Siber Güvenlik Terimleri Sözlüğü

A

APT (Advanced Persistent Threat): Gelişmiş kalıcı tehdit — uzun süreli, hedefli ve genellikle devlet destekli siber saldırı kampanyası. SiberAnaliz "APT C&C" bağlantı tipiyle işaretlenen göstergeleri, komuta-kontrol altyapısı olarak ayrı bir kritiklik bandında sunar.
AV (Antivirus): İmza ve davranış analiziyle bilinen zararlı yazılımları tespit/karantinaya alan klasik son kullanıcı koruma katmanı. SOC için ilk savunma çizgisidir; modern saldırılarda EDR ile birlikte konumlandırılmalıdır.
ACL (Access Control List): Bir kaynağa kimin hangi yetkilerle erişebileceğini tanımlayan kural listesi. Yönlendirici ve güvenlik duvarlarında IP göstergelerini engellemek için kullanılan birincil mekanizmadır.
ASN (Autonomous System Number): İnternette tek bir yönlendirme politikasıyla yönetilen IP blokları kümesine atanan benzersiz numara. Tehdit aktörünün kullandığı barındırma sağlayıcısını belirlemek ve kötü itibarlı ASN'leri toplu engellemek için kritiktir.
Authn / Authz (Kimlik Doğrulama / Yetkilendirme): Authn (authentication) kullanıcının iddia ettiği kişi olduğunu, Authz (authorization) ise o kullanıcının ne yapmaya yetkili olduğunu belirler. Sıfır güven mimarilerinde ikisi farklı düzlemlerde işletilir.

B

Botnet: Saldırgan kontrolündeki binlerce hatta milyonlarca ele geçirilmiş cihazdan oluşan ağ. SiberAnaliz beslemesinde "Botnet C&C" bağlantı tipiyle gözlemlenen IP'ler bu ağların komuta düğümleridir.
BGP (Border Gateway Protocol): İnternet omurgasında ASN'ler arası yönlendirme bilgisini taşıyan protokol. BGP hijacking saldırılarında meşru trafiğin saldırgan altyapısına yönlendirilmesi suretiyle veri çalınabilir.
Beaconing: Ele geçirilmiş bir cihazın komuta-kontrol sunucusuna düzenli aralıklarla atılan "yaşıyorum" sinyalleri. SIEM'de düzenli zaman aralığı (jitter) tespiti C2 trafiğinin yakalanmasında en etkili yöntemdir.
Backdoor: Saldırganın daha sonra geri dönmek için sistemde bıraktığı gizli erişim kanalı. İlk istismar kapatılsa bile arka kapı kalırsa kalıcılık (persistence) sağlanmış demektir.
Brute Force: Parolaları olası tüm kombinasyonları deneyerek kırma saldırısı. Hesap kilitleme, MFA ve rate limiting birlikte uygulandığında pratikte etkisizleştirilir.

C

C2 (Command and Control): Saldırganın ele geçirdiği makinelere komut gönderdiği ve veri sızdırdığı altyapı. SiberAnaliz "APT C&C" ve "Botnet C&C" göstergelerini DNS sinkhole veya kenar ACL ile engellemenizi öneren operasyonel bağlamla sunar.
CERT (Computer Emergency Response Team): Siber olaylara müdahale için kurulan resmi/kurumsal ekip. Türkiye'de USOM ulusal CERT işlevini görür ve SiberAnaliz verisinin birincil kaynağıdır.
CISO (Chief Information Security Officer): Kurumun bilgi güvenliği stratejisinden sorumlu üst düzey yönetici. SOC, GRC ve olay müdahale fonksiyonları doğrudan CISO'ya raporlar.
CIDR (Classless Inter-Domain Routing): IP adres bloklarını /24, /16 gibi sonek notasyonuyla ifade eden adresleme yöntemi. Engelleme kurallarını tek tek IP yerine ağ bloğu seviyesinde yazmak operasyonu hızlandırır.
CSP (Content Security Policy): Web sayfasında hangi kaynakların yüklenebileceğini tarayıcıya bildiren HTTP başlığı. XSS, clickjacking ve data exfiltration saldırılarına karşı güçlü bir azaltma katmanıdır.
CT (Certificate Transparency): Verilen tüm TLS sertifikalarının halka açık şeffaf günlüklere kaydedildiği ekosistem. Saldırgan kontrolündeki yeni phishing alan adlarını sertifika çıktığı anda tespit etmek için OSINT analistlerinin en hızlı kaynağıdır.
CVE (Common Vulnerabilities and Exposures): Bilinen güvenlik açıklarına atanan standart tanımlayıcı (örn. CVE-2024-12345). Yama yönetimi ve risk önceliklendirmede ortak referans dilidir.
Cryptojacking: Saldırganın ele geçirdiği sistemin işlem gücünü izinsiz olarak kripto para madenciliği için kullanması. Anormal CPU/GPU kullanımı ve madencilik havuzu DNS sorguları en temel göstergelerdir.

