Bir süredir zafiyet tarayıcılarıyla çalışıyorsanız, kalıbı bilirsiniz: bir tarama çalıştırırsınız, devasa bir liste elde edersiniz, önem derecesine göre sıralarsınız ve kırmızıları kovalamaya başlarsınız.
Bu işe yarar ta ki yaramayana kadar.
Çünkü 2026’daki gerçeklik şudur: zafiyet verileri patlama yaşıyor, saldırgan davranışları hızla değişiyor ve çoğu BT ekibinde en kıt kaynak araçlar değil, zamandır.
Bu nedenle Guardian360, Lighthouse’ta iki büyük değişiklik yapıyor:
- Tarayıcı araç setimizi, yani tarama motorumuzu değiştiriyoruz.
- Teknik bulguları iş riskiyle ilişkilendiren, ISO 27001, NIS2 ve diğer çerçevelerle uyumlu, risk temelli bir yaklaşım sunuyoruz.
Ve evet, birçok iş ortağı ve müşteri için bu haklı bir soruyu gündeme getirecek:
“Daha az zafiyet mi göreceğiz ve bu gerçekten güvenli mi?”
Bu kararların arkasındaki nedenleri açalım ve neden daha az ama daha ilgili bulgunun genellikle daha iyi sonuçlara, daha iyi içgörülere ve pahalı saatlerin çok daha etkili kullanımına yol açtığını anlatalım.
1. Tarayıcı araç setimizi neden değiştiriyoruz
Taramanın şu şekilde olmasını sağlamak için temeli yeniden inşa ediyoruz:
- Daha güvenilir, tutarlı sonuçlar ve daha az uç durum sürpriziyle
- Daha hızlı, daha az bekleme ve daha sürekli görünürlükle
- Daha hafif, daha düşük ayak izi ve operasyonel yükle
Bunun stratejik bir nedeni de var:
Sanal makinelerin ötesine geçerek ajana yönelmek
Günümüzde birçok tarama çözümü hâlâ büyük ölçüde sanal makinelere ve ağır kurulumlara dayanıyor. Yönümüz net: ajan tabanlı yetenekleri mümkün kılmak, böylece iş ortakları ve müşteriler varsayılan olarak sanal cihazları yönetmek zorunda kalmadan kapsama elde edebilsin.
Bu, sırf değişiklik olsun diye yapılan bir değişim değil. Lighthouse’un bir sonraki aşamasına hazır bir tarama platformu inşa etmekle ilgili: sürekli içgörüler, daha düşük operasyonel sürtünme ve daha aksiyon alınabilir sonuçlar.
2. Neden risk temelli bir yaklaşım sunuyoruz ve neden ISO 27001 ile NIS2’ye daha iyi uyuyor
Çoğu tarayıcı tek bir teknik soruya yanıt vermek üzere tasarlanmıştır:
“Bu zafiyet ne kadar ciddi?”
Ancak ISO 27001, NIS2 ve modern güvenlik yönetişimi farklı bir soruya yanıt vermenizi ister:
“Bu, kuruluşumuz için ne anlama geliyor ve önce ne yapmalıyız?”
Bu değişim önemlidir çünkü yalnızca teknik ciddiyet iş riskini tanımlamaz. İş riski bağlama bağlıdır: zafiyetin nerede olduğu, neyi etkilediği ve istismar edilirse ne olacağı.
CIA: yalnızca ciddiyete dayalı zafiyet yönetiminde eksik olan bileşen
Bu bağlamı açık hale getirmenin pratik bir yolu klasik CIA üçlüsüdür:
- Gizlilik: istismar, müşteri verileri, fikri mülkiyet, kimlik bilgileri veya tıbbi kayıtlar gibi hassas bilgileri açığa çıkarır mı?
- Bütünlük: istismar, verilerin değiştirilmesi, işlemlerin manipüle edilmesi, yapılandırmaların bozulması veya logların zehirlenmesi gibi müdahalelere izin verir mi?
