Firewall (WAF) kullanarak zararlı trafiğin filtrelenmesi.

Web uygulama güvenliği, sadece saldırılardan korunmak için değil; aynı zamanda
kullanıcıların güvenini kazanmak ve düzenleyici uyumluluğu sağlamak için de
vazgeçilmezdir. OWASP Top 10, bu alanda hem teknik uzmanlara hem karar vericilere yol
gösteren en güçlü kaynaklardan biri olmaya devam etmektedir.

5.3 Penetrasyon Testi Yaklaşımları

Penetrasyon testi (pentest), sistem, ağ veya uygulamalarda mevcut güvenlik açıklarını tespit
etmek amacıyla kontrollü bir şekilde gerçekleştirilen etik saldırı simülasyonudur. Kurumlar,
siber saldırganların kullanabileceği zafiyetleri önceden keşfetmek, düzeltici önlemler almak
ve savunma kapasitelerini geliştirmek için penetrasyon testlerinden yararlanır. Günümüz siber
güvenlik dünyasında, düzenli penetrasyon testleri yapmak; sadece büyük kuruluşların değil,
her ölçekten işletmenin temel güvenlik sorumluluklarından biri haline gelmiştir.

 

Penetrasyon Testinin Amacı

Pentest çalışmaları kurumların zafiyetlerini:
• Gerçek saldırgan bakış açısıyla görmesini,
• Teknik ve organizasyonel eksiklerini anlamasını,
• Güvenlik önlemlerinin etkinliğini sınamasını,
• Yasal ve regülasyon uyumunu sağlamasını mümkün kılar.

Yapılan testler sonucunda sadece teknik açıklar değil; zayıf parola kullanımı, yanlış
yapılandırmalar, yetersiz erişim kontrolleri ve insan kaynaklı güvenlik zaafiyetleri de ortaya
çıkarılabilir.

 

Penetrasyon Testi Türleri

Penetrasyon testleri genel olarak kapsamlarına ve bilinen bilgilere göre farklı kategorilere
ayrılır:
• Black Box (Kara Kutu) Testi: Testi yapan kişi sisteme dair hiçbir ön bilgiye sahip
değildir. Gerçek bir saldırgan perspektifiyle dışarıdan test yapılır.
• White Box (Beyaz Kutu) Testi: Testi yapan kişi sistem mimarisi, kaynak kod veya ağ
yapısı gibi kapsamlı bilgilere sahiptir. Derinlemesine zafiyet analizi yapılır.
• Grey Box (Gri Kutu) Testi: Saldırganın sisteme sınırlı düzeyde bilgi sahibi olduğu
bir senaryo uygulanır. Kurum içi bir saldırgan ya da kısmi bilgiye sahip bir tehdit
aktörü simüle edilir.

Testin türü, kurumun güvenlik hedeflerine, test kapsamına ve risk profilinin niteliğine göre
belirlenir.

Pentest Aşamaları
Genel olarak bir penetrasyon testi süreci şu adımlardan oluşur:
1. Keşif (Reconnaissance): Hedef sistem veya organizasyon hakkında bilgi toplama
aşamasıdır. Pasif ve aktif bilgi toplama yöntemleri kullanılır.
2. Zafiyet Tespiti (Scanning): Sistemlerde mevcut olabilecek güvenlik açıklarının
otomatik veya manuel yollarla taranması.
3. Sömürü (Exploitation): Tespit edilen zafiyetlerin gerçekten istismar edilip
edilemediğinin sınandığı aşamadır. Amaç sistem üzerinde yetkisiz erişim veya kontrol
elde etmektir.
4. Yetki Yükseltme ve Yanal Hareket (Privilege Escalation & Lateral Movement):
Saldırganın sistemdeki yetkisini artırması ve iç ağa ilerlemesinin değerlendirilmesi.
5. Raporlama: Bulunan tüm açıklar, sömürü aşamasında ulaşılan sonuçlar ve önerilen
iyileştirme adımları detaylı bir şekilde raporlanır.

Bu süreç, testin hem etik hem yasal çerçevede kalmasını sağlamak için kurum ile önceden
imzalanan kapsam belgesi (Rules of Engagement) doğrultusunda yürütülür.

 

Penetrasyon Testi ve Yasal Uyumluluk

Birçok sektörde penetrasyon testi düzenleyici zorunluluklar arasında yer almaktadır.

Türkiye’de;
• Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) bankalar için düzenli sızma
testi şartı koymuştur,
• Bilgi Teknolojileri ve İletişim Kurumu (BTK), elektronik haberleşme sağlayıcılarının
düzenli sızma testi yaptırmasını şart koşar,
• Kişisel Verileri Koruma Kurumu (KVKK), veri işleyen kuruluşların güvenlik
açıklarını düzenli analiz etmesini bekler.
ISO 27001 gibi uluslararası standartlar da penetrasyon testlerini bilgi güvenliği yönetim
sistemlerinin önemli bir bileşeni olarak tanımlar.

Türkiye’de ve Dünyada Güncel Yaklaşımlar
Son yıllarda penetrasyon testleri sadece manuel sömürü teknikleriyle sınırlı kalmamış,
otomatikleştirilmiş tarama araçları ve gelişmiş test çerçeveleriyle desteklenmiştir. Özellikle
Red Team faaliyetleri ile pentest çalışmaları daha gerçekçi saldırı senaryoları üzerinden
yürütülmeye başlanmıştır. Ayrıca API güvenliği, mobil uygulama güvenliği ve IoT cihazlarına
yönelik özel pentest yaklaşımları da hızla yaygınlaşmaktadır.

Kurumların daha güçlü bir güvenlik duruşu için sadece penetrasyon testi sonuçlarına
odaklanmaları yeterli değildir; sonuçların takibi, düzeltici aksiyonların alınması ve süreklilik
sağlanması da hayati önem taşır.

Penetrasyon testi, siber güvenlikte zafiyetleri görünür kılan en etkili araçlardan biridir. Ancak
unutulmamalıdır ki, güvenlik bir defalık değil, sürekliliği olan bir süreçtir ve penetrasyon
testleri bu sürecin canlı tutulmasında kritik bir rol oynar.

