Özet
- Haziran 2026'da yaşanan FortiBleed sızıntısında 73.932 adet Fortinet VPN kimlik bilgisi ifşa oldu; CISA, tüm etkilenen kuruluşlara acil uyarı yayımladı.
- VPN'lerin yapısal kırığı "lateral movement" (yatay hareket) sorunudur: bir kez içeri giren saldırgan her şeye ulaşabilir.
- Zero Trust Network Access (ZTNA) bu sorunu çözüyor; İstanbul KOBİ'leri dahil tüm ölçekteki işletmeler bugün geçişe başlayabilir.
Haziran 2026'da bir tehdit aktörü, 73.932 Fortinet FortiGate VPN kimlik bilgisini — kullanıcı adları, parolalar ve cihaz yapılandırmaları dahil — internete sızdırdı. Güvenlik araştırmacıları verinin gerçek olduğunu doğruladı. ABD Siber Güvenlik Ajansı CISA, tüm Fortinet müşterilerine acil uyarı yayımlayarak kimlik bilgilerini derhal değiştirmelerini, erişim loglarını incelemelerini ve tüm geçmiş VPN oturumlarını potansiyel tehdit olarak kabul etmelerini istedi.
Bu ne ilk ne de son olacak. Aynı dönemde Palo Alto Networks da müşterilerini PAN-OS GlobalProtect VPN'de aktif olarak istismar edilen kritik bir açık konusunda uyardı. Dünyanın en yaygın iki kurumsal VPN ürünü aynı hafta aktif saldırı altındaydı.
Sonuç açık: VPN altyapısı, saldırganların her ölçekteki işletmeye açılan en güvenilir giriş noktası haline geldi. FortiGate, GlobalProtect, Cisco AnyConnect veya başka herhangi bir VPN kullanıyorsanız, bir araç değil bir hedef yönetiyorsunuz.
VPN'ler, kurumsal ağın bir kale gibi korunduğu ve uzak çalışanların bu kaleye tünel kazarak girebileceği 1990'lı yılların dünyası için tasarlandı.
O dünya artık yok. Ama VPN modeli hâlâ ayakta — ve temel varsayımı bugün bir güvenlik açığına dönüşmüş durumda.
VPN kullanıcısı kimlik doğrulamasını tamamladığında ağa erişim kazanır. Tek bir uygulamaya değil, tek bir dosya sunucusuna değil — ağın tamamına. Yapılandırmaya bağlı olarak bu durum, muhasebe sistemlerine, İK kayıtlarına, üretim sunucularına, yedekleme sistemlerine ve iç araçların tamamına tek bir oturumdan ulaşılabilmesi anlamına gelir.
Saldırganlar buna "lateral movement" — yatay hareket — diyor. FortiBleed yoluyla, bir çalışandan phishing ile ya da karanlık web pazarından satın alınan geçerli bir VPN kimlik bilgisi, iç ağın kapısını ardına kadar açar. Güvenlik ekipleri çoğu zaman meşru bir uzak bağlantı ile kötü niyetli bir oturumu, önemli hasar oluşana dek birbirinden ayırt edemiyor.
FortiBleed tam olarak bunu gösterdi: saldırganların şifreleme kırmalarına ya da karmaşık bir exploit geliştirmelerine gerek yoktu. Tek ihtiyaçları geçerli bir kimlik bilgisiydi. VPN ise onlara binanın anahtarlarını teslim etti.
1. Yama gecikmesi kaçınılmaz. VPN cihazları sürekli güncelleme gerektiriyor. İstanbul'daki KOBİ'lerin büyük çoğunluğu, açıkların aktif istismardan önce kapatılabilmesi için gereken kritik zaman penceresi içinde yama yapabilecek iç kapasiteye sahip değil. Açıklanma ile yama arasındaki boşlukta saldırganlar yaşıyor.
2. VPN'ler uygulama düzeyinde görünürlük sağlamıyor. Geleneksel bir VPN, uzak kullanıcının hangi uygulamalara eriştiğini, ne kadar süre bağlı kaldığını ya da davranışının anormal olup olmadığını söyleyemiyor. Bağlantıyı kuruyor, ardından görünmez oluyor.
