Sürekli Saldırı Güvenliği Testi: Zafiyet Yönetiminde Yeni Dönem Yazılım

Sürekli Saldırı Güvenliği Testi: Zafiyet Yönetiminde Yeni Dönem

Gartner, sürekli saldırı güvenliği testi (COST) ile zafiyet yönetiminde devrim öneriyor: Takvim bazlı testler yerine değişiklik tetikli doğrulama.

Geleneksel penetrasyon testleri, bir zafiyeti bulmak için değil, bulunan zafiyetle ilgili karar vermek için zorlanır. Yama mı yapılmalı, hafifletilmeli mi, izlenmeli mi yoksa kabul mü edilmeli? Üstelik bu kararın yarın da geçerli olacağına güvenmek gerekir. Oysa ortam sürekli değişir, kontroller kayar, yeni saldırı teknikleri ortaya çıkar ve test raporu artık var olmayan bir ağı anlatır. İşte Gartner'ın yeni araştırması 'How to Implement a Continuous Offensive Security Testing Program' (Sürekli Saldırı Güvenliği Testi Programı Nasıl Uygulanır) bu karar boşluğunu kapatmayı hedefliyor.

Periyodik testlerin artık yetersiz kalmasının temel nedeni, yapay zekanın saldırı hızını inanılmaz boyutlara taşıması. 'Mythos eşiği' olarak adlandırılan noktada, AI modelleri zafiyetleri otonom olarak keşfedip silah haline getirebiliyor. Sonuç: Bir zafiyetin kamuya duyurulması ile saldırgan tarafından kullanılması arasındaki süre haftalardan saatlere düştü. Zero Day Clock verilerine göre 2026'da ortalama süre 10 saatin altında, iki yıl önce ise 53 gündü. 2025'te 49.183 yeni CVE yayınlandı (günde 135), bunların yalnızca %0,5'i yamalandı. Bu hızda, üç aylık test sonuçları raporlanmadan güncelliğini yitiriyor.

Gartner'ın COST çerçevesi üç temel üzerine kurulu: İlk olarak, doğrulama takvimle değil değişiklikle tetiklenir. Risk seviyesine göre tetikleyiciler (yeni internete açık varlık, sıfır gün uyarısı, kritik kontrol güncellemesi, kod commiti) belirlenir ve her biri bir aciliyet ve tamamlama süresine bağlanır. İkinci olarak, sürekli bir algılama katmanı (birleşik zafiyet, saldırı yüzeyi, tehdit istihbaratı ve kontrol sinyalleri) ile anlamlı değişiklikler gürültüden ayrıştırılır. Üçüncü olarak, tek bir yöntem tüm işi kapsamaz; Gartner, penetrasyon testi, kontrol doğrulama, red team, bug bounty ve düşmanca zafiyet doğrulama (AEV) gibi yöntemleri koordine etmeyi öneriyor.

Önemli Gelişmeler

Önemli bir nokta: Hiçbir yöntem tüm varlıkları kapsayamaz. Otonom penetrasyon testi, canlı sömürü zinciri çalıştırabildiği yerde en güçlü kanıtı sunar, ancak kritik sistemler, kısıtlı ağlar ve hava boşluklu segmentlerde kullanılamaz. Tipik bir kuruluşta güvenle test edilebilir kısım zafiyetlerin yalnızca %10-15'idir. Geri kalan %85-90 için TTP zinciri doğrulaması gerekir: Bir zafiyeti zincirindeki her bir tekniğe ayırıp (EDR politikası, hardening, LSASS koruması, beyaz listeleme, güvenlik duvarı) kontrol ederek, 'bu zafiyet bu ortamda istismar edilebilir mi?' sorusunu kanıtlarla yanıtlamak mümkün. Gartner, 2028'e kadar kurumların %60'ının yıllık test döngüsünü tamamen bırakıp sürekli doğrulamaya geçeceğini öngörüyor.

Paylaş: