Saldırı Yüzeyi Yönetimi (ASM): Görünmeyen Riskleri Bulma

Özet: ASM (Attack Surface Management — Saldırı Yüzeyi Yönetimi), bir kurumun internete açık tüm varlıklarının (alan adı, alt alan, IP, port, servis, bulut hesabı, SaaS hesabı) sürekli olarak haritalandırılması ve risklerin önceliklendirilmesi disiplinidir. KOBİ'lerde "neyimiz var bilmiyoruz" sorunu yaygın: 5 yıl önce kurulup unutulmuş bir test sunucusu, eski geliştiricinin açtığı bir Cloudflare alt alanı, departmanın izinsiz aldığı SaaS aboneliği — bunların her biri saldırı vektörüdür. ASM bu bilinmezleri görünür hale getirir.

KOBİ'de bilinmeyen bir varlık olan saldırı için en cezbedicidir. IT ekibi mevcut sunucuları, web sitesini, e-posta sunucusunu yamalar — ama 2019'da bir geliştiricinin testler için açtığı dev-old.firma.com.tr aktif. Üzerinde unutulmuş bir WordPress, yamalanmamış, internete açık. Saldırgan tarama sonrası bu varlığı sizden önce buluyor; kuruma sızmak için ideal başlangıç noktası oluyor.

Bu yazıda ASM kavramını, KOBİ ölçeğinde dış saldırı yüzeyini nasıl haritalandıracağınızı ve "shadow IT" sorununu nasıl yönetebileceğinizi ele alıyoruz. Hedef kitlemiz IT sorumluları, güvenlik yöneticileri ve "elimizdekini biliyoruz mu?" sorusunu sorgulamak isteyen karar vericiler.

Saldırı Yüzeyi Nedir, Neyleri Kapsar?

Saldırı yüzeyi, bir saldırganın kuruma girmek için potansiyel olarak kullanabileceği tüm noktaların toplamıdır.

Dış Saldırı Yüzeyi Bileşenleri

Kategori	Örnek
Alan adları	firma.com.tr, blog.firma.com.tr
Alt alanlar (subdomain)	api., dev., staging., admin., vpn.
IP adresleri	Statik internet IP'leri
Açık portlar	22 (SSH), 80/443 (web), 3389 (RDP), 1433 (SQL)
Web uygulamaları	WordPress, kurum sitesi, müşteri portalı
API uç noktaları	REST/GraphQL endpoint'leri
Bulut hesapları	AWS, Azure, GCP, Cloudflare
SaaS abonelikleri	M365, Google, Salesforce, vb.
Sertifikalar	TLS sertifika geçmişi
Kod sızıntıları	GitHub'a yanlışlıkla atılmış kimlik bilgisi
DNS kayıtları	TXT, MX, SPF
E-posta hesapları	Genel info@, bilgi@ adreslerinden ele geçirilebilir
Üçüncü parti entegrasyonlar	OAuth bağlı uygulamalar

Görünür ve Görünmez Saldırı Yüzeyi

• Görünür: IT'nin bildiği, dökümanlanmış varlıklar
• Görünmez (Shadow IT): İzinsiz açılmış, unutulmuş, eski varlıklar — saldırının favorisi

ASM'in büyük değeri görünmez bölümü görünür yapmadır.

Neden Görünmeyen Varlık Birikiyor?

Modern KOBİ'de varlık birikimi şu nedenlerle oluşur:

1. Tarihsel Eklemeler

• 2018'de kurulan test sunucusu, 2024'te hâlâ ayakta
• Eski geliştirici personelin açtığı geçici alt alan
• Kapatılması unutulan staging ortamı

2. Departman Bağımsızlığı

• Pazarlama: kendi blog için ayrı domain
• Satış: izinsiz Salesforce aboneliği
• HR: kendi başına Workday açtı
• Geliştirme: GitHub organizasyonu

IT haberdar değil — üç ay sonra "neredeyiz?" sorusu cevapsız.

