Antigravity Nedir?

Antigravity, “IDE + akıllı ajan + izole koşum ortamı” birleşimini tek web arayüzünde toplar. Ajanlar isteği plan haline getirir, kodu üretir/düzenler, testi koşturur ve çıktıyı geri besler. İzole ephemeral ortamlar, yerel bağımlılık kabusunu azaltır.

Neden Konuşuluyor? (Faydalar)

• Hızlı prototipleme: Tek cümlelik talepten çalışan demo.
• Kurulum yükünün azalması: Tarayıcıdan aç-çalıştır; bağımlılıklar izole.
• Planlı ilerleme: Ajan önce planı gösterip sonra uygular; sürpriz diff’ler azalır.

Kullanıcıların Merak Ettikleri

Sınırlamalar & Riskler

• Ajan kararsızlığı: Bazen tekrarlı/yanlış adımlar; guardrail gerekebilir.
• Erken ekosistem: Dokümantasyon/entegrasyonlar olgunlaşma aşamasında.
• Kurumsal veri riski: Yanlış yapılandırmada sırların sızması mümkün.

Cursor ile Karşılaştırma

Cursor, VS Code tabanlı bir masaüstü AI editörüdür. Dosya/klasör bazlı düzenleme, komutla refactor, büyük kod tabanlarında pratik kullanım ve ekip planlarıyla öne çıkar. Antigravity ise “tarayıcı + ajan akışları + sandbox” yaklaşımını benimser.

Kurumsal Notlar (Güvenlik & Uyum)

• Gizli değişkenler: Sır yönetimini (vault) zorunlu kılın.
• Korunan dallar: Ajan çıktısı PR olarak gelsin; review ve test şartı.
• Telemetri & log: Çalışma ortamı erişim kayıtlarını saklayın.

Sıkça Sorulan Sorular

LLM (Large Language Model) Nedir?

LLM, doğal dilde metin anlayabilen ve üredebilen yapay zekâ modelleridir. Kısaca “soru → cevap” mantığıyla çalışır; ancak cevap üretirken bağlamı yorumlar ve esnek davranır.

• Soru–cevap, özet çıkarma
• E-posta, blog yazısı, rapor taslağı üretme
• Kod yazma ve hata bulma
• Çeviri, metin sınıflandırma, duygu analizi

LLM’ler Nasıl Çalışır? (Basit Özet)

Teknik olarak LLM’ler; milyarlarca kelimeden oluşan dev veri üzerinde eğitilmiş derin öğrenme modelleridir. Model, cümlede bir sonraki kelimeyi tahmin etmeyi öğrenir. Bu basit prensip; mantıklı paragraflara, SSS botlarına ve hatta kod yazabilen sistemlere dönüşür.

Neden Şirketler İçin Bu Kadar Önemli?

1) Müşteri İletişimi ve Chatbot’lar

• SSS’lere yanıt verir, ürün/hizmet önerir, form doldurtup lead toplayabilir.
• Kurallı botlara göre çok daha doğal ve dönüşüm odaklıdır.

2) İçerik Üretimi ve Pazarlama

• Blog, ürün açıklaması ve e-posta taslağı üretimini hızlandırır.
• Yanlış yönlendirilirse marka dili bozulabilir—burada marka yönergesi ve editoryal göz şarttır.

3) IT Operasyonları ve Dokümantasyon

• Konfigürasyon dökümanlarını özetler, log analizinde ilk değerlendirmeyi yapar.
• Teknik ekibe “ilk seviye danışman” gibi yardımcı olur.

LLM ve Klasik SEO: LLM SEO / GEO

Arama motoru SEO’su “anahtar kelime → sonuç sayfası”na odaklanır. LLM SEO ise “soru → alıntılanabilir cevap” üretmeyi hedefler. Yapay zekâ asistanlarının referans gösterebileceği şekilde; hizmetlerinizi vaka çalışmaları, teknik dökümanlar ve tutarlı marka tanımıyla tekrar tekrar anlatmanız gerekir.

