Açığı bul, sonra kapat

Sızma testi, zafiyet yönetimi ve güvenli kod analizi

Web, mobil ve ağ altyapınızdaki açıkları gerçek saldırgan bakışıyla tespit eder, önceliklendirir ve raporlarız. Ardından farkımızı ortaya koyarız: gerekli yamaları ve kod düzeltmelerini kendimiz uygularız. Açık kaynak araçlarla, kurumun kendi altyapısında yerinde çalışırız; veriniz kurumdan çıkmaz.

Eğitici

Sızma testi ile zafiyet yönetimi farkı

Sızma testi (pentest), gerçek bir saldırganın yapabileceklerini kontrollü biçimde deneyerek sistemlerinizdeki açıkları belirli bir anda ortaya çıkarır. Zafiyet yönetimi ise bu tek seferlik fotoğrafı sürekli bir döngüye çevirir: yeni açıkları izler, varlıklarınızla eşleştirir ve kapatılmasını takip eder. İkisi birlikte, güvenliği tek bir denetime bırakmadan zamanla korur.

C3T'nin farkı, raporun bittiği yerde başlar. Çoğu danışmanlık bulguları listeler ve çekilir; biz açıkları önceliklendirir, yamaları ve kod düzeltmelerini yerinde yapay zeka desteğiyle uygular ve sonucu tekrar test ederek doğrularız.

C3T sızma testi hizmeti nasıl çalışır?

C3T; web, mobil ve ağ altyapısını gerçek saldırı senaryolarıyla test eder, bulunan açıkları önem derecesine göre önceliklendirilmiş bir raporda sunar ve gerekli yamaları ile kod düzeltmelerini kendisi uygulayıp sonucu tekrar test ederek doğrular. Sürekli zafiyet yönetimiyle (OpenVAS + Nmap) varlık keşfi, gölge BT tespiti ve yeni açıkların izlenmesi sağlanır; SonarQube tabanlı SAST kaynak kod analiziyle güvenlik açıkları koda yazılmadan yakalanır. Tüm araçlar açık kaynaktır ve kurumun kendi altyapısında yerinde çalışır; kaynak kod ve zafiyet verisi kurumdan çıkmaz. Bu yaklaşım ISO 27001 A.12.6.1, KVKK m.12 teknik tedbir ve Bilgi ve İletişim Güvenliği Rehberi zafiyet yönetimi gerekliliklerini karşılar.

Kapsam: ne yapıyoruz

Güvenlik açığını iki eksende ele alırız: belirli bir andaki sızma testi ve kalıcı bir zafiyet yönetimi döngüsü. Her ikisi de yerinde ve denetlenebilir çalışır.

Sızma testi (pentest)

Gerçek saldırgan bakışıyla açıkları bulur, sonra da kapatır.

  • Web, mobil ve ağ/altyapı sızma testi
  • Gerçek saldırı senaryolarıyla açık tespiti
  • Önem derecesine göre önceliklendirilmiş rapor
  • Açığı kapatma: yama ve kod güncelleme (C3T farkı)
  • Düzeltmenin tekrar test edilerek doğrulanması

Sürekli zafiyet yönetimi

Tek seferlik test değil, kalıcı bir güvenlik döngüsü.

  • Otomatik zafiyet taraması (OpenVAS)
  • Varlık ve envanter keşfi (Nmap)
  • Gölge BT (Shadow IT) tespiti
  • Yeni açıkların sürekli izlenmesi
  • Risk önceliğine göre kapatma takibi

Güvenli kod analizi (SAST)

Kaynak kod statik analiziyle (SAST) güvenlik açıklarını daha üretime çıkmadan yakalarız. SonarQube tabanlı yığını, yerinde çalışan yapay zeka ile birleştirir; bulguları önceliklendirir ve düzeltme önerilerini geliştirme ekibinize akıtırız. Kaynak kodunuz kurum dışına çıkmadan denetlenir; böylece DevSecOps akışına güvenlik baştan yerleşir.

Açık kaynak yığın ve yerinde yapay zeka

Üç ilkeyle çalışırız: açık kaynak araçlar, yerinde yapay zeka ve uygulayıcı yaklaşım.

Açık kaynak yığın

Pahalı ticari lisanslar yerine SonarQube, OpenVAS ve Nmap gibi olgun açık kaynak araçlarla çalışırız; kilitlenme (vendor lock-in) yok.

Yerinde yapay zeka

SAST kod analizi ve anomali önceliklendirmede yerinde çalışan yapay zeka kullanırız; kaynak kod ve zafiyet verisi kurumdan çıkmaz.

Uygulayıcı yaklaşım

C3T rapor yazıp çekilen bir danışman değil; açığı önceliklendiren, yamayı uygulayan ve sonucu doğrulayan uygulayıcı ekiptir.

