https://www.fatihyildirim.tr                
  Siber Güvenlik Mimarisi
Siber Güvenlik Mimarileri
Gartner ASA Uyarlanabilir Güvenlik Mimarisi
Gartner CARTA Sürekli Uyarlanabilir Risk ve Güvenlik Değerlendirmesi
NIST CSF Siber Güvenlik Çerçevesi
MITRE ATT@CK Düşman Taktikleri, Teknikleri ve Ortak Bilgisi
SOC Güvenlik Operasyonları Merkezi
USOM Ulusal Siber Olaylara Müdahale Merkezi
 
 
                      Cyber security framework
  Son Güncelleme: 23.04.2026   r.02.01
 
Siber Güvenlik Mimarileri
  Uyarlanabilir bir güvenlik yaklaşımı benimsemek, saldırı riskini ve doğurduğu zararı önemli ölçüde azaltır.  Birçok tehdit analizler ve önleyici teknolojilerle tespit edilebilirken bazıları, geleneksel koruma yaklaşımlarına göre çok daha hızlı algılanıp zararsız hale getirilebilir. 
 
Gartner ASA Gartner Uyarlanabilir Güvenlik Mimarisi (Adaptive Security Architecture)
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
  Gartner'ın Uyarlanabilir Güvenlik Mimarisi (Adaptive Security Architecture - ASA), CARTA'nın da temelini oluşturan öncü bir stratejik çerçevedir. CARTA, bu mimarinin 3. nesil evrimi olarak kabul edilir . Günümüzün sürekli değişen ve gelişmiş tehditlerine karşı, statik ve çevre merkezli güvenlik anlayışının yetersiz kaldığı noktada ortaya çıkmıştır.
 
   🧱 Dört Temel Bileşen: Öngör, Önle, Tespit Et, Müdahale Et (PPDR)
 
  Geleneksel güvenlik duvarları ve antivirüs yazılımları gibi araçların yetersiz kaldığı durumlara karşı geliştirilen bu mimari, Öngörme (Predict), Önleme (Prevent), Tespit Etme (Detect) ve Müdahale Etme (Respond) olmak üzere dört temel yetenek etrafında şekillenir . Bu dört yetenek, bir tehdidin yaşam döngüsünün tamamını kapsayan sürekli ve kapalı bir döngü oluşturur.
 
  * Öngörme (Predict): Bu aşama, bir saldırı gerçekleşmeden önce sistemlerdeki zafiyetleri ve riskleri proaktif bir şekilde tespit etmeyi amaçlar. Tehdit istihbaratı, risk değerlendirmeleri ve güvenlik açığı taramaları gibi yöntemlerle potansiyel saldırı yüzeyleri belirlenir ve önlem alınır .
   * Önleme (Prevent): Bilinen tehditlerin sisteme girişini engellemeye odaklanan klasik güvenlik katmanıdır. Güvenlik duvarları, erişim kontrol listeleri (ACL), kimlik doğrulama mekanizmaları ve uygulama güvenlik duvarları (WAF) gibi araçlarla saldırı yüzeyini azaltmayı hedefler . Artık "her şeyi önleyebilirim" mantığından sıyrılan mimari, bunun imkansız olduğunu kabul eder.
   * Tespit Etme (Detect): Önleme katmanlarını aşmayı başaran gelişmiş saldırıları (APTs, zero-day) ve anormal davranışları tespit etmek için sürekli izleme yapar. Bu noktada ağ trafiği analizi (NTA), uç nokta tespit ve yanıtlama (EDR) ve kullanıcı/davranış analitiği (UEBA) gibi araçlar devreye girer .
   * Müdahale Etme (Respond): Tespit edilen bir güvenlik olayına hızlı ve etkili bir şekilde yanıt vermeyi sağlar. Olayın kapsamını araştırma, adli bilişim (forensic) analizi yapma, kök neden analizi ile sorunu çözme ve gelecekte benzer olayların yaşanmasını engellemek için önleyici tedbirler geliştirme süreçlerini kapsar .
 
  Bu dört aşama bir döngü halinde çalışır. Örneğin, Müdahale aşamasında elde edilen bilgiler, Öngörme aşamasını besleyerek gelecekteki tehditlere karşı daha hazırlıklı olunmasını sağlar .
 
   ⏳ Evrimi: ASA'dan CARTA'ya
 
  Bu mimari, güvenlik ihtiyaçları ve teknolojileri geliştikçe iki önemli evrim geçirmiştir:
 
