Bir şirketin güvenlik ekibine "internet üzerinden erişilebilen kaç tane sunucunuz, alt alan adınız, açık paneliniz var?" diye sorduğunuzda, alınan cevap neredeyse hiçbir zaman gerçeği yansıtmaz. Çoğu kurum kendi dış saldırı yüzeyinin yarısından fazlasını bilmez. Yıllar içinde kurulan test ortamları, kapatılmayı unutulan eski sunucular, pazarlama ekibinin kendi başına ayağa kaldırdığı bir landing sayfası, bir tedarikçinin sizin adınıza açtığı alt alan adı, eski bir sertifika, sızdırılmış bir kimlik bilgisi. Bunların her biri bir kapıdır ve siz o kapının var olduğunu bilmiyorsanız, onu kilitlemeniz de mümkün değildir.

Saldırganlar bu gerçeği uzun zamandır biliyor. Bir hedefe doğrudan ön kapıdan saldırmak yerine, önce o hedefin etrafında dolaşıp unutulmuş, zayıf, güncellenmemiş varlıkları ararlar. İçeride en güçlü güvenlik duvarına sahip olmanız, dışarıda iki yıldır yama almamış bir geliştirme sunucunuz varsa hiçbir işe yaramaz. İşte bu yüzden saldırı yüzeyi yönetimi (ASM), modern siber güvenliğin en kritik ama en çok ihmal edilen alanlarından biridir.

DSET'in egemen yapay zeka güvenlik motoru KAOS, tam olarak bu sorunu çözmek için tasarlandı. KAOS, dağınık ve bilinmeyen bir dış saldırı yüzeyini sürekli izleyerek keşfeder, içindeki teknolojileri parmak izi yöntemiyle tanır, açıkları bulur ve en önemlisi, hangi açığın gerçekten sömürülebilir olduğunu kanıtla doğrular. Sonuçta elinizde yüzlerce teorik uyarı değil, önceliklendirilmiş ve doğrulanmış bir risk listesi kalır.

Hızlı Cevap

Saldırı yüzeyi yönetimi (ASM), bir kurumun internet üzerinden erişilebilen tüm dijital varlıklarını sürekli keşfetme, izleme ve risklerini değerlendirme sürecidir. KAOS bu süreci yapay zekayla otomatikleştirir: pasif keşifle alt alan adlarını, unutulmuş sunucuları, açık panelleri ve sızdırılmış kimlik bilgilerini bulur, teknolojileri parmak izi yöntemiyle tanır, ardından her bulguyu kontrollü bir laboratuvarda PoC ile doğrulayarak gerçek riski gürültüden ayırır. Böylece yıllık tek seferlik bir fotoğraf yerine, kanıta dayalı ve önceliklendirilmiş sürekli bir risk haritası elde edersiniz.

Dış Saldırı Yüzeyi Nedir ve Neden Sürekli Büyür?

Dış saldırı yüzeyi, bir kurumun internet üzerinden bir saldırganın ulaşabileceği tüm varlıklarının toplamıdır. Buna ana web siteniz, alt alan adlarınız, API uç noktalarınız, e-posta sunucularınız, VPN ağ geçitleriniz, bulut depolama kovaları, açık yönetim panelleri, IP adresleriniz ve hatta SSL sertifikalarınızdaki bilgiler dahildir. Sorun şu ki bu yüzey statik değildir, her geçen gün büyür ve kimse bunu merkezi olarak takip etmez.

Bu büyümenin birkaç temel nedeni vardır. Birincisi, bulut altyapısının demokratikleşmesidir. Bir geliştirici, on dakika içinde yeni bir sunucu ayağa kaldırabilir, bir veritabanı açabilir, bir test ortamı kurabilir. Bu hız harika bir şey ama aynı zamanda BT departmanının görünürlüğü dışında varlıkların doğmasına neden olur. İkincisi, gölge BT (shadow IT) olgusudur: ekipler kendi başlarına SaaS araçları satın alır, kendi alt alan adlarını oluşturur, kendi entegrasyonlarını kurar. Üçüncüsü ise terk edilen varlıklardır. Bir kampanya biter, ona ait landing sayfası açık kalır. Bir proje iptal edilir, test sunucusu çalışmaya devam eder. Bir çalışan ayrılır, oluşturduğu kaynaklar sahipsiz kalır.