3. Bulut Deneyselliği

• Bir geliştirici "denemek için" AWS hesabı açtı
• Üzerinde unutulmuş bir RDS DB
• Public S3 bucket içinde müşteri verisi

4. M&A ve Devralma

• Şirket başka şirketle birleşti, yeni domain ve varlıklar geldi
• Eski şirketin varlıkları envantere girmedi

5. SaaS Çoğalması

• 30 farklı SaaS aboneliği
• IT yarısını biliyor, yarısı kart sahibi çalışanların kişisel hesabı

ASM Süreci — Beş Aşama

Olgun bir ASM stratejisi beş aşamalı işler.

1. Discovery — Keşif

Bilinen ve bilinmeyen varlıkların tümünü ortaya çıkar:

• DNS taraması (subdomain enumeration)
• IP CIDR aralığı taraması
• Sertifika şeffaflık günlüklerinden (CT logs) alt alan keşfi
• Cloud hesap envanteri
• SaaS bağlantı kontrolü
• GitHub/GitLab kod sızıntısı taraması

2. Identification — Tanımlama

Keşfedilen her varlık için:

• Hangi servis çalışıyor? (HTTP, SSH, vb.)
• Kim sahip? (departman, kişi)
• Ne işe yarıyor? (hâlâ kullanılıyor mu?)
• Ne kadar zamandır var?

3. Risk Assessment — Risk Değerlendirme

Her varlığın taşıdığı risk:

• Yamalanmış mı? Hangi version?
• Bilinen zafiyet (CVE) var mı?
• Kimlik bilgisi gerektirmiyor mu?
• Hassas veri açıkta mı?
• DoS/Brute-force'a açık mı?

4. Prioritization — Önceliklendirme

Risk × değer matrisi ile aksiyona dökme:

• Yüksek risk + yüksek değer = derhal aksiyon
• Yüksek risk + düşük değer = kapatma değerlendir
• Düşük risk = izleme listesinde tut

5. Remediation — Düzeltme

• Yamalama
• Kapama (eğer kullanılmıyorsa)
• Sertleştirme (sıkı yapılandırma)
• Gizleme (firewall arkasına alma)

Bu döngü sürekli çalışır — ASM bir kerelik proje değil, sürekli operasyondur.

ASM Çözümleri Pazarı

KOBİ ölçeğinde değerlendirilebilecek araçlar:

Çözüm	Tip	KOBİ Uygunluğu
Censys ASM	Ticari ASM	Orta-büyük KOBİ
Microsoft Defender EASM	Bulut ASM	M365 + Azure varsa entegre
Palo Alto Cortex Xpanse	Enterprise ASM	Üst KOBİ
Detectify	Web odaklı ASM	Web ağırlıklı KOBİ
Intrigue.io / Project Discovery (open source)	Açık kaynak	Teknik ekip varsa
Recon-ng / Amass / Subfinder	Manuel araçlar	DIY, ücretsiz
Shodan / BinaryEdge	Tarama / araştırma	Düşük maliyet, manuel
Snallygaster	Web yapılandırma sızıntı	Açık kaynak

KOBİ için iki yol: (1) ticari ASM aboneliği (kurulum-bakım az, maliyet aylık 200-2000 USD), (2) açık kaynak araçlarla manuel periyodik tarama.

DIY ASM — KOBİ İçin Düşük Maliyetli Yol

Tam ASM yatırımı henüz uygun değilse, ücretsiz/düşük maliyetli adımlarla başlangıç yapılabilir.

Subdomain Enumeration

amass enum -d firma.com.tr
subfinder -d firma.com.tr
assetfinder firma.com.tr

Bu komutlar pasif (DNS kaynaklarından) ve aktif (brute force) yöntemlerle alt alanları çıkarır.

Sertifika Şeffaflık (CT Logs)

crt.sh gibi servisler bir domain için verilmiş tüm SSL sertifikalarını listeler — gizli alt alanların ifşası.

curl "https://crt.sh/?q=%.firma.com.tr&output=json"

Shodan Sorgusu

Shodan, internete açık servisleri tarar. Kuruma ait IP/domain'leri sorgulayarak hangi servislerin görünür olduğunu öğrenirsiniz.

hostname:firma.com.tr
ssl:"Firma A.S."

Port Tarama

Sahip olunan IP CIDR'da Nmap taraması:

nmap -sV -sC -p- -T4 X.X.X.X/24

Hangi portlar açık, hangi servis çalışıyor öğrenilir.

