Düşünce Liderleri

İnsanların Ötesinde: Agentic AI ve İnsan Olmayan Kimliklerin Güvenlik Açığına Karşı Korunması

mm mm

Son 18 ay içinde bir entreprise SOC’unun yakınındaysanız, bunu gördünüz. Kişiye değil, bir şeye ait olan uyarılar. Bir şeye, bir kişiye değil, ait olan kimlik bilgiler. İnsan müdahale playbooks’inin takip edebileceğinden daha hızlı hareket eden otomasyon.

Ve son zamanlarda, sadece gürültü değil, endüstrimizin en büyük başlıklarının kökeni. Victoria’s Secret’in siber olay gibi, satışları engelleyen ve bir sınıf eylem davasına neden olan, multi-tenant bulut ihlalleri gibi, müşteriler arasında hassas verileri ortaya çıkaran, artan sayıda güvenlik açığı artık görünmeyen, takip edilmeyen veya几乎 anlaşılmayan kimliklerden kaynaklanmaktadır.

Agentic AI’nin yükselişi, uygulamalar, API’ler ve altyapılar boyunca hareket edebilen otonom sistemler, non-insan kimliklerinin (NHI) patlamasıyla çarpıştı. Birlikte, çoğu organizasyonun güvence altına alabileceğinden daha hızlı genişleyen yeni bir saldırı yüzeyi oluşturdular.

Agentic AI’nin Anlamı

Agentic AI, insan denetimi olmadan çok adımlı görevleri bağımsız olarak gerçekleştirebilen AI “ajansları”na atıfta bulunur.

  • API’leri çağırabilir, veritabanlarını güncelleyebilir veya iş akışlarını tetikleyebilir.

  • Makine hızında çalışır – saniyeler, dakikalar değil.

  • Riskler: Prompt enjeksiyonu, zehirlenmiş eğitim verileri, çalınan kimlik bilgiler.

İlgili Ölçek

Makine kimlikleri zaten çoğu girişimdeki insanları sayıca geçiyor, bazı durumlarda 20:1 veya daha fazla. 2026’ya kadar bu oran neredeyse iki katına çıkacak. Bu NHI’ler bulut iş yüklerinizde, CI/CD boru hatlarınızda ve API entegrasyonlarınızda ve şimdi LLM tabanlı otomasyonu sürüyor.

Zorluk: Çoğu IAM sistemi insanları yönetmek için tasarlandı, makineleri değil.

  • Açık sahibi olmayan hesaplar.

  • Asla sona ermeyen statik kimlik bilgiler.

  • Gerektiğinden çok daha fazla yetki.

Bu teorik değil. Uber ve Cloudflare’deki güvenlik açıkları, asla phishing simülasyonları yapmayan ancak kritik altyapıyı kilitleyebilen türden tehliye edilen makine hesaplarına kadar izlendi.

Agentic AI: Risk için Bir Çarpan

Bir yandan, agentic AI operasyonel bir oyun değiştiricidir. Öte yandan, erişimi tehlikeye girdiğinde, sizin için çalışan bir otomasyona sahip olursunuz.

Düşünün:

  • SaaS uygulamalarına okuma/yazma haklarına sahip bir AI ajansı, insan-merkezli anomali tespitini tetiklemeden otomatik olarak veri hırsızlığı yapabilir.

  • Eğer aynı ajan IAM rollerini değiştirebiliyorsa veya bulut kaynaklarını dağıtabiliyorsa, otomatik olarak yetki yükselmesine sahip olursunuz.

  • Prompt enjeksiyon saldırıları ve model zehirlenmesi, saldırganların kimlik bilgilerini çalmadan AI ajansını yönlendirmelerine olanak tanır.

Hizmet hesabının kötü yönetilmesinin ne kadar tehlikeli olabileceğini gördük. Şimdi bu hesaba karar verme yeteneği verin ve riskler katlanarak artar.

