SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama
SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama

Tüm Rehberler

Tek seferlik güvenlik taramaları size anlık bir görüntü sunar; düzenli bir rutin ise sürekli koruma sağlar. Bu rehber, geliştiriciler, teknik yöneticiler ve işletme sahipleri için hazırlanmıştır; amacı, geçici güvenlik kontrollerinin ötesine geçerek zaman içinde riski sistematik olarak azaltan sürdürülebilir, düzenli bir program oluşturmaktır. Rehberin sonunda mevcut iş akışınıza kolayca uyacak somut bir takvime — günlük, haftalık, aylık ve üç aylık — sahip olacaksınız.

01

Güvenlik Temelinizi Belirleyin

İyileşmeyi ölçebilmek için önce nerede durduğunuzu bilmeniz gerekir. Bir temel belge, gelecekteki incelemelerin net bir referans noktasına sahip olması için her varlığı, giriş noktasını ve bilinen riski kaydeder. Bu olmadan tekrarlayan kontrollerin çıpası olmaz ve bulgular zaman içinde takip edilemez.

  • Kuruluşunuzun sahip olduğu veya yönettiği tüm kamuya açık alan adlarını, alt alan adlarını ve IP adreslerini listeleyin.
  • Tüm web uygulamalarını, API'leri ve üçüncü taraf entegrasyonlarını envanterleyin — hazırlık ve geliştirme ortamlarını da dahil edin.
  • Teknoloji yığınını belgeleyin: diller, çerçeveler, CMS platformları, web sunucuları ve CDN sağlayıcıları.
  • Kasıtlı olarak açık bırakılan ve kapatılması gereken port ve protokolleri kayıt altına alın.
  • Tüm kullanıcı rollerini ve yönetici yetkisine sahip olanları tanımlayıp belgeleyin.
  • Risk toleransınızı yazılı olarak belirleyin: hangi şiddetteki bir bulgu anında müdahale, hangisi planlanmış düzeltme gerektirir?
  • Değişikliklerin zaman içinde denetlenebilir olması için temel belgeyi sürüm kontrolünde saklayın.
02

Günlük Güvenlik Alışkanlıkları Edinin

Günlük görevler hafif, hızlı ve aktif tehditleri ya da ani değişimleri tespit etmeye odaklı olmalıdır. Amaç, olayları haftalar yerine saatler içinde yakalayan bir erken uyarı sistemi oluşturmaktır. Bu alışkanlıkların yoğun dönemlerde de sürdürülebilmesi için mümkün olan her yerde otomasyondan yararlanın.

  • Web sunucusu ve uygulama hata günlüklerini inceleyin; tarama veya saldırı faaliyetine işaret edebilecek 4xx/5xx yanıt artışlarını takip edin.
  • Çalışma süresi ve performans izleme panolarını kontrol edin — beklenmedik bir kesinti, DDoS saldırısına veya güvenlik ihlaline işaret edebilir.
  • Güvenlik uyarı akışlarını (WAF, IDS veya SIEM'iniz) tarayın ve diğer işlere geçmeden önce yüksek şiddetli yeni uyarıları önceliklendirin.
  • Gecelik çalışan otomatik güvenlik taramalarının başarıyla tamamlandığını doğrulayın ve kritik bulguları derhal inceleyin.
  • Tüm alan adları için SSL/TLS sertifikalarının geçerli olduğunu ve süresi dolmak üzere olmadığını kontrol edin (30 günün altındaki sertifikaları işaretleyin).
  • Tüm otomatik yedeklemelerin başarıyla tamamlandığını ve en az bir güncel yedeğin site dışında veya ayrı bir bulut bölgesinde saklandığını doğrulayın.
03

Haftalık Güvenlik Kontrolleri Yapın

Haftalık görevler, günlük izlemenin bir katman derininde yer alır. Kod değişiklikleri, yapılandırma kaymaları veya yığınınızı etkileyen yeni açıklanan CVE'ler nedeniyle ortaya çıkan güvenlik açıklarını yakalarlar. Bu kontrolleri sabit bir güne — örneğin her Salı sabahı — planlamak takibi kolaylaştırır ve atlanmasını zorlaştırır.

