Siber Güvenlik: Kapsamlı Bir Rehber

Giriş: Siber Güvenlik Nedir?

Siber güvenlik, bilgi sistemlerinin, ağların, programların ve verilerin dijital saldırılardan korunmasına yönelik uygulamalar, teknolojiler ve süreçlerin bütünüdür. Günümüzde bireylerden devletlere, KOBİ'lerden çok uluslu şirketlere kadar herkes siber tehditlerin hedefi olabilir. Dijitalleşmenin hızlanması, uzaktan çalışmanın yaygınlaşması ve IoT cihazlarının çoğalması, saldırı yüzeyini genişleterek siber güvenliği her zamankinden daha kritik bir alan haline getirmiştir. Bu yazıda, siber güvenliğin temel ilkelerinden güncel tehdit manzarasına, ağ güvenliğinden uygulama güvenliğine, bulut ve IoT güvenliğinden olay müdahale süreçlerine, SOC operasyonlarından kariyer yollarına ve Türkiye'deki kurumsal yapılanmaya kadar geniş bir perspektif sunacağız.

CIA Üçlüsü: Siber Güvenliğin Temeli

Gizlilik (Confidentiality)

Gizlilik, bilginin yalnızca yetkili kişiler tarafından erişilebilir olmasını garanti eder. Bu ilke, bir sistemin kimin neye erişebileceğini net biçimde tanımlamasını gerektirir. Gizliliği sağlamak için kullanılan temel yöntemler şunlardır: AES-256 ve RSA gibi şifreleme algoritmaları; RBAC (Role-Based Access Control) ve ABAC (Attribute-Based Access Control) gibi erişim kontrol modelleri; MFA (Multi-Factor Authentication) ile çok katmanlı kimlik doğrulama; ve DLP (Data Loss Prevention) çözümleriyle hassas verinin kurum dışına çıkmasının engellenmesi. Gizlilik ihlalleri, veri sızıntıları, yetkisiz erişim, insider threat ve sosyal mühendislik saldırıları biçiminde kendini gösterir.

Bütünlük (Integrity)

Bütünlük, bilginin yetkisiz değişikliklerden korunmasını ve doğruluğunun garanti edilmesini ifade eder. Bir dosyanın veya iletişimin bütünlüğünü doğrulamak için SHA-256 ve SHA-3 gibi kriptografik hash fonksiyonları kullanılır: bu fonksiyonlar, verinin bir parmak izini üretir ve verinin en küçük değişikliğinde tamamen farklı bir hash değeri ortaya çıkar. Dijital imzalar, verinin hem bütünlüğünü hem de kaynağının özgünlüğünü sağlar. Bütünlük ihlallerine örnek olarak web sitesi defacement, man-in-the-middle (MITM) saldırılarında veri manipülasyonu ve supply chain saldırılarında yazılım güncellemelerine zararlı kod enjeksiyonu sayılabilir.

Erişilebilirlik (Availability)

Erişilebilirlik, bilgi ve sistemlerin ihtiyaç duyulduğunda yetkili kullanıcılar tarafından ulaşılabilir olmasını garanti eder. Bu ilke, iş sürekliliği ve felaket kurtarma planlamasının temelini oluşturur. Erişilebilirliği destekleyen yöntemler arasında yedekli sistemler (redundancy), yük dengeleme, DDoS mitigation hizmetleri, yüksek erişilebilirlik (HA) mimarileri ve düzenli yedekleme ile kurtarma testleri yer alır. Erişilebilirlik ihlallerine örnek olarak DDoS saldırıları, ransomware, donanım arızaları ve yapılandırma hataları gösterilebilir.

Bu üç ilkeye ek olarak, modern siber güvenlik çerçeveleri kimlik doğrulama (authentication), yetkilendirme (authorization) ve inkar edilemezlik (non-repudiation) kavramlarını da kapsar. 2023 yılında Verizon'un yayımladığı Data Breach Investigations Report'a göre, incelenen güvenlik ihlallerinin %74'ünde insan faktörü (hata, kötüye kullanım veya sosyal mühendislik) belirleyici rol oynamıştır.

