Tek seferlik güvenlik taramaları size anlık bir görüntü sunar; düzenli bir rutin ise sürekli koruma sağlar. Bu rehber, geliştiriciler, teknik yöneticiler ve işletme sahipleri için hazırlanmıştır; amacı, geçici güvenlik kontrollerinin ötesine geçerek zaman içinde riski sistematik olarak azaltan sürdürülebilir, düzenli bir program oluşturmaktır. Rehberin sonunda mevcut iş akışınıza kolayca uyacak somut bir takvime — günlük, haftalık, aylık ve üç aylık — sahip olacaksınız.
Güvenlik Temelinizi Belirleyin
İyileşmeyi ölçebilmek için önce nerede durduğunuzu bilmeniz gerekir. Bir temel belge, gelecekteki incelemelerin net bir referans noktasına sahip olması için her varlığı, giriş noktasını ve bilinen riski kaydeder. Bu olmadan tekrarlayan kontrollerin çıpası olmaz ve bulgular zaman içinde takip edilemez.
- Kuruluşunuzun sahip olduğu veya yönettiği tüm kamuya açık alan adlarını, alt alan adlarını ve IP adreslerini listeleyin.
- Tüm web uygulamalarını, API'leri ve üçüncü taraf entegrasyonlarını envanterleyin — hazırlık ve geliştirme ortamlarını da dahil edin.
- Teknoloji yığınını belgeleyin: diller, çerçeveler, CMS platformları, web sunucuları ve CDN sağlayıcıları.
- Kasıtlı olarak açık bırakılan ve kapatılması gereken port ve protokolleri kayıt altına alın.
- Tüm kullanıcı rollerini ve yönetici yetkisine sahip olanları tanımlayıp belgeleyin.
- Risk toleransınızı yazılı olarak belirleyin: hangi şiddetteki bir bulgu anında müdahale, hangisi planlanmış düzeltme gerektirir?
- Değişikliklerin zaman içinde denetlenebilir olması için temel belgeyi sürüm kontrolünde saklayın.
Günlük Güvenlik Alışkanlıkları Edinin
Günlük görevler hafif, hızlı ve aktif tehditleri ya da ani değişimleri tespit etmeye odaklı olmalıdır. Amaç, olayları haftalar yerine saatler içinde yakalayan bir erken uyarı sistemi oluşturmaktır. Bu alışkanlıkların yoğun dönemlerde de sürdürülebilmesi için mümkün olan her yerde otomasyondan yararlanın.
- Web sunucusu ve uygulama hata günlüklerini inceleyin; tarama veya saldırı faaliyetine işaret edebilecek 4xx/5xx yanıt artışlarını takip edin.
- Çalışma süresi ve performans izleme panolarını kontrol edin — beklenmedik bir kesinti, DDoS saldırısına veya güvenlik ihlaline işaret edebilir.
- Güvenlik uyarı akışlarını (WAF, IDS veya SIEM'iniz) tarayın ve diğer işlere geçmeden önce yüksek şiddetli yeni uyarıları önceliklendirin.
- Gecelik çalışan otomatik güvenlik taramalarının başarıyla tamamlandığını doğrulayın ve kritik bulguları derhal inceleyin.
- Tüm alan adları için SSL/TLS sertifikalarının geçerli olduğunu ve süresi dolmak üzere olmadığını kontrol edin (30 günün altındaki sertifikaları işaretleyin).
- Tüm otomatik yedeklemelerin başarıyla tamamlandığını ve en az bir güncel yedeğin site dışında veya ayrı bir bulut bölgesinde saklandığını doğrulayın.
Haftalık Güvenlik Kontrolleri Yapın
Haftalık görevler, günlük izlemenin bir katman derininde yer alır. Kod değişiklikleri, yapılandırma kaymaları veya yığınınızı etkileyen yeni açıklanan CVE'ler nedeniyle ortaya çıkan güvenlik açıklarını yakalarlar. Bu kontrolleri sabit bir güne — örneğin her Salı sabahı — planlamak takibi kolaylaştırır ve atlanmasını zorlaştırır.
