CTEM Nedir? Sürekli Tehdit Maruziyeti Yönetimi ve Picus Security

Kurumların çoğu, kaç tane güvenlik aracı kurduğunu sayabilir ama "bu araçlar gerçek bir saldırıyı durdurabiliyor mu?" sorusuna kesin cevap veremez. Güvenlik yatırımı yapmakla güvende olmak aynı şey değildir — ve aradaki farkı kapatmak için yeni bir disiplin doğdu: CTEM.

Geleneksel güvenlik yaklaşımı yılda bir-iki kez sızma testi yapıp raporu rafa kaldırmak üzerine kuruluydu. Oysa saldırı yüzeyiniz her gün değişiyor: yeni sunucular açılıyor, kullanıcılar ekleniyor, yapılandırmalar kayıyor, yamalar gecikiyor. Bir yılda bir kez bakılan bir resim, bugünkü gerçekliği yansıtmıyor. CTEM, güvenliği bir "an" değil, sürekli bir döngü olarak ele alan bir çerçeve sunar.

Kısaca: CTEM (Continuous Threat Exposure Management / Sürekli Tehdit Maruziyeti Yönetimi), Gartner tarafından tanımlanan, kurumun saldırı yüzeyini sürekli olarak keşfeden, gerçek saldırılarla test eden, riskleri iş etkisine göre önceliklendiren ve doğrulayan beş aşamalı bir programdır. Tek seferlik bir araç değil, döngüsel bir süreçtir. Picus Security gibi Breach & Attack Simulation (BAS) platformları, bu döngünün "test ve doğrulama" aşamasının motorudur.

CTEM Nedir?

CTEM, kurumun siber risk maruziyetini sürekli ve sistematik biçimde yöneten bir programdır. Adındaki üç kelime özünü anlatır: sürekli (yılda bir değil, kesintisiz), tehdit maruziyeti (yalnızca zafiyetler değil, yanlış yapılandırmalar, aşırı izinler ve saldırı yolları dahil) ve yönetim (tespit etmekle kalmayıp önceliklendirip kapatmak).

Önemli bir nokta: CTEM bir ürün değil, bir yaklaşımdır. Birden fazla teknolojinin (saldırı yüzeyi yönetimi, zafiyet yönetimi, BAS, kırmızı takım) bir süreç etrafında düzenlenmesiyle hayata geçer.

CTEM'in Beş Aşaması

Gartner'ın tanımladığı CTEM döngüsü beş adımdan oluşur:

• 1. Kapsam Belirleme (Scoping): Hangi varlıkların ve saldırı yüzeyinin programa dahil olduğunu iş önceliklerine göre tanımlamak.
• 2. Keşif (Discovery): Kapsamdaki varlıkları, zafiyetleri, yanlış yapılandırmaları ve kimlik risklerini ortaya çıkarmak.
• 3. Önceliklendirme (Prioritization): Tüm bulguları değil, gerçekten istismar edilebilir ve iş açısından kritik olanları öne almak.
• 4. Doğrulama (Validation): Bu risklerin gerçekten istismar edilebilir olup olmadığını ve mevcut savunmaların onları durdurup durdurmadığını gerçek saldırı senaryolarıyla test etmek.
• 5. Harekete Geçirme (Mobilization): Bulguları ilgili ekiplere taşıyıp düzeltme sürecini işletmek ve döngüyü yeniden başlatmak.

Bu aşamaların en sık atlananı dördüncüsüdür: doğrulama. Çünkü "zafiyet var" demek kolaydır; "bu zafiyet bizim ortamımızda gerçekten istismar edilebiliyor ve savunmamız onu kaçırıyor" demek için test etmek gerekir.

Doğrulama Aşamasında BAS ve Picus Security'nin Rolü

CTEM'in doğrulama aşamasını otomatikleştiren teknoloji Breach & Attack Simulation'dır (BAS). BAS, gerçek saldırı tekniklerini — fidye yazılımı davranışları, veri sızdırma, yanal hareket — kontrollü biçimde kurum ortamında çalıştırarak güvenlik kontrollerinin bunları yakalayıp yakalamadığını sürekli ölçer.

Picus Security, bu alanda öncü BAS platformlarından biridir. Picus, MITRE ATT&CK çerçevesindeki saldırgan davranışlarını simüle ederek şu soruları yanıtlar:

• Mevcut güvenlik araçlarım (EDR, SIEM, güvenlik duvarı) bu saldırıyı durdurabiliyor mu?
• Hangi tehditlere karşı görünür bir açığım var?
• SIEM kuralım bu saldırıyı tespit edip alarm üretiyor mu, yoksa sessizce mi geçiyor?