 

5.4 Red Team ve Blue Team Çalışmaları

Kurumsal siber güvenlik dünyasında saldırganlara karşı güçlü bir savunma oluşturmak,
yalnızca savunma odaklı önlemler almakla sınırlı değildir. Gerçek tehdit ortamına benzer
şekilde saldırı ve savunma pratiklerini sürekli test etmek, organizasyonların güvenlik
olgunluğunu artırmada kritik bir rol oynar. Bu bağlamda Red Team ve Blue Team çalışmaları,
saldırganların bakış açısından güvenliği değerlendirmeyi ve savunma mekanizmalarının
etkinliğini geliştirmeyi hedefleyen profesyonel uygulamalardır.

 

Red Team Nedir?

Red Team çalışmaları, kurumların güvenlik açıklarını ve savunma zayıflıklarını belirlemek
için saldırgan bakış açısıyla gerçekleştirilen kapsamlı simülasyonlardır. Red Team’ler yalnızca
bilinen açıklara odaklanmaz; sosyal mühendislik, fiziksel güvenlik açıkları, insan hataları,
zayıf iş süreçleri gibi çok boyutlu vektörleri değerlendirir.
Amaç, gerçek dünya saldırganlarının kullandığı teknikler, taktikler ve prosedürler (TTP’ler)
ile hedefe sızma ve hedeflenen etkiye ulaşma becerisini ölçmektir.

Genellikle şu alanları kapsar:
• Sosyal mühendislik (phishing kampanyaları, sahte aramalar),
• Ağ penetrasyon testleri,
• Uç nokta sömürme yöntemleri,
• Fiziksel güvenlik testleri,
• Veri sızdırma (data exfiltration) senaryoları.

Red Team çalışmaları, klasik penetrasyon testlerine göre daha uzun vadeli, kapsamlı ve sessiz
yürütülür. Hedef, güvenlik sistemlerinin sadece açıklarını bulmak değil, savunma reflekslerini
de test etmektir.

 

Blue Team Nedir?

Blue Team, organizasyonun savunma tarafında görev alan ve Red Team gibi saldırıları tespit
etmek, önlemek ve yanıtlamakla sorumlu ekipleri ifade eder. Blue Team’in temel amacı,
sistemleri proaktif şekilde izlemek, saldırı göstergelerini (Indicators of Compromise – IoC)
tespit etmek, saldırıya yanıt vermek ve sistemleri sürekli olarak iyileştirmektir.

Başlıca görevleri şunlardır:
• Güvenlik olaylarını analiz etmek,
• Log yönetimi ve korelasyon gerçekleştirmek,
• Anomali tespit sistemlerini yönetmek,
• Olay müdahale planlarını uygulamak,
• Siber tatbikatlar sonrası zafiyetleri gidermek.

Blue Team çalışmaları, Red Team saldırılarını gerçek zamanlı yakalamak ve kurumun
savunma reflekslerini geliştirmek için kritik öneme sahiptir.

 

Purple Team: İki Dünya Arasında Köprü

Son yıllarda Red Team ve Blue Team çalışmalarını birbirine bağlayan ve daha iş birliğine
dayalı bir yapı öneren “Purple Team” yaklaşımı da yaygınlaşmıştır. Purple Team, saldırı ve
savunma ekiplerinin daha yakın çalışmasını sağlar. Saldırı sırasında Blue Team’e anlık geri
bildirimler verilir, zayıf savunma noktaları canlı olarak iyileştirilir ve kurumun savunma
kapasitesi hızla güçlendirilir.

 

Red ve Blue Team Çalışmalarının Kurumsal Katkıları

Bu çalışmaların kuruma sağladığı katkılar şunlardır:
• Gerçek saldırılara karşı hazırlık seviyesinin artması,
• Güvenlik açığı yönetiminin daha kapsamlı hale gelmesi,
• Olay müdahale hızının ölçülmesi ve artırılması,
• İş süreçlerinin güvenlik odaklı hale getirilmesi,
• Saldırı yüzeyinin sürekli daraltılması.

Türkiye’de özellikle finans, enerji ve kritik altyapı sektörlerinde Red Team/Blue Team
faaliyetleri giderek daha fazla benimsenmektedir. Ulusal Siber Olaylara Müdahale Merkezi
(USOM) tarafından sağlanan rehberler de kurumların bu tür tatbikatları benimsemesini teşvik
etmektedir. Küresel ölçekte ise Red Team çalışmaları özellikle büyük teknoloji şirketleri,
savunma sanayii ve devlet kurumlarında rutin hale gelmiştir.

Red Team ve Blue Team çalışmaları, güvenlik önlemlerinin kağıt üzerinde kalmasını engeller;
kurumların gerçekten saldırılara karşı ne kadar dayanıklı olduğunu sahada test eder. Sadece
teorik önlemlerle yetinmek istemeyen kurumlar için bu yaklaşım, siber güvenlik olgunluğunu
en üst seviyeye taşır.

 

5.5 Log Analizi ve Olay Müdahale Süreçleri

Siber güvenlikte en önemli savunma hatlarından biri, sistemlerin ve uygulamaların ürettiği
günlük (log) kayıtlarının doğru şekilde toplanması, analiz edilmesi ve güvenlik olaylarına
hızlı şekilde müdahale edilmesidir. Kurumların dijital altyapısında gerçekleşen her hareketin
izi log kayıtlarında yer alır; bu nedenle log analizi, hem proaktif hem reaktif güvenlik
çalışmalarının temel taşıdır.

 

Log Analizi Nedir?

Log analizi; sistemler, ağ cihazları, güvenlik araçları ve uygulamalar tarafından üretilen
günlük kayıtlarının merkezi bir yerde toplanarak, anomali tespiti, saldırı analizi ve adli bilişim
amacıyla incelenmesidir. Güvenlik uzmanları, bu kayıtlar üzerinden şüpheli davranışları tespit
edebilir, saldırganların izini sürebilir ve sistemlerin durumunu sürekli olarak izleyebilir.

Doğru log analizi ile:
• Şüpheli oturum açma denemeleri,
• Yetkisiz erişim girişimleri,
• Kötü amaçlı yazılım aktiviteleri,
• Kritik sistem değişiklikleri,
• Anormal ağ trafiği gibi olaylar erken aşamada fark edilebilir.

Hangi Loglar İzlenmeli?
Etkin bir güvenlik izleme için farklı kaynaklardan log toplanmalıdır:
• Sunucu ve istemci işletim sistemi logları (Windows Event Logs, Linux syslog),
• Güvenlik cihazı logları (firewall, IDS/IPS, VPN sistemleri),
• Uygulama logları (web sunucuları, veritabanları),
• Kimlik doğrulama logları (Active Directory, LDAP),
• Bulut hizmetleri logları (AWS CloudTrail, Azure Monitor).

