Kendi Altyapısını Koruyan Hizmet Sağlayıcı · Siber Güvenlik Alımında Nesnel Kriterler
87 hizmet sağlayıcının pasif keşif verileriyle desteklenmiş profesyonel bir durum değerlendirmesi · Avrupa · Asya · Orta Doğu · Kuzey Amerika · GDPR · KVKK · CCPA · LGPD · POPIA çerçevesinde alıcının seçim sürecine yardımcı nesnel kriterler · ve DSET'in kendi altyapısında uyguladığı şeffaf pratikler.
Kendi Altyapısını Koruyan Hizmet Sağlayıcı
Siber güvenlik hizmeti satın alma süreçlerinde sıkça sorulan bir soru var: "Bizimle çalışacak firmanın güvenlik olgunluğunu nasıl ölçeriz?" Bunun en kolay ve ücretsiz cevaplarından biri · hizmet sağlayıcının kendi dijital varlığını nasıl yönettiğine bakmaktır. Çünkü bir kuruluşun günlük operasyonunda uyguladığı disiplin · müşterisine sunabileceği güvencenin gerçekçi bir göstergesidir.
Bu yazı bir eleştiri yazısı değil · sektör genelinde gözlenen örüntüleri özetleyen ve ölçülebilir veriyle destekleyen bir durum değerlendirmesidir. Hiçbir firma adı paylaşılmamaktadır. Amaç bireysel bir hedef göstermek değil · alıcının seçim sürecine yardımcı olabilecek nesnel kriterleri öne çıkarmaktır.
Bir Pasif Keşif Çalışması
KAOS motorumuzun pasif keşif modülünde · pazarında yetki almış · siber güvenlik · pentest · veri koruma danışmanlığı sunan 87 kuruluşun ana domainini taradık. Coğrafi dağılım Avrupa · Asya · Orta Doğu · Kuzey Amerika olarak geniş tutuldu. Sadece harici görünür yüzey değerlendirildi. Hiçbir aktif test · hiçbir izinsiz erişim girişimi yapılmamıştır. Standart bir tarayıcı ve curl komutuyla görünür olan veriler özetlenmiştir. Aynı sonuçlar herkes tarafından yeniden üretilebilir niteliktedir.
| Bulgu | Firma Sayısı | Oran |
|---|---|---|
| WordPress kullanıyor | 61 | %70.1 |
| Admin paneli internete açık | 54 | %62.0 |
.env veya .env.production dışarıdan erişilebilir |
12 | %13.7 |
.git/HEAD veya .git/config indirilebilir |
19 | %21.8 |
| Login sayfasında rate limit tespit edilemedi | 73 | %83.9 |
| HTTPS yok ya da TLS 1.0 / 1.1 destekli | 9 | %10.3 |
| Aydınlatma Metni / Privacy Notice yok ya da link kırık | 41 | %47.1 |
| Veri Sorumlusu beyanı tespit edilemedi | 58 | %66.6 |
| HTTP Security Headers eksik | 78 | %89.6 |
| Stack ifşası gözlendi | 66 | %75.8 |
Bu rakamların büyük bölümü · çoğu zaman bilinçli bir tercihten değil operasyonel önceliklendirme · zaman · iş yükü gibi yapısal nedenlerden kaynaklanıyor. Hızla büyüyen bir firma için müşteri projeleri her zaman ön plana geçer · kendi altyapısının düzenli bakımı geride kalabilir. Bu insani ve anlaşılabilir bir tablodur. Sektörün ortak bir görevi · bu bakımı kolaylaştıracak süreçleri ve araçları yaygınlaştırmaktır.
WordPress ve Diğer Hazır Platformlar Üzerine
WordPress · Drupal · Joomla gibi popüler içerik yönetim sistemleri kötü yazılımlar değildir. Doğru ellerde · sıkı yapılandırmayla · düzenli güncellemeyle güvenli biçimde işletilebilirler. Riski oluşturan unsur platformun kendisi değil · işletim disiplinidir:
- Güncellenmeyen çekirdek · tema · eklentiler.
- Bilinmeyen üçüncü taraf bağımlılıklar içeren hazır temalar.
- Çok sayıda eklentinin paralel kullanımıyla genişleyen saldırı yüzeyi.
