Bir senaryoyla başlayalım. Orta ölçekli bir üreticide muhasebe sorumlusu, bankasından geldiğini sandığı bir e-postadaki bağlantıya tıklar. Sayfa gerçeğinin aynısıdır, kullanıcı adını ve parolasını girer. Ertesi gün aynı bilgilerle kurumun VPN'ine geçerli bir oturum açılır. EDR alarm vermez, çünkü ortada geçerli bir kullanıcı vardır. Üç gün sonra dosya sunucuları şifrelenir.
Bu zincirin hiçbir adımında egzotik bir zafiyet yoktur. Sıfırıncı gün açığı yoktur, gelişmiş bir exploit yoktur. Sadece çalınmış bir parola ve onu meşru gören bir sistem vardır. Soru şu: en pahalı uç nokta ürünü neden bunu durduramadı?
Bu tarz olaylar sanıldığından çok daha yaygın. 2022'de bir ride-hailing devinde saldırgan, sosyal mühendislikle bir taşeron hesabını ele geçirdi, kurumun VPN'ine girdi, iç ağda bir PowerShell betiğine gömülü ayrıcalıklı hesap parolasını buldu ve neredeyse tüm bulut ve iç sistemlere yayıldı. Ortada sıfırıncı gün yoktu, çalınmış bir kimlik ve gereğinden geniş yetkiler vardı. Aynı yapının küçük ölçekli hali, her hafta Türkiye'de bir yerlerde tekrarlanıyor.
Kategori spam'den e-posta güvenliğine evrildi
E-posta tehdidi üç evreden geçti. 2000'lerde sorunun adı spam'di, hacimsel bir rahatsızlıktı, çözümün adı antispam'di. Bugün sorun oltalama, BEC ve hesap ele geçirmeyi içeren hedefli bir saldırı yüzeyi; kategorinin adı e-posta güvenliği. Şimdi üçüncü evredeyiz: yapay zeka destekli saldırılar.
Üçüncü evre öncekilerden farklı, çünkü saldırıyı insan yazısından ayırmamızı sağlayan ipuçlarını yok ediyor. Eskiden bir oltalama e-postasını yazım hatasından, bozuk Türkçesinden tanırdık. Yapay zeka bu ipuçlarını siliyor. Mesaj kusursuz dilde, kurbana özel ve bağlam farkında geliyor. Deepfake ses bir telefon görüşmesini taklit edebiliyor. Saldırı insandan ayırt edilemez hale geldikçe, tek bir filtreye güvenmek giderek riskli oluyor.
Yapay zeka argümanı, beklenenin aksine "önce mimari" tezini zayıflatmaz, güçlendirir. Kusursuz bir oltalama e-postası bile, MFA ve sıkı segmentasyon ayaktayken tek başına sonuç vermez. Çalınan parola ikinci faktöre takılır; takılmazsa bile yatay yayılım zonların duvarına çarpar. Tek bir kusursuz mesajın bütün kurumu düşürebilmesi için arkasında savunmasız bir mimari olması gerekir.
Güvenlik bir ürün değil, sürdürülen bir disiplindir
Sektörün satış dili güvenliği bir ürün gibi konuşur. Şu kutuyu al, şu lisansı yenile, korunursun. Gerçekte güvenlik bir durum değil, bir süreçtir. Bir firewall kurulduğu gün doğrudur. Üç ay sonra kural seti, ardı ardına açılan acil erişim taleplerinin altında çürür. Bir yama politikası yazıldığı gün geçerlidir; uygulayan kimse yoksa altı ay sonra anlamını yitirir.
Değeri üreten şey işletimdir; kurulum yalnızca başlangıç noktasıdır. İyi geçen ay, hiçbir şeyin olmadığı aydır. O sessizliği üreten görünmez iş, her gün sürdürülen triyaj, yama, denetim ve gözden geçirmedir.