Günümüzde merkezi log toplama çözümleri (örneğin, SIEM sistemleri) sayesinde kurumlar
logları gerçek zamanlı analiz edebilmekte ve saldırıları çok daha hızlı tespit edebilmektedir.

Olay Müdahale Süreci Nedir?
Olay müdahale (Incident Response), kurumların yaşanan güvenlik olaylarına etkin ve
koordineli bir şekilde yanıt verme sürecini ifade eder. Amaç, olayların etkisini en aza
indirmek, hızlı bir toparlanma sağlamak ve benzer olayların tekrarını önlemektir.

Uluslararası en iyi uygulamalara göre olay müdahale süreci şu aşamalardan oluşur:
1. Hazırlık: Olay müdahale politikalarının oluşturulması, ekiplerin eğitilmesi,
senaryoların belirlenmesi.
2. Tespit ve Tanımlama: Güvenlik olaylarının loglar, uyarılar veya kullanıcı bildirimleri
ile fark edilmesi.
3. İçerme: Saldırının yayılmasını engellemek için hızlıca izole etme, zarar kontrolü
sağlama.
4. Sömürme Analizi ve Temizleme: Saldırının kökenini ve kapsamını belirleyip zararlı
etkileri temizleme.
5. Kurtarma: Sistemlerin güvenli şekilde normale döndürülmesi.
6. Değerlendirme ve İyileştirme: Olay sonrası inceleme yaparak süreçleri geliştirme,
zafiyetleri kapatma.

SIEM Sistemlerinin Rolü
Günümüzde olay müdahale süreçlerinin verimli yürütülmesi için SIEM (Security Information
and Event Management) çözümleri kritik öneme sahiptir.

SIEM sistemleri;
• Log toplama,
• Korelasyon kuralları ile anomali tespiti,
• Gerçek zamanlı uyarılar,
• Olay raporlaması,
• Otomatik olay müdahale (SOAR entegrasyonu) özellikleri sağlar.

Popüler SIEM çözümleri arasında Splunk, IBM QRadar, Elastic SIEM, Azure Sentinel gibi
sistemler öne çıkmaktadır. SIEM sistemleri, yüksek hacimli verileri anlamlandırma
kapasitesiyle insan gözünün kaçırabileceği tehditleri daha erken ortaya çıkarır.

Türkiye’de log yönetimi, özellikle KVKK, 5651 sayılı yasa ve BTK düzenlemeleri
kapsamında hukuki bir zorunluluktur. Kritik altyapı işletmecileri ve kamu kurumları, belirli
logları uzun süre saklamak ve gerektiğinde yetkililere sunmakla yükümlüdür. Özellikle finans,
enerji ve kamu sektörlerinde logların bütünlüğü ve güvenliği üzerinde özel denetimler
yürütülmektedir.

Log analizi ve olay müdahale süreçleri, siber güvenliğin yalnızca koruma değil, algılama ve
hızlı yanıt verme boyutunu da kapsar. Kurumlar, etkin log yönetimi ve güçlü olay müdahale
süreçleri sayesinde yalnızca saldırıları daha hızlı tespit etmekle kalmaz; aynı zamanda
sistemlerini sürekli olarak güçlendirir, saldırganların sistemde uzun süre kalmasını önler. Bu
da modern siber güvenlik anlayışının en temel gereksinimlerinden biri haline gelir.

Bölüm 6: Güncel ve Gelecek Tehditler

6.1 Yapay Zekâ Destekli Saldırılar

Yapay zekâ (Artificial Intelligence – AI) ve makine öğrenimi (Machine Learning – ML)
teknolojilerindeki gelişmeler, siber tehdit manzarasını kökten değiştirmektedir. Yıllarca siber
güvenlik savunma sistemlerinin bir parçası olan yapay zekâ, günümüzde saldırganlar
tarafından da etkin bir biçimde kullanılmaya başlanmıştır. Bu durum, tehditlerin daha hızlı,
daha hedefli ve daha etkili hale gelmesine neden olmaktadır.

 

Yapay Zekânın Saldırılarda Kullanım Alanları

 

Saldırganlar, yapay zekâ ve makine öğrenimini aşağıdaki temel alanlarda kullanmaya
başlamıştır:

• Akıllı Oltalama (Phishing) Saldırıları: YZ, bireylerin çevrimiçi davranışlarını analiz
ederek kişiselleştirilmiş oltalama içerikleri üretebilmektedir. Chatbot tabanlı sahte
iletişimler, hedefe özel sosyal mühendislik saldırılarını daha ikna edici hâle
getirmektedir.
• Otomatik Zafiyet Avcılığı: YZ destekli araçlar, hedef sistemleri otomatik şekilde
tarayarak, en zayıf noktaları kısa sürede tespit edebilir. Özellikle geniş ağ altyapılarına
yönelik saldırılarda büyük hız ve ölçek avantajı sağlar.
• Polimorfik ve Metamorfik Malware Üretimi: YZ ile güçlendirilmiş malware’ler,
klasik antivirüs ve imza tabanlı tespit mekanizmalarını aşmak için sürekli kendilerini
değiştirebilir. Polimorfik yapılar kod seviyesinde değişiklik yaparken, metamorfik
zararlılar davranış kalıplarını da dönüştürerek tespiti daha da zorlaştırır.
• Otomatik Güvenlik Duvarı Atlatma: Saldırganlar, güvenlik duvarlarının
davranışlarını YZ ile analiz ederek, daha sofistike atlatma teknikleri
geliştirebilmektedir.
• Botnetlerin Evrimi: YZ tabanlı botnetler, saldırı sırasında dinamik olarak yön
değiştirebilir, saldırı kalıplarını değiştirebilir ve savunma sistemlerini yanıltabilir.
Son yıllarda deepfake teknolojileriyle bütünleşmiş yapay zekâ saldırıları da yükselişe
geçmiştir. Özellikle sesli ve görüntülü manipülasyonlarla üst düzey yöneticileri veya kritik
personelleri taklit eden saldırılar finansal dolandırıcılık vakalarını artırmıştır.