Burada en tehlikeli kavram varlık keşfi (asset discovery) eksikliğidir. Saldırgan, sizin envanterinizde olmayan bir varlığı bulduğunda, sizin onu izlemediğinizi de bilir. İzlenmeyen varlık, yamalanmayan varlıktır. Yamalanmayan varlık ise açık bir kapıdır. OWASP ve NIST gibi kuruluşlar, varlık envanteri eksikliğini yıllardır en temel güvenlik açıklarından biri olarak işaret eder, çünkü koruyamadığınız şeyi öncelikle görmeniz gerekir.

Bu büyümenin pratik sonucu, çoğu kurumun gerçek saldırı yüzeyinin, kendi tuttuğu varlık listesinden kat kat büyük olmasıdır. Bir orta ölçekli şirketin BT envanterinde on alan adı kayıtlıyken, gerçekte internette o şirketi temsil eden yüzlerce alt alan adı, eski test kayıtları ve dış servis entegrasyonu bulunabilir. Bu fark, dış saldırı yüzeyi yönetiminin (EASM) neden bir kerelik bir denetim değil, kalıcı bir disiplin olması gerektiğini açıklar. Saldırı yüzeyiniz sizin haberiniz olmadan büyürken, onu izlemeyi de aynı hızda sürdürmek zorundasınız.

Pasif Keşif: Gürültü Çıkarmadan Görünmezi Görmek

KAOS'un saldırı yüzeyi keşfi, agresif taramayla değil, pasif keşifle başlar. Pasif keşif, hedefe doğrudan saldırgan bir trafik göndermeden, halka açık veri kaynaklarından bilgi toplama sanatıdır. Bu yaklaşım hem daha gizlidir hem de bir saldırganın gerçekte sizi nasıl gördüğünü tam olarak modeller.

KAOS, alt alan adlarını keşfetmek için sertifika şeffaflık (Certificate Transparency) günlüklerini tarar. Bir kurum bir SSL sertifikası aldığında, bu kayıt halka açık günlüklere yazılır ve KAOS bu günlüklerden, sizin bile unuttuğunuz alt alan adlarını çıkarabilir. Pasif DNS verileri, geçmişte bir alan adının hangi IP adreslerine işaret ettiğini gösterir. ASN ve IP blok analizi, kuruma ait IP aralıklarını ve bu aralıklardaki canlı hostları ortaya çıkarır. KAOS, ters DNS sorgularıyla bu IP'lerin hangi isimlere çözümlendiğini bulur. Tüm bu pasif sinyaller bir araya geldiğinde, kurumun kendi dokümantasyonunda asla bulamayacağı bir varlık haritası oluşur.

Bu keşif sürecinin bir parçası da sızdırılmış kimlik bilgilerinin ve hassas verilerin avlanmasıdır. Eski veri ihlallerinde açığa çıkmış kurumsal e-posta ve parolalar, açık bırakılmış yapılandırma dosyaları, kod depolarına yanlışlıkla yüklenmiş API anahtarları. Bir saldırganın ilk yapacağı şey bunları aramaktır, dolayısıyla savunma tarafında da ilk yapılması gereken budur. KAOS'un sahip olduğu 800.000'den fazla belgelik bilgi tabanı, tüm CVE kayıtları ve 17.000'den fazla GitHub deposu, bu keşif aşamasında bulunan teknolojileri bilinen açıklarla anında ilişkilendirmesini sağlar. KAOS'un yapay zeka tabanlı tarama yaklaşımının nasıl çalıştığını KAOS yapay zeka siber güvenlik tarama aracı yazımızda daha ayrıntılı bulabilirsiniz.

Teknoloji Parmak İzi: Her Varlığın Kimliğini Çıkarmak

Bir varlığı keşfetmek yeterli değildir, onun ne çalıştırdığını da bilmeniz gerekir. KAOS, keşfedilen her varlık için teknoloji parmak izi (technology fingerprinting) çıkarır. Bu işlem, bir hostun arkasındaki web sunucusunu, uygulama çatısını, içerik yönetim sistemini, kütüphane sürümlerini, JavaScript bağımlılıklarını ve altyapı sağlayıcısını belirler.