Tek yetkili otorite ve kuvvetler ayrılığı
vCTO modelinin omurgası bir yönetişim ilkesidir: kuvvetler ayrılığı. Bilgi güvenliğinde bu ilke üç parçadan oluşur. Görevler ayrılığı, kritik bir sürecin baştan sona tek kişinin kontrolünde olmamasını sağlar. En az ayrıcalık, her kimliğe yalnızca işini yapacak asgari yetkiyi verir. Kullanım ile kontrolün ayrılması ise en kritik olanıdır: bir sistemi kullanan kişi, aynı sistemin güvenliğini, loglarını ve yedeklerini kontrol edemez.
Operasyonel karşılığı tek yetkili otorite modelidir. Sorumlu olunan katmanların ayrıcalıklı erişimi ve yapılandırma yetkisi tek elde toplanır; kullanan taraflar yetkileriyle sınırlı ve loglu çalışır. Bu bir bürokrasi egzersizi sayılmamalı, matematiksel bir zorunluluktur. Bir kişide hem kullanma, hem güvenliği yönetme, hem loglara erişme yetkisi birleştiğinde üç savunma aynı anda çöker: önleme çöker (kişi kendi kısıtlarını kaldırabilir), tespit çöker (kendi izini silebilir), hesap verebilirlik çöker (kim ne yaptı ayrıştırılamaz).
Standartlar da tam olarak bunu şart koşar. ISO/IEC 27001:2022 A.5.3 görevler ayrılığını, A.8.2 ayrıcalıklı erişim yönetimini tanımlar. PCI-DSS v4.0.1 Gereksinim 7 ve 8 need-to-know ve benzersiz kimlik ister. NIST 800-53 AC-5 ve AC-6 aynı ayrımı kurar. Bu çerçevelerin hiçbiri "güçlü bir ürün alın" demez, "kullananı korumadan ayırın" der.
Kamuya yansıyan olaylar bu ilkenin neden var olduğunu gösteriyor. Yukarıda anlattığım 2022 olayında saldırgan, tek bir taşeron hesabından yola çıkıp ayrıcalıklı erişim yönetim sistemine kadar ilerleyebildi, çünkü ayrıcalık aşırı genişti. 2023'te bir kimlik yönetimi sağlayıcısının müşteri destek sistemine çalınan bir kimlikle erişildi ve buradan müşteri verilerine ulaşıldı. İki olayda da başarısız olan şey ürün değil, yetki mimarisiydi. Sıkı bir en az ayrıcalık modeli, ilk erişimin etki alanını (blast radius) baştan daraltırdı.
Bir de pratik tarafı var. İki ayrı ayrıcalıklı otorite (kurumun kendi admini ve dış sağlayıcı) olduğunda, bir arıza anında sorumlu belirsizleşir. Çift başlı yönetimde sorumluluk takip edilemez. Bu yüzden sorumlu olduğumuz katmanların tek yetkili otoritesi biziz; günlük operasyon ve L1 izleme kurumun kendi ekibinde kalır. Ekip gözetir, biz icra ederiz. Acil durumda dahi ayrıcalıklı işlem tek elde kalır; kurum ekibinin rolü izolasyon, fiziksel müdahale ve eskalasyondur.
Envanterinizde olmayan bir varlığı koruyamazsınız
Sahadaki en öğretici bulgular çoğu zaman en beklenmedik yerden gelir. Yakın zamanlı bir çalışmada iç omurgayı çelikleştirdik: yedekli Active Directory, kapsamlı sıkılaştırma politikaları, çökme testinden geçmiş yüksek erişilebilir sanallaştırma kümesi, tüm sunucuları kapsayan merkezi güvenlik izleme. İç kapı sağlamdı. En yüksek kaldıraçlı risk ise beklenmedik bir yerden, dış kapıdan çıktı.
