• Ağ Tabanlı Zafiyet Taraması:
  Bu taramalar, ağ cihazlarını (yönlendiriciler, anahtarlar, güvenlik duvarları), sunucuları ve diğer ağa bağlı cihazları hedef alır. Bilinen ağ protokolü zafiyetlerini, açık portları, yanlış yapılandırmaları ve varsayılan kimlik bilgilerini arar. Ağ topolojisindeki zayıf noktaları ve dışarıdan veya içeriden erişilebilir hizmetleri belirlemek için kritik öneme sahiptir.
  • Harici Ağ Taraması: Kuruluşun dış dünyadan erişilebilir noktalarını (internet bağlantıları, web sunucuları, e-posta sunucuları) değerlendirir. Siber suçluların hedef alabileceği giriş noktalarını ve kamuya açık IP adreslerindeki güvenlik açıklarını belirler. Birçok durumda, bu taramalar bir kuruluşun dışarıya dönük yüzünü temsil eder.
  • Dahili Ağ Taraması: Güvenlik duvarının içindeki ağları ve sistemleri analiz eder. Bir saldırganın iç ağa sızmayı başarması durumunda ne kadar ileri gidebileceğini anlamak, iç tehditleri veya sıfır gün açıklıkları kullanılarak içeriden başlatılan saldırıları simüle etmek için kritik öneme sahiptir. Bu tür taramalar genellikle daha derinlemesine sonuçlar verir.
• Uygulama Tabanlı Zafiyet Taraması:
  Web uygulamaları ve mobil uygulamalar günümüzde en yaygın saldırı vektörlerinden biridir. Bu taramalar, uygulama katmanındaki güvenlik açıklarını hedefler ve OWASP Top 10 gibi yaygın zafiyet kategorilerini (SQL enjeksiyonu, XSS, kırık kimlik doğrulama vb.) tespit etmeye odaklanır.
  • SAST (Static Application Security Testing - Statik Uygulama Güvenliği Testi): Kaynak kodunu veya derlenmiş kodu çalıştırmadan analiz eder. Geliştirme yaşam döngüsünün erken aşamalarında (IDE entegrasyonu gibi) hataları bulmak için idealdir. Örneğin, SQL enjeksiyonu veya XSS (Cross-Site Scripting) gibi hataların kodda nasıl göründüğünü tespit edebilir. Kod kalitesi ve güvenlik standartlarına uyumu değerlendirir.
  • DAST (Dynamic Application Security Testing - Dinamik Uygulama Güvenliği Testi): Uygulamayı çalışırken, genellikle web arayüzü aracılığıyla test eder. Bir saldırganın dışarıdan gördüğü gibi uygulama davranışını analiz eder. Oturum yönetimi zafiyetleri, kimlik doğrulama sorunları gibi run-time hataları bulmada etkilidir. Kullanıcı girişleri, parametre manipülasyonu gibi davranışsal testler yapar.
  • IAST (Interactive Application Security Testing - Etkileşimli Uygulama Güvenliği Testi): SAST ve DAST'ın hibrit bir yaklaşımıdır. Uygulama çalışırken hem iç kodu hem de dış davranışı analiz eder. Uygulama sunucusu içinde bir ajan (agent) kullanarak daha derinlemesine görünürlük sağlar ve daha az yanlış pozitif ile daha doğru sonuçlar sağlar. Bu, DevSecOps süreçlerinde popülerdir.
• Veritabanı Zafiyet Taraması:
  Veritabanları, hassas bilgilerin depolandığı yerlerdir ve bu nedenle saldırganlar için cazip hedeflerdir. Bu taramalar, zayıf kimlik bilgileri, yanlış yapılandırmalar, güncel olmayan yamalar, yetkilendirme sorunları ve SQL enjeksiyonu gibi veritabanı güvenlik açıklarını arar. Veritabanı yönetim sistemlerinin (DBMS) kendisindeki zafiyetlere odaklanır.
  
• Bulut Ortamı Zafiyet Taraması:
  AWS, Azure, Google Cloud gibi bulut platformlarının yaygınlaşmasıyla birlikte, bulut ortamlarına özgü güvenlik açıkları da önem kazanmıştır. Bu taramalar, bulut yapılandırma hatalarını (örneğin, herkese açık S3 kovaları), IAM (Kimlik ve Erişim Yönetimi) zafiyetlerini, sanal ağ yapılandırma sorunlarını ve diğer bulut hizmetlerine özgü riskleri değerlendirir. Bulut Güvenlik Duruşu Yönetimi (CSPM) araçları bu alanda önemli rol oynar.
  
