Saldırganların otomatik tarama temposu bugün saniyede yaklaşık 36.000 isteğe kadar çıkıyor; bu, açık ile istismar arasındaki pencereyi sıkıştırıyor. Bu nedenle Patch Management’ta kritik yamalarda ≤72 saat hedefi artık lüks değil, zorunlu.
BT ekiplerinin %70’i her hafta yamaya 6+ saat ayırıyor ve yalnızca %41’i kritik CVE’leri 24 saatte kapatabileceğine güveniyor. Otomasyon ve doğru önceliklendirme olmadan bu yük sürdürülebilir değil.
Fortinet, son dönemde 97 milyar+ istismar denemesi gözlemledi ve kimlik hırsızlığında %42 yıllık artış raporladı. Bu kalıp, önceliği yalnızca CVSS’e değil gerçek istismara göre vermeyi gerektiriyor.
Bütçe artıyor ama risk yerinde sayıyor; dengeyi bozmanın yolu panoda görünür KPI’lar ve acil yama hattından geçiyor.
1) Keşif & Envanter – Görmediğini Yamalayamazsın
Yılın ilk yarısında 21.528 yeni zafiyet yayımlandı; bu, günde ortalama 133 yeni CVE demek. Envanter ve sürüm görünürlüğü olmadan risk hızla kaçar.
IDC verisi, ekiplerin haftada ~1 iş gününü yamaya harcadığını gösteriyor; keşif-otomasyon yatırımı bu süreyi gözle görülür azaltır.
2) Önceliklendirme – CVSS Tek Başına Yetmez
KEV kataloğuna giren CVE’ler aktif istismar altındadır; burada “acil hat” ile ≤72 saat hedefi uygulanmalı.
Fortinet’in 97B+ denemelik hacmi ve %42 kimlik hırsızlığı artışı, PoC/exploit mevcut açıkların en öne alınmasını zorunlu kılıyor; iş etkisini ile birlikte değerlendirin.
3) Test & Pilot – Küçükte Doğrula, Büyükte Yay
Gartner’a göre kurumların önemli bölümü IT–Sec öncelik çatışmasını en büyük engel görüyor; paylaşılan sorumluluk matrisi MTTR’ı gözle görülür düşürüyor.
Haftalık canary/pilot ve otomatik smoke/regresyon testleri, aynı hafta onlarca yama alan uç noktalarda (“pilot gruplar”ı Endpoint Security ile hizalayarak) “yama kaynaklı kesinti” riskini anlamlı azaltır.
4) Dağıtım – Standart Ritim + Acil Yama Hattı
Aylık Patch Tuesday ritmi önemlidir; ancak out-of-band acil yamalarla erken istismar penceresine karşı korunursunuz. Fortinet, saldırı zincirindeki otomasyonda dramatik hızlanma tespit ediyor.
Örnek: CVE-2025-48384 (Git) KEV’e alındığında federal kurumlara 15 Eylül 2025 son tarihi verildi; böyle durumlarda 48–72 saat içinde yayına çıkmak en iyi uygulamadır; kritik iş servislerinde DRaaS senaryolarını dağıtım pencereleriyle eşleyin.
5) Doğrulama & Raporlama – “Yükledik” Yetmez
Dağıtım sonrası Coverage %, başarısız dağıtım oranı, yeniden başlatma ihtiyacı ve MTTP ölçülmeli; bu metrikleri Uptime ve kullanıcı etkisi ile ilişkilendirin.
Düzenli ortak ritüeller ör. haftalık KEV stand-up) MTTR’ı ölçülebilir biçimde iyileştirir; IDC’nin %70 / 6+ saat bulgusu, doğrulama ve raporlama otomasyonu olmadan sürdürülebilirliğin hızla bozulduğunu gösteriyor.
6) Sektörel Kutu – OT / Enerji / Üretim
Fortinet’in OT odaklı çalışmalarında 3.300+ OT protokol kuralı, ~750 OT IPS ve 1.500 sanal yama kuralı gibi kontroller, eski sistemlerde fiziksel duruşu azaltmaya yardımcı oluyor; OT’de Enerji Sektöründe Bulut Güvenliği yaklaşımlarından yararlanın.
Edge cihazlar (VPN, firewall) süregelen hedef; bu sınıfın kritik ve yüksekleri dağıtım kuyruğunda ilk 7 gün içinde kapanmalı.
7) Türkiye Perspektifi – Yerel Nabız
Bir BT Haber içeriği, yatırımlar artsa da veri kaybı riskinin sürdüğünü; çözümün düzenli yama + otomasyon disiplini olduğunu vurguluyor; pano tarafında Bulut Teknolojisi ve Bulut Depolama politikalarının görünürlüğü önerilir.
Türkiye’de pratik bir çıpa metrik seti: haftalık KEV gözden geçirme ve kritiklerde ≤72 saat hedefi. Bu iki metrik, yönetici panosunda haftalık görülmeli.
Kontrol Listesi (KPI’lı)
- SLA’lar yazılı mı: Kritik ≤72 saat, Yüksek ≤7 gün, Orta ≤30 gün? Bu üç rakam yoksa istismar penceresi ölçülemez.
- KEV takibi haftalık mı? KEV’e düşenler acil hat ile kapanıyor mu? Bu ritim MTTP’yi günler bazında kısaltır.
- KPI panosu var mı: Coverage %, MTTP, MTTR, Change Failure Rate, Rollback Oranı? Aylık raporlama MTTR trendini somut hale getirir.
- OT özelinde sanal yama kullanılıyor mu? 1.500+ kural eski sistemlerde duruşu azaltır.
KEV/PoC odaklı öncelik, ≤72 saatlik kritik SLA ve görünür KPI’lar; istismar penceresini kapatır, MTTR/MTTP’yi düşürür ve ekiplerin yamaya harcadığı zamanı %70’e varan oranlarda azaltmaya başlar, riskleri görünür kılar ve somut karar almayı hızlandırır.
Patch yönetiminizi sadeleştirmek, öncelikleri netleştirmek ve dağıtımı otomatikleştirmek için Eclit’le şimdi konuşun; ölçülebilir, sürdürülebilir güvenlik ritmine geçin.
Yalnızca CVSS’e bakmak neden yeterli değil?
CVSS şiddeti gösterir; KEV/PoC ve gerçek istismar sinyali ise aciliyeti belirler. Öncelik sırası: KEV’de olanlar → aktif istismar kanıtı olanlar → yüksek iş etkisi taşıyanlar.
Kritik, yüksek ve orta seviyeler için önerilen SLA nedir?
Kritik ≤72 saat, Yüksek ≤7 gün, Orta ≤30 gün. İstisnalar için risk sahibi, telafi kontrolü (ör. sanal yama) ve kapanış tarihi mutlaka kayda geçmeli.
Yönetici panosunda hangi KPI’lar olmalı?
Coverage %, MTTP/MTTR, Change Failure Rate, Rollback oranı, RPO/RTO. Haftalık trend grafikleri ve “açık/kapalı/engelli” durum etiketleriyle izleyin.
OT/edge cihazlarında (VPN, firewall) en iyi yaklaşım nedir?
Öncelik ilk 7 gün, bakıma uygun pencere, üretim öncesi pilot, mümkünse sanal yama/IPS kuralı, hızlı geri alma planı ve tedarikçi firmware takvimiyle ilerleyin.
Otomasyonu nasıl kurgulamalıyız?
Sürekli keşif + etiketleme, ring/kanarya dağıtım, otomatik test (smoke/regresyon), onay eşikleri risk tabanlı, ITSM/SOAR entegrasyonu, başarısız dağıtımda otomatik rollback.
