Ağ ve Sistem Güvenliği Danışmanlığı
Ağ ve sistem güvenliği danışmanlığı; kurumların ağ altyapısını, sunucularını ve uç nokta sistemlerini siber tehditlere karşı korumak amacıyla yürütülen kapsamlı bir güvenlik değerlendirme ve iyileştirme hizmetidir. Mimari analiz, zafiyet tespiti, ağ segmentasyonu, güvenlik duvarı yapılandırması ve sürekli izleme bileşenlerini kapsar. Çıktı: önceliklendirilmiş risk raporu ve kapatma yol haritası.
1000+ tamamlanmış proje deneyimimizle, kurumsal ağlardan bulut altyapılarına, veri merkezlerinden kritik sistemlere kadar her ölçekte ağ ve sistem güvenliği danışmanlığı sunuyoruz.
Ağ ve Sistem Güvenliği Danışmanlığı Nedir?
Kurumların büyük çoğunluğu ağ güvenliğini güvenlik duvarı ve antivirüs yazılımıyla özdeşleştirir. Oysa bir saldırganın iç ağa sızmak için ihtiyacı olan şey çoğu zaman tek bir yanlış yapılandırılmış switch portu, güncellenmemiş bir sunucu servisi veya aşırı geniş tanımlanmış bir erişim yetkisidir.
Ağ ve sistem güvenliği danışmanlığı bu boşlukları sistematik biçimde tespit eder. Salt teknik tarama değil, ağ mimarinizi, erişim politikalarınızı, sistem yapılandırmalarınızı ve izleme kapasitenizdeki eksiklikleri bir bütün olarak değerlendiren stratejik bir süreçtir.
Sparta olarak bu hizmeti üç katmanda sunuyoruz: Tespit (nerede açık var?), Analiz (risk ne kadar büyük, nasıl istismar edilebilir?) ve İyileştirme (ne zaman, nasıl kapatılmalı?).
Ağ ve Sistem Güvenliği Danışmanlığı Neleri Kapsar?
Hizmet kapsamı kurumun büyüklüğüne, altyapı karmaşıklığına ve mevcut güvenlik olgunluk seviyesine göre şekillenir.
Aşağıdaki bileşenler standart kapsamımızı oluşturur:
Kapsam Alanı | İçerik ve Çıktı |
Ağ Mimarisi İncelemesi | Mevcut topoloji, segmentasyon yapısı, VLAN konfigürasyonu, DMZ tasarımı ve kuzey-güney / doğu-batı trafik akışları değerlendirilir. Güvenli mimari önerileri raporlanır. |
Aktif Cihaz Güvenliği | Firewall, router, switch ve load balancer konfigürasyonları; kural setleri, açık portlar, varsayılan kimlik bilgileri ve firmware versiyonları açısından denetlenir. |
Sunucu ve Uç Nokta Güvenliği | Sunucu sertleştirme (hardening) durumu, gereksiz servisler, patch seviyesi, yerel yönetici hakları ve EDR kapsamı değerlendirilir. |
Kimlik ve Erişim Yönetimi | Active Directory yapılandırması, ayrıcalıklı hesaplar (PAM), servis hesapları, parola politikaları ve MFA uygulaması denetlenir. |
Zafiyet Taraması | Nessus / Qualys ile kimlik doğrulamalı tarama yapılır; CVSS skoruna göre önceliklendirilmiş zafiyet listesi çıkarılır. |
Ağ Segmentasyonu Analizi | Kritik sistemlerin (ERP, SCADA, finansal sistemler) ağ geri kalanından doğru biçimde izole edilip edilmediği test edilir. |
Trafik İzleme ve Log Yönetimi | SIEM kapsam boşlukları, log toplama eksiklikleri, ağda gözlemlenemeyen alanlar tespit edilir. |
Güvenlik Politika İncelemesi | Mevcut güvenlik politikaları, prosedürleri ve teknik kontroller ISO 27001 / KVKK / BİG Rehberi gereksinimleriyle karşılaştırılır. |
Ağ ve Sistem Güvenliği Danışmanlığı Nasıl Yürütülür?
