Kendi Altyapısını Koruyan Hizmet Sağlayıcı

Siber güvenlik hizmeti satın alma süreçlerinde sıkça sorulan bir soru var: "Bizimle çalışacak firmanın güvenlik olgunluğunu nasıl ölçeriz?" Bunun en kolay ve ücretsiz cevaplarından biri · hizmet sağlayıcının kendi dijital varlığını nasıl yönettiğine bakmaktır. Çünkü bir kuruluşun günlük operasyonunda uyguladığı disiplin · müşterisine sunabileceği güvencenin gerçekçi bir göstergesidir.

Bu yazı bir eleştiri yazısı değil · sektör genelinde gözlenen örüntüleri özetleyen ve ölçülebilir veriyle destekleyen bir durum değerlendirmesidir. Hiçbir firma adı paylaşılmamaktadır. Amaç bireysel bir hedef göstermek değil · alıcının seçim sürecine yardımcı olabilecek nesnel kriterleri öne çıkarmaktır.

Bir Pasif Keşif Çalışması

KAOS motorumuzun pasif keşif modülünde · pazarında yetki almış · siber güvenlik · pentest · veri koruma danışmanlığı sunan 87 kuruluşun ana domainini taradık. Coğrafi dağılım Avrupa · Asya · Orta Doğu · Kuzey Amerika olarak geniş tutuldu. Sadece harici görünür yüzey değerlendirildi. Hiçbir aktif test · hiçbir izinsiz erişim girişimi yapılmamıştır. Standart bir tarayıcı ve curl komutuyla görünür olan veriler özetlenmiştir. Aynı sonuçlar herkes tarafından yeniden üretilebilir niteliktedir.

Bulgu Firma Sayısı Oran
WordPress kullanıyor 61 %70.1
Admin paneli internete açık 54 %62.0
.env veya .env.production dışarıdan erişilebilir 12 %13.7
.git/HEAD veya .git/config indirilebilir 19 %21.8
Login sayfasında rate limit tespit edilemedi 73 %83.9
HTTPS yok ya da TLS 1.0 / 1.1 destekli 9 %10.3
Aydınlatma Metni / Privacy Notice yok ya da link kırık 41 %47.1
Veri Sorumlusu beyanı tespit edilemedi 58 %66.6
HTTP Security Headers eksik 78 %89.6
Stack ifşası gözlendi 66 %75.8

Bu rakamların büyük bölümü · çoğu zaman bilinçli bir tercihten değil operasyonel önceliklendirme · zaman · iş yükü gibi yapısal nedenlerden kaynaklanıyor. Hızla büyüyen bir firma için müşteri projeleri her zaman ön plana geçer · kendi altyapısının düzenli bakımı geride kalabilir. Bu insani ve anlaşılabilir bir tablodur. Sektörün ortak bir görevi · bu bakımı kolaylaştıracak süreçleri ve araçları yaygınlaştırmaktır.

WordPress ve Diğer Hazır Platformlar Üzerine

WordPress · Drupal · Joomla gibi popüler içerik yönetim sistemleri kötü yazılımlar değildir. Doğru ellerde · sıkı yapılandırmayla · düzenli güncellemeyle güvenli biçimde işletilebilirler. Riski oluşturan unsur platformun kendisi değil · işletim disiplinidir:

  • Güncellenmeyen çekirdek · tema · eklentiler.
  • Bilinmeyen üçüncü taraf bağımlılıklar içeren hazır temalar.
  • Çok sayıda eklentinin paralel kullanımıyla genişleyen saldırı yüzeyi.
  • Açık bırakılan xmlrpc.php ve enumeration endpoint'leri.
  • Rate limit · 2FA · IP whitelisting uygulanmayan admin panelleri.

Patchstack 2025 raporuna göre WordPress kaynaklı sızıntıların %96.8'i eklenti tabanlıdır. DSET MDR loglarımızda WordPress login sayfalarına yönelik günlük brute · force deneme ortalaması firma başına 17 binin üzerinde seyretmektedir. Bu sayılar platformun reddedilmesi gerektiğini değil · seçildiğinde ciddi bir sıkılaştırma süreciyle yönetilmesi gerektiğini göstermektedir.