- Tüm kamuya açık web varlıklarında tam otomatik bir güvenlik açığı taraması başlatın; Sensagraph bunu yinelenen bir takvimde çalıştırabilir ve yeni bulguları otomatik olarak yüzeye çıkarabilir.
- Son yedi günün tam erişim günlüğünü inceleyin; olağandışı coğrafi konumları, kullanıcı aracılarını veya tekrarlanan başarısız kimlik doğrulama girişimlerini arayın.
- Çerçevenizi, CMS'inizi veya sunucu yazılımı sürümlerinizi etkileyen yeni yayımlanan güvenlik açıkları için NVD (Ulusal Güvenlik Açığı Veritabanı) veya seçilmiş bir CVE akışını kontrol edin.
- Aktif kullanıcı hesaplarını denetleyin: eski çalışan veya yüklenicilere ait hesapları kaldırın ve 30 günden uzun süredir aktif olmayan hesapları devre dışı bırakın.
- Tüm web uygulaması güvenlik duvarı (WAF) kurallarının güncel olduğunu ve dağıtımlar sırasında hiçbir kuralın yanlışlıkla devre dışı bırakılmadığını doğrulayın.
- Önceki taramalardan açık olan güvenlik biletlerini veya düzeltme görevlerini inceleyin ve üzerinde anlaşılan son tarihlere göre ilerlemeyi onaylayın.
- Siteniz tarafından yüklenen üçüncü taraf komut dosyalarını ve CDN barındırmalı varlıkları kontrol edin — beklenmedik sürüm değişikliklerine veya çağrılan yeni alan adlarına dikkat edin.
Aylık Güvenlik İncelemeleri Gerçekleştirin
Aylık incelemeler günlük gürültüden uzaklaşır ve genel güvenlik duruşunu değerlendirir. Bu kadans, bağımlılık güncellemeleri, politika incelemeleri ve haftalık kontrollerde tespit edilen eğilimlerin daha derin analizi için uygundur. Takviminizde iki ila üç saatlik blok ayırın ve bunu vazgeçilmez bir taahhüt olarak kabul edin.
- Tüm uygulama bağımlılıklarını, kütüphanelerini ve eklentilerini en son kararlı ve yamalı sürümlerine güncelleyin — neyin değiştiğini anlamak için bir kilit dosyası farkına bakın.
- Otomatik taramayı ve yanlış pozitif olarak işaretlenmiş bulguların manuel incelemesini içeren kapsamlı bir güvenlik açığı değerlendirmesi çalıştırın.
- Son 90 gün içinde döndürülmemiş API anahtarlarını, hizmet hesabı kimlik bilgilerini ve paylaşılan sırları inceleyin ve döndürün.
- Tüm alan adları için İçerik Güvenliği Politikasını (CSP), HTTP güvenlik başlıklarını ve CORS yapılandırmalarını denetleyin; aşırı izin veren kuralları sıkılaştırın.
- HTTPS yapılandırmanızın güncel en iyi uygulamaları karşıladığını doğrulayın: yalnızca TLS 1.2+, güçlü şifre paketleri, HSTS etkin, karma içerik uyarısı yok.
- Günlüklerin adli soruşturma için yeterince uzun süre tutulduğundan emin olmak amacıyla veri saklama ve günlük politikalarınızı inceleyin (uyumluluk gereksinimlerine göre genellikle 90–365 gün).
- Yedek geri yükleme sürecinizi uçtan uca test edin — hiç geri yüklemediğiniz bir yedek, test edilmemiş bir yedektir.
- Daha geniş ekibin bilgi sahibi olması için teknik liderler ve paydaşlarla özlü bir aylık güvenlik özeti paylaşın.