Vaka Çalışmaları: AI + NHI Döneminde Güvenlik Açığı Adli Tıps

Victoria’s Secret (Mayıs 2025)
Victoria’s Secret, ABD web sitesini ve bazı mağaza hizmetlerini kapattı ve bu, bir ransomware benzeri olay gibi görünüyordu (The Hacker News, Bitdefender). Kapama günlerce sürdü ve tahmini 20 milyon dolarlık ikinci çeyrek geliri düşüşüne katkıda bulundu. Sonraki bir sınıf eylem davası, perakendecinin hassas verileri şifrelemediğini, kritik güvenlik denetimlerini atladığını ve çalışanların siber güvenlik eğitimini ihmal ettiğini iddia ediyor (Top Class Actions), tüm bunlar da genellikle yönetilmeyen non-insan kimliklerine (NHI) sahip olan ayrıcalıklı erişimdeki zayıflıkları yansıtıyor.

Google Salesforce Güvenlik Açığı (Haziran 2025)
Haziran ayında, saldırganlar ShinyHunters (UNC6040) grubuna bağlı olarak, bir kurumsal Salesforce CRM örneğine sesli phishing (vishing) teknikleri aracılığıyla erişti (ITPro). İçeride, küçük ve orta ölçekli iş müşterilerine ait temas bilgilerini çıkardılar. Bu, insan hedefli sosyal mühendislikten başladı, ancak dönüm noktası, saldırganların kullanıcı davranış analizi tetiklemeden lateral olarak hareket etmelerine olanak tanıyan bir makine kimliği – bir uygulamaya bağlı bir biçimdi.

Perakende ve Lüks Marka Kapamaları (M&S, Cartier, The North Face)
The North Face ve Cartier gibi büyük perakendecilere yönelik saldırı dalgası, müşteri adlarını, e-posta adreslerini ve seçili hesap meta verilerini ortaya çıkardı (Sangfor, WSJ). Marks & Spencer özellikle sert bir şekilde vuruldu, ‘Scattered Spider’ grubuna atfedilen bir ransomware ve tedarik zinciri saldırısı, 15 haftadan fazla bir süredir click-and-collect hizmetlerini engelledi ve perakendecinin 300 milyon sterline kadar maliyeti olduğu tahmin ediliyor. Her durumda, üçüncü taraf entegrasyonları ve API bağlantıları, genellikle NHI’ler tarafından desteklenmektedir ve saldırganlar için sessiz bir şekilde işbirliği yapmaktadır.

İnsan Olmayan Kimlik (NHI) Nedir?

NHI’ler, makineler tarafından kullanılan kimlik bilgileridir, insanlar değil. Örnekler:

  • Veritabanları veya uygulamalar için hizmet hesapları.

  • Bulut entegrasyonu için API anahtarları.

  • Otomasyon komut dosyaları için bot kimlik bilgileri.

Riskler: Aşırı ayrıcalıklı, az izlenen ve genellikle kullanımdan sonra uzun süre aktif kalır.

Neden Yönetim Geride Kalıyor

Hatta olgun IAM programları burada engellerle karşılaşıyor:

  • Keşif Boşlukları — Birçok kuruluş tam bir NHI envanterini üretemiyor.

  • Yaşam Döngüsü Ihmali — NHI’ler genellikle yıllarca sürebilir ve düzenli bir inceleme yapılmaz.

  • Sorumluluk Boşlukları — Bir insan sahibi olmadan, temizleme işlemleri boşluklara düşer.

  • Ayrıcalık Sızıntısı — İzinler roller değiştikçe birikir, ancak iptal işlemi gecikir.

Bu, insan hesaplarıyla yıllardır mücadele ettiğimiz aynı sorun – ancak şimdi her NHI 24/7, ölçeklenebilir ve “insan” risk kontrollerini tetiklemeden çalışabilir.

NHI’leri ve AI Ajanslarını Güvenli Hale Getirmek için Satıcıdan Bağımsız Bir Rehber

  1. Kapsamlı Keşif — Tüm NHI’leri ve AI ajanslarını, ayrıcalıkları, sahipleri ve entegrasyonları ile birlikte haritalayın.