Kurumun onlarca markalı alan adı vardı. Web siteleri, e-posta, marka kimliği, hepsi bu alan adlarına bağlıydı. Ve bu varlık sınıfı hiçbir kurumsal envanterde görünmüyordu. Tamamı tek bir çalışanın kendi adına açtığı bir bayi hesabında tutuluyordu; o hesabın kapısı ise kişisel bir telefona gelen SMS koduyla korunuyordu. Burada kötü niyetli bir kişi aramak yanlış olur. İlgili çalışan bir ihtiyacı pratik biçimde çözmüş, kimse ondan resmi olarak kurumsal bir süreç istememişti. Sorunun kaynağı, bu varlık sınıfı için hiç sahiplik tanımlanmamış olmasıydı.
İş açısından anlamı ağır. O çalışanın ayrılması, hesabı devretmemesi ya da telefon hattının SIM-swap ile ele geçirilmesi durumunda kurum, bütün markalarının internet kimliği üzerindeki idari kontrolü kaybedebilirdi. Alan adlarının yenilenmesi tek kişinin dikkatine asılıydı; kurumsal takvimde hiçbir kayıt yoktu. Süresi biten bir alan üçüncü kişilerce kapılıp marka taklidi veya kimlik avı için kullanılabilirdi.
Çözüm nettir ve kişisel bir sonuç doğurmaz: alan adı portföyünü kurumsal, rol bazlı ve denetlenebilir bir zemine taşımak. Hesap kurumsal tüzel kişiliğe devredilir, SMS yerine uygulama tabanlı (TOTP) veya donanım anahtarı (FIDO2) doğrulamaya geçilir, her domain için otomatik yenileme ve uyarı kurulur, her işlem değiştirilemez bir denetim izine yazılır. Biz bunu kendi yönetilen panelimiz Ops Hub üzerinden yapıyoruz: rol bazlı erişim (RBAC), TOTP tabanlı 2FA, otomatik yenileme takibi ve immutable audit trail. Böylece portföy tek elden, kurumsal ve görünür hale gelir. Buradaki ders alan adlarıyla sınırlı değil. Her kurumda, kimsenin envantere almadığı ve tek kişinin dikkatine asılı bir varlık sınıfı vardır. Güvenlik çalışması önce onu görünür kılmakla başlar.
E-posta kimlik doğrulaması: bedava ama çoğunlukla yapılmamış
Aynı çalışmada aktif e-posta gönderen alanların spoofing'e açık olduğunu gördük. Bir markanın adına sahte e-posta gönderilmesini engelleyen üç mekanizma vardır. SPF hangi sunucuların o alan adından mail gönderebileceğini belirler. DKIM her mesaja sahtelenemez bir imza basar. DMARC ilk ikisi tutmadığında ne yapılacağını söyler ve size rapor gönderir. Üçü birlikte olmadan koruma eksik kalır.
Sahada tablo çoğunlukla aynı: SPF var, DKIM birkaç alanda var, DMARC hiçbir yerde yok. DMARC yoksa alıcı taraf hizalama politikası uygulayamaz ve sizin adınıza atılan sahte e-postaların raporu size hiç ulaşmaz. Yani sahtekarlık hem engelsiz hem görünmezdir. Oysa bunu kapatmak ücretsizdir; yalnızca doğru DNS kayıtlarının yayınlanmasını gerektirir.
Kapatma disiplini kademeli olmalı. Doğrudan reddetmeyle (p=reject) başlamak, ERP bildirimleri veya web formları gibi meşru e-postaları da engelleyebilir. Bu yüzden önce izleme (p=none, raporlama açık) ile tüm gönderen kaynaklar görünür kılınır, meşru olanlar doğrulanır. Ardından karantina (p=quarantine) kademeli yüzdeyle devreye alınır. Raporlar temizse reddetmeye (p=reject) geçilir. Mail göndermeyen parked alanlar ise tek seferde savunmacı olarak kilitlenir (SPF -all, DMARC p=reject, null-MX): bunların engelleyecek meşru maili olmadığından risk sıfırdır ve portföyün büyük bölümü tek hamlede saldırı yüzeyinden çıkar.