BAS'ın temel mantığı ve Picus'un BAS yaklaşımı hakkında daha ayrıntılı bilgi için BAS nedir yazımızı inceleyebilirsiniz. Picus çözümünün Türkiye'deki konumlandırması için Picus Security çözüm sayfamıza göz atabilirsiniz.

Güvenlik Kontrolleri Neden Sessizce Bozulur?

CTEM'in sürekli olmasının nedeni, güvenlik kontrollerinin zamanla "kayma" eğilimidir. Dün düzgün çalışan bir EDR politikası, bir güncelleme, yanlış bir yapılandırma değişikliği veya yeni bir istisna nedeniyle bugün bir saldırıyı kaçırabilir. Bu sessiz bozulmayı (security control drift) yalnızca sürekli test ortaya çıkarır.

Yılda bir yapılan sızma testi, bu testin yapıldığı günkü fotoğrafı verir. Ertesi hafta yapılan bir değişiklik, bir sonraki teste kadar fark edilmeden açık kalır. CTEM, doğrulamayı sürekli hale getirerek bu kör noktayı kapatır.

CTEM'e Nasıl Başlanır?

CTEM'i bir günde kurmak gerekmez; olgunlaşan bir programdır. Pratik bir başlangıç şöyle olabilir:

• Dar bir kapsamla başlayın: En kritik iş uygulamanızı veya en yüksek değerli varlık grubunuzu seçin.
• Önce görünürlük kazanın: Bu kapsamdaki zafiyetleri ve yanlış yapılandırmaları keşfedin.
• Doğrulamayı ekleyin: BAS ile mevcut savunmalarınızın gerçekten işe yarayıp yaramadığını ölçün.
• Önceliklendirip kapatın: Teorik tüm bulguları değil, gerçekten istismar edilebilir olanları düzeltin.
• Döngüyü kurumsallaştırın: Süreci tekrarlanabilir hale getirip kapsamı kademeli genişletin.

Sıkça Sorulan Sorular

CTEM bir ürün mü yoksa süreç mi?

CTEM bir üründen çok bir çerçeve ve süreçtir. Saldırı yüzeyi yönetimi, zafiyet yönetimi ve BAS gibi teknolojilerin beş aşamalı bir döngü etrafında düzenlenmesiyle hayata geçer. Tek bir araç satın alarak "CTEM kurdum" denemez.

CTEM ile sızma testi arasındaki fark nedir?

Sızma testi belirli bir andaki güvenlik durumunu değerlendiren periyodik bir çalışmadır. CTEM ise sürekli ve döngüseldir; saldırı yüzeyini kesintisiz izler ve savunmaları sürekli doğrular. CTEM, sızma testini dışlamaz, onu sürekli bir programla tamamlar.

CTEM'de BAS neden önemli?

BAS, CTEM'in doğrulama aşamasını otomatikleştirir. Bir riskin teoride var olması ile o riskin sizin ortamınızda gerçekten istismar edilebilir olması farklı şeylerdir. BAS, gerçek saldırı tekniklerini güvenli biçimde çalıştırarak bu farkı ölçer ve savunmalarınızın etkinliğini kanıtlar.

CTEM yalnızca büyük kurumlar için mi?

Hayır. CTEM dar bir kapsamla, en kritik varlıklardan başlanarak her ölçekte uygulanabilir. Önemli olan döngüsel mantığı benimsemek ve kademeli genişletmektir.

Sonuç

CTEM, güvenliği "araç saymaktan" çıkarıp "etkinliği sürekli kanıtlamaya" taşıyan bir disiplindir. Saldırı yüzeyini sürekli keşfeder, riskleri iş etkisine göre önceliklendirir ve en kritik olarak savunmalarınızın gerçekten işe yarayıp yaramadığını gerçek saldırı senaryolarıyla doğrular. Picus Security gibi BAS platformları, bu döngünün doğrulama motorudur.

Technodus, Picus Security'nin Türkiye'deki iş ortağı olarak, kurumunuzun güvenlik kontrollerini sürekli test edip doğrulayan bir maruziyet yönetimi yaklaşımı kurmasında destek verir. Mevcut savunmalarınızın gerçek saldırılara karşı dayanıklılığını değerlendirmek için bizimle iletişime geçebilirsiniz.