DEV Community: Nesil Teknoloji

Dijital Erişilebilirlik ve Kişisel Verilerin Korunması

Nesil Teknoloji — Fri, 05 Jun 2026 10:46:06 +0000

internette bir siteye girdiğinde herkesin aynı bilgiyi rahatça görebilmesi gerekir. Ama gerçek hayatta bu her zaman böyle olmaz. Bazı kişiler ekran okuyucu kullanır, bazıları fare kullanamaz, bazıları da küçük yazıları ya da düşük kontrastlı renkleri rahat okuyamaz. İşte dijital erişilebilirlik dediğimiz şey, internet sitelerinin ve uygulamaların herkes tarafından kullanılabilir olmasıdır. KVKK ise kişisel verilerin nasıl toplandığını, neden kullanıldığını ve nasıl korunduğunu insanlara açıkça anlatmayı ister. Bu iki konu aslında birbirine çok bağlıdır.

Bir kurum “Seni bilgilendirdim” diyorsa, o bilginin gerçekten herkes tarafından okunabiliyor olması gerekir. Yani bilgi sadece ekranda görünmekle yetmez, anlaşılır ve ulaşılabilir de olmalıdır. Nesil Teknoloji olarak yaptığımız denetimlerde şunu sık görüyoruz: Metin yazılmış oluyor ama bazı kullanıcılar o metne ulaşamıyor. O zaman kâğıt üstünde bilgilendirme var gibi görünse bile, gerçekte görev tam yapılmış sayılmaz. Bu rehberde konuyu zorlaştırmadan, günlük hayattan örneklerle anlatacağız.

Yasal Taraf ve Riskler Açısından Aydınlatma Yükümlülüğü KVKK’ya göre bir kurum kişisel veri topluyorsa, bunu neden yaptığını kişiye açık şekilde anlatmalıdır. Buna aydınlatma yükümlülüğü denir. Yani kurum şunu söylemelidir: “Senden hangi bilgiyi alıyorum, neden alıyorum, ne kadar süre tutuyorum ve kiminle paylaşabilirim?” Bu açıklama sade ve anlaşılır olmalıdır. Fakat burada çok önemli bir nokta vardır. Metnin sade olması tek başına yetmez. O metne herkesin ulaşabilmesi de gerekir.

Mesela görme engelli bir kişi ekran okuyucu ile bir siteye girdiğinde bilgilendirme metni hiç okunmuyorsa, o kişinin gerçekten bilgilendirildiğini söylemek zordur. Aynı şekilde sadece fare ile kullanılabilen bir onay kutusu varsa, klavye ile gezen bir kullanıcı orada takılıp kalabilir. Bu durumda kişi verisinin nasıl işlendiğini anlamadan işlem yapmış olabilir. Yani kurum “Biz yazdık, görevimizi yaptık” dese bile, gerçekte eksik bir durum oluşur.

Bunu okul örneğiyle düşünebiliriz. Öğretmen sınıfta sınav kurallarını sadece tahtanın en arkasına minicik yazar ve bazı öğrenciler bunu okuyamazsa, “Ben anlattım” demesi çok güçlü olmaz. Çünkü bilgi herkese eşit şekilde ulaşmamıştır. Dijital dünyada da mantık aynıdır. Bilgi orada olabilir ama herkes onu aynı rahatlıkta alamıyorsa, sorun vardır.

Bu yüzden erişilebilirlik sadece teknik bir rahatlık konusu değildir. Aynı zamanda adalet konusudur. Engelli bireylerin de diğer herkes gibi verileri hakkında bilgi alma hakkı vardır. Eğer site bunu sağlamıyorsa, bu durum sadece kötü tasarım sayılmaz; aynı zamanda hukuki risk de doğurabilir. Kurumlar bazen erişilebilirliği “sonradan bakarız” diye düşünür ama aslında en baştan planlanması gerekir.

5378 sayılı Engelliler Hakkında Kanun da hizmetlerin herkes için erişilebilir olmasını önemser. Yani mesele sadece KVKK metni yazmak değil, o metni herkesin kullanabileceği şekilde sunmaktır. Yazı çok açık renk olursa okunmaz, butonların adı net olmazsa ekran okuyucu kullanıcıyı yönlendiremez, form alanları açıklamasız olursa kişi ne yazacağını bilemez. Bunların hepsi küçük gibi görünür ama birleşince büyük bir sorun oluşturur.

Nesil Teknoloji olarak yaptığımız denetimlerde bazen aydınlatma metinlerinin resim içine gömüldüğünü görüyoruz. İnsan bakınca okuyabiliyor gibi sanıyor ama ekran okuyucu bunu metin olarak algılamıyor. Yani görme engelli biri için o bilgi yokmuş gibi oluyor. Bazen de çerez penceresi kapanmıyor, klavye odağı yanlış yerde kalıyor ya da “Onayla” düğmesi neye onay verildiğini yeterince anlatmıyor. Bunların hepsi kullanıcı deneyimini bozar, güveni azaltır ve kurumu riskli hale getirir.

Kısacası, aydınlatma yükümlülüğü sadece metin yayınlamak değildir. O metni gerçekten herkese ulaştırmaktır. İnsanlar kendi verileriyle ilgili bilgiyi rahatça okuyabiliyorsa, anlayabiliyorsa ve seçim yapabiliyorsa sistem doğru çalışıyor demektir. Ama bunlardan biri eksikse, sorun sadece tasarım sorunu olmaktan çıkar ve hukuki bir meseleye dönüşebilir.

WCAG 2.2 Teknik Standartları Neyi Anlatır WCAG 2.2, web sitelerinin ve uygulamaların daha erişilebilir olması için hazırlanmış kurallar bütünüdür. İsmi biraz teknik gelebilir ama mantığı aslında çok basittir. Siteyi kullanan herkes bilgiyi görebilsin, gezebilsin, anlayabilsin ve yardımcı teknolojilerle sorunsuz kullanabilsin. Bu kurallar dört ana fikir üzerine kurulur: algılanabilir olmalı, kullanılabilir olmalı, anlaşılır olmalı ve sağlam olmalı.

Algılanabilirlik demek, içeriğin fark edilebilir olmasıdır. Yazı çok silikse, renkler birbirine çok yakınsa ya da görsellerin açıklaması yoksa bazı kullanıcılar bilgiye ulaşamaz. İşletilebilirlik demek, siteyi rahat kullanabilmektir. Sadece fare ile çalışan bir sistem herkes için uygun değildir. Anlaşılabilirlik demek, kullanıcı ne olduğunu kolayca kavrasın demektir. Sağlamlık ise sitenin farklı cihazlar ve yardımcı teknolojilerle düzgün çalışmasıdır.

WCAG 2.2 Prensibi KVKK ile İlişkisi Basit Açıklama
Algılanabilirlik Bilgilendirme metni görülebilmeli Yazılar okunur olmalı, ekran okuyucu metni algılayabilmeli
İşletilebilirlik Kullanıcı haklarını rahat kullanabilmeli Site sadece fareyle değil, klavyeyle de kullanılabilmeli
Anlaşılabilirlik Bilgi açık olmalı Butonlar, formlar ve uyarılar kafa karıştırmamalı
Sağlamlık Sistem güvenilir çalışmalı Farklı cihazlarda ve yardımcı araçlarda hata vermemeli
Mesela bir form düşün. Ad, soyad, telefon, e-posta gibi bilgiler istiyor. Eğer kutuların üstünde doğru etiketler yoksa ekran okuyucu hangi alanın ne için olduğunu düzgün okuyamaz. Kullanıcı yanlış bilgi girebilir ya da formu tamamlayamaz. Aynı şey KVKK metinleri için de geçerlidir. Metin var ama kişi ona ulaşamıyorsa, o bilginin anlamı azalır.

WCAG 2.2 bu yüzden “güzel görünüm” kuralı değildir. Asıl amaç, herkesin dijital ortamda eşit şansa sahip olmasıdır. Bir oyunun kuralları sadece bazı oyunculara anlatılırsa oyun adil olmaz. İnternette de durum böyledir. Bir site bazı insanlara kolay, bazılarına aşırı zor geliyorsa burada düzeltilmesi gereken bir şey vardır.

Güvenlik ile erişilebilirlik bazen ayrı konular gibi düşünülür ama aslında birbirini destekler. Kullanıcı neyi onayladığını açıkça anlamazsa yanlış tıklayabilir. Çıkış yolu belli olmayan açılır pencereler insanı zor durumda bırakabilir. Yanlış isimlendirilmiş düğmeler kullanıcıyı kandırılmaya daha açık hale getirebilir. Yani kafa karıştıran tasarım, bazen güven sorununa da yol açar.

Otomatik araçlar birçok hatayı bulabilir. Renk kontrastı düşük mü, başlık sırası bozuk mu, bazı görsellerde açıklama yok mu gibi şeyleri hızlıca tarar. Ama her şeyi makineler çözemez. Bazen teknik olarak her şey tamam görünür ama gerçek kullanıcı deneyimi yine de zayıf olabilir. Örneğin butonun üstünde sadece “Devam” yazıyorsa, kullanıcı nereye devam ettiğini anlamayabilir. Bu yüzden insan kontrolü de şarttır.

Özetle WCAG 2.2, “site herkes için çalışsın” demenin kurallı halidir. Kurumlar bu kuralları uygularsa hem kullanıcı deneyimi iyileşir hem de KVKK gibi yükümlülükleri daha sağlam yerine getirmiş olur. Çünkü bilgi sadece yazılmış değil, gerçekten ulaşılabilir hale gelir.

Gerçek Hayattan Örnekler ve Basit Vaka İncelemeleri Birinci örnek bir fabrikadaki personel kioskları olsun. Çalışanlar burada giriş yapıyor, bazı belgeleri onaylıyor ve kişisel verileriyle ilgili metinleri görüyor. Ama ekranda sesli yönlendirme yok, yazılar küçük ve tüm işlem sadece dokunmatik ekranla yapılabiliyor. Görme engelli ya da hareket kısıtı olan biri için bu sistem neredeyse kullanılamaz hale gelir. Yani kurum metni hazırlamış olsa bile herkes için eşit bir kullanım sunmamış olur.

İkinci örnek bir e-ticaret sitesinden. Siteye girince çerez bildirimi çıkıyor ama bu pencere sadece fare ile kapatılabiliyor. Klavye kullanan biri sekmeler arasında dolaşırken oradan çıkamıyor. Sonuç olarak kişi alışverişe devam edemiyor ve veri tercihini de rahatça yönetemiyor. Bu küçük bir tasarım kusuru gibi görünebilir ama aslında çok önemli bir engeldir. Çünkü kullanıcıya seçim hakkı tanınıyor gibi görünse de, o seçim pratikte kullanılamıyordur.

Bir başka örnek de belediye ya da kamu sitesi olabilir. Diyelim ki kişi bir başvuru yapmak istiyor ve kişisel verilerinin nasıl işlendiğini öğrenmek için aydınlatma metnini açıyor. Ama metin PDF olarak yüklenmiş ve dosya düzgün hazırlanmadığı için ekran okuyucu metni parçalı okuyor ya da hiç okuyamıyor. Bu durumda bilgi var ama işe yaramıyor. Kullanıcı okuyamadığı için hakkını da tam kullanamıyor.

Bu örneklerde ortak nokta şudur: Sorun sadece teknik hata değildir. Aynı zamanda iletişim hatasıdır. Kurum kullanıcıya “Sana bilgi verdim” derken kullanıcı aslında o bilgiye ulaşamamaktadır. Bu da güven duygusunu azaltır. İnsanlar bir sistemin kendilerini düşündüğünü hissederse o sisteme daha çok güvenir. Ama sistem “sadece bazı kişiler için kolay” görünürse güven zedelenir.

İhracat yapan ya da yurt dışıyla çalışan firmalar için konu daha da önemlidir. Çünkü Avrupa’daki bazı düzenlemeler erişilebilirliği çok daha ciddi ele alır. Yani sadece Türkiye içindeki beklentiler değil, uluslararası beklentiler de kurumları bu konuda adım atmaya zorluyor. Özellikle büyük markalar, dijital ürünlerinin herkes için erişilebilir olmasına daha fazla dikkat ediyor.

Aslında erişilebilirlik kurumlara da fayda sağlar. Daha düzenli başlıklar, daha anlaşılır metinler, daha net formlar sadece engelli bireylere değil herkese yardımcı olur. Yaşı büyük kullanıcılar, geçici sakatlık yaşayanlar, telefondan işlem yapanlar ya da interneti yavaş olanlar da daha rahat eder. Yani erişilebilirlik küçük bir grubu değil, geniş bir kullanıcı kitlesini ilgilendirir.

Nesil Teknoloji’nin bakışına göre bu denetimler sadece “eksik bulma” işi değildir. Asıl amaç, sistemin gerçekten insanlar için çalışıp çalışmadığını anlamaktır. Bir kapının kilidi sağlam olabilir ama kapı çok ağırsa bazı insanlar yine içeri giremez. Dijital dünyada da güvenlik önlemleri olabilir ama kullanım yolu kapalıysa sistem eksik kalır. Bu yüzden erişilebilirlik ve güvenlik birlikte düşünülmelidir.

Gerçek hayattaki örnekler bize şunu gösteriyor: Sorunların çoğu devasa ve çözümsüz değildir. Çoğu zaman doğru etiket, daha net bir buton adı, daha iyi kontrast, klavye desteği ya da düzgün hazırlanmış içerik büyük fark yaratır. Küçük dokunuşlar, büyük bir adalet ve uyum farkı oluşturabilir.

Kurumlar Ne Yapmalı ve Doğru Yol Nasıl Kurulur Bir kurum dijital erişilebilirlik ve KVKK uyumu istiyorsa işe en baştan plan yaparak başlamalıdır. Çünkü bu konu son dakikada birkaç renk değiştirerek ya da tek bir metin ekleyerek tam çözülmez. Önce mevcut durum görülmelidir. Sitede ya da uygulamada hangi alanlar sorun çıkarıyor, kullanıcılar nerede zorlanıyor, hangi formlar hatalı çalışıyor, aydınlatma metinleri gerçekten okunabiliyor mu; bunlar tek tek kontrol edilmelidir.

Sonra aydınlatma metinleri ve onay ekranları gözden geçirilmelidir. Cümleler daha basit hale getirilmeli, gereksiz uzunluk azaltılmalı ve teknik sunum düzeltilmelidir. Yani sadece “metni yazdık” demek yetmez; doğru başlıklar, doğru buton isimleri, erişilebilir açılır pencereler ve anlaşılır hata mesajları gerekir. Kullanıcı ne yapacağını düşünmek zorunda kalmamalıdır.

Yazılım geliştiren ekiplerin de bu konuda bilinçli olması gerekir. Çünkü erişilebilirlik sadece son kontrolde bakılacak bir kutucuk değildir. Tasarımcı, geliştirici, hukuk ekibi ve güvenlik ekibi birlikte hareket etmelidir. Tasarım güzel ama kullanılamazsa eksiktir. Hukuk metni doğru ama ulaşılamazsa eksiktir. Yazılım hızlı ama kafa karıştırıcıysa yine eksiktir. İyi sonuç için ekiplerin aynı hedefte buluşması gerekir.

Denetim araçları burada yardımcı olur. Bazı araçlar sayfaları tarar ve bariz sorunları hızlıca bulur. Ama bunun yanında gerçek kullanıcı senaryoları da denenmelidir. Sadece klavye ile gezinme, ekran okuyucu ile form doldurma, büyütülmüş ekranla metin okuma gibi testler yapılmalıdır. Çünkü gerçek sorunlar çoğu zaman günlük kullanım sırasında ortaya çıkar.

Kategori Önerilen Araç / Yöntem Basit Faydası
Erişilebilirlik Taraması Axe DevTools / Lighthouse Hızlıca temel hataları gösterir
Sızma Testi Burp Suite / Nessus Veri güvenliği tarafındaki açıklara bakar
Yapay Zeka Destekli Kontrol Custom AI Agents Metin ve kullanım akışını daha hızlı incelemeye yardım eder
Uyum Takibi GRC Yazılımları Süreçleri düzenli takip etmeyi kolaylaştırır
Kurumların uzun vadede benimsemesi gereken fikir şudur: Tasarım yapılırken gizlilik nasıl düşünülüyorsa, erişilebilirlik de aynı anda düşünülmelidir. Buna kısaca tasarım aşamasında erişilebilirlik yaklaşımı diyebiliriz. Yani ürün bittikten sonra “Şimdi biraz da erişilebilir yapalım” demek yerine, baştan herkes için uygun bir yapı kurmak daha doğrudur.

Personel eğitimi de çok önemlidir. Çünkü bazen sorun teknoloji eksikliği değil, farkındalık eksikliğidir. Bir çalışan görsel üzerine yazı koyduğunda bunun ekran okuyucu için sorun yaratacağını bilmiyor olabilir. Bir geliştirici butona sadece ikon eklediğinde bunun bazı kullanıcılar için anlamsız kalacağını fark etmeyebilir. Küçük bilgi eksikleri, büyük sonuçlar doğurabilir.

Nesil Teknoloji’nin yaklaşımı burada hem güvenliği hem de erişilebilirliği birlikte değerlendirmektir. Çünkü bir sistem güvenliyse ama bazı kullanıcılar için kapalıysa tam başarılı sayılmaz. Aynı şekilde erişilebilir ama veri güvenliği zayıfsa da yine eksiktir. Amaç iki tarafı bir araya getirmektir. Böylece kurum hem kullanıcılarına saygılı davranır hem de yasal yükümlülüklerini daha sağlam yerine getirir.

Son söz olarak şunu söylemek kolaydır: Dijital dünya sadece hızlı çalışanlar için değil, herkes için tasarlanmalıdır. İnsanlar kendi verileri hakkında bilgi alabilmeli, karar verebilmeli ve bunu yaparken engelle karşılaşmamalıdır. İyi bir sistem, kullanıcıyı yormayan sistemdir. Erişilebilirlik de tam olarak bunu hedefler.

Sık Sorulan Sorular
Dijital erişilebilirlik eksikliği gerçekten sorun olur mu?
Evet, çünkü kişi verileriyle ilgili bilgiye ulaşamıyorsa bilgilendirme eksik kalabilir. Bu da hem güven hem de yasal uyum açısından problem yaratabilir.

WCAG 2.2 uyumu için tüm siteyi sıfırdan yapmak gerekir mi?
Hayır, çoğu zaman her şeyi baştan yapmak gerekmez. Buton adları, kontrast, form etiketleri ve klavye kullanımı gibi alanlarda düzeltmeler yapılarak büyük gelişme sağlanabilir.

TSE A Sınıfı Sızma Testi yetkisi bu alanda neden önemlidir?
Bu yetki teknik denetim gücünü gösterir. Böylece bir kurum hem güvenlik tarafını hem de dijital kullanım tarafındaki açıkları daha ciddi biçimde inceleyebilir.
bu yazı ilk olarak https://www.nesilteknoloji.com/ sayfasında yayınlanmıştır.

EDR Nedir Sistem Çağrıları Nedir ve Bilgisayarlar Nasıl Korunur

Nesil Teknoloji — Wed, 03 Jun 2026 06:51:54 +0000

EDR nedir sorusu günümüzde siber güvenlik alanında sıkça sorulmaktadır. EDR denen güvenlik sistemi ne yapar, işletim sistemi neden sistem çağrıları kullanır, bir program bilgisayardan bir şey isterken arka planda neler olur ve güvenlik ekipleri bu hareketleri neden takip eder gibi sorulara sade cevaplar vereceğiz. Bu yazıda EDR nedir, bilgisayar güvenliğinde neden önemlidir ve sistem çağrılarıyla nasıl ilişkilidir gibi konuları basit bir dille açıklayacağız. Buradaki amaç saldırı öğretmek değil, bilgisayarların nasıl korunduğunu anlamaktır.

Bunu bir okul örneğiyle düşünebilirsin. Okulda öğrenciler sınıflarda dolaşır ama müdür odasına herkes kafasına göre giremez. Bazı kurallar vardır. Bilgisayarda da buna benzer bir yapı vardır. Uygulamalar kullanıcı alanında çalışır. En kritik bölge ise işletim sisteminin çekirdek kısmıdır. Bir uygulama dosya açmak, bellekte yer ayırmak veya yeni bir işlem başlatmak istediğinde bunu doğrudan yapmaz. Önce işletim sistemine uygun şekilde istek yollar. İşte bu istek düzenine sistem çağrısı mantığı denir. EDR gibi güvenlik araçları da bu istekleri izleyerek garip davranışları fark etmeye çalışır. Bu nedenle EDR nedir ve nasıl çalışır sorusunu anlamak bilgisayar güvenliği açısından oldukça önemlidir.

