Siber Güvenlik Terimleri Sözlüğü (TR – EN, Detaylı)

1) Temel Kavramlar

1. Siber Güvenlik (Cybersecurity): Bilgi sistemlerini, ağları ve verileri yetkisiz erişim, saldırı ve hasara karşı koruma disiplini.
2. Bilgi Güvenliği (Information Security): Bilginin gizlilik, bütünlük ve erişilebilirliğini (CIA Triad) korumaya odaklanır.
3. Gizlilik (Confidentiality): Bilginin yalnızca yetkili kişilerce erişilebilir olması.
4. Bütünlük (Integrity): Bilginin yetkisiz şekilde değiştirilmemesi.
5. Erişilebilirlik (Availability): Yetkili kullanıcıların bilgiye ihtiyaç duyduklarında ulaşabilmesi.

2) Tehditler ve Saldırı Türleri

1. Tehdit (Threat): Sisteme zarar verme potansiyeli olan her türlü olay veya aktör.
2. Zafiyet (Vulnerability): Sistemde istismar edilebilecek güvenlik açığı.
3. Risk (Risk): Tehdit × zafiyet × etki bileşimi.
4. Siber Saldırı (Cyber Attack): Bilgi sistemlerini hedef alan kasıtlı eylem.
5. Kötü Amaçlı Yazılım (Malware): Sisteme zarar vermek veya kontrol etmek için yazılmış yazılım.
6. Virüs (Virus): Başka dosyalara bulaşarak yayılan zararlı yazılım.
7. Solucan (Worm): Ağ üzerinden kendi kendine yayılan zararlı yazılım.
8. Truva Atı (Trojan): Masum görünen ama zararlı işlevi olan yazılım.
9. Fidye Yazılımı (Ransomware): Verileri şifreleyip fidye talep eden saldırı.
10. Casus Yazılım (Spyware): Kullanıcı faaliyetlerini gizlice izleyen yazılım.

3) Sosyal Mühendislik ve İnsan Faktörü

1. Sosyal Mühendislik (Social Engineering): İnsanları kandırarak bilgi elde etme tekniği.
2. Oltalama (Phishing): Sahte e-posta veya sitelerle kullanıcı bilgisi çalma.
3. Hedefli Oltalama (Spear Phishing): Belirli kişi veya kuruma özel phishing.
4. Balina Avı (Whaling): Üst düzey yöneticileri hedef alan saldırı.
5. Kimlik Avı (Credential Harvesting): Kullanıcı adı–şifre toplama saldırıları.

4) Kimlik, Erişim ve Yetkilendirme

1. Kimlik Doğrulama (Authentication): Kullanıcının kim olduğunu doğrulama süreci.
2. Yetkilendirme (Authorization): Kullanıcının ne yapabileceğini belirleme.
3. Hesap Yönetimi (Account Management): Kullanıcı hesaplarının oluşturulması ve yönetimi.
4. Çok Faktörlü Kimlik Doğrulama (MFA): Birden fazla doğrulama yöntemi kullanılması.
5. Tek Oturum Açma (SSO – Single Sign-On): Tek girişle birden fazla sisteme erişim.

5) Ağ Güvenliği

1. Ağ Güvenliği (Network Security): Ağ altyapısının korunması.
2. Güvenlik Duvarı (Firewall): Ağ trafiğini kurallara göre filtreleyen sistem.
3. IDS (Intrusion Detection System): Saldırıları tespit eden sistem.
4. IPS (Intrusion Prevention System): Saldırıları engelleyen sistem.
5. VPN (Virtual Private Network): Güvensiz ağlar üzerinden güvenli iletişim.
6. DMZ (Demilitarized Zone): İç ağ ile dış ağ arasında tampon bölge.
7. Port Tarama (Port Scanning): Açık servisleri tespit etme yöntemi.
8. Sniffing: Ağ trafiğini dinleme saldırısı.

6) Uygulama Güvenliği

1. Uygulama Güvenliği (Application Security): Yazılımlardaki güvenlik açıklarının önlenmesi.
2. OWASP Top 10: En kritik web uygulama güvenlik açıkları listesi.
3. SQL Enjeksiyonu (SQL Injection): Veritabanı sorgularının manipüle edilmesi.
4. XSS (Cross-Site Scripting): Zararlı betiklerin kullanıcı tarayıcısında çalıştırılması.
5. CSRF (Cross-Site Request Forgery): Kullanıcı adına yetkisiz işlem yaptırma.
6. Girdi Doğrulama (Input Validation): Zararlı girdilerin engellenmesi.
7. Güvenli Kodlama (Secure Coding): Güvenlik açıklarını önleyecek yazılım geliştirme.

7) Kriptografi

1. Kriptografi (Cryptography): Verinin gizlenmesi bilimi.
2. Şifreleme (Encryption): Verinin okunamaz hale getirilmesi.
3. Şifre Çözme (Decryption): Şifreli verinin eski haline getirilmesi.
4. Simetrik Şifreleme (Symmetric Encryption): Aynı anahtarın kullanılması (AES).
5. Asimetrik Şifreleme (Asymmetric Encryption): Açık–özel anahtar kullanımı (RSA).
6. Hash Fonksiyonu (Hash Function): Veriden sabit uzunlukta özet üretir.
7. Dijital İmza (Digital Signature): Veri bütünlüğü ve kimlik doğrulama sağlar.
8. PKI (Public Key Infrastructure): Açık anahtar altyapısı.
9. Sertifika (Certificate): Kimlik doğrulama belgesi.
10. TLS/SSL: Güvenli veri iletimi protokolleri.

8) Güvenlik Operasyonları (SOC)

1. SOC (Security Operations Center): Güvenlik olaylarını izleyen merkez.
2. SIEM: Log toplama ve korelasyon sistemi.
3. Log (Kayıt): Sistem olaylarının zaman damgalı kaydı.
4. Alarm (Alert): Şüpheli olay bildirimi.
5. Olay (Incident): Güvenliği etkileyen gerçekleşmiş durum.
6. Olay Müdahalesi (Incident Response): Güvenlik olayına müdahale süreci.
7. Adli Bilişim (Digital Forensics): Dijital delil analizi.
8. Tehdit İstihbaratı (Threat Intelligence): Saldırganlara dair bilgi toplama.

9) Red Team / Blue Team

1. Red Team: Saldırgan bakış açısıyla sistemleri test eden ekip.
2. Blue Team: Savunma ve izleme yapan ekip.
3. Purple Team: Red ve Blue Team iş birliği.
4. Sızma Testi (Penetration Testing): Yetkili saldırı simülasyonu.
5. Zafiyet Tarama (Vulnerability Scanning): Otomatik açık tespiti.
6. Exploit: Bir zafiyeti kullanan saldırı kodu.
7. Payload: Exploit sonrası çalışan zararlı kod.

10) Güvenlik Yönetimi ve Uyumluluk (GRC)

1. GRC (Governance, Risk, Compliance): Yönetim, risk ve mevzuat uyumu.
2. ISO 27001: Bilgi güvenliği yönetim standardı.
3. KVKK / GDPR: Kişisel veri koruma mevzuatları.
4. Politika (Policy): Kurumsal güvenlik kuralları.
5. Prosedür (Procedure): Politikanın uygulanma adımları.
6. Risk Analizi (Risk Assessment): Risklerin belirlenmesi ve değerlendirilmesi.
7. Denetim (Audit): Güvenlik kontrollerinin incelenmesi.

11) Bulut ve Modern Güvenlik

1. Bulut Güvenliği (Cloud Security): Cloud ortamlarının korunması.
2. IaaS / PaaS / SaaS: Bulut hizmet modelleri.
3. Zero Trust: “Asla güvenme, her zaman doğrula” yaklaşımı.
4. CASB: Bulut erişim güvenliği aracı.
5. Container Güvenliği: Docker/Kubernetes ortamlarının korunması.
6. Endpoint Güvenliği: Kullanıcı cihazlarının korunması.

12) Ek ve Kritik Kavramlar

1. APT (Advanced Persistent Threat): Uzun süreli, hedefli saldırı.
2. DDoS (Distributed Denial of Service): Hizmet engelleme saldırısı.
3. Botnet: Ele geçirilmiş cihaz ağı.
4. Backdoor: Gizli erişim yolu.
5. Patch: Güvenlik güncellemesi.
6. Hardening: Sistemleri sıkılaştırma.
7. Least Privilege: En az yetki ilkesi.
8. Sandbox: İzole test ortamı.
9. Exploit Kit: Otomatik saldırı araç seti.
10. IOC (Indicator of Compromise): İhlal göstergesi.
11. MITRE ATT&CK: Saldırı teknikleri matrisi.
12. Kill Chain: Saldırı aşamaları modeli.

Son 10 – Uygulamada Çok Kritik

1. Security Awareness: Kullanıcı güvenlik farkındalığı eğitimi.
2. Data Breach: Veri ihlali.
3. Incident Ticket: Olay kayıt bileti.
4. False Positive: Yanlış alarm.
5. False Negative: Kaçırılan saldırı.
6. Playbook: Olay müdahale rehberi.
7. Threat Hunting: Proaktif tehdit arama.
8. Defense in Depth: Katmanlı savunma.
9. Cyber Resilience: Saldırı sonrası toparlanma yeteneği.
10. Business Continuity: İş sürekliliği planı.