   * 1.0 - Temel PPDR Döngüsü (2014): İlk versiyon, yukarıda bahsedilen dört temel yetenek etrafında şekillenmiş ve savunma mekanizmasını sürekli bir döngüye oturtmuştur .
   * 2.0 - Görünürlük ve İç Döngüler (2017): Bu versiyonda "sürekli izleme" kavramı daha da geliştirilerek "sürekli görünürlük ve değerlendirme" haline gelmiştir . Özellikle UEBA (Kullanıcı ve Davranış Analitiği) gibi teknolojiler ön plana çıkmıştır. Ayrıca, dört ana aşamanın kendi içlerinde de küçük döngülerle çalışması fikri eklenmiştir .
   * 3.0 - CARTA (2018 ve sonrası): Uyarlanabilir Güvenlik Mimarisi'nin en güncel ve kapsamlı halidir. **CARTA (Sürekli Uyarlanabilir Risk ve Güven Değerlendirmesi)** ile birlikte sadece "saldırı" değil, "erişim" ve "güven" kavramları da sürecin merkezine alınmıştır . Özellikle **Sıfır Güven (Zero Trust)** prensibi CARTA'nın ilk adımı ve olmazsa olmazı haline gelmiştir. Artık varsayılan olarak hiçbir şeye güvenilmez; her erişim talebi, kullanıcı, cihaz ve bağlam bilgilerine göre sürekli olarak risk ve güven ekseninde değerlendirilir .
 
   🎯 Neden Gereklidir?
 
  Bu mimari, "ya hep ya hiç" mantığıyla çalışan geleneksel güvenlik modellerinin aksine, "güvenlik bir anlık karar değil, sürekli bir süreçtir" anlayışını benimser . Amaç, %100 korumanın imkansız olduğunu kabul ederek, bir saldırının tespit edilmesi ile etkisiz hale getirilmesi arasında geçen "duran süreyi (dwell time)" minimize etmektir .
 
  📝 Bu yaklaşım sayesinde kurumlar, yalnızca bilinen tehditlere karşı değil, daha önce hiç görülmemiş "sıfırıncı gün" tehditlerine ve içeriden gelebilecek risklere karşı da esnek, dirençli ve proaktif bir savunma hattı kurabilirler.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Gartner CARTA
  Gartner CARTA (Continuous Adaptive Risk and Trust Assessment), yani "Sürekli Uyarlanabilir Risk ve Güven Değerlendirmesi", geleneksel "ya hep ya hiç" güvenlik yaklaşımlarının yetersiz kaldığı günümüzün dinamik tehdit ortamına yanıt olarak Gartner tarafından geliştirilmiş stratejik bir güvenlik çerçevesidir. 
 
  CARTA'nın temel amacı, siber güvenlik yönetimini statik, tek seferlik karar noktalarından (örn. "erişime izin ver veya engelle") kurtararak, sürekli izleme, değerlendirme ve dinamik uyum sağlama prensiplerine dayandırmaktır.
 
   CARTA'nın Temel Bileşenleri ve Çalışma Prensibi
 
  CARTA, adından da anlaşılacağı gibi dört ana prensip üzerine inşa edilmiştir:
 
  1.  Sürekli (Continuous): Güvenlik tek seferlik bir kontrol değil, kesintisiz bir süreçtir. Sistemler, kullanıcılar ve cihazlar sürekli olarak izlenir ve değerlendirilir.
  2.  Uyarlanabilir (Adaptive): Tehditler ve davranışlar karşısında güvenlik politikaları ve erişim hakları gerçek zamanlı olarak değiştirilebilir. Bu sayede güvenlik, iş süreçlerine ayak uydurabilir.
  3.  Risk (Risk): "Korumacı" bakış açısıyla, ağ içindeki saldırıları, açıklıkları, ihlalleri ve anormallikleri tespit etmeye odaklanır. Amaç "kötü" olarak nitelendirilebilecek unsurları belirlemektir.
  4.  Güven (Trust): "Erişim kontrolü" bakış açısıyla, kullanıcıların, cihazların ve uygulamaların kimliklerini ve güvenilirliklerini değerlendirir. Amaç "iyi" olanları tanımlamak ve doğru yetkileri vermektir.
 
  Basit Bir Örnekle Açıklamak Gerekirse:
  Geleneksel modelde bir kullanıcı ağa giriş yaptıktan sonra tamamen güvenilir kabul edilir. CARTA modelinde ise kullanıcıya başlangıçta bir risk ve güven puanı atanır (örn. Risk=0.5, Güven=0.5). Bu kullanıcı normal davranışlar sergiledikçe puanı sabit kalır. Ancak yetkisi olmayan bir dosyaya defalarca erişmeye çalıştığında risk puanı yükselir (örn. Risk=0.7, Güven=0.3) ve sistemi otomatik olarak kullanıcıyı daha sıkı izlemeye alır veya bazı yetkilerini kısıtlar.
 
   CARTA Neden Önemlidir?
 
  Geleneksel güvenlik duvarı tabanlı yaklaşımlar, günümüzdeki gelişmiş kimlik avı (phishing), fidye yazılımı (ransomware) ve sıfırıncı gün (zero-day) saldırıları gibi tehditleri durdurmakta yetersiz kalmaktadır. CARTA'nın sağladığı avantajlar şunlardır:
 
   * Gerçek Zamanlı Tehdit Azaltma: Sürekli izleme sayesinde tehditler anında tespit edilip, müdahale edilebilir.
   * Gelişmiş Karar Verme: Risk ve güvenin birlikte değerlendirilmesi, yanlış pozitif (false positive) alarmları azaltarak güvenlik ekiplerinin gerçek tehditlere odaklanmasını sağlar.
   * İş Sürekliliği ve Güvenlik Dengesi: CARTA, güvenlik önlemlerinin iş süreçlerini tamamen durdurmasını engeller. Risk seviyesine göre erişime izin verirken kullanıcı deneyimini de optimize eder.
 
