Siber güvenlik nedir?

Siber güvenlik (Cybersecurity), bilgisayar sistemlerini, ağları, uygulamaları ve verileri yetkisiz erişim, değiştirme veya hizmet kesintisine karşı korumak için uygulanan teknik, süreç ve insan önlemlerinin bütünüdür.

Akademik ve endüstriyel tanımlar bazen “sanat ve bilim” diye özetlenir: Bilim, şifreleme, ağ protokolleri, zafiyet mekanizmaları bilgisidir. Sanat, iş önceliği, bütçe kısıtı ve insan faktörüyle denge kurmaktır — aynı teknik kontrol her kuruma uymaz.

Bilgi güvenliği (Information Security) daha geniş çatıdır: kağıt arşiv, sözlü bilgi, fiziksel kilitli dolap da kapsama girer. Siber güvenlik, bilgi güvenliğinin dijital ve ağ bağlantılı alt kümesidir.

Kurumsal ölçekte siber güvenlik; CISO öncülüğünde yürütülür ancak İK (ayrılış süreçleri), hukuk (sözleşmeler), satın alma (tedarikçi güvenliği) ve üst yönetim (risk kabulü) paydaştır. Tek ürün “tam koruma” vaadi gerçekçi değildir.

Bilgi güvenliği ile fark

Örnek: Hastane hasta dosyası fiziksel dolapta kilitli → bilgi güvenliği kontrolü. Aynı dosyanın taranmış PDF’i herkese açık bulutta → siber güvenlik + KVKK konusu.

Her iki disiplinde de hedefler CIA ile ifade edilir; fark, koruma alanının genişliğindedir.

Teknoloji, süreç ve insan

Teknoloji: Şifreleme, firewall, EDR, SIEM, IAM, yama yönetimi, DLP. En pahalı firewall, yanlış yapılandırılmış bulut bucket’ını korumaz.

Süreç: Erişim onay workflow’u, yedekleme ve restore testi, olay bildirim prosedürü, ayrıcalıklı hesap (PAM) kaydı, işten ayrılışta hesap kapatma SLA’sı.

İnsan: Farkındalık eğitimi, phishing simülasyonu, sosyal mühendislik direnci. İstatistikler hâlâ birçok olayda insan veya içeriden kaynaklı zayıflık gösterir.

Üçü birlikte olmadan “güvenli” sayılmaz: MFA (teknik) varken çalışan parolayı Slack’te paylaşıyorsa (insan) yine olay çıkar.

Varlık (Asset) — neyi koruyoruz?

Varlık, korunması gereken her değerdir. Envanter olmadan güvenlik bütçesi ve öncelik belirsiz kalır; “her yere firewall” yerine “kritik varlıklara odaklan” stratejisi gerekir.

Veri: Müşteri PII, finans kaydı, kaynak kodu, sözleşme, sağlık dosyası. Sızıntı → gizlilik; yetkisiz değişiklik → bütünlük; kayıp (yedek yok) → erişilebilirlik.

Sistem: Sunucu, laptop, veritabanı, firewall, OT cihazı. Sistem çökünce üzerindeki veri ve ürettiği hizmet birlikte etkilenir.

Hizmet: Web sitesi, e-posta, ödeme, randevu, API. Kullanıcı “sisteme giremiyorum” dediğinde çoğu zaman hizmet varlığı konuşulur.

Gözden kaçan varlıklar: itibar, iş sürekliliği, insan bilgisi (tek kişinin bildiği admin parolası), tedarikçi erişimi.

Tehdit (Threat)

Tehdit, bir varlığa zarar verme potansiyeli taşıyan kişi, grup veya koşuldur. Saldırı gerçekleşmemiş olsa bile tehdit ortamı vardır (ör. günde binlerce başarısız giriş denemesi).

Sınıflandırma eksenleri: kapasite (amatör / organize / devlet destekli), motivasyon (para, ideoloji, casusluk), yöntem (phishing, exploit, içeriden).

Doğal tehditler (yangın, deprem, kesinti) siber değil ama erişilebilirlik hedefini etkiler — felaket kurtarma siber programının parçasıdır.

Tehdit ≠ risk. Tehdit “dışarıda biri var”; risk “bizim için ne kadar kötü olur” sorusudur.

Zafiyet (Vulnerability)

Zafiyet, istismar edilebilir zayıflıktır. Yalnızca yazılım hatası (CVE) değildir.

Teknik: Bilinen açık, zayıf parola politikası, açık port, SQL injection’a açık kod.

