Hedef Kitle: SecOps danışmanlık ve operasyon desteği veren partner ekipler Amaç: Ürünü müşteri portföyüne eklemeden önce içselleştirmek; doğru satmak, doğru konumlandırmak Son Güncelleme: 2026-03-06
Bu sunumun ana odağı @tracehound/core paketini referans alır Ekosistem ve diğer geliştirmeler bu sunuma dahil değildir.
"WAF tehdidi durdurur. TraceHound delili korur."
TraceHound, modern API'ler için deterministik bir runtime security buffer'dır. Bir WAF değil, SIEM değil, RASP değil, APM değil. Mevcut güvenlik altyapısının yanında çalışarak sahada net ürünleşmemiş bir ihtiyaca odaklanır: adli delil bütünlüğü (forensic evidence integrity).
Bugün bir API saldırıya uğradığında şu senaryo oynanır:
Saldırı Geldi → WAF Blokladı → Log'a Düşürdü → SOC İncelediKulağa yeterli geliyor. Ama gerçekte:
| Soru | Mevcut Araçların Cevabı |
|---|---|
| Saldırgan tam olarak ne gönderdi? | Ortama ve araca göre değişir. Bazı ürünler görünürlük sağlar, ama application runtime içinde tutarlı evidence handling ayrı bir problemdir. |
| Aynı saldırı tekrarlandı mı? | Belki. Ama duplicate tespiti heuristik. |
| Delil mahkemede geçerli mi? | Teknik bütünlük kontrolleri olabilir; hukuki kabul edilebilirlik ayrıca değerlendirilir. |
| Saldırı altında sistem ne kadar dayandı? | Bilinmiyor. OOM crash olduysa log da gitti. |
| Forensic inceleme için payload'a erişebilir miyiz? | Bazı araçlarda kısmi veya tam görünürlük mümkündür; ancak evidence lifecycle ve integrity modeli genellikle ürünün ana vaadi değildir. |
Boşluk şu: Mevcut araçlar tespit, bloklama, korelasyon ve görünürlük sağlayabilir; ancak application runtime içinde deterministik evidence handling ve açık integrity semantiği her zaman merkezde değildir.
TraceHound bu boşlukta yaşar. Tespit ile müdahale arasına girer; şüpheli olayı quarantine eder, kriptografik integrity ile evidence saklar ve host uygulamayı fail-open mantığıyla ayakta tutar.
Dış Tehdit Sinyali (WAF / ML / Custom Rule)
|
v
+-------------+
| AGENT | <- Sinyali alır, Scent olarak işler, signature üretir
+------+------+
|
v
+-------------+
| QUARANTINE | <- Kriptografik olarak mühürler, bounded tampona alır
+------+------+
|
v
+-------------+
| AUDIT CHAIN | <- Hash-zinciri ile delil bütünlüğünü garanti eder
+------+------+
|
v
+-------------+
|COLD STORAGE | <- Uzun dönem delil arşivi (S3, R2, GCS, FS)
+-------------+Kritik tasarım kararı: TraceHound tehdit kararı VERMEZ. "Bu tehdit mi, değil mi?" sorusu dışarıdan gelir — WAF'tan, özel kuraldan, ML modelinden. TraceHound yalnızca şunu yapar:
"Bu tehdit bildirildi. Ben onu mühürler, saklar ve delilini koruyorum."
TraceHound'un yapmadıkları:
- Tehdit tespiti
- Trafik bloklama
- Log korelasyonu
- Performans ölçümü
TraceHound'un yaptıkları:
- Dış dedektörlerden gelen sinyalleri
Scentolarak işler - Evidence'ı bounded quarantine içinde tutar
- Olay zincirini tamper-evident
AuditChainile korur - Analizi izole
Houndprocess'lerine taşır - Bir hata olursa uygulamayı düşürmez; degrade olur, crash olmaz
Kim: E-ticaret, fintech, sağlık, SaaS — REST/GraphQL API'leri olan herkes.
Problem: Müşteri "saldırıya uğradık" diyor. WAF blokladı. Ama saldırganın tam payload'ı, tekrar sıklığı, saldırı deseni yok. Incident report boş kalıyor, sigorta ve compliance taleplerine cevap verilemiyor.
TraceHound ile: WAF'ın "bu tehdit" dediği istekler, uygun retention ve cold storage konfigürasyonu ile kriptografik signature, hash-chain ve arşivleme akışına alınabilir. Böylece SecOps ekibi daha sonra payload'a erişip integrity doğrulaması yapabilir.