D

DDoS (Distributed Denial of Service): Dağıtık servis dışı bırakma — binlerce kaynaktan eşzamanlı trafikle hedef hizmeti çalışmaz hale getirme saldırısı. Anycast tabanlı CDN ve scrubbing servisleri birincil savunma katmanıdır.
DNS (Domain Name System): Alan adlarını IP adreslerine çeviren dağıtık dizin sistemi. SOC için DNS, hem saldırı yüzeyi hem de C2 trafiğini ifşa eden en zengin telemetri kaynağıdır.
DLP (Data Loss Prevention): Hassas verinin kurum dışına sızmasını uç nokta, ağ ve bulut katmanlarında engellemeye çalışan kontrol seti. Veri sınıflandırma olmadan etkin çalışmaz.
DKIM (DomainKeys Identified Mail): E-postaların gönderen alan adı tarafından dijital imzayla doğrulandığı standart. DMARC ile birlikte BEC ve phishing kampanyalarına karşı temel kimlik katmanıdır.
DMARC (Domain-based Message Authentication, Reporting and Conformance): SPF ve DKIM sonuçlarını birleştirip kimlik doğrulama hatalı e-postalara ne yapılacağını (none/quarantine/reject) belirleyen politika çerçevesi. p=reject moduna ulaşmadan domain spoofing engellenmiş sayılmaz.
Defacement: Saldırganın bir web sitesinin görünür içeriğini değiştirerek mesaj/manifesto yayımlaması. SiberAnaliz "DF" kategori kodu defacement hedeflerini işaret eder.
Drive-by Download: Kullanıcının yalnızca ziyaret ettiği için zararlı yazılım indirmeye maruz kaldığı saldırı tipi. Tarayıcı/eklenti güncelliği ve script izolasyonu birincil önlemdir.

E

EDR (Endpoint Detection and Response): Uç nokta üzerinde davranışsal telemetri toplayan, tehdit avına ve uzaktan müdahaleye olanak veren modern son kullanıcı koruma katmanı. AV'nin imza temelli sınırlarını aşar.
EPP (Endpoint Protection Platform): AV, host firewall, cihaz kontrolü ve uygulama beyaz listesi gibi önleyici uç nokta kontrollerinin tek konsoldan yönetildiği platform. Çoğu üründe EDR ile birlikte konumlandırılır.
Exploit: Belirli bir güvenlik açığını silah haline getirip kod çalıştırma, yetki yükseltme veya bilgi sızdırma elde eden teknik. Public PoC çıktığında ilgili CVE için yama önceliği yükseltilmelidir.
Exploit Kit: Tarayıcı ve eklentilerdeki açıkları otomatik tarayıp en uygun istismarı dağıtan saldırı çerçevesi. Genellikle drive-by download zincirlerinin orta katmanını oluşturur.
Encryption (Şifreleme): Veriyi yalnızca yetkili tarafların okuyabileceği biçime dönüştüren matematiksel işlem. Bekleyen veri (at-rest) ve hareket halindeki veri (in-transit) için ayrı katmanlarda uygulanmalıdır.
Endpoint (Uç Nokta): Ağa bağlanan dizüstü, sunucu, mobil cihaz gibi her bir bileşen. Saldırganların ilk dayanak noktasıdır; bu nedenle uç nokta görünürlüğü olmayan ağda SOC etkili çalışamaz.