Mimari önce çalışır: uzaktan erişimin yeniden tasarımı
Bir fidye olayının kök nedeni çoğunlukla kötü yönetilen bir uzaktan erişimdir. Herkesin aynı geniş VPN'e girdiği, paylaşılan kimlik bilgilerinin dolaştığı, kimin ne zaman nereye eriştiğinin loglanmadığı bir yapı, tek bir çalınmış parolayla bütün ağı açar. Bu yüzden mimariyi düzeltmeden ürün eklemek boşa yatırımdır.
Doğru tasarımda genel VPN kaldırılır. Uzaktan erişim kişiye özel tanımlanır, MFA zorunludur, kullanıcı yalnızca ihtiyacı olan segmente iner (düz ağa değil), tüm oturumlar loglanır ve gerektiğinde süreli (JIT) açılır. Ortak hesap yoktur; herkes kendi isimli hesabıyla girer, kurulum bittiğinde bu hesaplar bir sonraki bakıma kadar devre dışı bırakılır. Bir uygulama sorumlusuna bile sunucuda yerel yönetici hakkı verilmez; yetkisi uygulama katmanıyla sınırlı kalır. Aynı saldırı vektörünün ikinci kez açılması böylece yapısal olarak engellenir. Ürün değil, tasarım korur.
Açık kaynak öncelikli, ama pragmatik
Uygun olan her yerde kurumları açık kaynak çözümlere geçiriyoruz: Proxmox, Wazuh, Zimbra, Nextcloud, PBS. Değer iki yönlü. Lisans maliyeti ortadan kalkar, masraf düşer. Kaynak kodun denetlenebilirliği ve tedarikçi kilidinin olmaması kontrolü artırır. Burada bir uyarı gerekir: açık kaynak otomatik olarak daha güvenli değildir. Güvenliği üreten şey şeffaflık, denetlenebilirlik ve doğru yapılandırmadır; lisans modeli tek başına garanti sunmaz. Bu yüzden dogmatik davranmıyoruz. Açık kaynak ihtiyaca uyduğu yerde kullanılır; uymadığı yerde (Proofpoint ve FortiGate gibi) en doğru ticari ürün konumlandırılır.
Bankacılık disiplinini orta ölçeğe taşımak
Bu yaklaşımın arkasında somut bir miras var. 2015'ten bu yana 50'den fazla PCI DSS sertifikasyonu yürüttük, Türkiye'nin ilk Level 1 servis sağlayıcısı olarak sıfır başarısızlıkla. ISO/IEC 27001 tarafında iki TSE sertifikalı iç denetçimiz görev yapıyor. E-posta güvenliği tarafında 17 yılı aşkın deneyimimiz var: 2007'den itibaren Barracuda'nın Türkiye bayisi, 2008'den distribütörü olarak bu kategorinin spam'den e-posta güvenliğine evrimini birinci elden yaşadık. Bugün Proofpoint partneri olarak aynı işi bir üst seviyede sürdürüyoruz.
En sıkı regülasyonlu sektörün standartları, aynı tehdide maruz kalan ama daha az regüle edilen bir kuruma da uygulanabilir. 7545 sayılı Siber Güvenlik Kanunu'nun Mart 2025'te yürürlüğe girmesiyle, özel sektörün güvenlik yükümlülükleri de artık yasal bir zemine oturuyor. Bankacılık ve elektronik para kuruluşlarında olgunlaşan disiplin, orta ölçekli bir üreticide de aynı işi görür.
Kurulum bir kez, güvenlik her gün
Bir altyapı bir kez kurulur, güvenlik her gün korunur. İç kapıyı çelikleştirebilirsiniz, ama envanterinize hiç almadığınız bir varlığı koruyamazsınız. Kuvvetler ayrılığı kağıt üzerinde kalırsa iş görmez; her gün işletilmesi gerekir. Kurulumun yatırımını koruyan şey, o yatırımın üzerine her gün eklenen sürekliliktir. vCTO modelinde bu süreklilik, dışarıdan satın alınan bir hizmet olmaktan çıkar ve kurumun içine yerleşen bir sorumluluğa dönüşür. İyi giden ayların sessizliğini üreten de budur.

