Zafiyet Taraması Nedir, KOBİ'ler Ne Zaman Yaptırmalı?
Özet: Zafiyet taraması; açık portları, eski yazılım sürümlerini ve yamasız CVE'leri OpenVAS veya Nessus gibi araçlarla tespit eder. KOBİ için çeyrekte bir iç tarama + yılda bir dış tarama dengeli bir uygulama kadansıdır.
Her gün yeni güvenlik açıkları (CVE) açıklanır; kurulu bilgisayarlar ve sunucular bilinmeyen ama bilgi dünyasında bilinen açıklarla çalışır. Zafiyet taraması, bu açıkları sizden önce saldırganların bulmaması için düzenli yaptırılan bir sağlık kontrolüdür. Sızma testinin (pentest) alternatifi değil, onun temelidir. Bu rehber KOBİ'ler için zafiyet taramasını sade bir şekilde anlatır.
Zafiyet Taraması Nedir? / Neden Önemli?
Zafiyet taraması, otomatik bir yazılımın bilgisayarlar, sunucular, ağ cihazları ve yazılımları üzerindeki bilinen güvenlik açıklarını tespit ettiği tarama işlemidir. Tarama araçları (Nessus, OpenVAS, Qualys, Rapid7) güncel CVE veritabanıyla karşılaştırma yapar; hangi sistemde hangi açığın olduğunu raporlar. KOBİ'lerde yaygın sorunlar:
- Firmware güncellemesi yıllardır yapılmamış cihazlar
- Açık kalmış gereksiz portlar
- Zayıf yapılandırma (varsayılan şifre, açık servisler)
- Eski işletim sistemi sürümü (Windows Server 2012 gibi)
- Açık yönetim arayüzleri internete ulaşıyor
- Bilinen açığa sahip eski yazılım sürümleri
- İçeri sızan bir cihazın yayılma potansiyeli
Düzenli tarama bu sorunların saldırganlar tarafından keşfedilmeden önce fark edilmesini sağlar.
Zafiyet Taraması ile Sızma Testi Farkı
İkisi sık karıştırılır:
- Zafiyet taraması: Otomatik, geniş kapsamlı, düzenli. Bilinen açıklara odaklanır. Düzenli olmalı.
- Sızma testi (pentest): Manuel, derinlemesine, yılda 1-2 kez. Zafiyetleri gerçekten sömürebilme yeteneğini test eder.
Bir benzetmeyle: tarama doktorun yıllık check-up'ı, pentest uzman değerlendirmesidir. İkisi birbirini tamamlar.
Tarama Türleri
1. Ağ Tabanlı Tarama
Ağdaki cihazlar uzaktan taranır; açık portlar, servis sürümleri ve bilinen açıklar tespit edilir. Harici (internetten gelen) ve iç ağ (çalışan gözünden) olmak üzere iki açıdan yapılır.
2. Kimlik Doğrulamalı Tarama
Cihazlara kullanıcı hesabıyla erişim verilerek daha derin tarama. Yüklü yazılım sürümleri, eksik yamalar ve yanlış yapılandırmalar görünür. Sonuçlar daha kesindir.
3. Web Uygulama Taraması
Kurumsal web siteleri veya uygulamalar ayrı yöntemle taranır (OWASP Top 10 açıkları: SQL injection, XSS vb.).
4. Yapılandırma Taraması
CIS Benchmark gibi standartlara göre işletim sistemi yapılandırmasının uyumluluğu kontrol edilir.
5. Bulut Konfigürasyon Taraması
Azure, AWS, Microsoft 365 gibi bulut hizmetlerinde yanlış yapılandırılmış izinler, açık depolama alanları taranır.
