Ulusal Standartlarla Uyumlu Sızma Testi ve Zafiyet Yönetimi Rehberi

1. Ulusal Standartların Rolü

Ulusal ve uluslararası bilgi güvenliği standartları; sızma testi ve zafiyet yönetimi süreçlerinin nasıl planlanacağı, uygulanacağı ve raporlanacağı konusunda bağlayıcı bir referans çerçevesi sunar. Böylece kurumlar; yapılan testlerin rastgele veya kişiye bağlı uygulamalar yerine, net kriterlere ve denetlenebilir süreçlere dayandığından emin olabilir.

1.1 Bilgi ve İletişim Güvenliği Rehberleri

Kamu otoriteleri tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberleri, özellikle kamu kurumları ve kritik altyapılar için zorunlu niteliğe sahiptir. Bu rehberler:

• Sızma testlerinin metodolojisi, kapsamı ve aralıkları,
• Raporların asgari içeriği ve sınıflandırılması,
• Test öncesi, sırası ve sonrasında uyulması gereken güvenlik ve gizlilik prensipleri

gibi başlıkları detaylandırır. Uygulamada rehbere uyulmaması, iç ve dış denetimlerde zayıf bulguya dönüşebilir ve ek aksiyon planları gerektirebilir.

1.2 ISO/IEC 27001 & 27002 Etkisi

ISO/IEC 27001, bilgi güvenliği yönetim sistemini (BGYS) risk temelli bir yaklaşımla kurgular. Sızma testleri ve zafiyet yönetimi; bu yapı içinde:

• Risk analizine girdi sağlayan,
• Kontrollerin etkinliğini ölçen,
• Sürekli iyileştirme döngüsünü besleyen

temel mekanizmalardır. ISO/IEC 27002 ise günlük kontroller (log yönetimi, erişim, değişiklik yönetimi, test ortamları, yedekleme vb.) için ayrıntılı kontrol setleri sunarak; sızma testlerinde bulunan açıklıkların ilgili kontrol maddeleriyle ilişkilendirilmesini kolaylaştırır.

1.3 KVKK & e-Devlet Gereklilikleri

KVKK; kişisel veri içeren sistemlerde yapılan sızma testleri için veri güvenliği, maskeleme, anonimleştirme ve test sonrası imha süreçlerinin dikkatle kurgulanmasını zorunlu kılar.

• Kişisel verilerin gereksiz yere kopyalanmaması,
• Test çıktılarında (rapor, ekran görüntüsü, log) veri minimizasyonu,
• Test sonrası oluşturulan tüm kayıtların saklama ve imha politikasına uygun yönetilmesi

gerekir. e-Devlet standartları ise kamu hizmetlerine ilişkin sistemlerde periyodik testleri ve zafiyet yönetimi süreçlerini şart koşarak; vatandaş verisinin korunmasını ve hizmet sürekliliğini güvence altına almayı amaçlar.

2. Sızma Testi Süreci

Uyum odaklı bir sızma testinde amaç; sadece “açık bulmak” değil, bu açıklıkların gerçek iş etkisini ve ulusal standartlar kapsamındaki risk seviyesini ortaya koymaktır. Tipik süreç aşağıdaki adımlardan oluşur:

2.1 Keşif ve Bilgi Toplama

İlk adım, hedef yüzeyinin sağlıklı haritalanmasıdır. OSINT çalışmaları, alan adı ve IP aralıklarının tespiti, DNS kayıtlarının analizi ve pasif bilgi toplama ile başlayan bu aşamada; Nmap, Amass, Shodan gibi araçlarla:

• Ağ, servis ve port envanteri,
• Kullanılan teknolojiler ve sürümler,
• Potansiyel giriş noktaları

belirlenir. Keşif ne kadar iyi yapılırsa, sonraki adımlar o kadar hedefe yönelik ve verimli olur.

