Eresus Guard ile Kanıt Temelli Uygulama Güvenliği: Bulgu Listesinden Doğrulanabilir Karara
Güvenlik araçları neden çoğu zaman karar vermeyi zorlaştırır?
Uygulama güvenliği ekibi aynı hafta içinde bir DAST çıktısı, bir SAST bulgusu, bir bağımlılık uyarısı, IaC yapılandırma hatası ve sır sızıntısı alarmı ile karşılaşabilir. Araç sayısı arttıkça görünürlük artsa da karar verme her zaman kolaylaşmaz.
Asıl sorular şunlardır:
- Bu bulgu gerçekten sömürülebilir mi?
- Hangi uygulama, endpoint, depo veya dağıtım ortamı etkileniyor?
- Bulguyu kim doğruladı ve hangi kanıtla?
- Düzeltme yapıldıktan sonra riskin kapandığını nasıl göstereceğiz?
Eresus Guard, bu soruları tek bir çalışma alanında yanıtlamaya odaklanan bir uygulama güvenliği platformudur. DAST, SAST, SCA, IaC ve secrets değerlendirmelerini bir araya getirir; ajanlar planlama ve triage aşamasına yardımcı olurken, tespitler denetlenebilir kanıta bağlı kalır.
Guard'da bir araştırma bulgusu nasıl işlenir?
Eresus Guard'ın yaklaşımı, bir aracın verdiği ham sonucu doğrudan "kritik" ilan etmek değildir. Örneğin Gitea migration restore vakası gibi bir bulgu önce varlıkla ilişkilendirilir: hangi örnek, hangi sürüm, hangi servis hesabı, hangi restore iş akışı? Sonra teknik iddia kanıta ayrıştırılır: sürüm envanteri, ilgili yapılandırma, kaynak/bağımlılık bağlamı, erişim sınırı ve yeniden test sonucu aynı kayda bağlanır.
İkinci aşama önceliklendirmedir. CVSS tek başına iş sırası değildir; internet erişimi, sırların yakınlığı, işlem hesabı yetkisi, saldırı ön koşulları ve hizmet kritikliği birlikte değerlendirilir. Guard burada kararın nedenini görünür kılmayı hedefler: "yüksek" etiketi yerine hangi kanıtın hangi etki varsayımını desteklediği incelenebilir olmalıdır.
Son aşama kapatmadır. Sahip ekip düzeltmeyi uygular, aynı kapsam yeniden değerlendirilir ve önceki kanıtla karşılaştırılır. Böylece "paket güncellendi" ifadesi; çalışan sürüm, yapılandırma, yetki sınırı ve tekrar test kaydıyla desteklenebilir. Bu çalışma biçimi insan uzmanlığını veya bağımsız doğrulamayı ortadan kaldırmaz; onların kararlarını tekrar edilebilir hâle getirir.
Bulgu sayısı değil, karar kalitesi önemlidir
Bir güvenlik raporunda yüzlerce satır olabilir. Ancak yönetim için önemli olan yalnızca toplam sayı değildir; gerçek saldırı yolu, olası iş etkisi, sorumlusu ve düzeltme önceliğidir.
Örneğin bir dışa açık endpoint'te zayıf yetkilendirme belirtisi, hassas veriyle çalışan bir uygulamada yüksek öncelik taşıyabilir. Aynı kuralın erişilemeyen bir test ortamında görülmesi ise farklı bir bağlam gerektirir. Araçların verdiği teknik sinyal kıymetlidir; ama sinyalin kapsam ve kanıtla zenginleştirilmesi gerekir.
Eresus Guard'ın yaklaşımı burada ayrışır: bulgu, sadece bir başlık veya CVSS değeri olarak değil; hedef, kanıt, saldırı bağlamı ve sonraki doğrulama adımıyla birlikte ele alınır.
Tek çalışma alanında beş kritik katman
1. DAST: çalışan uygulamanın davranışı
DAST, yetkili hedeflerde çalışan uygulamanın HTTP yüzeyini inceler. Endpoint, parametre, oturum ve hata davranışına dayalı sinyaller üretir. Bu katman, kodun gerçek dağıtım davranışıyla temas ettiği için önemlidir.
2. SAST: kodda kök neden arama
SAST, riskli veri akışlarını, zayıf doğrulamaları ve güvenlik tasarım hatalarını kaynak kod bağlamında inceler. Bir dış test bulgusunun hangi fonksiyondan veya iş akışından kaynaklandığını anlamaya yardım eder.
3. SCA: bağımlılık riski
Modern uygulamalar, doğrudan ve dolaylı çok sayıda pakete dayanır. SCA ile sürüm, duyuru ve düzeltme bağlamını takip etmek; yalnızca CVE sayısı değil, gerçekten kullanılan bileşenleri önceliklendirmek için kritiktir.