Kaynak Kodda Sır Yönetimi

Modern stack kullanan kuruluşlarda da benzer olgular gözlenebiliyor. Geçtiğimiz dönemde gerçekleştirdiğimiz OSINT taramalarında karşılaşılan tipik bulgu türleri:

  • Public repolarda sabit string olarak kalmış bulut sağlayıcı access key'leri.
  • İstemci tarafı bundle'larında plain text görünen üçüncü taraf API anahtarları.
  • Site root'unda erişilebilir konfigürasyon dosyaları.
  • Subdomain'lerde unutulmuş staging ortamları.

Bu örüntüler kötü niyetten değil · CI/CD süreçlerinde yeterli secret scanning otomasyonunun bulunmamasından kaynaklanmaktadır. gitleaks · trufflehog gibi açık kaynak araçların pipeline'a entegre edilmesi · sorunun büyük bölümünü erken yakalamak için yeterli olabilmektedir.

Veri Koruma Uyumluluğunda Süreklilik

İncelemedeki 87 kuruluşun bir bölümünde Veri Sorumlusu beyanı · Aydınlatma Metni · Çerez Politikası gibi dokümanlar eksik · güncel olmayan ya da kırık link olarak gözlendi. Bu tablo · firmaların uyum kapasitesizliğinden çok · uyum belgelerinin canlı bir süreç olarak değil tek seferlik teslimat olarak ele alınmasından kaynaklanıyor.

GDPR (AB) · KVKK (TR) · CCPA (Kaliforniya) · LGPD (Brezilya) · POPIA (Güney Afrika) ortak bir çerçeveyi öne çıkarır: veri koruma uyumu yaşayan bir süreçtir. Aydınlatma Metni · ROPA · DPO görevleri · DSAR prosedürü · ihlal bildirim süreçleri düzenli güncellenmek ve denetlenmek zorundadır. Bu disiplini kendi kuruluşunda sürekli işletebilen firma · müşterisine de aynı sürekliliği taşıyabilir.

DSET'in Kendi Altyapısında Uyguladığı Pratikler

Sektör tablosunu paylaşırken kendi pratiğimizi de şeffaflıkla ortaya koymak yerinde olur. DSET altyapısında uygulanan kontroller şunlardır:

1. Özel Geliştirilmiş Stack

Web sitemiz hazır CMS üzerinde değil · DSET Mühendislik Ekibi tarafından TypeScript ile yazılmış server side render mimaride çalışmaktadır. Tüm bağımlılıklar otomatik güvenlik tarama hattından geçer · CVE bulunduğunda otomatik PR açılır · npm audit her commit'te tetiklenir.

2. Sırların Merkezi Yönetimi

Hiçbir API key · veritabanı parolası ya da imzalama anahtarı kaynak kodda yer almaz. Tümü environment variable + secret management üzerinden yönetilir. .env dosyaları gitignore kapsamındadır. Her push'ta gitleaks ve trufflehog tarayıcıları çalışır.

3. HTTP Header Sıkılaştırma

Stack ifşası yapan header'lar kapatılmıştır. X · Powered · By yoktur. HSTS · Content Security Policy (nonce based) · Permissions Policy · X · Frame · Options · Cross · Origin · Embedder · Policy · Cross · Origin · Opener · Policy aktif olarak yapılandırılmıştır.

4. Honeypot ve Erken Uyarı Katmanı

/wp · admin · /phpmyadmin · /.env · /.git gibi klasik path'ler sistemimizde mevcut değildir; robots.txt üzerinden Disallow olarak ilan edilir. Bu yüzeylerin yoklanması WAF tetikleyicisi olarak işler · IP loglanır · fail2ban kuralları devreye girer.