Bu adım kritiktir çünkü risk, çoğu zaman sürümde gizlidir. İki yıl önceki bir WordPress sürümü, yamalanmamış bir eklenti, ömrünü doldurmuş bir PHP veya OpenSSL sürümü, açık bırakılmış bir yönetim arayüzü. KAOS, parmak izini çıkardığı her teknolojiyi, MITRE tarafından yönetilen CVE veritabanı ve CWE zayıflık sınıflandırmasıyla eşleştirir. Böylece "bu sunucu Apache çalıştırıyor" gibi yüzeysel bir bilgi yerine, "bu sunucu, kimlik doğrulamasını atlatmaya izin veren bilinen bir açığa sahip belirli bir sürümü çalıştırıyor" gibi eyleme dönüştürülebilir bir istihbarat üretir.

Parmak izi çıkarma, aynı zamanda en sinsi maruziyet türlerini de ortaya çıkarır. İnternete açık bırakılmış bir veritabanı arayüzü, kimlik doğrulaması olmayan bir izleme paneli, yanlış yapılandırılmış bir bulut depolama kovası ya da varsayılan parolayla çalışan bir cihaz, bir teknoloji parmak izinde hemen kendini belli eder. Bu tür bulgular, çoğu zaman bir saldırganın ihtiyaç duyduğu tek giriş noktasıdır, çünkü karmaşık bir sömürü zinciri yazmaya bile gerek kalmadan doğrudan erişim sağlarlar. KAOS, her parmak izini yalnızca bilinen açıklarla değil, bu tür yapılandırma zayıflıklarıyla da karşılaştırarak değerlendirir.

KAOS, web ve altyapının ötesine de geçer. Saldırı yüzeyi sadece web siteleri değildir. Mobil uygulamalar, APK dosyaları, tarayıcı eklentileri, ikili dosyalar, çalıştırılabilir dosyalar ve web3 akıllı kontratları da bu yüzeyin parçasıdır. KAOS, 75'ten fazla uzman ajandan oluşan çok ajanlı bir sistem olduğu için, her varlık türünü o türe özelleşmiş bir ajan inceler. Bir orkestratör (swarm) tüm bu ajanları koordine eder, böylece tek bir tarama, dağınık ve heterojen bir saldırı yüzeyinin tamamını uçtan uca kapsar.

Yıllık Fotoğraf Değil, Sürekli İzleme

Geleneksel güvenlik denetimleri bir anlık görüntü mantığıyla çalışır. Yılda bir kez bir sızma testi yapılır, bir rapor üretilir, raf kaldırılır ve bir sonraki yıla kadar beklenir. Bu yaklaşımın temel kusuru zamandır. Saldırı yüzeyiniz statik değil, dinamiktir. Test yapıldıktan bir hafta sonra ayağa kaldırılan bir sunucu, bir sonraki teste kadar on bir ay boyunca kör noktada kalır.

Saldırganlar bu zaman boşluğunu sürekli tarama yaparak değerlendirir. Yeni açıklanan bir CVE, internetin tamamında saatler içinde otomatik araçlarla taranmaya başlar. Eğer sizin savunma döngünüz yıllık ise, saldırganın döngüsü ise sürekli ise, bu adil olmayan bir maçtır ve siz kaybedersiniz. İşte bu yüzden sürekli izleme, modern saldırı yüzeyi yönetiminin kalbidir.

KAOS, dış saldırı yüzeyinizi tek seferlik bir denetim olarak değil, sürekli çalışan bir süreç olarak ele alır. Yeni bir alt alan adı ortaya çıktığında, bir sertifika değiştiğinde, bir teknolojide yeni bir açık yayınlandığında, KAOS bunu tespit eder ve yüzeyinizdeki sapmayı (drift) işaretler. Üstelik KAOS bunu kendi kendini onarabilen (self-healing) bir motorla yapar: kendi kodundaki bir hatayı tespit edip düzeltebildiği için, izleme süreci insan müdahalesi olmadan kararlı şekilde çalışmaya devam eder. Sürekli zafiyet yönetiminin neden tek seferlik taramalardan üstün olduğunu otomatik zafiyet tarama ve zafiyet yönetimi yazımızda ele aldık.