Önemli Not: Bu içerik yalnızca eğitim ve savunma farkındalığı amacıyla hazırlanmıştır. Burada saldırı yöntemi anlatılmaz. Amaç, güvenlik araçlarının neden gerekli olduğunu ve bilgisayarların nasıl korunduğunu anlaşılır şekilde göstermektir.

EDR Nedir ve Sistem Çağrıları Windows’ta Nasıl Çalışır Bilgisayarda kullandığın her program tek başına sınırsız yetkiye sahip değildir. Mesela bir not uygulaması açtığında o program ekrana yazı gösterebilir, dosya kaydedebilir ve bazen internete bağlanabilir. Ama bunların hepsini kendi başına, kuralsız şekilde yapmaz. Çünkü işletim sisteminin görevi düzeni korumaktır. Bu yüzden programlar önemli bir iş yapmadan önce işletim sisteminden izin ister. İşte bu izne giden yolun adı sistem çağrısı mantığıdır.

Bunu belediyedeki resmi işlem gibi düşün. Bir vatandaş doğrudan arşiv odasına girip dosya çekemez. Önce ilgili masaya başvurur. Görevli isteği alır, kontrol eder ve uygunsa işlem yapılır. Bilgisayarda da benzer bir akış vardır. Uygulama bir fonksiyon çağırır. Bu istek işletim sisteminin ilgili katmanlarından geçer. En sonunda çekirdek denilen ana yönetim bölgesine ulaşır. Çekirdek de gerekli işi yapar ya da reddeder.

Windows içinde bu yapı çok önemlidir çünkü çekirdek kısmı sistemin en hassas yeridir. Bellek yönetimi, işlem açma, dosya sistemi, sürücüler ve donanım erişimi gibi konular burada yönetilir. Eğer her program çekirdeğe rastgele dokunabilseydi bilgisayar çok kolay bozulur, çöker veya kötü amaçlı yazılımlar her şeyi ele geçirebilirdi. Bu yüzden kullanıcı tarafı ile çekirdek tarafı arasında sıkı bir kapı kontrolü bulunur.

Sistem çağrısı dediğimiz şey aslında programın işletim sistemine “Ben şu işi yapmak istiyorum” demesidir. Örneğin bir program dosya açmak istediğinde, bellekte yer ayırmak istediğinde ya da yeni bir işlem başlatmak istediğinde bunu sistemin belirlediği kurallarla ister. Bu süreç dışarıdan görünmez ama arka planda sürekli olur. Sen bir uygulamayı açtığında, oyunda bölüm değiştirdiğinde, tarayıcı yeni sekme oluşturduğunda bile buna benzer işlemler çalışır.

Şimdi burada önemli bir ayrım var. Uygulamanın görünen kısmı ile işletim sisteminin derin kısmı aynı yer değildir. Uygulamalar daha sınırlı bir alanda bulunur. Çekirdek ise sistemin yöneticisi gibidir. Bu yüzden güvenlik yazılımları özellikle bu istek yollarını takip eder. Çünkü kötü niyetli bir yazılım da sonuçta aynı bilgisayar üzerinde bir şeyler yapmak zorundadır. Dosya açmak ister, belleğe veri yazar, başka süreçleri etkiler veya ağa bağlanır. Bunların çoğu bir şekilde işletim sistemine yaptığı isteklerde iz bırakır.

Kısacası sistem çağrıları, bilgisayarın gizli dili gibi düşünülebilir. Kullanıcı ekranda sadece düğmelere tıklar ama programlar işletim sistemiyle teknik bir konuşma yapar. Güvenlik uzmanları da bu konuşmanın düzenli mi yoksa şüpheli mi olduğuna bakar. Yani konu aslında sandığın kadar karmaşık değil. Bir taraf işi isteyen program, diğer taraf kuralları uygulayan işletim sistemi, ortadaki yol ise sistem çağrısı düzenidir.

Bu mantığı anlarsan siber güvenlikte birçok kavram daha kolay gelir. Çünkü virüs, truva atı, zararlı script ya da tehlikeli program dediğimiz şeylerin çoğu sonuçta bir iş yapmak ister. O işi yaparken de bilgisayarda iz bırakır. Güvenlik araçlarının işi de tam olarak bu izleri yakalamaktır.

EDR Nedir ve Neleri Takip Eder EDR ifadesi İngilizce “Endpoint Detection and Response” sözlerinin kısaltmasıdır. Türkçede bunu “uç nokta tespit ve müdahale sistemi” gibi düşünebiliriz. Uç nokta dediğimiz şey ise bilgisayar, dizüstü cihaz, şirket çalışanının kullandığı masaüstü sistem ya da bazen sunucu olabilir. Yani EDR, bilgisayarın içine yerleştirilen akıllı bir güvenlik gözlemcisi gibidir.

Eski tip antivirüsler daha çok imza mantığıyla çalışırdı. Yani daha önce bilinen kötü dosyaların parmak izlerine bakardı. Bu hâlâ önemlidir ama tek başına yeterli değildir. Çünkü yeni zararlılar daha önce görülmemiş olabilir. İşte bu yüzden EDR sadece dosyanın adına ya da basit imzasına bakmaz. Programın davranışını da izler. Ne zaman açıldı, hangi dosyalara dokundu, bellekte ne yaptı, hangi işlemleri başlattı, internete nereye bağlandı, kullanıcıdan gizli hareket ediyor mu gibi konular incelenir.

Bunu bir okul güvenlik kamerası sistemi gibi düşünebilirsin. Sadece “Bu öğrenci daha önce yaramazlık yapmış mı” diye bakmak yerine, “Koridorda neden koşuyor, neden yasak bölgeye girdi, neden başka sınıfın dolabını açmaya çalışıyor” gibi hareketleri de izlemek çok daha akıllıcadır. EDR de tam olarak bunu yapar. Dosyanın kendisinden çok, davranışın riskli olup olmadığına dikkat eder.

Mesela sıradan bir hesap makinesi uygulamasının gizlice onlarca sistem dosyasına dokunması normal değildir. Ya da basit bir belge görüntüleyicinin arka planda garip ağ bağlantıları kurması şüpheli olabilir. Bir program bir anda çok sayıda dosyayı değiştirmeye başlarsa bu fidye yazılımı belirtisi olabilir. EDR bu tür durumlarda alarm verir. Bazı ürünler işlemi durdurur, bazıları dosyayı karantinaya alır, bazıları güvenlik ekibine rapor gönderir.

EDR sistemleri sadece tek olaya bakmaz. Birçok küçük işareti birleştirerek karar verebilir. Örneğin şüpheli bir e-posta eki açıldıysa, sonra bir komut dosyası çalıştıysa, ardından bilinmeyen bir işlem başlatıldıysa ve bu işlem ağ üzerinden veri göndermeye başladıysa bütün bunlar tek başına küçük görünse bile birlikte büyük risk anlamına gelebilir. Güçlü güvenlik çözümleri olayları birbirine bağlayarak daha anlamlı sonuç çıkarır.

Bu yüzden EDR araçları şirketler için çok değerlidir. Çünkü saldırılar artık tek adımlı değildir. Önce e-posta gelir, sonra kullanıcı yanlışlıkla açar, ardından zararlı dosya çalışır, sonra sistemde kalıcı olmaya çalışır, ardından veriye ulaşmak ister. EDR bu zincirin farklı halkalarını görebilir. Böylece sadece “virüs var mı” sorusunu değil, “sistemde kötüye giden bir süreç var mı” sorusunu da cevaplar.

Kurumsal ağlarda güvenlik ekipleri için EDR nedir sorusunun cevabı oldukça önemlidir. Çünkü EDR sistemleri yalnızca virüsleri tespit etmekle kalmaz, aynı zamanda programların davranışlarını analiz ederek şüpheli aktiviteleri ortaya çıkarabilir.

Aşağıdaki tablo konuyu daha kolay gösterir.

Konu Basit Açıklama Neden Önemli
Antivirüs Bilinen zararlı dosyaları tanımaya çalışır Temel koruma sağlar
EDR Programların davranışlarını da izler Yeni ve bilinmeyen tehditleri fark etmeye yardım eder
Olay kaydı Bilgisayarda neler olduğunu not eder Sonradan inceleme yapmayı kolaylaştırır
Müdahale Şüpheli işlemi durdurabilir veya uyarı verebilir Zarar büyümeden önlem alınır
Sonuç olarak EDR, bilgisayarın içine yerleştirilmiş dikkatli bir nöbetçi gibidir. Her şeye engel olmaz ama olağan dışı hareketleri yakalamaya çalışır. Bu da hem bireysel kullanıcıları hem de şirketleri korumada çok işe yarar.

EDR Nedir ve Güvenlik Ekipleri Neden Davranış Analizi Kullanır Siber güvenlikte en zor konulardan biri, henüz tanınmayan tehditleri fark etmektir. Çünkü saldırganlar aynı yöntemi sürekli birebir kullanmaz. Dosyanın adını değiştirir, görünüşünü değiştirir, farklı araçlar kullanır ve bazen çok küçük parçalar halinde hareket eder. Eğer güvenlik sistemi sadece eski imzalara bakıyorsa yeni tehdidi kaçırabilir. Bu yüzden davranış analizi çok değerlidir.

Davranış analizi şuna benzer: Bir kişiyi sadece yüzüne bakarak değil, yaptığı hareketlere bakarak değerlendirirsin. Mesela birinin okul çıkışında kendi sınıfına gitmesi normaldir. Ama sürekli kilitli odaların çevresinde dolaşması, başkalarının eşyalarını kurcalaması ve güvenlik görevlisinden saklanmaya çalışması normal değildir. Aynı mantık bilgisayarda da geçerlidir. Bazı işlemler tek başına normal olabilir ama bir araya geldiğinde riskli görünür.

Güvenlik ekipleri bu yüzden “normal davranış” ile “anormal davranış” arasındaki farkı anlamaya çalışır. Örneğin ofis uygulamalarının belge açması normaldir. Fakat belge açar açmaz arka planda başka süreçler başlatması, gizli komutlar çalıştırması veya beklenmedik ağ bağlantıları kurması normal olmayabilir. Bu tarz işaretler güvenlik uzmanına “Burada daha yakından bakmam gerek” der.

Davranış analizi sadece saldırıyı bulmak için değil, yanlış alarmı azaltmak için de önemlidir. Çünkü her hareket kötü değildir. Yazılım güncellemesi sırasında çok sayıda dosya değişebilir. Oyun açılırken bellek kullanımı artabilir. Yedekleme programı çok sayıda dosya okuyabilir. Güvenlik aracı, bağlamı anlamaya çalışarak daha doğru karar verir. Yani “çok hareket var = kesin tehlike” demek yerine “bu hareket bu program için mantıklı mı” diye düşünür.

Şirketlerde çalışan güvenlik ekipleri ayrıca olayları sıraya koyar. Her uyarı aynı derecede önemli değildir. Bazen düşük riskli bir uyarı sadece takip edilir. Bazen orta riskli olay kullanıcıya sorulur. Bazen de ciddi bir tehditte cihaz ağdan ayrılır. Bu kararları verebilmek için sadece tek log kaydı yetmez. Olay zinciri, kullanıcı rolü, cihazın önemi ve eş zamanlı başka belirtiler de incelenir.

Burada amaç insanları korkutmak değil, sistemleri daha akıllı hale getirmektir. Güvenlik ekibi bir dedektif gibi çalışır. Elindeki ipuçlarını toplar. Hangi program ne yaptı, ne zaman yaptı, bunun öncesinde ne oldu, sonrasında ne oldu gibi sorularla tabloyu tamamlar. EDR ve benzeri araçlar da bu dedektifin büyüteci gibidir.

Aşağıdaki tablo davranış analizi fikrini basitleştirir.

Durum Normal Olabilir mi Ne Zaman Şüpheli Olur
Bir belgenin açılması Evet Belge açılır açılmaz gizli işlemler başlarsa
İnternete bağlanma Evet Program alakasız ülkelere garip veri gönderirse
Dosya değiştirme Evet Kısa sürede binlerce dosya etkilenirse
Yeni süreç başlatma Evet Gizli, zincirleme ve beklenmedik şekilde olursa
Yani güvenlik uzmanları bir programı yalnızca var olduğu için değil, nasıl davrandığı için değerlendirir. Bugünün siber güvenlik dünyasında bu yaklaşım çok önemlidir. Çünkü saldırılar görünüş olarak daha sıradan hale gelirken davranış olarak hâlâ iz bırakır. Savunmanın gücü de o izleri doğru okumaktan gelir.

EDR Nedir ve Şirketler Kendini Nasıl Korur Siber güvenlik sadece büyük şirketlerin işi değildir. Evde oyun oynayan biri, telefon kullanan bir öğrenci, çevrim içi ödev yapan bir genç ya da küçük bir işletme sahibi de güvenlikten etkilenir. Çünkü saldırılar sadece çok büyük kurumları hedef almaz. Bazen tek amaç şifre çalmak, bazen hesabı ele geçirmek, bazen de kişisel verileri almak olabilir. Bu yüzden temel korunma alışkanlıkları herkes için önemlidir.

İlk kural güncellemedir. İşletim sistemi, tarayıcı, ofis yazılımı, oyun platformu ya da telefon uygulamaları eski kaldığında açık taşıyabilir. Yazılım üreticileri bu açıkları kapatmak için güncelleme yayınlar. Birçok kişi güncellemeyi ertelediği için savunmasız kalır. Bu yüzden güncellemeleri kapatmak yerine düzenli yapmak en basit ama en etkili koruma adımlarından biridir.

İkinci kural güçlü parola ve mümkünse iki aşamalı doğrulamadır. Aynı parolayı her yerde kullanmak çok risklidir. Bir sitede veri sızıntısı olursa aynı parola diğer hesaplarda da denenebilir. İki aşamalı doğrulama ise parola bilinse bile ikinci bir kontrol daha ister. Bu da hesabın çalınmasını zorlaştırır.

Üçüncü kural e-posta ve bağlantılarda dikkatli olmaktır. Bedava hediye, acil uyarı, kargo problemi, hesap kapanıyor gibi panik yaratan mesajlar çoğu zaman tuzak olabilir. Bir bağlantıya tıklamadan önce adresi kontrol etmek, tanımadığın ekleri açmamak ve resmi kurum gibi görünen ama tuhaf yazılmış mesajlara şüpheyle yaklaşmak çok önemlidir.

Şirket tarafında ise iş biraz daha büyür. Orada yalnızca tek bir bilgisayar değil, tüm ağ korunmalıdır. EDR, antivirüs, güvenlik duvarı, yedekleme, kullanıcı yetki kontrolü ve olay izleme sistemleri birlikte çalışmalıdır. Ayrıca çalışan eğitimi şarttır. Çünkü bazen en güçlü sistem bile bir kullanıcının dikkatsizliği yüzünden sorun yaşayabilir. İnsan hatası siber güvenlikte hâlâ en büyük risklerden biridir.

Düzenli yedek almak da çok önemlidir. Çünkü bazen en iyi savunma bile yüzde yüz koruma sağlayamaz. Böyle durumda temiz ve güncel yedekler hayat kurtarır. Dosyalar kaybolsa bile geri dönmek mümkün olur. Ama yedeklerin de güvenli tutulması gerekir. Sürekli aynı ağa bağlı ve korunmasız yedekler de risk altında olabilir.

Okul çağındaki biri için en pratik öneriler şunlardır: korsan yazılım kurmamak, bilinmeyen crack dosyalarını açmamak, sosyal medyada gelen garip linklere tıklamamak, ortak bilgisayarlarda hesap açık bırakmamak ve parolaları arkadaşlarla paylaşmamak. Bunlar basit görünür ama çok büyük fark yaratır.

Aşağıdaki tablo korunma adımlarını özetler.

Önlem Kimin İçin Neden Faydalı
Güncelleme yapmak Herkes Bilinen açıkların kapanmasına yardım eder
Güçlü parola kullanmak Herkes Hesap ele geçirmeyi zorlaştırır
İki aşamalı doğrulama Herkes Ek güvenlik katmanı sağlar
EDR ve izleme araçları Şirketler Davranışları takip ederek erken uyarı verir
Yedekleme Herkes Veri kaybı sonrası toparlanmayı kolaylaştırır
Kullanıcı eğitimi Öğrenci ve çalışanlar En yaygın hataları azaltır
Sonuçta güvenlik tek bir program kurmakla bitmez. Bu bir alışkanlık işidir. Dikkatli olmak, güncel kalmak, şüpheli şeylere hemen güvenmemek ve önemli hesapları korumak gerekir. EDR gibi teknolojiler bu savunmanın güçlü bir parçasıdır ama en iyi sonuç teknoloji ile bilinçli kullanıcı bir araya geldiğinde alınır.

Sık Sorulan Sorular
EDR ile antivirüs aynı şey mi
Tam olarak aynı şey değildir. Antivirüs daha çok bilinen zararlı dosyaları yakalamaya odaklanır. EDR ise bunun yanında bilgisayardaki davranışları ve olay zincirlerini izler. Yani EDR daha geniş düşünür.

Sistem çağrısı neden önemli
Çünkü programlar önemli işleri işletim sisteminden istemek zorundadır. Dosya açma, bellek kullanma ya da yeni işlem başlatma gibi konular bu yapı üzerinden yürür. Güvenlik araçları da bu akışı izleyerek şüpheli hareketleri anlamaya çalışır.

Ev kullanıcısının EDR bilmesi gerekli mi
Teknik ayrıntıları bilmek şart değildir ama mantığını bilmek faydalıdır. Böylece güvenlik yazılımlarının neden önemli olduğunu, neden uyarı verdiğini ve neden dikkatli olunması gerektiğini daha iyi anlarsın.

En büyük güvenlik hatası nedir
Tek bir şey söylemek zor ama güncellemeleri kapatmak, aynı parolayı her yerde kullanmak, bilinmeyen dosyaları açmak ve şüpheli bağlantılara düşünmeden tıklamak en yaygın büyük hatalar arasındadır.

Siber güvenlik öğrenmeye nasıl başlanır
Önce temel kavramlarla başlamak en iyisidir. İşletim sistemi nasıl çalışır, ağ nedir, parola güvenliği nedir, kimlik avı nasıl anlaşılır, log nedir, yedekleme neden önemlidir gibi konuları öğrenmek sağlam temel kurar.

Sonuç olarak EDR nedir sorusunun cevabı yalnızca bir güvenlik yazılımını tanımlamak değildir. EDR teknolojisi bilgisayarları ve kurumsal ağları korumak için kullanılan gelişmiş izleme ve müdahale sistemlerini ifade eder.

Bu gönderi ilk olarak https://www.nesilteknoloji.com/ adresinde yayınlanmıştır.

Dark Web İzleme ve Veri Sızıntısı Takibi

Nesil Teknoloji — Tue, 02 Jun 2026 06:09:02 +0000

Dark web izleme, şirketinize ait bilgilerin internetin karanlık köşelerinde satılıp satılmadığını sürekli takip etme işidir. Kulağa teknik gelebilir ama aslında çok basit bir gerçekten yola çıkıyor: verileriniz çalındığında bunu genellikle siz değil, saldırgan öğrenir. Üstelik çoğu zaman aylarca da kimse farkında olmaz.

Nesil Teknoloji olarak bu süreci sizin adınıza yönetiyoruz. TSE A Sınıfı sızma testi yetkimizle şirketinizin güvenlik açıklarını tespit ediyor, dark web izleme hizmetimizle verilerinizin dolaşıma girip girmediğini 7/24 takip ediyor ve bir tehdit gördüğümüzde anında harekete geçiyoruz.

Dark Web Nedir? Dark Web İzleme Neden Gereklidir? İnternetin Üç Katmanı İnterneti üç katmanlı düşünün. En üstte yüzey web var: Google’da arama yaptığınızda karşınıza çıkan her şey buraya giriyor. Örneğin haber siteleri, sosyal medya ve e-ticaret platformlarının tamamı herkese açık ve arama motorlarında görünür.

Bir alt katmanda ise derin web (deep web) bulunuyor. Kulağa gizemli geliyor ancak aslında her gün kullandığınız şeyler burada: iş e-postanız, banka hesabınız, şirket içi yazılımlar. Şifre gerektirdiği için dışarıdan erişilemiyor; bu kadar.

En altta ise karanlık web (dark web) yer alıyor. Buraya normal bir tarayıcıyla giremezsiniz. Erişmek için Tor adlı özel bir yazılım gerekiyor. Kısacası Tor, internet trafiğinizi dünyanın dört bir yanındaki sunucular üzerinden geçirerek şifreliyor ve kimliğinizi gizliyor. Bu anonimlik, dark web’i yasadışı faaliyetler için ideal bir ortam haline getiriyor.

