Kurumsal antivirüs, artık şirketler için yalnızca bir yazılım yatırımı değil; KVKK uyumluluğu, müşteri denetimleri, ISO 27001 gereksinimleri ve siber sigorta şartları nedeniyle bir zorunluluk haline geldi. Birçok firma kurumsal antivirüs satın alıyor ancak doğru yapılandırılmadığında bu yatırım, gerçek güvenlik yerine sadece “kâğıt üzerinde” bir tedbir olarak kalıyor.

Bu yazıda kurumsal antivirüs kullanımının neden kritik olduğunu, yanlış seçimlerin hangi riskleri getirdiğini ve KVKK ile uyumlu bir uç nokta güvenliği yapısının nasıl kurulabileceğini adım adım anlatıyoruz.

“Antivirüs lisansı satın almak tek başına güvenlik değildir. Asıl fark, kurumsal antivirüs yapısının nasıl projelendirildiği ve yönetildiğidir.”

Kurumsal Antivirüs Nedir ve Neden Şirketler İçin Bu Kadar Önemli?

Klasik antivirüs; zararlı yazılımları imza veritabanıyla karşılaştırarak engelleyen, çoğu zaman tek bir bilgisayara kurulan bir yazılımdır. Kurumsal antivirüs ise; merkezi yönetim, politika uygulama, raporlama, loglama ve denetim desteği sağlayan, uç nokta güvenliğinin temel bileşenidir.

Böyle bir yapıda kurumsal antivirüs çözümleri sadece virüs silmez; şirket genelinde standart bir güvenlik politikası uygulanmasını ve bunun kanıtlanabilir olmasını sağlar.

Daha geniş bir çerçeve için Gartner’ın uç nokta güvenliği raporlarını inceleyebilirsiniz: Gartner Güvenlik Raporları.

Kurumsal Antivirüs Neden Zorunlu Hale Geldi?

Bugün birçok şirket kurumsal antivirüs kararını kendi içindeki teknik ihtiyaçlardan çok dış baskılar nedeniyle veriyor. Özellikle:

• Müşteri sözleşmelerindeki “uç noktalarda antivirüs kullanılacaktır” maddeleri,
• KVKK teknik tedbirleri kapsamında zararlı yazılımlara karşı koruma gerekliliği,
• ISO 27001 A.12 ve A.13 kontrolleri,
• Siber sigorta poliçelerinde antivirüs ve güncellik şartları,
• Kurumsal müşterilerin tedarikçi güvenlik anketleri,

kurumsal antivirüs kullanımını fiilen zorunlu hale getiriyor. Ancak buradaki kritik nokta şu: Eğer bu yatırım yalnızca “checklist doldurmak” için yapılırsa, şirket gerçek riski azaltmak yerine sadece kâğıt üstünde güvenlik oluşturmuş olur.

KVKK ve ISO 27001 Kurumsal Antivirüsten Ne Bekliyor?

KVKK, teknik ve idari tedbirler arasında zararlı yazılımlara karşı koruma, log kayıtlarının tutulması ve yetkisiz erişimlerin engellenmesi gibi başlıkları sayıyor. Bunların tamamı doğrudan kurumsal antivirüs yapısının kapsamına giriyor.

Benzer şekilde ISO 27001; A.12 ve A.13 kontrol maddeleriyle zararlı yazılım, yama yönetimi ve erişim kontrollerine odaklanıyor. Denetçiler, sadece “Antivirüsümüz var” cümlesini duymak istemiyor; kurumsal antivirüs politikalarınızı, loglarınızı ve raporlarınızı görmek istiyor.

Yanlış Kurumsal Antivirüs Tercihinin 7 Kritik Riski

Kurumsal Antivirüs Seçerken Dikkat Etmeniz Gereken 8 Kriter

Doğru kurumsal antivirüs çözümlerini seçerken aşağıdaki kriterlere mutlaka bakmalısınız:

• Merkezi yönetim konsolu: Tüm cihazların durumunu tek panelden görebilmek.
• Politika esnekliği: Departman bazlı farklı kuralları kolayca tanımlayabilmek.
• Performans: Kullanıcıların cihazlarını yavaşlatmayan, şikâyet oluşturmayan bir kurumsal antivirüs.
• Raporlama ve loglama: KVKK, ISO ve müşteri denetimleri için okunabilir raporlar üretebilmek.
• EDR / XDR entegrasyonu: İleride EDR’e geçmek istediğinizde aynı ekosistemde kalabilmek.
• Yerel destek ve partner ağı: Olay anında hızlı ulaşılabilirlik.
• Otomasyon yetenekleri: Şüpheli durumlarda otomatik karantina, izolasyon ve bildirim.
• Lisanslama modeli: Kullanıcı, cihaz veya sunucu bazlı modellerin şirketinizin büyüme planına uygun olması.

IT Yöneticileri İçin Kurumsal Antivirüs Kontrol Listesi

Aşağıdaki sorular, mevcut kurumsal antivirüs yapınızın gerçekten iş görüp görmediğini anlamanız için pratik bir testtir:

• Tüm bilgisayar ve sunucuların antivirüs durumu tek ekranda görünüyor mu?
• Kritik olaylarda size otomatik e-posta veya bildirim geliyor mu?
• Son 3 ayda engellenen tehditlerle ilgili yönetime verebileceğiniz net bir rapor var mı?
• Departman bazlı farklı politikalar (muhasebe, yazılım, misafir cihazlar vb.) tanımlı mı?
• Yeni kullanıcı işe başladığında kurumsal antivirüs otomatik mi kuruluyor?
• Lisans bitiş tarihleri ve yenileme planı IT tarafında net mi?
• Antivirüs, firewall, EDR ve e-posta güvenliği gibi diğer ürünlerle entegre mi?

İnvekor Kurumsal Antivirüs ve Uç Nokta Güvenliği Çözümleri

İnvekor olarak kurumsal antivirüs konusunu sadece ürün önerisi olarak değil, uçtan uca bir proje olarak ele alıyoruz. Uç nokta güvenliği ve antivirüs hizmetlerimiz kapsamında:

• Mevcut yapınızı ve envanterinizi analiz ediyoruz.
• Şirketinize özel kurumsal antivirüs politikaları tasarlıyoruz.
• Merkezi yönetim konsolunu kurup yapılandırıyoruz.
• IT ekibinize kullanım ve raporlama eğitimi veriyoruz.
• İsterseniz yönetilen hizmet modeliyle uyarıları sizin yerinize biz izliyoruz.
• KVKK ve ISO 27001 denetimleri için rapor üretilebilir bir yapı tasarlıyoruz.

Ayrıca, geleneksel antivirüsün ötesine geçmek isteyen firmalar için EDR nedir? Antivirüs Yetmiyor: EDR’ın 7 Kritik Farkı başlıklı yazımızda, kurumsal antivirüs sonrası adımları da detaylandırıyoruz.

Sonuç: Sadece Lisans Değil, Güvenlik Ekosistemi

Özetle; kurumsal antivirüs günümüzde lüks değil, zorunluluktur. Ancak sadece lisans satın almak değil; doğru ürün seçimi, merkezi yönetim, politikalar, loglama ve raporlama ile desteklenen bir güvenlik ekosistemi kurmak gerekir.

Doğru kurgulanmış bir kurumsal antivirüs altyapısı; KVKK uyumluluğunu güçlendirir, müşteri denetimlerinde elinizi rahatlatır, IT ekibinin iş yükünü azaltır ve en önemlisi şirket verilerinizi korur.

Sosyal Mühendislik Nedir?

Sosyal mühendislik, insanları manipüle ederek gizli bilgilere erişme, sistemlere sızma veya para transferi yaptırma sanatıdır. Saldırganlar teknik güvenlik önlemlerini aşmak yerine, en zayıf halkayı hedef alır: İnsan.

Güvenlik duvarları, antivirüsler, şifreli bağlantılar… Hepsi önemli. Ama bir çalışan telefonda “IT departmanından arıyorum, şifrenizi doğrulamamız gerekiyor” diyen birine şifresini verirse, tüm bu önlemler işe yaramaz.

“En sofistike güvenlik sistemleri bile, bir çalışanın ‘Tamam, size yardımcı olayım’ demesiyle aşılabilir.”

Ortak Nokta: İnsan Faktörü

Bu 10 vakayı incelediğimizde ortak bir tema görüyoruz: Teknoloji değil, insan hedef alındı.

Saldırganlar şunları kullandı:

• Aciliyet: “Hemen yapın”, “Bugün son gün”
• Otorite: “CEO’dan”, “IT’den”, “Bankadan”
• Korku: “Hesabınız kapatılacak”, “Sisteminiz ele geçirildi”
• Merak: “Maaş bordronuz”, “Gizli dosya”
• Güven: Tanıdık isimler, logolar, formatlar

Bu psikolojik tetikleyiciler, en dikkatli çalışanları bile kandırabilir. Çünkü günlük iş akışında, her e-postayı, her telefonu, her mesajı derinlemesine sorgulamak mümkün değil.

Sosyal Mühendislik Testi Neden Önemli?

Eğitim vermek iyi. Ama eğitimin işe yarayıp yaramadığını nasıl ölçersiniz?