Problem: SIEM'e 50.000 event/dakika geliyor. Analist boğuldu. Kritik alertler gürültüde kayboluyor.
TraceHound ile: Quarantine tamponu ve priority-based eviction sayesinde evidence retention önceliklendirilebilir. SOC gürültüsünü azaltma etkisi ise entegrasyon modeline ve üstteki detection/signal kalitesine bağlıdır.
Problem: "Geçen yılki şu saldırıya dair delili ibraz edin" talepleri. GDPR, KVKK, PCI-DSS incident documentation gereklilikleri.
TraceHound ile:
- Her evidence kaydı değişmez (immutable) hash-chain ile bağlanır
- Tampering anında tespit edilebilir — chain kırılırsa görünür
neutralize()işlemi atomiktir: önce snapshot, sonra yok etme — aralarında pencere yok- Tüm operasyonlar AuditChain'de iz bırakır
Bu, denetim ve adli inceleme süreçlerinde teknik olarak daha savunulabilir bir kanıt zinciri sunabilir.
Problem: DDoS saldırısı sırasında güvenlik araçlarının kendisi sistem çöküşüne neden oluyor. "Güvenlik aracı bizim downtime'ımızın sebebi oldu."
TraceHound ile (Fail-Open ilkesi):
- TraceHound crash olursa host uygulama çalışmaya devam eder
- Quarantine tamponu bellek sınırına ulaşırsa olaylar düşürülür, sistem çökmez
- Tanımlı eşikler aşıldığında aggressive shedding/eviction devreye girebilir; amaç uygulamayı ayakta tutmaktır
- Amaç, TraceHound'un bir DoS vektörüne dönüşmemesidir
Problem: Pentest sonrası "şu endpoint'e şunu gönderdim, bunu gördüm" raporu geliyor. Savunma tarafında aynı şeyi yeniden üretmek imkânsız.
TraceHound ile: Pentest sürecinde flaglanan istekler quarantine akışına alınabilir. Redaction ve veri yönetişimi host sorumluluğunda kalmak üzere payload, timestamp, kaynak IP ve signature gibi alanlar Blue team için daha zengin forensic context sağlayabilir.
[WAF / IDS] -> tespit ve bloklama
[TraceHound] -> delil koruma ve forensic context
[SIEM] -> korelasyon ve analiz
[APM] -> performans gözlemiTraceHound hiçbirinin yerini almaz. Aralarındaki forensic boşluğu kapatır. Bu, mevcut yatırımları korurken yeni bir güvenlik katmanı ekler. Müşteriye "rip and replace" değil, "augment and harden" anlatısı sunulur.
| Hizmetiniz | TraceHound Olmadan | TraceHound İle |
|---|---|---|
| Incident Response | "Büyük ihtimalle SQL injection, ama payload yok" | Daha yüksek evidence fidelity ve zincirlenmiş olay bağlamı hedeflenir |
| Compliance Audit | Manuel log toplama, boşluklu delil | Integrity kontrolleri daha düzenli ve savunulabilir kayıt üretimine yardımcı olabilir |
| Threat Hunting | Geçmiş olaylara erişilemiyor | Arşivlenmiş evidence'dan retrospektif analiz |
| Red/Blue Team | Silo halinde çalışma | Ortak forensic context |
| WAF Tuning | Bloklama kalitesi satılır | Bloklama + evidence workflow birlikte satılır |
| IR Retainer | Detection quality taahhüdü | Detection quality yanına evidence handling disiplini eklenebilir |
| CISO'nun Sorusu | TraceHound'un Cevabı |
|---|---|
| "Saldırıya uğradığımızda ne kadar sürede delil toplayabilirsiniz?" | Uygun entegrasyonla olay anında otomatik quarantine ve chain süreci tetiklenebilir |
| "Delilleriniz mahkemede geçerli mi?" | Hash-chain ve tamper-evident yapı, teknik bütünlüğü ve adli inceleme savunulabilirliğini güçlendirir |
| "Güvenlik aracınız sistemimizi çökertir mi?" | Fail-open garantisi, bounded buffer |
Not: Aşağıdaki tablo her aracın temel tasarım hedefini ve TraceHound'dan farkını gösterir. "X bunu yapmaz" iddiası değil, odak farkı anlatısıdır. Her araç kendi kategorisinde yetkin ve olgunlaşmıştır.