• Kapsayıcı (Container) Zafiyet Taraması:
  Docker ve Kubernetes gibi kapsayıcı teknolojilerin artan kullanımı, kapsayıcı görüntülerindeki ve çalışma zamanı ortamlarındaki güvenlik açıklarının taranmasını zorunlu kılmıştır. Bu taramalar, bilinen güvenlik açıkları olan kütüphaneleri, yanlış yapılandırmaları ve bağımlılık sorunlarını belirler. Güvenli kapsayıcı yaşam döngüsü yönetimi için temel bir adımdır.

• Planlama ve Kapsam Belirleme:
  Tarama başlamadan önce, hangi sistemlerin, ağların veya uygulamaların taranacağının net bir şekilde belirlenmesi gerekir. Kapsam (scope) ne kadar geniş olacak, hangi tür zafiyetler aranacak, hangi araçlar kullanılacak gibi sorulara yanıt aranır. Hedefin önemi ve kritikliği değerlendirilir. Yasal ve kurumsal kısıtlamalar da bu aşamada göz önünde bulundurulur.

"Başarılı bir siber güvenlik operasyonunun temelinde her zaman detaylı bir planlama yatar. Kapsamın doğru ve eksiksiz belirlenmesi, hem kaynakların verimli kullanılmasını sağlar hem de beklenmedik yan etkileri minimize ederken, elde edilecek sonuçların güvenilirliğini artırır."

Genişletmek için tıkla ...

• Tarama Uygulama (Execution):
  Belirlenen zafiyet tarama araçları kullanılarak planlanan hedefler üzerinde tarama başlatılır. Bu aşama otomatik araçların yoğun olarak kullanıldığı bölümdür. Tarama sırasında, sistemlerin performansına veya kararlılığına olumsuz etki etmemek için dikkatli olunmalıdır. Genellikle mesai saatleri dışında veya bakım pencerelerinde yapılması tercih edilir. Tarama, uygulanan yönteme göre iki ana kategoriye ayrılabilir:
  • Kimlik Bilgisi ile Tarama (Credentialed Scan): Sistemlere yetkili bir kullanıcı olarak giriş yaparak yapılır. Bu, tarayıcının sistemin içini daha derinlemesine görmesini sağlar ve işletim sistemi yamaları, yazılım sürümleri, yerel yapılandırma hataları, kayıt defteri ayarları ve kurulu yazılımların zafiyetleri gibi detaylı bilgileri ortaya çıkarır. Genellikle daha az yanlış pozitif ve daha kapsamlı sonuçlar verir, çünkü tarayıcı sistemin tüm katmanlarına erişebilir.
  • Kimlik Bilgisi Olmadan Tarama (Non-Credentialed Scan): Sistemlere dışarıdan, yetkisiz bir kullanıcı gibi yapılır. Bir saldırganın dışarıdan görebileceği zafiyetleri simüle eder. Açık portlar, ağ hizmetlerinin zayıflıkları (örneğin, eski veya zafiyet içeren SSH/FTP sürümleri) gibi yüzeysel ancak kritik zafiyetleri ortaya çıkarır. Bu taramalar genellikle ilk keşif aşamasında kullanılır.
• Analiz ve Raporlama:
  Tarama tamamlandıktan sonra, araçlar tarafından üretilen ham veriler (raw data) analiz edilir. Bu aşama, insan uzmanlığının kritik olduğu yerdir. Yanlış pozitifler (gerçekte bir zafiyet olmayan ancak araç tarafından öyle rapor edilen bulgular) elenir ve gerçek zafiyetler önceliklendirilir. Önceliklendirme, zafiyetin kritikliği, istismar edilebilirlik düzeyi, iş etkisi (business impact) ve düzeltme kolaylığı gibi faktörlere göre yapılır. Detaylı bir rapor hazırlanır ve bulgular, risk seviyeleri ve önerilen düzeltmeler bu raporda açıkça belirtilir. Bu rapor, teknik ve yönetimsel seviyede olmak üzere iki farklı hedef kitleye yönelik hazırlanabilir.

{
  "vulnerability_id": "CVE-2023-12345",
  "name": "SQL Injection in User Authentication Module",
  "description": "The 'username' and 'password' parameters in the login form are vulnerable to SQL Injection, allowing unauthorized access.",
  "severity": "Critical",
  "cvss_score": 9.8, 
  "affected_component": "Web Application - Authentication Service",
  "remediation_steps": [
    "Implement strict input validation and sanitization for all user-supplied inputs.",
    "Use parameterized queries (prepared statements) for all database interactions instead of concatenating user input directly into SQL queries.",
    "Apply principle of least privilege to database user accounts.",
    "Consider deploying a Web Application Firewall (WAF) as an additional layer of defense."
  ],
  "example_payload": "admin' OR '1'='1' --",
  "references": [
    "https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2021/A03_2021-Injection",
    "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-12345"
  ]
}

• Düzeltme (Remediation):
  Tespit edilen zafiyetlerin giderilmesi işlemidir. Bu, yazılım güncellemeleri, yama uygulamaları, yapılandırma değişiklikleri, güvenlik duvarı kurallarının ayarlanması, kod düzeltmeleri veya mimari değişiklikler gibi çeşitli şekillerde olabilir. Düzeltmeler, belirlenen önceliklendirmeye göre ve genellikle iş birimleri ile iş birliği içinde yapılır. Bu aşamada, düzeltmelerin sistem işlevselliğini olumsuz etkilememesine özen gösterilmelidir.
  
• Yeniden Tarama (Re-scan):
  Zafiyetler giderildikten sonra, düzeltmelerin gerçekten etkili olup olmadığını doğrulamak için genellikle bir doğrulama taraması (verification scan) yapılır. Bu adım, aynı zafiyetin hala mevcut olup olmadığını veya düzeltmelerin yeni bir zafiyet yaratıp yaratmadığını teyit eder. Bu sayede kapanış döngüsü tamamlanmış ve zafiyetin başarıyla giderildiği doğrulanmış olur.

• Nessus:
  Tenable tarafından geliştirilen Nessus, piyasadaki en kapsamlı ve yaygın kullanılan zafiyet tarayıcılarından biridir. Geniş bir eklenti (plugin) veritabanına sahiptir ve hem ağ hem de sunucu tabanlı zafiyetleri tarayabilir. Hem kimlik bilgisi ile hem de kimlik bilgisi olmadan tarama yetenekleri sunar. Kullanımı kolay arayüzü ve detaylı raporlama özellikleriyle öne çıkar. Küçükten büyüğe her türlü işletme için uygundur.
  
  
  
  
• OpenVAS (Open Vulnerability Assessment System):
  Greenbone Networks tarafından sürdürülen açık kaynaklı bir zafiyet tarama çerçevesidir. Nessus'un erken dönem bir sürümünden türemiştir. Kapsamlı bir zafiyet veritabanına sahiptir ve geniş bir tarama yeteneği yelpazesi sunar. Açık kaynak olması nedeniyle bütçe kısıtlaması olan kuruluşlar veya güvenlik araştırmacıları arasında popülerdir. Modüler yapısı sayesinde esnek çözümler sunar.
  
• Qualys Vulnerability Management:
  Bulut tabanlı bir platform olan Qualys, kapsamlı zafiyet yönetimi çözümleri sunar. Ağ, web uygulamaları, bulut ortamları ve konteynerler dahil olmak üzere geniş bir yelpazedeki varlıkları tarayabilir. Sürekli izleme ve otomasyon yetenekleriyle öne çıkar. Özellikle büyük ölçekli ve dağıtık ortamlarda merkezi bir zafiyet yönetim platformu arayan kuruluşlar için idealdir.
  
• Acunetix:
  Özellikle web uygulaması güvenlik taraması (DAST) konusunda uzmanlaşmış bir araçtır. SQL enjeksiyonu, XSS ve diğer OWASP Top 10 zafiyetlerini etkin bir şekilde tespit eder. Gelişmiş tarama yetenekleri, crawl ve deneme (exploit) motorları ile otomasyon özellikleri sunar. Web uygulamalarının derinlemesine taranması için tercih edilir.
  
• Burp Suite:
  PortSwigger tarafından geliştirilen Burp Suite, web uygulaması güvenlik testi için bir dizi araç içeren entegre bir platformdur. Hem manuel test hem de otomatik tarama yetenekleri sunar. Özellikle sızma testleri sırasında proxy, intruder ve repeater gibi modülleriyle yaygın olarak kullanılır. Topluluk sürümü ücretsizdir ve web güvenlik uzmanları arasında vazgeçilmez bir araçtır.
  
  
  
  
• Nmap (Network Mapper):
  Temel bir zafiyet tarayıcı olmasa da, Nmap port taraması ve servis keşfi için vazgeçilmez bir araçtır. Birçok zafiyet taramasının ilk adımı olarak ağ üzerindeki aktif cihazları ve açık portları belirlemek için kullanılır. Nmap Scripting Engine (NSE) ile daha gelişmiş zafiyet tespiti ve güvenlik açığı doğrulama da yapılabilir. Ağ keşfi ve envanter oluşturma için oldukça güçlüdür.

• Yanlış Pozitifler (False Positives):
  Tarayıcı tarafından gerçekte var olmayan bir zafiyet olarak rapor edilen bulgulardır. Yanlış pozitifler, güvenlik ekiplerinin gereksiz yere zaman harcamasına, kaynak israfına ve rapor yorgunluğuna yol açabilir. Doğru analiz, bağlam bilgisi ve insan uzmanlığı bu sorunu minimize etmek için kritiktir. Genellikle tarama yapılandırmasının ve araç algoritmalarının yetersizliğinden kaynaklanır.
  
• Yanlış Negatifler (False Negatives):
  Gerçekte var olan ancak tarayıcı tarafından tespit edilemeyen zafiyetlerdir. Yanlış negatifler, kuruluşları tespit edilmemiş risklere maruz bırakabilir ve siber saldırılar için kapı aralayabilir. Araçların sürekli güncel tutulması, farklı tarama yaklaşımlarının kullanılması (örneğin, kimlik bilgisi ile tarama), manuel kontroller ve sızma testleri ile birleştirilmesi önemlidir. Bu, en tehlikeli durumdur çünkü var olan bir riskin farkında olunmaz.
  
• Üretim Ortamına Etki:
  Yoğun zafiyet taramaları, üretim ortamlarındaki sistemler üzerinde performans düşüşlerine, ağ tıkanıklıklarına veya kararlılık sorunlarına neden olabilir. Özellikle kritik sistemlerde bu tür etkiler kabul edilemez olabilir. Bu nedenle, taramaların doğru zamanlamada, kontrollü bir şekilde yapılması veya öncelikle test/geliştirme ortamlarında denenmesi önemlidir. Bakım pencereleri veya düşük yoğunluklu saatler tercih edilmelidir.
  
• Yasal Düzenlemeler ve Uyum (Compliance):
  GDPR, PCI DSS, HIPAA, ISO 27001 gibi birçok endüstri standardı ve yasal düzenleme, düzenli zafiyet taramalarını ve güvenlik açıklarının yönetimini zorunlu kılar. Zafiyet taramaları, bu uyum gereksinimlerini karşılamanın ve denetimlere hazırlıklı olmanın önemli bir parçasıdır. Uyumsuzluk, ağır para cezaları ve itibar kaybına yol açabilir.
  
• DevSecOps Entegrasyonu:
  Modern yazılım geliştirme yaklaşımlarında (DevOps), güvenliğin geliştirme yaşam döngüsünün her aşamasına (shift-left security) entegre edilmesi hedeflenir. Zafiyet tarama araçlarının CI/CD (Sürekli Entegrasyon/Sürekli Teslimat) pipeline'larına entegre edilmesi, güvenlik açıklarının erken aşamada tespit edilmesini ve düzeltilmesini sağlar. Bu, güvenlik açıklarının maliyetini önemli ölçüde azaltır çünkü hata ne kadar erken bulunursa, düzeltme maliyeti o kadar düşük olur.

• Düzenli ve Otomatik Taramalar:
  Dijital varlıkların sürekli değişimi ve yeni zafiyetlerin sürekli keşfedilmesi nedeniyle, düzenli ve tercihen otomatik taramalar yapılmalıdır. Yeni sistemler devreye alındığında veya mevcut sistemlerde önemli değişiklikler yapıldığında anında taramalar planlanmalıdır. Sürekli izleme ve alarm sistemleri de bu sürece entegre edilmelidir.
  
• Bütünsel Yaklaşım:
  Sadece ağ veya sadece uygulamalar değil, tüm dijital varlıkların (ağlar, sunucular, uygulamalar, veritabanları, bulut altyapısı, mobil cihazlar, IoT cihazları vb.) bütünsel bir yaklaşımla taranması önemlidir. Tüm yüzeyin kapsanması envanter yönetimi ile başlar ve bilinmeyen varlıkların risklerini azaltır.
  
• Bulguların Önceliklendirilmesi ve Takibi:
  Tespit edilen zafiyetler kritikliklerine göre önceliklendirilmeli ve düzeltme süreçleri takip edilmelidir. Risk bazlı yaklaşım, en yüksek risk taşıyan zafiyetlere odaklanmayı sağlar. Risk matrisleri veya CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) gibi standartlar kullanılabilir. Zafiyetlerin kapatılma süreleri (SLA) belirlenmelidir.
  
• İnsan Uzmanlığı ve Otomasyonun Birleşimi:
  Otomatik araçlar verimlilik sağlarken, insan uzmanlığı (pentesterlar, güvenlik analistleri) yanlış pozitifleri ayıklamak, karmaşık zafiyetleri tespit etmek, bağlam sağlamak ve sıfır gün (zero-day) zafiyetlerini keşfetmek için vazgeçilmezdir. Otomasyon, rutin işleri hallederken, insan zekası stratejik kararlar alır.
  
• Entegrasyon ve Raporlama:
  Zafiyet tarama sonuçlarının SIEM (Security Information and Event Management) sistemleri, ITSM (IT Service Management) araçları veya güvenlik orkestrasyon platformları ile entegre edilmesi, daha iyi görünürlük, olay yanıtı ve otomasyon sağlar. Yönetime ve ilgili teknik ekiplere düzenli, anlaşılır ve eyleme dönüştürülebilir raporlar sunulmalıdır.