Sosyal mühendislik testi, gerçek saldırganların kullandığı teknikleri kontrollü bir ortamda simüle eder:

• Phishing testleri: Sahte e-postalar göndererek kim tıklıyor, kim bilgi giriyor?
• Vishing testleri: Sahte telefon çağrıları ile kim şifre paylaşıyor?
• Smishing testleri: SMS tabanlı saldırılara karşı farkındalık
• Fiziksel testler: USB bırakma, sahte teknisyen senaryoları

Test sonuçları size şunları gösterir:

• Hangi departmanlar daha savunmasız?
• Hangi saldırı türleri daha etkili?
• Eğitimler gerçekten işe yarıyor mu?
• Kritik pozisyonlardaki kişiler ne kadar dikkatli?

İnvekor Sosyal Mühendislik Testi Yaklaşımı

İnvekor olarak, tek seferlik “phishing maili gönderip rapor yazmak”tan çok daha kapsamlı bir yaklaşım sunuyoruz:

Sonuç

Sosyal mühendislik saldırıları, en pahalı güvenlik yatırımlarını bile işe yaramaz hale getirebilir. Çünkü en zayıf halka her zaman insan.

Bu yazıdaki 10 vaka, gerçek Türkiye’de yaşanan olaylardan derlendi. Ortak noktaları:

• Tümü önlenebilir saldırılardı
• Tümünde farkındalık eksikliği vardı
• Tümü büyük maddi kayıplara yol açtı
• Tümünde itibar zedelenmesi yaşandı
• Tümü test ve eğitimle engellenebilirdi

Şirketinizde benzer bir olay yaşanmadan önce harekete geçin. Çalışanlarınızın gerçek bir saldırıda nasıl davranacağını kontrollü bir ortamda test edin.

2024 yılı, Türkiye’de siber güvenlik tarihi açısından bir dönüm noktası oldu. WatchGuard verilerine göre, sadece bir yılda 1,5 milyona yakın siber saldırı gerçekleşti – bu her gün 4.000’den fazla saldırı demek. Global çapta ise siber saldırıların maliyeti 9,5 trilyon dolara ulaştı ve bu rakamın 2025’te 10,5 trilyonu aşması bekleniyor.

Mart 2025’te yürürlüğe giren Siber Güvenlik Kanunu ile birlikte, artık düzenli güvenlik testleri yapmak birçok sektör için yasal zorunluluk haline geldi. KVKK denetimleri sıklaştı, ISO 27001 sertifikasyonu için sızma testi raporu şart, bankacılık ve finans sektöründe BDDK düzenlemeleri var.

Sonuç? Her geçen gün daha fazla şirket “sızma testi” satın alıyor.

Ama işin gerçeği şu: Çoğu firma yanlış satın alıyor ve bunun farkında bile değil.

Bu yazıda, 7 kritik hatayı gerçek hikayelerle anlatacağım. Bu hatalardan herhangi biri, sizin paranızı çarçur edebilir, şirketinizi riske atabilir ve en kötüsü – gerçek bir siber saldırıya karşı savunmasız bırakabilir.

HATA #1: “En Ucuzu Alalım, Nasılsa Aynı İş”

Ankara’da faaliyet gösteren 120 kişilik bir yazılım şirketi. Müşterileri için CRM sistemi geliştiriyorlar, içinde yüzlerce kurumun hassas verileri var. ISO 27001 denetimi yaklaşıyor, denetçi sızma testi raporu istiyor.

Satın alma müdürü görevlendiriliyor. 5 firmadan teklif alıyor:

CFO bakıyor, “Hepsi sızma testi yazıyor, fark ne ki?” diyor. En ucuzu seçiyorlar.

İki gün sonra ekip geliyor. Bir laptop’la ofise geliyorlar, köşeye oturuyorlar. Akşam gidiyorlar. Ertesi gün tekrar geliyorlar, öğlene kadar kalıyorlar, gidiyorlar. Üçüncü gün rapor mailde: “Kapsamlı Sızma Testi Raporu – 500 Zafiyet Tespit Edildi”

IT müdürü rapora bakıyor ve donup kalıyor. 500 açık! Panik başlıyor. Yönetimi çağırıyor, “Acil toplanın, sistem batmış!” diyor. Sistemleri kapatmayı bile konuşuyorlar.

Bir arkadaş öneriyor: “Ben tanıdık bir siber güvenlik uzmanı çağırayım, bir baksın.” Uzman geliyor, rapora göz atıyor ve gülüyor: “480 tanesi false positive. Nessus taraması yapmışlar, hiç doğrulamamışlar. Gerçek sorun 5 tane var, onlar da ‘Low Risk’ seviyesinde.”