   CARTA ve İlişkili Diğer Modeller
 
  CARTA genellikle diğer popüler güvenlik modelleriyle birlikte anılır ve aslında onları kapsayan veya tamamlayan bir strateji olarak görülebilir:
 
   * Sıfır Güven (Zero Trust): CARTA'nın ilk adımı Sıfır Güven prensibidir. Hiçbir kullanıcı veya cihaza varsayılan olarak güvenilmez, her erişim isteği sürekli olarak doğrulanır.
   * Adaptif Güvenlik Mimarisi (Adaptive Security Architecture - ASA): CARTA, Gartner'ın daha önceki ASA modelinin bir evrimi ve devamı niteliğindedir ve onu risk ve güven değerlendirmesiyle zenginleştirir.
 
   CARTA Uygulamanın Zorlukları
 
  Bu stratejik yaklaşımı benimsemek bazı zorlukları da beraberinde getirir:
 
   * Kaynak Yoğunluğu: Sürekli izleme, otomasyon ve analiz için önemli ölçüde teknoloji ve yetkin personele ihtiyaç duyar.
   * Karmaşıklık: Dinamik yapısı, güvenlik operasyonlarına karmaşıklık ekler ve gelişmiş araçlar gerektirir.
   * Veri Yığılması: Sürekli izleme, içinde gerçek güvenlik sinyallerini bulmanın zorlaşabileceği büyük miktarda veri üretebilir.
   * Kültürel Değişim: Güvenlik ekipleri ve son kullanıcıların statik kontrollerden dinamik bir modele geçiş yapması gerekir.
 
Örnek: Güvenlik Ekosistemi : Ölçeklenebilir, Entegre, Açık Aksiyon alabilir.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
NIST Siber Güvenlik Çerçevesi (NIST Cybersecurity Framework - CSF)
 
  NIST CSF Nedir?
 
  NIST CSF (Ulusal Standartlar ve Teknoloji Enstitüsü Siber Güvenlik Çerçevesi), ABD merkezli NIST tarafından geliştirilmiş, kritik altyapı kuruluşları başta olmak üzere tüm sektörlerdeki kurumların siber güvenlik risklerini yönetmelerine yardımcı olmak için tasarlanmış, gönüllü, risk temelli ve esnek bir çerçevedir.
 
  İlk sürümü 2014'te, en güncel sürümü (CSF 2.0) ise Şubat 2024'te yayınlanmıştır. 2.0 sürümüyle birlikte kapsamı genişlemiş ve her büyüklükteki kuruluş için daha kullanışlı hale gelmiştir.
 
   Neden Bu Kadar Önemli ve Popüler?
 
   * Ortak Bir Dil Sağlar: Teknik ekipler, yöneticiler ve düzenleyici kurumlar arasında siber güvenlik konusunda ortak bir anlaşma zemini oluşturur.
   * Esnektir: Küçük bir işletmeden büyük bir şirkete, üretim tesisinden bulut sağlayıcıya kadar her tür kuruluş kendi ihtiyacına göre uyarlayabilir.
   * Risk Temellidir: "Her şeyi koru" yaklaşımı yerine, kuruluşun en kritik varlıklarına ve en büyük risklerine odaklanır.
   * Mevcut Süreçlerle Uyumludur: ISO 27001, COBIT, PCI DSS gibi diğer standart ve düzenlemelerle birlikte kullanılabilir.
   * Düzenleyici Referans: Birçok ülke ve sektör (örneğin ABD finans sektörü) NIST CSF'yi referans alan düzenlemeler yayınlamaktadır.
 
  NIST CSF 2.0'ın Temel Bileşenleri
 
  Çerçeve üç ana parçadan oluşur:
 
   1. Çerçeve Çekirdeği (Core)
  Siber güvenlik faaliyetlerinin temelini oluşturan beş üst seviye fonksiyon (Functions) ve bunların altındaki kategoriler (Categories) ile alt kategorilerden (Subcategories) oluşur. Bu beş fonksiyon kalıcıdır ve döngüseldir:
 
  G (Govern - Yönet): (CSF 2.0 ile eklenen yeni ana fonksiyon)
   * Amaç: Kuruluşun siber güvenlik stratejisini, beklentilerini ve politikalarını oluşturup sürekli izlemesi.
   * Örnekler: Risk yönetimi stratejisi, roller ve sorumluluklar, politika oluşturma, tedarik zinciri risk yönetimi, yasal ve düzenleyici gerekliliklere uyum.
 
  T (Identify - Tanımla):
   * Amaç: Kuruluşun varlıklarını, risklerini ve iş süreçlerini anlamak.
   * Örnekler: Varlık envanteri, risk değerlendirmesi, iş etki analizi, tedarik zinciri risklerinin belirlenmesi.
 