Asıl Fark: Doğrulama ile Riski Gürültüden Ayırmak

Saldırı yüzeyi yönetimi araçlarının en büyük zayıflığı yanlış pozitiftir. Çoğu tarayıcı, bir teknolojinin sürümüne bakar, o sürümle ilişkili bilinen açıkları listeler ve binlerce uyarı üretir. Sorun şu ki bu uyarıların büyük çoğunluğu o özel ortamda gerçekten sömürülebilir değildir. Belki açık, sizin yapılandırmanızda erişilebilir değildir. Belki bir önündeki WAF onu engelliyordur. Belki açık zaten yamalanmış ama sürüm bilgisi güncellenmemiştir. Güvenlik ekipleri, gerçek riski bu gürültü yığınının içinde ararken boğulur.

KAOS bu sorunu çekirdek çalışma döngüsüyle kökünden çözer: üret, doğrula, öğren. KAOS bir açık tespit ettiğinde orada durmaz. Kendi sömürü kodunu (exploit) yazar, bulguyu bir PoC ile kanıtlamaya çalışır ve bunu kontrollü bir laboratuvar ortamında, kanaryalı çapalar (canary anchors) kullanarak doğrular. Kanaryalı doğrulama, KAOS'un attığı sömürünün gerçekten çalışıp çalışmadığını şüpheye yer bırakmayacak şekilde ölçer. Bir açık ancak bu doğrulamadan geçerse rapora "CONFIRMED" olarak girer, geçemezse elenir. Bu sayede KAOS yanlış pozitif raporlamaz.

Bu yaklaşımın gücü kanıtlanmıştır. KAOS, sektörde zorlayıcı bir referans olarak kabul edilen XBOW saldırı senaryosu kıyaslamasının tamamını, 104 zorluğun 104'ünü tek bir koşuda çözerek yüzde 100 başarı elde etti. Bu, KAOS'un sadece açıkları listelemekle kalmadığını, onları gerçekten sömürebildiğini ve dolayısıyla bir saldırganın bakış açısını birebir modelleyebildiğini gösterir. Doğrulama sayesinde, dış saldırı yüzeyinizdeki yüzlerce teorik bulgu, gerçekten harekete geçmeniz gereken birkaç doğrulanmış riske indirgenir.

Önceliklendirme ve Tamir: Listenizi Eyleme Dönüştürmek

Doğrulanmış bir risk listesi, ham bir uyarı yığınından çok daha değerlidir ama yine de önceliklendirilmesi gerekir. Her doğrulanmış açık aynı aciliyete sahip değildir. İnternete açık, kimlik doğrulaması olmayan bir yönetim paneli, içeride derinde gömülü düşük etkili bir sorundan çok daha acildir. KAOS, her bulguya bir kanıt, bir sömürülebilirlik değerlendirmesi ve bir tamir önerisi ekler, böylece ekibiniz neyi önce yapacağını tartışmak yerine doğrudan harekete geçer.

KAOS'un raporlaması, tek bir biçime bağlı kalmaz. Yöneticiler için okunabilir Markdown ve HTML raporlar, otomasyon hatlarına entegre edilebilen JSON çıktısı ve güvenlik araç zincirlerinin standardı olan SARIF formatı üretir. Her bulgunun yanında, onu yeniden üreten bir PoC ve uygulanabilir bir düzeltme önerisi yer alır. Dahası KAOS, tek başına bir kırmızı takım aracı değildir. Mavi takım tarafında, bulgulardan Sigma, YARA ve Suricata kuralları üreterek tespit mühendisliği yapar. Mor takım tarafında ise ihlal ve saldırı simülasyonu (BAS) ile savunmalarınızın gerçekten çalışıp çalışmadığını test eder.