F

Firewall (Güvenlik Duvarı): Tanımlı kurallara göre ağ trafiğini geçiren veya engelleyen kontrol katmanı. SiberAnaliz IP göstergelerinin kenar firewall ACL'lerine push edilmesi en yaygın engelleme senaryosudur.
FIM (File Integrity Monitoring): Kritik dosya ve dizinlerin hash bazlı izlenerek izinsiz değişikliklerin tespit edilmesi. PCI DSS ve ISO 27001 gibi denetim çerçevelerinde zorunlu kontrollerdendir.
Forensics (Adli Bilişim): Bir olay sonrası kanıtların delil bütünlüğü kuralları çerçevesinde toplanması, korunması ve analiz edilmesi disiplini. Zincir kırılırsa bulgular hukuki süreçte kullanılamaz.

G

GDPR (General Data Protection Regulation): Avrupa Birliği'nin kişisel verilerin işlenmesini düzenleyen kapsamlı tüzüğü. Türkiye'deki KVKK çoğu prensibini paylaşır; AB vatandaşı verisi işleyen Türk kuruluşları GDPR'a da tabidir.

H

Honeypot: Saldırganı çekmek ve TTP'lerini gözlemlemek için kasten savunmasız bırakılmış sahte sistem. Düşük etkileşimli ve yüksek etkileşimli varyantları farklı zenginlikte istihbarat üretir.
Hash: Sabit uzunlukta çıktı üreten tek yönlü matematiksel özet (örn. SHA-256). Zararlı yazılım örneklerinin paylaşımında ve dosya bütünlük kontrollerinde kullanılır.
HIDS (Host-based Intrusion Detection System): Tek bir uç nokta üzerinde günlük, dosya ve süreç anomalilerini izleyen saldırı tespit sistemi. NIDS'in göremediği şifreli son nokta etkinliğini yakalar.

I

IDS (Intrusion Detection System): Ağ veya konak trafiğini imza ve davranış kurallarıyla izleyip şüpheli aktivite raporlayan pasif kontrol katmanı. Tek başına saldırıyı durduramaz, alarm üretir.
IPS (Intrusion Prevention System): IDS yeteneklerine ek olarak şüpheli trafiği aktif biçimde bloklayan inline kontrol. False positive maliyeti yüksek olduğundan tuning olmadan üretime alınmamalıdır.
IoC (Indicator of Compromise): Bir saldırının izlerini taşıyan teknik gösterge: IP, domain, URL, hash, mutex, registry anahtarı vb. SiberAnaliz tüm IoC'ları siberguvenlik.gov.tr beslemesinden çeker ve kategori + kritiklik bağlamı ekler.
IR (Incident Response): Bir güvenlik olayına yapılandırılmış müdahale süreci: hazırlık → tespit → sınırlama → eradikasyon → kurtarma → öğrenme. NIST SP 800-61 referans çerçevedir.
IAM (Identity and Access Management): Kullanıcı kimliklerinin yaşam döngüsünü ve kaynaklara erişim haklarını yöneten platform katmanı. Sıfır güven mimarisinin denetim noktasıdır.

K

KVKK (Kişisel Verilerin Korunması Kanunu): Türkiye'nin 6698 sayılı kişisel veri koruma kanunu. SiberAnaliz, kişisel veri içermeyen kamuya açık tehdit göstergelerini işler; gizlilik politikası KVKK Madde 11 haklarını listeler.
Kerberos: Bilet temelli kimlik doğrulama protokolü; Active Directory'nin omurgasıdır. Kerberoasting ve Golden Ticket gibi saldırı teknikleri AD ortamlarında yüksek riskli senaryolardır.
Keylogger: Klavye girişlerini kaydeden zararlı yazılım veya donanım. Genelde kimlik bilgisi çalma kampanyalarının uç nokta katmanını oluşturur; MFA varlığı etkisini azaltır.