  P (Protect - Koru):
   * Amaç: Siber saldırıları önlemek veya etkisini sınırlamak için güvenlik kontrolleri uygulamak.
   * Örnekler: Kimlik ve erişim yönetimi (MFA), farkındalık eğitimi, veri şifreleme, güvenlik duvarları, yama yönetimi.
 
  D (Detect - Tespit Et):
   * Amaç: Siber güvenlik olaylarını zamanında tespit etmek.
   * Örnekler: Güvenlik olayı ve uyarı yönetimi (SIEM), anomali tespiti, sürekli izleme, zafiyet taramaları.
 
  R (Respond - Müdahale Et):
   * Amaç: Tespit edilen bir olayın etkisini kontrol altına almak ve ortadan kaldırmak.
   * Örnekler: Olay müdahale planı, iletişim planları, adli bilişim analizi, iyileştirme faaliyetleri.
 
  R (Recover - Kurtar):
   * Amaç: Olay sonrası normal iş operasyonlarını eski haline getirmek.
   * Örnekler: Yedekleme ve felaket kurtarma planları, iş sürekliliği planı, itibar yönetimi, çıkarılan dersler.
 
   2. Çerçeve Uygulama Katmanları (Tiers)
  Kuruluşunuzun siber güvenlik uygulamalarının ne kadar sağlam ve entegre olduğunu değerlendiren bir ölçektir. Dört katman vardır:
 
   * Katman 1: Kısmi (Partial) : Ad hoc, resmi olmayan, risk bilinci sınırlı.
   * Katman 2: Risk Bilincinde (Risk Informed) : İç riskler biliniyor ama kurumsal çapta değil.
   * Katman 3: Tekrarlanabilir (Repeatable) : Kurumsal çapta onaylı süreçler, düzenli olarak güncellenir.
   * Katman 4: Uyarlanabilir (Adaptive) : Önceki deneyimlerden ve öngörülen risklerden sürekli öğrenen, dinamik bir yapı.
 
  📝 Bu katmanlar bir "olgunluk seviyesi" değil, "risk yönetimi yaklaşımınızın kapsamı ve bütünleşikliği" olarak düşünülmelidir.
 
   3. Çerçeve Profili (Profile)
  Kuruluşun mevcut durumu (şu anki profil) ile hedeflediği durumu (hedef profil) karşılaştıran bir araçtır.
 
   * Nasıl kullanılır? Çekirdekteki kategoriler ve alt kategoriler için "Şu an ne yapıyoruz?" ve "Gelecekte ne yapmalıyız?" sorularına cevap verilir.
   * Çıktı: Mevcut profil ile hedef profil arasındaki fark (gap) ortaya çıkar. Bu farklar, kuruluşun eylem planını (önce hangi güvenlik kontrollerini uygulayacağını) oluşturur.
 
   NIST CSF Nasıl Uygulanır?  
  Çerçeveyi uygulamak için yedi temel adım önerilir:
 
  1.  Önceliklendir ve Kapsamı Belirle: Hangi iş birimleri, varlıklar veya sistemler bu çerçeveye dahil edilecek?
  2.  Yönlendir: Kuruluş içinde uygulamayı yönetecek bir ekip ve lider belirleyin.
  3.  Mevcut Durumu Belirle (Mevcut Profil): Çerçeve Çekirdeği'ndeki alt kategorilere göre şu anda neredesiniz?
  4.  Hedef Durumu Belirle (Hedef Profil): İş hedefleriniz ve risk toleransınıza göre ulaşmak istediğiniz seviye nedir?
  5.  Fark Analizi Yap (Gap Analysis): 3 ve 4. adımları karşılaştırın. Hangi alt kategorilerde eksiğiniz var?
  6.  Eylem Planı Oluştur: Farkları kapatmak için gerekli kaynaklar, bütçe, teknoloji ve süreçleri içeren bir yol haritası hazırlayın.
  7.  Uygula ve İzle: Planı hayata geçirin ve düzenli aralıklarla profilleri güncelleyerek sürekli iyileştirme döngüsünü sürdürün.
 
   NIST CSF 2.0 ile Gelen Yenilikler (Özet)
 
   * Yeni Ana Fonksiyon: "Yönet (Govern)" fonksiyonu eklendi. Artık tüm diğer fonksiyonları kapsayan, stratejik ve yönetişim odaklı bir katman var.
   * Kapsam Genişlemesi: Sadece kritik altyapı değil, **tüm kuruluşlar** (KOBİ'ler, okullar, kar amacı gütmeyenler) için uygun hale getirildi.
   * Tedarik Zinciri Odağı: Tedarik zinciri risk yönetimi (SCRM) tüm fonksiyonlara ve özellikle Yönet fonksiyonuna daha derinlemesine entegre edildi.
   * Daha Pratik Araçlar: Kullanım kılavuzları, örnek profiller ve referans araçları (CSF 2.0 Quick Start Guide) eklenerek uygulama kolaylaştırıldı.
 