Hangi uyum yükümlülüğünü karşılar

Sızma testi ve zafiyet yönetimi, üç temel çerçevedeki teknik yükümlülüklerle doğrudan örtüşür.

ISO 27001 A.12.6.1

Teknik açıklık yönetimi kontrolü, açıkların zamanında tespit edilip değerlendirilmesini ve düzeltilmesini ister. Sürekli zafiyet yönetimimiz bu kontrolü doğrudan karşılar. C3T sertifika sahibi değildir; ISO 27001 uyumuna ve belgelendirmeye hazırlık kapsamında çalışır.

KVKK m.12 teknik tedbir

KVKK, kişisel verinin güvenliği için uygun teknik tedbirleri zorunlu kılar. Sızma testi ve zafiyet yönetimi, açıkların istismar edilmeden kapatılmasını sağlayarak bu yükümlülüğü uygular. Verileriniz test boyunca kurumdan çıkmaz.

BİGR zafiyet yönetimi

Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi, kamu ve kritik altyapı için düzenli zafiyet yönetimi bekler. Süreci açık kaynak araçlarla ve yerinde kurarak kurumların düşük bütçeyle uyum sağlamasına aracı oluruz.

Neden C3T

Rapor değil, kapatılmış açık teslim eder

Sızma testi firmalarının çoğu bulguları listeler ve çekilir; düzeltme yükü kurumda kalır. C3T ise uygulayıcı ekiptir: açığı önceliklendirir, yamayı ve kod düzeltmesini uygular, sonucu tekrar test ederek doğrular. Tüm süreç açık kaynak araçlarla ve kurumun kendi altyapısında yerinde yürür; kaynak kod ve zafiyet verisi kurumdan çıkmaz.

Belgelendirme tarafında şeffafız: TSE C Sınıfı Belgeli Sızma Testi Firması statüsüne geçiş sürecini resmen başlattık ve bünyemizdeki uzman, TSE kayıtlı sızma testi uzmanı süreci içindedir. Belge tamamlanana kadar bu statüyü tamamlanmış gibi sunmayız; durumu olduğu gibi paylaşırız.

Sık sorulan sorular

Sızma testinden sonra açıkları siz mi kapatıyorsunuz?

Evet. C3T sadece bulguları raporlayıp bırakmaz; açıkları önem derecesine göre önceliklendirir, gerekli yamaları ve kod güncellemelerini uygular ve düzeltmeyi tekrar test ederek doğrular. Fark burada: rapor değil, kapatılmış açık teslim ederiz.

Testler sırasında verilerimiz kurum dışına çıkar mı?

Hayır. Kullandığımız araçlar açık kaynaktır ve kurumun kendi altyapısında yerinde (on-premise, yani kendi donanımınızda) çalışır. Zafiyet verisi, kaynak kod ve test çıktıları kurumdan çıkmaz; böylece KVKK m.12 teknik tedbirleri ve veri egemenliği korunur.

TSE belgeli sızma testi firması mısınız?

TSE C Sınıfı Belgeli Sızma Testi Firması statüsüne geçiş sürecini resmen başlattık; bünyemizdeki uzman, TSE kayıtlı sızma testi uzmanı süreci içindedir. Belge tamamlanana kadar bu statüyü tamamlanmış gibi sunmuyoruz; şeffaflık ilkemiz gereği süreç durumunu net paylaşırız.

Hangi sistemleri test edersiniz?

Web uygulamaları, mobil uygulamalar, ağ ve sunucu altyapısı ile kaynak kodun kendisi (SAST) kapsamdadır. Varlık ve envanter keşfiyle sistem envanterinizi çıkarır, envantere girmemiş gölge BT (Shadow IT) sistemlerini de tespit ederiz.

Zafiyet yönetimi tek seferlik mi, sürekli mi?

Sızma testi belirli bir andaki güvenlik fotoğrafını verir; zafiyet yönetimi ise süreklidir. Yeni yayınlanan açıkları izler, varlıklarınızla eşleştirir ve risk önceliğine göre kapatılmasını takip ederiz. İkisi birlikte kalıcı bir güvenlik döngüsü oluşturur.

Hangi uyum yükümlülüklerine denk gelir?

Sürekli zafiyet yönetimi ve teknik açıklık takibi, ISO 27001 A.12.6.1 teknik açıklık yönetimi kontrolü, KVKK m.12 teknik tedbir yükümlülüğü ve Bilgi ve İletişim Güvenliği Rehberi (BİGR) zafiyet yönetimi maddeleriyle doğrudan örtüşür.

Sistemlerinizde hangi açıklar var?

Web, mobil ve ağ altyapınızı birlikte değerlendirelim. Neyin test edilmesi gerektiğini ve açıkların nasıl kapatılacağını ücretsiz güvenlik fizibilitesinde netleştirelim.