2.2 Zafiyet Taraması

Keşif sonrası elde edilen yüzey üzerinde otomatik zafiyet taramaları gerçekleştirilir. Nessus, OpenVAS ve ulusal çözümler kullanılarak:

• Güncel olmayan yazılım bileşenleri,
• Yanlış yapılandırmalar,
• Bilinen CVE’lere sahip açıklar

tespit edilir. Bu çıktılar, uzman ekip tarafından yanlış pozitiflerden arındırılır ve ulusal standartların risk sınıflandırmasına göre önceliklendirilir.

2.3 İstismar (Exploitation)

Her zafiyet istismar edilmez; odak, iş etkisi yüksek ve zincir oluşturabilen açıklıklardadır. Kontrollü koşullarda yürütülen bu aşamada:

• Yetkisiz erişim,
• Yetki yükseltme,
• Veri sızdırma, oturum ele geçirme gibi senaryolar

Metasploit Framework ve benzeri araçlarla PoC düzeyinde gösterilir. Amaç sistemi bozmak değil, riskin somut biçimde kanıtlanmasıdır.

2.4 Yetki Yükseltme & Yanal Hareket

İlk erişim genellikle “saldırının başlangıcıdır”. Bu fazda:

• Zayıf parolalar ve tekrar kullanılan kimlik bilgileri,
• Yanlış yapılandırılmış paylaşımlar,
• Ayrıcalıklı hesapların korunmasındaki boşluklar

üzerinden ayrıcalık artırımı ve yanal hareket senaryoları kurgulanır. Böylece tek bir kullanıcının ele geçirilmesinin; diğer sistemler, veriler ve süreçler üzerinde ne kadar etkili olabileceği gösterilir.

2.5 Raporlama & Kanıt Sunumu

Son aşamada tüm bulgular; ulusal rehberler ve kurumsal standartlara uygun bir formatta raporlanır:

• Yönetici özeti ve bulgu dağılımı,
• Her bulgu için teknik detay, PoC adımları, ekran görüntüleri ve komut çıktıları,
• Risk seviyesi (yüksek/orta/düşük) ve olası senaryolar,
• Önceliklendirilmiş çözüm önerileri ve hedef kapanış tarihleri

Rapor, hem teknik ekiplerin aksiyon almasına hem de yönetim ve denetim birimlerinin resmi incelemelerine temel oluşturur.

3. Zafiyet Yönetimi Yaşam Döngüsü

Sızma testi tek başına yeterli değildir; çıktılar sistematik bir zafiyet yönetimi yaşam döngüsü içinde ele alınmadığında, tespit edilen riskler kalıcı çözüme dönüşmez. Temel yaşam döngüsü dört başlıkta özetlenebilir:

3.1 Tanımlama & Önceliklendirme

Sızma testleri, otomatik taramalar ve diğer güvenlik kontrolleri sonucunda tespit edilen tüm açıklar:

• CVE kimlikleri,
• Etkilenen varlıklar ve iş süreçleri,
• Maruziyet süresi ve erişilebilirlik durumu

ile ilişkilendirilir. Ardından:

• Dışarıya açık sistemleri etkileyen,
• Kişisel veri veya kritik iş verisi içeren,
• Kesinti ve itibar kaybı riski yüksek

bulgular önceliklendirilir. Böylece sınırlı kaynaklar, en çok risk üreten alanlara yönlendirilir.

3.2 Risk Değerlendirmesi

CVSS skorları ve ulusal rehberlerde önerilen iş etkisi yaklaşımı birlikte kullanılarak; her bir zafiyet için:

• İstismar kolaylığı,
• İş sürekliliği ve veri gizliliği üzerindeki etkisi,
• Regülasyonlara uyum (KVKK, sektör düzenlemeleri vb.)

değerlendirilir. Bu analiz; teknik seviyeyle sınırlı kalmayan, iş odaklı bir önceliklendirme sağlar.