Saldırganlar Dark Web’i Nasıl Kullanıyor?
Dark web’de işler son derece organize biçimde yürüyor. Öncelikle bir grup şirket sistemlerine girecek şifreyi veya erişim bilgisini buluyor. Ardından başka bir grup veriyi çalıyor. Son olarak üçüncü bir grup bunu forumlarda satışa çıkarıyor. Özellikle RDP (Uzak Masaüstü Protokolü) bilgileri çok rağbet görüyor — çünkü bunlar, bir saldırganın şirket ağına sanki ofisteymiş gibi bağlanmasına imkân tanıyor.

İnternet Katmanı Nasıl Erişilir? Ne Bulunur?
Yüzey Web (Surface Web) Normal tarayıcılar (Chrome, Firefox vb.) Herkesin görebileceği web siteleri, haberler, sosyal medya
Derin Web (Deep Web) Şifre ve yetki gerektiren sistemler Kurumsal veritabanları, banka sistemleri, tıbbi kayıtlar
Karanlık Web (Dark Web) Tor, I2P gibi anonimlik yazılımları (.onion uzantılı siteler) Hacker forumları, çalıntı veri pazarları, fidye yazılımı hizmetleri
Peki bu durumda ne yapabilirsiniz? Tek başınıza bu platformlara girip şirketinizin adını aramanız ne mümkün ne de güvenli. Bu nedenle özel araçlar, deneyimli analistler ve sürekli takip gerekiyor. Dolayısıyla dark web izleme tam da burada devreye giriyor: Nesil Teknoloji’nin TSE A Sınıfı uzman ekibi bu izlemeyi sizin adınıza, 7/24 profesyonel standartlarda yürütüyor.

Dark Web İzleme Nasıl Yapılır? Erken Uyarı Penceresi Bir veri çalındığında dark web’de hemen satışa çıkmaz. Öncelikle siber suçlular kendi aralarında paylaşır, fiyat biçer ve alıcı arar. Bu süreç bazen günler, bazen haftalar alır. İşte bu aralık, dark web izleme için altın değerinde bir fırsattır — çünkü veri henüz kullanılmadan harekete geçme şansınız olur.

Nesil Teknoloji bu fırsatı değerlendirmek için Siber Tehdit İstihbaratı (CTI) adı verilen sistematik bir süreç kullanır. Bunu bir dedektifin çalışma yöntemi gibi düşünebilirsiniz: önce ne aranacağı belirlenir, ardından kaynaklar taranır, bulunan bilgiler analiz edilir ve sonuç size raporlanır.

İki Temel Yöntem: Otomasyon ve İnsan Analizi
Bu süreçte iki yöntem birlikte çalışır:

Otomatik Tarama: Yapay zeka destekli yazılımlar dark web forumlarını, sohbet kanallarını ve veri depolarını 7/24 tarar. Şirketinizin alan adı, e-posta uzantısı veya IP adresiyle eşleşen her içeriği saniyeler içinde işaretler.
İnsan İstihbaratı (HUMINT): Uzman analistler, siber suç topluluklarına sızarak kapalı gruplardaki konuşmaları yakından takip eder. Otomatik sistemlerin erişemediği özel kanallardaki tehditleri ancak bu yolla yakalamak mümkündür.
Bununla birlikte bir eşleşme bulunduğunda sıradaki kritik soru şudur: “Bu veri gerçekten bize mi ait?” Siber suçlular zaman zaman eski verileri yeniymiş gibi satmaya çalışır. Bu nedenle Nesil Teknoloji uzmanları, bulunan verinin dijital izlerini inceleyerek doğrulama yapar — gerçek bir tehdit mi, yoksa sahte bir iddia mı, bunu net olarak ortaya koyarız.

Kullanılan Araçlar
Araç Adı Ne İşe Yarar? Nesil Teknoloji’deki Kullanım Senaryosu
Nmap Ağ Haritalama Şirket ağındaki tüm açık noktaları tespit eder; bir saldırganın dışarıdan neler görebileceğini ortaya koyar
Metasploit Zafiyet Simülasyonu Bulunan bir açığın gerçek bir saldırıda nasıl kullanılabileceğini güvenli ortamda test eder
Wireshark Ağ Trafiği Analizi Şirket ağından dışarıya çıkan veri akışlarını izler; yetkisiz transferleri tespit eder
Burp Suite Web Uygulama Güvenliği Kurumsal web uygulamalarındaki veri sızıntısına yol açabilecek açıkları belirler
Sonuç olarak dark web izleme, yalnızca bir ekranı izlemek değildir. Teknik araçlar, insan analizi ve siber suç dünyasına dair derin bilgi bir araya geldiğinde anlam kazanır. Nesil Teknoloji’nin TSE A Sınıfı uzmanlığı bu üç unsurun profesyonel standartlarda yönetilmesini sağlar.

Siber Suç Pazarları Nasıl İşler? Verinin Fiyatı Nasıl Belirleniyor? Günümüzde siber saldırıların büyük çoğunluğu ideolojik değil, tamamen ekonomik amaçlıdır. Öte yandan dark web, kurumsal verilerin alınıp satıldığı organize bir pazar gibi işliyor. Bu pazarın kendine özgü bir fiyat mantığı var: veri ne kadar taze ve değerliyse fiyatı o kadar yüksek. Zaman geçtikçe fiyat düşer; en sonunda veri ücretsiz dağıtılır ve neredeyse herkese açık hale gelir.

Bu Sistemde Kimler Yer Alıyor?
Bu ekosistemde üç temel aktör rol oynuyor:

İlk Erişim Aracıları (Initial Access Brokers): Şirket sistemlerine girebilecek şifreleri veya erişim bilgilerini bulup satan kişiler. Sisteme kendileri girmezler — yalnızca “kapıyı” bulur ve anahtarı başkasına satarlar.
Fidye Yazılımı (Ransomware) Grupları: Bu anahtarları satın alıp sisteme girerler. Ardından verileri şifrelerler ve şirketten ödeme talep ederler. Ödeme yapılmazsa verileri kamuya sızdırmakla tehdit ederler.
RaaS (Hizmet Olarak Fidye Yazılımı) Sağlayıcıları: Teknik bilgisi olmayan kişilerin bile hazır bir fidye yazılımı kiralayarak saldırı düzenlemesine olanak tanır. Kısacası siber suç artık “herkesin yapabileceği” bir iş haline geldi.
Aşağıdaki tablo, dark web pazarlarında sıklıkla el değiştiren kurumsal verileri ve şirketiniz için yarattığı riski özetliyor. Bu fiyatları görmek, saldırganların neden bu kadar motive olduğunu anlamak açısından önemlidir. Daha fazlası için sızma testi hizmetlerimize göz atabilirsiniz.

Pazar Ürünü Tahmini Fiyat Aralığı (USD) Şirket İçin Risk Seviyesi
Kurumsal E-posta Listesi 100 – 500 $ Orta — Hedefe yönelik oltalama (phishing) saldırılarında kullanılır
VPN / RDP Giriş Bilgisi 500 – 5.000 $ Kritik — Saldırgana şirket ağına doğrudan erişim kapısı açar
Kredi Kartı Veritabanı 1.000 – 50.000 $ Çok Yüksek — Finansal kayıp ve ağır KVKK cezalarına yol açar
Özel Yazılım Kaynak Kodu 10.000 $ ve üzeri Stratejik — Rekabet avantajının tamamen yok olması anlamına gelir

Yasal Yükümlülükler, KVKK ve Dark Web İzleme KVKK’nın 72 Saatlik Kuralı Türkiye’de bir şirketten veri sızdığında yasal süreç otomatik olarak başlar. 6698 sayılı KVKK (Kişisel Verilerin Korunması Kanunu) gereğince, veri ihlalini öğrendiğiniz andan itibaren 72 saat içinde Kişisel Verileri Koruma Kurulu’na bildirmeniz zorunludur. Bu süreyi geçirmek ya da hiç bildirmemek, milyonlarca lirayı bulabilen idari para cezaları anlamına gelir. Bunun yanı sıra kamuoyuna duyurulan bir veri ihlali, şirketinizin itibarına uzun süre zarar verir.

Dark web izlemenin bu noktada çok somut bir katkısı var: sızıntıyı erken fark etmek, hem 72 saatlik yasal süreyi rahatça yönetmenizi hem de zararı minimum düzeyde tutmanızı sağlar. Örneğin sızıntıyı aylar sonra bir müşteri şikâyetiyle öğrenmek yerine, veri henüz kötüye kullanılmadan haberdar olmak her açıdan avantajlıdır.

ISO 27001 ve Sosyal Mühendislik Riskleri
ISO 27001, kurumların verileri nasıl koruması gerektiğini teknik ve idari düzeyde tanımlayan uluslararası bir standarttır. Nesil Teknoloji, bu standarda uyum sürecinizde gerekli tüm teknik denetimleri yürütür. Ayrıca sızma testlerimiz yalnızca yazılım açıklarını değil, çalışanların farkında olmadan yaptığı hataları da kapsar. Örneğin bir çalışan kurumsal e-posta şifresini başka bir web sitesinde kullandığında ve o site saldırıya uğradığında, kurumsal şifreniz de tehlikeye girer. Bu tür açıkları “sosyal mühendislik testi” ile tespit ediyoruz.

Sızıntı Anında Doğru Adımlar
NIST Siber Güvenlik Çerçevesi ise bir sızıntı anında ne yapılması gerektiğini adım adım ortaya koyan uluslararası bir rehberdir. Bu süreç son derece hızlı işlemek zorundadır: ilk olarak etkilenen sistemler ağdan ayrılmalı, ardından ele geçirilen şifreler değiştirilmeli ve son olarak olayın kaynağı araştırılmalıdır. Nesil Teknoloji, bu kriz anlarında hem teknik müdahaleyi hem de yasal bildirimleri koordineli biçimde yönetmenize destek olur.

Sık Sorulan Sorular
Dark web izleme neden bu kadar önemli?
Çünkü veri sızıntılarının büyük çoğunluğu aylarca fark edilmeden devam eder. Bir çalışanın bilgisayarına bulaşan zararlı yazılım, tüm kurumsal giriş bilgilerini sessizce dışarıya sızdırabilir. Dark web izleme sayesinde bu bilgileri, saldırganlar kullanmadan önce tespit ediyoruz. Bu da size şifreleri değiştirme, sistemi güçlendirme ve gerekli yasal bildirimleri yapma konusunda kritik bir zaman kazandırır.

Sızıntı tespit edildiğinde ne yapmalıyım?
İlk adım: hangi bilgilerin sızdığını anlayın. Ardından ilgili hesapların şifrelerini hemen değiştirin ve etkilenen sistemleri gerekirse ağdan ayırın. Sızıntının kaynağını bulmak için Nesil Teknoloji gibi profesyonel bir ekipten destek alın. Son olarak KVKK’nın 72 saatlik bildirim yükümlülüğünü yerine getirin. Her adımı kayıt altına almak, ileride hem hukuki süreçlerde hem de sigorta taleplerinde kurumunuzu güçlü kılar.

Nesil Teknoloji bu konuda nasıl yardımcı oluyor?
TSE A Sınıfı uzman ekibimiz, şirketinize ait alan adı, e-posta uzantısı ve IP bloklarını dark web’de 7/24 izler. Bir tehdit tespit ettiğimizde sizi anında bilgilendiriyor ve ayrıntılı bir rapor sunuyoruz. Bunun yanı sıra düzenli sızma testleriyle sisteminizin zayıf noktalarını önceden kapatıyor — yani veriyi sızdırmadan önce engelliyoruz.

Küçük işletmeler de bu hizmete ihtiyaç duyar mı?
Kesinlikle. Siber saldırganlar büyük şirketler kadar savunması zayıf KOBİ’leri de hedef alır; hatta bunlar daha kolay hedef olduğu için daha sık saldırıya uğrar. Tek bir müşteriye ait kredi kartı bilgisinin sızması bile KVKK kapsamında ağır cezalara yol açabilir. İşletme büyüklüğünden bağımsız olarak veri güvenliği artık bir tercih değil, zorunluluktur.

Bu yazı ilk olarak https://www.nesilteknoloji.com/dark-web-izleme-ve-veri-sizintisi-takibi/ adresinde yayınlanmıştır.

Kuantum Sonrası Şifreleme

Nesil Teknoloji — Mon, 01 Jun 2026 05:57:29 +0000

DİJİTAL DÜNYA REHBERİ • DERİNLEMESİNE İNCELEME
Hayal edin: Evinizin kapısında dünyanın en güvenli çelik kilidi var. Anahtarınız olmadan kimse giremez. Ancak bir gün biri geliyor ve elindeki sihirli bir cihazla o kilidi saniyeler içinde "yok ediyor". İşte kuantum bilgisayarlar, bugün kullandığımız tüm dijital kilitler için tam olarak bu anlama geliyor.

Peki, internet üzerindeki paramızı, özel fotoğraflarımızı ve devlet sırlarımızı bu sihirli cihazdan nasıl koruyacağız? Kuantum Sonrası Şifreleme (PQC), bu dijital depreme karşı inşa ettiğimiz yeni ve yıkılmaz gökdelenlerin adıdır. Gelin, bu karmaşık görünen ama hepimizin geleceğini ilgilendiren konuyu, teknik terimler içinde boğulmadan, en detaylı ve basit haliyle keşfedelim.

Neden Okumalısınız? Kuantum bilgisayarlar sadece bilim kurgu değil; 10 yıl içinde banka hesaplarınızdan kullandığınız uygulamalara kadar her şeyin güvenliğini belirleyecek temel gerçektir.

Mevcut Kilitlerimizin Hikayesi: Neden Bugüne Kadar Güvendeydik? İnternet dünyasının temeli "güven" üzerine kuruludur. Birine kredi kartı bilgilerinizi verdiğinizde, bu bilginin yolda çalınmayacağından emin olmak istersiniz. Bugüne kadar bizi koruyan sistemlerin adı "Klasik Şifreleme" yöntemleridir (Örneğin: RSA ve Eliptik Eğri Şifrelemesi).

Bu sistemler aslında çok zekice kurgulanmış birer matematik oyunudur. Temel prensibi şudur: Bir şeyi çarpmak çok kolaydır ama sonucu parçalara ayırmak çok zordur. Örneğin, size 13 ve 17 sayılarını versem, saniyeler içinde çarparak 221 bulursunuz. Ancak size 221'i verip "Hangi iki asal sayının çarpımı budur?" desem, biraz düşünmeniz gerekir.

İşte modern internet güvenliği, bu sayıların yüzlerce, hatta binlerce haneli olduğu bir dünyada çalışır. Klasik bir bilgisayar için bu devasa sayıların çarpanlarını bulmak, bir insanın tüm dünya üzerindeki kumsallardan belirli bir kum tanesini bulmaya çalışması gibidir. Bilgisayarlar bu işlemi tek tek deneme yaparak (kaba kuvvet saldırısı) yaparlar ve bu işlem milyonlarca yıl sürer. Biz de bu sayede "Milyonlarca yıl sürüyorsa, o zaman güvendeyiz" deriz.

Zamanın Ötesindeki Engel
Klasik şifreleme, zamanı bir bariyer olarak kullanır. Bir hırsızın evinizin kapısını açması 1000 yıl sürüyorsa, o kapı sizin için "asla açılamaz" demektir. Ancak kuantum bilgisayarlar bu zaman bariyerini ortadan kaldırmak üzere tasarlanmıştır.

Kuantum Bilgisayarın Gizemli Gücü: Neyi Değiştiriyor? Kuantum bilgisayarları, her okuyanın anlayabileceği en basit haliyle şöyle tarif edebiliriz: Klasik bilgisayarlar bir kütüphanedeki tüm kitapları sırayla okuyan bir insandır. Bir bilgiyi bulmak için her kitaba tek tek bakar. Kuantum bilgisayarlar ise kütüphanedeki tüm kitapları aynı anda okuyabilen sihirli bir göz gibidir.

Bu güç, "Kuantum Mekaniği" adı verilen, atomların ve parçacıkların tuhaf dünyasından gelir. Normalde bir lamba ya açıktır (1) ya da kapalıdır (0). Ancak kuantum dünyasında bir lamba aynı anda hem açık hem de kapalı olabilir. Buna "Süperpozisyon" diyoruz.

Neden Şifreleri Bu Kadar Hızlı Kırarlar?
Kuantum bilgisayarların şifre kırma yeteneği, Peter Shor adında bir dahi matematikçinin 1994 yılında yazdığı bir formüle (Shor Algoritması) dayanır. Bu formül, kuantum bilgisayarların devasa sayıları çarpanlarına ayırma işlemini milyonlarca yıl yerine sadece birkaç dakika içinde yapabilmesini sağlar.

Bu şu demektir: Bugün bizi koruyan o bin yıllık zaman kalkanı, kuantum bilgisayarlar karşısında kağıttan bir kaplan gibi kalacaktır. Saniyeler içinde tüm bankacılık şifreleri, kripto paraların anahtarları ve askeri iletişimler "okunabilir" hale gelecektir.

Karşılaştırma Bugünkü Bilgisayarlar Kuantum Bilgisayarlar
İşleyiş Mantığı Tek yönlü, sırayla işlemler Aynı anda çoklu ihtimaller (Süperpozisyon)
Zor Matematik Çözmesi milyonlarca yıl alır Saniyeler içinde çözebilir
Tehdit Seviyesi Şu anki şifreleri korur Şu anki şifreleri tamamen geçersiz kılar

PQC: Yeni Nesil Matematiksel Zırhlar Nasıl Çalışır? Kuantum Sonrası Şifreleme (PQC), "Kuantum bilgisayarlar çok güçlü ama onların da çözemeyeceği matematiksel problemler olmalı!" fikriyle ortaya çıkmıştır. Bilim insanları, kuantum bilgisayarların bile içinden çıkamayacağı kadar karmaşık, devasa labirentler tasarlamaya başladılar.

Yeni Nesil Labirentler: Kafesler ve Kodlar
PQC'nin en popüler yöntemi "Kafes Tabanlı Şifreleme"dir. Bunu basitçe şöyle hayal edin: Elinizde milyarlarca boyutu olan devasa bir 3 boyutlu ağ (kafes) var. Bu ağın içine rastgele bir yere bir toz zerresi koyuyorsunuz. Birinin bu toz zerresinin yerini bulması için o devasa ağ içinde kusursuz bir matematiksel işlem yapması gerekiyor. Kuantum bilgisayarlar bile bu geometrik karmaşanın içinde yollarını kaybediyorlar.

Bir diğer yöntem ise "Hata Düzeltme Kodları"dır. Burada, mesajın içine bilerek binlerce küçük hata eklenir. Sadece doğru anahtara sahip olan kişi bu hataları temizleyip gerçek mesajı görebilir. Bu yöntem, kuantum bilgisayarların arama yeteneğine karşı inanılmaz dirençlidir.

Hangi Yeni Şifreler Bizi Koruyacak?
Dünya genelindeki siber güvenlik standartlarını belirleyen kuruluşlar (NIST), yıllarca süren testler sonucunda şu kahramanları seçti:

Kyber (ML-KEM): İnternet sitelerine (HTTPS) güvenle girmemizi sağlayacak ana korumacı.
Dilithium (ML-DSA): İndirdiğimiz dosyaların veya gönderdiğimiz e-postaların gerçekten bizden geldiğini kanıtlayan dijital imza koruması.
Falcon: Çok hızlı işlem yapması gereken cihazlar için tasarlanmış küçük ve akıllı bir imza sistemi.
Bu yeni şifreler, bugünkü bilgisayarlarımızda da çalışabilecek şekilde tasarlandı. Yani yeni bir bilgisayar almanıza gerek kalmayacak, sadece yazılımlar güncellenecek.

Siber Savaşlar ve "Şimdi Çal, Sonra Çöz" (HNDL) Taktiği Peki, kuantum bilgisayarlar henüz bu kadar güçlü değilse neden bugün bu kadar çok konuşuyoruz? Neden hemen geçiş yapmamız gerekiyor? Cevabı çok sarsıcı bir stratejide gizli: "Harvest Now, Decrypt Later" (Şimdi Hasat Et, Sonra Çöz).

Geleceğin Casusluk Yöntemi
Bugün siber saldırganlar veya devletler, rakiplerinin çok gizli verilerini (örneğin devlet yazışmalarını, yeni nesil silah tasarımlarını veya kişisel sağlık kayıtlarını) şifreli olmasına rağmen çalıyorlar. Şu an bu şifreyi açamıyorlar. Ancak bu veriyi devasa disklerde depoluyorlar. Bekledikleri şey, 10 yıl sonra çıkacak olan güçlü bir kuantum bilgisayar.

O gün geldiğinde, ellerindeki 10 yıllık tüm "gizli" verileri tek tek açıp okuyabilecekler. Eğer bugün PQC (Kuantum Sonrası Şifreleme) kullanmazsak, bugün yaptığımız her "gizli" işlem gelecekte birileri tarafından okunacaktır. Bu yüzden, bugün paylaştığımız ve 20 yıl sonra da gizli kalması gereken her şey için hemen şimdi PQC'ye geçmeliyiz.