Yapılandırma: Herkese açık S3 bucket, varsayılan admin şifresi, gereksiz domain admin yetkisi.

Süreç/insan: Parola paylaşımı, patch penceresi yok, phishing’e tıklama, yedek testi yapılmaması.

Risk — önceliklendirme dili

Risk, tehdidin belirli zafiyet ve varlık bağlamında gerçekleşme olasılığı ile etkinin büyüklüğünün birlikte düşünülmesidir. Risk ≈ olasılık × etki (iş etkisi, regülasyon, itibar dahil).

Aynı SQL injection açığı geliştirme ortamında düşük risk, canlı müşteri veritabanında kritik risk olabilir.

Tedavi: azalt (kontrol ekle), transfer (sigorta), kabul et (yazılı, onaylı kalan risk), kaçın (faaliyeti durdur).

Exploit, payload ve saldırı zinciri

Exploit, zafiyeti tetikleyen teknik veya araçtır (özel HTTP isteği, phishing linki, kimlik avı sayfası).

Payload, sızma sonrası asıl etkidir: veri şifreleme (ransomware), hesap açma, veri sızdırma, web sitesine sahte içerik.

Olay raporunda ayrım netlik kazandırır: “Exploit başarılı, Cobalt Strike payload yüklendi.”

Saldırı zinciri: Keşif → hazırlık → iletim → sızma → yerleşme → eylem. Her halkada savunma fırsatı vardır.

Zero-day: Yaması bilinmeyen açık; imza tabanlı savunma yetmeyebilir — segmentasyon, davranış izleme, en az ayrıcalık şart.

Sektörden sektöre öncelik

Bankacılık: gizlilik, dolandırıcılık önleme, regülasyon. Hastane: hasta verisi gizliliği + sistem erişilebilirliği (hayati). Üretim: OT ağ segmentasyonu, sensör bütünlüğü. E-ticaret: ödeme ve müşteri verisi, Black Friday erişilebilirliği.

Aynı CIA üçlüsü; ağırlıklar değişir — mimari karar sektöre göre yazılmalıdır.

Kariyer yollarına bağlantı

SOC analisti olay triyajı ve log korelasyonu. Güvenlik mimarı kontrol tasarımı. GRC uyumluluk ve politika. Pentester zafiyet bulma. Hepsi varlık–tehdit–risk–CIA dilini kullanır.

CIA üçlüsüne giriş

Üçlü birbirini tamamlar; biri eksikse güvenlik iddiası zayıflar.

Şifreleme ve erişim kontrolü → gizlilik. Hash, dijital imza, audit log → bütünlük. Yedek, yük dengeleme, DR → erişilebilirlik.

Kontrol eşlemesi örneği: TLS hem gizlilik (dinleme) hem bütünlük (aktif müdahale) sağlar. MFA gizliliği artırır; yanlış yapılandırılmışsa erişilebilirliği düşürür (kilitlenme).

Gizlilik (Confidentiality)

Gizlilik, bilginin yalnızca yetkili kişi, süreç ve sistemler tarafından görülebilmesidir. İhlal: yetkisiz okuma, kopyalama, ifşa, dinleme veya çıkarım (metadata’dan bile).

Durağan veri şifreleme: Disk (BitLocker, LUKS), veritabanı TDE, bulut bucket şifreleme. Anahtar yönetimi (KMS, HSM) gizliliğin omurgasıdır — şifreli veri + anahtar aynı yerdeyse fayda sınırlıdır.

İletimde şifreleme: TLS 1.2+ (tercihen 1.3), VPN tünelleri, API HTTPS zorunluluğu. MitM saldırılarında paket içeriği okunamaz.

Erişim kontrolü: RBAC (role), ABAC (attribute — departman, lokasyon). Minimum veri ilkesi: ekranda yalnızca iş için gereken alanlar. Maskeleme: destek ekranında kartın son 4 hanesi.

Organizasyonel: Veri sınıflandırması (genel / dahili / gizli / çok gizli), NDA, tedarikçi DPA, fiziksel erişim kartı, temiz masa.

Örnek ihlaller: Veritabanı dump’ının dark web’de satılması; çalışanın hasta kaydı ekran görüntüsü; herkese açık S3 bucket; yanlış paylaşılan SharePoint linki. KVKK/GDPR kapsamında bildirim ve idari para cezası gündeme gelir.

Gizlilik tek başına yeterli değildir: Veri sızmamış ama değiştirilmiş (bütünlük) veya sistem kapalı (erişilebilirlik) olabilir.

