KAOS: Yapay Zekâ Destekli Otonom Siber Güvenlik Tarama Motoru

Hızlı cevap: KAOS, DSET'in geliştirdiği yapay zekâ destekli, büyük ölçüde otonom bir güvenlik testi ve zafiyet tarama motorudur. Çok-ajanlı bir mimariyle keşiften web, ağ, API, bulut ve akıllı kontrata kadar geniş bir alanı tarar; bulduğu her zafiyeti kontrollü ve güvenli biçimde doğrular, yalnızca kanıtlanmış bulguyu raporlar. İnsan uzmanın yerine değil, yanında çalışır.

Bir güvenlik analistinin sabah ekranına oturduğunda gördüğü ilk şey çoğu zaman bir uyarı yığınıdır. Klasik otomatik tarayıcı gece boyunca çalışmış, yüzlerce satır "olası zafiyet" üretmiştir. Analist günün ilk saatlerini bunların hangisinin gerçek, hangisinin gürültü olduğunu ayıklamaya harcar. Üstelik bu listenin büyük bölümü yanlış pozitiftir; yani gerçekte sömürülemeyen, var olmayan bir tehdit. İşte DSET olarak KAOS'u geliştirme nedenimiz tam olarak buydu: yapay zekânın siber güvenlikteki gerçek değeri "daha çok uyarı üretmek" değil, "az ama doğrulanmış, önceliklendirilmiş, gerçek bulgu" sunmaktır.

KAOS neden var? Yanlış pozitif sorunu

Geleneksel zafiyet tarayıcıları imza eşleştirmeye dayanır. Bir sunucunun versiyon bilgisine bakar, bilinen zafiyet veritabanıyla karşılaştırır ve "bu sürümde şu açık olabilir" der. Sorun şu kelimede gizlidir: olabilir. Tarayıcı, açığın o ortamda gerçekten sömürülebilir olup olmadığını sınamaz. Sonuç, içinde bir avuç gerçek bulgunun kaybolduğu devasa bir uyarı denizidir.

Bu denizde boğulan analist, zamanının çoğunu elle doğrulamaya harcar. Her uyarıyı tek tek inceler, test ortamı kurar, sömürüyü dener. Yorucu, yavaş ve hataya açık bir süreçtir bu. KAOS'u tasarlarken sorduğumuz soru netti: makine bu doğrulama işini güvenli biçimde kendisi yapabilir mi? Yapabilirse, insan uzman yalnızca kanıtlanmış ve önemli bulgulara odaklanabilir.

KAOS nasıl çalışır? Çok-ajanlı mimari

KAOS tek bir program değil, bir uzmanlar ekibi gibi davranan bir sistemdir. Mimarinin kalbinde, işi koordine eden bir orkestratör bulunur. Orkestratör hedefi tanır, parmak izini çıkarır ve hangi uzmanlık alanlarının devreye gireceğine karar verir. Ardından her biri kendi alanında eğitilmiş yapay zekâ uzman-ajanlarını görevlendirir.

Bu ajanlar farklı disiplinleri temsil eder:

  • Keşif (recon) ajanı: Hedefin yüzey alanını çıkarır; alt alan adları, açık portlar, kullanılan teknolojiler.
  • Web uygulaması ajanı: Enjeksiyon, kimlik doğrulama atlatma, yetki yükseltme gibi uygulama katmanı zafiyetlerini araştırır.
  • Ağ ve altyapı ajanı: Servis yapılandırması, açık servisler ve protokol seviyesindeki zayıflıklar.
  • Active Directory ajanı: Kurumsal kimlik altyapısındaki yanlış yapılandırma ve yetki yollarını inceler.
  • API ajanı: REST, GraphQL ve benzeri arayüzlerdeki mantık ve yetkilendirme açıklarını sınar.
  • Web3 ve akıllı kontrat ajanı: Zincir üstü kontratlardaki ekonomik ve mantıksal güvenlik kusurlarına bakar.
  • Bulut ve mobil ajanlar: Bulut yapılandırması ve mobil uygulama yüzeyini ayrı ayrı değerlendirir.