4. IaC: güvenliğin dağıtımdan önce başlaması
Terraform, Kubernetes manifestleri ve benzeri altyapı tanımları; erişim sınırları, ağ görünürlüğü ve sır yönetimi gibi kararları kod hâline getirir. IaC incelemesi, yanlış yapılandırmanın canlıya taşınmadan görülmesini sağlar.
5. Secrets: yanlış yere düşen hassas bilgiler
Kod deposuna veya yapılandırmaya düşen API anahtarı, token ve parola, teknik borçtan daha fazlasıdır: doğrudan erişim riskidir. Secrets kontrolleri, bu sinyali doğru ekip ve rotasyon süreciyle bağlamak için önemlidir.
Kanıt tasarımı: bir bulgunun kapanabilmesi için ne saklanır?
Bir bulgu kaydı yalnızca başlık, CVSS ve ekran görüntüsünden oluştuğunda, aylar sonra tekrar incelendiğinde kararın neden verildiği kaybolur. Eresus Guard yaklaşımında kanıt paketi beş soruyu cevaplayacak şekilde tasarlanır: Ne gözlemlendi? Hangi varlıkta gözlemlendi? Hangi koşul altında anlamlı? Kim doğruladı? Düzeltmeden sonra aynı iddia tekrar değerlendirildi mi?
Pratikte bu; araç çıktısının kimliği, hedef/sürüm bilgisi, ilgili istek veya kod bağlamı, manuel doğrulama notu, etki varsayımlarının dayanağı, sorumlu ekip ve yeniden test sonucu demektir. Hassas veri, erişim belirteci veya müşteriye ait kayıtlar kanıta gereksiz şekilde kopyalanmamalıdır. Güvenli referans, maskeleme ve erişim denetimi; "daha fazla veri" ile "daha iyi kanıt" arasındaki farkı korur.
Bu yapı sayesinde yanlış pozitif kapatılması da denetlenebilir olur. Bir bulgunun neden geçersiz sayıldığı, hangi ortamda denendiği ve hangi ön koşulun sağlanmadığı kayda geçer. Aynı sistem daha sonra değiştiğinde ekip eski sonucu körlemesine kullanmak yerine bağlamı yeniden değerlendirebilir.
Otomasyon ile insan kararının sınırı
Otomasyon tekrar eden işleri hızlandırır: varlık envanterini eşleştirme, bulguları gruplama, ticket önerisi, değişiklik öncesi/sonrası farkı çıkarma veya gerekli kanıtın eksik olduğunu hatırlatma. Ajan destekli planlama da doğru sahibin, kontrolün ve sıralamanın önerilmesine yardımcı olabilir.
Ancak saldırı yüzeyinin gerçek iş etkisi, yetkilendirme sınırı veya bir düzeltmenin üretimde yan etkisi otomatik olarak kesin kabul edilmemelidir. Bu kararlar insan onayı, yetkili ortamda test ve gerektiğinde bağımsız teknik inceleme gerektirir. Guard'ın tasarımı bu ayrımı görünür tutar: öneri üretilebilir, fakat kanıt, karar sahibi ve kapanış ölçütü kayıtta açık olmalıdır.
Ölçülebilir bir güvenlik programı nasıl görünür?
Olgunluk yalnızca bulunan açık sayısıyla ölçülmez. Yönetim ve mühendislik için daha anlamlı göstergeler; internetten erişilen kritik varlıklarda doğrulanmış bulgu sayısı, düzeltme sahibinin atanma süresi, yeniden testle kapanan bulgu oranı, istisna süresi dolan riskler ve kanıtı eksik kapanışların sayısıdır. Bu metrikler ekipleri daha çok alarm üretmeye değil, daha az belirsizlik bırakmaya teşvik eder.
Başlangıçta tüm araçları taşımak da gerekmez. Bir hizmet, bir depo veya bir kritik ürün akışı seçilir; envanter, bulgu ve kapanış kanıtı ortak kayda alınır. İşe yarayan şablonlar daha sonra DAST, SAST, SCA, IaC ve secrets katmanlarına genişletilir. Bu kademeli yaklaşım, platformun ekip sürecine uyumunu ölçmek için en güvenli yoldur.
Ajan destekli planlama, denetlenebilir yürütme
Yapay zekâ, güvenlik iş akışını hızlandırabilir; fakat sonuçlar açıklanabilir değilse güven yaratmaz. Eresus Guard'da ajanlar hedef bağlamını haritalama, değerlendirme planı önerme ve sonuçları triage etme konusunda yardımcı olur. Somut kontroller ise deterministik modüllerle yürütülür ve her bulgu incelenebilir kanıta bağlanır.