Daha da kötüsü, CRM sistemindeki kritik bir authorization açığı – ki bir kullanıcı başka kurumun verilerine erişebilirdi – hiç bulunamamış. Çünkü bu tür mantık hataları ancak manuel testle, business logic’i anlayarak bulunabilir.

İlk başta 75.000 TL’lik kaliteli hizmeti alsalardı, hem daha ucuza gelecekti hem de gerçekten güvende olacaklardı.

Peki Doğru Fiyat Nedir?

Piyasa gerçekleri şöyle (2024-2025 Türkiye):

HATA #2: “Manuel mi Otomatik mi? Fark Eder mi?”

İstanbul’da bir finans teknolojisi şirketi. Ödeme altyapısı sağlıyorlar, günde 50.000 işlem yapılıyor. BDDK denetimi için sızma testi zorunlu.

Firma buluyor, sözleşme yapılıyor: “Kapsamlı penetrasyon testi, tüm sistemler dahil.” Fiyat da güzel: 65.000 TL.

Test ekibi geliyor, 4 gün şirkette kalıyorlar. Laptop’lardan sürekli bir şeyler çalışıyor, ekranlar kayıyor. IT müdürü merakla soruyor: “Ne yapıyorsunuz?” Ekip lideri: “Zafiyet taraması yapıyoruz, tüm sistemleri tarıyoruz.”

Rapor geliyor. 120 sayfa. Renkli grafikler, tablolar, CVE kodları, patch önerileri. Her açık için “CVSS Score” var, risk seviyeleri belirtilmiş. Görünüşte profesyonel.

Ama bir sorun var: Raporda sadece versiyon zafiyetleri, açık portlar, eski SSL sertifikaları var. Ödeme sistemindeki asıl tehlike – amount manipulation (tutar manipülasyonu) açığı – hiç bulunamamış.

Ne demek bu? Basitçe: Bir kullanıcı, sepetinde 1000 TL’lik ürün varken, ödeme sırasında POST request’i manipüle edip 1 TL ödeyebilirdi. Sisteme 1 TL kaydedilirdi ama 1000 TL’lik ürün teslim edilirdi.

Bu açığı nasıl bulursunuz? Manuel test ile. Bir uzman, ödeme akışını adım adım takip eder, her request’i yakalar, parametreleri değiştirir, sonuçları gözlemler. Ama bu ekip bunu yapmadı. Sadece Nessus/OpenVAS çalıştırdılar ve gittiler.

Manuel vs Otomatik: Farkı Anlamak

Otomatik tarama araçları (Nessus, OpenVAS, Acunetix) harikadır. Hızlıdırlar, binlerce bilinen zafiyeti tarıyorlar, hiçbirini atlamıyorlar. Ama…

Otomatik araçların bulamadığı açıklar:

• Business logic hataları (işletme mantığı)
• Authentication bypass (kimlik doğrulama atlatma)
• Authorization açıkları (yetki kontrol hataları)
• Race condition zafiyetleri
• IDOR (Insecure Direct Object Reference)
• İleri seviye SQL injection varyasyonları

Bunları ancak deneyimli bir uzman, manuel olarak test ederek bulabilir. Sistemi kullanır, akışları gözlemler, “Ya şunu böyle yaparsam?” diye düşünür ve dener.

HATA #3: “Hepsini Test Edin!” (Kapsam Belirsizliği)

200 çalışanlı bir üretim şirketi. Kendi ERP sistemleri var, 3 farklı web uygulamaları var, 120 sunucu var, VPN sistemi var, e-posta sunucuları var. Her şey dijitalleşmiş.

Yönetim kurulu karar veriyor: “Siber güvenlik şart, kapsamlı bir sızma testi yaptıralım.”

Tekliflere “Tüm sistemlerimizi test edin” yazıyorlar. Firmalar geliyor, bakıyorlar, teklif veriyorlar: 180.000 TL.

Kabul ediliyor. Test ekibi geliyor, 15 gün sürecek. İlk günler toplantılar oluyor: “Nerelere bakacaksınız?” “Her yere bakacağız.” “Tamam.”

15 gün geçiyor. Ekip her gün geliyor, farklı sistemlere bakıyor. Bir gün VPN’e, bir gün web sitesine, bir gün iç ağa, bir gün mail sunucusuna…

Rapor geliyor. 150 sayfa. Her sistemde birkaç bulgu var. Ama hiçbir sistemde derinlemesine analiz yapılmamış. Kritik ERP sistemindeki SQL injection – ki tüm şirketin finansal verilerine, müşteri listesine, tekliflere erişim sağlardı – bulunamamış.

