Attack Surface Management Temelleri

ASM ile dışa açık varlıkların keşfi, haritalanması ve erken risk tespiti için ipuçları.

ASM Temelleri kapak görseli
Keşif • Haritalama • Erken Tespit

Kısaca

  • Devamlı keşif olmadan ASM olmaz; varlık görünürlüğü esastır.
  • Bulunan varlıkları envanter ve sahiplikle ilişkilendirin.
  • Riskli servisleri iş önceliklerine göre sıraya koyun, otomatik uyarı kuralları tanımlayın.

Neden ASM?

Dışa açık varlıklarınız değişkendir. ASM ile görünürlük kazanır, erken tespit ile riski azaltırsınız. SİTEY, bu verileri tek panelde birleştirir.

İpuçları

  • Keşfi düzenli otomatikleştirin
  • Varlıkları envanterle ilişkilendirin
  • Riskli servisleri işaretleyin ve önceliklendirin

Keşif Teknikleri

  • Pasif: DNS, Certificate Transparency, arama motoru dizinleri
  • Aktif: Port tarama, servis banner analizi, teknolojik parmak izi
  • Bulut: S3/GCS bucket taraması, yanlış yapılandırma kontrolü

Otomasyon Örnekleri

  • Yeni domain/subdomain keşfi → riskli port/servis taraması
  • Yeni internet-facing servis → ZY pipeline tetikleme
  • Teknoloji değiştiğinde (örn. framework major upgrade) uyarı oluşturma

İzlenecek KPI’lar

  • Gölge varlık oranı (tespit edilen/ envanterde olmayan)
  • İlk tespit süresi ve doğrulama süresi
  • Riskli servislerin kapanış süresi

ASM ve Geleneksel Zafiyet Taraması

Attack Surface Management ile geleneksel zafiyet taraması birbirinin yerine geçmez; birbirini tamamlar. Geleneksel tarama bilinen varlıklardaki bilinen zafiyetleri arar; ASM ise önce bilinmeyen varlıkları keşfeder, sonra risk değerlendirmesi yapar.

  • Kapsam farkı: Geleneksel tarama envanterdeki varlıklarla sınırlıdır. ASM, organizasyonun tüm dış yüzeyini - bilinen ve bilinmeyen - tarar. Gölge IT, unutulmuş subdomain'ler ve üçüncü taraf varlıkları yalnızca ASM ile bulunabilir.
  • Bakış açısı: Geleneksel tarama içeriden dışarıya bakar (authenticated/unauthenticated). ASM saldırgan gözüyle dışarıdan içeriye bakar ve saldırganın görebileceği yüzeyi haritalandırır.
  • Çıktı türü: Geleneksel tarama CVE ve güvenlik açığı listesi üretir. ASM, varlık envanteri, teknoloji parmak izi, sertifika bilgisi ve maruziyet skoru üretir.
  • Tamamlayıcı roller: ASM keşif sonucunda bulunan yeni varlıklar, geleneksel tarama kapsamına eklenir. Geleneksel tarama bulguları ise ASM risk skorunu besler. SİTEY platformu bu iki veri kaynağını tek panelde birleştirir.

Olgun bir siber güvenlik programında her iki yaklaşım paralel çalışmalıdır. ASM görünürlüğü sağlar; zafiyet yönetimi derinlemesine analiz ve düzeltme sağlar.

Dışa Açık Varlık Keşfi

ASM'nin ilk ve en kritik adımı, organizasyonun tüm dışa açık varlıklarını keşfetmektir. Bu süreç, birden fazla veri kaynağının paralel kullanımını gerektirir:

  • Pasif DNS analizi: Tarihsel DNS kayıtlarını inceleyerek bir domain'e bağlı tüm subdomain'leri, IP adreslerini ve MX/TXT kayıtlarını tespit edin. SecurityTrails, PassiveTotal ve VirusTotal gibi kaynaklar kullanılır.
  • Certificate Transparency (CT) logları: Herkese açık CT loglarından organizasyonun domain'ine verilen tüm SSL/TLS sertifikaları toplanır. Bu yöntem, hiçbir DNS kaydı olmayan ama sertifika alınmış gizli subdomain'leri ve servisleri ortaya çıkarır.
  • Subdomain enumeration: Brute-force ve permutasyon teknikleri ile olası subdomain adları taranarak DNS'te var olanlar tespit edilir. Subfinder, Amass ve Assetfinder gibi araçlarla otomatikleştirilir.
  • WHOIS ve IP CIDR haritalama: Organizasyonun sahip olduğu IP blokları ve WHOIS kayıtları incelenerek tüm internet-facing varlıklar haritalandırılır.
  • Arama motoru dizinleri: Google dorking, Shodan, Censys ve BinaryEdge gibi araçlarla organizasyonun dışarıdan görünür servislerini, açık portları ve teknoloji parmak izlerini tespit edin.
  • Bulut kaynak keşfi: S3 bucket, Azure Blob ve GCS container isim permutasyonları ile açık bırakılmış bulut kaynaklarını tarayın.

En etkili yaklaşım, tüm bu yöntemleri birlikte uygulayarak sonuçları korelasyon yapmasıdır. Tek başına hiçbir teknik %100 kapsam sağlayamaz.

Sürekli İzleme ve Değişiklik Tespiti

ASM tek seferlik bir keşif değil, sürekli bir izleme sürecidir. Dış saldırı yüzeyi sürekli değişir; yeni servisler eklenir, yapılandırmalar güncellenir, varlıklar kaldırılır. Bu değişiklikleri anlık tespit etmek, güvenlik açığı pencerelerini minimize eder.

  • Değişiklik tespiti (Change Detection): Periyodik tarama sonuçlarını önceki snapshot ile karşılaştırarak yeni açılan portlar, değişen banner bilgileri, güncellenen sertifikalar ve eklenen DNS kayıtlarını tespit edin.
  • Yeni varlık uyarıları: Daha önce görülmeyen bir subdomain, IP adresi veya servis keşfedildiğinde anlık bildirim oluşturun. Yeni varlıklar varsayılan olarak "doğrulanmamış" statüsünde başlar ve sahiplik ataması bekler.
  • Devre dışı varlık takibi: Önceki taramalarda var olan ancak artık görünmeyen varlıkları işaretleyin. Bu varlıklar gerçekten kaldırıldı mı, yoksa geçici olarak erişilemez mi? Envanterin güncelliği için bu ayrımı doğrulayın.
  • Teknoloji versiyon izleme: Web framework, CMS, TLS versiyon ve cipher suite değişikliklerini takip edin. Eski bir TLS versiyonuna düşüş veya bilinen zafiyetli bir framework versiyonuna geçiş anlık uyarı üretmelidir.

Sürekli izleme, zafiyet yönetimi sürecini besleyen temel veri kaynağıdır. Değişiklik tespit edildiğinde otomatik tarama pipeline tetikleyerek tepki süresini dakikalara düşürün.

Saldırı Yüzeyi Puanlama

Keşfedilen varlıkların hepsine aynı önceliği vermek mümkün değildir. Saldırı yüzeyi puanlama, her dışa açık varlığa risk skoru atayarak siber güvenlik ekiplerinin önceliklendirme yapmasını sağlar.

  • Maruziyet metrikleri: Açık port sayısı, sunulan servis türleri (veritabanı direkt erişimi vs. sadece HTTPS), erişilebilirlik (internet, CDN arkası, VPN), coğrafi konum ve veri merkezi türü.
  • Teknolojik risk: Kullanılan teknolojinin bilinen zafiyet geçmişi, yama durumu, destek yaşam döngüsü (end-of-life yakınlığı) ve default konfigrasyon riskleri.
  • İş etkisi: Varlığın host ettiği uygulama veya servisin iş kritikliği. Müşteri verisi işleyen bir API gateway, statik bir pazarlama sayfasından çok daha yüksek puan alır.
  • Tarihsel bulgu yoğunluğu: Geçmiş taramalarda ve sızma testi çalışmalarında sık bulgu çıkan varlıklar daha yüksek puanlanır.
  • Ortam bağlamı: Aynı varlığın geliştirme ortamındaki kopyası ile üretim ortamındaki örneği farklı puanlanmalıdır.

Puanlama modelini organizasyona özgü ağırlıklarla kalibre edin ve çeyreklik olarak gözden geçirin. SİTEY, maruziyet ve iş etkisini otomatik hesaplayarak önceliklendirilmiş saldırı yüzeyi görünümü sunar.

ASM Araçları ve Teknolojileri

ASM ekosistemi hızla büyümektedir. Doğru araç seçimi, organizasyonun büyüklüğüne, bütçesine ve olgunluk seviyesine göre değişir.

  • Açık kaynak araçlar: Amass (OWASP projesi - subdomain enumeration), Subfinder (pasif keşif), Nuclei (template tabanlı zafiyet taraması), httpx (HTTP probing), Shodan CLI. Düşük maliyet ama entegrasyon ve otomasyon iş yükü yüksek.
  • Ticari ASM platformları: Mandiant (Google), Microsoft Defender EASM, CrowdStrike Falcon Surface, Palo Alto Cortex Xpanse. Kapsamlı keşif, otomatik puanlama ve entegrasyon API'leri sunar.
  • Hibrit yaklaşım: Açık kaynak araçlarla keşif verisini toplayıp SİTEY gibi zafiyet yönetimi platformunda konsolide edin. Bu yaklaşım maliyet/değer dengesini optimize eder.
  • API ve otomasyon: Seçilen aracın güçlü API desteği olmalıdır. CI/CD, SIEM ve SOAR entegrasyonları için REST API ve webhook desteği kritiktir.

Seçim kriterleri: Kapsam genişliği (DNS, IP, bulut, kod depoları), güncelleme sıklığı, false positive oranı, entegrasyon kapasitesi ve raporlama derinliği. Proof-of-concept (PoC) ile organizasyonel ihtiyaca uygunluğu test edin.

Bulut Ortamında ASM

Bulut ortamları, saldırı yüzeyine benzersiz zorluklar ekler. Dinamik altyapı, self-servis kaynak oluşturma ve multi-cloud mimarileri, geleneksel ASM yaklaşımlarını yetersiz bırakır.

  • Bulut özgü zorluklar: Otomatik ölçekleme ile sürekli değişen IP adresleri, geliştiricilerin onaysız açtığı kaynaklar (shadow cloud), yanlış yapılandırılmış S3 bucket/Azure Blob erişim politikaları ve identity federation karışıklıkları.
  • Multi-cloud görünürlük: AWS, Azure ve GCP ortamlarını tek bir bakış açısıyla izleyin. Her sağlayıcının native güvenlik araçları (AWS Config, Azure Defender, GCP Security Command Center) ile üçüncü parti konsolidasyonu birleştirin.
  • Serverless ve PaaS maruziyeti: Lambda, Azure Functions, Cloud Run gibi serverless servisler geleneksel port taramasıyla bulunamaz. API Gateway üzerinden dışarıya açık endpoint'leri kesfetmek için API odaklı keşif gereklidir.
  • Konteyner ve Kubernetes maruziyeti: Kubernetes Dashboard, API server, etcd gibi bileşenlerin internete açık kalma riski. Ingress controller yapılandırmalarını ve servis türlerini (LoadBalancer, NodePort) izleyin.
  • IaC ve politika tabanlı kontrol: Bulut kaynaklarını yaratılmadan önce politikalarla denetleyin (OPA/Rego, AWS SCP, Azure Policy). İnternete açık kaynak oluşturuşunu onay mekanizmasına bağlayın.