Bir insanın tek başına bütün bu alanlarda aynı anda derin olması zordur. KAOS'un çok-ajanlı yaklaşımı, her uzmanlık alanına ayrı bir dikkat ayırarak kapsamı genişletir ve taramayı paralel yürütür. Kırmızı takım yaklaşımımızla nasıl birleştiğini kırmızı takım saldırı simülasyonu hizmeti sayfasında anlatıyoruz.

"Üret ve doğrula": KAOS'un asıl farkı

KAOS'u sıradan bir tarayıcıdan ayıran en kritik özellik burada başlar. KAOS bir zafiyet olasılığı tespit ettiğinde durmaz. O zafiyet için bir sömürü (exploit) üretir ve bunu kontrollü, güvenli bir biçimde dener. Doğrulama, kanıt temellidir: KAOS hedefe zarar vermeden, denetlenebilir bir iz (canary) bırakacak şekilde sömürüyü çalıştırır ve gerçekten işe yarayıp yaramadığını gözlemler.

Mantık basittir ama güçlüdür. Eğer sömürü kanıtlanabilir bir sonuç üretiyorsa, bu artık bir tahmin değil, doğrulanmış bir bulgudur ve "CONFIRMED" olarak işaretlenir. Üretemiyorsa, KAOS o uyarıyı rapora hiç koymaz. Böylece yanlış pozitif daha rapora ulaşmadan elenir. Analistin önüne gelen liste, içi gürültüyle dolu yüzlerce satır değil, her biri kanıtıyla gelen birkaç gerçek bulgudur.

Bu yaklaşımın değeri sayıda değil güvendedir. Bir bulgu KAOS'tan geçtiğinde, "bunu kontrol etmem lazım" değil "bu gerçek, şimdi düzeltelim" denir. İnsan uzmanın değerli zamanı, var olmayan tehditleri kovalamak yerine kritik açıkları kapatmaya gider.

Klasik tarayıcı ile KAOS arasındaki fark

Özellik Klasik otomatik tarayıcı KAOS
Tespit yöntemi İmza ve sürüm eşleştirme Çok-ajanlı analiz + sömürü üretimi
Doğrulama Yok, "olası" der Kontrollü, kanıt tabanlı doğrulama
Yanlış pozitif Yüksek, analist eler Düşük, rapora girmeden elenir
Kapsam Genelde tek alan Web, ağ, API, AD, bulut, web3, mobil
Raporlama Ham uyarı listesi Yönetici özeti + teknik + PoC + çözüm
Öğrenme Statik veritabanı Doğrulanmış bulgulardan öz-öğrenme
Çerçeve eşlemesi Sınırlı OWASP, MITRE ATT&CK eşlemeli

Öz-öğrenme: KAOS zamanla gelişir

KAOS her taramadan sonra daha akıllı hale gelir. Doğruladığı bulguları bir vektör belleğe (semantik hafıza) kaydeder. Yeni bir hedefte benzer bir desenle karşılaştığında, geçmişte kanıtladığı vakaları geri çağırır ve bu birikimi yeni duruma uyarlar. Bu, RAG (retrieval augmented generation) yaklaşımının güvenlik testine uygulanmış halidir.

Sonuç olarak KAOS statik bir araç değildir. Her doğrulanmış zafiyet, gelecekteki taramaların daha hızlı ve daha isabetli olmasını sağlayan kalıcı bir ders haline gelir. Motorun teknik mimarisini KAOS AI motoru yazımızda daha derinlemesine ele aldık.

Güvenli ve sorumlu mimari

Yapay zekâ tabanlı bir güvenlik aracında en büyük endişelerden biri, aracın kendisinin saldırı yüzeyi haline gelmesidir. KAOS bu konuda baştan korumalı tasarlandı. Sistem, prompt-injection ve veri sızıntısı girişimlerine karşı sertleştirilmiştir; modele giren ve çıkan içerik denetlenir. KAOS yalnızca yetkili hedefte çalışır ve tanımlı kapsam (scope) sınırına saygı gösterir; izin verilmeyen bir varlığa kaymaz.

Bu sorumluluk anlayışı, yapay zekâyı güvenlikte kullanmanın olmazsa olmazıdır. NIST'in yapay zekâ risk yönetimi çerçevesi ve OWASP'ın büyük dil modelleri için yayımladığı ilk on risk listesi, tam da bu tür risklerin nasıl yönetileceğini tarif eder. KAOS'u bu standartları gözeterek geliştirdik.

