İnsanın Ötesinde: İhlal Odaklı Bir Dünyada Aracı Yapay Zeka ve İnsan Olmayan Kimliklerin Güvenliğini Sağlama

Son 18 ayda bir kurumsal SOC'nin yakınlarında bulunduysanız, görmüşsünüzdür. Bir kişiye ait olmayan uyarılar. "Birine" değil, "bir şeye" ait kimlik bilgileri. IR oyun kitabınızın yetişebileceğinden daha hızlı hareket eden otomasyon.

Ve son zamanlarda, bu sadece gürültü değil, sektörümüzdeki en büyük manşetlerin de temel nedeni. Victoria's Secret siber olayı satışları aksatan ve toplu dava açılmasına neden olan çok kiracılı bulut ihlalleri Müşterilerin hassas verilerini ifşa eden bu ihlallerin sayısı, artık göremediğimiz, takip edemediğimiz veya neredeyse anlayamadığımız kimliklerden kaynaklanıyor.

Uygulamalar, API'ler ve altyapılar arasında hareket edebilen otonom sistemler olan aracı yapay zekanın yükselişi, hizmet hesapları, botlar, API anahtarları ve makine kimlik bilgileri de dahil olmak üzere insan dışı kimliklerin (NHI'ler) yaygınlaşmasıyla çakıştı. Bu ikisi birlikte, çoğu kuruluşun güvence altına alabileceğinden daha hızlı yayılan yeni bir saldırı yüzeyi oluşturdu.

"Aracı Yapay Zeka" Derken Neyi Kastediyoruz?

Agentic AI, insan gözetimi olmadan, genellikle birden fazla sistemde hedefler belirleyebilen ve çok adımlı görevleri otonom olarak yürütebilen AI "temsilcilerini" ifade eder.

• API'leri çağırabilir, veritabanlarını güncelleyebilir veya iş akışlarını tetikleyebilir.

• Makine hızında çalışır – dakikalarla değil, saniyelerle.

• Riskler: Hızlı enjeksiyon, zehirli eğitim verileri, çalınan kimlik bilgileri.

Uğraştığımız Ölçek

Makine kimlikleri çoğu işletmede zaten insanlardan daha fazla sayıdadır, bazı durumlarda 20:1 veya daha fazla2026 yılına kadar bu oranın neredeyse iki katına çıkması öngörülüyor. Bu NHI'lar bulut iş yüklerinizde, CI/CD süreçlerinde ve API entegrasyonlarınızda yer alıyor ve artık LLM tabanlı otomasyonu yönlendiriyorlar.

Zorluk: IAM sistemlerinin çoğu makineleri değil, insanları yönetmek için oluşturulmuştur.

• Sahibi belli olmayan hesaplar.

• Hiçbir zaman sona ermeyen statik kimlik bilgileri.

• İhtiyaç duyulanın çok ötesinde ayrıcalıklar.

Bu varsayımsal değil. İhlaller Uber ve Cloudflare'in, kimlik avı simülasyonlarına asla erişemeyen ancak kritik altyapıların kilidini açabilen türden, tehlikeye atılmış makine hesaplarına kadar izlendiği görüldü.

Agentic AI: Risk için Bir Güç Çarpanı

Bir yandan, ajansal yapay zeka operasyonel anlamda oyunun kurallarını değiştiriyor. Diğer yandan, erişimi tehlikeye girerse, saldırgan için çalışan bir otomasyonunuz olur.

Düşünmek:

• SaaS uygulamalarına okuma/yazma haklarına sahip bir yapay zeka aracısı, insan merkezli anormallik tespitini devre dışı bırakmadan veri hırsızlığını otomatikleştirebilir.

• Aynı aracı IAM rollerini değiştirebiliyorsa veya bulut kaynaklarını dağıtabiliyorsa, ayrıcalık yükseltmeyi otomatik pilotta gerçekleştirmiş olursunuz.

• Hızlı enjeksiyon saldırıları ve model zehirlenmesi, saldırganların kimlik bilgilerini çalmadan bir yapay zeka aracını yeniden yönlendirebileceği anlamına gelir.

Kötü yönetilen bir hizmet hesabının ne kadar tehlikeli olabileceğini gördük. Şimdi bu hesaba karar alma yetkisi verin, riskler katlanarak artsın.

Vaka Çalışmaları: Yapay Zeka + NHI Döneminde İhlal Adli Bilimleri

Victoria's Secret (Mayıs 2025)
Victoria's Secret, Anma Günü haftasonunda fidye yazılımı tarzında bir olayla ABD web sitesini ve bazı mağaza içi hizmetlerini kapattı (Hacker Haberler, bitdefender). Kesinti günlerce sürdü ve 2. çeyrek gelirlerinde tahmini 20 milyon dolarlık bir düşüşe yol açtı. Daha sonra açılan bir toplu dava, perakendecinin hassas verileri şifrelemediğini, kritik güvenlik denetimlerini atladığını ve çalışanların siber güvenlik eğitimini ihmal ettiğini iddia ediyor (Üst Sınıf İşlemleri), ayrıcalıklı erişime sahip yönetilmeyen insan dışı kimliklerde (NHI'ler) sıklıkla görülen zayıflıkları yansıtan tüm boşluklar.