Üç Aylık Güvenlik Denetimleri Yapın
Üç aylık denetimler, en kapsamlı kontrol noktanızdır. Gerçek düşman faaliyetlerini simüle etmeli, kontrollerinizin gerçekten işe yaradığını doğrulamalı ve ekibinizin olaylara müdahaleye hazır olduğundan emin olmalısınız. Küçük bir site için en az tam bir gün, karmaşık uygulamalar için tam bir hafta veya daha fazla zaman ayırın.
- En kritik varlıklarınıza odaklanan bir sızma testi komisyonu kurun veya gerçekleştirin — çıktıyı bir sonraki çeyreğin düzeltme çalışmalarını önceliklendirmek için kullanın.
- Geçen çeyrekte gönderilen yeni özellikler veya önemli kod değişikliklerinin kimlik doğrulama, yetkilendirme ve veri işleme odaklı manuel kod incelemesini yapın.
- Olay müdahale planınızı inceleyin ve güncelleyin: iletişim listelerinin güncel olduğundan, tırmanma yollarının net olduğundan ve rollerin atandığından emin olun.
- Müdahale prosedürlerinizdeki boşlukları tespit etmek için gerçekçi bir olayı (örneğin fidye yazılımı, veri ihlali, hesap ele geçirme) simüle eden bir masa başı tatbikatı yapın.
- Üçüncü taraf tedarikçi ve SaaS güvenlik duruşlarını değerlendirin — kritik tedarikçilerden güncellenmiş güvenlik anketleri veya SOC 2 raporları talep edin.
- DNS yapılandırmanızı değerlendirin: alt alan adı ele geçirme risklerini kontrol edin, uygulanabilir durumlarda DNSSEC'i doğrulayın ve SPF, DKIM ve DMARC kayıtlarını gözden geçirin.
- Varlık envanterinizi ve temel belgeyi, çeyrek boyunca yapılan altyapı değişikliklerini yansıtacak şekilde güncelleyin.
- Üretim sistemlerine erişimi olan tüm ekip üyeleri için güvenlik farkındalığı eğitimi veya kimlik avı simülasyonu gerçekleştirin.
Otomatikleştirin, Takip Edin ve İyileştirin
Bir rutin yalnızca gerçekten uyulduğunda işe yarar. Otomasyon, insan belleğine olan bağımlılığı ortadan kaldırırken takip, hesap verebilirlik oluşturur ve eğilimleri yüzeye çıkarır. Topladığınız metrikleri sürekli iyileştirme için kullanın — hiç gelişmeyen bir rutin zamanla tehdit ortamının gerisinde kalacaktır.
- Her kod dağıtımının üretime ulaşmadan önce kontrol edilmesi için otomatik güvenlik taramasını CI/CD pipeline'ınıza entegre edin.
- Her güvenlik bulgusunu önem derecesi, sahibi ve hedef düzeltme tarihi ile birlikte kaydetmek için bir bilet sistemi (Jira, GitHub Issues, Linear vb.) kullanın — bulguları asla yalnızca e-posta veya elektronik tablolarda takip etmeyin.
- Sertifika süresi dolumu, yeni açık portlar ve kritik yapılandırma dosyalarındaki değişiklikler için otomatik uyarılar ayarlayın.
- Temel güvenlik metriklerini çeyrekten çeyreğe tanımlayın ve takip edin: ortalama tespit süresi (MTTD), ortalama düzeltme süresi (MTTR), kritik bulgu sayısı ve tarama kapsama yüzdesi.
- Her çeyreğin sonunda kısa bir retrospektif planlayarak neyin işe yaradığını, neyin atlandığını ve rutine neyin eklenmesi gerektiğini gözden geçirin.
- İstisnaları resmi olarak belgeleyin: bir görev atlandıysa veya bir bulgu risk olarak kabul edildiyse, gerekçeyi ve onaylayan kişiyi kayıt altına alın.
- Tarama ve izleme yığınınızın hâlâ mevcut teknoloji yığınınızı ve tehdit profilinizi kapsadığından emin olmak için araçlarınızı yıllık olarak gözden geçirin.