Kripto Paralar ve Blokzinciri Riski
Bitcoin ve diğer kripto paralar, eliptik eğri şifrelemesi kullanır. Bir kuantum bilgisayar, sizin genel cüzdan adresinizi kullanarak saniyeler içinde özel anahtarınızı (şifrenizi) hesaplayabilir. Eğer blokzinciri projeleri zamanında PQC güncellemelerini yapmazsa, tüm kripto para piyasası bir gecede sıfırlanabilir. Neyse ki, geliştiriciler şu an bu riske karşı güncellemeler üzerinde çalışıyor.

Günlük Hayatımız Nasıl Değişecek? PQC'ye geçiş başladığında, sıradan bir kullanıcı olarak siz muhtemelen hiçbir şey fark etmeyeceksiniz. Her şey arka planda gerçekleşecek. Ancak teknolojik altyapıda devasa değişimler olacak.

İnternet Hızları ve Cihazlar
Yeni PQC şifreleri, eskilerine göre daha büyük matematiksel anahtarlar gerektirir. Bunu şöyle düşünün: Eskiden kilidiniz 10 gramdı, şimdi 1 kilogramlık bir kilit takıyorsunuz. Bu durum, veri trafiğinin biraz artmasına neden olabilir. Ancak günümüzün fiber internet hızları ve güçlü akıllı telefonları bu farkı hissettirmeyecek kadar gelişmiş durumda.

Akıllı Evler ve Nesnelerin İnterneti (IoT)
En büyük zorluk akıllı lambalar, akıllı buzdolapları veya küçük sensörler gibi basit cihazlarda yaşanacak. Bu cihazların işlemcileri çok güçsüzdür ve PQC'nin o ağır matematiksel yükünü taşımakta zorlanabilirler. Mühendisler şu an "hafif şifreleme" (lightweight cryptography) yöntemleri geliştirerek bu cihazların da kuantum çağında güvende kalmasını sağlamaya çalışıyor.

Kriptografik Çeviklik: Şirketlerin Yeni Görevi
Şirketler artık sistemlerini "çevik" kurmak zorunda. Yani bir sabah uyandığımızda "RSA şifreleme kırıldı!" haberi duyulursa, tüm şirketin güvenlik sistemini tek bir tuşla PQC'ye geçirebilecek esnekliğe sahip olması gerekiyor. Geleceğin dünyasında hayatta kalmanın yolu hızdan değil, esneklikten geçecek.

Sık Sorulan Sorular
Kuantum bilgisayar her şeyi kırabilir mi?
Hayır. Kuantum bilgisayarlar sadece "belirli" matematiksel problemleri çözmede çok hızlıdır. PQC (Kuantum Sonrası Şifreleme) tam da onların çözemediği problemler üzerine kuruludur. Yani doğru kilitleri kullanırsak yine güvende olacağız.

Evdeki bilgisayarım kuantum mu olacak?
Hayır. Kuantum bilgisayarlar oda büyüklüğünde, mutlak sıfırdan bile soğuk ortamlarda çalışan devasa makinelerdir. Evimize girmeleri pek olası değil; bizler kuantum bilgisayarları genellikle bulut sistemleri üzerinden, çok karmaşık bilimsel araştırmalar (ilaç keşfi, hava durumu tahmini) için kullanacağız.

Hangi uygulamalar PQC kullanmaya başladı?
Dünya devleri harekete geçti. Google Chrome, Apple iMessage (PQ3 protokolüyle) ve Cloudflare şimdiden altyapılarına PQC desteği eklemeye başladılar. Mesajlarınızın çoğu şimdiden geleceğin kuantum tehdidine karşı korunmaya başladı.

Bu yazı ilk olarak nesilteknoloji.com sayfasında yayınlanmıştır.

Otonom Tehdit Avcılığı

Nesil Teknoloji — Thu, 21 May 2026 06:09:25 +0000

Dijital dünyanın sinsi gölgelerini takip eden yapay zeka muhafızları ile siber savunmada yeni bir çağa tanıklık edin.

Bugün siber güvenlik dünyası, insan hızını fersah fersah aşan bir hızla dönüyor. Artık karşımızda sadece ekrana bakıp kod yazan bireysel saldırganlar değil; devlet destekli siber ordular, kendi kendine öğrenebilen bot ağları ve kurumsal altyapıları dakikalar içinde felç edebilecek kapasitede profesyonel şebekeler var. Geleneksel güvenlik duvarları artık paslanmış birer kalkan gibi kalırken, siber dünyanın yeni "atom bombası" olarak görülen Otonom Tehdit Avcılığı sahneye çıkıyor. Bu teknoloji, sadece bir koruma kalkanı değil; ağınızın içinde saklanan, kılık değiştiren ve doğru anı bekleyen saldırganları tespit eden akıllı bir bağışıklık sistemidir.

Tehdit Avcılığı Nedir? Kapıları Kilitlemekten Ötesi Eskiden siber güvenlik, basit bir kapı kilidi gibiydi. Birisi kapıyı zorladığında alarm çalar, güvenlik ekibi olay yerine giderdi. Ancak bugünün siber korsanları kapıyı zorlamıyor. Onlar evin anahtarını kopyalıyor, bacadan sızıyor ya da yasal bir tesisatçı kılığında içeri girip aylarca bodrum katında kimse fark etmeden yaşıyorlar. Onlar artık verilerinizi bir anda çalmıyor; her gün sadece birkaç megabaytlık veriyi sessizce sızdırarak dikkati üzerlerine çekmiyorlar.

Tehdit Avcılığı (Threat Hunting), "İçeride kesinlikle birisi saklanıyor" varsayımıyla her gün dolapların arkasını, yatakların altını ve havalandırma kanallarını kontrol etme sanatıdır. Bunu Otonom yani "kendi kendine karar veren" yapay zeka sistemleri yaptığında, savunma mekanizmanız saniyede milyonlarca farklı olasılığı tarayan bir süper dedektife dönüşür. Bu sistemler, sadece alarmın çalmasını beklemez; o alarmın hiç çalmamasını sağlayacak olan "gizli niyetleri" keşfeder.

Av Sahasındaki Gizli Tehlikeler
Modern tehdit avcıları sadece bilinen virüslerin peşinde değildir. Onlar, saldırganların geride bıraktığı mikro-izleri takip ederler. Örneğin, bir kullanıcının her gün 09:00'da oturum açarken aniden 08:59:59'da oturum açması, otonom bir sistem için bir "anomali" ipucudur. Bu ipucu; sistemin derin öğrenme algoritmalarını tetikler ve zincirleme bir analiz süreci başlatır.

APT (Gelişmiş Sürekli Tehditler): Devlet destekli profesyonel ekiplerin aylarca süren sinsi operasyonları.
Dosyasız Saldırılar (Fileless): Hiçbir dosya indirmeden, sadece bilgisayarın belleğinde (RAM) çalışan görünmez gölgeler.
Lateral Movement (Yanal Hareket): Sisteme giren saldırganın bir bilgisayardan diğerine sıçrayarak ana sunucuya ulaşma çabası.

Yapay Zeka Neden Bu İşin Kalbi? Hız ve Ölçek Meselesi Şu an dünyada her saniye milyarlarca dijital işlem gerçekleşiyor. Bir insan analistin bu veri okyanusu içinde sinsi bir saldırganı bulmaya çalışması, okyanusun dibindeki belirli bir kum tanesini aramaya benzer; üstelik okyanus her saniye genişlerken. Yapay zeka burada sadece bir "araç" değil, sistemin vazgeçilmez "beyni" konumundadır. Otonom bir avcı, insan beyninin milyonlarca yılda evrimleşen sezgiselliğini, bilgisayar işlemcilerinin ışık hızındaki işlem kapasitesiyle harmanlar.

Yapay zeka sadece hızlı değildir, aynı zamanda bağlamsal zekaya sahiptir. Bir saldırgan sistemde kılık değiştirse, ismini değiştirse ya da daha önce hiç görülmemiş bir teknik kullansa bile, otonom sistemler onun "davranışsal karakterini" asla unutmaz. Bu sistemler "denetimsiz öğrenme" (unsupervised learning) yöntemiyle ağınızın normal karakterini o kadar iyi öğrenir ki, en ufak bir ritim bozukluğunu saniyeler içinde sezer.

Kıyaslamalı Analiz: İnsan Gücü vs. Otonom Güç
Savunma Özelliği Geleneksel (İnsan Analist) Gelecek (Otonom AI Avcısı)
Sürekli Dikkat Günde 8-10 saat (Yorulabilir) 365 gün / 24 saat (Sıfır Yorgunluk)
Veri İşleme Kapasitesi Dakikada 10-20 log kaydı Saniyede 10.000.000+ log kaydı
Tanımlanmamış Tehditler Sadece bildiği kurallara bakar Sapmaları ve gizli niyetleri sezer
Müdahale Hızı Dakikalar veya Saatler sürer Milisaniyeler içinde tepki verir
Gelişim Eğitim ve tecrübe ile gelişir Her saldırıdan anında ders çıkarır

Operasyonel Süreç: Bir Tehdit Nasıl Avlanır? Otonom tehdit avcılığı süreci, kendi kendini besleyen ve sürekli olarak siber bağışıklığını artıran kusursuz bir döngüdür. Bu süreci, dijital bir Sherlock Holmes'un vaka çözme aşamalarına benzetebiliriz. Sistem sadece "bulmak" için değil, "anlamak" ve "etkisiz hale getirmek" için tasarlanmıştır.

A. "Normallik" Fotoğrafını Çekmek (Baz Çizgisi)
Sistem önce ağınızdaki yaşamın mikroskobik bir fotoğrafını çeker. Buna Baz Çizgisi denir. "Ahmet Bey genellikle hangi dosyaları açar? Sunucumuz hangi saatlerde hangi veritabanıyla konuşur? Şirket trafiği hangi ülkelere akar?" Yapay zeka bu alışkanlıkları hafızasına kazır ve sizin ağınızın "parmak izini" çıkarır. Artık her sapma, sistem için şüpheli bir harekettir.

B. Hipotez Kurma ve Dijital İz Sürme
Diyelim ki sistem bir gece saat 03:00'te bir bilgisayarın uyandığını ve gizli mühendislik dosyalarına erişmeye çalıştığını fark etti. Otonom avcı hemen bir hipotez kurar: "Bu ya Ahmet Bey değil ya da Ahmet Bey'in bilgisayarı ele geçirildi." Sistem, bu şüpheyi kanıtlamak için klavye vuruş hızını, mouse hareketlerini ve kullanılan komutları milisaniyeler içinde kontrol eder.

C. Otonom Müdahale ve Temizlik
İşte otonom sistemin en devrimsel yanı burasıdır. Saldırgan daha verileri şifrelemeye başlamadan ya da tek bir megabaytı sızdırmadan sistem müdahale eder. Şüpheli cihazın internetini keser, hesabı dondurur ve saldırganı sahte verilerle dolu bir "labirente" (Honeypot) hapsederek onun tüm taktiklerini videoya kaydeder gibi kayda alır. Tüm bunlar yaşanırken siber güvenlik ekibinin önüne çoktan "Saldırı engellendi, işte tüm detaylar" raporu düşmüştür.

Siber Öldürme Zinciri (Kill Chain) ve Av Taktikleri Bir saldırganın hedefine ulaşması için geçmesi gereken yedi temel basamak vardır. Biz buna Siber Öldürme Zinciri (Kill Chain) diyoruz. Otonom avcılar, hırsızı sadece kasanın başında yakalamazlar; hırsızı kasanın yerini sorarken ya da bahçe kapısını kurcalarken durdururlar. Zincirin her halkasında pusu kuran akıllı algoritmalar sayesinde saldırganın hata payı sıfıra iner.

Yanal Hareketin Engellenmesi: Saldırgan sisteme sızdığında (örneğin bir oltalama e-postasıyla), amacı hemen ana veritabanına ulaşmaktır. Bunun için bir bilgisayardan diğerine zıplamaya başlar. Otonom avcılar, ağ üzerindeki "doğu-batı trafiğini" (cihazlar arası iletişim) izleyerek, normalde birbirine günaydın bile demeyen iki sunucunun arasındaki gizli iletişimi saniyeler içinde saptar ve aradaki bağı koparır.

Komuta ve Kontrol (C2) Kesintisi: Sızan bir virüs, dışarıdaki saldırgandan emir almak için sürekli küçük "sinyaller" (beaconing) gönderir. Otonom avcı, ağ gürültüsü içindeki bu sinsi radyo yayınlarını saptar ve hırsızın dışarıdaki "beyniyle" olan tüm bağını keserek hırsızı sistemin içinde kör ve sağır bırakır.

Vizyon 2030: Kendi Kendini Onaran (Self-Healing) Altyapılar Otonom tehdit avcılığının evrileceği son nokta, siber güvenliğin gerçek bir "İnsan Bağışıklık Sistemi" gibi çalışmasıdır. Geleceğin dijital dünyasında sistemler sadece savunma yapmayacak; tıpkı bir yaranın kabuk bağlayıp iyileşmesi gibi, siber saldırıların verdiği zararları otonom olarak onaracaklar. Biz buna Siber Dayanıklılık (Cyber Resilience) aşaması diyoruz.

2030'lu yıllarda, yapay zeka sadece bir saldırıyı durdurmakla kalmayacak; saldırının sömürdüğü yazılım açığını (vulnerability) milisaniyeler içinde teşhis edip, o açık için otonom olarak bir "yama" (patch) üretecek ve tüm sisteme saniyeler içinde uygulayacak. İnsan müdahalesine gerek kalmadan gerçekleşen bu "Kendi Kendini Onarma" süreci, siber savaşın artık kodların kodlara karşı verildiği bir düzleme taşınması demektir.

"Gelecekte siber savaşları kazananlar en çok veriye sahip olanlar değil, o veriyi en hızlı şekilde 'avlanma' ve 'iyileşme' için kullanabilen otonom sistemlere sahip olanlar olacaktır."
Sık Sorulan Sorular ve Sektörel Analiz

Otonom tehdit avcılığı personel ihtiyacını ortadan kaldırır mı?
Kesinlikle hayır. Yapay zeka yorucu, tekrarlayan ve devasa veri tarama işini (hamallığı) üstlenir. Bu durum, siber güvenlik uzmanlarının "operatör" olmaktan çıkıp, "stratejist" ve "av komutanı" haline gelmesini sağlar. İnsan zekası, AI tarafından filtrelenen en kritik kararları vermek için her zaman merkezde kalacaktır.
Yapay zeka sistemleri kandırılabilir mi?
Saldırganlar da yapay zeka kullanarak bu sistemleri kandırmaya çalışıyor (Adversarial AI). Ancak otonom avcılar sürekli bir öğrenme döngüsündedir. Bir kez yapılan yanlış bir bloklama, sistemin hafızasına kazınır ve algoritma kendini anında günceller. Bu, bitmeyen ve makinelerin sürekli evrimleştiği bir teknoloji yarışıdır.
Küçük işletmeler bu teknolojiden faydalanabilir mi?
Eskiden bu teknolojiler sadece dev bankalar ve ordu altyapıları içindi. Ancak bugün, bulut tabanlı (SECaaS) otonom çözümler sayesinde, verisi olan her işletme uygun maliyetlerle bu koruma gücüne sahip olabilir. Unutmayın; siber korsanlar hedef seçerken şirketinizin büyüklüğüne değil, verinizin değerine ve savunmanızın zayıflığına bakar.

bu yazı ilk olarak https://www.nesilteknoloji.com/ sitesinde yayınlanmıştır.

Yansımalı DLL Enjeksiyonu Rehberi Bellek İçi Saldırılar ve Savunma

Nesil Teknoloji — Wed, 20 May 2026 13:27:38 +0000

Günümüz siber tehditleri, artık sadece dosya bırakmakla yetinmiyor. Saldırganlar, iz bırakmamak ve güvenlik yazılımlarını atlatmak için bellek içinde çalışan yöntemler geliştiriyor. Yansımalı DLL enjeksiyonu bu yöntemlerin en başında gelir. Adını duymuş ama ne olduğunu tam bilmeyenler için bu rehber, tekniği temel seviyeden başlayarak anlaşılır bir dille açıklıyor. Aynı zamanda profesyonel bir sızma testi uzmanının bakış açısıyla derinlemesine teknik detaylar, gerçek saldırı örnekleri ve savunma stratejileri sunuyor.

Nesil Teknoloji, TSE A Sınıfı Sızma Testi yetkisine sahip uzman kadrosuyla, bu tehdidi hem kırmızı ekip perspektifinden simüle etmekte hem de mavi ekip olarak kurumları korumaktadır. Bu yazıda, yansımalı DLL enjeksiyonunun ne olduğunu, nasıl çalıştığını, neden tehlikeli olduğunu ve bu tehdide karşı neler yapabileceğinizi adım adım öğreneceksiniz.

Yansımalı DLL Enjeksiyonu Nedir Temel Kavramlar DLL, Dynamic Link Library yani dinamik bağlantı kütüphanesi demektir. Windows işletim sisteminde birçok program, ortak işlevleri tekrar tekrar yazmak yerine bu kütüphaneleri kullanır. Normal şartlarda bir DLL kullanılacağı zaman, program onu diskten okur, Windows’un yükleyicisi devreye girer ve DLL hafızaya alınır. Bu sırada güvenlik yazılımları da devreye girip dosyayı tarayabilir.

Yansımalı DLL enjeksiyonu ise bu işlemi atlatır. Saldırgan, hedef programın belleğine ham haldeki DLL verisini yazar, ardından kendi özel yükleyici kodunu çalıştırarak DLL’i “elle” hafızaya yerleştirir. Bu işlem sırasında Windows’un yükleyicisi kullanılmadığı için, diskte hiçbir DLL dosyası oluşmaz. Güvenlik yazılımları, dosya taraması yapamaz; çünkü ortada dosya yoktur.

Bu tekniği bir benzetmeyle anlatalım: Normal bir ev satın almak için emlakçıya gidersiniz, emlakçı sizi ev sahibiyle buluşturur, tapu işlemleri yapılır, her şey kayıtlara geçer. Yansımalı enjeksiyon ise boş bir arsa bulup, gece vakti çadır kurmak gibidir. Hiçbir resmi işlem yapmazsınız, evrak izi kalmaz. Sadece arsa sahibi (hedef program) fark ederse durdurabilir.

PE Başlık Analizi ve Bölüm Haritalama – DLL, Portable Executable (PE) formatında bir dosyadır. Yükleyici önce bu dosyanın başlık bilgilerini okur. Ardından hedef süreçte yeterli büyüklükte bir bellek bölgesi ayırır. DLL’in içindeki kod bölümleri, veri bölümleri ayrı ayrı bu bölgeye kopyalanır. Her bölümün okuma, yazma, çalıştırma izinleri doğru şekilde ayarlanır.

İthalat Tablosunun Onarımı – DLL’ler başka DLL’lerdeki fonksiyonları kullanabilir. Örneğin, ekrana yazı yazmak için user32.dll içindeki MessageBox fonksiyonuna ihtiyaç duyar. Yükleyici, hedef süreçte halihazırda yüklü olan modülleri tarar, gerekli fonksiyonların adreslerini bulur ve DLL’in içindeki ithalat adres tablosunu doldurur. Bu adım atlanırsa DLL, dış dünyaya bağlantı kuramaz ve çalışmaz.

Yeniden Konumlandırma Düzeltmeleri – DLL, derlenirken belli bir adrese yerleşmek üzere tasarlanır. Eğer o adres doluysa, yükleyici DLL içindeki tüm sabit adresleri yeni konuma göre günceller. Bu işlem, yeniden konumlandırma (relocation) tablosu sayesinde yapılır. Aksi halde kod, yanlış adreslere gider ve program çöker.

Giriş Noktasının Çalıştırılması – Tüm bu hazırlıklar tamamlandıktan sonra, DLL’in ana fonksiyonu olan DllMain, “yeni eklendim” sinyaliyle çağrılır. Artık DLL, hedef programın bir parçası gibi çalışmaya başlar.

Nesil Teknoloji’nin TSE A Sınıfı laboratuvar ortamlarında yaptığı testlerde, bu tekniğin özellikle yüksek güvenlikli sunucularda, disk izi bırakmadan kalıcılık sağlamak için kullanıldığını gözlemliyoruz. Aşağıdaki tabloda, klasik yöntemle yansımalı yöntem arasındaki farkları net görebilirsiniz.