Gizlilik ↔ erişilebilirlik çelişkisi: Aşırı kısıtlama işi yavaşlatır. Çözüm: rol bazlı erişim, MFA, acil break-glass hesap prosedürü (kullanım sonrası denetim).

İçeriden tehdit: Meşru hesapla veri indirme — DLP, davranış analizi, erişim logu şart.

Bütünlük (Integrity)

Bütünlük, verinin ve sistemlerin yetkisiz veya hatalı şekilde değiştirilmediğinin güvencesidir: doğru, tam, güvenilir ve değişikliklerin izlenebilir olduğu veri.

Hash ve checksum: SHA-256 ile dosya bütünlüğü; indirilen yazılım paketinin hash’i yayıncı sitesiyle karşılaştırılır.

Dijital imza ve PKI: Kod imzalama, e-posta S/MIME, firmware imzası — sahte paket tespiti.

Audit log: Kim, ne zaman, hangi kaydı değiştirdi? WORM / immutable log hedef saldırganın iz silmesini zorlaştırır.

Uygulama ve veritabanı: Transaction ACID, foreign key, optimistic locking. Sürüm kontrolü (Git) kaynak kod bütünlüğü.

Bütünlük saldırıları gizlilik kadar görünür olmayabilir: Muhasebe satırında küçük tutar oynaması; üretim sensör değeri manipülasyonu; web sitesine sahte duyuru; yazılım güncellemesine backdoor.

Ransomware: Hem bütünlük (dosyalar şifrelenir/değişir) hem erişilebilirlik (kullanılamaz). “Sadece sızdı” varsayımı yanlış triyajdır.

Bütünlük ↔ erişilebilirlik: Her değişiklik için çok katmanlı onay bütünlüğü artırır, acil yamayı geciktirir. Acil değişiklik penceresi + otomasyon tanımlanmalı.

Pratik soru: “Bu rapordaki rakama güvenebilir miyim?” — Evet ise bütünlük kontrolleri işliyor demektir.

Erişilebilirlik (Availability)

Erişilebilirlik, yetkili kullanıcıların ve süreçlerin ihtiyaç duyduğu anda sisteme ve veriye ulaşabilmesidir. Hizmet üretilemiyorsa diğer CIA hedefleri pratikte anlamsızlaşır.

Yedekleme ve restore testi: Yedek almak yetmez; çeyreklik restore tatbikatı şart. Ransomware yedekleri de hedefler — offline/immutable yedek.

Felaket kurtarma (DR): Coğrafi yedeklilik, runbook, iletişim planı. RTO (ne kadar sürede ayağa kalkmalı), RPO (ne kadar veri kaybı kabul edilir) — SLA’lar bu metriklerle yazılır.

Kapasite ve yük: Load balancer, otomatik ölçekleme, Black Friday kapasite planı. Tek sunucu = tek arıza noktası.

DDoS: Hacim saldırısı erişilebilirliği hedefler. WAF, CDN, scrubbing, ISP iş birliği.

Fiziksel ve enerji: UPS, jeneratör, yangın. Veri merkezi yangını — erişilebilirlik olayı, siber değil ama programınızda DR ile birlikte düşünülür.

Örnek ihlaller: DDoS ile e-ticaret çöküşü; ransomware ile şifreli sunucular; yanlış yama sonrası ERP’nin günlerce kapalı kalması.

Hastane randevu sistemi çalışmıyorsa veri sızmamış olsa bile erişilebilirlik ihlalidir; can güvenliği önceliği kritik.

Erişilebilirlik ↔ gizlilik: Felaket tatbikatı planlı kesinti; müşteri ve regülatöre önceden iletişim.

CIA dengesi ve mimari öncelik

Ek şifreleme felaket kurtarmayı zorlaştırabilir (anahtar yönetimi). Sıkı onay bütünlüğü artırır, acil müdahaleyi geciktirir.

Mimari karar belgesinde yazılı olmalı: Bu sistem için öncelik sırası (ör. hastane: erişilebilirlik > gizlilik > bütünlük tartışması yönetimle).

Bulutta paylaşılan sorumluluk: IaaS’ta ağ ve OS sizde; SaaS’ta uygulama sağlayıcıda — CIA hedeflerini sözleşmede netleştirin.

Malware ailesi — detaylı sınıflandırma

Virüs: Başka dosyaya bulaşır, kullanıcı dosyayı çalıştırınca yayılır. Günümüzde oran düştü; hâlâ USB/autorun senaryolarında görülür.