- Erişilebilirlik: istismar, fidye yazılımı etkisi, hizmet kesintisi veya üretim durması gibi aksaklıklara yol açar mı?
Başka bir deyişle, aynı CVE çok farklı anlamlara gelebilir, varlığın CIA profiline bağlı olarak.
Örnek: aynı zafiyet, farklı iş riski
Düşük değerli bir test sunucusundaki yüksek ciddiyetli bir zafiyet can sıkıcı olabilir, ancak iş için tehdit oluşturmayabilir.
Aynı zafiyet şu durumlarda:
- maaş işlemlerini yapan bir sistem, bütünlük
- kişisel veriler içeren bir müşteri portalı, gizlilik
- veya hastane için kritik bir uygulama, erişilebilirlik
bir anda maddi bir iş riski haline gelir.
Bu nedenle, her bulguyu eşit kabul edip yalnızca CVSS’e göre sıralamak yerine, risk temelli bir yaklaşım şu soruları sorar:
- Hangi varlık etkileniyor?
- Bu varlık gizlilik, bütünlük ve erişilebilirlik açısından ne kadar kritik?
- Bu ortamda erişilebilir veya istismar edilebilir mi?
- İstismar edilirse gerçek dünyadaki etkisi nedir?
- En etkili bir sonraki adım nedir?
Neden ISO 27001 ve NIS2’ye daha iyi uyuyor
ISO 27001, tüm zafiyetleri toplama standardı değildir. Kontrollü ve tekrarlanabilir bir şekilde riski tanımlayan, değerlendiren ve ele alan bir BGYS yürütmekle ilgilidir. Risk temelli bir yaklaşım bunu doğrudan destekler: neden bir şeyi önceliklendirdiğinizi, ne yaptığınızı ve nasıl riskin azaldığını gösterebilirsiniz.
NIS2, kuruluşları yalnızca teknik çıktılara değil, ölçülebilir dayanıklılığa ve hesap verebilir risk yönetimine yönlendirir. Risk temelli bir yaklaşım, iş ortaklarının ve müşterilerin iş diliyle iletişim kurmasına yardımcı olur çünkü yönetim kurulları ve denetçiler “8000 bulgumuz vardı”yı değil, “kritik hizmetlere yönelik riski azalttık”ı duymak ister.
Sonuç: daha iyi kararlar, daha iyi kanıtlar ve daha az boşa harcanan çaba
Bulguları CIA ve iş bağlamıyla ilişkilendirerek Lighthouse şu noktadan:
- “İşte korkutucu bir liste”
şu noktaya geçebilir:
- “Gerçekten önemsediğiniz şeyleri tehlikeye atan sorunlar bunlar ve bunları çözmek için en akıllı sıra burada.”
Bu, risk temelli yaklaşımın özüdür: daha az kontrol değil, daha iyi önceliklendirme ve daha güçlü yönetişim.
3. Rahatsız edici gerçek: her CVE ortamınız için önemli değildir
Zafiyet yönetiminde sıkça gözden kaçan nokta şudur: CVE evreni çok büyüktür ve bunun büyük bir kısmı sizin özel müşteri ortamınız için asla önemli olmayacaktır.
- National Vulnerability Database yüz binlerce CVE listeler, yazım sırasında 326 binden fazla ( https://nvd.nist.gov/general/nvd-dashboard ).
- Buna karşılık, CISA Known Exploited Vulnerabilities kataloğu, sahada aktif olarak istismar edilenleri gösteren pratik bir referans olarak, yaklaşık 1484 kayıt içerir, 2025 sonu itibarıyla ( https://www.securityweek.com/cisa-kev-catalog-expanded-20-in-2025-topping-1480-entries ).
Bu karşıtlık her şeyi görmezden gelmek anlamına gelmez. Anlamı şudur:
Ciddiyet risk değildir
Bir CVSS puanı, belirli varsayımlar altında bir şeyin ne kadar kötü olabileceğini söyler. Önümüzdeki günler veya haftalar içinde istismar edilme olasılığını söylemez.