Ayrıca, açık kaynaklı yapay zekâ araçlarının kolay erişilebilir olması, bu tür saldırıların
maliyetini düşürmüş ve daha geniş saldırgan gruplarına kapı aralamıştır. Bugün birçok saldırı
aracı, makine öğrenimi algoritmalarıyla daha etkili hale getirilmekte ve açık kaynak tehdit
istihbarat verilerinden beslenerek saldırı kalıplarını güncelleyebilmektedir.

 

Yapay Zekâ Destekli Saldırılara Karşı Savunm

Savunma tarafında da yapay zekâ kullanılmakta; anomali tespiti, davranışsal analiz, otomatik
olay müdahale gibi alanlarda önemli kazanımlar sağlanmaktadır. Ancak saldırganların da aynı
araçlardan yararlanması, kurumların sadece savunma sistemlerine değil, güvenlik
farkındalığına, güncel tehdit istihbaratına ve sürekli güncellenen güvenlik politikalarına
yatırım yapmasını zorunlu kılmaktadır.

Önümüzdeki yıllarda YZ destekli saldırıların daha yaygın ve etkili hale gelmesi beklenirken,
güvenlik ekiplerinin bu tehdide karşı proaktif, adaptif ve sürekli gelişen savunma
mekanizmaları kurmaları kritik önem taşımaktadır.

 

6.2 Kuantum Bilgisayarların Etkileri

Kuantum bilgisayarlar, günümüzün klasik bilgisayarlarının temel sınırlarını aşmayı
hedefleyen, kuantum fiziğinin ilkelerine dayalı devrim niteliğinde bilgi işlem araçlarıdır. Bu
teknoloji, çözülmesi imkânsız görülen problemlere yeni yaklaşımlar sunarken, özellikle
kriptografi ve siber güvenlik alanında hem umut verici gelişmeler hem de ciddi riskler
doğurmaktadır.

 

Kuantum Bilgisayarların Temel Özellikleri

Kuantum bilgisayarlar, bilgiyi klasik bilgisayarlar gibi bit’ler (0 veya 1) ile değil, kuantum
bitleri yani “qubit”ler aracılığıyla işler. Qubit’ler süperpozisyon ve dolanıklık (entanglement)
özellikleri sayesinde aynı anda birden fazla durumda bulunabilir. Bu sayede karmaşık
hesaplamalar çok daha kısa sürede yapılabilir.

Bu üstün hesaplama gücü, bilimsel araştırmalardan ilaç geliştirmeye kadar birçok alanda
devrim yaratma potansiyeline sahipken, mevcut kriptografik sistemler için büyük bir tehdit
oluşturmaktadır.

 

Kriptografiye Yönelik Tehditler

Günümüzde yaygın şekilde kullanılan birçok kriptografi algoritması, klasik bilgisayarların
çözmesinin binlerce yıl alacağı matematiksel problemlere dayanmaktadır. Ancak kuantum
bilgisayarlar bu varsayımları geçersiz kılabilecek kapasitededir.

• Asimetrik Kriptografi Tehdidi: Shor algoritması sayesinde kuantum bilgisayarlar,
RSA, DSA, ECDSA ve Diffie-Hellman gibi algoritmaları kısa sürede kırabilecek
teorik güce sahiptir. Bu durum, dijital imzalar, şifreleme sistemleri ve kimlik
doğrulama mekanizmalarının savunmasız hale gelmesine neden olabilir.
• Simetrik Kriptografi Üzerindeki Etki: Grover algoritması ise simetrik şifreleme
yöntemlerini doğrudan kırmasa da, arama sürelerini önemli ölçüde azaltır. Örneğin
AES-256’nın güvenlik seviyesi kuantum bilgisayarlar karşısında AES-128 seviyesine
indirgenebilir.

 

Kuantum Sonrası Kriptografi (Post-Quantum Cryptography)

Bu tehdide karşılık, uluslararası birçok kuruluş “kuantum sonrası kriptografi” çalışmalarına
başlamıştır. Özellikle ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuantum
bilgisayarların saldırılarına dayanıklı yeni algoritmalar geliştirmek amacıyla standardizasyon
çalışmaları yürütmektedir.

Kuantum sonrası kriptografi çözümleri:
• Lattice tabanlı kriptografi,
• Multivaryant polinom temelli algoritmalar,
• Kod tabanlı kriptografi gibi tekniklere odaklanmaktadır.
Amaç, kuantum saldırılarına karşı dayanıklı yeni nesil şifreleme standartları oluşturmaktır.

 

Sektörler Üzerindeki Etkiler

Kuantum bilgisayarların tam anlamıyla işlevsel hale gelmesi durumunda en çok etkilenecek
sektörler şunlardır:
• Finans Sektörü: Bankalar arası veri iletimi, ödeme sistemleri, kripto para cüzdanları
ciddi risk altına girebilir.
• Kamu ve Devlet Kurumları: Kritik devlet verileri, uzun vadeli saklanan şifreli
belgeler kuantum kırılmalarına açık hale gelebilir.
• Sağlık ve Ar-Ge: Fikri mülkiyet hakları ve hassas sağlık verileri tehdit altına girebilir.
• Kripto Para Ekosistemi: Bitcoin ve benzeri blokzincir altyapıları, kriptografik
güvenliğe dayalı olduğu için kuantum sonrası uyumlaştırılmaları gerekebilir.
“Harvest Now, Decrypt Later” Tehdidi

Kuantum bilgisayarların tam gelişimi yıllar alabilir, fakat “şimdi topla, sonra çöz” (Harvest
Now, Decrypt Later) yaklaşımı günümüzde aktif olarak kullanılmaktadır. Saldırganlar şifreli
verileri şu anda toplamakta, gelecekte kuantum bilgisayarlar geliştirildiğinde bu verileri
çözmeyi planlamaktadır. Bu özellikle devlet sırları, uzun süre saklanması gereken hassas
bilgiler için kritik bir risktir.

Kuantum bilgisayarların siber güvenlik üzerindeki etkisi kaçınılmaz olacaktır. Her ne kadar
bu teknolojinin yaygınlaşması için zaman olsa da, kurumların kuantuma dayanıklı kriptografi
hazırlıklarına bugünden başlaması önemlidir. Geleceğin siber güvenlik stratejilerinde
“kuantum dirençli” sistemler temel bir gereklilik haline gelecektir.