Google Salesforce İhlali (Haziran 2025)
Haziran ayında, ShinyHunters (UNC6040) grubuyla bağlantılı saldırganlar, sesli kimlik avı (vishing) teknikleriyle kurumsal bir Salesforce CRM örneğine erişim sağladı (BT Uzmanı). İçeri girdiklerinde, küçük ve orta ölçekli işletme müşterilerine ait iletişim verilerini sızdırdılar. Bu, insan odaklı sosyal mühendislikle başlasa da, asıl dönüm noktası, saldırganların kullanıcı davranış analizlerini etkilemeden yatay hareket etmelerine olanak tanıyan, bir tür makine kimliği olan bağlı bir uygulamaydı.

Perakende ve Lüks Marka Kesintileri (M&S, Cartier, The North Face)
The North Face ve Cartier dahil olmak üzere büyük perakendecilere yönelik bir saldırı dalgası, müşteri adlarını, e-postalarını ve seçili hesap meta verilerini ifşa etti (Sangfor, WSJ). Marks & Spencer özellikle ağır bir darbe aldı; 'Scattered Spider' grubuna atfedilen bir fidye yazılımı ve tedarik zinciri saldırısı, tıkla-al hizmetlerini 15 haftadan uzun süre aksattı ve perakendeciye 300 milyon sterline kadar mal olduğu tahmin ediliyor. Her iki durumda da, genellikle NHI'lar tarafından desteklenen üçüncü taraf entegrasyonları ve API bağlantıları, saldırganlar için sessiz birer kolaylaştırıcı haline geldi.

İnsan Olmayan Kimlik (NHI) Nedir?

NHI'ler, insanlar tarafından değil, makineler tarafından kullanılan kimlik bilgileri ve hesaplardır. Örnekler:

• Veritabanları veya uygulamalar için servis hesapları.

• Buluttan buluta entegrasyon için API anahtarları.

• Otomasyon scriptleri için bot kimlik bilgileri.

Riskler: Aşırı ayrıcalıklı, yeterince izlenmeyen ve kullanımdan uzun süre sonra bile aktif bırakılan.

Yönetim Neden Geride Kalıyor?

Olgunlaşmış IAM programları bile bu noktada engellerle karşılaşıyor:

• Keşif Boşlukları — Birçok kuruluş eksiksiz bir NHI envanteri üretemez.

• Yaşam Döngüsü İhmali — Ulusal Sağlık Enstitüleri (NHI) genellikle düzenli bir inceleme yapılmadan yıllarca varlığını sürdürür.

• Hesap Verebilirlik Boşlukları — İnsan sahibi olmadan temizlik işleri aksar.

• Ayrıcalık Artışı — Roller değiştikçe izinler birikir, ancak iptali gecikir.

Bu, onlarca yıldır insan hesaplarıyla uğraştığımız aynı sorundur; ancak artık her NHI, "insan" risk kontrollerini tetiklemeden, büyük ölçekte 7/24 çalışabiliyor.

NHI'ları ve Yapay Zeka Aracılarını Güvence Altına Almak İçin Tedarikçi Tarafsız Bir Kılavuz

1. Kapsamlı Keşif — Ayrıcalıklar, sahipler ve entegrasyonlar dahil olmak üzere her NHI ve AI aracısını haritalayın.

2. İnsan Sahipleri Atayın — Her NHI'nin yaşam döngüsünden sorumlu birini belirleyin.

3. En Az Ayrıcalığı Uygula — İzinleri gerçek kullanıma uydurun; fazlalıkları kaldırın.

4. Kimlik Bilgisi Hijyenini Otomatikleştirin — Anahtarları döndürün, kısa ömürlü belirteçler kullanın, hareketsiz hesapların otomatik olarak sona ermesini sağlayın.

5. Sürekli İzleme — Beklenmeyen API çağrıları veya ayrıcalık yükseltmeleri gibi anormallikleri tespit edin.

6. Yapay Zeka Yönetimini Entegre Edin — Yapay zeka ajanlarını yüksek ayrıcalıklı yöneticiler gibi ele alın: etkinliği kaydedin, politikayı uygulayın, tam zamanında erişimi etkinleştirin.

(Bu adımlar aşağıdakilerle uyumludur: NIST BOS, BDT Kontrolü 5ve ortaya çıkan Gartner IVIP (en iyi uygulamalar.)

Bunun Neden Şimdi Olması Gerekiyor

Bu sadece bir yapay zeka trendini takip etmekle ilgili değil. Kimlik sınırlarının insanlardan süreçlere kaydığını fark etmekle ilgili. Saldırganlar bunu biliyor. Makine kimliklerini sonradan akla gelen bir şey olarak görmeye devam edersek, saldırganlara fark edilmeden hareket etmeleri için ihtiyaç duydukları kör noktayı vermiş oluruz.

Önde kalacak ekipler, NHI ve aracı yönetişimini kimlik güvenliğinin birinci sınıf bir unsuru haline getiren, görünürlük, sahiplik ve yaşam döngüsü disiplinini bir sonraki ihlal sorunu ortaya çıkarmadan önce sağlayanlardır.