LLM Çağında İçerik Üretimi Nasıl Olmalı?

1) Soru–Cevap Yapısı

“Sızma testi nedir?”, “Fiyatlar nasıl belirlenir?” gibi SSS blokları; LLM’lerin kolay alıntıladığı yapılardır.

2) Net ve Tutarlı Marka Tanımı

Her yerde benzer cümleleri tekrar edin: “İnvekor Bilgi Teknolojileri… sızma testi, IT danışmanlığı, kurumsal web tasarımı ve yönetilen hizmetler sunar.” LLM’ler bu bağı kolay kurar.

3) Yapısal Veri (Schema)

• Hizmet sayfalarında Service, bloglarda Article/BlogPosting şeması kullanın.
• Bölge/servis kapsamını açıkça işaretleyin.

LLM’lerin Riskleri ve Sınırları

• Hallüsinasyon: Güvenle yanlış bilgi üretebilir → insan denetimi ve kaynak kontrolü.
• Gizlilik: Kurumsal veriler modele kontrolsüz aktarılmamalı → KVKK/ISO 27001 süreçleri.
• Güncellik: Modellerin bilgi kesimi olabilir → harici doğrulama ve araç entegrasyonları.

İnvekor Olarak LLM Çağında Neler Sunuyoruz?

KPI’lar ve Beklenen Kazanımlar

Sıkça Sorulan Sorular

MFA Temelleri ve 2FA’dan Farkı

2FA iki faktörün kombinasyonudur; çoğu kurum başlangıçta parola + SMS/TOTP kullanır. MFA ise iki veya daha fazla bağımsız faktörün dinamik olarak devreye alınmasını kapsar. Modern yaklaşımda MFA, risk tabanlı politikalar ve parolasız yöntemler (Passkeys/WebAuthn) ile birleşir.

Kısa Tarihçe: OTP’den Passkeys’e

• 2000’ler: Tek kullanımlık donanım token’ları (OTP kartlar) kurumsal öncülerdi.
• 2010’lar: SMS OTP ve TOTP (Authenticator) yaygınlaştı; maliyet düştü.
• 2020+: Push onay, FIDO2/WebAuthn ve Passkeys dönemi: phishing’e direnç + iyi UX.

Passkeys, cihazın güvenli öğesinde tutulan anahtar çiftiyle alan adına bağlı doğrulama yapar; kullanıcı parola yerine cihaz biyometrisiyle giriş yapar.

Faktör Sınıfları ve Örnekler

Yöntem Karşılaştırması

Tehdit Modelleri ve Karşı Önlemler

• SIM-Swap: Hat ele geçirilir, SMS kodu çalınır. → Çözüm: SMS yerine TOTP/FIDO2; operatör doğrulama notları.
• Reverse-Proxy Phishing: OTP/push sahte ara katmanda alınır. → Çözüm: FIDO2/Passkeys; domain bağlı doğrulama.
• Push Bombing: Sürekli bildirimle yanlış onay aldırma. → Çözüm: number-matching, coğrafi ipucu, hız limiti.
• Yedek Kanal İstismarı: E-posta OTP/çağrı merkezi. → Çözüm: Yardım masasında güçlü kimlik doğrulama; tek kullanımlık kodlar.
• Cihaz Paylaşımı: Ortak cihaz/oturumlar. → Çözüm: Cihaz uyumluluğu, kısa oturum, donanım anahtarı.

Kurumsal Mimari: SSO, Koşullu Erişim, Zero Trust

MFA, bağımsız bir eklenti değil; kimlik sağlayıcı (IdP), SSO, cihaz uyumluluğu, koşullu erişim ve loglama/SIEM ile birlikte ele alınmalıdır.

