Kurum içindeki kimlik riskleri, genel güvenlik sağlığına yönelik önemli tehditler oluşturur. Bu makalede, kimlik risk yönetiminde dikkate alınması gereken temel unsurlar ve önceliklendirme stratejileri ele alınacaktır.

Saldırı Nasıl Çalışıyor?

G modern işletmelerde kimlik riski, kontrol durumu, hijyen, iş bağlamı ve niyet gibi faktörlerin birleşimiyle oluşur. Bu unsurlar tek başlarına yönetilebilir olsa da, birden fazla zayıflığın bir araya gelmesi saldırganlara girişten etkiye kadar temiz bir yol açmaktadır.

Kontrol Postürü: Uyum ve Güvenlik Risk Sinyalleri

Kontrol postürü, “Bir şey ters giderse, bunu önleyebilecek, tespit edebilecek ve kanıtlayabilecek miyiz?” sorusunu yanıtlar. Geleneksel Kimlik ve Erişim Yönetimi (IAM) programlarında kontroller “yapılandırılmış / yapılandırılmamış” olarak değerlendirilmiştir. Ancak, önceliklendirme daha fazla nüans gerektirir:

• Kimlik Doğrulama ve Oturum Kontrolleri
• MFA, SSO zorlaması, oturum/token süre aşımı, yenileme kontrolleri, giriş oranı sınırlaması, kilitlenmeler.
• Kimlik Bilgileri ve Gizli Yönetimi
• Açık metin/kodlanmış kimlik bilgileri olmamalıdır; güçlü hashleme, güvenli IdP kullanımı, uygun gizli döngü.
• Yetkilendirme ve Erişim Kontrolleri
• Zorunlu erişim kontrolü, denetlenen giriş ve yetkilendirme denemeleri, SSO akışları için güvenli yönlendirmeler.
• Protokol ve Kriptografi Kontrolleri
• Sektör standardı protokolleri, eski protokollerin kaçınılması, ileriye dönük duruş (örneğin, kuantum güveli).

Kimlik Hijyeni: Saldırganlar ve Otonom Agent-AI’nın Sevdiği Yapısal Zayıflıklar

Hijyen, temizlikten çok sahiplik, yaşam döngüsü ve niyetle ilgilidir. En yaygın hijyen koşulları şunlardır:

• Yerel Hesaplar – Merkezileşmiş politikaları atlar (SSO/MFA/koşullu erişim) ve standartlardan sapmalar.
• Yetkisiz Hesaplar – Hesabı olan biri yoksa, suiistimali fark edecek birisi de yoktur.
• Uzun Süredir Kullanılmayan Hesaplar – “Kullanılmıyor” demek güvenli olduğu anlamına gelmez.
• Sahipliği veya Net Bir Amacı Olmayan İnsan Dışı Kimlikler – Servis hesapları ve API jetonları, otomasyonla birlikte artmaktadır.
• Eski Servis Hesapları ve Tokenler – Ayrıcalıklar birikir, döngü durur ve “geçici” olan kalıcı hale gelir.

İş Bağlamı: Risk Etkiye Orantılıdır

Güvenlik ekipleri çoğunlukla teknik ciddiyeti dikkate alarak öncelik sıralar. Ancak iş bağlamı da önemlidir. Eğer bir kimlik tehlike altındaysa, ne olur?

• Uygulamanın veya iş akışının önemi (gelir, operasyonlar, müşteri güveni)
• Veri hassasiyeti (kişisel veriler, finansal veriler, düzenlenmiş veriler)
• Patlama yarıçapı (hangi sistemlere ulaşılabilir)
• Operasyonel bağımlılıklar (hangi durumlar kesintilere neden olabilir)

Kullanıcı Niyeti: Çoğu Kimlik Programındaki Eksiklik

Kimlik kararları genelde şu soruları yanıtlamadan alınır: Bu kimlik şu an ne yapmaya çalışıyor ve bu amacıyla uyumlu mu? Niyeti anlamak için gereken sinyaller şunlardır:

• Etkileşim kalıpları
• Zaman tabanlı anormallikler
• Ayrıcalık kullanımı ile atanmış ayrıcalık arasındaki farklar
• Uygulama arası gezinme davranışı

Sonuç

Kimlik riskleri listeden çok, güven patikalarının grafiğidir. Kontrol postürü, hijyen, iş bağlamı ve niyet, tek başına önemli olabilir; ancak tehlike bu unsurların bir araya gelmesinde ortaya çıkar. Okuyucular, sistemlerinin güvenliğini sağlamak için eksiklikleri gidermeli, yazılımları güncel tutmalı ve eski hesapları gözden geçirmelidir.