| Araç Tipi | Odak ve Güçlü Yönü | TraceHound'dan Farkı |
|---|---|---|
| WAF / API Shield (Cloudflare, AWS WAF) | Edge'de hızlı bloklama, geniş kural ekosistemi, ölçeklenebilir trafik yönetimi | Edge katmanında çalışır; uygulama iç durumu (session, response semantics) görünmez. Full payload logging ek konfigürasyon ve maliyetle mümkün, ancak kriptografik integrity chain ve fail-open application guarantees temel tasarım hedefi değil. |
| RASP / ASM (Contrast, Datadog AAP) | Runtime içinde exploit tespiti, in-process blocking, davranış analizi | Odak tehdit tespiti ve korumadır. Tamper-evident forensic audit zinciri ve bounded quarantine farklı bir tasarım problemi — bu araçların temel vaat seti değil. |
| SIEM (Splunk, QRadar) | Merkezileşmiş görünürlük, korelasyon, uzun dönem retention | Pasif toplayıcıdır; upstream kaynaktan gelen veriyi işler. Payload'ın olay anında application runtime'da nasıl yakalandığını ve kriptografik olarak mühürlendiğini yönetmez — bu sorumluluk dışarıdadır. |
| APM (Datadog, New Relic) | Performans gözlemi, distributed tracing, hata tespiti | Güvenlik bağlamı ve tehdit quarantine temel tasarım hedefi değil. Performans odaklı telemetri ile forensic evidence pipeline ayrı problemler. |
| Log Management (ELK) | Esnek log toplama, full-text arama, görselleştirme | Bütünlük garantisi uygulama katmanında değil; infrastructure konfigürasyonuna (index immutability, S3 Object Lock gibi) bağlıdır. Olay anında aktif müdahale tasarımı yok. |
| IDS/IPS | Network seviyesinde anomali tespiti ve engelleme | Network paket seviyesinde çalışır; application-layer payload semantiği ve uygulama iç bağlamı (hangi kullanıcı, hangi işlem durumu) görünmez. |
TraceHound'un konumu: Yukarıdaki araçlar tespit, bloklama, korelasyon ve gözlem problemlerini çözer — kendi kategorilerinde olgun ve yetkindir. TraceHound ise bu araçların ürettiği tehdit sinyalini alır ve şunu yapar: application runtime'da payload'ı kriptografik olarak mühürler, tamper-evident zincire bağlar, fail-open garantisiyle saklar. Bu kombinasyon — application-layer runtime context + forensic integrity chain + fail-open guarantee — mevcut araçların temel tasarım hedefi değil, TraceHound'un çözdüğü spesifik boşluktur.
Bu henüz Gartner'da bir kutu değil. TraceHound bu boşluğa isim koyuyor: deterministik runtime security buffer.
Rakipler için doğru ifade "alternatifsiz" değil: eşdeğeri zor bulunan bir kontrol katmanı, mevcut ürün kategorileri arasında boş kalan bir aralık.
Müşteriye söylenebilecekler — bunlar iddia değil, mühendislik kontratı:
| İddia | Teknik Karşılığı |
|---|---|
| "Delil değiştirilemez" | AuditChain: her kayıt öncekinin hash'ini içerir; zincir kırılırsa tespit edilir |
| "Sistem çökmez" | Fail-open: TraceHound crash → host devam eder; bellek sınırı → hard shedding, OOM yok |
| "Performans overhead'i sınırlı tutulur" | Agent.intercept() için normal operasyonda p99 < 2ms; p50 < 1ms hedefi (sync hot-path) |
| "Klasik false positive metriğinin merkezi burada değil" | TraceHound karar vermez; dışarıdan "tehdit" olarak işaretlenen olayı işler |
| "Saldırı altında ölçeklenir" | Bounded pool, rate limiting, priority eviction — her şey sınırlı ve öngörülür |
| "Uyumluluk desteği" | Payload quarantine'den dışarı çıkmaz; sadece hash ve metadata erişilebilir |
| "Cold storage entegrasyonu" | S3, R2, GCS benzeri hedeflere async taşıma modeli mevcut |
| "Process isolation" | Hound child process crash olsa da host uygulama ayakta kalır |
- Halihazırda WAF/SIEM kullanan ama post-incident fidelity sorunu yaşayan ekipler
- API-first ürünler (fintech, e-commerce, SaaS, partner API, B2B integration trafiği)
- Regüle ortamlar — GDPR, KVKK, PCI-DSS, sağlık, kamu
- MSSP ile çalışan veya merkezi SecOps fonksiyonu olan kurumlar
- Availability'yi security kadar önemseyen organizasyonlar
- "Blokladık ama ne olduğunu ispat etmem gerekiyor" diyen ekipler
- "Bana kutudan çıkan tam otomatik attack detection ver" diyenler
- WAF'ın yerine geçmesini bekleyenler
- Uygulama runtime'ına hiç dokunmak istemeyenler
- Bugün Node.js dışı stack'lerde direkt adapter bekleyenler
İlk görüşmede şu üç soruyu sorun:
-
"Son 6 ayda bir güvenlik olayı yaşandı mı? Forensic raporu nasıldı?" Eğer "delil yetersizdi" veya "payload'a ulaşamadık" diyorlarsa, TraceHound güçlü bir aday çözüm olabilir.