• IdP & SSO: Entra ID/Okta ile tüm SaaS/on-prem uygulamaları merkezileştirin.
• Koşullu Erişim: Risk, konum, cihaz uyumluluğuna göre MFA tetikleyin.
• Zero Trust: “Varsayılan güven yok”; her talebi bağlamsal doğrulayın.
• Gözlemlenebilirlik: MFA olaylarını SIEM’e gönderin; anomali uyarıları oluşturun.

Geçiş Yol Haritası: Keşif → Pilot → Yaygınlaştırma

1) Keşif & Tasarım

• Uygulama envanteri: VPN, RDP, ERP/CRM, M365/Google, SSH, bulut panoları.
• Yöntem seçimi: Genel personel TOTP/Passkeys; yüksek risk grubuna donanım anahtarı.
• Politika ilkeleri: Kayıt (enrollment), kurtarma, yedek kodlar, cihaz yaşam döngüsü.

2) Pilot & Eğitim

• Birimde pilot → geri bildirim → kayıt akışı/iletişim metinleri iyileştirme.
• İçerik: “Neden MFA?”, “Phishing’e dirençli yöntem nedir?”, “Push onayı nasıl doğrulanır?”.

3) Yaygınlaştırma & Operasyon

• Rollere göre dalga planı (yönetici → BT → finans → kalanlar).
• Runbook: cihaz kaybı, kilitlenme, ikincil faktör, geçici erişim.
• Raporlama: kayıt oranı, başarısız giriş, yardım masası biletleri.

KPI’lar ve Operasyon Göstergeleri

• Kayıt Oranı: Departman, lokasyon, cihaz türüne göre kırılım.
• Giriş Başarı/Red: İlk deneme başarısı, ortalama doğrulama süresi.
• Riskli Oturumlar: Koşullu erişim kararları, şüpheli konum.
• Yardım Masası: MFA kilitlenme, cihaz kaybı, sıfırlama vakaları.
• Phishing-Dayanıklı Yöntem Payı: Passkeys/Donanım anahtarı oranı.

Rollere Göre Strateji

BYOD, Gizlilik ve KVKK Notları

BYOD’da asgari veri işleme esastır. “MFA için gerekli asgari veri” yaklaşımıyla cihazdan sadece doğrulama için zorunlu telemetri alın; aydınlatma metni ve açık rızayı süreçlere ekleyin.

• Uygulama izinleri asgari: Bildirim, ağ, biyometri API (sadece doğrulama).
• Veri saklama: IP, zaman damgası, cihaz tanımlayıcı → süreli saklama ve erişim logları.
• Çıkış/ayrılık: Cihaz bağının temizlenmesi, oturum iptali, kimlik ayrıştırma.

Eski Protokoller, Hizmet Hesapları ve Çıkmazlar

• Eski E-posta Protokolleri: IMAP/POP/SMTP Basic Auth → Uygulama parolası kapat; modern OAuth2/MFA’ya geçir.
• Hizmet Hesapları: İnsan-dışı hesaplarda MFA yerine kısa ömürlü gizler, Managed Identity veya Workload ID.
• RDP/VPN: Ağ geçidinde MFA; doğrudan port açma yok.

Entra ID / Okta ile Politika Örnekleri

// Örnek düşünce akışı (pseudo)
if (role == 'GlobalAdmin') require('fido2_hardware');
else if (device != 'compliant') require('mfa') && restrict('download');
if (signInRisk >= 'high') elevate('fido2_only');

Kurtarma, Yedek Kodlar ve Break-Glass Hesaplar

• Yedek Kodlar: Tek kullanımlık, mühürlü zarf veya güvenli kasada, teslim tutanağıyla.
• Break-Glass: Sadece acil durum; uzun ve rastgele parola, MFA hariç tutulabilir ama çok sıkı loglama ve iki kişilik kontrol ile.
• Çağrı Merkezi: Kimlik doğrulama soruları; sosyal mühendislik eğitimleri.