   NIST CSF vs Diğer Standartlar (Örnek: ISO 27001)
 
  Özellik NIST CSF ISO 27001
  Yapı Esnek, rehberlik odaklı, 5 fonksiyon Sertifikasyona uygun, maddeler halinde katı
  Odak Risk yönetimi ve iş süreçleri Bilgi güvenliği yönetim sistemi (BGYS)
  Dil Teknik ve yönetimsel (ortak dil)  Daha çok yönetim sistemleri ve prosedürler
  Sertifika Sertifika YOK (gönüllü uyum) Sertifika VAR (denetlenebilir)
  Güncelleme Daha sık ve çevik (2.0 - 2024) Daha yavaş (2022'de güncellendi)
 
  📝 Önemli Not: İkisi birbirinin rakibi değil, tamamlayıcısıdır. Birçok kuruluş NIST CSF'yi üst seviye bir strateji ve risk çerçevesi olarak kullanırken, ISO 27001'i belirli kontrolleri hayata geçirmek ve sertifikasyon almak için kullanır.
 
   Faydalı Kaynaklar
   * NIST Resmi CSF 2.0 Sayfası: [https://www.nist.gov/cyberframework](https://www.nist.gov/cyberframework) (CSF 2.0'ın PDF'ini, Quick Start Guide'ları ve referans araçlarını buradan indirebilirsiniz.)
   * CSF 2.0 Quick Start Guide: Özellikle yeni başlayanlar için çok faydalı, adım adım rehber.
 
  Özetle, NIST CSF, sadece bir uyum listesi değil, kuruluşunuzun siber riskleri nasıl anlayıp yöneteceğine dair stratejik bir yol haritasıdır. Özellikle "nereden başlayacağını bilemeyen" kurumlar için ideal bir başlangıç noktasıdır.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
  Katmanlar (Tiers)
Intel Tier Alterations
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
  Subcategories 1.1
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
  Framework Hourglass v 1.1
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
MITRE ATT&CK
  MITRE ATT&CK çerçevesi, özellikle tehdit istihbaratı ve olay müdahalesi söz konusu olduğunda, siber güvenlik dünyasında adeta bir ortak dil ve bilgi tabanı haline gelmiştir.
 
  MITRE ATT&CK, "Adversarial Tactics, Techniques, and Common Knowledge" (Düşman Taktikleri, Teknikleri ve Ortak Bilgisi) ifadesinin kısaltmasıdır. Gerçek dünyadaki gözlemlere dayanarak, siber saldırganların bir saldırıyı gerçekleştirirken izledikleri adımları (taktikleri) ve kullandıkları yöntemleri (teknikleri) kategorize eden, herkese açık ve sürekli güncellenen bir bilgi tabanıdır.
 
   🎯 MITRE ATT&CK'ın Amacı ve Önemi
 
  Bu çerçevenin temel amacı, savunma ekipleri ile saldırganlar arasındaki bilgi asimetrisini kapatmaktır. Kurumlar ATT&CK sayesinde şunları yapabilir:
 
   * Ortak Bir Dil Kullanmak: Güvenlik ekipleri, bir tehditten bahsederken "T1059.003" (Komut ve Betik Yorumlayıcı: Windows Command Shell) gibi standart bir teknik kimliği kullanarak net bir iletişim kurabilir.
  📝 Ortak Dil, Farklı kurumlar ve araçlar (SIEM, EDR vb.) arasında tehditlerin tanımlanmasında tutarlılık sağlar
   * Güvenlik Açıklarını Değil, Saldırı Yollarını Anlamak: Hangi güvenlik duvarı kuralının eksik olduğu yerine, bir saldırganın ağ içinde nasıl hareket edebileceğini (örneğin, yanal hareket) anlamaya odaklanır.
  📝 Güvenlik Boşluğu Analizi, Kurumun hangi saldırı tekniklerine karşı savunmasız olduğunu belirlemesini sağlar
   * Güvenlik Açıklarını Test Etmek: Kırmızı takım (Red Team) çalışmalarında, gerçek tehdit aktörlerinin kullandığı teknikler senaryolaştırılır.
  📝 Kırmızı ve Mavi Takım Egzersizleri, gerçekçi saldırı simülasyonları yapmaya ve savunma mekanizmalarının etkinliğini test etmeye yardımcı olur
   * Savunma Araçlarını Ölçmek: Mavi takım (Blue Team) çalışmalarında, mevcut güvenlik ürünlerinin (EDR, SIEM, NGFW) hangi ATT&CK tekniklerini tespit edip engelleyebildiği ölçülür.
   * Güvenlik Yatırımını Önceliklendirmek: Kurum için en riskli tehdit aktörlerinin en çok kullandığı tekniklere karşı savunma geliştirmek.
 
   🧩 MITRE ATT&CK'in Yapısı: Matris
 
  Çerçeve, bir matris şeklinde organize edilmiştir. Matrisin yatay ekseninde Taktikler (saldırganın amacı), düşey ekseninde ise bu amaca ulaşmak için kullanılan Teknikler (ve alt teknikler) yer alır.
 