M

Malware (Zararlı Yazılım): Kullanıcının iznini almaksızın zararlı işlev gören her tür yazılım: virüs, solucan, trojan, ransomware, spyware. SiberAnaliz'de "MD" kategori kodu malware dağıtım noktalarını işaret eder.
MFA (Multi-Factor Authentication): Parolaya ek olarak ikinci/üçüncü bir doğrulama faktörü gerektiren kimlik doğrulama. Phishing-resistant MFA (FIDO2/WebAuthn) klasik OTP'ye göre çok daha güçlüdür.
MISP (Malware Information Sharing Platform): Tehdit istihbaratını yapılandırılmış formatta paylaşmak için kurulan açık kaynak platform. IoC paylaşım toplulukları arasında fiili standart hâline gelmiştir.
MITRE ATT&CK: Saldırgan taktik, teknik ve prosedürlerinin (TTP) bilgi tabanını sağlayan açık çerçeve. Tehdit avı kurallarının ve SOC olgunluk ölçümlerinin ortak dilidir.
NIDS (Network-based Intrusion Detection System): Ağ segmentlerini izleyen, paket inceleme bazlı saldırı tespit sistemi. Şifreli trafik (TLS 1.3) yaygınlaştıkça davranışsal modeller imzaların yerini almaktadır.

O

OSINT (Open Source Intelligence): Halka açık kaynaklardan istihbarat üretme disiplini: sertifika günlükleri, DNS arşivleri, sosyal medya, sızıntı veritabanları. SiberAnaliz kendisi de OSINT odaklı bir bağımsız yayındır.
OWASP (Open Web Application Security Project): Web uygulama güvenliği konusunda topluluk temelli kâr amacı gütmeyen kuruluş. Yayımladığı Top 10 listesi geliştirici farkındalığı için fiili referanstır.

P

Phishing (Oltalama): Sahte e-posta/site ile kullanıcıdan kimlik bilgisi veya MFA token'ı çalmaya yönelik sosyal mühendislik saldırısı. SiberAnaliz'de "PH" kategori kodu oltalama hedeflerini sıralar.
PII (Personally Identifiable Information): Bir bireyi doğrudan veya dolaylı olarak tanımlayan veri (T.C. kimlik no, e-posta, telefon). KVKK ve GDPR'ın koruma alanına girer; DLP politikalarının birincil hedefidir.
Penetration Test (Sızma Testi): Yetkili saldırganın sözleşmeli sınırlar içinde gerçek dünya tekniklerini kullanarak bir sistemi denetlemesi. Vulnerability assessment'tan farklı olarak istismarı da içerir.
Pivoting: Saldırganın ele geçirdiği bir sistemi atlama tahtası olarak kullanıp iç ağda yatay hareket etmesi. Ağ segmentasyonu pivoting maliyetini artıran en güçlü kontroldür.
Patching (Yama): Üreticinin yayımladığı güvenlik güncellemelerinin sistemlere uygulanması. Patch SLA'sı (örn. kritik için 72 saat) olmayan bir kurum risk yönetimi yapmıyor demektir.

R

Ransomware (Fidye Yazılımı): Verileri şifreleyip fidye karşılığında çözüm anahtarı sunan zararlı yazılım. Modern varyantlar veriyi ayrıca sızdırarak çifte gasp uygular; geri dönüş için doğrulanmış offline yedek tek garantidir.
RPZ (Response Policy Zone): DNS çözümleyicide kötücül alan adlarının sinkhole edilmesini sağlayan BIND mekanizması. IoC besleme ile beslendiğinde C2 trafiğini doğum anında kesen düşük maliyetli kontroldür.
RCE (Remote Code Execution): Saldırganın hedef sistemde uzaktan keyfi kod çalıştırmasına imkân veren açıklık. CVE listesindeki en yüksek öncelikli sınıftır; yama SLA'sı saatlerle ölçülmelidir.
RAT (Remote Access Trojan): Saldırgana ele geçirilmiş makinede tam interaktif uzaktan erişim sağlayan trojan. Davranışsal tespitte ekran/klavye/mikrofon erişimi gibi telemetri sinyalleri belirleyicidir.
Replay Attack: Daha önce yakalanmış meşru bir kimlik doğrulama veya işlem mesajının yeniden gönderilerek sistemi aldatma saldırısı. Nonce, timestamp ve TLS oturum bağlama önlemleri standart azaltıcılardır.