 

6.3 Derin Sahtecilik (Deepfake) Tehditleri

Son yıllarda hızla gelişen yapay zekâ ve derin öğrenme teknolojileriyle birlikte ortaya çıkan
en dikkat çekici tehditlerden biri derin sahtecilik, yani deepfake teknolojisidir. Deepfake,
yapay sinir ağları kullanılarak gerçekçi ama tamamen sahte görüntüler, videolar veya ses
kayıtları üretmeyi mümkün kılar. Bu teknoloji başlangıçta eğlence ve görsel efekt alanlarında
kullanılmaya başlanmış olsa da, kısa sürede kötü niyetli kişiler tarafından siber saldırıların ve
dezenformasyon kampanyalarının parçası haline gelmiştir.

Deepfake üretimi genellikle Generative Adversarial Networks (GANs) adı verilen özel bir yapay öğrenme mimarisiyle gerçekleştirilir. GAN’ler iki ana bileşenden oluşur:
• Üretici (Generator): Gerçeğe yakın sahte içerikler üretir.
• Ayırt edici (Discriminator): Üretilen içeriğin gerçek mi sahte mi olduğunu anlamaya
çalışır.

Bu iki ağ birbirine karşı yarışarak eğitilir ve sonuç olarak giderek daha gerçekçi sahte
içerikler üretilir.

 

Siber Güvenlikte Deepfake Tehditleri

Deepfake teknolojisinin kötü amaçlarla kullanımı, hem bireyleri hem de kurumları ciddi
risklerle karşı karşıya bırakmaktadır.

Günümüzde özellikle şu alanlarda deepfake kaynaklı siber tehditler artış göstermektedir:
• Kurumsal Dolandırıcılık: Şirket yöneticilerinin seslerinin veya görüntülerinin taklit
edilerek finansal işlemlerin manipüle edilmesi. Özellikle CEO Fraud (CEO
Dolandırıcılığı) saldırılarında deepfake destekli senaryolar dikkat çekmektedir.
• Sosyal Mühendislik Saldırıları: Deepfake videoları kullanılarak çalışanlar
kandırılabilir, gizli bilgiler elde edilebilir veya sosyal mühendislik saldırıları daha
inandırıcı hale getirilebilir.
• Seçim ve Kamuoyu Manipülasyonu: Politik figürlerin deepfake videolarıyla yanlış
bilgiler yayılabilir, kamuoyunun algısı manipüle edilebilir.
• Kişisel İtibar Suikastları: Bireylerin şöhretine veya kariyerine zarar vermek
amacıyla uygunsuz veya sahte içerikler üretilebilmektedir.

 

Güncel Örnekle

Deepfake temelli dolandırıcılık saldırıları artık yalnızca teorik bir tehdit değil, gerçek dünyada
birçok örneği görülmektedir. Özellikle Avrupa’da bir finans müdürünün üst düzey
yöneticisinin sesiyle kandırılarak büyük meblağlarda para transferi yaptığı vakalar
yaşanmıştır. Ayrıca seçim dönemlerinde siyasi liderlere ait sahte konuşmaların dolaşıma
sokulması, dezenformasyonun yeni bir boyutunu ortaya çıkarmıştır.

Tespit ve Savunma Yöntemleri

Deepfake teknolojisi sürekli geliştiği için tespit yöntemleri de dinamik olmak zorundadır.
Günümüzde kullanılan bazı yöntemler şunlardır:

• Görsel analiz ile video içerisindeki tutarsızlıkların, yüz deformasyonlarının veya ışık
anomalilerinin tespiti.
• Ses analizinde ses frekanslarındaki yapay bozuklukların ortaya çıkarılması.
• Deepfake tespitine odaklanan yapay zekâ sistemleri (örneğin Microsoft Video
Authenticator).
• Blokzincir tabanlı medya doğrulama çözümleri.

Ancak teknolojinin gelişme hızı nedeniyle kesin çözüm bulunmuş değildir ve saldırganlar da
sürekli olarak tespit mekanizmalarını aşmanın yollarını geliştirmektedir.

 

Gelecek Perspektifi

Deepfake teknolojisi önümüzdeki dönemde yalnızca bireysel dolandırıcılıkta değil; kimlik
sahteciliğinde, siyasi manipülasyonlarda ve siber saldırıların sosyal mühendislik aşamalarında
daha aktif kullanılacaktır. Özellikle yapay zekâ destekli tehditlerin yükselişiyle birlikte
kurumların deepfake farkındalığı geliştirmesi, kritik süreçlerde sesli ve görüntülü doğrulama
mekanizmalarını sorgulaması ve içerik doğrulama teknolojilerine yatırım yapması giderek
daha kritik hale gelecektir.

 

6.4 IoT Güvenlik Zafiyetleri

Nesnelerin İnterneti (Internet of Things – IoT) ekosistemi, milyarlarca cihazın internete
bağlanarak veri topladığı ve kontrol işlevleri yürüttüğü dev bir ağ yapısını ifade eder. Akıllı
evlerden sağlık hizmetlerine, tarım teknolojilerinden üretim tesislerine kadar her alana yayılan
bu cihazlar, hızla artan bağlantılı dünya ihtiyacını karşılamakta; ancak ciddi siber güvenlik
açıklarını da beraberinde getirmektedir.

IoT güvenlik problemleri çoğunlukla cihazların tasarım aşamasında güvenlik önceliğinin göz
ardı edilmesinden kaynaklanır. Üreticiler, cihazları düşük maliyetle ve hızlı şekilde pazara
sunma hedefiyle geliştirirken, temel güvenlik prensipleri geri planda kalır. Yaygın görülen
güvenlik zafiyetleri arasında varsayılan şifrelerin değiştirilmeden kullanılması, kimlik
doğrulama eksiklikleri, zayıf veya hiç bulunmayan şifreleme, firmware güncellemelerinin
sağlanmaması, açık portların gereksiz yere açık bırakılması ve veri trafiğinin şifrelenmeden
iletilmesi gibi unsurlar öne çıkmaktadır.

Mirai, Hajime ve Mozi gibi kötü amaçlı yazılımlar, bu zaafiyetleri istismar ederek dünya
genelinde geniş çaplı botnet ağları oluşturmuş, kritik hizmetleri kesintiye uğratan devasa
DDoS saldırılarına neden olmuştur. Bu saldırılar yalnızca basit cihazlarla sınırlı kalmayıp,
sanayi tesislerindeki endüstriyel IoT cihazları (IIoT) ve kritik altyapılara bağlı SCADA
sistemlerini de hedef almıştır. Ayrıca, saldırganlar kamera sistemleri, çocuk monitörleri ve
tıbbi cihazlar gibi mahremiyetle doğrudan bağlantılı cihazları da ele geçirerek gözetleme,
şantaj ve kişisel mahremiyet ihlali gibi saldırılar düzenlemiştir.