Neden? Çünkü kaynaklar dağılmış. 15 gün 10 farklı sisteme dağıtılınca, her birine sadece 1.5 gün düşüyor. 1.5 günde bir ERP sisteminin tüm modüllerini test edemezsiniz.

Doğru Yaklaşım: Önceliklendirme

Akıllı şirketler şöyle yapıyor:

Toplamda 3 yılda 260.000-400.000 TL. Evet, tek seferde 180.000 TL’den daha pahalı gibi görünüyor. Ama gerçek güvenlik sağlıyor çünkü her sistem derinlemesine test ediliyor.

HATA #4: “CV’ye Baktık, İyi Görünüyor”

İzmir’de özel bir sağlık kurumu. 4 hastane işletiyorlar, 30.000 hasta kaydı var sistemlerinde. KVKK denetimi geliyor, sızma testi raporu isteniyor.

Teklifler alınıyor. Bir firma öne çıkıyor: Web sitesi profesyonel, “20 yıllık tecrübe”, “OSCP, CEH, GPEN sertifikalı ekip”, referanslarda tanıdık isimler var. Teklif: 95.000 TL. Karar: Bu firma.

Test günü geliyor. Gelen ekip: 1 proje yöneticisi (ilk gün geldi, kapsamı anlattı, gitti) + 2 genç teknisyen. Teknisyenler LinkedIn’den bakıyorlar: 1.5 yıl ve 10 ay tecrübeli. OSCP sertifikaları yok.

“Peki web sitesinde yazanlar?” Meğer şirket sahibinin kendi sertifikaları ve tecrübesi. Ama o saha işi yapmıyor, sadece işi yönetiyor.

İki genç eleman ellerinden geleni yapıyorlar. Standart testleri yapıyorlar. Ama 1.5 yıllık tecrübeyle, bir sağlık sisteminin karmaşıklığını anlayamıyorlar. Hasta kayıt sistemindeki IDOR açığını – ki bir doktor başka doktorun hastalarının kayıtlarını görebiliyor – fark edemiyorlar.

Ekip Kalitesini Nasıl Anlarısınız?

Teklif alırken şu soruları sorun:

• “Ekipte kimler olacak?” – İsim, sertifika, tecrübe yılı, LinkedIn profillerini görün
• “Ekip üyelerinin sertifikaları?” – OSCP (altın standart), CEH (giriş seviyesi), GPEN, GXPN (iyi seviye)
• “Kaç yıllık tecrübesi var?” – Minimum 3-5 yıl olmalı senior seviye için
• “Referanslarınız?” – Aynı sektörden referans isteyin, mutlaka arayın

HATA #5: “Retest? Niye Tekrar Test Edelim ki?”

Bir e-ticaret platformu. Günlük 5.000 sipariş alıyorlar. Sızma testi yaptırdılar, rapor geldi: 18 güvenlik açığı, 6’sı kritik seviye.

IT ekibi kolları sıvadı. 2 ay boyunca çalıştılar. 18 açığı teker teker kapattılar. Ya da öyle düşündüler.

Hiçbiri test edilmedi. Çünkü sözleşmede retest yoktu. “Düzelttik işte, niye tekrar test ettirecekmişiz ki? Ek para mı harcayacağız?” dediler.

3 ay sonra, sistem hack’lendi. Saldırgan yine girdi. Nasıl? 18 açıktan:

• 7’si yanlış düzeltilmişti (fix doğru değildi)
• 3’ü hiç düzeltilmemişti (unuttular)
• 8’i doğru düzeltilmişti (bravo!)

Saldırgan yanlış düzeltilmiş açıklardan birini kullandı, sisteme girdi. 120.000 müşteri kaydı çalındı. Dark web’de satışa çıktı.

Retest Neden Kritik?

Güvenlik açığı düzeltmek, düşündüğünüz kadar basit değil. Birkaç örnek:

IT ekibiniz düzeltme yaptığını düşünüyor. Ama gerçekten düzeldi mi? Bunu ancak retest ile anlarsınız.

HATA #6: “IT Ekibine Ne Anlatacağız, Biz Hallederiz”

Bir holding şirketi. 8 farklı şirket, 1.500 çalışan. Yönetim kurulu, siber güvenlik bütçesi ayırdı: 500.000 TL. Dışardan danışman tuttular, strateji oluşturdular, sızma testi yaptırdılar.

IT müdürü? Hiç sürece dahil edilmedi. Neden? “Yönetim kurulu kararı, IT’nin bilmesine gerek yok. Sonunda raporu gösteririz.”