Bu nedenle EPSS gibi modeller vardır: gözlemlenen sinyaller ve kalıplara dayanarak istismar olasılığını tahmin etmek için. FIRST’ün EPSS dokümantasyonu, istismar faaliyetinin yayımlanan CVE’lerin küçük bir alt kümesinde yoğunlaştığını gösterir; örneklerinde 30 günlük bir pencerede yaklaşık yüzde 2,7 ( https://www.first.org/epss/model ).
Tehdit raporları ayrıca istismarın önemli bir ilk erişim vektörü olmaya devam ettiğini, ancak yine saldırganların en iyi getiriyi elde ettiği alanlarda yoğunlaştığını gösteriyor. Verizon’un 2025 DBIR raporu, zafiyet istismarını ihlallerde önde gelen bir vektör olarak vurgular; oran yüzde 20’dir ve yıldan yıla belirgin bir artış vardır ( https://www.verizon.com/about/news/2025-data-breach-investigations-report ).
Dolayısıyla evet, zafiyetler önemlidir. Ancak hepsi eşit değildir ve hepsi aynı anda değildir.
4. Neden daha az zafiyet daha iyi güvenlik sonuçlarına yol açabilir
Devasa bir bulgu listesi üç öngörülebilir soruna yol açar:
1) Gürültü sinyali bastırır
Her şey acil göründüğünde, hiçbir şey acil değildir. Ekipler teknik olarak geçerli ancak pratikte önemsiz öğeleri ayıklamakla zaman harcar.
2) Zaman, riskli olana değil, kolay olana harcanır
İş bağlamı olmadan, iyileştirme bir yama popülerlik yarışına dönüşür; etkilenen sistem kritik olmasa veya erişilebilir olmasa bile en yüksek CVSS önce gelir.
3) Raporlama gösteriye dönüşür
Riski azalttığınızı kanıtlamak yerine çok çalıştığınızı kanıtlarsınız.
Risk temelli bir yaklaşım bunu tersine çevirir:
- İstismar edilebilir, erişilebilir ve maddi olana odaklanmak
- Bulguları iş etkisi ile ilişkilendirmek
- İyileştirmeyi ölçülebilir, açıklanabilir ve denetlenebilir hale getirmek
Bu şekilde zafiyet yönetimi kahramanca değil, sürdürülebilir hale gelir.
5. İş ortaklarının Lighthouse’ta bekleyebilecekleri
Yeni tarama temeli ve risk temelli yaklaşımla iş ortakları şunları elde edecek:
- İş riskine dair daha iyi içgörü, teknik ciddiyet seviyelerine ek olarak
- Daha ilgili tarama sonuçları, boşa harcanan çabanın azalmasıyla
- Daha etkili iyileştirme, çünkü aksiyonlar gerçek dünya riski ve iş bağlamına göre önceliklendirilir
- Daha güçlü uyum kanıtları, çünkü kararlar ve aksiyonlar açıklanabilir ve yönetişim gereksinimleriyle eşleştirilebilir
Misyonumuza pratik bir anlam kazandırıyoruz:
“Dijital yönetişim ve dayanıklılık erişilebilir.”
Ve vizyonumuz:
“Karar vericileri, işlerini güvence altına almak, uyum sağlamak ve optimize etmek için içgörülerle güçlendirmek.”
6. Sonuç
Amacımız daha fazla bulgu göstermek değil.
Amacımız doğru bulguları, doğru zamanda, doğru bağlamda göstermek; böylece iş ortakları ve müşteriler sınırlı zamanlarını riskin en fazla azaldığı yerlere harcayabilsin.
“10.000 sorun bulundu” diye gururla gösteren tarayıcılara alışkınsanız, bu değişim ilk başta sezgiye aykırı gelebilir.
Ancak pratikte daha az gürültü artı daha fazla alaka, daha iyi içgörü ve daha hızlı risk azaltımı anlamına gelir.
Ve Lighthouse tam olarak bu yöne gidiyor.