IoT güvenlik açıklarının yarattığı risk sadece cihazların birebir ele geçirilmesiyle sınırlı
değildir. IoT cihazları aynı zamanda ağın zayıf noktası haline gelerek yanal hareketlerle
kurum içi ağa sızmak için bir sıçrama tahtası görevi görebilir. Özellikle sanayi ağlarında
segmentasyon eksiklikleri nedeniyle saldırganlar, IoT cihazları üzerinden kritik sistemlere
erişim elde edebilmektedir.

Geleceğe dönük riskleri daha da artıran unsurlar arasında 5G altyapısının yaygınlaşmasıyla
IoT cihazlarının daha yüksek bant genişliğine ve sürekli çevrimiçi olma kapasitesine ulaşması
bulunmaktadır. Bu durum, saldırıların daha hızlı yayılmasına ve daha kısa sürede daha büyük
zarar vermesine imkân tanımaktadır.

IoT güvenliğini sağlamak için hem üreticiler hem de kullanıcılar düzeyinde köklü
değişiklikler gereklidir. Üreticiler, cihazlara güvenlik güncellemelerini destekleyen
mekanizmalar eklemek, güçlü kimlik doğrulama süreçleri sağlamak ve ürün yaşam döngüsü
boyunca güvenlik yamaları yayınlamak zorundadır. Kullanıcıların ise yalnızca maliyet odaklı
seçimler yapmaması, cihazları güvenli ağ segmentlerine almak, güncellemeleri düzenli
uygulamak, zayıf varsayılan şifreleri değiştirmek ve mümkünse şifreleme desteğine sahip
cihazları tercih etmek önem kazanmaktadır.

Daha bütüncül düzeyde, IoT güvenliğini artırmaya yönelik dünya genelinde bazı önemli
girişimler ve standartlar da ortaya çıkmaya başlamıştır. Avrupa’da EN 303 645 standardı,
ABD’de NIST IoT güvenlik yönergeleri, Türkiye’de Bilgi Teknolojileri ve İletişim
Kurumu’nun (BTK) hazırladığı IoT güvenlik raporları gibi belgeler, minimum güvenlik
gereksinimlerini tanımlamakta ve sektöre yol göstermektedir.

IoT cihazlarının hızla yaygınlaştığı bu dönemde, sistem yöneticilerinin ağları daha dikkatli
tasarlaması, üreticilerin daha sorumlu davranması ve düzenleyici kurumların daha net
çerçeveler oluşturması, gelecekte bu zafiyetlerin kontrol altına alınmasında belirleyici rol
oynayacaktır.

 

6.5 Endüstriyel Sistemlerde Güvenlik (ICS/SCADA)

Endüstriyel Kontrol Sistemleri (Industrial Control Systems – ICS) ve SCADA (Supervisory
Control and Data Acquisition) sistemleri, enerji, ulaşım, üretim, su temini ve kritik
altyapıların omurgasını oluşturan hayati sistemlerdir. Bu sistemler, üretim hatlarından enerji
santrallerine, barajlardan doğal gaz hatlarına kadar geniş bir yelpazede otomasyon ve kontrol
işlevlerini yerine getirir. Dijitalleşme ve ağ bağlantılarının artmasıyla birlikte, endüstriyel
sistemler daha verimli hale gelmiş olsa da siber saldırılara karşı daha savunmasız bir hale
gelmiştir.

Uzun yıllar boyunca endüstriyel sistemler “kapalı” ağlarda çalıştığı için güvenlik göz ardı
edilmiş, sistemlerin tasarımında erişilebilirlik ve süreklilik önceliklendirilmiştir. Ancak
günümüzde birçok ICS/SCADA altyapısı doğrudan internete bağlıdır veya kurumsal BT
ağıyla entegre çalışmaktadır. Bu durum, klasik bilişim tehditlerinin endüstriyel sistemlere de
taşınmasına neden olmuştur.

Endüstriyel ortamlardaki en büyük risklerden biri, eskiyen donanımlar ve “legacy”
sistemlerdir. Çoğu endüstriyel cihaz onlarca yıl çalışacak şekilde tasarlanmış, ancak güncel
güvenlik tehditlerine karşı herhangi bir güvenlik önlemi alınmamıştır. Üstelik çoğu SCADA
sistemi, varsayılan parolalarla korunur veya açık metin iletişim protokolleri kullanır. Bu da
siber saldırganların, doğrudan uzaktan erişimle kontrol sistemlerini manipüle etmesine yol
açabilir.

Dünyada yaşanmış önemli olaylar, bu risklerin ne kadar ciddi sonuçlar doğurabileceğini
kanıtlamıştır. 2010 yılında ortaya çıkan Stuxnet saldırısı, İran’ın nükleer tesislerinde SCADA
sistemlerine sızılarak santrifüjlerin fiziksel zarar görmesine neden olmuş ve endüstriyel
casusluk ile siber sabotaj çağını başlatmıştır. 2015 ve 2016 yıllarında Ukrayna enerji
altyapısına düzenlenen saldırılar sonucunda yüz binlerce insanın saatlerce elektriksiz kalması
ise endüstriyel altyapılara yönelik siber saldırıların etkisini tüm dünyaya göstermiştir. 2021’de
ABD’de Colonial Pipeline saldırısı, fidye yazılımı kaynaklı olsa da enerji tedarikinin
aksamasıyla endüstriyel risklerin ekonomik sonuçlarını da gözler önüne sermiştir.

Endüstriyel sistemlerde siber güvenliği sağlamak, BT sistemlerinden daha karmaşıktır çünkü
sistem kapatılarak veya kolayca güncellenerek güvenlik yamaları uygulanamaz. Ayrıca birçok
endüstriyel cihazda modern güvenlik araçlarını çalıştırmak teknik olarak mümkün değildir. Bu
nedenle ICS/SCADA ortamlarında daha çok ağ segmentasyonu, izinsiz erişim tespiti (IDS),
endüstriyel güvenlik duvarları, derin paket inceleme (DPI), beyaz listeleme (whitelisting) ve
anomali tabanlı izleme gibi yöntemler kullanılmaktadır.