Test yapıldı. Kapsamlı bir rapor geldi: 220 sayfa, 47 güvenlik açığı, 12’si kritik. Raporun bir kopyası yönetim kurulunda sunuldu. Alkışlar. “Güzel çalışma.”

Rapor IT müdürüne gönderildi. Mail’de. EK dosya. Konu: “Siber Güvenlik Raporu – Aksiyonlar”

IT müdürü rapora baktı ve şok oldu. Neden?

• Test edilen sistemlerin yarısından haberi yoktu
• Bazı açıklar gerçekten kritikti ama nasıl düzelteceğini bilmiyordu
• Bazı açıklar eski sistemlerdeydi, zaten kapatılması planlanıyordu
• Bazı açıklar iş süreçleri nedeniyle kapatılamıyordu (3rd party entegrasyon)

Raporu anlayamadı. Kiminle konuşacağını bilmedi. Test firması ile iletişim kuramadı (sözleşme üst yönetimle, IT’nin bilgisi yok).

Rapor çekmecede kaldı. 8 ay sonra, bir fidye yazılımı saldırısı oldu. Sistemler kilitlendi. Raporda yazıyormuş zaten o açık: “RDP portu internete açık, zayıf parola politikası.”

Doğru Süreç Nasıl Olmalı?

1. Ön Toplantı (Kick-off)

• Test firması + Üst yönetim + IT Müdürü/CTO + IT ekip liderleri
• Kapsam birlikte belirlenir
• Hangi sistemler kritik? Hangileri öncelikli?
• Kesinti olacak mı? Nasıl yöneteceğiz?

2. Test Sırasında İletişim

• IT ekibi bilgili olmalı
• Acil bir durum olursa hemen müdahale edilmeli
• Günlük/haftalık kısa brifingler

3. Rapor Sunumu

• Sadece yönetime değil, IT ekibine de sunulmalı
• Her açık detaylı anlatılmalı
• “Nasıl düzeltilir?” tartışılmalı
• Öncelik sırası belirlenmeli

4. Düzeltme Süreci

• IT ekibi düzeltmeleri yapıyor
• Sorular soruyor, destek alıyor
• Retest sırasında test firması ile çalışıyor

HATA #7: “Rapor Geldi, Tamam, İş Bitti”

50 kişilik bir yazılım şirketi. MVP’lerini geliştiriyorlar, SaaS ürünleri yapıyorlar. ISO 27001 sertifikası almak istiyorlar.

Sızma testi yaptırıyorlar. Ciddi bir firma, iyi bir ekip. 12 gün test yapılıyor. Rapor geliyor: 85 sayfa, profesyonel format, renkli grafikler, teknik detaylar, CVSS skorları, CVE referansları.

Yönetim toplantısında rapor sunuluyor (PDF üzerinden). Yönetim: “Güzel rapor, tebrikler.” İmzalar atılıyor, fatura ödeniyor. İş bitmiş sayılıyor.

IT ekibi rapora bakıyor. Ama anlamıyor. Teknik terimler, İngilizce açıklamalar, CVE kodları… “CVE-2021-44228 Log4Shell zafiyeti” ne demek? Nasıl düzeltilir? Hangi sistem etkileniyor?

1 ay geçiyor, rapor unutuluyor. 2 ay geçiyor, kimse bakmıyor. 3. ayda ISO denetimi geliyor, denetçi soruyor: “Raporadaki açıklar düzeltildi mi?”

IT müdürü: “Eee… şey… hangi açıklar?”

Denetçi: “Raporun 23. sayfasındaki kritik zafiyetler.”

IT müdürü rapora tekrar bakıyor. Anlayamıyor. Dış destek alıyorlar: 65.000 TL danışmanlık ücreti ödeyerek, bir güvenlik firması geliyor, raporu açıklıyor, düzeltmeleri yapıyor.

Toplam maliyet: Sızma testi (95K) + Danışmanlık (65K) = 160.000 TL

Eğer başta rapor sunumu ve Q&A olsaydı, IT ekibi raporu anlayacaktı, kendileri düzeltebilecekti. Ek 65K TL harcanmayacaktı.

İyi Bir Rapor Nasıl Olmalı?