Siber güvenlik uzmanları, yalnızca tehditleri ve zafiyetleri izlemekle kalmayıp, bu unsurların gerçek dünyada nasıl etkileşime geçtiğine odaklanmak zorundadır. Bu bağlamda,  Sürekli Tehdit Maruziyeti Yönetimi (CTEM) , organizasyonların maruz kaldıkları riskleri bütünsel bir şekilde yönetmelerine yardımcı olabilecek etkili bir yöntemdir.

CTEM Nedir?

 CTEM , Gartner tarafından tanımlandığı üzere, tehditlerin ve zafiyetlerin sürekli olarak belirlenmesi, önceliklendirilmesi ve giderilmesi sürecini vurgular. Bu, organizasyonun güvenlik duruşunu artırarak beş aşamada gerçekleşir:

1. Scoping – Tehditlerinizi ve zafiyetlerinizi değerlendirerek en önemli unsurları belirleyin: varlıklar, süreçler ve rakipler.
2. Discovery – Maruziyetleri ve saldırı yollarını ortama haritalayarak rakiplerin olası eylemlerini tahmin edin.
3. Prioritization – Saldırganların gerçekten kullanabileceği zafiyetlere odaklanın ve düzeltmeniz gerekenleri belirleyin.
4. Validation – Güvenli, kontrollü saldırı simülasyonları ile varsayımları test edin.
5. Mobilization – Kanıtlar temelinde düzeltme ve süreç iyileştirmeleri gerçekleştirin.

CTEM’in Gerçek Faydası

CTEM, risk odaklı maruziyet yönetimine geçiş yaparak zafiyet değerlendirmesi, zafiyet yönetimi, saldırı yüzeyi yönetimi, test etme ve simülasyon gibi birçok alt süreci ve aracı entegre eder. Bu yöntem, güvenlik ekiplerinin siber risk azaltımına yönelik potansiyel etkileri kaydedip raporlayabilmelerini sağlar. Mevcut teknoloji veya araç eksikliği bir sorun olmamakla birlikte, bu alandaki çok fazla araç, daha fazla silo oluşturmuş ve CTEM’in amacı bu durumu zayıflatmaktır.

Tehdit İstihbaratının Rolü

Her yıl binlerce zafiyet bildirilmektedir (2024’te 40.000’den fazla); ancak bunların %10’undan azı gerçekten istismar edilmektedir.  Tehdit istihbaratı , zafiyetleri rakiplerin taktikleri, teknikleri ve prosedürleri (TTP’ler) ile ilişkilendirerek hangi zafiyetlerin önemli olduğunu belirlemenizde oldukça yardımcı olur. Tehdit istihbaratına sahip olmak artık isteğe bağlı değil, zorunludur. Bu, Kritik İstihbarat Gereksinimlerinizi (PIR) belirlemenize yardımcı olur.

Doğrulama Odaklı Risk Azaltma

Öncelikli tehdit istihbaratının ardından test ve doğrulama süreci gelmelidir; bu süreç, güvenlik kontrollerinizin olası istismarlara karşı ne kadar etkili olduğunu değerlendirmeyi içerir. Burada önemli olan, güvenlik doğrulama programınızın yalnızca teknoloji ile sınırlı kalmaması; süreçleri ve insanları da kapsamasıdır. EDR, SIEM veya WAF gibi kusursuz yapılandırılmış sistemler, süreçlerin ve oyun kitaplarının güncel olmaması durumunda sınırlı koruma sağlar.

Gereksiz Jargonlardan Kaçının

CTEM bir ürün değildir; eksiklik yönetimi için sonuç odaklı metrikler kullanan stratejik bir yaklaşımdır. Uygulama, tek bir güvenlik ekibine düşmez; tüm ekiplerin güvenlik iş akışlarını geliştirmek için tepe yönetimden yönlendirilmesi gerekir. İlk olarak  Scoping  aşamasıyla başlayarak maruziyet yönetim programınızda  neye  dahil olacağınızı ve nerelere odaklanacağınızı belirleyin:

• Cybersecurity’nin doğrudan etkileyebileceği en büyük iş risklerimiz nelerdir?
• Hangi ortam (yerel, bulut, IT/OT, iştirakler…) ve varlık türleri (kronjuveler, uç birimler, kimlik sistemleri, veri depoları…) dikkat alanında?
• Bu envanterin doğru bir görüntüsüne sahip miyiz?
• Sektörümüz ve teknoloji yığınımız için en alakalı tehdit aktörleri ve saldırı yöntemleri nelerdir?
• Var olan tehdit istihbaratı ve olay verilerini kapsamı daraltmak için nasıl dahil edeceğiz?
• Kritik maruziyeti nasıl tanımlayacağız (istismar edilebilirlik, iş etkisi, veri hassasiyeti vb.)?
• Bugün araçlar, insanlar, süreçler ve araçları doğrulama kapasitemiz nedir?
• Bu kapsamda sorunları düzeltme kapasitemiz nedir (insanlar, araçlar, SLA’lar)?

Bu sorular, yönetilebilir bir CTEM kapsamı tanımlamanıza yardımcı olur ve hedeflerinizle uyumlu bir uygulama sağlar.

Sonuç

CTEM, önemli soruları yanıtladığında işe yarar:
– Ne bizi zarara uğratabilir?
– Bu nasıl olabilir?
– Bunu durdurabilir miyiz?

Okuyuculara tavsiyemiz, sistemlerinin güvenliğini artırmak için düzenli güncellemeler yapmaları, maruziyetlerini takip etmeleri ve CTEM yaklaşımlarını uygulamalarıdır. Unutmayın, savunmalarınızı güçlendirmek için sürekli bir süreç gereklidir.

Dijital Güvenliğin Yeni Yüzü: Sürekli Tehdit Maruziyeti Yönetimi (CTEM)

Günümüzde siber güvenlik birimi, sürekli bir tehdit akışıyla karşı karşıyadır. Gelişmiş siber güvenlik sistemleri, her gün yeni vulnerabiliteler ile yüzleşmektedir. Ancak, bu sistemlerin pek çoğu her tehdidi anlamakta yetersiz kalıyor. Bunun sebebi, tüm bulgu ve uyarıların hantal bir biçimde ele alınmasından kaynaklanıyor. Her gün birçok güvenlik aracı, binlerce bulgu üretiyor. Bu durum, güvenlik ekiplerinin gerçek tehditleri tespit etmesini engelliyor. Gartner‘ın tanımladığı gibi, bu noktada “Sürekli Tehdit Maruziyeti Yönetimi” (CTEM) konsepti devreye giriyor.

Geleneksel Zafiyet Yönetiminin Sorunları

Geleneksel zafiyet yönetimi, zafiyetleri bulma, sıralama yapma ve düzeltme temeli üzerine inşa edilmiştir. Ancak, her yıl 40,000’den fazla Ortak Zafiyet ve Açıklama (CVE) meydana geliyor. Bunların %61’i “kritik” olarak etiketleniyor. Oysa bu etiketler, gerçek tehditlerin nerede olduğunu belirtmekten ziyade, paniğe yol açıyor. Sonuç olarak, güvenlik ekipleri bazen hayali tehditlerle ilgilenmek durumunda kalıyor.

Geleneksel yöntemler, tüm zafiyetleri eşit şekilde acil olarak gösteriyor. Ancak birçok zafiyet, doğrudan bir saldırıya maruz bırakacak kadar tehlikeli değildir. Bunun sonucunda, güvenlik ekipleri zamanlarını boşa harcamaktadır. Gerçek risk senaryolarını hesaba kattığımızda, aslında %10’unun gerçekten kritik olduğunu görüyoruz. Yani, %84’lük bir kısım alarm durumu, gereksiz bir aciliyet yaratıyor.

Sürekli Tehdit Maruziyeti Yönetimi (CTEM)

CTEM, bu karmaşanın sona ermesini amaçlıyor. Teorik olarak kritik bulunan zafiyetleri düzeltmek yerine, iş etkisine dayanarak önceliklendirme yapıyor. Bu iki aşama, herhangi bir güvenlik programının kalbinde yer alıyor:

1. Önceliklendirme: Zafiyetleri, iş üzerindeki gerçek etkilerine göre sıralar.

2. Doğrulama: Bu önceliklendirilmiş zafiyetleri, belirli bir ortamda saldırganların gerçekten kullanıp kullanamayacağı açısından test eder.

Bu iki aşama bir aradayken etkili olur. Her biri tek başına kullanıldığında yetersizdir. Bu sayede, varsayımlar eyleme dönüştürülerek, sonsuz listeler daha iyi bir şekilde yönetilir hale geliyor.