3.3 Düzeltme & İyileştirme

Önceliklendirilmiş bulgular için somut aksiyonlar tanımlanır:

• Yama uygulama ve sürüm güncelleme,
• Konfigürasyon sertleştirme (hardening),
• Güvenlik politikası ve prosedür güncellemeleri,
• Telafi edici kontroller (ek izleme, segmentasyon vb.).

Her aksiyon için sorumlu birim, hedef tarih ve gerekli kaynaklar belirlenerek bir zafiyet aksiyon planı oluşturulur.

3.4 İzleme & Tekrar Doğrulama

Kapatıldığı bildirilen zafiyetler; yeniden test (re-test) ile doğrulanır. Sürekli zafiyet taramaları ve izleme mekanizmalarıyla:

• Aynı türde açıkların tekrar oluşması engellenmeye çalışılır,
• Yeni zafiyetler için erken uyarı mekanizması sağlanır,
• Olgunluk ve uyum seviyesi ölçülebilir hale gelir.

4. Kullanılan Araçlar ve Framework’ler

Uyumlu bir sızma testi ve zafiyet yönetimi programı, hem açık kaynak hem de ticari araçlar ile tanımlı framework’ler üzerinden yürütüldüğünde daha öngörülebilir ve denetlenebilir hale gelir.

4.1 Açık Kaynak Tarayıcılar

• OpenVAS, Nikto, Wapiti gibi araçlar; web ve ağ yüzeyinde temel zafiyet taramaları için yaygın kullanılır.
• CI/CD süreçlerine entegre edilerek, kod ve yapılandırma değişikliklerinin yol açtığı yeni açıklar erken aşamada tespit edilebilir.
• Lisans maliyeti olmadan hızlı prototipleme ve PoC imkânı sunarlar.

4.2 Ticari Çözümler

• Tenable Nessus, Qualys, Rapid7 InsightVM gibi çözümler; kurumsal ortamlarda yaygın kullanılır.
• Merkezi yönetim, raporlama, entegrasyon ve uyum (compliance) modülleri sunarak geniş ölçekli yapılarda avantaj sağlar.
• Ulusal projelerde, yerli çözümlerle birlikte kullanıldığında hem mevzuat uyumu hem de teknik kapsama alanı güçlenir.

4.3 Framework’ler ve Referans Çerçeveler

• MITRE ATT&CK: Saldırgan davranışlarının modellemesi ve sızma testlerinde senaryo oluşturma için kullanılır.
• OWASP: Web ve mobil uygulama güvenliğinde açık türleri, test teknikleri ve önleme yöntemleri için referans alınır.
• Ulusal rehberler: Rapor formatı, risk sınıflandırması ve dokümantasyon standartları için destekleyici yönergeler sunar.

5. Örnek Senaryolar

Aşağıdaki örnek senaryolar, ulusal standartlarla uyumlu sızma testlerinin gerçek hayatta nasıl değer ürettiğini göstermek için özetlenmiştir.

5.1 Kamu: Web Uygulaması

Bir e-hizmet portalına yönelik gerçekleştirilen sızma testinde, giriş formu üzerinde SQL Injection zafiyeti tespit edilir. Yapılan PoC ile hassas vatandaş verisine erişim mümkün olduğunu gösteren ekran görüntüleri ve loglar oluşturulur. Sonuçta:

• İlgili modülde hızlı kod düzeltmesi ve parametrik sorgu kullanımına geçilir,
• WAF kural setleri güncellenir,
• Benzer tüm formlar için ek kod incelemesi ve güvenli geliştirme eğitimleri planlanır.

5.2 Kritik Altyapı: OT/SCADA

Enerji dağıtımında kullanılan bir SCADA sisteminde, Modbus trafiğinin şifresiz iletildiği tespit edilir. Saldırganın ağ içinden manipüle edilmiş komut gönderebileceği PoC ile gösterilir. Sonuçta:

• Ağ segmentasyonu ve kritik ağların ayrıştırılması,
• Whitelisting ve sıkı erişim kontrol listeleri (ACL) uygulanması,
• OT ortamı için özel izleme ve alarm mekanizmaları kurulması

gibi kontroller devreye alınır.

