Güvenlik açıklarını tespit etmek hiçbir zaman asıl sorun olmadı; asıl zorluk, bu açıklarla ne yapılacağına karar vermekti: yamalamak, hafifletmek, izlemek veya kabul etmek. Ve bu kararın yarın da geçerli olacağına güvenmek… Geleneksel bir sızma testi, yalnızca çalıştırıldığı gün için bu soruyu yanıtlar, ardından sessizce geçerliliğini yitirir. Ortam değişir, bir kontrol zayıflar, yeni bir saldırı tekniği ortaya çıkar ve rapor, artık var olmayan bir ağı tanımlar hale gelir. İşte güvenlik ekiplerinin hâlâ mücadele ettiği boşluk budur: bir açığı bulmakla, o açık hakkında verdiğiniz karara güvenmek arasındaki uçurum. Gartner’ın yeni araştırması da tam olarak bu boşluğu kapatmayı hedefliyor.
Gartner, Sürekli Ofansif Güvenlik Testi (COST) programının nasıl uygulanacağını anlattığı çalışmasında, takvim bazlı sızma testlerinin modern ortam ve tehditlerin hızına ayak uyduramayacak kadar yavaş kaldığını savunuyor. Çözüm, periyodik değerlendirmelerden sürekli, tetikleyici odaklı doğrulamaya geçiş: yani ekiplerinizin zaten yürüttüğü iş akışlarına entegre edilmiş bir model. Eski modelin mekaniği yanlış değildi; daha basit zamanlar ve daha yavaş düşmanlar için inşa edilmişti. Ancak yapay zeka, güvenlik açıklarının keşfedilmesi ve silah haline getirilmesini otonom hale getirerek bu modeli tamamen kırdı. Artık bir güvenlik açığının kamuya duyurulması ile saldırgan tarafından kullanılması arasındaki süre haftalardan saatlere düştü. Zero Day Clock verilerine göre, 2026 için ortalama süre 10 saatin altına inmiş durumda ve bu süre iki yıl önce yaklaşık 53 gündü. Sadece 2025'te 49.183 yeni CVE yayınlandı (günde yaklaşık 135), bu da yıllık %40 artış anlamına geliyor ve bunların %0,5'inden azı yamalanabiliyor. Bu durumda, üç aylık sızma testi sonuçlarınızın raporlanmadan önce bile güncelliğini yitirdiğini görmek hiç de zor değil.
Gartner’ın COST çerçevesi üç temel ayak üzerine kurulu. İlk olarak, doğrulama takvim yerine değişiklik tarafından tetiklenir: risk seviyesine göre belirlenen tetikleyiciler (yeni bir internet erişimli varlık, sıfırıncı gün uyarısı, kritik bir kontrol güncellemesi, kod taahhüdü) her biri bir aciliyet ve tamamlama süresine eşlenir. Böylece yüksek riskli değişiklik saatler içinde, rutin değişiklik ise bir sonraki döngüde doğrulanır. İkinci olarak, sürekli bir algılama katmanı üzerinde çalışır: maruziyet, saldırı yüzeyi, tehdit istihbaratı ve kontrol sinyallerinin birleşik bir görünümü, maddi değişiklikleri gürültüden ayırır. Üçüncü olarak, hiçbir tek yöntem tüm işi kapsamaz; bu nedenle araçları koordine etmek, bağımsız araçlar eklemekten daha iyidir. Gartner, sızma testi, kontrol doğrulama, kırmızı takım, hata ödülü ve saldırı ve sızma simülasyonunu (BAAS) birleştiren düşmanca maruziyet doğrulamasını (AEV) içeren bir yöntem yelpazesi öneriyor. Ayrıca bulguların yüz sayfalık PDF'lerde kaybolmaması için doğrudan tedavi iş akışlarına beslenmesi gerektiğini vurguluyor. Gartner’a göre, 2028 yılına kadar kurumsal sızma testi programlarının %60'ından fazlası yıllık döngüyü tamamen terk edecek ve sürekli doğrulama modeline geçecek.
Sistem Güvenliği
Peki, tüm bu süreçte hangi test yöntemi ne zaman kullanılmalı? Gartner, hiçbir tek yöntemin tüm ortamda 'bu açık burada istismar edilebilir mi?' sorusunu yanıtlayamayacağını belirtiyor. En güçlü seçenek olan otonom sızma testi, canlı bir istismar zincirini erişilebilir bir varlığa karşı güvenle ateşleyebildiğinde en güçlü kanıtı sağlar. Ancak canlı istismar, çalıştırılabileceği alanlarla sınırlıdır: risk alınamayacak iş açısından kritik sistemler, kısıtlı ağlar ve hava boşluklu segmentler gerçek bir istismar patlatılamayacak alanlardır. Ayrıca birçok CVE için herhangi bir genel veya güvenli istismar bulunmayabilir. Tipik bir kuruluşta güvenle test edilebilir kısım, maruziyet resminin yaklaşık %10-15'ini oluşturur. Geri kalan %85-90 için çözüm, daha fazla patlatma değil, kontrolleri dikkate alan çıkarımdır. Bunun için Gartner, TTP zinciri doğrulamasını öneriyor: bir CVE'yi oluşturan teknikler zincirine ayırıp her bir tekniği mevcut kontrollerinize (EDR politikası, sıkılaştırma, LSASS koruması, beyaz listeleme, güvenlik duvarı) karşı ayrı ayrı test etmek. Ortamınız gerekli herhangi bir bağlantıyı kırarsa, maruziyet burada istismar edilebilir değildir ve bu yanıtı, dokunamadığınız varlıklar ve henüz silah haline getirilmemiş tehditler için kanıtlarla alırsınız. Sonuç: Güvenle fırlatabileceğiniz roketleri fırlatın, diğer her şey için bileşen parçalarını ayrı ayrı kanıtlayın.