Bulut ASM'yi zafiyet yönetimi süreciyle entegre ederek keşfedilen bulut varlıklarını anlık olarak tarama kapsamına alın.

ASM ve Sızma Testi Entegrasyonu

ASM verileri, sızma testi çalışmalarının kapsamını ve etkinliğini önemli ölçüde artırır. Geleneksel yaklaşımda sızma testi kapsamı manuel olarak belirlenir; ASM ile bu süreç veri odaklı hâle gelir.

  • Kapsam besleme: ASM ile keşfedilen dışa açık varlıklar otomatik olarak sızma testi kapsam listesine eklenir. Test ekibi, güncel ve kapsamlı bir varlık listesiyle başlar.
  • Önceliklendirme: ASM risk puanlaması, sızma testi ekibinin zamanını en riskli varlıklara yoğunlaştırmasını sağlar. Yüksek maruziyet skorlu varlıklar öncelikli test edilir.
  • Sürekli doğrulama: Yıllık veya çeyreklik periyodik sızma testleri arasında ASM verisi sürekli güncel kalır. Yeni keşfedilen varlıklar için hedefli mini-testler planlanabilir.
  • Bulgu çapraz doğrulama: Sızma testi sonuçları ile ASM otomatik tarama bulgularını karşılaştırın. ASM'nin yakalayamadığı bulgular tarayıcı kural seti geliştirme için girdi olur; sızma testinin kapsamayamadığı alanlar ise sonraki test planlarını şekillendirir.
  • Raporlama entegrasyonu: Sızma testi bulguları zafiyet yönetimi platformuna (SİTEY) aktarılarak otomatik tarama bulgularıyla birleştirilir. Tekilleştirilmiş ve bağlam zenginleştirilmiş tek bir risk görünümü oluşturulur.

ASM + sızma testi entegrasyonu, "keşfet → tara → test et → düzelt → doğrula" döngüsünü sürekli hâle getirir ve siber güvenlik duruşunuzu ölçülebilir biçimde güçlendirir.

SSS

ASM ne kadar sık çalışmalı?

Haftalık pasif keşif + kritik alanlar için günlük aktif tarama önerilir.

Bulut varlıkları nasıl yönetilir?

Bulut sağlayıcı API’leri ile envanter senkronizasyonu ve yapılandırma kontrolleri otomatikleştirilebilir.

Sahipliği bilinmeyen varlıklar?

DNS/sertifika meta verileri ve iç CMDB eşleşmesi ile ilgili ekip bulunur; bulunamazsa merkezi sahiplik kuralı atanır.

Ürünle Birlikte

SİTEY, ASM çıktısını zafiyet yönetimi sürecine aktarır. Tekilleştirme ve SLA takibi ile kapanış hızını artırır.

Kullanım Senaryoları

  • İnternet maruziyeti izlemesi: Yeni açılan servis/portların anında işaretlenmesi.
  • Domain göçleri: Eski alan adlarının gölgede kalmaması, yönlendirme ve temizleme.
  • Tedarikçi varlıkları: Üçüncü taraflara ait varlıkların görünür kılınması.

Sık Yapılan Hatalar

  • Tek seferlik keşif: Süreklilik olmadan hızla eskiyen envanter.
  • Sahiplik belirsizliği: İlgili ekip atanmamış varlıklar.
  • Öncelik yokluğu: Tüm bulguların aynı sepete konması ve yavaş aksiyon.

Adım Adım Başlangıç

  1. Alan adları ve kök domain listesini toplayın.
  2. Pasif keşif (DNS/CT) ve aktif tarama için plan oluşturun.
  3. Bulunan varlıkları CMDB/Env. ile eşleştirip sahip atayın.
  4. Riskli servisler için otomatik uyarı kuralları tanımlayın.
  5. ZY sürecine entegrasyon ve retest tetikleme kurun.

İlgili Yazılar

SİTEY ile bu süreçleri tek platformda otomatikleştirin.

Sınırsız Demo İndir Platformu İnceleyin