Güncel Tehdit Manzarası

APT (Advanced Persistent Threat): Hedefli ve Uzun Soluklu Saldırılar

APT'ler, genellikle devlet destekli veya yüksek kaynaklara sahip gruplar tarafından gerçekleştirilen, uzun süreli ve hedefli siber saldırılardır. APT saldırılarının temel özellikleri şunlardır: uzun bekleme süreleri (ortalama 200 günden fazla), düşük ve yavaş (low and slow) hareket ederek tespit edilmekten kaçınma, meşru araçları (Living-off-the-Land) kullanarak imza tabanlı tespiti atlatma ve çok aşamalı saldırı zincirleri. APT28/Fancy Bear (Rusya), APT29/Cozy Bear (Rusya), APT41 (Çin) ve Lazarus Group (Kuzey Kore) en çok takip edilen APT grupları arasındadır. Bu gruplar genellikle casusluk, fikri mülkiyet hırsızlığı, kritik altyapı sabotajı veya finansal kazanç amacıyla hareket eder.

Ransomware ve Çifte Gasp Modeli

Ransomware, sistemleri kilitleyerek veya verileri şifreleyerek fidye talep eden kötü amaçlı yazılımdır. Modern ransomware saldırıları çifte gasp (double extortion) stratejisi kullanır: veriler hem şifrelenir hem de çalınır; fidye ödenmezse verilerin kamuoyuyla paylaşılacağı tehdit edilir. Ransomware-as-a-Service (RaaS) modeli, teknik becerisi olmayan saldırganların bile fidye yazılımı dağıtmasını mümkün kılmıştır; saldırı altyapısı, müşteri hizmetleri ve fidye ödeme portalleri içeren tam hizmet paketleri sunulmaktadır.

2021'deki Colonial Pipeline saldırısı, ABD'nin doğu sahilindeki yakıt tedarikini ciddi biçimde aksatarak ulusal güvenlik boyutu kazanmıştır. Aynı yıl gerçekleşen JBS Foods saldırısı, küresel et tedarik zincirini etkilemiştir. 2023'te MOVEit Transfer güvenlik açığı üzerinden gerçekleştirilen Cl0p saldırısı, 2.000'i aşkın kurumu etkileyerek tedarik zinciri saldırılarının ransomware ile birleşiminin ne denli yıkıcı olabileceğini göstermiştir.

Phishing ve Sosyal Mühendislik

Phishing, kurbanları kişisel bilgi vermeye ya da zararlı bağlantıya tıklamaya kandırmaya yönelik aldatıcı iletişim tekniklerini kapsar. Spear phishing, belirli bir bireyi veya kurumu hedefler ve kurbanın çevresini ve alışkanlıklarını bilen birinden geliyormuş gibi görünür. Whaling ise üst düzey yöneticileri (C-level) hedef alan spear phishing türüdür. Business Email Compromise (BEC) saldırıları, 2023'te dünya genelinde tahminen 2,9 milyar dolar kayba yol açmıştır. Vishing (ses tabanlı phishing) ve smishing (SMS tabanlı phishing), saldırganların çok kanallı sosyal mühendislik kampanyalarında başvurduğu tamamlayıcı yöntemlerdir.

Tedarik Zinciri Saldırıları

Tedarik zinciri saldırılarında saldırganlar, doğrudan hedefi değil hedefin güvendiği bir üçüncü tarafı (yazılım sağlayıcı, açık kaynak kütüphanesi, hizmet sağlayıcı) ele geçirerek binlerce organizasyona ulaşır. 2020'deki SolarWinds saldırısı, yazılım güncelleme sürecine backdoor yerleştirilerek 18.000'den fazla organizasyona — ABD federal kurumları dahil — sızılmasıyla sonuçlanmıştır. Bu saldırı, yazılım tedarik zinciri güvenliğini siber güvenlik gündeminin üst sıralarına taşımış; SBOM (Software Bill of Materials) ve code signing gerekliliklerini zorunlu kılan hükümet direktiflerine zemin hazırlamıştır.

Derinlemesine Savunma (Defense in Depth)

Defense in Depth (DiD), tek bir güvenlik katmanının yetersiz kalacağı varsayımıyla, birden fazla savunma katmanı oluşturmayı hedefleyen bir güvenlik stratejisidir. Bu yaklaşımda her katman, diğerlerinin başarısız olması durumunda devreye girer. Tipik bir DiD mimarisi şu katmanları içerir: fiziksel güvenlik, ağ güvenliği (firewall, IDS/IPS, segmentasyon), uç nokta koruması (EDR, antivirüs), uygulama güvenliği (WAF, SAST/DAST), kimlik ve erişim yönetimi (IAM, MFA), veri şifreleme ve sınıflandırma, izleme ve SIEM entegrasyonu ve son olarak insan eğitimi. Bu katmanlı yaklaşım, bir saldırganın her katmanı aşmasının hem maliyet hem zaman hem de beceri açısından son derece güç olmasını sağlar.

Zero Trust Mimarisi: BeyondCorp ve Sonrası

Geleneksel güvenlik modeli "kale ve hendek" (castle-and-moat) anlayışına dayanıyordu: ağ içindeki her şeye güvenilir, dışından gelen her şeyden şüphelenilirdi. Uzaktan çalışma ve bulut hizmetlerinin yaygınlaşması bu modeli geçersiz kılmıştır; artık "içeri" ve "dışarı" diye net bir sınır yoktur.

Google, 2009-2017 yılları arasında tüm çalışanları için geliştirdiği BeyondCorp projesini hayata geçirerek Zero Trust mimarisinin modern uygulamasını tanımladı. BeyondCorp'a göre ağ konumu (ofiste olmak) güven için yeterli değildir; her erişim talebi cihaz sağlığı, kullanıcı kimliği ve bağlam bazında değerlendirilmelidir. Zero Trust'ın üç temel ilkesi şunlardır:

• Hiçbir şeye varsayılan olarak güvenme: Ağ içi trafik dahil her istek doğrulanmalıdır.
• Her zaman doğrula: Kimlik, cihaz uyumu, konum ve davranış sürekli olarak değerlendirilmelidir.
• En az yetki: Kullanıcı ve sistemlere yalnızca görevlerini yerine getirecek minimum düzeyde erişim yetkisi tanınmalıdır.

Zero Trust'ın pratik bileşenleri arasında kimlik sağlayıcıları (IdP), çok faktörlü kimlik doğrulama, mikro segmentasyon, ZTNA (Zero Trust Network Access) çözümleri ve sürekli oturum izleme yer alır. NIST SP 800-207, Zero Trust Mimarisi için referans çerçeveyi sunmaktadır.

NIST Siber Güvenlik Çerçevesi (CSF)

NIST Cybersecurity Framework (CSF), ABD Ulusal Standartlar ve Teknoloji Enstitüsü tarafından geliştirilmiş ve 2014'te yayımlanmış, 2024'te CSF 2.0 ile güncellenen bir güvenlik rehberidir. Beş temel fonksiyon ve CSF 2.0 ile eklenen altıncı fonksiyondan oluşur:

• Govern (Yönet) — CSF 2.0'da eklendi: Siber güvenlik riskinin yönetilmesi için organizasyonel bağlamın, risk toleransının ve politikaların belirlenmesi.
• Identify (Tanımla): Organizasyonun varlıklarını, riskleri ve sistemleri tanımlaması.
• Protect (Koru): Kritik hizmetlerin sunumunu güvence altına alacak önlemlerin uygulanması.
• Detect (Tespit Et): Siber güvenlik olaylarının zamanında tespit edilmesi için etkinliklerin gerçekleştirilmesi.
• Respond (Yanıt Ver): Tespit edilen siber güvenlik olaylarına yönelik uygun eylemlerin gerçekleştirilmesi.
• Recover (Kurtar): Olaydan etkilenen yeteneklerin ve hizmetlerin restore edilmesi.

NIST CSF, herhangi bir sektöre veya organizasyon büyüklüğüne özgü değildir ve mevcut güvenlik programlarıyla entegre edilmek üzere tasarlanmıştır. Türkiye'deki pek çok büyük şirket, KVKK uyumu süreçlerini NIST CSF ile desteklemektedir.