Doğrulamayı Otomatikleştirme: Adversarial Exposure Validation (AEV) Teknolojileri

CTEM, doğrulamayı zorunlu kılar, fakat bu süreç, Adversarial Exposure Validation (AEV) teknolojileri ile destekleniyor. Bu teknolojiler, gereksiz önceliklendirilmiş listelerden sıyrılarak, hangi zafiyetlerin aslında saldırganlar için kapıyı açacağını ispatlayabiliyor.

AEV teknolojilerini yönlendiren iki ana araç şunlardır:

1. İhlal ve Saldırı Simülasyonu (BAS): Güvenlik kontrollerinizin ne derece etkili olduğunu sürekli olarak test eder. Saldırgan tekniklerini, izlenimlerini güvenli bir ortamda simüle eder.

2. Otomatik Penetrasyon Testi: Gerçek bir saldırganın kullandığı şekilde zafiyetleri ve yanlış yapılandırmaları bağlayarak, karmaşık saldırı yollarını ortaya çıkarır.

Bu iki teknoloji, güvenlik ekiplerine saldırganın perspektifini büyük ölçekle sunar. Bu sayede, yalnızca tehlikeli görülen tehditlerin değil, aynı zamanda gerçekten savunulabilir olanların da belirlenmesi sağlanır.

Gerçek Hayattan Bir Örnek: Log4j Zafiyetinin Doğrulanması

Log4j zafiyeti ortaya çıktığında, geleneksel sistemlerin tamamı alarm vermeye başladı. Ancak, Adversarial Exposure Validation süreci devreye girdiğinde, durum daha net bir şekilde ortaya kondu. Her durumda hemen bir çözüm bulma düşüncesi yerine, analiz edilen bulgular, hangi Log4j instance’larının gerçekten risk oluşturduğuna ve hangilerinin acil müdahale gerektirmediğine dair daha derin bir anlayış sağladı.

Hızla bu sistemin nasıl bir tehdit oluşturduğunu değerlendiren güvenlik ekipleri, bir dizi kontrol ve yapılandırmalarını gözden geçirerek risk puanlarını yeniden belirleyebildi. Bu dönüşüm sayesinde, kaynakların doğru bir şekilde dağıtılması ve tehditlerin daha etkili bir şekilde yönetilmesi mümkün hale geldi.

Sonuç olarak, günümüzün siber güvenlik ortamı, sürekli değişen tehditler ve zafiyetler ile doluyken, CTEM ve AEV teknolojileri gibi yenilikçi çözümlerle etkinliğin artırılması kritik bir gereklilik haline gelmiştir. Gelecekte bu tür çözümler, siber güvenlik alanında önemli ilerlemeler kaydetmeye devam edecektir.

Güncel Siber Güvenlik Haberleri – 1

Uygulama güvenliği alanında yaşanan zorluklar

Uygulama güvenliği, teknolojinin gelişmesiyle birlikte daha karmaşık hale gelmiştir. Özellikle son yıllarda karşılaşılan zorluklar, güvenlik ekiplerinin verimliliğini etkileyen önemli faktörler haline gelmiştir. Alarm yorgunluğu, bu durumun en belirgin belirtilerinden biridir. Uygulama güvenliği ekipleri, sürekli olarak artan sayıda alarm bildirimi ile karşı karşıya kalmakta ve genellikle bu bildirimlerin çoğu gereksiz olmaktadır. OX Security’ye göre, %95-98 oranındaki uygulama güvenliği alarmlarının eylem gerektirmediği tespit edilmiştir. Bu durum, ekiplerin dikkati dağılırken gerçek tehditleri göz ardı etmelerine neden olmaktadır.

Alarm yorgunluğu nedir?

Alarm yorgunluğu, sürekli ve tekrarlayan uyarıların güvenlik ekipleri üzerinde yarattığı tükenmişliği ifade eder. Ekipler, gerçek tehditleri belirlemek için çok fazla zaman harcamakta ancak çoğu alarm gereksiz olduğu için etki alanları zayıflamaktadır. Bu çerçevede, güvenlik araçları, geliştiricilerle olan ilişkileri de zedelemekte ve yenilikçiliğe engel olmaktadır.

