Patch Yönetimi Stratejisi: WSUS, Intune, Üçüncü Parti Araçlar

Özet: Patch yönetimi; KOBİ siber güvenlik mimarisinin en temel ama en sık ihmal edilen disiplinlerinden biridir. Bilinen güvenlik açıklarının %80+'i bilinen ve yamalanmış zafiyetlerden — sadece yama dağıtımı zamanında yapılmadığı için saldırganlar başarılı oluyor. KOBİ ölçeğinde üç ana yaklaşım: WSUS (klasik Microsoft, on-premise, ücretsiz), Microsoft Intune (modern, bulut tabanlı, M365 ile gelir), üçüncü parti araçlar (PDQ Deploy, ManageEngine, NinjaOne) — Microsoft dışı yazılımları da yamalar. Doğru strateji: yama sınıflandırma (kritik/önemli/önemsiz), test ortamı + üretim pencereleri, kapsama izleme.

KOBİ'lerde "yama yönetimi" çoğu zaman "Windows Update otomatik açık" şeklinde noktalanır. Sunucular için Group Policy ile zamanlanır; ama gerçek yama kapsamı hiç ölçülmez. Sonuç: %20 makinede yama eksik, IT kimsenin bilmediği. Bilinen bir CVE çıktı, yamayı 48 saat içinde uygulamamız gerek — kim hangi makinede henüz yamalı değil bilinmiyor. Patch yönetimi disiplini, "olur biter" görünen bir konuyu ölçülen, raporlanan, kontrollü bir sürece çevirir.

Bu yazıda KOBİ ölçeğinde patch yönetim stratejisini, üç ana yaklaşımı ve operasyonel disiplini ele alıyoruz. Hedef kitlemiz IT yöneticileri, sistem yöneticileri ve "yamalarımız ne durumda?" sorusunu somut metriklere dönüştürmek isteyen karar vericiler.

Patch Yönetimi Neden Kritik?

Saldırı İstatistikleri

• Ransomware vakalarının önemli kısmı bilinen, yamalanmış zafiyetler üzerinden
• Bilinen bir CVE açıklandıktan sonra ortalama 48-72 saatte aktif sömürü başlar
• "Zero-day" saldırıları aslında nadir; "n-day" (yamalanmış ama yama uygulanmamış) saldırıları çoğunluk

Yamalama Olmadan Sonuç

• WannaCry (2017): MS17-010 yaması 2 ay önce çıkmıştı; yamalanmamış makineler ele geçti
• Log4Shell (2021): Yama hızlı çıktı; yamayı uygulamayanlar hala etkilenir
• KOBİ ortamında bilinmeyen sıfır-gün yerine yamalanmamış bilinen açık daha sık başarı

Uyum

• KVKK 12. madde "yeterli teknik tedbir" — patch yönetim dahil
• ISO 27001 — sistem güncelleme zorunlu
• PCI-DSS — kart işleme alanlarında 30 gün içinde yama
• Siber sigorta — yama disipliniği soruluyor

Patch Yönetiminin Beş Aşaması

1. Discovery (Keşif)

• Hangi makinelerim var?
• Hangi yazılımlar yüklü?
• Hangi sürümde?
• Bilinen zafiyetlere maruz mu?

2. Assessment (Değerlendirme)

• Yeni yama çıktı, kritiklik nedir?
• Hangi makineler etkilenir?
• Riski ne? (CVSS skoru)
• Test gerekiyor mu?

3. Testing (Test)

• Pilot grubuna uygula
• 24-72 saat gözle
• Sorun var mı?

4. Deployment (Dağıtım)

• Tüm makinelere zamanlı uygulama
• Bakım pencereleri
• Failed deployments tespit

5. Monitoring (İzleme)

• Kapsama yüzdesi
• Başarısız makineler
• Yama uygunluk raporu

WSUS — Klasik Microsoft Yaklaşımı

WSUS (Windows Server Update Services), Microsoft'un yerleşik yama yönetim aracı.

Özellikler

• Windows Server'da rol olarak gelir, ücretsiz
• Microsoft yamalarını merkezi sunucuda toplar
• Group Policy ile cihaz yönlendirme
• Onay temelli (admin yamayı onaylar, sonra dağıtılır)
• Cihaz grupları (pilot, üretim)

Avantajları

• Tamamen ücretsiz
• Bant genişliği tasarrufu (her cihaz Microsoft'tan değil, WSUS'tan çeker)
• Onay kontrol
• Microsoft ortamına yerleşik

Dezavantajları

• Sadece Microsoft yamaları (Office, Windows, Server)
• Üçüncü parti yazılımlar yok (Adobe, Chrome, Java vs.)
• UI olgun ama eskimiş
• Yapılandırma karmaşası
• Cloud-based değil (ofis ağında olmak gerek)

KOBİ Uygunluğu

Klasik on-premise Windows ortamı için hala uygun. Modern bulut/hibrit ortamlarda Intune'a yönelim.

Microsoft Intune — Modern Bulut

Intune, Microsoft 365 Business Premium veya bağımsız lisansla gelir.

Özellikler

• Bulut tabanlı, internete bağlı her cihaz yönetilebilir
• Windows + macOS + iOS + Android
• Endpoint configuration (sadece patch değil, tüm cihaz politikası)
• Conditional Access entegre
• Zero Trust uyumlu
• Update Rings (pilot/üretim)

Avantajları

• Bulut, her yerden yönetim
• Çoklu OS desteği
• M365 ekosistemi entegre
• BYOD senaryoları
• Modern UX

Dezavantajları

• Lisans gerektirir (M365 BP veya bağımsız)
• Üçüncü parti yazılım yamalama sınırlı (Win32 app deployment ile mümkün ama el işi)
• Internet bağımlılığı

KOBİ Uygunluğu

M365 Business Premium aboneliği olan KOBİ için doğal seçim. Bulut + uzaktan çalışan ekipler için ideal.

Üçüncü Parti Patch Yönetim Araçları

Microsoft dışı yazılımları da kapsayan kapsamlı çözümler.

Yaygın Araçlar

Araç	Tip	KOBİ Uygunluğu
PDQ Deploy + Inventory	On-premise, basit	KOBİ ideal, fiyat-perf
ManageEngine Endpoint Central	Geniş, bulut/on-prem	Orta-büyük KOBİ
NinjaOne	RMM bütünleşik	MSP modeli
Action1	Bulut, ücretsiz tier	Küçük KOBİ
Patch My PC	Intune entegre 3rd party	Intune kullanıcı
Automox	Bulut, hızlı	Modern KOBİ
Ivanti Patch	Enterprise	Üst-KOBİ
GFI LanGuard	Vulnerability + patch	Geleneksel KOBİ

Avantajları

• Üçüncü parti yazılım kapsamı (Adobe, Chrome, Firefox, Java, Zoom, vs.)
• Detaylı raporlama
• Otomatik dağıtım
• Vulnerability scan entegrasyonu

Dezavantajları

• Lisans maliyeti
• Ek yönetim katmanı

Karşılaştırma — KOBİ Karar Matrisi

Senaryo	Önerilen
Tam Microsoft on-premise, az bütçe	WSUS + manuel 3rd party
M365 Business Premium kullanıcısı	Intune + Patch My PC
Çoklu OS (Mac, Linux dahil)	Üçüncü parti (Action1, Automox)
Uzaktan çalışan yoğun	Intune veya bulut 3rd party
MSP'den hizmet alan	NinjaOne veya ManageEngine

Yama Sınıflandırma

Tüm yamalar aynı önceliğe sahip değildir.

Microsoft Severity

• Critical: Uzaktan kod çalıştırma, kritik güvenlik
• Important: Yetki yükseltme, bilgi sızıntısı
• Moderate: Sınırlı etki
• Low: Düşük etki

KOBİ Politikası

Severity	Aksiyon	Süre
Critical (aktif istismar)	Hemen	<48 saat
Critical (genel)	Hızla	<7 gün
Important	Aylık pencere	<30 gün
Moderate / Low	Çeyrek dönem	<90 gün

Aktif İstismar Bildirimi

CISA Known Exploited Vulnerabilities (KEV) listesi izlenmeli — aktif sömürülen zafiyetler ABD federal kurumlar için 14 gün içinde yama zorunluluğu; KOBİ için referans alınmalı.

Yama Dağıtım Pencereleri

Üretim sistemlerini ne zaman yamalamalı?

Tipik Plan

Pencere	Cihaz
Salı 02:00-06:00	Sunucu, kritik sistem
Pazartesi gece 22:00-04:00	Çalışan PC'ler
Tail-end Cuma	Yedek sunucular
Hafta sonu	Major OS upgrade

Pilot/Üretim

• Pilot grup (%5-10 cihaz): IT ekibi, gönüllüler
• Pilot 24-72 saat gözle
• Sorun yoksa üretim grubuna dağıtım

Test Ortamı Önemi

Yama uygulamadan önce test:

Test Senaryoları

• Kritik uygulamalar açılıyor mu?
• Eski uygulama uyumluluğu
• Yazıcı, tarayıcı uyumu
• VPN, RDP çalışıyor mu?
• Performans regresyonu var mı?

KOBİ Pratiği

Tam test ortamı pahalı; ama: 1-2 dedike test makinesi + virtual environment ile başlayın. IT ekibinin kendi makineleri her zaman pilot grup.

Kapsama İzleme

"Yama uygulandı sanıyorduk" sürprizini önlemek için:

KPI'lar

• Toplam cihaz sayısı
• Yamalı cihaz sayısı (% kapsama)
• Başarısız yama (sebep, makine)
• Geç kalan cihaz (örnek 30+ gün eski)

Hedef Kapsama

• Critical patch: 95%+ 14 gün içinde
• Standart patch: 90%+ 30 gün içinde
• Eskimiş cihaz: %5 altında

Yaygın Hatalar

KOBİ patch yönetiminde tipik tuzaklar:

• "Otomatik açık, sorun yok": Hangi cihaz hangi sürümde gerçekte bilinmiyor
• Yama olmadan reboot olmuyor: Yarım uygulanan yama
• Test atlanıyor: Üretimde sürprizler
• Üçüncü parti yazılım kapsamda değil: Chrome 6 ay eski, kritik
• Eski cihazlar uyumsuz: "Bu makine kaldıysa fonksiyonel değil"
• Failure raporlama yok: %20 cihazda sessiz başarısızlık
• Major upgrade plansız: Win10 → Win11 sürüm planlanmamış

Yamanlar Bilişim Olarak Sunduğumuz Hizmetler

KOBİ ölçeğinde patch yönetim destek alanlarımız:

• Mevcut patch durumu denetimi (kapsama raporu)
• WSUS / Intune / 3rd party seçim
• Kurulum ve yapılandırma
• Pilot/üretim grup tasarımı
• Yama dağıtım takvimi
• Üçüncü parti yazılım ekleme
• Aylık patch kapsama raporu
• Yıllık yama disiplin denetimi

Sıkça Sorulan Sorular

• Patch My PC: Intune'a ekleyen aracı, güzel entegrasyon
• Action1: Bulut, ücretsiz tier
• PDQ Deploy: On-premise, KOBİ favori
• ManageEngine Endpoint Central: Microsoft + 3rd party tek panelde
• Manuel script: Chocolatey, winget ile PowerShell

KOBİ tipik tercih: Intune + Patch My PC veya PDQ Deploy.

• Critical güvenlik yamaları: 14 gün içinde 95%+ kapsama
• Standart yamalar: 30 gün içinde 90%+
• Üçüncü parti (browser, Office): aynı standart
• Aylık patch raporu: yöneticiye sunulur

%100 hedef gerçekçi değil — bazı cihazlar offline, BYOD, eski OS olabilir. %95-98 sürdürülebilir.

Sonuç

Patch yönetimi; KOBİ siber güvenliğinin en temel ama en sık ihmal edilen disiplinidir. Bilinen zafiyetlerin yamalı kalması, ransomware riskini ciddi şekilde düşürür ve uyum çerçevelerini destekler. WSUS klasik on-premise için, Intune modern bulut M365 ortamı için, üçüncü parti araçlar (PDQ, Action1, ManageEngine) ise üçüncü parti yazılımları kapsayan çözümler. Doğru seçim ekosisteminize ve ölçeğinize bağlı.

Yamanlar Bilişim olarak ölçeğinize uygun patch yönetim çözümü seçimi, kurulum ve aylık kapsama raporlama hizmetleri sunuyor; "yamalarımız sanırım iyi" varsayımını ölçülen, raporlanan bir disipline taşıyoruz.