Solucan (Worm): Ağ protokolü veya zafiyet ile kendi kendine yayılır (WannaCry, EternalBlue). Segmentasyon ve yama kritik.

Trojan: Masum yazılım gibi (crack, sahte PDF). Kullanıcı bilinçli çalıştırır — sosyal mühendislik.

Ransomware: Şifreleme + fidye. Çift etki: bütünlük + erişilebilirlik. Yaşam döngüsü: ilk erişim → yatay hareket → yedek silme → toplu şifreleme → fidye notu.

Spyware / infostealer: Tarayıcı çerezi, parola, kripto cüzdan. Gizlilik hedefi.

Rootkit / bootkit: Derin gizlenme; tespit zor. EDR + güvenilir önyükleme.

Botnet: Cihazları C2 sunucusuna bağlar; DDoS, spam, kripto madenciliği.

Fileless: Disk izi minimum; PowerShell, WMI, bellekte payload. İmza AV yetmez; davranış + EDR.

Phishing ve sosyal mühendislik

Phishing: Toplu e-posta, sahte giriş sayfası. Spear phishing: Hedefli (isim, proje referansı). Whaling: Üst yönetim. CEO fraud: Acil havale.

Vishing: Sesli arama (“IT destek, parolanızı söyleyin”). Smishing: SMS link. Pretexting: Uydurma senaryo (kargo, vergi).

Kırmızı bayraklar: aciliyet, garip gönderen domain, beklenmeyen ek, URL hover farkı, ödül vaadi.

Kurumsal savunma: DMARC/SPF/DKIM, e-posta sandbox, macro engeli, “Phishing raporla” butonu, yıllık simülasyon + metrik.

Saldırı vektörleri

İnsan odaklı: Phishing, USB drop, tailgating.

Uygulama: SQL injection, XSS, CSRF, API zafiyeti — OWASP Top 10 çerçevesi.

Ağ: MitM (kafe Wi‑Fi), açık RDP, SNMP default community.

Kimlik: Brute force, credential stuffing (sızdırılmış parola listesi) — MFA şart.

Tedarik zinciri: Güncelleme sunucusu, SaaS, HVAC (Target 2013). Üçüncü taraf = sizin saldırı yüzeyiniz.

Vektör ≠ payload: Tıklama vektör; asıl eylem bulut veya Active Directory üzerinde.

Tehdit aktörleri

Script kiddie: Hazır araç, düşük olgunluk, gürültülü.

Hacktivist: Defacement, DDoS — itibar ve erişilebilirlik.

Organize suç / ransomware-as-a-service: Finans motivasyonu, çift fidye (şifreleme + sızdırma).

APT (Advanced Persistent Threat): Uzun süre gizli, hedefli, casusluk / IP hırsızlığı.

İçeriden (insider): Meşru hesap; DLP ve davranış analizi zorunlu.

MICE çerçevesi: Money, Ideology, Coercion, Ego — motivasyon savunma önceliğini şekillendirir.

Saldırı zinciri ve Kill Chain

Lockheed Martin Kill Chain: Keşif → silahlandırma → teslimat → sızma → kurulum → komuta-kontrol (C2) → eylem.

MITRE ATT&CK: Taktik ve teknik kütüphanesi; SOC ve kırmızı takım ortak dil.

Her aşamada tespit fırsatı: anormal DNS, yeni servis, lateral movement, veri dışarı akışı.

Katmanlı savunma (Defense in Depth)

Tek duvar yeterli değil. Katmanlar: fiziksel, ağ, uç nokta, uygulama, veri, kimlik, insan.

Örnek zincir: Phishing e-postası → filtre (1) → kullanıcı raporu (2) → macro engel (3) → EDR (4) → segmentasyon (5) → yedek (6). Bir katman düşerse diğeri sınırlar veya tespit eder.

Her katman farklı CIA boyutuna hizmet eder; tasarımda eşleme yapın.

En az ayrıcalık (Least Privilege)

Varsayılan minimum yetki. RBAC rolleri; düzenli access review (çeyreklik).

Ayrılış SLA: 24 saat içinde hesap kapatma. PAM: admin oturumu kayıtlı, süreli, onaylı.

Domain Admin herkese verilmez. Servis hesapları için güçlü parola + rotation.

Sıfır güven (Zero Trust)

Never trust, always verify. Konum (ofis/VPN) güven sinyali değil; kimlik + cihap durumu + bağlam.