-
"WAF'ınız bloklama yapıyor ama SOC'unuz neden olduğunu anlayamıyor mu?" Bu durumda WAF → TraceHound → SIEM zinciri anlamlı bir entegrasyon adayı olabilir.
-
"Compliance audit'lerinde incident documentation için ne kadar zaman harcıyorsunuz?" Bu durumda integrity-chain ve arşivleme yaklaşımı dokümantasyon yükünü azaltma potansiyeli taşır.
"Bu bir WAF mı?" Hayır. WAF'ın yerine geçmez. WAF'tan, custom rule'lardan veya diğer dedektörlerden gelen security sinyalini deterministik evidence akışına çevirir.
"Threat detection yapmıyorsa niye alayım?" Çünkü detection tek başına yeterli değil. Incident sonrası kararlar, müşteri ile iletişim, hukuki savunma ve teknik iyileştirme için evidence fidelity gerekir.
"Security katmanı uygulamayı yavaşlatır mı?"
Ürünün mimarisi fail-open ve bounded hot-path üzerine kurulu. Asenkron forensic işler Hound process'lerine taşınıyor. p99 < 2ms hedefi normatif mühendislik kontratı.
"SIEM varken neden buna ihtiyaç var?" SIEM toplar ve korele eder. TraceHound ise olay anında kanitin nasıl yakalanıp zincirlenerek korunduğu problemini çözer. Birbirini dışlamaz, tamamlar.
"Saldırıya uğramadık ki, bize ne gerek?" Saldırıya uğrayıp uğramadığınızı bilmiyorsunuz. WAF bazı şeyleri bloklar ama size sadece "engellendi" der. TraceHound olmadan "bir şey oldu" bilgisiyle kalabilirsiniz. TraceHound ile "şu IP'den, şu saatte, şu içerikle işaretlenmiş bir olay geldi — işte zincirlenmiş teknik kaydı" deme şansınız artar.
Bu bölüm CISO değil; CEO, CFO veya Genel Müdür ile konuşurken kullanılabilir.
Bir bankanın girişinde güvenlik görevlisi vardır. Şüpheli birini görünce geri çevirir. Bu görevli WAF'tır — tehdidi durdurur.
Ama şunu sorun: O kişi geri çevrildikten sonra, bankada kayıt kaldı mı?
Kamera yoksa — geri çevrilmiş ama iz bırakmamış. Savcı sorduğunda, sigorta şirketi sorduğunda, denetçi sorduğunda cevap: "Bir şeyler oldu, ama elimde bir şey yok."
TraceHound o kameradır. Güvenlik görevlisinin yanında durur, her olayı kaydeder, ve o kaydı kilitli kasada saklar. Kasanın anahtarı kriptografik. Kayıt değiştirilemez. Tarih ve saat damgası vardır.
| Durum | TraceHound Olmadan | TraceHound İle |
|---|---|---|
| Sigorta şirketi "saldırı delilini gösterin" dedi | Delil seti dağınık veya eksik olabilir | Daha düzenli, zincirlenmiş teknik kayıt sunma şansınız artar |
| Regülatör "KVKK ihlali var mı?" dedi | "Bilmiyoruz" demek zorunda kalırsınız | "Hayır, işte kayıtlarımız" |
| Müşteri verisi çalındı iddiası | Savunma yapamazsınız | Forensic kayıtla itiraz edebilirsiniz |
| Aynı saldırı tekrar geldi | Fark etmeyebilirsiniz | Otomatik tanınır, önceki ile eşleştirilir |
| Pentest raporu "bu açık var" dedi | Yeniden üretim ve bağlam toplama zorlaşır | İlgili olayın teknik kaydını daha tutarlı biçimde inceleyebilirsiniz |
En düşük sürtünmeli giriş:
- Mevcut WAF veya custom dedektör korunur.