Uygulama güvenliği ekiplerinin karşılaştığı sorunlar

Günümüz uygulama güvenliği ekipleri, alarmların çoğunu ele almakta zorluk yaşarken, gerçekte dikkate alınması gereken sorunları gözden kaçırmaktadır. Bu, güvenlik bütçelerinin boşa harcanmasına ve ekiplerin moralinin düşmesine neden olmaktadır. Uygulama güvenliği alanında 2025’e yönelik yapılan raporlar, bu durumu net bir şekilde gözler önüne sermektedir.

2025 Uygulama Güvenliği Raporu sonuçları

OX Security’nin 2025 Uygulama Güvenliği Benchmark Raporu, 101 milyondan fazla güvenlik bulgusu üzerinde yapılan bir araştırmayı içermektedir. Bu rapor, pek çok güvenlik konusunun yanı sıra, ekiplerin dikkate alması gereken temel belirsizlikleri açığa çıkarmaktadır. Ortalama olarak bir organizasyondaki 570,000 alarmla karşı karşıya kalan ekipler, sadece 202’sinin gerçekten kritik sorunları temsil ettiğini görmüştür.

Gereksiz alarm sayısını azaltmanın yolları

Etkili bir uygulama güvenliği yaklaşımı, yalnızca alarm sayılarını azaltmakla değil, aynı zamanda gerçek kritik sorunları anlamakla da ilgilidir. Organizasyonlar, doğru ele almadıkları takdirde 2-5% oranındaki alarmların önemli olduğunu unutmamalıdır. Uygulama güvenliği ekipleri için dikkat edilmesi gereken bazı temel noktalar vardır:

1. Ulaşılabilirlik: Zayıf kod kullanılıyor mu ve erişilebilir mi?
2. Sömürülebilirlik: Sömürü koşulları bu ortamda mevcut mu?
3. İş etkisi: Buradaki bir ihlal gerçekten zarar verebilir mi?
4. Bulut-koda eşleştirme: Bu sorun SDLC’nin neresinden kaynaklanmıştır?

Bu noktaların her biri, güvenlik ekiplerinin hangi alarmların dikkate alınması gerektiğini daha iyi belirlemelerine yardımcı olabilir.

Uygulama güvenliği alanında yenilikler

Uygulama güvenliği ekiplerinin karşılaştığı sorunları aşmaları için daha kapsamlı bir önceliklendirme yaklaşımına geçmeleri gerekmektedir. Code Projection gibi yenilikçi teknolojiler, bulut ve çalışma zamanı bileşenlerini geri kod kökenine eşleştirerek bağlamsal bir anlayış sunar ve dinamik risk önceliklendirmesi sağlar. Bu tür yenilikler, ekiplerin gereksiz bildirim yığınları arasında kaybolmadan gerçek tehditlere odaklanmalarına yardımcı olmaktadır.

Uygulamalarda risk yönetimi

Son yıllarda, uygulama güvenliği alanında risk yönetimi yaklaşımı da önemli bir yere sahip olmuştur. İşletmelerin güvenlik açıklarını önceliklendirmeleri ve gerçek etkilerini anlamaları gerekmektedir. 2025’te beklenen 50,000 yeni güvenlik zafiyeti ile birlikte, etkili güvenlik triage süreçleri, hiç olmadığı kadar kritik hale gelmiştir.

Güvenlik ve geliştirme ekipleri arasındaki gerilim

Uygulama güvenliği ekiplerinin aşması gereken bir diğer önemli mesele, geliştirme ekipleri ile olan gerilimdir. Güvenlik ekipleri, bazı durumlarda gereksiz alarm ve ihlalleri zorlayarak geliştirme süreçlerini yavaşlatır. Bu durum, geliştirme ekipleri için hem zaman hem de maliyet kaybına yol açmakta ve sonuç olarak proje sonuçlarını olumsuz etkilemektedir.

Sonuç

Uygulama güvenliği alanında karşılaşılan zorluklar, ekiplerin verimliliğini önemli ölçüde azaltmaktadır. Gereksiz alarm yorgunluğu, güvenlik açıklarını göz ardı etme tehlikesini beraberinde getirmektedir. Uygulama güvenliği ekiplerinin, karmaşık uyarı sistemleri yerine daha bağlamsal bir yaklaşım benimseyerek, gerçek tehditlerle başa çıkmaları ve kaynaklarını verimli bir şekilde kullanmaları gerekmektedir. Etkili bir güvenlik stratejisi, sadece mevcut durumu düzeltmekle kalmayacak, aynı zamanda gelecekteki potansiyel riskleri de minimize edecektir.

Güncel Siber Güvenlik Haberleri – 1