İzin verildiğinde, KAOS bulmakla da kalmaz, güvenli ve denetlenebilir bir süreçle tamiri de uygulayabilir. Bu süreç katmanlı korumalarla çevrilidir: değişiklikten önce yedek alır, her adımı bir denetim günlüğüne yazar, düzeltmenin gerçekten açığı kapattığını doğrular ve gerektiğinde geri alma yapar. Bu kontrollü otomasyon, dış saldırı yüzeyinizdeki kritik açıkların tespit edilmesiyle kapatılması arasındaki süreyi günlerden saatlere indirir. Sürekli izlemenin sızma testi ve WAF yönetimiyle nasıl birleştiğini web sitesi güvenlik hizmeti ve sızma testi yazımızda inceleyebilirsiniz.

Uyumluluk: Riski Düzenleyici Diline Çevirmek

Bir dış saldırı yüzeyi bulgusu, sadece teknik bir sorun değildir, aynı zamanda bir uyumluluk meselesidir. İnternete açık unutulmuş bir veritabanı, KVKK kapsamında bir kişisel veri ihlali riski demektir. Yamalanmamış bir varlık, ISO 27001 denetiminde bir uygunsuzluk demektir. KAOS, tespit ettiği her bulguyu KVKK, ISO 27001 ve NIS2 gibi çerçevelere eşleştirir.

Bu eşleme, güvenlik ekibiyle yönetim ve hukuk ekipleri arasındaki dili ortak hale getirir. Bir teknik ekip "şu sunucuda kimlik doğrulaması atlatma açığı var" derken, KAOS bunu aynı zamanda "bu, NIS2 kapsamındaki temel hizmet operatörü yükümlülüklerinizi ihlal eden bir maruziyettir" diye tercüme eder. Bu sayede saldırı yüzeyi yönetimi, BT departmanının teknik bir hobisi olmaktan çıkar ve kurumsal risk yönetiminin doğrudan bir parçası haline gelir.

Uyumluluk eşlemesinin pratik faydası, denetim zamanı geldiğinde ortaya çıkar. Bir ISO 27001 ya da NIS2 denetiminde, denetçinin sorduğu ilk sorulardan biri varlık envanterinizin güncel olup olmadığıdır. Sürekli çalışan bir saldırı yüzeyi yönetimi süreci, bu soruya kanıtla cevap verebilmenizi sağlar: sadece hangi varlıklara sahip olduğunuzu değil, onları sürekli izlediğinizi ve bulunan her maruziyeti doğrulayıp kapattığınızı belgeleyebilirsiniz. Bu, bir denetimi savunmacı bir telaş olmaktan çıkarıp, kontrol altında bir sürece dönüştürür. KAOS'un tüm yetenekleri hakkında daha fazlasını KAOS sayfasında bulabilir, kuruma özel bir değerlendirme için hizmetlerimize göz atabilirsiniz.

Varlık Keşfi Süreci: Bir Haritayı Sıfırdan Çizmek

Saldırı yüzeyi yönetiminin tüm değeri, ne kadar eksiksiz bir varlık haritası çıkardığınızda saklıdır. Eksik bir harita, yanlış bir güven duygusu verir ve bu güven, çoğu kurumun gerçek hikayesidir. KAOS'un keşif süreci tek bir veri kaynağına yaslanmaz, üst üste binen birçok sinyali birleştirir, çünkü hiçbir tek kaynak tek başına tam resmi vermez.

Süreç, kuruma ait kök alan adlarının ve markaların belirlenmesiyle başlar. Buradan KAOS, alt alan adlarını birden fazla yoldan toplar. Sertifika şeffaflık günlükleri, bir kurumun yıllar içinde aldığı her sertifikanın bıraktığı izi taşır; çoğu zaman staging.eski-proje.sirket.com gibi kimsenin hatırlamadığı kayıtlar tam da burada ortaya çıkar. Pasif DNS verisi, bir alan adının geçmişte hangi IP'lere işaret ettiğini gösterdiği için, taşınmış ama tamamen kapatılmamış sunucuları yakalar. ASN sorgusu, kuruma tahsis edilmiş IP bloklarının tamamını verir ve KAOS bu bloklar üzerinde ters DNS çözümlemesi yaparak isimli hostları yüzeye çıkarır.

Bir sonraki katman bulut varlıklarıdır. Modern bir kurumun yüzeyi artık tek bir veri merkezinde durmaz; AWS, Azure, GCP ve Cloudflare gibi sağlayıcılara dağılmıştır. Açık bırakılmış bir S3 kovası, yanlış yapılandırılmış bir blob deposu ya da kimlik doğrulaması olmayan bir konteyner kayıt defteri, klasik bir alan adı taramasında asla görünmez ama bir saldırgan için en hızlı giriş kapısıdır. KAOS bu bulut izlerini de keşif yüzeyine dahil eder.

En geç bakılan ama çoğu zaman en kritik katman ise sızdırılmış kimlik bilgileridir. Eski bir veri ihlalinde açığa çıkmış bir çalışan parolası, kod deposuna yanlışlıkla işlenmiş bir API anahtarı ya da bir paste sitesinde duran bir yapılandırma dosyası, hiçbir teknik açık gerektirmeden doğrudan oturum açmaya yarar. Aşağıdaki tablo, bu keşif katmanlarının her birinin neyi ortaya çıkardığını özetler:

Keşif kaynağı Ortaya çıkardığı varlık Saldırgan için anlamı
Sertifika şeffaflık günlükleri Unutulmuş alt alan adları, staging kayıtları İzlenmeyen, yamasız giriş noktaları
Pasif DNS Geçmiş IP eşleşmeleri, taşınmış hostlar Hâlâ canlı eski sunucular
ASN ve IP blok analizi Kuruma ait tüm IP aralıkları Envanterde olmayan canlı hostlar
Bulut sağlayıcı taraması Açık kovalar, yanlış yapılandırma Doğrudan veri erişimi
Sızdırılmış kimlik bilgisi avı İhlal parolaları, açık API anahtarları Açıksız doğrudan oturum

Bu katmanlar birleştiğinde ortaya çıkan harita, neredeyse her zaman kurumun kendi envanterinden büyüktür. Önemli olan, bu haritanın bir kez çizilip rafa kaldırılması değil, her yeni sinyalle birlikte canlı tutulmasıdır.

Gölge BT ve Birleşmeler: Yüzeyi Sessizce Büyüten İki Güç

Saldırı yüzeyinin neden sürekli büyüdüğünü anlamak için iki olguya yakından bakmak gerekir, çünkü bunlar genelde radar altında kalır. Birincisi gölge BT'dir. Bir pazarlama ekibi, bir kampanya için kendi başına bir bulut hesabı açıp landing sayfası yayınladığında, bu varlık BT envanterine asla girmez. Bir geliştirici, hızlı bir demo için bir test sunucusu kurup kişisel kredi kartıyla ödeme yaptığında, kurumun güvenlik ekibinin bu sunucudan haberi olmaz. Her biri masum niyetle doğan bu varlıklar, zamanla unutulur ve unutuldukları anda yamasız, izlenmeyen birer risk haline gelir.

İkinci güç ise birleşme ve satın almalardır. Bir şirket başka bir şirketi satın aldığında, sadece o şirketin çalışanlarını ve müşterilerini değil, tüm dijital saldırı yüzeyini de devralır. Çoğu durumda satın alan tarafın güvenlik ekibi, devraldığı altyapının tam bir envanterine sahip değildir. Eski markanın alt alan adları, terk edilmiş test ortamları, farklı standartlarla kurulmuş sunucular, hepsi bir gecede sizin sorumluluğunuza geçer. Saldırganlar, birleşme haberlerini takip eder, çünkü bu dönemlerin envanter karmaşası içerdiğini bilirler.

KAOS, bu iki büyüme kaynağını sürekli keşifle yakalar. Yeni bir alt alan adı, kurumun marka adıyla ilişkili bir sertifika ya da kuruma ait bir IP bloğunda beliren yeni bir host, KAOS'un sapma tespitinde anında işaretlenir. Böylece gölge BT bir varlık doğurduğu ya da bir birleşme yeni bir altyapı getirdiği anda, bu yeni yüzey görünmez kalmak yerine keşif döngüsüne girer.