Son yıllarda OT (Operational Technology) güvenliği, kurumsal BT güvenliğinin ayrılmaz bir
parçası haline gelmiştir. SCADA ağlarında siber hijyen uygulamalarının yaygınlaştırılması,
kritik protokollerin (Modbus, DNP3 gibi) güvenli sürümlerinin tercih edilmesi ve olay
müdahale senaryolarının geliştirilmesi giderek önem kazanmıştır. Düzenleyici otoriteler de bu
konuda harekete geçmiş; Avrupa Birliği’nin NIS Direktifi, ABD’nin CISA rehberleri ve
Türkiye’deki USOM tavsiyeleri ile ICS güvenliği için daha sıkı politikalar geliştirilmeye
başlanmıştır.

Önümüzdeki dönemde siber saldırıların, yalnızca bilgi sızdırma değil fiziksel altyapıya
doğrudan zarar verme amacıyla artarak devam etmesi beklenmektedir. Bu nedenle,
endüstriyel sistem güvenliği sadece teknik önlemlerle değil; çalışanların eğitimi, güvenlik
kültürünün oluşturulması ve düzenli testlerle desteklenen çok katmanlı bir yaklaşımla ele
alınmalıdır.

 

Bölüm 7: Kariyer ve Etik Perspektif

7.1 Siber Güvenlikte Kariyer Yolları

Siber güvenlik alanı, dijitalleşmenin hızla yaygınlaşmasıyla birlikte en çok ihtiyaç duyulan ve
en hızlı büyüyen meslek gruplarından biri haline gelmiştir. Gelişen tehdit ortamı, yalnızca
teknik uzmanlık değil; analitik düşünme, problem çözme, iletişim ve etik bilinci gibi birçok
yetkinliği bir arada barındıran profesyonellere olan talebi artırmaktadır. Kariyerine siber
güvenlikte yön vermek isteyen bireyler için çeşitli uzmanlık yolları ve gelişim fırsatları
mevcuttur.

Siber güvenlik kariyeri temelde üç ana eksende şekillenir: koruma, tespit ve müdahale. Bazı
uzmanlıklar daha çok savunma sistemleri kurmaya odaklanırken, bazıları saldırganların
yöntemlerini anlamaya ve onları tespit etmeye, bazıları ise olay müdahalesi ve adli bilişim
gibi alanlarda olay sonrası süreçleri yönetmeye yöneliktir. Bu ayrım kişisel ilgi alanlarına ve
yeteneklere göre şekillendirilebilir.

Giriş seviyesinde başlayanlar için en yaygın roller arasında SOC (Security Operations Center)
analisti, ağ güvenlik uzmanı, güvenlik izleme ve olay müdahale pozisyonları bulunmaktadır.
Bu pozisyonlar, temel log analizi, alarm yönetimi ve temel saldırı türlerinin tanınması gibi
becerilerin geliştirilmesine olanak tanır.

Orta seviye kariyer yolları ise daha uzmanlık gerektiren pozisyonları içerir. Sızma test uzmanı
(penetration tester), red team analisti, tehdit istihbarat uzmanı, güvenlik mühendisleri gibi
roller daha derin teknik bilgi gerektirir. Özellikle sızma testi ve kırmızı ekip çalışmaları,
saldırganların yöntemlerini anlamaya yönelik uygulamalı bilgi kazanma fırsatı sunar.
Daha ileri seviyelerde güvenlik mimarları, güvenlik yöneticileri, CISO (Chief Information
Security Officer) gibi stratejik roller bulunur. Bu tür pozisyonlar sadece teknik bilgiyi değil,
aynı zamanda kurumsal güvenlik stratejileri oluşturma, risk yönetimi, mevzuat uyumluluğu ve
üst yönetimle iletişim gibi yetkinlikleri de kapsar.

Ayrıca adli bilişim (digital forensics), zararlı yazılım analiz uzmanlığı (malware analyst),
güvenli yazılım geliştirme (secure software development), SCADA/ICS güvenliği, bulut
güvenliği gibi daha niş ve derinleşmiş alanlarda da önemli kariyer fırsatları bulunmaktadır.
Siber güvenlik kariyerinde uluslararası sertifikasyonlar da önemli rol oynar. CompTIA
Security+, CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional),
CISSP (Certified Information Systems Security Professional), CISM (Certified Information
Security Manager) gibi sertifikalar global geçerliliğe sahip olup kariyer gelişimini hızlandıran
unsurlar arasında yer alır.

Kariyer yolculuğunda belirleyici olan tek unsur teknik yetkinlikler değildir. Eleştirel
düşünme, sürekli öğrenme alışkanlığı, etik değerler, ekip çalışması ve iletişim becerileri de
uzun vadeli başarı için kritik öneme sahiptir. Siber güvenlikte kariyer, yalnızca saldırılara
karşı savunma sağlamak değil; dijital dünyayı daha güvenli bir yer haline getirmek için
sorumluluk almak anlamına gelir.

 

7.2 Etik Hackerlık ve Hukuki Sınırlar

Siber güvenlik dünyasında “etik hackerlık” veya “beyaz şapkalı hackerlık” kavramı,
sistemlerin güvenliğini test etmek ve zayıf noktalarını belirlemek amacıyla yasal ve izinli
sızma faaliyetleri gerçekleştiren profesyonelleri ifade eder. Etik hackerlar, siber saldırganların
kullandığı yöntemleri kullanarak kurumların güvenlik açıklarını ortaya çıkarır ve bu açıkların
kapatılmasına yardımcı olur. Ancak etik hackerlık, sadece teknik bilgi gerektirmekle kalmaz;
aynı zamanda sıkı bir etik anlayış ve hukuki çerçeve içinde hareket etmeyi zorunlu kılar.
Bir etik hackerın temel görevi, hedef sistemlerin güvenlik açıklarını bulup raporlamak ve
öneriler sunmaktır. Bu süreçte kullanılan teknikler, penetrasyon testi, sosyal mühendislik
testleri ve güvenlik değerlendirmelerini kapsar. Ancak her durumda öncelikle kurumun açık
rızası alınmalı, faaliyetler sözleşmelerle net bir biçimde sınırlandırılmalıdır. Aksi takdirde
yapılan testler yasal sorumluluk doğurabilir.