3. Bulut ve SaaS uygulamaları VPN'i gereksiz kılıyor. Çalışanlarınız günlerinin büyük bölümünü Microsoft 365, Google Workspace, bir CRM veya proje yönetim aracında geçiriyorsa, bu trafiği bir VPN cihazından geçirmek gecikme ekler ama güvenlik katmıyor. Çoğu kuruluş, VPN'in güvenlik değerini zaten zayıflatan "split-tunnel" yapılandırmalarına mecbur kalıyor.
Zero Trust Network Access (ZTNA) — Sıfır Güven Ağ Erişimi — VPN'in modern alternatifidir. ZTNA bir ağa değil, belirli uygulamalara erişim verir; üstelik her seferinde kullanıcının kimliğini, cihazının güvenlik durumunu ve bağlantı bağlamını doğruladıktan sonra.
Basit bir analoji: VPN bir ofis binasının ana anahtarı gibidir — elinizde varsa her kapıyı açabilirsiniz. ZTNA ise ziyaretçi kartı sistemine benzer: tam olarak ihtiyaç duyduğunuz odaya, tam olarak ihtiyaç duyduğunuz süre için giriş yaparsınız; başka hiçbir yere geçemezsiniz.
ZTNA üç temel ilke üzerine kuruludur:
Pratik sonuç: saldırgan geçerli kimlik bilgilerini ele geçirse bile dosya sunucunuza, yedekleme sisteminize veya muhasebe araçlarınıza ulaşamaz. Yalnızca o kimlik bilgisinin yetkili olduğu uygulamaya erişmeyi deneyebilir — ve cihaz güvenlik kontrolü ile davranış analitiği bu girişimi bile engelleyebilir.
Zero Trust'ın temel ilkeleri hakkında daha fazla bilgi için: Zero Trust Güvenlik Nedir?
| Boyut | Geleneksel VPN | Zero Trust Network Access | |---|---|---| | Erişim modeli | Tüm ağa erişim verir | Yalnızca belirli uygulamalara erişim verir | | İhlal yayılım alanı | Geniş — tek kimlik bilgisi tüm ağı açar | Dar — ihlal yetkili uygulamalarla sınırlı kalır | | Görünürlük | Minimal — bağlantı bilgisi var, davranış yok | Yüksek — oturum ve uygulama bazında log ve analitik | | Maliyet | Yüksek — donanım, lisans, yama, destek yükü | Uzun vadede düşük; bulut tabanlı seçenekler donanım maliyetini ortadan kaldırır | | Karmaşıklık | Yüksek — cihaz yönetimi, firmware döngüsü, split-tunnel sorunları | Düşük operasyonel yük; politikalar yazılım üzerinden merkezi olarak yönetilir |
Maliyet karşılaştırması önemli bir not gerektiriyor. Cloudflare Access, Tailscale, Zscaler Private Access ve Microsoft Entra Private Access gibi ZTNA çözümleri çoğunlukla abonelik tabanlıdır ve şirket içi donanım gerektirmez. Tek bir FortiGate cihazı işleten bir KOBİ için geçiş, üç yıllık perspektifte hem lisans hem de IT operasyon maliyetlerini düşürüyor.
VPN'den ZTNA'ya geçiş tek seferlik büyük bir kesinti gerektirmiyor. Aşamalı bir yaklaşımla uygulamaları tek tek taşıyarak sürekliliği koruyabilirsiniz.
Mevcut VPN erişiminizi denetleyin. Uzak kullanıcıların VPN üzerinden eriştiği tüm uygulama, sunucu ve kaynakları belirleyin. Hangi kullanıcı veya rolün hangi kaynağa eriştiğini eşleyin. Bu envanter, ZTNA politikanızın temelidir. Aynı aşamada güvenlik duvarı kurallarınızı da gözden geçirin — pek çok KOBİ, geçişten bağımsız olarak sıkılaştırılması gereken aşırı geniş kurallar keşfediyor.
Bir ZTNA platformu seçin ve bağlayıcıyı devreye alın. Ortamınıza uygun bir ZTNA platformu seçin. KOBİ'lerin çoğu Cloudflare Access (güçlü ücretsiz katman), Tailscale (geliştirici ve hibrit ekipler için mükemmel) ya da Microsoft Entra Private Access (Microsoft 365 altyapısı varsa) ile başlıyor. Şirket içi veya bulut ortamınıza hafif bağlayıcıyı kurun — bu bileşen, iç kaynaklarınız ile ZTNA katmanı arasındaki köprüdür.