Olay Müdahale: PICERL Modeli

Siber güvenlik olaylarına yapılandırılmış biçimde müdahale edebilmek için çeşitli modeller geliştirilmiştir. SANS Institute'ün PICERL modeli (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned) bu alanda en yaygın kullanılan çerçevelerden biridir:

• Preparation (Hazırlık): Olay müdahale ekibinin ve planının oluşturulması, araçların hazırlanması ve düzenli tatbikat yapılması. İyi bir hazırlık, müdahale süresini dramatik biçimde kısaltır.
• Identification (Tespit): Olayın güvenlik olayı mı yoksa yanlış alarm mı olduğunun belirlenmesi, kapsamının ve etkisinin değerlendirilmesi.
• Containment (Sınırlama): Olayın yayılmasının kısa vadede (acil önlemler) ve uzun vadede (kalıcı çözüm hazırlanırken) engellenmesi. Etkilenen sistemlerin ağdan izole edilmesi tipik bir sınırlama önlemidir.
• Eradication (Yok Etme): Tehdidi ortamdan tamamen kaldırma: zararlı yazılım silme, güvenlik açığı kapatma, saldırgan erişiminin kesilmesi.
• Recovery (Kurtarma): Sistemlerin ve iş operasyonlarının normal işleyişe döndürülmesi. Yedeklerden kurtarma, sistemlerin yeniden yapılandırılması ve doğrulanması bu aşamada gerçekleşir.
• Lessons Learned (Öğrenilen Dersler): Olaydan sonra kapsamlı analiz yapılarak süreçlerin iyileştirilmesi ve benzer olayların önlenmesi için önlemler alınması. Bu aşama çoğu zaman ihmal edilir; ancak organizasyonel güvenlik olgunluğu için en kritik adımdır.

SOC Operasyonları

Security Operations Center (SOC), bir organizasyonun siber güvenlik operasyonlarının merkezi yönetim noktasıdır. SOC, 7/24 izleme, tehdit tespiti, olay müdahale ve tehdit avı (threat hunting) faaliyetlerini yürütür. SOC analistleri genellikle üç katmanlı bir yapıda çalışır:

• Tier 1 — Alarm İzleme: SIEM alarmlarının ilk değerlendirmesi, yanlış pozitif ayıklama ve Tier 2'ye eskalasyon kararı. Yüksek hacimli ve tekrarlayan iş akışları içerir; YZ otomasyonu bu katmanda en hızlı benimsenmektedir.
• Tier 2 — Derin Analiz: Eskalasyon edilen olayların derinlemesine araştırılması, forensik analiz ve müdahale koordinasyonu.
• Tier 3 — Tehdit Avı ve İleri Analiz: Proaktif tehdit avı, yeni saldırı tekniklerinin araştırılması, tehdit istihbarat üretimi ve güvenlik mimarisine katkı.

SOC'un temel teknoloji bileşenleri arasında SIEM (Splunk, Microsoft Sentinel, IBM QRadar), EDR/XDR (CrowdStrike Falcon, Microsoft Defender, SentinelOne), SOAR (Palo Alto XSOAR, Swimlane) ve Threat Intelligence platformları yer alır. Modern SOC'larda YZ otomasyonunun hayata geçirilmesiyle Tier 1 görevlerinin %60-70'i otomatize edilebilmektedir.

Penetrasyon Testi

Penetrasyon testi (pentest), bir organizasyonun sistemlerinin güvenliğini kontrollü bir saldırı simülasyonuyla test etme yöntemidir. Pentest türleri şunlardır:

• Black box: Test uzmanına hedef hakkında hiçbir ön bilgi verilmez; gerçek dünyadaki dış saldırganı simüle eder.
• White box: Kaynak kodu, ağ diyagramları ve mimari bilgiler paylaşılır; en kapsamlı analizi sağlar.
• Gray box: Kısmi bilgi sağlanır; iç tehdit senaryolarını da değerlendirmeye alır.