Farkındalık Eğitimi ve İletişim Planı

Sıkça Sorulan Sorular

Ekler

Ek-A: Örnek Politika Maddeleri

• Tüm bulut ve kritik on-prem uygulamalarda MFA zorunludur.
• Privileged rollerde donanım anahtarı + Passkeys kullanılır.
• SMS OTP yalnızca geçiş sürecinde yedek kanaldır.
• Break-glass hesapları iki kişilik onayla kullanılabilir; 24 saat içinde raporlanır.
• BYOD erişiminde sadece doğrulama için gerekli asgari veriler işlenir.

Ek-B: Olay Runbook (Özet)

1. Durum: Hesap ele geçirilmiş şüphesi.
2. Oturumları iptal et → Parola sıfırla → MFA yöntemlerini kaldır/yeniden kaydet.
3. CIEM/IdP loglarını topla → Şüpheli IP/cihazı engelle.
4. Kullanıcıya kısa eğitim → Phishing raporu aç.

Ek-C: Hızlı Checklist

• Uygulama envanteri tamamlandı mı?
• Rollere göre yöntem matrisi var mı?
• Kurtarma/Break-glass prosedürü test edildi mi?
• SIEM’de MFA olayları için korelasyon kuralı yazıldı mı?
• Eğitim materyalleri ve SSS yayınlandı mı?

Passkeys Nedir? Parolalara Karşı Temel Farklar

Passkey, kullanıcının cihazında güvenli biçimde saklanan bir özel anahtar ile sunucuda tutulan açık anahtar eşleşmesine dayanır. Doğrulama; parolayı ezberlemek yerine cihazdaki biyometri (parmak izi, yüz), PIN veya güvenli donanım ile yapılır.

2025’te Neden Şimdi? (Windows/Edge & FIDO ekosistemi)

• Platform olgunluğu: Windows 11, Edge ve büyük tarayıcılar passkey senkronu ve güvenlik anahtarlarını ilk vatandaş yaptı.
• Kimlik sağlayıcı desteği: Entra ID (Azure AD), Okta vb. passkey’leri kurumsal politika düzeyinde yönetilebilir hale getirdi.
• Parola maliyeti: Help-desk’in en pahalı kalemlerinden biri parola sıfırlama. Passkeys, bu maliyeti kalıcı olarak aşağı çeker.
• Uyumluluk ve risk: KVKK/ISO 27001 gibi çerçevelerde phishing-resistant MFA talebi artıyor.

Passkey Türleri: Device-bound vs. Senkronize, Platform vs. Roaming

Device-bound (Cihaza bağlı) Passkeys

Özel anahtar tek bir cihazda kalır (ör. Windows Hello for Business). En yüksek güven ancak cihaz değişiminde kurtarma süreci gerekir.

Senkronize Passkeys

Şifreli kasalar üzerinden (ekosistem/uygulama) birden fazla cihaza senkron olur. Kullanılabilirlik artar, kasa güvenliği kritik hale gelir.

Platform vs. Roaming (Cross-platform) Anahtarlar

• Platform: Cihaza gömülü (TPM/SE). Son kullanıcı deneyimi için ideal.
• Roaming: Yubikey vb. taşınabilir güvenlik anahtarları. Kiosk/VDI ve yüksek riskli roller için önerilir.

Kurumsal Geçiş Yol Haritası (envanter → pilot → yaygınlaştırma)

1) Envanter & Hazırlık

• Mevcut MFA yöntemleri ve uygulama haritası (WebAuthn desteği).
• Cihaz uygunluğu ve tarayıcı sürümleri (Windows 11/10, iOS/Android, macOS).
• Politika taslağı: Hangi gruplar için zorunlu/opsiyonel?
• Minimum kurtarma politikası: En az bir yedek yöntem.

2) Pilot (4–6 hafta)

• Seed grup: IT + güvenlik + finans/İK gibi bir iş birimi.
• Self-service kayıt ve görsel rehberler (10 dakikalık modüller).
• Riskli roller için çift koruma (platform + donanım anahtarı).
• KPI’ların başlangıç değerlerini toplayın.