Özellik Geleneksel DLL Enjeksiyonu Yansımalı DLL Enjeksiyonu
Disk Erişimi DLL dosyası diskten okunur, çoğu kez geçici klasöre yazılır DLL diske hiç yazılmaz, doğrudan bellekten işlenir
Kullanılan API’ler CreateRemoteThread, LoadLibrary, WriteProcessMemory belirgin iz bırakır VirtualAllocEx, WriteProcessMemory, manuel PE haritalama, LoadLibrary çağrısı yok
Yükleyici Windows PE yükleyicisi (ntdll) DLL içine gömülü özel ReflectiveLoader
EDR Tespit Oranı API hook’ları ve davranış kalıpları nedeniyle yüksek Düşük, ancak gelişmiş EDR’ler bellek taraması ve yürütme izleme ile yakalayabilir
Adli Bilişim İzi Dosya sistemi artefaktları, prefetch, MFT kayıtları mevcut Sadece bellek dump’larında analiz edilebilir, kalıcılık sağlanmadıysa yeniden başlatmayla kaybolur
Modern EDR sistemleri, yansımalı yüklemeyi tespit etmek için bellek koruma izleme ve yürütme akışı analizi gibi gelişmiş teknikler kullanır. Örneğin, normalde okuma-yazma-çalıştırma (RWX) iznine sahip bir bellek bölgesi olmaması gerekirken, yansımalı enjeksiyon sonrası oluşan böyle bir bölge anomali olarak algılanabilir. Saldırganlar ise buna karşı kullanıcı tanımlı yansımalı yükleyiciler (UDRL) ile yükleyici imzalarını sürekli değiştirerek ve bellek ayırma işlemlerini meşru API çağrıları arasına gizleyerek tespitten kaçınmaya çalışır.

Gerçek Dünyadan Saldırı Örnekleri ve Etkileri Yansımalı DLL enjeksiyonu sadece teoride kalmıyor; son yıllarda dünyanın en büyük siber saldırılarında aktif rol oynadı. Özellikle bankacılık sistemlerine yönelik Carbanak ve FIN7 saldırılarında, saldırganlar e-posta ekleriyle gelen makrolar aracılığıyla yansımalı DLL’leri çalıştırarak kurumsal ağlara sızdı. Milyonlarca dolarlık maddi hasar oluştu ve bu saldırılar aylarca fark edilmedi.

Bir kamu kurumunda yaşanan başka bir olayda, tehdit aktörleri DNS sunucularını hedef aldı. Yansımalı bir arka kapı DLL’i, sunucunun belleğine enjekte edildi ve diske hiçbir dosya bırakılmadı. Arka kapı aylarca çalıştı, kurumun kritik verileri sızdırıldı. Olay ancak adli bilişim uzmanlarının bellek görüntüsü alıp analiz etmesiyle tespit edilebildi.

Industroyer2 adlı zararlı yazılım, Ukrayna’daki elektrik şebekelerine saldırmak için yansımalı yükleme tekniklerini kullandı. SCADA sunucularının belleğine sızan zararlı, Modbus protokolü üzerinden enerji dağıtımını manipüle ederek kesintilere neden oldu. Bu saldırı, kritik altyapıların bu tür tehditlere ne kadar açık olduğunu gösterdi.

NotPetya fidye yazılımı da yansımalı enjeksiyon kullanarak ağda hızla yayıldı. EternalBlue açığı ile sisteme sızan zararlı, yansımalı DLL’ler aracılığıyla dosya şifreleme işlemini başlattı ve dünya genelinde lojistik devlerinin günlerce çalışamamasına yol açtı.

Aşağıdaki tabloda bu tehdit grupları ve etkileri özetlenmiştir.

Tehdit Grubu / Zararlı Kullanılan Teknik Detayı Hedef Sektör Tespit Süresi
Carbanak / FIN7 Makro tabanlı yansımalı loader ile bellek içi POS malware Bankacılık, Perakende Ortalama 180 gün
Industroyer2 SCADA süreçlerine yansımalı DLL enjeksiyonu ile Modbus komut manipülasyonu Enerji, Elektrik Dağıtım 24 saat içinde müdahale edilemedi
DarkHotel APT Yansımalı yükleyici ile konuk ağlarından otel yönetim sistemlerine geçiş Konaklama, Lojistik Yıllar
APT28 (Fancy Bear) Yansımalı DLL kullanarak diplomatik ağlarda kalıcılık Kamu, Savunma Bellek analizi ile tespit edildi
Bu örnekler, yansımalı DLL enjeksiyonunun sadece teknik bir detay olmadığını, iş sürekliliğini ve ulusal güvenliği doğrudan tehdit eden bir unsur olduğunu göstermektedir. Savunma ekipleri, yalnızca dosya tabanlı taramalara güvenmemeli, bellek içi izleme ve anomali tabanlı algılama yeteneklerini geliştirmelidir.

Savunma Stratejileri Standartlar ve Regülasyonlar Yansımalı DLL enjeksiyonu gibi bellek içi saldırılara karşı etkili bir savunma kurmak, teknolojik önlemlerin yanında uluslararası standartlara ve yerel mevzuata uyumu da gerektirir. Nesil Teknoloji, TSE A Sınıfı yetkisiyle yaptığı denetimlerde kurumlara ISO 27001 ve NIST Cyber Security Framework çerçevesinde somut aksiyonlar sunar.

NIST CSF’ye Göre Teknik Kontroller

PR.PT-3: Uç Nokta Koruma – Geleneksel antivirüs yerine davranışsal analiz ve bellek taraması yapabilen EDR çözümleri kullanılmalı. Yürütme izni olmayan bölgelerde shellcode çalıştırma girişimlerini engelleyen exploit prevention modülleri aktif edilmelidir.
DE.CM-7: Süreç Davranışı İzleme – Sysmon ve Windows Event Log ile her sürecin hangi bellek bölgelerine yazma yaptığı, hangi API’leri çağırdığı merkezi olarak toplanmalı. Özellikle VirtualAllocEx ve WriteProcessMemory çağrılarının yabancı süreçlere yönelik olması anomali olarak değerlendirilmeli.
DE.AE-3: Bellek Görüntü Analizi – Kritik sunuculardan periyodik olarak alınan bellek dump’ları, Volatility gibi araçlarla analiz edilerek yansımalı yükleyicilerin imzaları aranmalı.
ISO 27001 ve KVKK Uyumu – ISO 27001’in A.12.6 (Teknik Güvenlik Açığı Yönetimi) ve A.16.1 (Bilgi Güvenliği Olay Yönetimi) maddeleri, bellek içi saldırılara karşı hazırlıklı olmayı zorunlu kılar. KVKK’nın 12. maddesi uyarınca, kişisel veri işleyen kurumlar teknik tedbirler almak ve etkinliğini düzenli test etmekle yükümlüdür. Yansımalı DLL enjeksiyonu ile ele geçirilen bir sunucudan sızdırılan kişisel veriler ciddi idari para cezalarına yol açabilir.

Gelişmiş Algılama Yöntemleri

API Hook’larının İzlenmesi – Yansımalı yükleyiciler genellikle LoadLibrary gibi fonksiyonları kullanmaz. Bu fonksiyonlara yapılan çağrıların anormal derecede azalması veya CreateRemoteThread yerine doğrudan RtlUserThreadStart kullanılması izlenmelidir.
Bellek Koruma İhlalleri – Windows olay günlüklerinde bellek koruma değişiklikleri (VirtualProtect) takip edilmeli. RWX bölgelerinin sayısı normalin üzerindeyse derinlemesine inceleme başlatılmalı.
Yapay Zeka Destekli Davranış Analizi – Saldırganlar yükleyici imzasını değiştirse de, yükleyicinin çalışma zamanındaki davranış kalıpları (belirli bir API çağrı sırası) makine öğrenmesi modelleriyle tespit edilebilir. Nesil Teknoloji, kırmızı ekip operasyonlarında kullandığı bu yöntemleri savunma ekiplerine aktararak kurumların olgunluk seviyesini artırır.
Aşağıdaki tabloda farklı güvenlik araçlarının bu tehdidi tespit etme yeteneklerini görebilirsiniz.

Güvenlik Aracı / Katman Algılama Yeteneği Yanlış Pozitif Oranı Önerilen Kullanım
Geleneksel Antivirüs Dosya imzası bazlı, bellek içi tespit zayıf Düşük (ama kaçırma oranı çok yüksek) Tek başına yeterli değil
EDR (Next-Gen) Bellek tarama, API hook, davranış analizi ile yüksek başarı Orta-Yüksek (sıfır gün için iyileştirme gerekli) Zorunlu temel katman
Sysmon + SIEM Event ID 10, 15, 25 ile süreçler arası bellek erişimlerini loglama Orta, korelasyon gerektirir Log yönetimi ve tehdit avcılığı için olmazsa olmaz
Bellek Adli Analizi (Volatility) Manual mapping ile yüklenmiş DLL’leri listeleme, apihooks tespiti Düşük (post-mortem analiz) Olay müdahale ve adli bilişim süreçlerinde kullanılmalı
ISO 27001 ve KVKK denetimlerinde, bu araçların etkin kullanımını kanıtlamak için düzenli sızma testleri büyük önem taşır. Nesil Teknoloji, TSE A Sınıfı yetkisiyle gerçekleştirdiği testlerde yansımalı DLL enjeksiyonunu da içeren senaryolarla kurumların savunma derinliğini objektif şekilde ölçer ve aksiyon raporlarıyla iyileştirme yol haritası sunar.

Endüstriyel Kontrol Sistemlerinde Bellek İçi Tehditler Endüstriyel Kontrol Sistemleri (ICS) ve SCADA altyapıları, yansımalı DLL enjeksiyonu gibi bellek içi saldırılara karşı özellikle savunmasızdır. Bu sistemlerde kullanılan işletim sistemleri genellikle güncel değildir ve geleneksel antivirüs çözümleri ya yoktur ya da devre dışı bırakılmıştır. Saldırganlar, yansımalı yükleyici ile OT ağına sızdıktan sonra Modbus, DNP3, IEC 61850 gibi endüstriyel protokolleri manipüle eden modüller enjekte edebilir.

Modbus/TCP Saldırı Vektörü – Modbus protokolü, kimlik doğrulama ve şifreleme içermez. Yansımalı DLL enjeksiyonu ile bir SCADA yazılımının belleğine sızan zararlı kod, Modbus fonksiyon kodlarını değiştirerek röleleri açıp kapatabilir, proses değerlerini okuyabilir veya alarmları bastırabilir. Gerçek bir sızma testinde, enerji dağıtım merkezinde yansımalı bir DLL sayesinde trafo merkezindeki tüm koruma rölelerinin uzaktan kumandası ele geçirilmiştir.

DNP3 ve IEC 61850 Güvenlik Açıkları – DNP3, SCADA sistemlerinde yaygın kullanılır ve çoğu uygulamada autentikasyon mekanizması devre dışıdır. Bellek içi saldırı ile DNP3 master’ın işlevselliği değiştirildiğinde, uzaktan terminal ünitelerine (RTU) sahte komutlar gönderilebilir. IEC 61850 ise GOOSE mesajları üzerinden anlık aç-kapa sinyallerini taşır; yansımalı enjeksiyon ile GOOSE yayınları manipüle edilerek “siyah enerji” senaryoları oluşturulabilir.

Nesil Teknoloji’nin OT/ICS Sızma Testi Yaklaşımı – TSE A Sınıfı yetkinliğimizle endüstriyel tesislerde yaptığımız testlerde yansımalı DLL enjeksiyonunu OT ağına özel kullanıyoruz. Pasif ağ dinlemesi ile protokol trafiği analiz edilir, ardından hedef SCADA istasyonunun belleğine zararsız bir test DLL’i yansımalı olarak enjekte edilir. Bu DLL yalnızca protokol komutlarını loglar ve proses değişikliği yapmaz. Elde edilen verilerle, gerçek bir saldırganın hangi noktalara müdahale edebileceği raporlanır.

Endüstriyel ortamlar için alınması gereken savunma önlemleri:

Ağ Segmentasyonu – OT ağı, IT ağından tamamen izole edilmeli, tek yönlü veri diyotları veya güvenli geçiş noktaları (firewall) ile bağlantı kurulmalı.
Uygulama Beyaz Listeleme – SCADA sunucularında sadece onaylı uygulamaların çalışmasına izin veren Application Control politikaları uygulanmalı. Yansımalı DLL enjeksiyonu, beyaz listeye alınmamış kodların bellekte çalışmasını engellemez, ancak yürütme izni olmayan alanlara yazma girişimlerini engelleyerek saldırganı zorlaştırır.
Protokol Anomalisi İzleme – Endüstriyel IDS/IPS sistemleri (Nozomi, Claroty) ile Modbus, DNP3 ve IEC 61850 trafiğindeki anormal fonksiyon kodları, adres aralıkları veya sıra dışı komut sıklıkları izlenmeli.
Kamu kurumları ve özel sektördeki üretim tesisleri, bu önlemleri hayata geçirmediği sürece yansımalı DLL enjeksiyonu gibi bellek içi saldırılara karşı savunmasız kalmaya devam edecektir. Nesil Teknoloji, endüstriyel alanda yaptığı denetimlerde hem teknik hem de süreç bazlı iyileştirmeler önererek tesislerin siber dayanıklılığını artırmaktadır.

Sık Sorulan Sorular
Yansımalı DLL enjeksiyonu yasal mı ve hangi durumlarda kullanılabilir
Bu teknik, yetkili penetrasyon testleri, kırmızı ekip tatbikatları ve adli bilişim analizleri kapsamında yasal zeminde kullanılabilir. Nesil Teknoloji, TSE A Sınıfı yetkisiyle gerçekleştirdiği tüm testlerde kurumlardan yazılı izin alır, test senaryolarını önceden tanımlar. Kötü niyetli amaçlarla kullanılması suç teşkil eder.

Güncel EDR çözümleri yansımalı DLL enjeksiyonunu tespit edebiliyor mu
Gelişmiş EDR ürünleri, bellek tarama, API hook’ları ve makine öğrenmesi modelleri sayesinde çoğu yansımalı yükleyiciyi tespit edebilmektedir. Ancak özelleştirilmiş User Defined Reflective Loader (UDRL) ve bellek ayırma teknikleriyle bu tespitler atlatılabilmektedir. Bu nedenle savunma ekiplerinin sürekli tehdit avcılığı yapması ve güvenlik yapılandırmalarını güncel tutması gereklidir.

Yansımalı DLL enjeksiyonuna karşı en etkili savunma yöntemi nedir
Tek bir sihirli çözüm yoktur. En etkili yaklaşım katmanlı savunmadır: uç noktalarda EDR, ağ seviyesinde segmentasyon ve protokol anomali izleme, log yönetimi ve SIEM ile korelasyon, düzenli sızma testleri ve personel farkındalığı bir arada uygulanmalıdır. Ayrıca kritik sistemlerin bellek görüntülerinin periyodik olarak alınıp adli analize tabi tutulması, gizli kalmış enjeksiyonların ortaya çıkarılmasını sağlar.

Endüstriyel kontrol sistemlerinde bu tehdide karşı özel bir standart var mı
IEC 62443 serisi, OT güvenliği için uluslararası kabul görmüş standarttır. IEC 62443-3-3, sistem bütünlüğü ve veri gizliliği kontrollerini tanımlarken, IEC 62443-2-1, güvenlik programı oluşturmayı zorunlu kılar. Yansımalı DLL enjeksiyonu gibi bellek içi tehditlere karşı bu standartlarda yer alan uygulama beyaz listeleme, ağ izolasyonu ve olay müdahale süreçleri doğrudan yol göstericidir.

Dijital İkiz Ekosistemlerinde Siber Güvenlik ve Gelişmiş Tehdit Matrisi

Nesil Teknoloji — Mon, 18 May 2026 06:16:17 +0000

Dijital dönüşümün ve dördüncü sanayi devriminin en kritik yapı taşlarından biri haline gelen dijital ikiz teknolojileri, artık sadece basit birer simülasyon aracı olmaktan çıkmıştır…

Dijital İkiz Mimarisi ve Protokol Zafiyetleri
Dijital ikiz yapıları temelde dört ana fonksiyonel katmandan meydana gelmektedir: veri edinimi, iletişim, mantık ve uygulama katmanları…
Gelişmiş Savunma Stratejileri
Dijital ikiz ekosistemlerinde güvenliği sağlamak için yalnızca klasik IT güvenlik yaklaşımları yeterli değildir. Zero Trust mimarisi, davranış analizi ve sürekli izleme kritik rol oynar.

Zero Trust Network Architecture (ZTNA)
Gerçek zamanlı anomaly detection
Segmentasyon ve mikro-segmentasyon
Dijital ikizlere özel penetration test

Regülasyonlar ve KVKK Uyumu Dijital ikiz sistemleri, kişisel veri ve endüstriyel veri işleme süreçlerini içerdiğinden KVKK ve uluslararası regülasyonlara uyum zorunludur.

Regülasyon Kapsam
KVKK Kişisel verilerin korunması
ISO 27001 Bilgi güvenliği yönetimi
NIST Siber güvenlik çerçevesi

Biyometrik Veri Güvenliği

Nesil Teknoloji — Mon, 11 May 2026 06:57:36 +0000

Biyometrik Veri Güvenliği
Dijitalleşen dünyada kimlik doğrulama süreçleri, geleneksel şifrelerden biyometrik tanımlayıcılara evrilmiştir. Ancak bu evrim, siber saldırganlar için "değiştirilemez hedef" kavramını doğurmuştur. Bir şifre sızdırıldığında resetlenebilir; ancak bir parmak izi dijital dünyada sonsuza dek ifşa edilmiş olur.

Bu makale, biyometrik verilerin teknik mimarisinden siber savunma protokollerine, algoritmik güvenliğinden global mevzuat uyumluluğuna kadar en kapsamlı perspektifi sunmaktadır.

Biyometrik Sistemlerin Matematiksel Altyapısı Biyometrik doğrulama, sanılanın aksine bir görsel eşleştirme süreci değildir. Bu süreç, karmaşık sinyal işleme ve örüntü tanıma algoritmalarına dayanan bir olasılık hesabıdır.

Özellik Çıkarımı ve Vektör Uzayı
Bir biyometrik veri toplandığında (örneğin yüz), sistem "Landmark" adı verilen yüzlerce koordinat belirler. Bu koordinatlar arasındaki mesafeler, açılar ve doku yoğunlukları N-boyutlu bir vektör olarak temsil edilir. Kimlik doğrulama anında, yeni alınan veri ile kayıtlı şablon arasındaki "Öklid Mesafesi" (Euclidean Distance) hesaplanır. Eğer bu mesafe belirlenen eşik değerinin altındaysa erişim verilir.

Hata Payı Metrikleri: FAR, FRR ve EER
Bir biyometrik sistemin başarısı üç kritik metrik ile ölçülür:

FAR (False Acceptance Rate): Sistemin yetkisiz bir kişiyi "doğru kişi" olarak kabul etme olasılığıdır. Siber güvenlik için en kritik tehdittir.
FRR (False Rejection Rate): Sistemin yetkili bir kullanıcıyı reddetme olasılığıdır. Kullanıcı deneyimini doğrudan etkiler.
EER (Equal Error Rate): FAR ve FRR'nin eşitlendiği noktadır. EER ne kadar düşükse, sistem o kadar hassas ve başarılıdır.
Teknoloji EER Oranı (Ortalama) Veri Boyutu Güvenlik Seviyesi
2D Yüz Tanıma %1 - %5 10 - 20 KB Düşük / Orta
3D Yüz (LiDAR/IR) %0.1 - %0.01 50 - 100 KB Yüksek
Optik Parmak İzi %1 2 - 5 KB Orta
İris Taraması %0.0001 1 - 2 KB Kritik Üstü

İleri Seviye Saldırı Vektörleri ve Analizi Modern siber saldırganlar artık sadece "parmak izi kopyalamakla" kalmıyor. Sistemlerin mantıksal açıklarını ve yapay zeka temelli zayıflıklarını hedefliyorlar.

Morphing ve Deepfake Tehditleri
Face Morphing saldırılarında, iki farklı kişinin yüz özellikleri tek bir fotoğrafta birleştirilir. Bu hibrit görsel, her iki kişinin de pasaport kontrolünden geçmesine neden olabilir. Deepfake ise, kurbanın video ve ses verilerini kullanarak canlılık testlerini (göz kırpma vb.) taklit edebilen yapay sinir ağları kullanır.

Bypass ve Injection Saldırıları
Bir mobil uygulama üzerinde biyometrik doğrulama yapıldığında, saldırgan "Frida" veya "Xposed" gibi araçlarla uygulamanın çalışma zamanına (runtime) müdahale edebilir. İşletim sisteminin "doğrulama başarılı" sonucunu dönen fonksiyonunu (True/False dönen boolean değeri) manuel olarak "True" değerine zorlayarak, gerçekte biyometrik veri girişi yapmadan sisteme sızabilir.

Profesyonel Not: Uygulama geliştiricileri, işletim sisteminin biyometrik sonucuna güvenmek yerine, sunucu taraflı imzalanmış bir "Challenge-Response" mekanizması kurmalıdır.