Sıklık Önerisi
| Varlık | Tarama Sıklığı |
|---|---|
| Kritik sunucular | Ayda 1 |
| Ağ cihazları (firewall, switch) | 3 ayda 1 |
| Çalışan bilgisayarları | 3 ayda 1 (agent tabanlı sürekli daha iyi) |
| Web uygulamaları | Her büyük değişiklikten sonra + 6 ayda 1 |
| Bulut yapılandırması | Sürekli (otomatik araçla) |
Büyük değişiklik (yeni sunucu, büyük güncelleme) sonrası ek tarama yapılır.
Tarama Sonuçlarıyla Ne Yapılmalı?
1. Önceliklendirme
Her zafiyet CVSS skoru ile puanlanır (0-10). Kritik (7.0+) açıklar öncelikli. Ama skor tek başına yeterli değil; gerçek sömürü ihtimali (bilinen exploit var mı?) ve etkilenen sistem önemi birlikte değerlendirilir.
2. Yamalama ve Düzeltme
- Kritik (7.0-10): 7 gün içinde
- Yüksek (4.0-6.9): 30 gün içinde
- Orta (0.1-3.9): 90 gün içinde veya risk kabulü
3. Yama Uygulanamıyorsa
Bazı açıklar için yama olmayabilir. Bu durumda işletmenin yapabileceği:
- Zafiyeti internete kapatma (firewall kuralıyla erişimi sınırlama)
- Etkilenen servisi durdurma
- Alternatif çözüm (örneğin uygulama kaldırılır, yerine başkası kullanılır)
- Risk kabulü ve belgelenmesi
4. Tekrar Tarama
Yama sonrası tarama tekrarlanır; zafiyetin kapandığı doğrulanır.
Tarama Araçları
| Araç | Hedef | Not |
|---|---|---|
| Nessus Professional | Ağ + sistem | Yaygın, olgun, lisanslı |
| OpenVAS | Ağ | Açık kaynak, bütçe dostu |
| Qualys | Ağ + bulut + konfig | Kurumsal, bulut tabanlı |
| Rapid7 Nexpose | Ağ + sistem | Risk skorlaması öne çıkan |
| Microsoft Defender Vulnerability Management | M365 entegre | E5 lisans gerektirir |
KOBİ için OpenVAS ekonomik başlangıç; Nessus Professional olgun alternatiftir.
Sık Yapılan Hatalar
- Taramayı yılda bir yapıp unutmak
- Raporu alıp hiçbir şey yapmamak
- Kritik tarama sırasında üretim sistemlerine zarar vermek (timing önemli)
- Kimlik doğrulamasız tarama ile yetersiz veri almak
- Zafiyet tamam raporu gelince pentest gereksiz sanmak
- Yama uygulandıktan sonra doğrulama taraması yapmamak
- Tarama sonuçlarını loglama yapmadan saklamak
Gerçek İşletme Örnekleri
Örnek 1: Muhasebe Firmasında Eski Yazılım
Bir muhasebe firmasında tarama sonucu eski bir muhasebe yazılımında kritik zafiyet raporlandı. Üretici yeni sürüm sunmuştu ama güncellenmemişti. Güncelleme planlandı ve uygulandı; sonraki tarama zafiyeti kapalı gösterdi.
Örnek 2: Üretim Tesisinde Yönetim Arayüzü
Bir üretim tesisinde tarama, yönetim arayüzlerinin internetten erişilebilir olduğunu gösterdi. Firewall kurallarıyla bu arayüzler yalnızca iç ağa sınırlandı; üç kritik açık anlık olarak kapandı.
Örnek 3: Danışmanlık Firmasında Bulut Yapılandırma
Bir danışmanlık firması Microsoft 365 yapılandırmasını tarattığında MFA'nın bazı yönetici hesapları için etkin olmadığı çıktı. Kontrol yapıldı ve tüm yönetici hesaplarında MFA zorunlu hale getirildi.
Yamanlar Bilişim Bu Süreçte Nasıl Destek Sağlar?
Yamanlar Bilişim, işletmenizin sistem, ağ ve bulut varlıklarını envantere alıp uygun tarama aracı ve planı tasarlar. Düzenli tarama, sonuç raporlama ve yamalama süreci birlikte yürütülür. Regülasyon gereksinimleri için uyumluluk raporu hazırlanır.