3) Yaygınlaştırma (8–12 hafta)

• Grup bazlı kurallar (Conditional Access / Sign-on Policy).
• BYOD yönergeleri: Gizlilik & uyumluluk dengesi.
• Runbook: Cihaz kaybı, yeni cihaz, geçici erişim.
• Haftalık adoption raporları, aylık gözden geçirme.

Mimari ve Akış: WebAuthn Seremonisi, RPID & Origin

WebAuthn, tarayıcı ve cihaz arasındaki kimlik doğrulama seremonisini tanımlar. Sunucu; doğru RPID (Relying Party ID) ve origin (kaynak) ile imzayı doğrular. İmza, etki alanına bağlı olduğu için kimlik avı siteleri işe yaramaz.

• RPID & Origin eşleşmesi: Yanlış eşleşmeler doğrulamayı başarısız kılar (güvenlik).
• Attestation (isteğe bağlı): Cihaz türünü doğrulamak için kullanılabilir.
• AAGUID takibi: Kayıtlı authenticator sınıflarını takip edin (envanter görünürlüğü).
• CTAP (donanım anahtarı): Tarayıcı ile güvenlik anahtarı arasında köprü.

Entra ID / Okta / 1Password ile Entegrasyon Örnekleri

Entra ID (Azure AD)

• Conditional Access: “Phishing-resistant MFA required” kuralı ile passkey’i zorunlu tut.
• Windows Hello for Business: Device-bound akış için ideal; donanım destekli.
• Self-service: Kayıt ve cihaz değişimi biletlerini azaltır.

Okta

• Sign-on Policy & Authenticators: WebAuthn (platform/cross-platform) önceliklendir.
• Risk-based auth: Şüpheli girişte ek doğrulama iste.

1Password / Parola Yöneticisi

• Passkey kasası: Cihazlar arası güvenli senkron.
• Rol bazlı erişim: Paylaşımlı cihaz/kiosk senaryolarında denetim izi.

Değişim Yönetimi: Eğitim, İletişim, Şampiyonlar

• Şampiyon ekip: Her birimde 1–2 gönüllü “passkey mentoru”.
• Mikro eğitimler: 5–10 dakikalık videolar, görseller.
• İç iletişim: SSS, kayıt bağlantıları, destek kanalları.
• Ödüllendirme: İlk 30 günde kayıt olanlara küçük teşvikler.

Güvenlik & Uyumluluk: KVKK / ISO çerçevelerine katkı

Passkeys, güçlü kimlik doğrulama gereksinimlerine doğrudan katkı sağlar. Oltalama dayanıklı akış sayesinde kimlik temelli ihlaller azalır; bu, risk matrisinde anlamlı düşüş demektir. İç denetimler için denetim izleri ve raporlama panolarıyla destekleyin.

BYOD, MDM & Kiosk Senaryoları

• BYOD: Kişisel cihazda yalnızca kurumsal hesap passkey’i; MDM/Endpoint protection ile temel hijyen.
• MDM Politikaları: Ekran kilidi, disk şifreleme, root/jailbreak engeli, tarayıcı sürümü.
• Kiosk/VDI: Roaming güvenlik anahtarı tercih edin; otomatik kilit ve sıkı oturum politikaları.

Kurtarma, Break-glass & Denetim İzleri

• Yedek yöntem: En az bir donanım anahtarı veya kurtarma passkey.
• Break-glass hesaplar: Parolası kasada, erişim iki yönetici onayıyla açılır.
• Devir-teslim: Cihaz kaybı/ayrılış süreçleri için standart runbook.
• Denetim: Kayıt/giriş/kurtarma olayları loglanır ve periyodik gözden geçirilir.

KPI’lar & ROI: Ne kadar kazandırır?

Sıkça Sorulan Sorular (Genişletilmiş)

Mini Sözlük (Glossary)