Süreç beş aşamadan oluşur. Her aşama belgelidir, müşteri hangi adımda ne yapıldığını ve ne bulunduğunu izleyebilir.
Aşama | Kapsam ve Çıktı |
1. Kapsam & Planlama | Denetlenecek ağ aralıkları, sistemler ve lokasyonlar belirlenir. NDA ve hizmet anlaşması imzalanır. Test penceresi ve iletişim kanalları kararlaştırılır. |
2. Pasif Keşif & Envanter | Ağ topolojisi haritalanır. Tüm aktif cihazlar, sunucular, ağ hizmetleri ve uç noktalar envantere alınır. Shadow IT ve kayıt dışı sistemler tespit edilir. |
3. Aktif Değerlendirme | Kimlik doğrulamalı zafiyet taraması yapılır. Aktif cihaz ve sunucu konfigürasyonları incelenir. Ağ segmentasyonu testleri uygulanır. AD ve kimlik yönetimi denetlenir. |
4. Analiz & Raporlama | Bulgular CVSS 3.1 ile skorlanır ve iş etkisine göre önceliklendirilir. Yönetici özeti + teknik detay raporu hazırlanır. Her bulgu için düzeltme rehberi sunulur. |
5. Düzeltme Destek & Doğrulama | Teknik ekiple bulgular gözden geçirilir. Kritik ve yüksek bulgular düzeltilince doğrulama yapılır. Talep halinde mimari iyileştirme danışmanlığı sürdürülür. |
Metodoloji ve Araçlar
| Kategori | Metodoloji ve Araçlar |
|---|---|
| Standart Çerçeveler | NIST SP 800-115, CIS Controls v8, ISO/IEC 27001 Annex A, MITRE ATT&CK (ağ tabanlı taktikler) |
| Varlık Envanteri & Zafiyet Taraması | Korutay — ajan kurulumu gerektirmeden ağdaki tüm varlıkları otomatik keşfeder, yazılım envanterini çıkarır ve zafiyet taraması yapar. Bulgular CVSS skoruyla önceliklendirilmiş biçimde raporlanır. Danışmanlık sonrasında müşteri lisanslı olarak satın alabilir. |
| Dış Saldırı Yüzeyi Tespiti | DNSWare — kurumun internete açık tüm varlıklarını (DNS kayıtları, alan adları, TLS sertifikaları, e-posta altyapısı, web servisleri) dışarıdan tarar. “Saldırgan kurumu dışarıdan nasıl görür?” sorusunu yanıtlar ve danışmanlık kapsamındaki harici risk haritasını oluşturur. |
| Ağ Mimarisi & Aktif Cihaz Denetimi | Topoloji haritalama, VLAN ve segmentasyon analizi, güvenlik duvarı kural seti incelemesi, açık port ve servis denetimi, CIS Benchmark karşılaştırması |
| Kimlik ve Erişim Yönetimi | Active Directory yapılandırma ve erişim yolu analizi, ayrıcalıklı hesap denetimi, servis hesapları, parola politikaları, MFA kapsamı |
| Trafik & Log Analizi | Ağ trafiği örnekleme, cleartext protokol tespiti, SIEM kapsam boşluklarının belirlenmesi, log toplama eksikliklerinin tespiti |
| Güvenlik Politika & Uyumluluk | Mevcut politika ve teknik kontrollerin ISO 27001 / KVKK / BİG Rehberi gereksinimleriyle karşılaştırılması |
Ağ ve Sistem Güvenliği Danışmanlığı Kimler İçin Gerekli?