ASM ve Tek Seferlik Sızma Testi: Hangisi Ne Zaman?

İki yaklaşım sık sık birbirinin yerine konur, oysa farklı sorunları çözerler. Sızma testi, belirli ve bilinen bir kapsamda derinlik sağlar; deneyimli bir testçi, tanımlı bir uygulamanın iş mantığını insan zekasıyla zorlar. Saldırı yüzeyi yönetimi ise genişlik ve süreklilik sağlar; bilmediğiniz kapsamı keşfeder ve onu kesintisiz izler. Aşağıdaki karşılaştırma, hangi ihtiyaca hangisinin cevap verdiğini netleştirir:

Boyut Tek seferlik sızma testi Saldırı yüzeyi yönetimi
Kapsam Önceden tanımlı, bilinen Keşfedilen, bilinmeyeni de içeren
Zaman Belirli bir an Sürekli
Bilinmeyen varlık Kapsam dışı kalır Asıl odak budur
Maliyet modeli Proje başına Süreç olarak süreklilik
En güçlü olduğu yer Derin iş mantığı açıkları Geniş maruziyet ve sapma

Doğru cevap genelde "ikisi birden" olur. Sızma testi yılda bir kez derin bir denetim sağlarken, ASM aradaki on bir ayı kör nokta olmaktan çıkarır. KAOS bu iki yaklaşımı tek motorda birleştirir: dış yüzeyi sürekli keşfeder, sonra bulduğu her varlığı bir sızma testçisi gibi gerçek PoC ile doğrular. Yani genişliği ve derinliği aynı süreçte sunar.

Sürekli İzleme Ritmi ve Bir ASM Panosunun Raporlaması

Sürekli izleme, "her an her şeyi tara" anlamına gelmez; anlamlı bir ritim kurmak demektir. Pratikte etkili bir kadans birkaç katmandan oluşur. Pasif keşif günlük çalışır, çünkü yeni bir alt alan adı ya da sertifika her gün belirebilir. Yeni keşfedilen varlıkların aktif parmak izi ve açık taraması, bir varlık ilk görüldüğünde tetiklenir. Kritik bir CVE yayınlandığında, etkilenen teknolojiyi çalıştıran tüm varlıklar olağan ritmin dışında, anında yeniden taranır. Doğrulanmış kritik bulgular ise saatler içinde sahibine ulaştırılır, çünkü bir saldırganın da o pencerede çalıştığını biliriz.

Bu ritmin çıktısı bir panoda toplanır ve iyi bir ASM panosu sadece sayı yığmaz, karar verdirir. Bir alıcının değer vereceği bir pano şunları net biçimde gösterir:

  • Canlı varlık envanteri: Toplam keşfedilen varlık sayısı ve bunların ne kadarının bilinen envanterle eşleştiği. Aradaki fark, gölge BT'nin büyüklüğünü gösteren tek en önemli metriktir.
  • Sapma akışı: Son tarama döngüsünde beliren yeni alt alan adları, değişen sertifikalar ve yeni canlı hostlar. Bu akış, yüzeyin ne hızla büyüdüğünü görünür kılar.
  • Doğrulanmış riskler: Yalnızca CONFIRMED damgalı, PoC ile kanıtlanmış bulgular; teorik gürültü değil. Her biri severite, sömürülebilirlik ve tamir önerisiyle birlikte.
  • Maruziyet süresi: Bir kritik bulgunun tespit edildiği andan kapatıldığı ana kadar geçen süre. Bu metrik, savunma döngünüzün gerçek hızını ölçen tek dürüst göstergedir.
  • Uyumluluk eşlemesi: Her bulgunun KVKK, ISO 27001 ve NIS2 gibi çerçevelere bağlanması, böylece teknik risk doğrudan kurumsal dile çevrilir.