  • Tüm kamuya açık web varlıklarında tam otomatik bir güvenlik açığı taraması başlatın; Sensagraph bunu yinelenen bir takvimde çalıştırabilir ve yeni bulguları otomatik olarak yüzeye çıkarabilir.
  • Son yedi günün tam erişim günlüğünü inceleyin; olağandışı coğrafi konumları, kullanıcı aracılarını veya tekrarlanan başarısız kimlik doğrulama girişimlerini arayın.
  • Çerçevenizi, CMS'inizi veya sunucu yazılımı sürümlerinizi etkileyen yeni yayımlanan güvenlik açıkları için NVD (Ulusal Güvenlik Açığı Veritabanı) veya seçilmiş bir CVE akışını kontrol edin.
  • Aktif kullanıcı hesaplarını denetleyin: eski çalışan veya yüklenicilere ait hesapları kaldırın ve 30 günden uzun süredir aktif olmayan hesapları devre dışı bırakın.
  • Tüm web uygulaması güvenlik duvarı (WAF) kurallarının güncel olduğunu ve dağıtımlar sırasında hiçbir kuralın yanlışlıkla devre dışı bırakılmadığını doğrulayın.
  • Önceki taramalardan açık olan güvenlik biletlerini veya düzeltme görevlerini inceleyin ve üzerinde anlaşılan son tarihlere göre ilerlemeyi onaylayın.
  • Siteniz tarafından yüklenen üçüncü taraf komut dosyalarını ve CDN barındırmalı varlıkları kontrol edin — beklenmedik sürüm değişikliklerine veya çağrılan yeni alan adlarına dikkat edin.
04

Aylık Güvenlik İncelemeleri Gerçekleştirin

Aylık incelemeler günlük gürültüden uzaklaşır ve genel güvenlik duruşunu değerlendirir. Bu kadans, bağımlılık güncellemeleri, politika incelemeleri ve haftalık kontrollerde tespit edilen eğilimlerin daha derin analizi için uygundur. Takviminizde iki ila üç saatlik blok ayırın ve bunu vazgeçilmez bir taahhüt olarak kabul edin.

  • Tüm uygulama bağımlılıklarını, kütüphanelerini ve eklentilerini en son kararlı ve yamalı sürümlerine güncelleyin — neyin değiştiğini anlamak için bir kilit dosyası farkına bakın.
  • Otomatik taramayı ve yanlış pozitif olarak işaretlenmiş bulguların manuel incelemesini içeren kapsamlı bir güvenlik açığı değerlendirmesi çalıştırın.
  • Son 90 gün içinde döndürülmemiş API anahtarlarını, hizmet hesabı kimlik bilgilerini ve paylaşılan sırları inceleyin ve döndürün.
  • Tüm alan adları için İçerik Güvenliği Politikasını (CSP), HTTP güvenlik başlıklarını ve CORS yapılandırmalarını denetleyin; aşırı izin veren kuralları sıkılaştırın.
  • HTTPS yapılandırmanızın güncel en iyi uygulamaları karşıladığını doğrulayın: yalnızca TLS 1.2+, güçlü şifre paketleri, HSTS etkin, karma içerik uyarısı yok.
  • Günlüklerin adli soruşturma için yeterince uzun süre tutulduğundan emin olmak amacıyla veri saklama ve günlük politikalarınızı inceleyin (uyumluluk gereksinimlerine göre genellikle 90–365 gün).
  • Yedek geri yükleme sürecinizi uçtan uca test edin — hiç geri yüklemediğiniz bir yedek, test edilmemiş bir yedektir.
  • Daha geniş ekibin bilgi sahibi olması için teknik liderler ve paydaşlarla özlü bir aylık güvenlik özeti paylaşın.
05

Üç Aylık Güvenlik Denetimleri Yapın

Üç aylık denetimler, en kapsamlı kontrol noktanızdır. Gerçek düşman faaliyetlerini simüle etmeli, kontrollerinizin gerçekten işe yaradığını doğrulamalı ve ekibinizin olaylara müdahaleye hazır olduğundan emin olmalısınız. Küçük bir site için en az tam bir gün, karmaşık uygulamalar için tam bir hafta veya daha fazla zaman ayırın.

  • En kritik varlıklarınıza odaklanan bir sızma testi komisyonu kurun veya gerçekleştirin — çıktıyı bir sonraki çeyreğin düzeltme çalışmalarını önceliklendirmek için kullanın.
  • Geçen çeyrekte gönderilen yeni özellikler veya önemli kod değişikliklerinin kimlik doğrulama, yetkilendirme ve veri işleme odaklı manuel kod incelemesini yapın.
  • Olay müdahale planınızı inceleyin ve güncelleyin: iletişim listelerinin güncel olduğundan, tırmanma yollarının net olduğundan ve rollerin atandığından emin olun.
  • Müdahale prosedürlerinizdeki boşlukları tespit etmek için gerçekçi bir olayı (örneğin fidye yazılımı, veri ihlali, hesap ele geçirme) simüle eden bir masa başı tatbikatı yapın.
  • Üçüncü taraf tedarikçi ve SaaS güvenlik duruşlarını değerlendirin — kritik tedarikçilerden güncellenmiş güvenlik anketleri veya SOC 2 raporları talep edin.
  • DNS yapılandırmanızı değerlendirin: alt alan adı ele geçirme risklerini kontrol edin, uygulanabilir durumlarda DNSSEC'i doğrulayın ve SPF, DKIM ve DMARC kayıtlarını gözden geçirin.
  • Varlık envanterinizi ve temel belgeyi, çeyrek boyunca yapılan altyapı değişikliklerini yansıtacak şekilde güncelleyin.
  • Üretim sistemlerine erişimi olan tüm ekip üyeleri için güvenlik farkındalığı eğitimi veya kimlik avı simülasyonu gerçekleştirin.
06

