Etki alanları, sunucular veya ağ bağlantılı cihaz uç noktaları gibi internete dönük varlıklar, saldırganların ilk baktığı yerlerdir ve hedefin altyapısını inceleyerek içeri girmenin uygun bir yolu olup olmadığını belirler. Harici saldırı yüzey yönetimi (EASM), güvenlik ekiplerinin bu tür güvenlik açıklarının önünde kalmasını sağlar; bu nedenle savunmaları desteklemek için bu kadar kritik hale gelir.
Ancak birçok güvenlik ekibi EASM için yalnızca Microsoft Defender’a güveniyor ve bu da yeterli olmayabilir. Güvenlik açısından en olgun kuruluşlardan bazılarının düzenli olarak ihlallere maruz kaldığını görüyoruz, bu da EASM’nin endüstriler arasında uygulanma biçiminde bazı boşluklar olduğunu gösteriyor.
EASM Kör Noktaları Nasıl Giriş Noktası Haline Geliyor?
Saldırganlar, Shodan, Censys gibi güçlü ve yaygın olarak bulunabilen tarayıcılar veya özel yapım tarayıcılar sayesinde, açığa çıkan varlıkları tespit etmek için her zaman interneti araştırıyor. Açık bir bağlantı noktası veya yanlış yapılandırılmış bir sunucu kadar basit bir şey, onlara bir hizmetin aktif ve potansiyel olarak istismar edilebilir olduğuna dair sinyal verebilir.
Daha hedefli saldırılarda, kötü niyetli bir aktör, hedefin tüm dış ayak izinin haritasını çıkarmak için birden fazla kaynaktan gelen verileri ilişkilendirebilir. Bu, GitHub’da sızdırılan sırlarla birlikte açığa çıkan yönetici panellerini veya kimlik doğrulamasının zayıf veya eksik olduğu açık API’leri içerebilir.
Günümüzde dijital ayak izlerimiz çok geniş olduğundan, tüm varlıklarda görünürlüğü ve kontrolü sürdürme konusunda gerçek bir zorluk var. En güçlü şirketler bile mücadele ediyor. Bulut altyapı hizmetlerinin lider sağlayıcısı Oracle, 2025 baharında milyonlarca müşteri kaydını açığa çıkaran bir ihlale maruz kaldı.
Bunun nedeni, saldırganların yanlara doğru hareket etmeden önce ilk erişim elde etmek ve diğer güvenlik açıklarını belirlemek için kullandıkları, yönetilmeyen tek bir alt alan adıydı.
En Yaygın EASM Kör Noktaları
EASM’ye ne kadar önem verilirse verilsin, ifşalar yine de gerçekleşebilir ve gerçekleşmektedir. İşyerinde çok fazla dinamik var. Belki de en bariz olanı, gölge BT’nin yayılmasını önemli ölçüde hızlandıran uzaktan çalışma politikalarının yükselişidir.
Çalışanlar artık iş için sıklıkla kendi cihazlarını kullanıyor; buna şirketin BT ekibinin hakkında hiçbir fikrinin olmadığı yüklü uygulamalar veya hizmetler de dahil. EASM envanterine entegrasyon olmadan bu tür varlıklar savunmacılar için büyük bir kör nokta, saldırganlar için ise büyük bir fırsattır.
Eski altyapı da başka bir kör noktadır. Eski sunucular, etki alanları veya hazırlama ortamları düzenli olarak amaçlarını aşıyor. Kullanılmasalar bile çevrimiçi ve yamasız kalırlar. Güvenlik güncellemeleri veya uygun yapılandırma yönetimi olmadan bunlar en kolay hedeflerdir.
İşletmeler birbirine çok bağlı olduğundan üçüncü taraf riski de başka bir boşluktur. Kuruluşların, ilişkiye başlamadan önce herhangi bir ilk durum tespiti dışında, ortaklarının altyapılarını nasıl güvence altına aldıkları ve yönettikleri üzerinde çok az kontrolü vardır.
Bu kadar çok olası risk söz konusu olduğunda, bunları tanımlamak için tek bir araca güvenmek riski artırır. Çoğu şirket yalnızca harika bir araç olan Defender’ı kullanıyor ancak aynı zamanda internete yönelik tüm varlıkların muhasebeleştirildiği konusunda yanlış güven veriyor.
Yapay Zeka Kapatır mı Yoksa Daha Fazla Kör Nokta Oluşturur mu?
EASM ve genel olarak siber güvenlikle ilgili büyük bir konu, yapay zekanın etkisi ve saldırganlara ve savunuculara nasıl yardımcı olduğudur.
Saldırı tarafında yapay zeka, saldırganların istismar komut dosyaları oluşturarak veya halka açık çok miktarda veriyi analiz ederek keşifleri otomatikleştirmesini biraz daha kolaylaştırdı. Rakiplerin elde ettiği en büyük avantaj hızdır; bu, bir yama yüklemesinin bir gün kaçırılmasının bir güvenlik olayına dönüşebileceği durumlarda çok önemlidir.
Savunmacılar için de faydalar aynı derecede önemlidir. Modern EASM platformları varlık keşfini geliştirmek, verileri ortam genelinde ilişkilendirmek ve bulguları varlık kritikliği ve kullanılabilirliğine göre önceliklendirmek için yapay zekadan yararlanır.
Yani bu iki ucu keskin bir kılıçtır ve her iki taraf da sürekli olarak uyum sağladığı için yapay zekanın her iki taraf için de anlamlı bir avantaj yaratması pek olası değildir.
Harici Saldırı Yüzey Yönetiminizi Güçlendirme
Zaten EASM’yi uyguluyorsanız, birkaç küçük ayarlamanın dış etkenlere maruz kalmanın azaltılmasında büyük etkisi olabilir.
Tarama sıklığı çok önemlidir. Rakipler altyapınızı yalnızca üç ayda bir taramazlar, siz de taramamalısınız. Tarama; etki alanları, uç noktalar, IP’ler ve bulut örnekleri genelinde otomatik keşifle sürekli olmalıdır. Keşfedilen eski veya kullanılmayan altyapılar kaldırılmalıdır.
Taramanın genişliğini artırmak için Defender’ın üzerine ek bir EASM katmanı uygulamayı düşünün. Özellikle yönetilmeyen SaaS uygulamalarını, harici bulut sağlayıcılarını ve üçüncü taraf ilişkilerini çevreleyen doğrulama ve iyileştirme yeteneklerini birleştirmek önemlidir.
EASM yığınınız düzene girdikten sonra onu SIEM, SOAR, DRPS ve biletleme iş akışlarınızla entegre etmek en iyisidir. Bu şekilde, güvenlik ekipleri harici risk bulgularını kolayca analiz edebilir ve risk düzeylerine göre önceliklendirilmiş gerekli düzeltmeleri uygulayabilir.
Son Düşünceler
Güvenlik programınızın etkinliği neyi görebildiğinize bağlıdır, ancak daha çok neyi göremediğinize bağlıdır. EASM, açıkları saldırganlardan önce ortaya çıkarmak için en değerli araçlardan biri haline geldi. Ama bu sihirli bir değnek değil. Görünürlüğün, bağlamın veya sahipliğin bozulduğu yerlerde kör noktalar her zaman mevcut olacaktır.