Bir kuruma özel olarak başlamadan önce gözden geçirebileceğiniz kısa bir kontrol listesi, sürecin sağlıklı kurulduğunu doğrular: tüm kök alan adları ve markalar tanımlandı mı; bulut hesapları keşif kapsamına alındı mı; sızdırılmış kimlik bilgisi taraması açık mı; sapma tespiti günlük çalışıyor mu; doğrulanmış kritik bulgular için bir tamir hedef süresi belirlendi mi. Bu beş sorunun cevabı evet olduğunda, ASM bir rapor değil, işleyen bir disiplin haline gelir.

SSS

Saldırı yüzeyi yönetimi ile sızma testi arasındaki fark nedir?

Sızma testi, bilinen ve tanımlı bir kapsamı belirli bir anda derinlemesine test eder. Saldırı yüzeyi yönetimi ise önce o kapsamın kendisini keşfeder, yani bilmediğiniz varlıkları ortaya çıkarır, ve bunu sürekli yapar. KAOS ikisini birleştirir: önce dış saldırı yüzeyinizi sürekli keşfeder, sonra bulduğu her varlığı bir sızma testçisi gibi gerçek PoC ile doğrular.

KAOS bizim bilmediğimiz varlıkları nasıl bulabiliyor?

KAOS pasif keşif kullanır. Sertifika şeffaflık günlükleri, pasif DNS verileri, ASN ve IP blok analizi ve ters DNS sorguları gibi halka açık kaynakları tarar. Bu kaynaklar, bir saldırganın sizi nasıl gördüğünü modeller ve sizin kendi envanterinizde olmayan, gölge BT kapsamındaki alt alan adlarını ve unutulmuş sunucuları açığa çıkarır.

KAOS neden yanlış pozitif raporlamıyor?

Çünkü KAOS her bulguyu raporlamadan önce doğrular. Kendi sömürü kodunu yazar ve bunu kontrollü bir laboratuvarda kanaryalı çapalar kullanarak çalıştırır. Bir açık ancak gerçekten sömürülebilir olduğu kanıtlanırsa rapora girer. Bu, yüzlerce teorik uyarıyı, gerçekten harekete geçmeniz gereken birkaç doğrulanmış riske indirir.

Verilerimiz dışarı çıkıyor mu, KAOS bir bulut hizmetine bağlanıyor mu?

Hayır. KAOS, DSET'in egemen, yüzde 100 yerel çalışan ve hiçbir dış API bağımlılığı olmayan kendi yapay zeka motorudur, başka bir modelin sarmalayıcısı değildir. Tüm analiz yerelde yapılır, bu da hassas saldırı yüzeyi verilerinizin kurum dışına çıkmamasını ve KVKK ile uyumlu kalmasını sağlar.

Bulduğu açıkları KAOS kendisi kapatabilir mi?

İzin verildiğinde evet. KAOS, güvenli ve denetlenebilir bir süreçle tamiri uygulayabilir. Bu süreç değişiklikten önce yedek alma, her adımı denetim günlüğüne yazma, düzeltmenin açığı gerçekten kapattığını doğrulama ve gerektiğinde geri alma adımlarını içerir. Tamir her zaman izne bağlıdır ve kontrollüdür.

Sonuç

Bir saldırganın size karşı sahip olduğu en büyük avantaj, kendi dış saldırı yüzeyinizi onun kadar iyi tanımamanızdır. Gölge BT, terk edilmiş sunucular, unutulmuş alt alan adları ve sızdırılmış kimlik bilgileri, siz onları görmediğiniz sürece sizin için risk olmaya devam eder. Saldırı yüzeyi yönetimi, bu bilinmeyeni görünür kılmanın tek yoludur ve bunu yılda bir kez değil, sürekli yapmak gerekir.

KAOS, dağınık ve bilinmeyen bir saldırı yüzeyini, keşfeden, parmak izini çıkaran, doğrulayan ve önceliklendiren bir motorla, eyleme geçirilebilir ve kanıta dayalı bir risk haritasına dönüştürür. Yanlış pozitif üretmez, her bulguyu PoC ile kanıtlar ve istendiğinde güvenli bir süreçle tamiri de uygular. Kurumunuzun internete açık gerçek yüzeyini görmek ve onu sürekli koruma altına almak için bizimle iletişime geçin ve kuruma özel çözümler için hizmetlerimizi inceleyin.

Kaynaklar