S

SOC (Security Operations Center): Güvenlik olaylarını 7/24 izleyen, sınıflandıran ve müdahale eden operasyonel ekip/birim. SiberAnaliz; SOC analistlerinin Türkiye'ye özgü göstergeleri günlük operasyona dahil edebilmesi için tasarlanmıştır.
SIEM (Security Information and Event Management): Heterojen kaynaklardan log toplayıp normalize eden, korelasyon kuralları üzerinden alarm üreten merkezi platform. Tehdit istihbaratı beslemeleriyle zenginleştirildiğinde değeri katlanır.
SOAR (Security Orchestration, Automation and Response): Tekrarlayan müdahale adımlarını playbook'lar üzerinden otomatikleştiren katman. SOC'un alarm başına ortalama yanıt süresini (MTTR) ölçülebilir biçimde düşürür.
Sandbox: Şüpheli dosya veya URL'lerin izole bir ortamda detone edilerek davranışlarının gözlemlendiği analiz platformu. Modern malware sandbox kaçınma teknikleri uygular, bu nedenle çoklu sandbox kullanımı önerilir.
Scam (Dolandırıcılık): Kullanıcıyı maddi kazanç vaadi veya korku motifiyle aldatan kampanyalar. SiberAnaliz "SC" kategori kodu dolandırıcılık temalı IoC'leri sınıflandırır.
Sinkhole: Bir alan adının çözümlemesini saldırganın sunucusu yerine kontrollü bir sunucuya yönlendirme tekniği. Hem ele geçirilmiş istemcileri görünür kılar hem de C2 iletişimini keser.
Spear Phishing: Belirli bir kişiye veya küçük bir gruba özelleştirilmiş yüksek hedefli oltalama saldırısı. CEO/CFO'yu hedeflerse whaling adını alır; finansal sahtekarlığın en sık başlangıç vektörüdür.
SQL Injection: Kullanıcı girdisinin SQL sorgusuna güvenli şekilde parametrelenmemesi nedeniyle saldırganın veritabanına keyfi sorgular yapabilmesi. Hazırlıklı ifadeler (prepared statements) tek doğru azaltıcıdır.
SSL / TLS: İstemci ile sunucu arasındaki ağ trafiğini şifreleyip kimlik doğrulayan protokol ailesi. SSL artık güvensiz kabul edilir; günümüz pratiği TLS 1.2 minimum, TLS 1.3 tercih edilen sürümdür.

T

TI (Threat Intelligence): Saldırganın motivasyonu, yetkinlikleri ve altyapısı hakkında işlenmiş bağlamlı bilgi. SiberAnaliz, Türkiye'ye özgü teknik göstergeleri kategori ve kritiklik bağlamıyla operasyonel TI haline getirir.
TLP (Traffic Light Protocol): Paylaşılan istihbaratın hangi kapsamda yayımlanabileceğini gösteren renk kodlu etiket sistemi: TLP:CLEAR, GREEN, AMBER, RED. SiberAnaliz verisi açık kaynak olduğundan TLP:CLEAR seviyesindedir.
Tor (The Onion Router): Çoklu şifreleme katmanları üzerinden trafiği gönüllü düğümler arasında yönlendiren anonimleştirme ağı. Tor exit node'ları kurumsal ağda risk profili gereği genelde engellenir.
Trojan: Meşru yazılım görünümünde dağıtılan ama içinde zararlı işlev taşıyan malware sınıfı. Banker, downloader, RAT gibi alt aileler vardır.
TTP (Tactics, Techniques and Procedures): Bir saldırganın tercih ettiği taktik (ne için), teknik (nasıl) ve prosedür (hangi adımlarla) örüntüsü. MITRE ATT&CK çerçevesinin temel kavramıdır; aktör atfında IoC'den daha kalıcıdır.