Ağ altyapısı bulunan her kurum için bu hizmet değer üretir. Ancak bazı profiller için zorunluluk veya aciliyet söz konusudur:
- ISO 27001 sertifikasyonu hazırlığı yapan kuruluşlar – teknik kontrol kanıtı için danışmanlık raporu doğrudan audit belgesi olarak kullanılır
- KVKK Madde 12 kapsamında teknik güvenlik tedbiri alma yükümlülüğü olan kurumlar
- BİG Rehberi denetimine hazırlanan kamu kurumları ve kritik altyapı işletmecileri
- EPDK SGYM kapsamındaki enerji sektörü şirketleri – ağ segmentasyonu ve OT/IT ayrımı zorunluluğu
- Son 12 ayda güvenlik olayı veya veri ihlali yaşayan kurumlar – mevcut açıkların tespiti ve kapatılması
- Büyüme veya birleşme sürecindeki şirketler – yeni altyapının güvenli entegrasyonu
- Bulut veya hibrit altyapıya geçiş planlayan kurumlar – geçiş öncesi risk tespiti
Hangi Regülasyonlar İçin Kanıt Niteliği Taşır?
Regülasyon / Standart | Ağ ve Sistem Güvenliği Danışmanlığı ile Karşılanan Gereksinim |
KVKK Madde 12 | Kişisel veri işleme sistemleri için teknik güvenlik tedbirleri – danışmanlık raporu doğrudan kanıt |
ISO 27001 – A.8 / A.12 / A.13 | Varlık yönetimi, işletim güvenliği, ağ güvenliği – teknik değerlendirme belgesi |
BİG Rehberi (BTK) | Kamu kurumları için bilgi güvenliği yönetimi teknik kontrolleri |
EPDK SGYM | Enerji sektöründe ağ segmentasyonu, erişim yönetimi ve sürekli izleme gereksinimleri |
PCI DSS v4.0 | Ağ segmentasyonu testi (Req. 11.4), güvenlik duvarı kural seti incelemesi (Req. 1) |
BDDK Bilgi Sistemleri | Bankacılık sistemleri için ağ güvenliği değerlendirmesi |
Sparta ile Ağ ve Sistem Güvenliği Danışmanlığı
Piyasadaki birçak danışmanlık hizmeti otomatik tarama raporlarını sunmakla sınırlı kalır.
Sparta’nın farkı manuel analiz ağırlıklı yaklaşımda: Bir zafiyet tarayıcısı açık port tespit eder; deneyimli bir güvenlik uzmanı bu portun nasıl istismar edileceğini, hangi iş verisine erişim sağlayabileceğini ve yanal hareket için nasıl kullanılabileceğini gösterir.
Varlık keşfi ve zafiyet taraması aşamasında Sparta’nın kendi geliştirdiği Korutay platformunu kullanıyoruz — ajan kurulumu gerektirmeden envanter çıkarır, zafiyetleri CVSS skoruyla önceliklendirir.
Dış saldırı yüzeyi analizinde ise DNSWare ile kurumun internete açık tüm varlıklarını (DNS, TLS sertifikaları, e-posta altyapısı, web servisleri) saldırgan perspektifinden haritalıyoruz.
✓ TSE TS 13638 A Sınıfı Yetkili Firma — regülatif denetim geçerliliği
✓ CISSP, GICSP, GPEN, OSCP, ISO 27001 Lead Auditor sertifikalı ekip
✓ 1.000+ tamamlanmış proje (Kurumsal ağlardan OT/SCADA altyapılarına geniş saha deneyimi)
✓ Manuel analiz ağırlıklı: Otomatik taramanın kaçırdığı mimari açıkları ve erişim yolu zafiyetlerini tespit eder
✓ Korutay ile ajansız envanter ve önceliklendirilmiş zafiyet taraması
✓ DNSWare ile dış saldırı yüzeyi haritalaması — kurumunuz dışarıdan nasıl görünüyor?