MFA, mikro segmentasyon, sürekli doğrulama, cihaz uyumluluğu (MDM). Geçiş aşamalı — legacy uygulamalar planlanır.

VPN “içerideyim güvenliyim” modelini kırar; lateral movement zorlaşır.

Diğer temel prensipler

Görev ayrımı (SoD): Tek kişi hem ödeme oluşturup hem onaylayamaz.

Fail secure / fail safe: Arıza güvenli kilit modunda.

Güvenli varsayılan: Yeni kaynak kapalı; açık port yok.

Need to know: Rol değil görev bazlı veri erişimi.

Economy of mechanism: Basit tasarım daha az hata.

Risk değerlendirme süreci

1) Varlık envanteri ve sahiplik. 2) Tehdit ve zafiyet eşleştirme. 3) Mevcut kontroller. 4) Etki (1–5). 5) Olasılık (1–5). 6) Risk skoru. 7) Tedavi planı. 8) Kalan risk izleme.

ISO 27005 ve NIST RMF bu döngüyü standartlaştırır. Yıllık veya olay sonrası yenileme.

Risk matrisi

5×5 matris: yüksek olasılık + yüksek etki = acil (P1). Düşük/düşük = izle veya kabul (dokümante).

Renk kodları yönetim kurulunda anlaşılır dil sağlar.

Vaka: e-ticaret müşteri veritabanı

Varlık: Canlı PostgreSQL, 500K PII. Tehdit: SQLi, credential stuffing. Zafiyet: eski ORM, parola reuse.

Etki: 5 (KVKK, itibar, gelir). Olasılık: 3. Skor: yüksek.

Tedavi bu çeyrek: WAF, kod inceleme, MFA, şifreleme, yedek testi. Kalan risk: sıfır değil — yönetim kurulu yazılı kabul.

Kalan risk

Kontrol sonrası risk sıfır olmaz. Tehdit ortamı değişince (yeni APT kampanyası) skor yenilenir.

Tedavi seçenekleri

Azalt: Kontrol ekle. Transfer: Sigorta, outsource (risk paylaşımı). Kabul: Yazılı, onaylı, süreli. Kaçın: Faaliyeti durdur.

Belge hiyerarşisi

Politika: Üst yönetim onaylı (“Tüm uzaktan erişim MFA”). Standart: TLS 1.2+, parola uzunluğu. Prosedür: Olay bildirimi 1-2-3. Kılavuz: Parola yöneticisi önerisi.

Kabul edilebilir kullanım (AUP)

Kişisel cihaz (BYOD), sosyal medya, USB, bulut depolama kuralları. İhlal disiplin sürecine bağlanır.

Uyumluluk çerçeveleri

ISO 27001 ISMS, SOC 2 güven, PCI-DSS ödeme, KVKK kişisel veri. Ortak soru: politika var mı, kanıtlanıyor mu?

KVKK: aydınlatma, açık rıza, minimizasyon, ihlal bildirimi (72 saat). Politika metni hukuk + IT ortak.

Veri saklama ve silme

Ne kadar süre, kim erişir, nasıl silinir — prosedürde net. Unutulma hakkı iş akışı.

Tedarikçi riski

SOC 2 raporu, güvenlik anketi, erişim sınırı, veri işleme sözleşmesi, düzenli gözden geçirme.

NIST tarzı aşamalar

1. Hazırlık: Plan, playbook, iletişim listesi, tatbikat. 2. Tespit: SIEM, EDR, kullanıcı. 3. Analiz: Kapsam, IOC, zaman çizelgesi. 4. Sınırlandırma: İzolasyon, hesap kilidi. 5. Ortadan kaldırma: Malware, kalıcı erişim. 6. Kurtarma: Restore, doğrulama. 7. Ders: Post-mortem, KPI.

Ekip ve roller

Olay yöneticisi, analist, forensics, hukuk, iletişim, üst yönetim. Chain of custody delil bütünlüğü.

Araçlar

SIEM korelasyon, EDR uç nokta, forensics disk imajı, ticketing izlenebilirlik.

İletişim

Regülatör, müşteri, medya planı önceden. Tek sözcü kuralı. KVKK bildirimi.

Tatbikat

Tabletop: “Saat 03:00 ransomware.” Playbook: kim izole eder, yedek RTO. Tatbikat olmadan plan kağıt.

Kendinizi sınayın

Aşağıdaki soruları kendi cümlelerinizle yanıtlayın; kopyala-yapıştır değil.