Biyo-Kriptografi ve Güvenli Saklama Mimarileri Verinin korunması için sadece şifreleme yeterli değildir. Nesil Teknoloji olarak biz, "Biyometrik Veri Hiç Var Olmamış Gibi" davranan mimarileri savunuyoruz.

Fuzzy Vaults ve Fuzzy Extractors
Biyometrik veri her okumada küçük farklılıklar gösterir (ışık, nem, açı). Klasik SHA-256 gibi hash fonksiyonları, verideki tek bitlik değişimde bile tamamen farklı bir sonuç üretir. Bu yüzden biyometride "Fuzzy Vault" algoritmaları kullanılır. Bu yöntem, biyometrik veriyi bir kasanın içine gizler ve ancak "yeterince benzer" bir veri gelirse kasayı açar, ancak kasadaki veriyi asla dışarı sızdırmaz.

Cancelable Biometrics (İptal Edilebilir Sistemler)
Kullanıcının parmak izi, kayıt sırasında rastgele bir matematiksel transformasyona tabi tutulur. Eğer sistem hacklenirse, transformasyon parametreleri değiştirilir. Kullanıcı aynı parmağını tekrar tanıtır ama bu kez tamamen farklı bir "dijital şablon" oluşur. Bu, biyometrik veriye "değiştirilebilirlik" özelliği kazandıran devrimsel bir yöntemdir.

Sıfır Güven (Zero-Trust) Prensibi
Biyometrik veriyi sadece giriş kapısında kullanmak yetmez. Kurumsal ağlarda "Sürekli Kimlik Doğrulama" (Continuous Authentication) uygulanmalıdır. Kullanıcının bilgisayar başındaki oturuş şekli veya klavye yazım dinamiği arka planda sürekli kontrol edilerek, oturum çalınma riskleri minimize edilir.

Kurumsal Uyumluluk: KVKK, GDPR ve ISO 27001 Biyometrik verilerin işlenmesi, teknik bir zorunluluktan öte, hukuki bir mayın tarlasıdır. Türkiye'de KVKK rehberleri bu konuda çok nettir.

Veri Minimizasyonu ve Amaca Bağlılık
Bir spor salonu veya yemekhane girişi için avuç içi damar izi toplamak "ölçüsüz" bir veri işlemedir. Kurumlar, biyometrik çözüm uygulamadan önce şu soruları yanıtlamalıdır:

Bu veriyi toplamadan aynı güvenlik seviyesine ulaşabilir miyiz?
Veriler yerel donanımda mı (On-device) yoksa merkezi sunucuda mı saklanıyor?
Veri ihlali durumunda kullanıcıyı koruyacak bir B planımız var mı?
ISO/IEC 24760-1 standardı, dijital kimlik yönetimi için bir çerçeve sunar. Kurumların biyometrik sistemlerini bu standartlara göre denetletmesi, hem hukuki riskleri hem de siber riskleri azaltır.

Gelecek Projeksiyonu: Multimodal Biyometri Tek bir biyometrik yönteme güvenmek artık güvenli değil. Gelecek, birden fazla yöntemin (Multimodal) eşzamanlı ve akıllı kullanımındadır.

Multimodal Füzyon
Yeni nesil sistemler, yüz verisini alırken aynı zamanda sesin frekansını ve kişinin o anki nabız değerini (akıllı saatler aracılığıyla) senkronize eder. Bu üç verinin eşleşmemesi durumunda, biri doğru olsa bile erişim reddedilir. Bu "Füzyon" yöntemi, FAR oranını neredeyse sıfıra indirir.

AI Destekli Tehdit Avcılığı
Biyometrik veriler üzerinde koşan yapay zeka modelleri, saldırı altındaki bir sensörü milisaniyeler içinde fark edebilir. Sensör üzerindeki sıcaklık değişiminden, piksellerdeki yapay gürültüye kadar her detay bir siber saldırı işareti olarak değerlendirilir.

Sık Sorulan Sorular (Teknik Yanıtlar)
Biyometrik şablonlardan orijinal parmak izi fotoğrafı elde edilebilir mi?
Teorik olarak "Hill Climbing" saldırıları ile şablondan orijinal görüntüye yakın sentetik veriler üretilebilir. Ancak "Salted Hashing" ve "Non-invertible transforms" kullanılan modern sistemlerde bu neredeyse imkansızdır.

Ölü birinin parmağı veya gözü sistemi açar mı?
Hayır. Modern sistemlerdeki "Canlılık Algılama" (Liveness Detection), dokudaki kan akışını, oksijen seviyesini ve ısıyı kontrol eder. Ayrıca iris taramasında göz bebeğinin ışığa verdiği tepki (pupillary light reflex) ölçülür.

Biyometrik verilerin saklanması için en güvenli yer neresidir?
En güvenli yer kullanıcıya ait olan "Hardware Security Module" (HSM) veya akıllı kartlardır. Veri merkezileştikçe risk artar. Uçtan uca güvenlik için "Match-on-Card" teknolojileri tercih edilmelidir.

Biyometrik Güvenlik KVKK Uyumu Siber Savunma Zero Trust Deepfake Defense Cryptography

Bu yazı ilk olarak nesilteknoloji.com sayfasında yayınlanmıştır.

Red Team Engagement Nasıl Yapılır? 2025 Kapsamlı Rehber – Kurumsal Saldırı Simülasyonu

Nesil Teknoloji — Wed, 06 May 2026 07:21:41 +0000

Red Team Engagement Nedir?
Red Team Engagement, kurumların siber güvenlik dayanıklılığını test etmek için saldırgan bakış açısıyla yürütülen, tamamen gerçek saldırı senaryolarına dayanan bir güvenlik değerlendirme metodolojisidir. Amaç yalnızca tek tek zafiyet bulmak değil; kuruma sızmak, içeride yayılmak ve kritik etki yaratabilecek noktaya kadar ilerlemek için gerekli tüm adımları uçtan uca kurgulamaktır.

Pentest daha çok teknik zafiyetlerin tespitine odaklanırken, Red Team:

Gerçek saldırganların izlediği taktik, teknik ve prosedürleri (TTP) simüle eder,
Blue Team’in (savunma ekibi) reaksiyon ve tespit kabiliyetini ölçer,
SOC, SIEM ve güvenlik süreçlerinin etkinliğini test eder,
Zincirleme zafiyetleri kullanarak kurumsal işleyişe gerçek tehdit oluşturur,
Olay müdahale (IR) kapasitesini ve kurumsal olgunluğu görünür kılar.
Bu nedenle Red Team, klasik anlamda bir “test” değil; kurumsal saldırı simülasyonudur.

Red Team Engagement Neden Yapılır?
Kurumsal ölçekte siber saldırılar artık çoğu zaman tek bir yazılım açığına dayanmaz. Modern saldırganlar: sosyal mühendislik, kimlik ele geçirme, lateral movement, Active Directory manipülasyonu, veri sızdırma ve zafiyet zincirleme gibi çok katmanlı teknik ve taktikleri birlikte kullanır.

Red Team çalışması kurumlara şu stratejik kazanımları sağlar:

Gerçek bir saldırıya kurumun nasıl tepki verdiğini ölçmek,
SOC ve SIEM yapılandırmasının ne kadar etkili olduğunu görmek,
Güvenlik süreçlerindeki kör noktaları ve aksaklıkları tespit etmek,
Kurumun kendi zafiyet zincirini ve “en zayıf halkasını” öngörmesini sağlamak,
Olay müdahale (Incident Response) kabiliyetini gerçek senaryolar üzerinden test etmek,
Kritik sistemlerin ne kadar korunabildiğini somut verilerle ortaya koymak.
Çalışma sonunda kurum, yalnızca teknik açıdan değil; süreç, ekip, teknoloji ve kültür boyutlarıyla ne kadar dayanıklı olduğunu görebilir.

Red Team vs Pentest: Temel Farklar
Penetrasyon testi (pentest), odaklı ve kapsamı net çizilmiş, belirli sistemlerdeki zafiyetleri bulup istismar edilebilirliklerini göstermek için tasarlanır. Red Team ise:

Hedef odaklıdır: Örneğin “Domain Admin olmak” veya “Finans sistemine erişmek”.
Süreç odaklıdır: Saldırının baştan sona tüm adımlarına odaklanır.
Gizlidir: Çoğu zaman sadece üst yönetim ve sınırlı bir ekip çalışma detayını bilir.
Blue Team’i test eder: Güvenlik operasyonları ve tespit yetenekleri ölçülür.
Hikâye anlatır: Rapor, zafiyet listesi değil; uçtan uca bir saldırı hikâyesidir.
Özetle; pentest “hangi zafiyetler var?” sorusuna, Red Team ise “gerçek saldırgan kuruma ne kadar zarar verebilir ve biz bunu ne kadar erken fark ederiz?” sorusuna cevap arar.

Red Team Engagement Nasıl Planlanır?
Başarılı bir Red Team çalışmasının anahtarı, doğru kapsam, doğru metot ve doğru saldırı senaryosudur. Bu nedenle süreç, spontane değil; kurumsal yönetişim ile uyumlu şekilde planlanır.

Niyet ve Hedeflerin Belirlenmesi
Her Red Team çalışması, kurumun önceliklerine göre şekillenir. Örnek hedefler:

Domain Admin yetkisi elde etmek,
Finansal sistemlere yetkili erişim sağlamak,
E-posta sunucusunu kontrol altına almak,
Kritik veri sızdırma senaryosunu uçtan uca göstermek,
SOC’un reaksiyon süresini ve tespit kabiliyetini ölçmek.
Kuralların Belirlenmesi (Rules of Engagement)
Red Team çalışmaları saldırıya benzer, ancak kontrolsüz değildir. Bu nedenle Rules of Engagement (RoE) dokümanı kritik önemdedir. Bu dokümanda:

Hangi sistemlere dokunulabileceği, hangilerinin “kırmızı bölge” olduğu,
Çalışmanın mesai içi / dışı mı yürütüleceği,
Fiziksel test ve sosyal mühendisliğin kapsamda olup olmadığı,
Kurum içinde kimlerin haberdar olacağı,
İş sürekliliğini riske atmadan nerede durulacağı
netleştirilir. Böylece çalışma hem etkili hem de güvenli bir çerçevede icra edilir.

İstihbarat Toplama (Recon & OSINT) ve Saldırı Senaryosu
Reconnaissance · OSINT · Saldırı Akışı
Red Team çalışmasının en kritik aşamalarından biri, kuruma ait dışa açık tüm izlerin toplandığı istihbarat (recon & OSINT) fazıdır. Amaç; gerçek bir saldırgan gibi davranarak kurumu tanımak ve saldırı için gerekli zeminı oluşturmaktır.

İstihbarat Aşamasında Yapılanlar
Alan adı ve alt domain analizleri,
DNS kayıtlarının incelenmesi,
Kuruma ait e-posta adreslerinin toplanması,
LinkedIn üzerinden personel analizi ve rol eşleştirmeleri,
Github / GitLab gibi platformlarda açıkta bırakılmış kod ve yapılandırmalar,
Açık port ve servis tespiti,
Olası sızmış parola setlerinin incelenmesi,
Daha önce yaşanmış güvenlik olaylarının analizi.
Saldırı Akışının Kurgulanması
Toplanan bilgiler doğrultusunda, kurumun risklerine uygun bir saldırı akışı (kill chain) tasarlanır. Örneğin:

Sosyal mühendislik → Kullanıcı parolasını elde etme
VPN erişimi → İç ağa giriş
AD keşfi → Kullanıcı ve grup hiyerarşisi çıkarma
Kerberoasting → Hash toplama ve parola kırma
Lateral movement → Sunucular arası yatay ilerleyiş
Yetki yükseltme → Domain Admin erişimi
Veri sızdırma → Test hedefinin tamamlanması
Bu akış, gerçek bir tehdit aktörünün kullanabileceği TTP’lerle (Tactics, Techniques, Procedures) birebir örtüşecek şekilde tasarlanır.

Saldırı Başlangıcı: İlk Erişim ve İç Ağ Keşfi
Red Team’in en zorlu ve en kritik adımlarından biri, ilk erişimi elde etmektir. Bu erişim, kurumun güvenlik politikasına uygun olacak şekilde, aşağıdaki yöntemlerin biri veya birkaçı kullanılarak sağlanabilir:

Phishing e-postalar (kimlik avı),
Malware içeren dosya veya linkler,
SMS phishing (smishing) ve telefonla sosyal mühendislik,
Kritik rollerdeki personele yönelik hedefli oltalama (spear phishing),
Kuruma bırakılan USB gibi fiziksel vektörler,
Açık port ve servislerdeki zafiyetlerin exploit edilmesi,
VPN parola tahmini veya brute force.
İç Ağ Keşfi (Internal Recon)
İlk erişim sağlandıktan sonra saldırgan, teknik olarak “nerede olduğunu” anlamak için iç ağ keşfine başlar:

Active Directory kullanıcı ve grup yapısının çıkarılması,
Paylaşımlar, dosya sunucuları ve kritik uygulamaların haritalanması,
Ağ segmentleri ve VLAN yapılarının analizi,
Zayıf servisler ve yanlış yapılandırmaların tespiti.
Bu aşamada BloodHound gibi araçlar, AD içindeki olası yetki yükseltme yollarını görselleştirmek için sıkça kullanılır.

Yetki Yükseltme ve Lateral Movement: Saldırının Omurgası
Kurum içi erişim elde edildikten sonra hedef, genellikle daha yüksek ayrıcalık seviyelerine ulaşmaktır. Bu noktada hem yetki yükseltme hem de lateral movement (yatay ilerleme) teknikleri devreye girer.

Yetki Yükseltme (Privilege Escalation)
Bu fazda yaygın olarak kullanılan bazı teknikler:

Kerberoasting ve AS-REP Roasting,
Yanlış yapılandırılmış GPO’lar,
Weak service permissions ve unquoted service path zafiyetleri,
Zayıf parola politikaları ve tekrar kullanılan parolalar,
Yanlış kurgulanmış lokal admin ve servis hesapları.
Hedef çoğu zaman Domain Admin seviyesine ulaşmak veya kritik sistemler üzerinde kalıcı kontrol elde etmektir.

Lateral Movement – Yatay İlerleyiş
Saldırgan, bir sistemden diğerine sıçrayarak kurumsal ağda derinlere doğru ilerler. Bu süreçte:

SMB, WinRM, RDP, SSH gibi protokoller,
Paylaşılan kimlik bilgileri ve oturum anahtarları,
Zayıf erişim kontrolü olan paylaşımlar,
Segmentasyon eksikleri ve “any-any” firewall kuralları
saldırının hızını ve etkisini doğrudan belirler. İyi kurgulanmış bir Red Team çalışması, bu segmentasyon zafiyetlerini de görünür kılar.

Hedefe Ulaşma, İz Kaybettirme ve Tespit Testi
Saldırının son fazında Red Team, başlangıçta belirlenen hedefi gerçekleştirir. Bu hedef, gerçek zarar verilmeden, kontrollü bir şekilde simüle edilir. Örneğin:

Finans sistemi üzerinde yetkili oturum açmak,
E-posta sunucusuna tam erişimi göstermek,
Belirli kullanıcıların hesap listesini veya hash’lerini export etmek,
Kritik verinin dışarıya aktarılabileceğini kanıtlamak,
Şifre kasasına veya yönetim konsollarına erişim sağlamak.
Tüm bu adımlar, kurumun iş sürekliliğini riske atmadan simüle edilir ve kanıt odaklı şekilde dokümante edilir.

İz Kaybettirme ve Tespit Edilebilirlik
Red Team’in ikinci kritik hedefi, saldırının ne kadar süreyle tespit edilmeden ilerleyebildiğini ölçmektir. Bu amaçla:

Gereksiz gürültü oluşturmayan, “sessiz” teknikler tercih edilir,
Mümkün olduğunca meşru trafik ve meşru araçlar kullanılır,
Log üretimi ve log manipülasyon senaryoları analiz edilir.
SOC’un saldırıyı ne zaman ve hangi göstergelerle tespit ettiği, kurumun güvenlik olgunluğunun en kritik metriklerinden biridir.

Red Team Raporlama: Zafiyet Listesi Değil, Operasyonel Hikâye
Red Team raporu, klasik pentest raporlarından format ve içerik olarak ayrışır. Amaç; yalnızca hangi zafiyetlerin bulunduğunu göstermek değil, saldırının işleyişini ve kurumsal etkiyi net şekilde ortaya koymaktır.

Tipik bir Red Team raporu şu başlıkları içerir:

Saldırının başlangıç noktası ve kullanılan ilk erişim vektörü,
Adım adım ilerleyiş ve kritik dönüm noktaları,
Kullanılan TTP’ler ve referans alındığı çerçeveler (MITRE ATT&CK vb.),
Yetki yükseltme ve lateral movement yolları,
Elde edilen tüm kritik erişimler ve olası iş etkisi,
Veri sızdırma veya sistem manipülasyonu simülasyonları,
Blue Team’in tepkisi, tespit süresi ve iyileştirme alanları,
Kısa, orta ve uzun vadeli iyileştirme önerileri.
Doğru yapılandırılmış bir Red Team raporu, yönetim için stratejik yol haritası, teknik ekipler için ise uygulanabilir aksiyon listesi niteliğindedir.

Red Team, Blue Team ve Purple Team İlişkisi
Kurumsal güvenlik olgunluğunda üç temel rol bulunur:

Red Team: Saldırır, zayıf noktaları bulur ve etkisini gösterir.
Blue Team: Savunur, saldırıyı tespit eder, engeller ve log’ları analiz eder.
Purple Team: Red ve Blue ekibinin birlikte çalıştığı, öğrenme ve iyileştirme odaklı bileşen.
Purple Team Engagement; Red Team’in kullandığı tekniklerin Blue Team ile paylaşıldığı, tespit kurallarının (use case), alarmların ve playbook’ların birlikte geliştirildiği, olgunlaştırma odaklı bir çalışmadır. Red Team’in amacı “yakalanmamak” iken, Purple Team çalışmasında amaç “daha iyi yakalanabilmek”tir.

Red Team Engagement Neden 2025’te Daha Fazla Talep Görüyor?
2025 itibarıyla Red Team çalışmalarına olan talebin artmasının arkasında, saldırı yüzeyinin büyümesi ve tehdit aktörlerinin profesyonelleşmesi yatıyor. Öne çıkan faktörler:

Gelişmiş saldırı teknikleri: Klasik imza tabanlı tespit yöntemlerinden kolayca kaçabilen sofistike saldırılar,
Zero-day ve supply chain saldırılarındaki artış,
Kimlik tabanlı saldırıların (credential theft, session hijacking vb.) yükselişi,
Ransomware ve veri sızdırma çetelerinin organize hareket etmesi,
Açık kaynak istihbaratının (OSINT) yaygınlaşması ve saldırganlar için erişilebilirliği.
Tüm bu gelişmeler, kurumların yalnızca ürün yatırımıyla değil, gerçek saldırı simülasyonları ile güvenlik mimarisini test etmesini zorunlu kılıyor. Red Team Engagement tam olarak bu ihtiyaca cevap verir.

Red Team, Kurumsal Güvenliğin En Gerçekçi Testidir
Red Team Engagement, kurumların savunma reflekslerini tüm gerçekliğiyle ölçen, teknik ve operasyonel eksiklikleri ortaya çıkaran ve siber dayanıklılığı üst seviyeye taşıyan en kritik güvenlik değerlendirme yöntemlerinden biridir.

Bu çalışma sonucunda kurum, sadece teknik zafiyetlerini değil; süreçlerini, ekiplerinin olgunluk seviyesini, kullanılan teknolojilerin etkinliğini ve olay müdahale kapasitesini de somut biçimde görme imkânı elde eder.

Modern siber tehdit ortamında Red Team, artık “olsa iyi olur” değil; kurumsal güvenlik stratejisinin temel bileşenlerinden biridir.

Sık Sorulan Sorular
Red Team Engagement ile pentest arasındaki temel fark nedir?
Pentest; belirli sistemlerdeki zafiyetleri tespit etmeye odaklanan, kapsamı net çizilmiş bir testtir. Red Team ise hedef odaklı, saldırı senaryosu tabanlı bir çalışmadır ve kurumun savunma reflekslerini, SOC/SIEM etkinliğini ve olay müdahale kabiliyetini gerçek bir saldırı gibi test eder.

Red Team çalışması sırasında iş sürekliliği riske girer mi?
Doğru tasarlanan bir Red Team Engagement, Rules of Engagement ile çerçevelenir. Kırmızı bölge olarak tanımlanan sistemlere dokunulmaz, kritik servislerde kesinti riskini artıracak adımlar simüle edilerek gösterilir. Amaç, etkiyi göstermektir; gerçek zarar vermek değildir.