✓ İki katmanlı rapor — yönetici özeti + teknik detay
✓ Düzeltme sonrası doğrulama: “kapattık” ile “gerçekten kapandı” arasındaki farkı belgeler
✓ Sızma testi entegrasyonu: Danışmanlık bulgularını doğrulamak için isteğe bağlı penetrasyon testi
Rapor Formatı / Çıktılar
Ağ ve sistem güvenliği danışmanlığı raporumuz iki farklı okuyucuya hitap eder: Yöneticiler ve Teknik Personeller.
Kimse zamanını teknik detayı anlamaya ya da raporu özetlemeye harcamamalıdır.
Yönetici Özeti |
Risk dağılımı: Kritik / Yüksek / Orta / Düşük – grafik destekli İş etkisi: ‘Bu açık ne anlama gelir?’ – teknik jargon içermeyen açıklama Öncelik sırası: Hangi bulgu önce kapatılmalı, zaman çizelgesi önerisi Regülasyon bağlantısı: Hangi bulgu hangi ISO 27001 / KVKK / BİG gereklilikleriyle ilgili |
Teknik Bulgular Raporu (Her Bulgu İçin) |
Başlık · Etkilenen sistem / bileşen · CVSS 3.1 skoru Teknik açıklama ve istismar senaryosu: ‘Saldırgan bu açığı nasıl kullanır?’ Kanıt: tarama çıktısı, konfigürasyon ekran görüntüsü, trafik analizi Düzeltme rehberi: konfigürasyon değişikliği, patch, politika güncellemesi Doğrulama adımları: ‘Düzeldi’ diyebilmek için ne kontrol edilmeli? |
Sıkça Sorulan Sorular (FAQ)
Ağ ve sistem güvenliği danışmanlığı nedir?
Ağ ve sistem güvenliği danışmanlığı, kurumların ağ altyapısını, sunucularını ve sistemlerini siber tehditlere karşı değerlendiren ve iyileştirme yol haritası sunan bir güvenlik hizmetidir. Mimari inceleme, zafiyet taraması, konfigürasyon denetimi ve sürekli izleme bileşenlerini kapsar.
Sızma testi ile ağ güvenliği danışmanlığı arasındaki fark nedir?
Sızma testi mevcut açıkları istismar ederek ne kadar ileri gidilebileceğini gösterir – simüle edilmiş saldırıdır. Ağ ve sistem güvenliği danışmanlığı daha geniş kapsamlıdır: mimari yapı, politikalar, konfigürasyonlar ve süreçler bütüncül biçimde değerlendirilir. İkisi tamamlayıcıdır; danışmanlık bulgularını doğrulamak için sızma testi de yapılabilir.
Danışmanlık sırasında sistemlerimiz çalışmaya devam eder mi?
Evet. Zafiyet taramaları ve konfigürasyon incelemeleri üretim ortamında minimum etki ile yürütülür. Yüksek riskli testler için ayrı bakım penceresi kararlaştırılır; bu planlama kapsam görüşmesinde birlikte yapılır.
Hangi sertifikalara sahip ekibiniz var?
Ekibimiz CISSP, GICSP, GPEN, OSCP ve ISO 27001 Lead Auditor sertifikaları ve bununla sınırlı kalmamak üzere pek çok uluslararası saygın sertifikaya sahiptir. Ayrıca Sparta, TSE TS 13638 A Sınıfı Yetkili Penetrasyon Testi Firması unvanına sahiptir. ISO27001, ISO27701, ISO9001, ISO22301 ve ISO2000-1 gibi süreçler aktif olarak işletilmektedir.
Rapor ISO 27001 veya KVKK denetiminde kullanılabilir mi?
Evet. Raporlarımız ISO 27001 Annex A kontrolleri, KVKK Madde 12 teknik tedbir gereksinimleri ve BİG Rehberi uyumluluk denetimleri için teknik kanıt niteliğindedir. Talep halinde denetçi sorularına yanıt vermek için danışmanlık desteği de sağlanır.