Pentest metodolojisi açısından PTES (Penetration Testing Execution Standard) ve OWASP Testing Guide yaygın referans kaynaklarıdır. Süreç tipik olarak şu aşamaları kapsar: kapsam belirleme ve hukuki yetki alımı, keşif (reconnaissance), tarama (scanning/enumeration), güvenlik açığı tespiti, istismar (exploitation), erişimi sürdürme (post-exploitation), temizlik ve kapsamlı raporlama. Raporlama aşaması özellikle önemlidir: kritik bulguların teknik ve yönetici kitlelerine yönelik farklı biçimlerde sunulması, güvenlik açığının kapatılma önceliğini doğrudan etkiler.

Bug Bounty Programları

Bug bounty, organizasyonların bağımsız güvenlik araştırmacılarına güvenlik açıkları bulma karşılığında ödül verdiği programlardır. HackerOne, Bugcrowd ve Intigriti gibi platformlar bu alanın öncüleridir. Google, Apple, Microsoft ve Meta gibi şirketler kritik güvenlik açıkları için yüzlerce bin dolara kadar ödül vermektedir; Google'ın Chrome programında tek bir kritik açık için 100.000 dolara kadar ödeme yapıldığı bilinmektedir.

Bug bounty programları, geleneksel pentestin tamamlayıcısı niteliğindedir: dünya genelindeki araştırmacıların sürekli gözetimi sayesinde, organizasyonlar kendi iç ekiplerinin kaçırabileceği güvenlik açıklarını keşfedebilir. Türkiye'de de bazı büyük finans kuruluşları ve teknoloji şirketleri bug bounty programları yürütmektedir. Savunma bakanlıkları ve askeri kuruluşların da bug bounty programları başlattığı görülmektedir: ABD DoD'un "Hack the Pentagon" programı bu alandaki köklü örneklerden biridir.

Güvenlik Sertifikaları: CISSP, CEH ve OSCP

Siber güvenlik alanında kariyer yapmak isteyenler için çeşitli sertifikalar mevcuttur. En tanınmışları şunlardır:

• CompTIA Security+: Sektöre giriş için ideal temel güvenlik sertifikası. Geniş kapsam, satıcı bağımsızlığı ve ABD DoD onayı ile geniş bir kabul görür.
• CEH (Certified Ethical Hacker): EC-Council tarafından verilen, etik hacking metodolojilerini ve araçlarını kapsayan sertifika. Pentest alanına giriş için popüler bir başlangıç noktasıdır.
• OSCP (Offensive Security Certified Professional): Offensive Security'nin sunduğu, tamamen pratik sınav formatıyla öne çıkan sertifika. 24 saatlik süreyle gerçek bir ağda güvenlik açıklarını bulup istismar etmek gerekir; sektörde en prestijli saldırı odaklı sertifikalardan biridir.
• CISSP (Certified Information Systems Security Professional): (ISC)² tarafından verilen, güvenlik mimarisi ve yönetimi alanında en prestijli sertifikalardan biridir. 5 yıl iş deneyimi şartı, onu genellikle orta-üst kariyer aşamasına uygun kılar.
• CISM (Certified Information Security Manager): ISACA tarafından verilen, yönetim odaklı sertifika. CISO ve güvenlik yöneticisi pozisyonları için güçlü bir referans.

Türkiye'nin Siber Güvenlik Ekosistemi

Türkiye'de siber güvenlik alanındaki kurumsal ve sektörel yapılanma giderek güçlenmektedir:

• USOM (Ulusal Siber Olaylara Müdahale Merkezi): BTK bünyesinde faaliyet gösteren USOM, ulusal düzeyde siber tehdit istihbaratı, olay müdahale koordinasyonu ve erken uyarı hizmetleri sunar. Sektörel ve kurumsal SOME'ler (Siber Olaylara Müdahale Ekipleri) USOM koordinasyonunda çalışır ve ulusal düzeyde bir savunma ekosistemine katkı sunar.
• BTK (Bilgi Teknolojileri ve İletişim Kurumu): Telekomünikasyon ve internet altyapısının güvenliğinin düzenlenmesi ve denetlenmesinden sorumludur. Kritik altyapı operatörlerine yönelik siber güvenlik yükümlülükleri de BTK düzenlemeleri çerçevesinde şekillenmektedir.
• Savunma Sanayii Başkanlığı (SSB) ve TÜBİTAK: Yerli siber güvenlik ürün ve teknolojilerinin geliştirilmesine yönelik Ar-Ge faaliyetlerini desteklemektedir. Ulusal SIEM, SOAR ve siber tehdit istihbaratı platformları geliştirilmektedir.
• Dijital Dönüşüm Ofisi: Ulusal siber güvenlik stratejisinin belirlenmesinde rol oynar.