5.3 KVKK: CRM Verisi

Müşteri ilişkileri yönetimi (CRM) sisteminde yapılan testlerde; zayıf parola politikaları ve çok faktörlü kimlik doğrulama eksikliği nedeniyle yetkisiz erişim riski tespit edilir. KVKK perspektifinden ciddi veri ihlali potansiyeli olduğu ortaya konur. Sonuç olarak:

• Parola politikası sıkılaştırılır, MFA devreye alınır,
• Yetki matrisi güncellenir ve düzenli erişim gözden geçirme süreci başlatılır,
• Veri maskeleme ve loglama seviyeleri artırılır.

6. En İyi Uygulamalar

Uyumlu sızma testleri ve zafiyet yönetimi programı kurmak isteyen kurumlar için öne çıkan bazı iyi uygulamalar şunlardır:

• Sürekli Sızma Testi & Red Team: Yalnızca yılda bir kez sızma testi yapmak yeterli değildir. Kritik sistemler için sürekli test mekanizmaları, red team egzersizleri ve tatbikatlarla dayanıklılık artırılmalıdır.
• Otomasyon: CI/CD hattına entegre zafiyet taramaları ve otomatik güvenlik kontrolleriyle, geliştirme hızını yavaşlatmadan güvenlik seviyesini yükseltmek mümkündür.
• Kurum İçi Yetkinlik: Dış kaynak pentest hizmetleri önemli olmakla birlikte; iç ekiplerin bilgi ve farkındalık seviyesinin yükseltilmesi, güvenliği “sadece dış hizmet” olmaktan çıkarır.
• Çapraz Uyum Yaklaşımı: Sızma testlerinin çıktıları; KVKK, ISO/IEC 27001, ulusal rehberler ve sektör regülasyonlarıyla ilişkilendirilerek; tek bir testten çoklu uyum değeri elde edilebilir.

7. Kurumsal ve Operasyonel Etkiler

Uyumlu sızma testi ve etkin zafiyet yönetimi; yalnızca teknik güvenlik seviyesini değil, aynı zamanda iş süreçlerini ve kurumsal itibarı doğrudan etkiler. Sağlam bir program sayesinde:

• Hizmet kesintilerinin ve beklenmeyen duruşların önüne geçilir,
• Veri sızıntılarının ve KVKK ihlallerinin olasılığı azaltılır,
• Regülasyonlara uyum seviyesi ölçülebilir hale gelir, denetimlerde kurumun konumu güçlenir.

Operasyonel açıdan bakıldığında; olay müdahale süreleri kısalır, yamalar daha planlı ve etkin şekilde uygulanır, ekipler savunma odaklı değil önleyici stratejiler geliştiren yapılara dönüşür.

8. Sonuç: Standartlara Dayalı Sızma Testi Programı

Sızma testi ve zafiyet yönetimi; ulusal ve uluslararası standartlarla uyumlu yürütüldüğünde, kurumlar yalnızca denetimlerden başarıyla geçmekle kalmaz; aynı zamanda risklerini ölçülebilir biçimde düşürür ve operasyonel sürekliliğini güçlendirir.

Kısaca özetlemek gerekirse; iyi tasarlanmış bir program:

• Bilgi ve İletişim Güvenliği Rehberleri, ISO/IEC 27001–27002, KVKK ve e-Devlet gerekliliklerini tek çatı altında toplar,
• Sızma testlerini tek seferlik faaliyetler yerine, süreç odaklı ve tekrar eden kontroller haline getirir,
• Teknik, idari ve hukuki gereklilikleri birleştirerek kurumsal siber güvenlik olgunluğunu üst seviyeye taşır.

Böylece sızma testleri; yılda bir kez yapılan, dosyada kalan teknik raporlar olmaktan çıkıp, kurumun dijital dayanıklılık ve uyum stratejisinin ayrılmaz parçası haline gelir.