Kaliteli bir sızma testi raporu 2 bölüm içerir:

Bölüm 1: Executive Summary (Yönetim Özeti)

• Teknik olmayan dil
• İş etkisi açıklanır
• Risk seviyeleri anlaşılır
• Genel durum değerlendirmesi
• Yönetim için eylem planı

Bölüm 2: Technical Details (Teknik Detaylar)

• Her açık için detaylı açıklama
• Screenshot’lar (kanıt)
• PoC (Proof of Concept) – açığın gerçekten var olduğunun kanıtı
• Etkilenen sistemler
• Risk skoru (CVSS)
• Nasıl düzeltilir? (En önemli kısım)

Ama rapor tek başına yetmez. Mutlaka bir rapor sunumu olmalı:

• 1-2 saat
• Test ekibi + IT ekibi + Yönetim (opsiyonel)
• Her açık anlatılır
• Sorular sorulur, cevaplar verilir
• Öncelik sırası belirlenir
• Düzeltme planı yapılır

SONUÇ: Sızma Testi Bir Checklist Değil, Yatırımdır

2024 Türkiye verileri çarpıcı: Her gün 4.000’den fazla siber saldırı, toplam 1,5 milyon saldırı. Global çapta maliyet 9,5 trilyon dolar. Ve bu rakamlar artıyor.

Siber Güvenlik Kanunu ile birlikte, artık sızma testi birçok sektör için zorunluluk. Ama unutmayın: Amaç rapor almak değil, gerçekten güvenli olmaktır.

Yukarıda anlattığım 7 hata, gerçek hikayelerden derlendi. Her biri, farklı şirketlerin başına geldi. Bazıları şanslıydı, erken fark ettiler. Bazıları şanssızdı, milyonlarca lira kaybettiler.

Özetleyelim:

• En ucuzu almayın → Ortayı hedefleyin, kalite-fiyat dengesi önemli
• Manuel test oranını sorun → Minimum %60 olmalı
• Kapsamı önceliklendirin → Her şeyi yüzeysel değil, kritik olanları derinlemesine
• Ekibi kontrol edin → CV’yi görün, referans alın, LinkedIn’den araştırın
• Retest şart → Düzeltmeleriniz doğru mu? Kontrol edin
• IT’yi dahil edin → Sürecin başından sonuna, onlar uygulayacak
• Raporu anlayın → Sunum isteyin, sorular sorun, destek alın

Bunları yaparsanız, aldığınız sızma testinden gerçek değer alırsınız. Paranız boşa gitmez, sisteminiz gerçekten güvenli olur.

Sızma Testi Alacaksanız, Doğru Soruları Sorun

Teklif alırken bu soruları mutlaka sorun:

• Hangi metodoloji kullanıyorsunuz? (OWASP, PTES, TSE…)
• Manuel test oranınız nedir?
• Ekipte kimler olacak? (İsim, sertifika, tecrübe)
• Referanslarınız var mı? (Sektörümüzden)
• Retest dahil mi?
• Rapor sunumu yapacak mısınız?
• Düzeltme sonrası destek var mı?
• Süreç nasıl ilerliyor? (Kick-off, test, rapor, sunum)

Eğer bu soruların cevaplarını net alıyorsanız, doğru yoldasınız.

Bir sabah ofise geldiğinizi ve tüm şirket verilerinizin .locked uzantısıyla kilitlendiğini hayal edin. Ekranda kırmızı bir sayaç ve 50.000$ talep eden bir not var. Bu senaryo, Türkiye’de her gün onlarca KOBİ ve kurumsal firmanın başına geliyor. İnvekor Bilgi Teknolojileri olarak, bu tehdide karşı almanız gereken önlemleri teknik detaylarıyla derledik.

Fidye Yazılımı (Ransomware) Nedir?

Fidye yazılımı, bulaştığı sistemdeki dosyaları askeri düzeyde şifreleme algoritmaları (AES-256, RSA-2048) ile kilitleyen ve şifre anahtarı karşılığında kurbandan kripto para (genellikle Bitcoin veya Monero) talep eden zararlı bir yazılımdır.

En Yaygın Fidye Yazılımı Türleri

• Crypto Ransomware: En yaygın türdür. Dosyaları, resimleri, veritabanlarını şifreler ama bilgisayarı kullanmanıza izin verir.
• Locker Ransomware: Bilgisayarın işletim sistemini tamamen kilitler, masaüstüne erişimi engeller.
• Double Extortion (Çifte Şantaj): Modern hackerların taktiğidir. Önce verileri şifrelerler, sonra “Fidyeyi ödemezsen verilerini KVKK kurumuna ve rakiplerine sızdırırız” diye tehdit ederler.

Saldırganlar Sisteminize Nasıl Sızıyor? (Attack Vectors)

Bir fidye yazılımının şirketinize girmesi için kapıların açık olması gerekmez, aralık olması yeterlidir. İşte en sık kullanılan 3 yöntem:

1. Oltalama (Phishing) E-postaları: Saldırıların %80’i bir çalışanın yanlış bir linke tıklamasıyla başlar. “Fatura.pdf.exe” gibi dosyalar en büyük tuzaktır.
2. RDP (Uzak Masaüstü) Açıkları: Dış dünyaya açık bırakılan ve zayıf şifreyle korunan 3389 portu, hackerların ana giriş kapısıdır.
3. Yazılım Zafiyetleri: Güncellenmemiş bir VPN cihazı veya Windows sunucusu, saldırganın içeri sızması için yeterlidir.