Red Team çalışması ne sıklıkla yapılmalı?
Önerilen yaklaşım; yılda en az bir kez kapsamlı Red Team Engagement ve kritik mimari değişikliklerden sonra hedefli senaryo tekrarlarıdır. Kurumun olgunluk düzeyine göre bu frekans artırılabilir veya Purple Team çalışmaları ile desteklenebilir.

Red Team raporundan sonra neler yapılmalı?
Raporun önerileri, risk önceliklendirmesi yapılarak aksiyon planına dönüştürülmelidir. Teknik iyileştirmelerin yanında süreçler, erişim politikaları, eğitim programları ve SOC kullanım senaryoları da güncellenmelidir. Mümkünse, belirli aralıklarla tekrar test edilerek iyileştirmelerin gerçekten işe yarayıp yaramadığı doğrulanmalıdır.

Bu yazı ilk olarak nesilteknoloji.com adresinde yayınlanmıştır.

Çoklu Bulut Güvenlik Stratejileri

Nesil Teknoloji — Tue, 05 May 2026 06:17:43 +0000

Modern kurumsal ekosistemlerde çoklu bulut stratejilerinin benimsenmesi artık bir tercih değil operasyonel bir zorunluluk haline gelmiştir. Kuruluşlar AWS, Azure ve Google Cloud gibi platformlar arasında iş yüklerini dağıtırken aynı zamanda benzersiz bir güvenlik karmaşıklığı ile yüzleşmektedir. Geleneksel çevre güvenliği odaklı yaklaşımlar bu dinamik ve heterojen yapılarda savunmasız kalmaktadır.

Nesil Teknoloji olarak TSE A Sınıfı Sızma Testi yetkimizle sunduğumuz bu rehber siber güvenlik ekiplerinin çoklu bulut ortamlarını yönetirken ihtiyaç duyacağı derinlemesine teknik analizleri regülasyon uyumluluk süreçlerini ve Sıfır Güven temelli mimari yapılandırmalarını ele almaktadır.

Hizmetlerimiz Hakkında Bilgi Alın
İçeriği İncele
İçindekiler

Bulut Güvenlik Paradigmaları ve Sıfır Güven
Çoklu Bulut Güvenliği İçin Paylaşılan Sorumluluk Modeli
Modern Güvenlik Araçları ve CSPM CWPP CIEM Analizi
Regülasyon Uyumu ve 2026-2027 Projeksiyonu
Sık Sorulan Sorular Hızlı Özet Çoklu bulut ortamlarında güvenlik yönetimi platform bağımsız kontrol mekanizmalarına ve kimlik odaklı doğrulama süreçlerine dayanmaktadır. Nesil Teknoloji TSE A Sınıfı uzmanlığıyla kritik iş yüklerinin korunmasında Sıfır Güven prensiplerini ve otonom tehdit algılama sistemlerini merkeze almaktadır.

Sıfır Güven
TSE A Sınıfı
Bulut Yönetişimi
Önemli Bilgi Bulut ortamlarındaki siber saldırıların %99 oranında müşteri tarafındaki hatalı yapılandırmalardan kaynaklandığı tespit edilmiştir. Bu durum CSPM gibi otomatize edilmiş araçların kullanımını zorunlu kılar.
Giriş
ZTA Paradigmaları
Risk ve Teknik Analiz
Güvenlik Araçları
Regülasyon ve Gelecek
SSS

Bulut Güvenlik Paradigmaları ve Sıfır Güven Çoklu bulut güvenliği birden fazla genel bulut hizmet sağlayıcısından dağıtılan verilerin uygulamaların ve altyapının korunması sürecini kapsayan merkezi olmayan bir stratejidir. Geleneksel veri merkezi yaklaşımlarında güvenlik duvarları ve uç nokta koruma çözümleri ile oluşturulan fiziksel çevre artık buharlaşmıştır. Modern mimarilerde ağın içindeki veya dışındaki hiçbir varlığa varsayılan olarak güvenilmemesi gerektiğini savunan Sıfır Güven Mimarisi (Zero Trust Architecture) temel savunma hattını oluşturur.

NIST 800-207 standardında belirtildiği üzere Sıfır Güven varlıkların veya kullanıcı hesaplarının fiziksel konumuna veya mülkiyetine dayalı olarak zımni bir güven verilmediği bir güvenlik modelidir. Çoklu bulut ekosisteminde bu modelin uygulanması Politika Karar Noktası (Policy Decision Point) ve Politika Uygulama Noktası (Policy Enforcement Point) arasındaki ayrımın netleşmesini gerektirir. Nesil Teknoloji uzmanları olarak gerçekleştirdiğimiz denetimlerde kurumların en büyük zafiyetinin iç ağda kontrolsüz hareket yeteneği (lateral movement) olduğunu gözlemlemekteyiz.

NIST 800-207 Temel İlkeleri ve Uygulama Alanları
Asla Güvenme Her Zaman Doğrula Her erişim talebi kimlik cihaz durumu ve bağlamsal veri ile sürekli doğrulanmalıdır.
En Az Ayrıcalıklı Erişim Kullanıcılara ve sistemlere sadece görevlerini yerine getirmek için gereken minimum yetkiler tanımlanmalıdır.
İhlali Varsay Sistemin halihazırda kompromize edildiği kabul edilerek saldırı yüzeyi mikro segmentasyon ile daraltılmalıdır.
Modern siber tehdit manzarası özellikle gelişmiş kalıcı tehditlerin (APT) bulut kaynaklarını hedef aldığı bir yöne evrilmektedir. Saldırganlar bir bulut sağlayıcısındaki yapılandırma hatasını kullanarak diğer sağlayıcılara sıçrama yapabilmektedir. Bu nedenle çoklu bulut stratejisi platforma özgü güvenlik araçlarının ötesine geçerek merkezi ve platform bağımsız bir yönetişim yapısı gerektirmektedir. Nesil Teknoloji TSE A Sınıfı sertifikasyonu ile kamu kurumları ve sanayi devleri için bu karmaşık yapıları analiz ederek Sıfır Güven temelli güvenlik yol haritaları oluşturmaktadır.

Çoklu Bulut Güvenliği İçin Paylaşılan Sorumluluk Modeli Bulut bilişimde en çok yanlış anlaşılan kavramlardan biri olan Paylaşılan Sorumluluk Modeli çoklu bulut ortamlarında bir risk kaosu yaratabilmektedir. Her bulut sağlayıcısı (AWS Azure Google Cloud) sorumluluk çizgisini farklı bir noktadan çekmektedir. Genel bir kural olarak bulut sağlayıcısı bulutun güvenliğinden (Security of the Cloud) müşteri ise bulut içindeki güvenliğinden (Security in the Cloud) sorumludur.

Hizmet Modellerine Göre Sorumluluk Dağılımı
Hizmet Modeli Sağlayıcı Sorumluluğu Müşteri Sorumluluğu
IaaS (Altyapı) Fiziksel host ağ tesisler sanallaştırma katmanı İşletim sistemi uygulama yazılımı güvenlik duvarı konfigürasyonu
PaaS (Platform) Çalışma zamanı işletim sistemi ara katman yazılımı Uygulama kodları veri yönetimi kimlik ve erişim kontrolü
SaaS (Yazılım) Uygulamanın tamamı altyapı fiziksel güvenlik Veri sınıflandırması kullanıcı erişimi uç nokta güvenliği
Teknik risk analizinde özellikle endüstriyel kontrol sistemleri (ICS) ve SCADA altyapılarını buluta taşıyan kurumlar için Modbus DNP3 ve TCP IP protokollerinin güvenliği kritik önem taşır. Modbus gibi geleneksel protokoller doğası gereği kimlik doğrulama mekanizmalarına sahip değildir. Bu verilerin bulut ortamlarına aktarılması sırasında şifreleme ve tünelleme protokollerinin doğru yapılandırılmaması tüm üretim tesisini saldırılara açık hale getirebilir. Nesil Teknoloji Red Team ekiplerimiz yaptıkları sızma testlerinde özellikle IT ve OT sistemlerinin birleştiği noktalardaki zayıf halkaları hedef almaktadır.

Vaka Analizi Üretim Tesisinde Yanlış Yapılandırılmış Bulut Erişimi
Gerçek bir senaryoda bir üretim tesisi veri analitiği için Azure platformuna veri aktarırken VPN tünelini sonlandırmak yerine doğrudan internete açık bir IoT Gateway kullanmıştır. Yapılan taramalarda Shodan üzerinden tespit edilen bu giriş noktası üzerinden tesisin iç ağına sızılmış ve PLC cihazlarına müdahale imkanı doğmuştur. TSE A Sınıfı Sızma Testi uzmanlarımızın müdahalesi ile bu sızıntı büyümeden engellenmiş ve güvenlik mimarisi Sıfır Güven prensipleriyle yeniden kurgulanmıştır.

Ağ tarama ve zafiyet analizinde kullanılan araçların etkinliği siber savunmanın kalitesini belirler. Nmap Metasploit ve yapay zeka destekli otonom tarayıcılar arasındaki temel farklar şu şekildedir

Araç Kullanım Amacı Öne Çıkan Özellik
Nmap Keşif ve Port Tarama Hız ve betik desteği (NSE)
Metasploit Sömürü (Exploitation) Geniş payload kütüphanesi ve otomasyon
AI Ajanları Otonom Tehdit Avcılığı Davranışsal analiz ve proaktif müdahale

Modern Güvenlik Araçları ve CSPM CWPP CIEM Analizi Çoklu bulut ortamlarını yönetmek için manuel yöntemler artık imkansızdır. Güvenlik ekiplerinin Görünürlük Kontrol ve İzleme ihtiyaçlarını karşılamak üzere geliştirilen üç ana teknoloji sütunu bulunmaktadır CSPM CWPP ve CIEM. Bu üç bileşenin birleşimi Bulut Yerli Uygulama Koruma Platformu (CNAPP) olarak adlandırılır.

Bulut Güvenlik Postürü Yönetimi (CSPM)
CSPM çözümleri bulut altyapısındaki yapılandırma hatalarını sürekli olarak izler. AWS S3 kovalarının internete açık olması şifrelenmemiş veritabanları veya zayıf şifre politikaları CSPM tarafından otomatik olarak tespit edilir ve genellikle kendi kendine düzeltme (self-healing) mekanizmalarıyla giderilir. Nesil Teknoloji olarak kurumsal müşterilerimize sunduğumuz hizmetlerde CSPM araçlarını CIS Benchmarks standartlarına göre konfigüre etmekteyiz.

Bulut İş Yükü Koruma Platformu (CWPP)
CWPP sanal makineler konteynerler ve sunucusuz (serverless) fonksiyonlar gibi iş yüklerini korur. Özellikle Kubernetes gibi orkestrasyon sistemlerinin güvenliği CWPP kapsamındadır. Çalışma zamanı koruması (runtime protection) ve zafiyet taraması CWPP’nin en kritik yetenekleridir. Docker görüntülerindeki kritik zafiyetlerin üretim ortamına çıkmadan önce engellenmesi DevSecOps süreçlerinin temelidir.

Bulut Altyapısı Yetki Yönetimi (CIEM)
CIEM modern bulut güvenliğinin en zorlu alanı olan Kimlik ve Erişim Yönetimi (IAM) karmaşıklığına odaklanır. Çoklu bulut ortamlarında binlerce kullanıcı ve makine kimliği bulunmaktadır. CIEM araçları kullanılmayan izinleri (zombi hesaplar) ve aşırı yetkili rolleri tespit ederek en az ayrıcalık ilkesini uygular. Bir saldırganın ele geçirdiği bir hesapla yanal hareket yapmasını zorlaştıran en etkili yöntem CIEM uygulamasıdır.

Azure Arc ve Google Anthos ile Merkezi Yönetim
Farklı bulut sağlayıcılarını tek bir yönetim panelinden kontrol etmek operasyonel verimliliği artırır. Azure Arc mevcut şirket içi sunucuları ve diğer bulutlardaki kaynakları Azure portalına dahil ederek merkezi politika yönetimi sağlar. Google Anthos ise konteyner odaklı bir yaklaşımla uygulamaların her yerde tutarlı bir güvenlik politikasıyla çalışmasına olanak tanır. Nesil Teknoloji uzmanlığı bu hibrit yapıların güvenlik tasarımında kurumların en büyük yardımcısıdır.

Regülasyon Uyumu ve 2026-2027 Projeksiyonu Türkiye’de faaliyet gösteren kuruluşlar için bulut bilişim kullanımı sadece teknik değil aynı zamanda hukuki bir uyum sürecidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi kamu kurumları ve kritik altyapı sağlayıcıları için katı kurallar belirlemektedir.

KVKK kapsamında verilerin yurt dışına aktarılması sürecinde veri yerleşimi (data residency) politikaları hayati önem taşır. AWS veya Azure gibi küresel sağlayıcıları kullanırken kritik verilerin Türkiye’deki yerli bulut sağlayıcılarında veya hibrit modellerde tutulması gerekmektedir. Nesil Teknoloji TSE A Sınıfı denetim süreçlerinde kurumların bu regülasyonlara olan uyumunu ISO 27001 ve ISO 27017 standartları çerçevesinde raporlamaktadır.

2026-2027 Projeksiyonu Yapay Zeka Tabanlı Siber Tehditler
2026 ve 2027 yıllarına dair projeksiyonlar siber saldırıların artık insan hızından makine hızına evrildiğini göstermektedir. Saldırganlar yapay zekayı kullanarak yapılandırma hatalarını saniyeler içinde tespit edebilmekte ve otonom saldırı botlarını devreye alabilmektedir. Bu durum savunma tarafında da Yapay Zeka Native SOC (Security Operations Center) yapılarını zorunlu kılmaktadır.

Breakout Sürelerinin Kısalması Bir saldırganın sisteme sızdıktan sonra yanal harekete geçme süresinin dakikalar seviyesine düşmesi beklenmektedir.
Geri Kazanım Reddi (Recovery Denial) Saldırganlar artık sadece veriyi şifrelemekle kalmayıp bulut yedekleme altyapılarını doğrudan hedef alarak kurtarma kapasitesini felç etmeyi amaçlamaktadır.
Makine Kimliği Patlaması 2026 yılında bulut ortamlarındaki makine kimliklerinin insan kullanıcıları 100’e 1 oranında geçeceği tahmin edilmektedir. Bu durum CIEM çözümlerini siber güvenliğin en kritik unsuru haline getirecektir.
Nesil Teknoloji olarak bizler siber güvenliği statik bir yapı değil sürekli değişen bir organizma olarak görmekteyiz. TSE A Sınıfı yetkimiz ve uzman kadromuzla kurumların bugünkü ve gelecekteki çoklu bulut güvenliği ihtiyaçlarını en üst düzeyde karşılamaktayız.

Sık Sorulan Sorular
Çoklu bulut ortamında veri gizliliği nasıl sağlanır?
Veri gizliliği veri sınıflandırma şifreleme (at-rest ve in-transit) ve anahtar yönetimi süreçleriyle sağlanır. HSM (Hardware Security Module) kullanımı ve müşteri tarafından yönetilen anahtarlar (BYOK) stratejinin merkezinde yer almalıdır.

TSE A Sınıfı Sızma Testi yetkisi neden önemlidir?
TSE A Sınıfı sertifikası bir kurumun sızma testi süreçlerinde en yüksek teknik yetkinlik metodoloji ve etik standartlara sahip olduğunu kanıtlar. Kamu kurumları ve kritik altyapılar için yasal bir gerekliliktir.

Sıfır Güven mimarisine geçiş ne kadar sürer?
Sıfır Güven bir ürün değil bir yolculuktur. Mevcut altyapının karmaşıklığına bağlı olarak tam entegrasyon 6 aydan 2 yıla kadar sürebilir ancak kritik bölümler için mikro segmentasyon uygulamaları hızlıca devreye alınabilir.
Bu yazı ilk olarak nesilteknoloji.com sitesinde yayınlanmıştır.

Git tabanlı altyapı yönetiminde güvenlik stratejileri ve uygulama esasları

Nesil Teknoloji — Mon, 04 May 2026 13:00:23 +0000

Modern yazılım geliştirme ekosisteminde altyapının kod olarak yönetilmesi hız ve ölçeklenebilirlik açısından devrim yaratırken GitOps yaklaşımı bu süreci merkezi bir doğruluk kaynağına bağlamaktadır. Ancak tüm yapılandırma detaylarının tek bir platformda toplanması kritik siber güvenlik risklerini de beraberinde getirmektedir.

Nesil Teknoloji olarak TSE A Sınıfı sızma testi yetkimizle endüstriyel tesislerden kamu kurumlarına kadar geniş bir yelpazede GitOps güvenliğini proaktif savunma mekanizmalarıyla güçlendiriyoruz. Bu rehberde deklaratif yapıların güvenliğinden tedarik zinciri korumasına kadar her detayı teknik derinliğiyle inceleyeceğiz.

Hizmetlerimiz Hakkında Bilgi Alın
İçeriği İncele
İçindekiler

Shift-Left ve DevSecOps Paradigması
Mimari Modeller ve Saldırı Yüzeyi Analizi
Sır Yönetimi ve Kriptografik Protokoller
Politika Yönetimi ve Mevzuat Uyumluluğu
Sık Sorulan Sorular Hızlı Özet GitOps güvenliği sadece kod taraması değildir. Bu disiplin deklaratif altyapı şablonlarının sürekli denetlenmesini sırlar yönetiminin merkezi olmayan şekilde çözümlenmesini ve ağ izolasyonunun pull tabanlı mimarilerle sağlanmasını hedefler.

TSE A Sınıfı Yetki Shift-Left Security IaC Hardening
Önemli Bilgi Git tabanlı yönetim modellerinde yapılan tek bir hatalı yapılandırma tüm üretim ağını saniyeler içinde saldırganlara açık hale getirebilir. Bu nedenle sızma testleri tasarım aşamasından başlamalıdır.
Giriş
Shift-Left
Mimari Güvenlik
Sır Yönetimi
Politika ve Uyumluluk
SSS

Shift-Left siber güvenlik paradigması ve DevSecOps entegrasyonu Modern siber güvenlik stratejilerinde sızma testleri ve güvenlik denetimleri artık sürecin en sonunda yer alan bir engel değil aksine yazılım yaşam döngüsünün en başında başlayan bir süreçtir. Shift-Left yaklaşımı güvenlik kontrollerinin planlama ve kodlama aşamasına çekilmesini ifade eder. Nesil Teknoloji bünyesinde yürüttüğümüz projelerde bu yaklaşımı sadece bir metodoloji olarak değil kurumun siber hijyen standartlarının temel taşı olarak konumlandırıyoruz.

GitOps ekosisteminde Shift-Left güvenliği yapılandırma dosyalarının Git deposuna gönderilmeden önce Statik Uygulama Güvenlik Testi (SAST) araçlarıyla taranmasıyla başlar. Bu aşamada özellikle Terraform şablonları Kubernetes manifestleri ve Helm chartları üzerinde yapılan taramalar yanlış yapılandırmaların canlı ortama çıkmadan tespit edilmesini sağlar. Örneğin bir S3 bucketın yanlışlıkla public yapılması veya bir Kubernetes podunun privileged modda çalıştırılmak istenmesi çekme istekleri (pull requests) aşamasında otomatik olarak engellenmektedir.

DevSecOps kültürü ise bu teknolojik bariyerlerin insan ve süreç odaklı yönetimini sağlar. Geleneksel modellerde güvenlik ekipleri kodun içine dahil olmazken DevSecOps modelinde güvenlik uzmanları altyapı geliştiricileriyle aynı masada oturur. Bu ortak sorumluluk modeli siber tehditlerin bertaraf edilmesinde en etkili yöntemdir. Özellikle kamu kurumları ve fabrikalar gibi kritik altyapı yöneten kuruluşlarda bu kültürel dönüşüm regülasyonlara uyumun da anahtarıdır.

Güvenlik Katmanı Geleneksel Yaklaşım Shift-Left (GitOps) Yaklaşımı Teknik Fayda
Hata Tespiti Dağıtım sonrası manuel analiz CI/CD hattında otomatik tarama Anında geri bildirim ve hızlı onarım
Maliyet Etkisi Yüksek onarım maliyeti Düşük ve ölçeklenebilir maliyet Teknik borç birikiminin önlenmesi
Sorumluluk Güvenlik ekibi izolesi Paylaşılan sorumluluk (Dev+Sec+Ops) Kültürel siber güvenlik farkındalığı
Denetlenebilirlik Biletleme sistemleri ve loglar Git geçmişi ve imzalı commitler Değiştirilemez denetim izi (Audit Trail)

GitOps mimari modelleri ve ağ seviyesinde saldırı yüzeyi analizi Altyapı değişikliklerinin hedef ortama nasıl iletildiği sistemin siber saldırı yüzeyini doğrudan belirleyen en kritik karardır. GitOps dünyasında iki ana akım mevcuttur. Bunlar Push-Based ve Pull-Based modelleridir. Her iki modelin de kendine has riskleri ve avantajları bulunmakla birlikte güvenlik odaklı tasarımlarda Pull-Based mimari açık ara öndedir.