U

USOM (Ulusal Siber Olaylara Müdahale Merkezi): T.C. Siber Güvenlik Başkanlığı bünyesinde Türkiye'nin ulusal CERT işlevini yürüten birim. SiberAnaliz tüm tehdit göstergelerini yalnızca USOM'un siberguvenlik.gov.tr beslemesinden çeker.
UEBA (User and Entity Behavior Analytics): Kullanıcı ve servis hesaplarının baseline davranışını öğrenip sapmaları işaretleyen analitik katman. Yatay hareket ve içeriden tehdit senaryolarında imzasız tespit imkânı verir.
URL (Uniform Resource Locator): Bir kaynağı protokol + host + yol şeklinde tanımlayan adres dizgisi (örn. https://ornek.com/yol). SiberAnaliz'de URL göstergeleri tam yol düzeyinde engelleme için web proxy/secure web gateway katmanına yazılır.

V

VPN (Virtual Private Network): İki uç arasında şifrelenmiş tünel kuran ağ teknolojisi. Modern sıfır güven yaklaşımları, kullanıcıyı tüm iç ağa açan klasik VPN modeli yerine uygulama düzeyinde proxy ile değiştirmektedir.
Vulnerability (Güvenlik Açığı): Bir sistemde, yazılımda veya süreçte saldırganın istismar edebileceği zayıflık. CVE ile etiketlenir, CVSS ile şiddeti, EPSS ile istismar olasılığı puanlanır.

W

WAF (Web Application Firewall): HTTP/HTTPS trafiğini uygulama katmanında inceleyip OWASP Top 10 tarzı saldırıları bloklayan güvenlik duvarı. Geliştirici güvenli kodlama eksikliklerini telafi eden ikinci katmandır, tek savunma olamaz.
Webshell: Saldırganın ele geçirilmiş bir web sunucusunda komut çalıştırmak için bıraktığı küçük script. Genellikle yüklenmiş ZIP, görsel veya tema dosyalarına gizlenir.
Whaling: C-level yöneticiler veya finans karar vericilerini hedef alan üst düzey kişiselleştirilmiş oltalama. Finansal sonuç doğrudan kurum bilançosuna yansıdığından MFA + onay zinciri kontrolleri zorunludur.
Whitelist / Allowlist: Yalnızca açıkça izin verilen kaynakların geçişine müsaade eden listeye dayalı kontrol modeli. Blocklist yaklaşımının tersidir; uygulama kontrolünde ve dış API erişiminde tercih edilir.

X

XSS (Cross-Site Scripting): Saldırganın bir web sayfası üzerinden başka kullanıcıların tarayıcısında script çalıştırabilmesi. Stored, reflected ve DOM-based varyantları vardır; çıktıların doğru kodlanması ve CSP başlığı temel azaltıcılardır.

Y

YARA: Dosya içerikleri için "imza" tanımlama dili. Tehdit avcıları ve sandbox motorları, malware ailelerini metin ve byte örüntüleriyle tanımlamak için YARA kurallarını paylaşır.

Z

Zero-Day (Sıfırıncı Gün): Üreticisinin henüz farkında olmadığı veya yamasını yayımlamadığı güvenlik açığı. Yama olmadığı için savunma; segmentasyon, davranışsal tespit ve telafi edici kontrollere düşer.
Zero Trust (Sıfır Güven): "Asla güvenme, her zaman doğrula" prensibiyle ağ kenarı yerine her oturum/işlem düzeyinde kimlik ve bağlam doğrulayan modern mimari yaklaşımı. NIST SP 800-207 referans çerçevedir.