Zafiyet Tarama Otomasyonu: Kendi Kurumsal Güvenlik Sisteminizi Kurun
Kurumsal bir güvenlik ekibinin günlük görevleri manuel yapılırsa günler sürer; otomatikleşirse dakikalara iner. Bu rehberde açık kaynak araçlarla uçtan uca zafiyet tarama sistemi nasıl kurulur adım adım anlatıyoruz; VefaSec başlangıç şablonu açık kaynak.
Subdomain Keşif Akışı
Saldırı yüzeyi, bilinen domain'lerden çok ötede olabilir. Subfinder, Amass, Sublist3r ile pasif kaynaklardan (CT log, Shodan, DNSDB) subdomain toplanır. Ardından Httpx ile canlı olanlar filtrelenir.
Akış nightly cron ile çalışır: bulunan subdomain'ler veritabanına kaydedilir, yeni eklenenler bir sonraki tarama döngüsüne dahil edilir. Unutulmuş staging, dev ve test ortamları zamanla şaşırtıcı sayıda ortaya çıkar.
CVE Takip Sistemi: NVD Feed ve Custom Rule'lar
NVD (National Vulnerability Database) RSS/JSON feed'i saatlik pull edilir ve kurum stack'ine uyan CVE'ler filtrelenir. SBOM veritabanı ile cross-reference yapılarak 'bu CVE bizi etkiler mi?' sorusunun cevabı 30 saniyede gelir.
Her yeni CVE için otomatik Jira ticket, Slack alert ve etkilenen sistem sahibine e-posta. Kritik (CVSS >= 9) CVE'ler için SMS uyarısı ve CISO dashboard'unda kırmızı bildirim.
Nuclei ile Otomatik Tarama
Nuclei, YAML tabanlı template'lerle 5000+ zafiyet senaryosunu dakikalar içinde tarar. Topluluk template deposu sürekli güncelleniyor; ayrıca kurum için özel template yazmak kolay. CVE tarama, misconfiguration check, exposed endpoint detection standart kullanım.
Docker container olarak çalıştırılır, çıktılar JSON format'ında indeksleme sistemine (Elasticsearch, Loki) aktarılır. Yanlış pozitifler whitelist mekanizmasıyla ayıklanır.
Nessus / OpenVAS Entegrasyonu
Authenticated scan için Nessus veya OpenVAS gerekir; derin CVE detection, patch level kontrolü ve compliance check sağlarlar. API üzerinden scheduled scan başlatılır, bitince sonuçlar çekilir ve merkezi veritabanına birleştirilir.
Kapasite planlama: haftalık tam tarama + günlük incremental + gerçek zamanlı Nuclei. Büyük altyapılarda parallel worker'lar ve iş kuyruğu (RabbitMQ, Redis) ile ölçeklenir.
Uyarı Sistemi ve Yönetici Panel
Slack webhook + PagerDuty + SMS üçlüsü kritik uyarılar için; e-posta orta/düşük için. Alert fatigue'den kaçınmak için dedup ve severity tabanlı filtreleme. Aynı bulgu aynı asset'te tekrarlanıyorsa 'yeni olay' değil 'hala açık'.
Yönetici panel Grafana ile kurulur: bulgu trendi, kapanma süresi, SLA uyumu, en kritik 10 asset. VefaSec bu altyapıyı hazır şablon olarak sunuyor; kurumunuza kurulum 2 gün, ilk tarama 1 hafta içinde canlıda.
Projeniz veya denetim ihtiyacınız için VefaSec'le konuşun.
Diyarbakır merkezli ekibimiz; kurumsal müşterilere uçtan uca yazılım geliştirme, sızma testi ve siber güvenlik danışmanlığı hizmetleri sunar. Keşif görüşmesi ücretsiz, bağlayıcı değil.