  Taktikler, bir saldırganın tipik bir siber saldırıyı gerçekleştirirken izlediği mantıksal adımları temsil eder. En güncel kurumsal matris (Enterprise Matrix) için temel taktikler şunlardır:
 
  | Taktik ID'si | Taktik Adı | Açıklama |
  TA0043  Reconnaissance (Keşif) Saldırganın hedef hakkında bilgi toplamak için pasif veya aktif yöntemler kullanması.
  TA0042 Resource Development (Kaynak Geliştirme) Saldırı için altyapı, araç veya hesapların hazırlanması.
  TA0001 Initial Access (İlk Erişim) Hedef ağa giriş noktası bulmak (Phishing e-postası, açıktaki bir servis).
  TA0002 Execution (Çalıştırma)  Hedef sistemde kötü amaçlı kodun çalıştırılması.
  TA0003 Persistence (Kalıcılık) Yeniden başlatma veya kimlik bilgisi değişikliği sonrası erişimi korumak.
  TA0004 Privilege Escalation (Ayrıcalık Yükseltme)  Daha yüksek sistem veya kullanıcı yetkileri elde etmek.
  TA0005 Defense Evasion (Savunma Atlatma) Tespit edilmekten kaçınmak için kullanılan yöntemler (şifreleme, meşru araçları kullanma).
  TA0006 Credential Access (Kimlik Bilgilerine Erişim)  Kullanıcı adı, parola veya hash gibi bilgileri çalmak. 
  TA0007 Discovery (Keşif) Ağ, sistem ve veriler hakkında bilgi toplamak.
  TA0008 Lateral Movement (Yanal Hareket) Ağ içinde diğer sistemlere sıçramak.
  TA0009 Collection (Toplama)  Hedeflenen verileri toplamak.
  TA0011 Command and Control (C2 - Komuta ve Kontrol) Ele geçirilen sistemle dış dünya arasında iletişim kanalı kurmak.
  TA0010 Exfiltration (Dışarı Sızdırma) Çalınan verileri hedef ağın dışına çıkarmak.
  TA0040 Impact (Etki) Verileri yok etmek, fidye yazılımı ile şifrelemek veya hizmetleri durdurmak.
 
  The MITRE ATT&CK Framework | Cybersecurity Insights
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
  Her taktik, onlarca hatta yüzlerce tekniği içerir. Örneğin, "Initial Access" taktiğinin altında T1566.001 (Phishing: Spearphishing Attachment) gibi spesifik teknikler bulunur.
 
   🌲 MITRE ATT&CK'in Farklı Sürümleri (Matrisleri)
 
  MITRE ATT&CK, farklı ortamlar için ayrı ayrı matrisler sunar:
 
  1.  Enterprise (Kurumsal): En yaygın kullanılandır. Windows, Linux, macOS, Bulut (AWS, Azure, GCP), Ağ Cihazları (Router, Switch), Konteynırlar (Docker, Kubernetes) ve Mobil cihazları kapsar.
  2.  Mobile (Mobil): iOS ve Android işletim sistemlerindeki saldırı tekniklerini içerir.
  3.  ICS (Endüstriyel Kontrol Sistemleri): Enerji, su, fabrika gibi kritik altyapılarda kullanılan SCADA ve PLC sistemlerine yönelik teknikleri kapsar.
 
   🔧 Nasıl Kullanılır?
 
  Bir kurum MITRE ATT&CK'i şu şekillerde kullanabilir:
 
   * Güvenlik Açığı Değerlendirmesi (Gap Analizi): Mevcut güvenlik ürünlerimizin hangi teknikleri tespit edemediğini görmek.
   * Olay Müdahalesi (Incident Response): Bir saldırıyı analiz ederken, saldırganın hangi taktik ve teknikleri kullandığını ATT&CK ID'leri ile raporlamak.
   * Tehdit İstihbaratı (Threat Intelligence): Bir tehdit aktörü grubu (ör. APT28, Lazarus) için yayınlanan raporlarda, o grubun en çok hangi teknikleri kullandığını öğrenmek.
   * Simülasyon ve Tatbikatlar (Adversary Emulation): Kırmızı takımın, gerçek bir saldırgan gibi hareket edebilmesi için bir oyun kitabı olarak kullanması.
 
   💎 Özet ve Uyarlanabilir Mimarilerle İlişkisi
 
  MITRE ATT&CK, uyarlanabilir güvenlik mimarilerinin (Gartner CARTA, NIST CSF) olmazsa olmaz bir parçasıdır.
 
   * NIST CSF size "Ne yapmalısın?" (Govern, Protect, Detect, Respond) söyler.
   * Gartner CARTA size "Nasıl sürekli ve uyarlanabilir olmalısın?" söyler.
   * MITRE ATT&CK ise size "Tam olarak neye karşı savunma yapmalısın?" söyler. Yani bir saldırganın "Defense Evasion" için kullanabileceği 100'den fazla farklı tekniğin listesini sunar.
 
  Kısacası, günümüzün proaktif güvenlik stratejilerinin merkezinde, düşmanın nasıl çalıştığını anlatan bu bilgi tabanı yer alır. Savunmanızı, düşmanın taktiklerine göre şekillendirmek isterseniz, ATT&CK vazgeçilmez bir rehberdir.
 