Bu denge iki riski azaltır:
- Otomasyon körlüğü: Araç çıktısını doğrulamadan mutlak gerçek kabul etmek
- Yapay zekâ belirsizliği: Bir modelin önerisini kanıtsız güvenlik kararı hâline getirmek
Kısacası amaç, daha fazla alarm üretmek değil; yetkili kapsamda daha iyi soru sorup güvenilir yanıtlar üretmektir.
Düzeltme döngüsünü görünür kılın
Güvenlik çalışmasının değeri, bulgunun kapatıldığı gün ortaya çıkar. Etkili bir akış şunları içerir:
- Yetkili hedef ve kapsamın yazılı hâle gelmesi
- Bulgunun tekrarlanabilir kanıtla kaydedilmesi
- Etki ve önceliğin ürün/iş bağlamıyla değerlendirilmesi
- Düzeltme sahibinin ve doğrulama ölçütünün belirlenmesi
- Retest veya yeniden değerlendirme ile kapanışın kanıtlanması
Eresus Guard bu döngüyü tek bir iş akışında toplamak için tasarlanmıştır. Böylece mühendislik, güvenlik ve yönetim ekipleri farklı araç ekranları arasında bağlam kaybetmeden aynı kararı inceleyebilir.
Hangi ekipler için uygun?
Eresus Guard; web uygulamaları, API'ler, bulut iş yükleri ve yazılım tedarik zinciri üzerinde düzenli güvenlik değerlendirmesi yapmak isteyen ekipler için anlamlıdır. Özellikle aşağıdaki durumlarda değer yaratır:
- Birden fazla güvenlik aracının sonuçlarını ortak bir süreçte değerlendirmek isteyen ekipler
- CI/CD ve IaC değişikliklerini güvenlik görünürlüğüyle bağlamak isteyen platform ekipleri
- Müşteriye, denetçiye veya yönetime bulgu kapanışını kanıtlamak zorunda olan kuruluşlar
- Zafiyet araştırmasını yalnızca liste değil, tekrar incelenebilir teknik kanıt olarak saklamak isteyen güvenlik liderleri
Eresus Guard'ı inceleyin veya ekibinizin mevcut akışına nasıl uyacağını görmek için kapsam görüşmesi planlayın.
Farklı roller aynı kayıttan ne kazanır?
Uygulama güvenliği yalnızca güvenlik ekibinin işi değildir. Mühendislik ekibi kök nedeni ve düzeltme kriterini görmek ister; platform ekibi CI/CD ve altyapı bağlamını; yönetim ise iş etkisini, sahipliği ve kapanış durumunu görmek ister. Eresus Guard, aynı bulguyu bu farklı ihtiyaçlar için ayrı ayrı yeniden anlatmak yerine kanıt, bağlam ve karar kaydını ortaklaştırmayı hedefler.
Bu nedenle iyi bir Guard iş akışı, yalnızca tarama başlatmakla ölçülmez. Kapsamın onaylanması, bulgunun yeniden üretilebilirliği, sorumlu kişinin belirlenmesi, düzeltmenin doğrulanması ve istisnaların kayıt altına alınması birlikte izlenir. Sonuç, ekiplerin "hangi alarm önemli?" tartışmasından "hangi riski hangi kanıtla kapatıyoruz?" kararına geçebilmesidir.
Sık sorulan sorular
Guard mevcut araçlarımızın yerine mi geçer?
Guard, her aracı tek başına değiştirme iddiasında değildir. DAST, SAST, SCA, IaC ve secrets sinyallerini kapsam, kanıt ve düzeltme akışıyla ilişkilendirerek mevcut güvenlik yatırımınızı daha incelenebilir hâle getirmeyi amaçlar.
Yapay zekâ bulguları otomatik kapatır mı?
Hayır. Ajanlar planlama ve triage'a yardımcı olur; teknik kontroller deterministik modüllerle yürütülür. Bulgu kapanışı için ekip tarafından incelenebilir kanıt ve doğrulama gerekir.
Başlamak için ne gerekir?
Yetkili bir kapsam, ilgili uygulama veya depo bağlamı ve bulguları sahiplenebilecek ekip üyeleri yeterli başlangıç noktasıdır. İlk görüşmede hedef, erişim sınırları ve gizlilik gereksinimleri birlikte tanımlanır.
Güvenlik Doğrulaması
Bu riski kendi sisteminizde test ettirdiniz mi?
Eresus Security; sızma testi, AI ajan güvenliği ve kırmızı takım operasyonlarıyla gerçek istismar kanıtı üretir.
Pilot test talep etİlgili Hizmetler