Neden Klasik Antivirüsler Sizi Koruyamaz?

Birçok yönetici “Antivirüsümüz var, güvendeyiz” der. Ancak bu, modern savaşta kılıçla savunma yapmaya benzer. İşte farklar:

Şirketinizi Korumak İçin 7 Adımlık Güvenlik Planı

Fidye yazılımlarından %100 korunmanın yolu, çok katmanlı bir savunma mimarisi kurmaktır.

1. “3-2-1 Kuralı” ile Yedekleme (Hayat Kurtarır)

Verileriniz şifrelense bile, fidyeyi ödemeden kurtulmanın tek yolu sağlam bir yedektir.

• Verilerin 3 kopyasını tutun.
• 2 farklı medyada saklayın (Disk + Bulut).
• 1 kopyayı mutlaka Offline veya Immutable (Değiştirilemez) tutun.

2. Ağ Segmentasyonu (Veba Yayılmasın)

Muhasebe departmanının bilgisayarı ile fabrika üretim hattının sunucusu aynı ağda (VLAN) olmamalıdır. Ağı bölümlere ayırarak, virüsün bir departmandan diğerine sıçramasını engellersiniz.

3. Yama Yönetimi (Patch Management)

İşletim sistemlerini, Office programlarını ve Firewall cihazlarını düzenli güncelleyin. WannaCry saldırısı, sadece Windows güncellemesi yapılmayan sistemleri vurmuştu.

4. Çok Faktörlü Kimlik Doğrulama (MFA/2FA)

VPN bağlantılarına, mail hesaplarına ve sunucu girişlerine mutlaka SMS veya Authenticator onayı koyun. Şifreniz çalınsa bile, saldırgan telefonunuzdaki kodu bilmeden içeri giremez.

Sıkça Sorulan Sorular (FAQ)

Günümüz siber saldırıları artık yalnızca “virüs” değil, gelişmiş fidye yazılımları, kimlik hırsızlıkları ve APT (Advanced Persistent Threat) kampanyaları şeklinde geliyor. Bu ortamda, klasik antivirüs yazılımları yerini EDR (Endpoint Detection & Response) ve XDR (Extended Detection & Response) temelli yeni nesil uç nokta çözümlerine bırakıyor.

Antivirüsün Evrimi

İlk antivirüs yazılımları 1990’larda imza tabanlı (signature-based) çalışıyordu. Ancak 2025’te bu yeterli değil. Modern tehditler dinamik, şifreli ve kimlik bazlı olduğu için, artık davranış analizi, yapay zeka ve tehdit istihbaratı entegrasyonu gerekiyor.

“Antivirüs bir kalkan değil, bir sensör ve karar mekanizması haline geldi.”

Modern Uç Nokta Koruma Bileşenleri

Kurumsal Antivirüs Politika Örneği

// Yönetici ayrıcalıklı kullanıcılar için daha sık tarama ve EDR alarmı
IF (user.role == "admin") {
   schedule_scan = "daily";
   alert_on = ["file_modification", "credential_dump"];
   quarantine_action = "auto";
}
ELSE {
   schedule_scan = "weekly";
   quarantine_action = "manual_review";
}

2025 Trendleri

• Yapay Zeka Destekli Analiz: Anomali tespiti ve otomatik yanıt mekanizmaları.
• Zero Trust Uyumlu Uç Noktalar: Kimlik + cihaz + ağ bağlamında sürekli doğrulama.
• Bulut Yönetimli Antivirüs: Yerel sunucu ihtiyacını ortadan kaldıran SaaS tabanlı yönetim panelleri.

Başlıca Antivirüs Platformları

Başarı Ölçütleri

• Tespit-Oranı: %99 ve üzeri olmalı.
• Yanlış Pozitif: <%2.
• Ortalama Tepki Süresi (MTTR): 30 dakika altı.
• Otomatik İzolasyon: 1 dakikadan kısa sürede devreye girmeli.

İnvekor’un Yaklaşımı

İnvekor olarak kurumlara; Bitdefender GravityZone, ESET Protect Enterprise ve Microsoft Defender altyapılarını anahtar teslim olarak kuruyor, politikaları ISO 27001 ve KVKK standartlarına uygun şekilde yapılandırıyoruz. Ayrıca FortiAnalyzer ve SOC entegrasyonuyla olayların merkezi raporlamasını sağlıyoruz.