  2. İnsan Sahipleri Atayın — Her NHI’nin yaşam döngüsü için jemand sorumlu tutun.

  3. En Az Ayrıcalık İlkesini Uygulayın — İzinleri gerçek kullanım ile eşleştirin; fazlalıkları kaldırın.

  4. Kimlik Bilgisi Hijyenini Otomatikleştirin — Anahtarları döndürün, kısa süreli token’ları kullanın, boşta kalan hesapları otomatik olarak sona erdirin.

  5. Sürekli İzleme — Beklenmeyen API çağrıları veya ayrıcalık yükselmeleri gibi anomalileri tespit edin.

  6. AI Yönetimini Entegre Edin — AI ajanslarını yüksek ayrıcalıklı yöneticiler gibi tedavi edin: günlüğü kaydedin, politikayı uygulayın, yalnızca zamanında erişimi sağlayın.

(Bu adımlar NIST CSF, CIS Control 5 ve ortaya çıkan Gartner IVIP en iyi uygulamalarıyla uyumlu.)

Neden Şimdi Olması Gerekiyor

Bu, yalnızca bir AI trendini takip etmekle ilgili değil. Kimlik sınırlarının insanlardan süreçlere kaydığı gerçeğini tanımakla ilgili.

Saldırganlar bunu biliyor. Makine kimliklerini bir düşünce olarak tedavi etmeye devam ederseniz, saldırganlara gizlenmeleri için gereken kör nokta verirsiniz.

NHI ve ajan yönetimini kimlik güvenliğinin birincil unsuru haline getiren, görünürlük, sahiplik ve yaşam döngüsü disiplini ile güvenlik açığına yol açmadan önce ekipler öne geçecek.

Mike Towers, Veza'nın Güven ve Güvenliği Baş Sorumlusu'dur ve şirketin siber güvenlik ve veri koruma stratejisinin liderliğini yapar. Veza Danışma Kurulunu denetler, kimlik güvenliği yeteneklerini geliştirir ve müşterilerin Veza'nın sektördeki lider kimlik güvenliği ve akıllı erişim platformunun benzersiz değerini anlamalarını sağlar. Mike'ın ekibi, Veza'nın platformunu korumaya çalışır ve müşterilerin dijital ve bulut genişlemesiyle gelen karmaşık erişim kontrolü zorluklarını ele almalarına yardımcı olur.

Mike, Digital Trust Group LLC'nin kurucusu ve deneyimli bir yönetici olarak, dijital güvenlik, güven ve iş sürekliliğinde uzmanlaşmıştır. Veza'dan önce, Takeda'nın Dijital Güven Başkanı olarak görev yaptı ve Allergan ve GSK'de liderlik rollerinde bulundu, burada güçlü güvenlik çerçeveleri oluşturdu. Kariyeri boyunca, 50'den fazla birleşme ve satın alma işleminin şekillenmesine katkıda bulundu ve CSO Hall of Fame'e alındı. Saygın bir konuşmacı, yazar ve danışma kurulu üyesi olarak, Mike, sorumlu inovasyonu, veri korumasını ve bilgi paylaşımını savunmaya devam etmektedir. Boston'da bulunan Mike, dijital güveni ve güvenliği ilerletmede önde gelen bir ses olmaya devam etmektedir.

Matthew Romero is a Technical Product Marketing Manager at Veza, where he bridges engineering precision with marketing strategy in the identity security space. With a background in SecOps and hands-on experience with the Microsoft Defender team, he approaches content with a practitioner’s mindset—writing for engineers first, while aligning with the needs of security leaders.

His work highlights how architecture-first approaches solve real-world challenges in access governance, compliance, and risk reduction. Known for his candid, engineer-to-engineer voice, Matthew focuses on simplifying complexity, helping security teams operationalize identity-first defense models, and clarifying the core question in modern security: who can access what?

He is Asana-certified and credits a neurodivergent lens (ADHD and ASD) with balancing precision and adaptability. Outside of work, Matthew enjoys the Pacific Northwest outdoors, family time, and running a Minecraft server.