Developer Ekipleri Icin Kriz Tatbikati: Neden ve Nasil?

Siber guvenlik tatbikatlari genellikle SOC ekipleri ve ust yonetim icin tasarlanir. Ancak modern saldiri vektorlerinin cogu — supply chain, CI/CD pipeline manipulasyonu, secret leak — dogrudan gelistirici ekiplerinin sorumluluk alanindadir. Gelisistricileri tatbikatlara dahil etmek artik bir tercih degil, bir zorunluluktur.

Neden Gelistiriciler Tatbikatlara Dahil Olmali?

2024-2025 yillarinda yasanan buyuk olcekli siber olaylarin %62'sinde bir yazilim bileseni yer aldi: compromised dependency, lekli credentials, manipule edilmis build pipeline. Bu olaylarda ilk mudahale eden her zaman guvenlik ekibi olsa da, gercek cozum hemen her zaman gelistirici ekipten geldi.

Sorun su: guvenlik ekibi olayai tespit eder, ancak ne yapilmasi gerektigini belirlemek icin developer ekibe ihtiyac duyar. Eger bu iki ekip daha once birlikte calismayi pratik etmediyse, kriz aninda kritik dakikalar kaybolur.

Bir Ornek: SolarWinds ve Supply Chain Gercekligi

SolarWinds saldirisinda saldirganlar build pipeline'a sizmis ve meşiru yazilim guncencellemelerin icine backdoor yerlestirmisti. Bu tur bir olayda SOC ekibinin tek basina mudahale etmesi imkansizdir — build sistemini anlayan, kodu okuyabilen ve patch uretebilen developer ekip olmadan cozum uretlemez.

Secure Coding Sinavi Degil, Davranissal Test

Burada kritik bir ayrimi netlestirmemiz gerekiyor: Developer tatbikatlari, OWASP quiz'i veya CTF yarismasi degildir.

Test ettigimiz sey:

• Karar alma hizi: Supheli bir PR goruldugunde ne kadar hizli aksiyon aliniyor?
• Eskalasyon refleksi: Developer, guvenlik ekibini bilgilendiriyor mu yoksa sorunu tek basina cozmeye mi calisiyor?
• Ekipler arasi iletisim: SOC, DevOps ve Developer arasindaki bilgi akisi ne kadar etkili?
• Baski altinda performans: Zaman siniri varken dogru onceliklendirme yapilabiliyor mu?
• Dokumasyon refleksi: Alinan kararlar ve yapilan islemler kayit altina aliniyor mu?

Amac, gelisitiricinin teknik bilgisini olcmek degil — kriz anindaki davranisini ve diger ekiplerle uyumunu test etmektir.

Developer Tatbikat Senaryolari

Gelistirici ekipleri icin en etkili tatbikat senaryolari, gercek dunya olaylarindan esinlenir:

1. Supply Chain Saldirisi

Bir npm/pip paketine backdoor enjekte edilmis. Dependency scanner alarmi calisiyor. Ekibin kararlari: Hangi projeleri etkiliyor? Hangi versiyonlar guvenli? Rollback mi, patch mi? Musteri bildirimi gerekiyor mu?

Test edilen yetkinlik: Blast radius analizi, koordineli mudahale, musteri iletisimi

2. Secret Leak — Sizdirilmis Credentials

Bir developer yanlislikla AWS access key'i public GitHub repo'suna push'lamis. CloudTrail'de supheli erisimler baslamis. Rotate mi, revoke mi? Hangi sistemler etkilendi?

Test edilen yetkinlik: Hizli mudahale, etki analizi, guvenlik ekibiyle eskalasyon

3. Supheli Pull Request — Insider Threat

Bir gelistirici gece 2'de auth bypass iceren bir PR acmis. JWT validation'i devre disi birakan kod var. Security bot uyari vermis ama developer "gecici bir fix" oldugunu iddia ediyor.

Test edilen yetkinlik: Code review sureci, policy uyumu, ust yonetime bildirim karari

4. CI/CD Pipeline Compromise

Build pipeline'a beklenmeyen bir step eklenmis — npm postinstall script'i dis sunucuya veri gonderiyor. Production'a deploy edilmis build'ler etkilenmis olabilir.