Türkiye, 2020-2023 ve 2024-2028 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı kapsamında siber güvenlik kapasitesini güçlendirmeye yönelik çalışmalar yürütmektedir. Kritik altyapı güvenliği, siber güvenlik insan kaynağı gelişimi ve yerli ürün kullanımının artırılması bu stratejilerin öncelikli hedefleri arasında yer almaktadır. Türkiye, NATO'nun siber savunma kapasitelerine de katkı sunmakta; ASELSAN ve STM gibi savunma sanayii kuruluşları siber güvenlik ürün ve hizmet geliştirmeye yatırım yapmaktadır.

DevSecOps ve Uygulama Güvenliği

DevSecOps, güvenliği yazılım geliştirme ve operasyon süreçlerine başından itibaren entegre etmeyi hedefleyen bir yaklaşımdır. Güvenliği "soldan kaydırma" (shift left) ilkesiyle, güvenlik açıklarının üretim ortamında değil, geliştirme sürecinin en erken aşamasında tespit edilmesi hedeflenir. SAST (Static Application Security Testing), kaynak kodunu çalıştırmadan analiz eder; DAST (Dynamic Application Security Testing) ise çalışan uygulamaya saldırı simülasyonu yaparak dinamik güvenlik açıklarını tespit eder. SCA (Software Composition Analysis), bağımlılık kütüphanelerindeki bilinen güvenlik açıklarını tarar. Bu araçlar CI/CD pipeline'ına entegre edilerek her kod değişikliğinde otomatik güvenlik kontrolü yapılabilir. OWASP Top 10, geliştirici eğitimleri ve güvenli kodlama standartlarının referans çerçevesi olarak kullanılmaktadır.

Bulut ve IoT Güvenliği

Bulut güvenliğinin temel paradigması, paylaşımlı sorumluluk modelidir: bulut sağlayıcı (AWS, Azure, GCP) altyapı güvenliğinden sorumlu iken, müşteri verilerinin ve uygulamalarının güvenliği müşteriye aittir. Yanlış yapılandırmalar (misconfiguration), bulut ortamlarındaki ihlallerin önde gelen nedenidir. CSPM (Cloud Security Posture Management) araçları bu sorunları otomatik olarak tespit eder.

IoT güvenliği ise milyarlarca birbirine bağlı cihazın getirdiği benzersiz zorluklarla mücadele eder: sınırlı hesaplama gücü, varsayılan şifreler, güncellenemeyen firmware ve yetersiz ağ segmentasyonu. 2016'daki Mirai botnet saldırısı, varsayılan kimlik bilgileriyle korunan IoT cihazlarını ele geçirerek DNS sağlayıcısı Dyn'a yönelik tarihin en büyük DDoS saldırılarından birini gerçekleştirmiş; Twitter, Netflix ve Reddit gibi dev platformları etkilemiştir.

Sonuç

Siber güvenlik, dijital çağın en kritik alanlarından biridir ve kapsamı sürekli genişlemektedir. CIA üçlüsünün temel ilkelerinden Zero Trust mimarisine, NIST Siber Güvenlik Çerçevesi'nden PICERL olay müdahale modeline, ransomware ve APT tehditlerinden bug bounty programlarına kadar geniş bir bilgi birikimine ihtiyaç duyar. Türkiye'de USOM ve BTK gibi kurumlar ulusal savunmayı koordine ederken, yerli siber güvenlik endüstrisi de güçlenmektedir. Derinlemesine savunma stratejisi, sürekli tehdit avı ve güvenlik sertifikasyonları, bireysel ve kurumsal siber güvenlik olgunluğunun göstergeleridir. Siber güvenlik sadece teknik bir disiplin değil, aynı zamanda sürekli öğrenmeyi ve kurumsal kültürü kapsayan toplumsal bir sorumluluktur.