GitHub/GitLab Sızıntı Taraması

Trufflehog, gitleaks gibi araçlarla şirket repo'larını tarama — kod içinde unutulmuş şifre, API anahtarı tespiti.

Bu Adımları Aylık Tekrar Et

DIY ASM'in temel kuralı: bir kerelik tarama yetmez. Aylık veya çeyrek dönem otomatize edilmeli; yeni varlıklar erken yakalanmalı.

Saldırı Yüzeyini Daraltma — Hijyen Önerileri

ASM keşif yaptıktan sonra ne yapacaksınız? İşte saldırı yüzeyini küçültmek için tipik aksiyonlar:

1. Kullanılmayan Varlıkları Kapat

• Eski test sunucusu? Kapat.
• Eski staging? Kapat veya VPN arkasına al.
• Eski yazılım sürümü çalışan eski blog? Sil veya yenile.

2. Default ve Genel Açılan Portları Kapa

• 22 (SSH) doğrudan internete açık olmamalı — VPN arkasına al
• 3389 (RDP) asla internette olmamalı
• 1433/3306/5432 (DB portları) asla internette
• Yönetim arayüzleri (örnek: 8080/admin, 10000/Webmin) ya VPN arkasında ya whitelist

3. Önemsiz Hassas Bilgi Sızıntılarını Kapat

• HTTP header'larda kullanılan teknoloji sürümü gizle
• robots.txt içinde admin paneli ifşa edilmiş mi?
• Hata sayfalarında stack trace gösterimi kapalı

4. Sertifika Yönetimi

• Eski sertifikalar yenilenmiş mi?
• Wildcard sertifika kullanımı kontrollü mü?
• Sertifika şeffaflık günlüklerine sızmış alt alan var mı?

5. Bulut Hesap Hijyeni

• Public S3 bucket var mı?
• Açık güvenlik grup kuralları (0.0.0.0/0)?
• Eski IAM hesapları kapatılmış mı?
• Erişim logları kayıt altında mı?

Shadow IT Yönetimi

Shadow IT — IT'nin bilmediği teknoloji kullanımı — ASM'in en zorlu parçasıdır.

Tespit Yolları

• Kurum kart hesap dökümleri (SaaS abonelikleri)
• DNS log analizi (hangi domain'lere bağlanılıyor)
• CASB (Cloud Access Security Broker) çözümleri
• Düzenli çalışan anketleri
• Microsoft Cloud App Discovery (M365 varsa)

Yönetim Stratejisi

• "Yasak" yerine "rehberlik": çalışanların hangi araçları seçebileceğini netleştir
• Onaylı SaaS kataloğu ve hızlı onay süreci
• IT'ye uğraşmadan da güvenli SaaS aboneliği yapabilme akışı
• Periyodik denetim — tüm SaaS hesapları haritada mı?

Yamanlar Bilişim Olarak Sunduğumuz Hizmetler

KOBİ ölçeğinde ASM destek alanlarımız:

• Mevcut dış saldırı yüzeyi keşif raporu
• Subdomain enumeration ve hassas servis tespiti
• Cloud hesap envanteri ve hijyen denetimi
• SaaS abonelik haritası
• ASM çözüm seçim danışmanlığı (ticari vs DIY)
• Düzenli (aylık/çeyrek) ASM raporlama
• Shadow IT yönetim politikası tasarımı
• Yıllık saldırı yüzeyi denetimi

Sıkça Sorulan Sorular

Sonuç

Saldırı Yüzeyi Yönetimi; KOBİ'de "elimizdekini biliyor muyuz?" sorusunun ölçülebilir cevabıdır. İlk taramada genelde ortaya çıkan görünmeyen varlıklar, yaklaşan bir saldırı için zaten saldırgan tarafından bulunmuş olabilir; ASM sayesinde sizden önce bulanın savunma tarafı olduğundan emin olursunuz. Tam ticari ASM yatırımı yapılamasa bile DIY açık kaynak araçlarla aylık tekrarlanan keşif KOBİ ölçeğinde gerçekçi ve etkili bir başlangıçtır.

Yamanlar Bilişim olarak ölçeğinize uygun, ister tek seferlik ister sürekli ASM hizmetleri sunuyor; "görünmeyen riski" görünür kılarak savunma tarafının haritasını sizin lehinize çiziyoruz.