Yamanlar Bilişim'in destek verebildiği başlıca alanlar şunlardır:
- Varlık envanteri ve tarama kapsamı belirlenmesi
- Uygun tarama aracının seçimi ve kurulumu
- Periyodik tarama takvimi ve uygulaması
- Sonuçların risk bazlı önceliklendirilmesi
- Yamalama planı ve uygulaması
- Yama sonrası doğrulama taraması
- Bulut yapılandırma taraması (M365, Azure, AWS)
- Sızma testi hazırlığı ve sonuçların entegrasyonu
SSS
Zafiyet taraması sistemlere zarar verir mi?
Doğru yapıldığında risk düşüktür. Ancak yoğun tarama eski ekipmanda geçici yavaşlık oluşturabilir. Kritik sistemler için bakım penceresi kullanılır.
Ne sıklıkta tarama yapmalıyım?
Kritik varlıklar aylık, ağ cihazları 3 aylık, tüm cihazlar en az 6 aylık düzenli tarama önerilir. Bulut yapılandırma sürekli izlenmeli.
Ücretsiz araçla başlayabilir miyim?
Evet. OpenVAS güçlü bir açık kaynak araçtır. Ölçek büyüdükçe ticari çözüme geçiş değerlendirilir.
Tarama sonrası ne bekleyebilirim?
Yüzlerce bulgulu raporlar gelebilir. Önemli olan önceliklendirme ve aşamalı düzeltmedir. Her şeyi tek seferde kapatmaya çalışmak pratikte işlemez.
Zafiyet taraması pentest yerine geçer mi?
Hayır. Tarama bilinenleri bulur, pentest bilinmeyenleri ve gerçek etkiyi test eder. İkisi birlikte kullanılır.
Teklif Alın
Zafiyet taraması, KOBİ güvenlik sağlığının temel göstergesidir. Yamanlar Bilişim, kapsam belirlemeden yamalamaya kadar tüm süreci yönetir. Detaylı değerlendirme için /teklif sayfasından talep iletebilir, mevcut durum için /iletisim üzerinden ulaşabilirsiniz.
Yazar
Yamanlar Bilişim Ekibi
Yamanlar Bilişim Uzmanı
Yamanlar Bilişim bünyesinde IT altyapısı, siber güvenlik ve dijital dönüşüm konularında içerikler üretmektedir. Sorularınız için iletişime geçebilirsiniz.
Profesyonel Destek
Bu konuda destek alın
Siber Güvenlik alanında ihtiyaç duyduğunuz çözümü birlikte tasarlayalım. Uzman ekibimiz 1 iş günü içinde size geri döner.
support@yamanlarbilisim.com.tr · Yanıt süresi: 1 iş günü
Devamını Oku
İlgili Makaleler
Phishing Saldırılarına Karşı Çalışan Farkındalık Eğitimi Planı
KOBİ siber güvenlik olaylarının büyük çoğunluğu teknik açıktan değil, çalışanın bir tıklama hatasından başlar. Planlı bir farkındalık eğitimi, teknik önlemlerden daha yüksek korunma sağlar.
Fidye Yazılımı Savunması: KOBİ İçin 7 Katmanlı Yaklaşım
Fidye yazılımı KOBİ'ler için en yıkıcı siber tehditlerden biridir; saldırı sonrası dosyalar şifrelenir, operasyon durur. Tek bir çözüm yerine yedi farklı katmanın birlikte çalıştığı bir savunma en etkili sonucu verir.
İki Faktörlü Doğrulama (MFA) Kurumsal Kullanımı
Parola sızıntısı yaygın bir risk; MFA bu riski büyük ölçüde yok eder. Kurumsal ortamda tüm kritik hesaplar için MFA zorunluluğu en hızlı uygulanabilecek güvenlik kazanımıdır.