Etik hackerlığın hukuki sınırları ülkeden ülkeye farklılık gösterse de genel prensipler
benzerdir. İzin alınmadan yapılan herhangi bir sızma testi, siber suç kapsamında
değerlendirilir ve ciddi cezalarla sonuçlanabilir. Türkiye’de 5651 sayılı İnternet Kanunu,
bilişim suçlarına dair düzenlemeler içerir. Etik hackerların hukuki çerçeveyi iyi bilmeleri,
faaliyetlerini bu sınırlar içinde yürütmeleri gerekir.

Siber güvenlik alanında etik standartlar ve meslek kuralları, profesyonellerin güvenilirliğini
artırır. Uluslararası kuruluşlar ve sertifikasyon programları (örneğin CEH, OSCP) etik
hackerlığın teknik boyutuyla birlikte etik ve yasal sorumlulukları da eğitim kapsamına alır. Bu
da etik hackerların yalnızca becerikli değil, aynı zamanda mesleki sorumluluk sahibi bireyler
olmasını sağlar.

Kısaca, etik hackerlık sadece sistemlere yetkisiz erişim sağlamak değil; bu erişimi kontrol
altında, yasal izinlerle gerçekleştirmek, bulguları doğru raporlamak ve kurumların güvenlik
seviyesini artırmak için çalışmaktır. Etik değerler ve hukuki farkındalık olmadan siber
güvenlikte sürdürülebilir başarı mümkün değildir.

 

7.3 Sürekli Öğrenme Kültürü

Siber güvenlik alanı, teknolojinin ve tehdit ortamının hızla değiştiği dinamik bir disiplin
olarak, sürekli öğrenme kültürünü zorunlu kılar. Yeni saldırı teknikleri, gelişen güvenlik
çözümleri, ortaya çıkan yasal düzenlemeler ve sektör trendleri, profesyonellerin güncel
kalmasını gerektirir. Bu nedenle, siber güvenlikte başarılı olmanın temel şartlarından biri,
yaşam boyu öğrenme anlayışını benimsemektir.

Sürekli öğrenme, yalnızca teknik becerilerin geliştirilmesiyle sınırlı değildir. Aynı zamanda
analitik düşünme, problem çözme, iletişim ve takım çalışması gibi yetkinliklerin de
güçlendirilmesini içerir. Siber güvenlik uzmanları, yeni teknolojileri ve araçları takip etmeli,
açık kaynaklardan, konferanslardan ve eğitim programlarından faydalanmalıdır. Ayrıca
sertifikasyon programları, bu öğrenme sürecine yapı kazandıran önemli araçlardır.

Öte yandan, siber güvenlik alanında bilgi paylaşımı ve topluluk etkileşimi de öğrenmenin
ayrılmaz parçalarıdır. Güvenlik araştırmacıları, bloglar, sosyal medya, forumlar ve açık
kaynak projeleri aracılığıyla deneyimlerini paylaşır; böylece sektör geneli gelişir ve tehditlere
karşı daha güçlü savunmalar oluşturulur. Bu tür etkileşimler, bireysel öğrenmeyi kolektif bilgi
birikimine dönüştürür.

Kurumsal düzeyde ise sürekli eğitim programları ve tatbikatlar, çalışanların güvenlik
farkındalığını artırır ve insan kaynaklı riskleri azaltır. Siber güvenlik, yalnızca teknoloji odaklı
değil, aynı zamanda insan odaklı bir disiplin olduğu için organizasyonlarda öğrenme
kültürünün yerleşmesi kritik önem taşır.

Sonuç olarak, siber güvenlik alanında kariyer yapmak isteyenler için sürekli öğrenme,
değişime uyum sağlama ve kendini yenileme becerileri vazgeçilmezdir. Bu kültürün
benimsenmesi, hem bireysel hem de kurumsal başarıyı garantileyen temel faktörlerden biridir.

 

Son Söz

Güvenlik Bitmeyen Bir Yolculuktur
Bilgi güvenliği, tamamlandığında “iş bitti” denilebilecek bir alan değildir; aksine sürekli
gelişen, evrilen ve yeni tehditlere karşı devamlı adaptasyon gerektiren dinamik bir
yolculuktur. Teknolojiler ilerledikçe ve dijitalleşme derinleştikçe, siber güvenlik alanındaki
riskler de karmaşıklaşmakta, saldırı yöntemleri çeşitlenmektedir. Bu bağlamda, güvenlik
yalnızca teknik tedbirlerden ibaret olmayıp, insan faktörünü, süreçleri ve organizasyon
kültürünü de içine alan çok boyutlu bir mücadele alanıdır.

Bu dökümanın amacı, okuyucuya sadece mevcut güvenlik kavramlarını öğretmek değil; aynı
zamanda siber güvenlik yolculuğunun devam eden bir süreç olduğunu hatırlatmak ve bu
süreçte bilinçli, hazırlıklı ve kararlı bir duruş geliştirmesine rehberlik etmektir. Güvenlik, bir
varış noktası değil, sürekli iyileştirme ve öğrenme ile ilerleyen bir süreçtir.
Yolculuğun her aşamasında karşılaşılacak zorluklara rağmen, bilgi ve bilinçle donanmış
bireyler ve kurumlar, dijital dünyada güveni tesis etmek ve korumak için en büyük güce
sahiptir.

Ek A: Önerilen Kaynaklar ve Okuma Listesi
Bilgi güvenliği alanında derinleşmek ve güncel kalmak isteyenler için güvenilir ve zengin
içerikli kaynaklara erişim büyük önem taşır. Aşağıda hem temel hem de ileri düzeyde
başvurabileceğiniz kitaplar, makaleler, çevrimiçi platformlar ve standartlar listelenmiştir:

Kitaplar
• “The Web Application Hacker’s Handbook” – Dafydd Stuttard, Marcus Pinto
• “Metasploit: The Penetration Tester’s Guide” – David Kennedy ve diğerleri
• “Applied Cryptography” – Bruce Schneier
• “Security Engineering” – Ross Anderson
• “Hacking: The Art of Exploitation” – Jon Erickson
• “Cybersecurity and Cyberwar: What Everyone Needs to Know” – P.W. Singer,
Allan Friedman

Çevrimiçi Kaynaklar ve Platformlar
• OWASP (Open Web Application Security Project) – https://owasp.org
• MITRE ATT&CK Framework – https://attack.mitre.org
• SANS Institute – https://www.sans.org
• Krebs on Security – https://krebsonsecurity.com
• Dark Reading – https://www.darkreading.com
• Cybersecurity & Infrastructure Security Agency (CISA) – https://www.cisa.gov