- Açık bırakılan
xmlrpc.phpve enumeration endpoint'leri. - Rate limit · 2FA · IP whitelisting uygulanmayan admin panelleri.
Patchstack 2025 raporuna göre WordPress kaynaklı sızıntıların %96.8'i eklenti tabanlıdır. DSET MDR loglarımızda WordPress login sayfalarına yönelik günlük brute · force deneme ortalaması firma başına 17 binin üzerinde seyretmektedir. Bu sayılar platformun reddedilmesi gerektiğini değil · seçildiğinde ciddi bir sıkılaştırma süreciyle yönetilmesi gerektiğini göstermektedir.
Kaynak Kodda Sır Yönetimi
Modern stack kullanan kuruluşlarda da benzer olgular gözlenebiliyor. Geçtiğimiz dönemde gerçekleştirdiğimiz OSINT taramalarında karşılaşılan tipik bulgu türleri:
- Public repolarda sabit string olarak kalmış bulut sağlayıcı access key'leri.
- İstemci tarafı bundle'larında plain text görünen üçüncü taraf API anahtarları.
- Site root'unda erişilebilir konfigürasyon dosyaları.
- Subdomain'lerde unutulmuş staging ortamları.
Bu örüntüler kötü niyetten değil · CI/CD süreçlerinde yeterli secret scanning otomasyonunun bulunmamasından kaynaklanmaktadır. gitleaks · trufflehog gibi açık kaynak araçların pipeline'a entegre edilmesi · sorunun büyük bölümünü erken yakalamak için yeterli olabilmektedir.
Veri Koruma Uyumluluğunda Süreklilik
İncelemedeki 87 kuruluşun bir bölümünde Veri Sorumlusu beyanı · Aydınlatma Metni · Çerez Politikası gibi dokümanlar eksik · güncel olmayan ya da kırık link olarak gözlendi. Bu tablo · firmaların uyum kapasitesizliğinden çok · uyum belgelerinin canlı bir süreç olarak değil tek seferlik teslimat olarak ele alınmasından kaynaklanıyor.
GDPR (AB) · KVKK (TR) · CCPA (Kaliforniya) · LGPD (Brezilya) · POPIA (Güney Afrika) ortak bir çerçeveyi öne çıkarır: veri koruma uyumu yaşayan bir süreçtir. Aydınlatma Metni · ROPA · DPO görevleri · DSAR prosedürü · ihlal bildirim süreçleri düzenli güncellenmek ve denetlenmek zorundadır. Bu disiplini kendi kuruluşunda sürekli işletebilen firma · müşterisine de aynı sürekliliği taşıyabilir.
DSET'in Kendi Altyapısında Uyguladığı Pratikler
Sektör tablosunu paylaşırken kendi pratiğimizi de şeffaflıkla ortaya koymak yerinde olur. DSET altyapısında uygulanan kontroller şunlardır:
1. Özel Geliştirilmiş Stack
Web sitemiz hazır CMS üzerinde değil · DSET Mühendislik Ekibi tarafından TypeScript ile yazılmış server side render mimaride çalışmaktadır. Tüm bağımlılıklar otomatik güvenlik tarama hattından geçer · CVE bulunduğunda otomatik PR açılır · npm audit her commit'te tetiklenir.
2. Sırların Merkezi Yönetimi
Hiçbir API key · veritabanı parolası ya da imzalama anahtarı kaynak kodda yer almaz. Tümü environment variable + secret management üzerinden yönetilir. .env dosyaları gitignore kapsamındadır. Her push'ta gitleaks ve trufflehog tarayıcıları çalışır.
3. HTTP Header Sıkılaştırma
Stack ifşası yapan header'lar kapatılmıştır. X · Powered · By yoktur. HSTS · Content Security Policy (nonce based) · Permissions Policy · X · Frame · Options · Cross · Origin · Embedder · Policy · Cross · Origin · Opener · Policy aktif olarak yapılandırılmıştır.
4. Honeypot ve Erken Uyarı Katmanı
/wp · admin · /phpmyadmin · /.env · /.git gibi klasik path'ler sistemimizde mevcut değildir; robots.txt üzerinden Disallow olarak ilan edilir. Bu yüzeylerin yoklanması WAF tetikleyicisi olarak işler · IP loglanır · fail2ban kuralları devreye girer.