Test edilen yetkinlik: Pipeline audit, artifact dogrulama, rollback karari

5. Zero-Day Vulnerability (Log4j Tarzi)

Kritik bir CVE yayinlandi ve production'daki uygulamanizda bu kutuphane kullaniliyor. Exploit PoC halka acik. Aktif tarama tespit edildi.

Test edilen yetkinlik: Onceliklendirme, hotfix vs WAF rule karari, deployment stratejisi

Gercekci Tatbikat Icin Gercekci Araclar

Developer'lar teknik insanlardir — onlara metin tabanli senaryo okutmak yetmez. Tatbikatin gercekci hissettirmesi icin gercek araclarin mockup'lari gereklidir:

• GitHub PR gorunumu: Gercekci diff, reviewer yorumlari, CI check sonuclari
• CI/CD Pipeline: GitHub Actions/GitLab CI loglar, basarisiz step'ler
• Terminal ciktisi: kubectl, docker, git komut sonuclari
• Grafana Dashboard: Ani latency spike'lari, hata orani grafikleri
• AWS CloudTrail: Yetkisiz API cagrilari, supheli erisim logulari
• Dependency Scanner: Snyk/Dependabot zafiyet raporu
• VS Code: Supheli kod parcasi, hardcoded credentials

Bu araclar inject olarak tatbikat sirasinda katilimcilara sunuldugunda, developer "gercek bir olay" hissi yasar ve tepkileri cok daha dogal olur.

Ekipler Arasi Koordinasyon Senaryosu

En etkili developer tatbikatlari, birden fazla ekibi bir arada calistiranlardir. Ornek bir senaryo akisi:

1. Dakika 0: SOC ekibi SIEM'de anomali tespit eder — production API'de anormal trafik
2. Dakika 5: SOC, Developer ekibe bildirin: "Bu endpoint'te beklenmeyen davranış var"
3. Dakika 10: Developer ekip kodu inceler — son deploy'da suspicious dependency eklenmis
4. Dakika 15: DevOps rollback karari alir, Developer hotfix hazirlar
5. Dakika 20: SOC etkilenen musteri hesaplarini belirler, Yonetim musteri bildirim karari alir
6. Dakika 25: Hotfix deploy edilir, SOC monitoring'i arttirir
7. Dakika 30: Tum ekipler after-action review yapar

Bu akista tek bir ekibin basarisi degil, ekiplerin birlikte calisma kapasitesi olculur. SOC hizli tespit etti mi? Developer zamaninda dahil oldu mu? DevOps dogru rollback stratejisi uyguladi mi? Yonetim uygun zamanda bilgilendirildi mi?

Olculebilir Metrikler

Developer tatbikatlari sonucunda olcuelebilecek temel metrikler:

• Tespit-Bildirim Suresi (MTTD): Olayin fark edilmesi ile guvenlik ekibine bildirilmesi arasindaki sure
• Eskalasyon Dogrulugu: Dogru ekibe, dogru bilgiyle eskalasyon yapildi mi?
• Mudahale Suresi (MTTR): Ilk bildirimden cozume kadar gecen sure
• Karar Kalitesi: Alinan kararlarin olay sonrasi degerlendirilmesi
• Iletisim Puani: Ekipler arasi bilgi paylasimi kalitesi ve zamanliligi
• Dokumantasyon Skoru: Olay sirasinda tutulan kayitlarin yeterliligi

Nereden Baslamali?

Developer ekiplerini tatbikatlara dahil etmek icin buyuk bir donusum gerekmez. Adim adim yaklasim:

1. Pilot tatbikat: Tek bir developer takimi ile Secret Leak senaryosu calistirin — basit, somut ve etkili
2. Ekipler arasi tatbikat: SOC + Developer birlikte Supply Chain senaryosu
3. Tam olcek: SOC + Developer + DevOps + Yonetim ile Zero-Day senaryosu

Her tatbikat sonrasinda hot-wash (sicak degerlendirme) yaparak ekiplerin kendi performansini degerlendirmesini saglayin. En degerli ogrenimler genellikle bu konusmalardan cikar.