Push-Based modelde merkezi bir CI/CD sunucusu (örneğin Jenkins veya GitLab CI) hedef sisteme erişim için yüksek yetkili kimlik bilgilerine sahip olmalıdır. Bu durum merkezi CI/CD sunucusunu saldırganlar için tek ve en değerli hedef haline getirir. Eğer saldırgan Jenkins sunucusunu ele geçirirse tüm Kubernetes kümelerine ve bulut altyapısına tam yetkiyle erişim sağlayabilir. Ayrıca bu modelde hedef kümelerin API sunucularının dışarıdan gelen (Inbound) trafiğe açık olması gerekir ki bu durum internetten gelen kaba kuvvet (brute force) veya sıfırıncı gün (zero-day) saldırıları için kapı aralar.

Pull-Based model ise tam tersi bir mantıkla çalışır. Hedef küme içerisinde çalışan bir operatör (ArgoCD veya FluxCD) Git deposunu sürekli izleyerek değişiklikleri kendi içinden çeker. Bu modelin en büyük siber güvenlik avantajı kümenin dış dünyaya hiçbir giriş kapısı açmak zorunda kalmamasıdır. Sadece dışarı doğru (Egress) bir bağlantı üzerinden Git deposuna erişir. Bu sayede ağ seviyesinde izolasyon (Network Air-gapping) sağlanmış olur. Ayrıca kimlik bilgileri hiçbir zaman küme dışına çıkmaz ve merkezi bir CI/CD sisteminde depolanmaz.

Karşılaştırma Kriteri Push-Based Mimari Pull-Based Mimari Güvenlik Notu
Erişim Anahtarları CI/CD sunucusunda merkezi Hedef küme içinde yerel Pull modeli sızıntı riskini azaltır
Ağ Yapısı Inbound (İçeri yönlü) trafik Egress (Dışarı yönlü) trafik İnternete kapalı küme imkanı
Yetkilendirme Geniş kapsamlı cluster-admin Kapsüllenmiş operatör yetkisi En az yetki prensibi uygulanır
Saldırı Yüzeyi Geniş (Tüm CI/CD hattı) Dar (Sadece operatör podu) Savunma katmanları daha belirgin

Sır yönetimi ve kriptografik siber güvenlik protokolleri Git depoları doğası gereği her değişikliği kalıcı olarak sakladığı için şifreler API anahtarları ve sertifikalar gibi hassas verilerin (secrets) yönetimi en büyük zayıflık alanıdır. Bir sır bir kez dahi düz metin olarak commit edilirse Git geçmişinde kalır ve saldırganlar botlar aracılığıyla saniyeler içinde bu verileri ele geçirebilir. Nesil Teknoloji olarak yüksek güvenlik gerektiren projelerde her yöntemi kurumun ihtiyaçlarına göre hibrit şekilde kurguluyoruz.

Sealed Secrets Kubernetes özelinde geliştirilmiş bir çözümdür. Geliştiriciler hassas verilerini bir genel anahtar ile şifreler ve ortaya çıkan SealedSecret nesnesi Git deposuna güvenle gönderilebilir. Bu veri sadece hedef küme içerisindeki operatör tarafından özel anahtar ile çözülebilir. Mozilla SOPS ise daha esnek bir yapı sunar. YAML JSON veya ENV dosyaları içindeki değerleri AWS KMS GCP KMS veya HashiCorp Vault gibi harici anahtar yönetim sistemleriyle şifreler.

Siber güvenlikte altın standart sırların hiç oluşturulmaması veya ömürlerinin çok kısa olmasıdır. HashiCorp Vault gibi gelişmiş araçlar External Secrets Operator entegrasyonu ile Git deposunda sadece bir referans yolu tutulmasını sağlar. Küme içerisindeki operatör Vault üzerinden geçici bir şifre üretir uygulamaya iletir ve iş bittiğinde bu şifreyi iptal eder. Nesil Teknoloji TSE A Sınıfı yetkisiyle gerçekleştirdiği projelerde bu mekanizmaların NIST SP 800-57 standartlarına uygunluğunu denetler.

Politika olarak kod (PaC) ve regülasyon uyumluluğu Git tabanlı altyapı yönetiminde otomasyonun hızı manuel güvenlik denetimleriyle yavaşlatılmamalıdır. Bunun çözümü Politika Olarak Kod (Policy as Code – PaC) yaklaşımıdır. PaC uyumluluk kurallarının ve güvenlik standartlarının programlanabilir dosyalar olarak tanımlanmasını ve sistemin her aşamasında otomatik olarak doğrulanmasını sağlar. Nesil Teknoloji ekipleri fabrikalar ve kamu kurumları için geliştirdiği politika setlerinde regülasyon gereksinimlerini doğrudan kod seviyesine indirger.

Siber güvenlik mevzuatları sistemlerin her zaman denetlenebilir ve güvenli bir durumda tutulmasını emreder. GitOps PaC ile birleştiğinde bu gereksinimleri şu şekilde karşılar

Erişim Kontrolü Git üzerinde uygulanan RBAC ve kod inceleme süreçleri ISO 27001 gereksinimlerini otomatik olarak yerine getirir.
Veri Güvenliği Sır yönetimi stratejileri ve şifreleme mekanizmaları KVKK kapsamındaki kişisel verilerin korunması için altyapı seviyesinde güvenlik sağlar.
Değişim Yönetimi Her altyapı değişikliğinin bir commit ile kayıt altına alınması değişim yönetimi süreçlerini manuel raporlamadan çıkarır.
Sürekli Denetim OPA Gatekeeper veya Kyverno ile üretim ortamında canlıda koşan her kaynağın belirlenen güvenlik standartlarına uygunluğu denetlenir.
Politika Motoru Kullanılan Dil Uygulama Alanı Temel Avantaj
Open Policy Agent (OPA) Rego Genel Amaçlı (K8s, Terraform, API) Çok yönlü ve karmaşık mantık desteği
Kyverno YAML Kubernetes Yerli Kolay öğrenme ve otomatik düzeltme
Sık Sorulan Sorular
GitOps güvenliği için neden sızma testi yaptırmalıyım?
Git tabanlı yönetim sistemleri tüm yapılandırma planlarını tek bir yerde toplar. Bir saldırganın Git sunucusuna erişmesi tüm altyapınızı ele geçirmesi anlamına gelir. TSE A Sınıfı yetkili Nesil Teknoloji uzmanları bu merkezi yapının zayıflıklarını saldırgan bakış açısıyla test ederek riskleri kapatır.

Shift-Left yaklaşımı iş süreçlerimizi yavaşlatır mı?
Aksine hataların canlı ortamda fark edilip sistemin çökmesinden sonra yapılan acil müdahaleler çok daha fazla zaman ve maliyet kaybına yol açar. Shift-Left hataları henüz kod aşamasında düzelterek uzun vadede hızı ve güvenilirliği artırır.
Bu metin ilk olarak nesilteknoloji.com sitesinde yayınlanmıştır.

WebAssembly Güvenlik Riskleri ve Kurumsal Savunma Stratejileri

Nesil Teknoloji — Thu, 30 Apr 2026 08:06:14 +0000

WebAssembly (Wasm) modern bilişim dünyasında taşınabilir yüksek performanslı ve güvenli bir kod yürütme ortamı sağlama vaadiyle ortaya çıkan düşük seviyeli bir ikili talimat formatıdır. Başlangıçta web tarayıcılarında JavaScript performans sınırlarını aşmak için tasarlanmış olsa da günümüzde bulut bilişimden uç bilişime akıllı sözleşmelerden gömülü sistemlere kadar geniş bir yelpazede dördüncü dil olarak yerini almıştır.

Nesil Teknoloji olarak TSE A Sınıfı sızma testi yetkimiz ve profesyonel Red Team operasyonlarımızla bu yeni nesil teknolojinin sunduğu karmaşık saldırı yüzeylerini analiz ediyoruz. Bu makale kurumların WebAssembly entegrasyonu sürecinde karşılaşabileceği derin teknik zafiyetleri ve bu zafiyetlere karşı geliştirilmesi gereken savunma katmanlarını akademik bir titizlikle ele almaktadır.

Hizmetlerimiz Hakkında Bilgi Alın

İçeriği İncele

İçindekiler

Mimari Zayıflıklar ve Lineer Bellek Riskleri
Gelişmiş Saldırı Vektörleri ve İstismar Teknikleri
Kurumsal Savunma Stratejileri ve Sertleştirme
Regülasyon Uyumu ve TSE A Sınıfı Denetimler
Sık Sorulan Sorulan Sorular

Hızlı Özet

WebAssembly izolasyon vaatlerine rağmen lineer bellek yapısındaki eksik korumalar nedeniyle ciddi bellek bozma saldırılarına açıktır. Kurumsal güvenliğin sağlanması için runtime izolasyonu ve derleme aşamasında güvenlik bayraklarının aktif edilmesi elzemdir.

Sandboxing Linear Memory Red Teaming

Önemli Bilgi WebAssembly modülleri varsayılan olarak ASLR ve Stack Canaries gibi modern işletim sistemi korumalarından yoksundur bu durum bellek bozma saldırılarının başarı oranını artırmaktadır.

Giriş

Mimari Riskler

Saldırı Vektörleri

Savunma Katmanları

Regülasyonlar

SSS

Mimari Zayıflıklar ve Lineer Bellek Riskleri

WebAssembly teknolojisinin güvenlik felsefesi kodun host ortamından tamamen izole bir şekilde yürütülmesine dayanmaktadır. Bu yalıtım yazılım tabanlı hata izolasyonu teknikleri kullanılarak sağlanır ve her modülün kendi sınırlı kaynakları dahilinde çalışması zorunlu kılınır. Ancak Nesil Teknoloji Red Team uzmanlarımızın yaptığı derinlemesine testler bu izolasyonun modül içi saldırılara karşı yetersiz kaldığını göstermektedir.

Wasm veri depolamak için lineer bellek adı verilen büyük ve kesintisiz bir bayt dizisi kullanır. C ve C++ gibi dillerin kendi bellek yönetim sistemlerini bu alan içinde taklit etmeleri ciddi bir esneklik sağlasa da modern işletim sistemlerinin sunduğu koruma katmanlarının yokluğu bu alanı bir oyun alanına dönüştürmektedir. Özellikle Adres Alanı Yerleşimi Rastgeleleştirmesi (ASLR) mekanizmasının bulunmaması saldırganların hedef verilerin ofsetlerini önceden bilmesine olanak tanımaktadır.

Lineer bellek içinde farklı bölümler arasında koruma sayfaları bulunmaz. Bu durum yığında başlayan bir taşmanın öbekteki verilere veya statik değişkenlere sızmasını kolaylaştırmaktadır. Teknik analizlerimizde Modbus gibi endüstriyel protokollerin Wasm üzerinden taşınması durumunda paket ayrıştırma mantığındaki hataların tüm kontrol akışını bozabileceğini gözlemledik. Aşağıdaki tabloda farklı Wasm runtime ortamlarının güvenlik yaklaşımlarını görebilirsiniz.

Çalışma Zamanı Mimari Yapı Güvenlik Odağı Risk Seviyesi

Wasmtime JIT / AOT (Rust) Bellek güvenliği ve standart uyumluluğu Düşük

Wasmer JIT / AOT (Rust) Çoklu derleyici desteği Orta

WasmEdge AOT Odaklı Bulut bilişim ve uç izolasyon Düşük

V8 (Node.js) JIT (C++) JS ekosistem entegrasyonu Yüksek

TSE A Sınıfı sızma testi uzmanlarımız Wasm modüllerinin özellikle bellek taşmalarına karşı olan bu hassasiyetini kurumsal ağlarda kritik bir giriş noktası olarak değerlendirmektedir. Fabrikalarda kullanılan PLC sistemlerinin web arayüzlerinde yer alan Wasm bileşenleri doğrudan donanım seviyesindeki komutları etkileyebilecek potansiyele sahiptir.

Gelişmiş Saldırı Vektörleri ve İstismar Teknikleri

WebAssembly mimarisinde kod ve veri ayrılmış olsa da kontrol akışı bütünlüğü manipülasyonları hala mümkündür. Kodun kendisi değiştirilemese de mevcut fonksiyonlar arasındaki geçişleri manipüle eden kod yeniden kullanımı saldırıları gerçekleştirilmektedir. Nesil Teknoloji uzmanlarının yürüttüğü saldırı simülasyonlarında özellikle dolaylı fonksiyon çağrıları üzerinden yürütülen istismar yöntemleri öne çıkmaktadır.

C++ gibi nesne yönelimli dillerde kullanılan sanal fonksiyon tabloları (vtables) Wasm lineer belleğinde saklanmaktadır. Bir saldırgan vtable işaretçisini veya indeksini değiştirerek uygulamanın akışını yetki kontrolü yapan bir fonksiyondan boş bir fonksiyona yönlendirebilmektedir. Tip kontrolü bir engel oluştursa da aynı imzaya sahip fonksiyonlar arasındaki yer değiştirmeler Wasm doğrulayıcısı tarafından fark edilememektedir.

Sektörel bazda baktığımızda kamu kurumlarının e-devlet entegrasyonlarında veya finans kuruluşlarının yüksek performanslı hesaplama modüllerinde bu tür açıklar veri sızıntılarına yol açabilir. Özellikle XSS saldırılarının Wasm çıktısı üzerinden tetiklenmesi klasik güvenlik duvarlarını (WAF) atlatabilmektedir. Aşağıda siber güvenlik araçlarının bu süreçteki etkinliğini analiz eden bir karşılaştırma yer almaktadır.

Araç/ / Kategori/ / Wasm Desteği/ / Kullanım Amacı/

Nmap / Keşif / Sınırlı (Port/Servis)/ Endpoint tespiti

Metasploit /İstismar / Payload bazlı / RCE denemeleri

Wasabi /Dinamik Analiz / Tam /Runtime enstrümantasyon

Manticore /Sembolik Yürütme / Gelişmiş / Matematiksel hata ispatı

Vaka Analizi Bir finans kuruluşunun işlem imzalama kütüphanesinde keşfedilen lineer bellek taşması saldırganın işlem limitlerini belirleyen statik değişkeni değiştirmesine olanak tanımıştır. Bu durum yerleşik güvenlik kontrollerinin Wasm sandbox içindeki mantıksal bozulmayı algılayamaması nedeniyle büyük çaplı bir finansal risk doğurmuştur. Nesil Teknoloji olarak bu tür vakaların önlenmesi için sembolik yürütme ve concolic analiz yöntemlerini sızma testi süreçlerimize dahil ediyoruz.

Kurumsal Savunma Stratejileri ve Sertleştirme

WebAssembly güvenliğini sağlamak sadece yazılım geliştiricilerin değil aynı zamanda sistem mimarlarının ve güvenlik operasyon merkezlerinin (SOC) ortak sorumluluğundadır. Savunma stratejileri derleme aşamasından başlayarak dağıtım ve izleme süreçlerine kadar yayılmalıdır. Nesil Teknoloji olarak müşterilerimize sunduğumuz güvenlik danışmanlığı kapsamında özellikle derleyici seviyesindeki sertleştirme tekniklerini önceliklendiriyoruz.

Emscripten araç zinciri gibi popüler derleyiciler bellek güvenliğini artırmak için çeşitli bayraklar sunmaktadır. Örneğin stack overflow kontrollerinin aktif edilmesi veya güvenli öbek (safe heap) kullanımı saldırı maliyetini önemli ölçüde artırmaktadır. Kurumsal düzeyde savunma katmanları oluşturulurken NIST Cybersecurity Framework ve ISO 27001 standartlarının gereklilikleri göz önünde bulundurulmalıdır.

Dağıtım aşamasında ise İçerik Güvenliği Politikası (CSP) kullanımı elzemdir. Web uygulamalarında sadece belirli hash değerine sahip Wasm modüllerinin yüklenmesine izin verilmesi dışarıdan yüklenen zararlı kodların çalışmasını engeller. Fabrikalar ve üretim tesisleri gibi OT (Operasyonel Teknoloji) ortamlarında ise Modbus veya DNP3 protokollerinin Wasm modülleri ile olan etkileşimi sıkı bir network segmentasyonu ve derin paket incelemesi (DPI) ile korunmalıdır.

Savunma Kontrol Listesi

Derleme aşamasında -s STACK_OVERFLOW_CHECK=2 bayrağını kullanın.

Üretim öncesi AddressSanitizer (ASan) ile kapsamlı bellek testleri gerçekleştirin.

CSP direktiflerinde script-src ‘self’ ‘wasm-unsafe-eval’ yapılandırmasını dikkatle inceleyin.

Modül çıktılarını host tarafına aktarmadan önce mutlaka doğrulayın.

TSE A Sınıfı uzmanlar tarafından yıllık periyodik denetimler yaptırın.

Kurumsal savunmanın en zayıf halkası genellikle güncelliğini yitirmiş runtime ortamlarıdır. Nesil Teknoloji olarak kullandığınız Wasm motorlarının (V8 SpiderMonkey Wasmtime vb.) en son güvenlik yamalarına sahip olduğunu sürekli kontrol eden otomatik zafiyet tarama servisleri sunmaktayız.

Regülasyon Uyumu ve TSE A Sınıfı Denetimler

Siber güvenlikte teknoloji ne kadar gelişirse gelişsin regülasyonlara uyum kurumsal sürdürülebilirliğin temelidir. Türkiye siber güvenlik ekosisteminde KVKK ve Bilgi ve İletişim Güvenliği Rehberi kamu ve özel sektör kuruluşları için net sınırlar çizmektedir. WebAssembly gibi yeni teknolojilerin kullanımı bu regülasyonların kapsamı dışında değildir.

Kişisel verilerin işlendiği Wasm modülleri KVKK uyarınca veri güvenliği önlemlerine tabi tutulmalıdır. Verinin sandbox içinde işlenmesi onun güvenli olduğu anlamına gelmez. Eğer modül içindeki bir açık nedeniyle bellek dökümü (memory dump) alınabiliyorsa bu durum veri ihlali olarak kabul edilmektedir. Nesil Teknoloji olarak sızma testi süreçlerimizde KVKK uyumluluğunu teknik bulgularla harmanlayarak raporluyoruz.

TSE A Sınıfı Sızma Testi yetkimizle WebAssembly tabanlı uygulamaların denetiminde uluslararası standartları uyguluyoruz. Bu denetimler sadece web katmanını değil modülün binary analizini de içermektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsamında yeni teknoloji adaptasyonu risk analizi gerektirmektedir. Wasm entegrasyonunun getirdiği ek saldırı yüzeyi bu analizlerde mutlaka yer almalıdır.

Özellikle kritik altyapılarda kullanılan sistemlerin güvenliği ulusal güvenliği doğrudan etkilemektedir. Enerji dağıtım şebekeleri veya su yönetim sistemleri gibi alanlarda Wasm kullanımı durumunda hata toleransı ve dayanıklılık testleri en üst düzeyde yapılmalıdır. Nesil Teknoloji Red Team operasyonları bu senaryoları gerçek dünya verileriyle simüle ederek kurumların savunma kapasitesini test etmektedir.

Sonuç olarak WebAssembly geleceğin teknolojisi olsa da beraberinde getirdiği riskler göz ardı edilmemelidir. Profesyonel bir siber güvenlik iş ortağı ile çalışmak bu riskleri minimize etmenin en güvenli yoludur. Daha detaylı bilgi ve sızma testi talepleriniz için iletişim sayfamızdan bize ulaşabilirsiniz.

Uzmanlarımızla İletişime Geçin

Sık Sorulan Sorular

WebAssembly gerçekten güvenli bir sandbox sunuyor mu?

Evet WebAssembly host sistemden izole bir sandbox sunar ancak modülün kendi içindeki lineer bellek yönetimi ASLR gibi korumalardan yoksun olduğu için bellek bozma saldırılarına karşı hassastır.

TSE A Sınıfı Sızma Testi neden önemlidir?

TSE A Sınıfı yetkisi bir kurumun en üst düzey teknik yetkinliğe ve standartlara sahip olduğunu gösterir. Kritik altyapılar ve kamu kurumları için bu seviyedeki denetimler yasal bir zorunluluk ve güvenlik teminatıdır.

Wasm modüllerini nasıl daha güvenli hale getirebiliriz?

Derleme sırasında güvenlik bayraklarını etkinleştirmek runtime izolasyonunu sıkılaştırmak ve CSP gibi web güvenlik politikalarını uygulamak en temel koruma yöntemleridir.

Bu yazı ilk olarak https://www.nesilteknoloji.com/ sitesinde yayınlanmıştır.****