Uygulamaları öncelik sırasına göre taşıyın. En yüksek riskli ve en fazla dışarıdan erişilen uygulamalarla başlayın — genellikle uzak masaüstü erişimi, iç web araçları ve yönetim konsolları. Her uygulamayı etkinleştirmeden önce erişim politikalarını tanımlayın (kim, hangi cihaz güvenlik durumuyla, hangi koşullar altında). Kapsamlı test yapın, ardından bir sonrakine geçin.
VPN'i devre dışı bırakın. Tüm uygulamalar taşındıktan ve kullanıcılar en az 30 gün sorunsuz biçimde ZTNA üzerinde çalıştıktan sonra VPN altyapısını kaldırmaya başlayın. Kimlik bilgilerini iptal edin, güvenlik duvarı portlarını kapatın ve cihazı saldırı yüzeyinizden çıkarın. Değişikliği belgeleyin ve olay müdahale planlarınızı güncelleyin.
50 kullanıcılı bir KOBİ için eksiksiz geçiş, düzgün planlandığında genellikle 60–90 gün sürüyor.
Lasetech olarak güvenli uzak erişimi şöyle tanımlıyoruz: kimlik bilgilerinin çalınacağını varsayan ve bu gerçekleştiğinde hasarı sınırlayacak biçimde tasarlanmış bir mimari. İstanbul KOBİ'lerine ve uluslararası müşterilerimize Zero Trust geçişini yasal zorunluluk haline gelmeden önce tavsiye etmeye başladık. Operasyonel gerçekliğinize uygun bir geçiş hızı belirleyen, risk bazlı ve yapılandırılmış bir yaklaşım uyguluyoruz. Size bir ürün satmıyoruz; bir güvenlik duruşu inşa ediyoruz.
S: ZTNA yalnızca büyük şirketler için mi? Hayır. ZTNA çözümleri önemli ölçüde olgunlaştı — Cloudflare Access ve Tailscale'in her ikisi de KOBİ dostu fiyatlandırmaya sahip ve özel donanım gerektirmiyor. 10 kişilik bir işletme ZTNA'yı bir günden kısa sürede devreye alabilir.
S: Geçiş sürecinde VPN ve ZTNA'yı paralel çalıştırabilir miyiz? Evet ve bu önerilen yaklaşımdır. Geçiş döneminde VPN, henüz ZTNA'ya taşınmamış uygulamaların trafiğini taşımaya devam eder. 60–90 günlük paralel çalışma standart bir uygulamadır.
S: ZTNA Microsoft 365 ve diğer SaaS araçlarla çalışıyor mu? ZTNA öncelikle şirket içinde barındırılan özel uygulamalara erişim için kullanılır; Microsoft 365 gibi SaaS araçlar için değil — bunların kendi kimlik ve erişim kontrolleri bulunuyor. Ancak ZTNA, SaaS erişiminizi de yöneten kimlik sağlayıcılarıyla (Azure AD, Okta, Google Workspace) entegre çalışarak birleşik bir erişim politikası oluşturmanızı sağlar.
S: VPN'imiz henüz ihlal edilmedi — bu konu gerçekten acil mi? Evet. Hem FortiBleed sızıntısı hem de PAN-OS istismarı, hedefli saldırılar değil yaygın kampanyalardı. VPN cihazınızın internete açık yönetim arabirimleri varsa — ki büyük çoğunluğunun vardır — olası bir hedefsiniz. Soru hedef alınıp alınmadığınız değil; alındığınızda bunu fark edip edemeyeceğinizdir.
İşletmenizi eski nesil VPN'den kurtarmaya hazır mısınız? Lasetech ile iletişime geçin — ücretsiz uzak erişim güvenlik değerlendirmesi için bugün bize ulaşın.
Bu yazı Lasetech tarafından hazırlanmıştır.
Modern fidye yazılımı grupları saldırmadan önce güvenlik yazılımlarınızı devre dışı bırakıyor. KOBİ'ler için 2026 fidye yazılımı savunma rehberi.
MFA artık yeterli değil. Cihaz kodu kimlik avı saldırıları 2026'da 37 kat arttı. KOBİ'ler için koruma rehberi.
Güvenlik duvarı, ağınızı yetkisiz erişim ve siber tehditlere karşı koruyan ilk savunma hattıdır. Nasıl çalıştığını ve işletmeniz için hangisinin doğru olduğunu öğrenin.