5. Çok Yargı Bölgeli Veri Koruma Uyumu
- Aydınlatma Metni / Privacy Notice güncel · Türkçe ve İngilizce yayında.
- KVKK (TR) kapsamında VERBİS kaydı tam.
- GDPR (AB) kapsamında DPO atanmış · ROPA tutuluyor.
- CCPA ve LGPD kapsamında veri sahibi hakları prosedürü dokümantedir.
- İletişim formunda açık rıza onay kutusu · IP hash (SHA · 256) · 72 saatlik ihlal bildirim süreci kurgulanmıştır.
- DSAR talebine 24 saat içinde ilk dönüş hedefi taahhüt edilir.
- Çerez kategorileri ayrı opt · in mekanizmasıyla yönetilir.
6. Sorumlu Açıklama Kanalı
/.well · known/security.txt dosyamız RFC 9116 standardında yayındadır. Bağımsız araştırmacılar zafiyet bildirimini OpenPGP imzalı kanal üzerinden iletebilir · 48 saat içinde geri dönüş taahhüt edilir.
7. KAOS Motoru ile Sürekli İç Denetim
Kendi sitemizi her gece kendi otonom analiz motorumuz KAOS ile tarıyoruz. Motor savunmamızı bağımsız biçimde test eder · bulgular otomatik issue açar · ekip 24 saat içinde kapatır.
Yöntem Şeffaflığı
Bu yazıdaki tüm bulgular açık kaynak istihbarat (OSINT) yöntemiyle elde edilmiştir. Tek bir oran tahmin değildir. KAOS pasif keşif modülünün ürettiği tablo · bugün herhangi bir kullanıcının bir tarayıcı sekmesinde · curl komutunda · whatweb veya wappalyzer eklentisinde yeniden üretebileceği sonuçlardan oluşur. Hiçbir bulgu kapalı kapı arkasında değildir. Hiçbiri izinsiz erişim gerektirmemiştir. Hiçbir firma kimliği paylaşılmamıştır.
Yazının amacı sektörü karşıya almak değil · alıcının seçim sürecinde nesnel kriter setine sahip olmasını desteklemektir.
Alıcı için Kontrol Listesi
Bir siber güvenlik hizmet sağlayıcısıyla çalışmadan önce şu sorular değerli bir tarama imkânı sunar:
- Hizmet sağlayıcının kendi sitesinde
.env·.git· admin paneli gibi yüzeyler kapalı mı? - HTTP güvenlik header setleri tam ve doğru yapılandırılmış mı?
- Aydınlatma Metni · Çerez Politikası · DSAR prosedürü dokümante ve güncel mi?
- Veri Sorumlusu kaydı · DPO ataması · ROPA kayıtları talep edildiğinde paylaşılabilir mi?
- Kendi altyapısında düzenli pentest ve red team tatbikatı yürütülüyor mu?
- Sorumlu açıklama kanalları (security.txt · PGP) işler durumda mı?
Bu sorular hem hizmet sağlayıcıyla şeffaf bir başlangıç sohbeti açar · hem de seçim sürecini nesnel veriye dayandırır.
DSET Yaklaşımı
DSET olarak müşterilerimize sunduğumuz her kontrolü öncelikle kendi altyapımızda uygulamayı bir mühendislik disiplini olarak benimsiyoruz. Kurumunuzun saldırı yüzeyini ölçtürmek · pentest yaptırmak · GDPR ve KVKK uyumunu tesis etmek · veri ihlali yaşıyorsanız adli bilişim müdahalesini başlatmak için iletişim kanallarımız aşağıdadır.
+90 536 662 38 09 · WhatsApp ve telefon · 7/24 ulaşılabilir.
Mail: [email protected] · Acil güvenlik bildirimi için [email protected] · PGP imzalı kanal aktif.
İlk görüşme ücretsizdir. NDA imzalanır · vakanız 24 saat içinde analiz edilir · teklif 48 saat içinde elinize ulaşır.
"Kendi altyapısını koruyabilen kuruluş · sizinki için daha güvenilir bir partnerdir." · DSET Felsefesi
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.