- TraceHound kontrollü ve düşük riskli bir modda eklenir.
- Belirli kritik endpoint'lerde delil kalitesi ve operational truth gözlemlenir.
- Incident replay veya kontrollü adversarial test ile fark ölçülür.
- Sonra seçili route'larda policy/escalation modeli gerekiyorsa netleştirilir.
Bu şekilde müşteriye "rip and replace" değil, "augment and harden" anlatısı sunulur.
- "Laboratuvar ürünü" algısını azaltmak
- Gerçek trafik altında failure mode'ları gözlemlemek
- Host uygulamada sıfır TraceHound-kaynaklı crash hedeflemek
- Incident replay ile containment ve evidence kalitesini ölçmek
| Metrik | Hedef |
|---|---|
| TraceHound kaynaklı crash sayısı | 0 |
| Fail-open olayları ve nedenleri | İzlenebilir ve raporlanabilir |
| Quarantine ve evidence retention davranışı | Ölçülebilir |
| Triage ve post-mortem süresi | Önce/sonra karşılaştırması |
- "WAF'ın yerine geçmez."
- "Threat detection iddiası yoktur."
- "Fail-open tasarımı nedeniyle availability önce gelir."
- "Asıl değer evidence integrity ve operational truth'tur."
- "En iyi kullanım şekli mevcut security stack'in üstüne bindirmektir."
- "OWASP Top 10'u bloklar."
- "False positive oranımız şu."
- "Tüm saldırıları görür."
- "SIEM yerine geçer."
- "Tek başına tam koruma sağlar."
TraceHound, daha iyi bir WAF değil. TraceHound, security stack'in eksik bir halkası.
Müşteriye anlatılacak en doğru cümle:
Mevcut tespit araçlarınız tehditi gösteriyor. TraceHound ise o olayın kanıtını, bağlamını ve operasyonel gerçeğini kaybetmemenizi sağlıyor.
TraceHound, mevcut WAF ve detection katmanlarının yerine geçen bir ürün değil; onlarla birlikte çalışan deterministik bir runtime evidence buffer'dır. Şüpheli olayları quarantine eder, tamper-evident audit zinciriyle korur, forensic değeri yüksek kanıt üretir ve bunu yaparken uygulamayı security tooling kaynaklı outage riskine sokmaz.
Bugün güvenlik stack'lerinde iki uç problem var: ya blokluyorsunuz ama sonrasında ne olduğunu tam göremiyorsunuz, ya log alıyorsunuz ama loglar eksik, bağlamsız veya güvenilir değil, ya da security middleware'in kendisi uygulama için risk oluyor.
TraceHound bu noktada WAF, SIEM veya RASP gibi davranmıyor. Dışarıdan gelen threat sinyalini alıp uygulama runtime'ında deterministik bir quarantine ve audit zincirine taşıyor. Böylece müşteri hem mevcut stack'ini koruyor hem de olay sonrası "gerçek neydi?" sorusuna daha güçlü cevap veriyor.
Bu da SecOps ekiplerine yeni bir değer katmanı açıyor: sadece detection değil, evidence assurance.
Repo içi kaynaklar:
- README
- FAQ
- SECURITY-ASSURANCE
- SECOPS-HARDENING-REPORT
- THREAT-MODEL
- FAIL-OPEN-SPEC
- PERFORMANCE-SLA
- K8S-DEPLOYMENT
- PILOT-PROGRAM-2026
- RFC-0000
- RFC-0013
Dış kaynaklar ve pazar referansları:
- Cloudflare Security Events: https://developers.cloudflare.com/waf/analytics/security-events/
- Cloudflare API Shield: https://developers.cloudflare.com/api-shield/
- AWS WAF Logging: https://docs.aws.amazon.com/waf/latest/developerguide/logging.html
- Datadog App and API Protection: https://docs.datadoghq.com/security/application_security/setup/
- Contrast Protect: https://docs.contrastsecurity.com/en/application-protection-overview.html
- Akamai API Security: https://www.akamai.com/products/api-security
Mevcut vendor materyallerine göre pazar üç ayrı sepette konumlanıyor: edge detection/blocking, in-app detection/protection, post-hoc telemetry/correlation. TraceHound'un doğrudan eşleştiği yaygın bir ürün kategorisi görünmüyor. Bu, "rakipsiz" demekten ziyade, yeni bir kontrol katmanı tanımlamaya çalıştığı anlamına geliyor. Kategori ve pazar boşluğu iddiası için daha güçlü market research gereklidir.