Otomatikleştirin, Takip Edin ve İyileştirin

Bir rutin yalnızca gerçekten uyulduğunda işe yarar. Otomasyon, insan belleğine olan bağımlılığı ortadan kaldırırken takip, hesap verebilirlik oluşturur ve eğilimleri yüzeye çıkarır. Topladığınız metrikleri sürekli iyileştirme için kullanın — hiç gelişmeyen bir rutin zamanla tehdit ortamının gerisinde kalacaktır.

  • Her kod dağıtımının üretime ulaşmadan önce kontrol edilmesi için otomatik güvenlik taramasını CI/CD pipeline'ınıza entegre edin.
  • Her güvenlik bulgusunu önem derecesi, sahibi ve hedef düzeltme tarihi ile birlikte kaydetmek için bir bilet sistemi (Jira, GitHub Issues, Linear vb.) kullanın — bulguları asla yalnızca e-posta veya elektronik tablolarda takip etmeyin.
  • Sertifika süresi dolumu, yeni açık portlar ve kritik yapılandırma dosyalarındaki değişiklikler için otomatik uyarılar ayarlayın.
  • Temel güvenlik metriklerini çeyrekten çeyreğe tanımlayın ve takip edin: ortalama tespit süresi (MTTD), ortalama düzeltme süresi (MTTR), kritik bulgu sayısı ve tarama kapsama yüzdesi.
  • Her çeyreğin sonunda kısa bir retrospektif planlayarak neyin işe yaradığını, neyin atlandığını ve rutine neyin eklenmesi gerektiğini gözden geçirin.
  • İstisnaları resmi olarak belgeleyin: bir görev atlandıysa veya bir bulgu risk olarak kabul edildiyse, gerekçeyi ve onaylayan kişiyi kayıt altına alın.
  • Tarama ve izleme yığınınızın hâlâ mevcut teknoloji yığınınızı ve tehdit profilinizi kapsadığından emin olmak için araçlarınızı yıllık olarak gözden geçirin.

Sıkça sorulan sorular

En az haftada bir otomatik güvenlik açığı taraması ve üç ayda bir daha derin manuel veya sızma testi odaklı bir değerlendirme yapın. Siteniz sık kod değişikliği geçiriyorsa veya hassas veriler işliyorsa, her dağıtımdan sonra sürekli otomatik tarama yapmayı değerlendirin.

Hata günlüklerini ve güvenlik uyarılarını incelemek, günlük yapılabilecek en yüksek değerli alışkanlıktır. 4xx/5xx yanıtlarındaki artışlar, tekrarlanan başarısız oturum açma girişimleri veya yeni WAF tetikleyicileri aktif bir saldırıya işaret edebilir; bunları haftalar yerine saatler içinde yakalamak olası zararı önemli ölçüde sınırlar.

Güvenlik görevlerini iş riski ve maliyeti açısından çerçevelendirin. Olası bir ihlal maliyetini — kesinti süresi, veri kaybı, düzenleyici cezalar, itibar zararı — hesaplayın ve haftalık bir güvenlik incelemesinin zaman yatırımıyla karşılaştırın. Aylık güvenlik özetlerini yönetimle paylaşmak da zaman içinde bir kültür oluşturur.

Çoğu küçük ve orta ölçekli site için yıllık bir veya iki tam sızma testi, yıl boyunca otomatik taramalarla desteklendiğinde yeterlidir. Ödeme, sağlık verisi veya çok sayıda kullanıcı için kimlik doğrulama işleyen yüksek riskli uygulamalar, üç aylık değerlendirmelerden yararlanır.

Bunu anında bir olay olarak ele alın. Bir sahip atayın, bulguyu bilet sisteminizde belgeleyin, aktif olarak istismar edilip edilmediğini değerlendirin, kalıcı düzeltme hemen mümkün değilse geçici bir önlem uygulayın (örneğin bir WAF kuralı) ve kritik şiddet bulguları için genellikle 24–72 saat olan kesin bir son tarih belirleyin.

En az 90 gün pratik bir başlangıç noktasıdır; ancak birçok uyumluluk çerçevesi (PCI-DSS, GDPR, SOC 2) 12 ay önermekte veya gerektirmektedir. Günlüklerin adli soruşturma için yararlı kalması amacıyla üretim ortamınızdan ayrı, kurcalanmaya karşı dayanıklı bir konumda saklandığından emin olun.