İnsan uzman ve yapay zekâ: yerine değil, yanında

Burada dürüst olmak gerekir. Yapay zekâ her şeyi bulmaz. Yaratıcı, alışılmadık, iş mantığına özgü bir zafiyeti keşfetmek hâlâ insan uzmanın sezgisini, deneyimini ve esnek düşüncesini gerektirir. KAOS'un iddiası insan uzmanın yerini almak değildir; iddiası insan uzmanı düşük değerli, tekrarlayan ve yorucu işten kurtarmaktır.

DSET olarak güvenlik testini iki güçlü katmanın birleşimi olarak görüyoruz. KAOS geniş alanı sürekli ve hızlı tarar, ilk taramayı saatler içinde tamamlar, yanlış pozitifi temizler ve önceliklendirilmiş bir taban oluşturur. İnsan uzman ise bu sağlam tabandan başlayarak derin, yaratıcı ve bağlama duyarlı sömürüye odaklanır. PTES ve OWASP temelli sızma testi sürecimizin bütününü sızma testi süreci, fiyatı ve ne zaman gerekli yazımızda anlatıyoruz. İkisi birlikte, tek başına ne otomasyonun ne de tek bir uzmanın ulaşamayacağı bir kapsam ve güven sağlar.

Kullanım senaryoları

KAOS'un en güçlü olduğu yerler, sürekliliğin ve geniş kapsamın önem taşıdığı durumlardır:

  • Sürekli güvenlik izleme: Sistemler durmadan değişir; her yeni dağıtım yeni bir saldırı yüzeyi açabilir. KAOS bu değişimi sürekli tarayarak yeni açıkları erken yakalar.
  • Hızlı ilk değerlendirme: Yeni bir varlık devreye alınmadan önce, geniş bir taban taraması saatler içinde tamamlanır.
  • Geniş varlık envanteri: Çok sayıda alan adı, uygulama ve servisin tek tek elle taranması pratik değildir; KAOS bu ölçeği paralel olarak karşılar.
  • Bulgu önceliklendirme: Eldeki uyarı yığınını kanıt temelli filtreden geçirerek gerçek olanları öne çıkarır.

Bütün bu yetenekleri ve KAOS'un hizmet kapsamını KAOS hizmet sayfasında ayrıntılı bulabilirsiniz.

Sık Sorulan Sorular (SSS)

KAOS insan sızma testi uzmanının yerini alır mı? Hayır. KAOS, insan uzmanı tekrarlayan ve geniş kapsamlı işten kurtarıp kritik bulgulara odaklamak için tasarlandı. En iyi sonuç, KAOS'un geniş ve sürekli taramasıyla insan uzmanın derin ve yaratıcı analizinin birleşmesinden çıkar.

KAOS neden daha az bulgu raporluyor? Çünkü KAOS bulduğu her zafiyeti kontrollü biçimde doğrular ve yalnızca kanıtlanmışları rapora ekler. Klasik tarayıcıların ürettiği yüzlerce "olası" uyarının çoğu yanlış pozitiftir; KAOS bunları rapora girmeden eler. Az ama gerçek bulgu, çok ama belirsiz uyarıdan değerlidir.

KAOS tarama sırasında sistemime zarar verir mi? KAOS yalnızca yetkili hedefte ve tanımlı kapsam sınırı içinde çalışır. Doğrulama, hedefe zarar vermeyecek, denetlenebilir kanıt bırakan kontrollü bir biçimde yapılır.

KAOS hangi alanları tarayabilir? Çok-ajanlı mimarisi sayesinde keşif, web uygulaması, ağ ve altyapı, API, Active Directory, bulut ve web3 akıllı kontrat alanlarını kapsar.

KAOS bulgularını hangi standartlara göre raporlar? Bulgular OWASP ve MITRE ATT&CK gibi çerçevelerle eşlenir; rapor yönetici özeti, teknik detay, kanıt (PoC) ve çözüm önerisi bölümlerini içerir.

Kaynaklar

DSET, 2003'ten beri Ankara Hacettepe Teknokent Beytepe'de siber güvenlik ve veri çözümleri sunar. KAOS hakkında bilgi almak ve kurumunuz için bir değerlendirme planlamak için bize ulaşın: +90 536 662 38 09.