 
SOC Güvenlik Operasyon Merkezi (SOC - Security Operation Center), bir kurumun bilgi varlıklarını (sunucular, ağ cihazları, veritabanları, uç noktalar, bulut sistemler) siber tehditlere karşı 7 gün 24 saat izleyen, tespit edilen olaylara müdahale eden ve kurumun genel güvenlik duruşunu iyileştiren merkezi bir birimdir.
  Kısaca: SOC, kurumun siber güvenlik bekçisi ve itfaiyesidir.
  SOC'nin Temel Amaçları:
  * Saldırıları erken tespit etmek (Hasar oluşmadan veya oluşurken)
  * Güvenlik olaylarına hızlı müdahale etmek (İzole etme, temizleme, kurtarma)
  * Yasal ve düzenleyici gerekliliklere uyumu sağlamak (KVKK, GDPR, PCI-DSS vb.)
  * Gelecekteki saldırıları önlemek için proaktif savunma yapmak
 
  SOC Nasıl Çalışır?
  SOC çalışmasını 5 ana aşamada özetleyebiliriz:
  1. Veri Toplama (Log & Telemetri)
  SOC, ağdaki her cihazdan (güvenlik duvarları, IDS/IPS, sunucular, antivirüsler, bulut API'ları) log kayıtları, ağ akış verileri, uç nokta telemetrisi toplar. Bu veriler merkezi bir SIEM (Security Information and Event Management) platformuna gönderilir.
  2. Normalizasyon & Zenginleştirme
  SIEM, farklı cihazlardan gelen farklı formatlardaki logları standart bir şablona dönüştürür (normalizasyon). Ardından IP adreslerinin coğrafi konumu, tehdit istihbaratı (threat intelligence) gibi ek bilgilerle zenginleştirir.
  3. Korelasyon & Analiz
  SIEM, korelasyon kuralları (örneğin: "10 dakikada 5 başarısız login + sonra başarılı login + farklı bir ülkeden giriş") kullanarak normal dışı aktiviteleri tespit eder. Ayrıca UEBA (Kullanıcı ve Davranış Analitiği) ile anormal davranışları makine öğrenmesiyle bulur. Bu aşamada olay (event) bir alarma dönüşür.
  4. Triyaj & Müdahale
  Bir alarm oluştuğunda SOC analistleri:
  Doğru pozitif mi? (Gerçek saldırı mı?)
cyber security ile ilgili görsel sonucu
  Yanlış pozitif mi? (Kural hatası mı?)
  Öncelik seviyesi nedir? (Kritik, yüksek, orta, düşük)
  Gerçek bir tehditse Olay Müdahale Planı devreye girer:
  Tehdidin yayılmasını engellemek için cihazı izole etme
  Zararlı süreçleri sonlandırma
  Gerekirse sistemi yedekten geri yükleme
  Adli bilişim için delil toplama
  5. İyileştirme & Raporlama
  Olay çözüldükten sonra:
  Kök neden analizi yapılır
  Güvenlik açıkları kapatılır (yama, kural güncellemesi)
  Yeni tehditleri yakalamak için korelasyon kuralları güncellenir
  Yönetime düzenli siber güvenlik durum raporu sunulur
 
  SOC İçindeki Roller (Örnek)
  Rol   Görevi    
  Tier 1 Analist Alarmları izler, triyaj yapar, basit olayları kapatır
  Tier 2 Analist Karmaşık saldırıları araştırır, müdahale eder
  Tier 3 Avcı (Threat Hunter) Hiç alarm oluşmamış gizli tehditleri arar
  Olay Müdahale Uzmanı Büyük çaplı ihlallerde kriz yönetir
  SOC Müdürü Ekibi yönetir, süreçleri iyileştirir
 
  SOC Türleri
  1. Dahili (Internal) SOC – Kurumun kendi çalışanlarıyla kendi tesisinde kurduğu SOC.
  2. Yönetilen (Managed SOC / MSSP) – Dış bir güvenlik firmasına hizmet olarak aldırılan SOC.
  3. Karma (Co-Managed) – Bazı seviyeler içerde, bazı seviyeler dışarda.
  4. Komuta Merkezi (Command SOC) – Birden çok SOC'yi koordine eden üst düzey merkez.
 
  SOC Hangi Araçları Kullanır?
  SIEM (Splunk, QRadar, Sentinel, LogRhythm)
  SOAR (Security Orchestration Automation Response) – Otomatik müdahale playbook'ları için (Demisto, Phantom)
  EDR / XDR (CrowdStrike, Defender, SentinelOne) – Uç nokta dedektifi
  NDR (Darktrace, ExtraHop) – Ağ trafiği analizi
  Threat Intelligence Platformları (MISP, Recorded Future)
  Vulnerability Management (Tenable, Qualys)
 
  SOC vs. NOC Arasındaki Fark
  Özellik SOC NOC (Network Operations Center)
  Odak Siber güvenlik tehditleri Ağ performansı & kesinti
  Ana Metrik MTTD, MTTR (tespit/müdahale süresi) Uptime, gecikme, paket kaybı
  Örnek Olay Brute-force saldırısı, zararlı yazılım Switch arızası, bant genişliği tıkanıklığı
 
  Özet: SOC Olmadan Ne Olur?
  Saldırılar aylar boyunca fark edilmez (2020'de ortalama tespit süresi 287 gündü – SOC ile bu süre saatlere iner)
  Veri ihlalleri çok daha büyük maliyet getirir
  Yasal cezalar ve itibar kaybı artar
  Müdahale kaotik, koordinasyonsuz olur
  Bu nedenle modern kurumlar için SOC artık bir lüks değil, zorunluluktur. Özellikle bankacılık, enerji, sağlık ve kritik altyapı sektörlerinde.
 
