Bir kurumun siber güvenliği, sadece "bildiği" varlıkları korumakla sınırlı kalırsa başarısızlığa mahkumdur. Modern şirketlerde her gün yeni bir pazarlama mikro sitesi açılıyor, test amaçlı bulut sunucuları ayağa kaldırılıyor veya unutulmuş bir subdomain eski bir servise yönlendirilmiş halde bırakılıyor. Saldırganlar için bu "unutulmuş" noktalar, kaleye girmek için en ideal açık kapılardır.

Attack Surface Management (ASM), bir organizasyonun internete açık tüm varlıklarını (asset) sürekli olarak keşfetme, analiz etme ve risklerini yönetme sürecidir.

1. Dijital Envanterin Karanlık Yüzü: Shadow IT

Şirketlerin en büyük kabusu, IT departmanının bilgisi dışında açılan servislerdir.

  • Sorun: Bir yazılım ekibinin hızlıca canlıya aldığı dev-test.sirket.com adresi, içinde hassas veriler barındıran bir veri tabanı veya zafiyetli bir Jenkins paneli içeriyor olabilir.
  • ASM Çözümü: Sürekli devam eden Asset Discovery süreçleriyle, kurumun IP blokları ve domain hiyerarşisi dışındaki bu "gölge" varlıklar tespit edilir.

2. Unutulmuş Subdomainler ve Takeover Tehlikesi

Bug Bounty avcılarının en sevdiği zafiyetlerden biri olan Subdomain Takeover, ASM eksikliğinin en net kanıtıdır.

  • Saldırı Senaryosu: Şirket, blog.sirket.com adresini bir bulut servisine (örneğin GitHub Pages veya AWS S3) yönlendirmiştir (CNAME). Ancak servis iptal edilmiş, DNS kaydı ise silinmemiştir.
  • Risk: Saldırgan, o bulut servisinde bir hesap açıp bu subdomaini sahiplenir. Artık şirket adına phishing yapabilir veya session cookie'lerini çalabilir.
  • ASM'nin Rolü: Aktif ve pasif keşif araçlarıyla (subfinder, dnsx vb.) tüm DNS kayıtlarını takip ederek, "boşa düşmüş" yönlendirmeleri anında raporlar.

3. Keşif Metodolojisi: Passive Recon vs. Active Recon

Bir saldırgan (veya ASM platformu) hedefi analiz ederken iki ana yöntemi birleştirir:

  1. Passive Recon (Pasif Keşif): Hedefle doğrudan temas kurmadan bilgi toplama. Shodan, Censys ve BinaryEdge gibi arama motorları üzerinden veya CT (Certificate Transparency) loglarından varlıkları bulmak. Bu yöntem, hedef sistemde iz bırakmaz.
  2. Active Recon (Aktif Keşif): Hedefe doğrudan paket göndererek yapılan taramadır. Port taramaları (nmap/smap), dizin keşifleri (ffuf) ve servis tanımlama süreçlerini kapsar.

Vertical vs. Horizontal Correlation: ASM süreci sadece ana domaini değil, ilişkili alt domainleri (vertical) ve aynı kuruma ait farklı IP blokları veya iştirak şirketlerin varlıklarını (horizontal) da birbirine bağlayarak devasa bir varlık haritası çıkarır.

4. Sürekli İzleme: Tek Seferlik Testler Neden Yetmiyor?

Siber saldırganlar 7/24 çalışırken, yılda bir kez yapılan sızma testleri sadece o günün fotoğrafını çeker.

  • Anlık Değişim: Bugün güvenli olan bir sunucu, yarın yapılan bir konfigürasyon hatasıyla dışarıya açık bir config.php sızdırabilir.
  • Hız: Yeni bir Critical (0-day) zafiyet çıktığında (Log4j gibi), ASM sistemleri dakikalar içinde "bu zafiyetten etkilenen varlığımız var mı?" sorusuna cevap verir.

Bilmediğiniz Şeyi Koruyamazsınız

Siber savunmada üstünlük kurmak için önce kendi "dijital ayak izinizi" (Digital Footprint) saldırganlardan daha iyi bilmeniz gerekir. Attack Surface Management, güvenliği statik bir duvar olmaktan çıkarıp, dinamik ve sürekli gelişen bir organizma haline getirir.

Bir hacker'ın girmesi için sadece tek bir unutulmuş, zayıf halka yeterlidir. ASM, o halkayı saldırgandan önce bulma sanatıdır.