5. Çok Yargı Bölgeli Veri Koruma Uyumu

  • Aydınlatma Metni / Privacy Notice güncel · Türkçe ve İngilizce yayında.
  • KVKK (TR) kapsamında VERBİS kaydı tam.
  • GDPR (AB) kapsamında DPO atanmış · ROPA tutuluyor.
  • CCPA ve LGPD kapsamında veri sahibi hakları prosedürü dokümantedir.
  • İletişim formunda açık rıza onay kutusu · IP hash (SHA · 256) · 72 saatlik ihlal bildirim süreci kurgulanmıştır.
  • DSAR talebine 24 saat içinde ilk dönüş hedefi taahhüt edilir.
  • Çerez kategorileri ayrı opt · in mekanizmasıyla yönetilir.

6. Sorumlu Açıklama Kanalı

/.well · known/security.txt dosyamız RFC 9116 standardında yayındadır. Bağımsız araştırmacılar zafiyet bildirimini OpenPGP imzalı kanal üzerinden iletebilir · 48 saat içinde geri dönüş taahhüt edilir.

7. KAOS Motoru ile Sürekli İç Denetim

Kendi sitemizi her gece kendi otonom analiz motorumuz KAOS ile tarıyoruz. Motor savunmamızı bağımsız biçimde test eder · bulgular otomatik issue açar · ekip 24 saat içinde kapatır.

Yöntem Şeffaflığı

Bu yazıdaki tüm bulgular açık kaynak istihbarat (OSINT) yöntemiyle elde edilmiştir. Tek bir oran tahmin değildir. KAOS pasif keşif modülünün ürettiği tablo · bugün herhangi bir kullanıcının bir tarayıcı sekmesinde · curl komutunda · whatweb veya wappalyzer eklentisinde yeniden üretebileceği sonuçlardan oluşur. Hiçbir bulgu kapalı kapı arkasında değildir. Hiçbiri izinsiz erişim gerektirmemiştir. Hiçbir firma kimliği paylaşılmamıştır.

Yazının amacı sektörü karşıya almak değil · alıcının seçim sürecinde nesnel kriter setine sahip olmasını desteklemektir.

Alıcı için Kontrol Listesi

Bir siber güvenlik hizmet sağlayıcısıyla çalışmadan önce şu sorular değerli bir tarama imkânı sunar:

  • Hizmet sağlayıcının kendi sitesinde .env · .git · admin paneli gibi yüzeyler kapalı mı?
  • HTTP güvenlik header setleri tam ve doğru yapılandırılmış mı?
  • Aydınlatma Metni · Çerez Politikası · DSAR prosedürü dokümante ve güncel mi?
  • Veri Sorumlusu kaydı · DPO ataması · ROPA kayıtları talep edildiğinde paylaşılabilir mi?
  • Kendi altyapısında düzenli pentest ve red team tatbikatı yürütülüyor mu?
  • Sorumlu açıklama kanalları (security.txt · PGP) işler durumda mı?

Bu sorular hem hizmet sağlayıcıyla şeffaf bir başlangıç sohbeti açar · hem de seçim sürecini nesnel veriye dayandırır.

DSET Yaklaşımı

DSET olarak müşterilerimize sunduğumuz her kontrolü öncelikle kendi altyapımızda uygulamayı bir mühendislik disiplini olarak benimsiyoruz. Kurumunuzun saldırı yüzeyini ölçtürmek · pentest yaptırmak · GDPR ve KVKK uyumunu tesis etmek · veri ihlali yaşıyorsanız adli bilişim müdahalesini başlatmak için iletişim kanallarımız aşağıdadır.

+90 536 662 38 09 · WhatsApp ve telefon · 7/24 ulaşılabilir.

Mail: [email protected] · Acil güvenlik bildirimi için [email protected] · PGP imzalı kanal aktif.

İlk görüşme ücretsizdir. NDA imzalanır · vakanız 24 saat içinde analiz edilir · teklif 48 saat içinde elinize ulaşır.

"Kendi altyapısını koruyabilen kuruluş · sizinki için daha güvenilir bir partnerdir." · DSET Felsefesi