  Güvenlik Operasyonları Merkezinin (SOC) rolü, gelişmiş tehditleri algılamakla sınırlı değildir. SOC, hedefli saldırılara karşı savunma ve algılamadan müdahale etmeye, güvenlik açıklarını ortadan kaldırmaya ve olası riskleri öngörmeye kadar eksiksiz bir koruma döngüsü sağlamalıdır. 
Bir olayın ciddi sonuçlar doğurmadan engellenmesi için Tahmin ve Engelleme süreci birlikte işler. Algılama ve Tepki Verme sürecinde ise oluşan ciddi sonuçlar keşfedilir ve düzeltilir.
Bu paradigmada birbirini takip eden her aşama, kendinden önceki aşamadan daha fazla kaynak kullanımı gerektirir. Genellikle güvenliğe ayrılan bütçe, aslında gereken miktarda değil uygun görülen kadardır.
Güvenliğe yüksek öncelik verilmeli ve önemli ölçüde yatırım yapılarak başarılı bir dağıtım ve güçlü bir toparlanma süresi hedefi sağlanmalıdır.
  SOC kurulum maliyetleri, gerekli sertifikalar, SIEM kuralları örnekleri vb.      pdf
 
USOM Ulusal Siber Olaylara Müdahale Merkezi
  USOM, ülkemizdeki siber olaylara müdahale konusunda ulusal ve uluslararası koordinasyon çalışmaları 7/24 çalışma esasına göre yürütülür. Bu kapsamda yapılan çalışmalarda tespit edilen siber tehditlerle ilgili olarak ilgili taraflara ya da ülke çapında alarm, uyarı ve duyurular yaparak yaşanabilecek olayların etkilerini azaltmaya veya ortadan kaldırmaya yönelik önlemlerin geliştirilmesini sağlar. Siber güvenlik olaylarına maruz kalan bilişim sistemlerine yönelik koruyucu tedbirlerin alınması konusunda faaliyetlerde bulunur. Ayrıca yapılan siber güvenlik çalışmaları esnasında konusu suç teşkil eden bulgular ile karşılaşılması halinde adli makamlar ve kolluk kuvvetleri ile koordinasyon içerisinde hareket eder.
https://www.usom.gov.tr/
  Bununla birlikte USOM tarafından hazırlanmış olan yerli ve milli SOME İletişim Portalı (SİP) üzerinden ülkemiz siber güvenlik organizasyonunda yer alan Sektörel ve Kurumsal SOME’lere güvenlik bildirimleri, alarm, duyuru, mesaj ve ihbarlar gönderilir. Aynı zamanda SOME’ler de SİP kanalı üzerinden tespit ettikleri ihbar ve olay bildirimlerini USOM’a iletebilmektedir. USOM’a gelen ihbar, olay bildirimlerin konusuna göre inceleme ve değerlendirmeler yapılarak gerekli aksiyonlar alınır veya aldırılır. USOM tarafından zararlı yazılım analizler çalışmaları yapılarak tespit edilen bulgular SOME'ler ve ilgili diğer paydaşlar ile paylaşılır. Zararlı internet adresleri olduğu tespit edilen oltalama, zararlı yazılım yayan ve/veya barından, komuta kontrol merkezi adresleri, port taraması yapan internet adreslerinin erişim engellemeleri yapılarak siber tehditlerin, olayların etkilerinin azaltılması, ortadan kaldırılması sağlanır. Bu faaliyetler siber tehditleri azaltmak, bertaraf etmek amaçlı 5809 sayılı elektronik haberleşme kanununda verilen yetki çerçevesinde yapılmaktadır.
  Öte yandan USOM, ülkemizdeki kamu kurum ve kuruluşları, internet servis sağlayıcıları, özel sektör kuruluşları ve diğer internet aktörleri ile birlikte gerekli çalışmaları yapar. Siber güvenlik farkındalık faaliyetleri kapsamında Sektörel ve Kurumsal SOME’lere, üniversitelere, siber güvenlik topluluklarına yönelik olarak siber güvenlik eğitimi faaliyetlerinde bulunur. Ulusal ve uluslararası sivil, askeri siber güvenlik tatbikatlarına, NATO tatbikatlarına, konferanslara, çalıştaylara ve toplantılara katılım sağlar.
 
 
İletişim Mail: fyildirim958@gmail.com
  fatihyildirim@posta.fatihyildirim.tr
  Web: http://www.fatihyildirim.tr
 
 
  #Siber Güvenlik, #Cyber Security, #SOC, #Gartner, #NIST, #USOM, #MITRE ATTQCK