Connect with us

İnsan Ötesi: Ajanslı AI ve İnsan Olmayan Kimliklerin Güvenliğini İhlal Eden Bir Dünyada Sağlama

Düşünce Liderleri

İnsan Ötesi: Ajanslı AI ve İnsan Olmayan Kimliklerin Güvenliğini İhlal Eden Bir Dünyada Sağlama

mm mm
Published
Updated

Son 18 ay içinde bir entreprise SOC’un yakınlarında bulunmuşsanız, bunu gördünüz demektir. Bir kişiye haritalanamayan uyarılar. Bir “şey”e, bir “kimse”ye değil, ait olan kimlik bilgileri. IR playbook’inizi takip edebileceğinden daha hızlı hareket eden otomasyon.

Ve son zamanlarda, sadece gürültü değil, endüstrimizin en büyük başlıklarının kök nedeni. Victoria’s Secret’in siber olayından, satışları bozduğu ve geçici bir web sitesi kapatmasına neden olduğu sınıf eylem davasına neden olan, çok kiracılı bulut ihlallerine kadar, duyarlı verileri müşteriler boyunca ortaya çıkaran, görünen, izlenmeyen veya neredeyse anlaşılmayan kimliklerden kaynaklanan bir dizi ihlal artıyor.

Ajanslı AI’nin yükselişi, uygulamalar, API’ler ve altyapı boyunca hareket edebilen otonom sistemler, insan olmayan kimliklerin (NHIs) patlamasıyla, hizmet hesapları, botlar, API anahtarları ve makine kimlik bilgileri dahil, çarpıştı. Birlikte, çoğu organizasyonun güvence altına alabileceğinden daha hızlı genişleyen yeni bir saldırı yüzeyi oluşturdular.

“Ajanslı AI”nin Ne Anlama Geldiğini

Ajanslı AI, insan denetimi olmadan birden fazla sistem boyunca birden fazla adımdan oluşan görevleri otomatik olarak gerçekleştirebilen AI “ajanslarına” atıfta bulunur.

  • API’leri çağırabilir, veritabanlarını güncelleyebilir veya iş akışlarını tetikleyebilir.

  • Makine hızında çalışır – saniyeler, dakikalar değil.

  • Riskler: İkramiye enjeksiyonu, zehirlenmiş eğitim verileri, çalınan kimlik bilgiler.

İlgili Ölçek

Makine kimlikleri zaten çoğu girişimde insanları sayıca geçiyor, bazı durumlarda 20:1 veya daha fazla. 2026’ya kadar, bu oran neredeyse iki katına çıkacak. Bu NHIs, bulut iş yüklerinizde, CI/CD boru hatlarında ve API entegrasyonlarında ve şimdi LLM tabanlı otomasyonu sürüyor.

Sorun: Çoğu IAM sistemi, makineleri değil, insanları yönetmek için tasarlandı.

  • Açık bir sahibi olmayan hesaplar.

  • Asla sona ermeyen statik kimlik bilgiler.

  • Gerekenden çok daha fazla izin.

Bu teorik değil. Uber ve Cloudflare’deki ihlaller, ihlal edilen makine hesaplarına kadar izlendi – asla phishing simülasyonları almayan, ancak kritik altyapıyı kilitleyebilen türden.

Ajanslı AI: Risk için Bir Çarpan

Bir yandan, ajanslı AI, operasyonel bir oyun değiştiricidir. Öte yandan, erişim ihlal edildiğinde, düşman için çalışan bir otomasyona sahip olursunuz.

Şunu düşünün:

  • SaaS uygulamalarına okuma/yazma haklarına sahip bir AI aracısı, insan merkezli anomali tespitini tetiklemeden veri hırsızlığını otomatikleştirebilir.

  • Aynı aracının IAM rollerini değiştirmesi veya bulut kaynaklarını dağıtması möglichse, otomatik olarak yetki yükselmesine sahip olursunuz.

  • İkramiye enjeksiyon saldırıları ve model zehirlenmesi, saldırganların AI aracısını kimlik bilgilerini çalmadan yönlendirmesine izin verir.

Bir hizmet hesabının nasıl tehlikeli olabileceğini gördük. Şimdi bu hesaba karar verme yeteneği verin ve bahisler katlanıyor.

Vaka Çalışmaları: AI + NHI Döneminde İhlal Adli Tıps

Victoria’s Secret (Mayıs 2025)
Mayıs 2025’te Victoria’s Secret, ABD web sitesini ve bazı mağaza hizmetlerini, görünüşte bir ransomware tarzı olay nedeniyle kapattı (The Hacker News, Bitdefender). Kesinti günlerce sürdü ve tahmini 20 milyon dolarlık Q2 gelir düşüşüne katkıda bulundu. Sonraki bir sınıf eylem davası, perakendecinin duyarlı verileri şifrelemediğini, kritik güvenlik denetimlerini atladığını ve çalışanların siber güvenlik eğitimini ihmal ettiğini iddia ediyor (Top Class Actions), tüm bunlar da genellikle yönetilmeyen insan olmayan kimliklere (NHIs) benziyor ve ayrıcalıklı erişim var.

Google Salesforce İhlali (Haziran 2025)
Haziran ayında, saldırganlar, ShinyHunters (UNC6040) grubuna bağlı, bir kurumsal Salesforce CRM örneğine ses-phishing (vishing) teknikleri aracılığıyla erişim kazandı (ITPro). İçeride, küçük ve orta ölçekli işletme müşterilerine ait iletişim verilerini çıkardılar. Bu, insan hedefli sosyal mühendislik ile başladı, ancak pivot noktası, saldırganların kullanıcı davranışı analitiğini tetiklemeden lateral hareket etmesine izin veren bir bağlı uygulama – makine kimliği türünden – idi.

Perakende ve Lüks Marka Kapasitesi (M&S, Cartier, The North Face)
The North Face ve Cartier de dahil olmak üzere büyük perakendecilere yönelik saldırı dalgası, müşteri adlarını, e-postaları ve seçili hesap meta verilerini ortaya çıkardı (Sangfor, WSJ). Marks & Spencer özellikle zorluk yaşadı, ‘Scattered Spider’ grubuna atfedilen bir fidye yazılımı ve tedarik zinciri saldırısı, 15 haftadan fazla süren bir süre boyunca mağaza hizmetlerini bozdu ve perakendecinin 300 milyon sterline kadar mal olabileceği tahmin ediliyor. Her durumda, üçüncü taraf entegrasyonları ve API bağlantıları, genellikle NHIs tarafından desteklenen, saldırganlar için sessiz bir şekilde işbirliği yaptı.

İnsan Olmayan Kimlik (NHI) Nedir?

NHIs, makineler tarafından kullanılan kimlik bilgileri ve hesaplar. Örnekler:

  • Veritabanları veya uygulamalar için hizmet hesapları.

  • Bulut içi entegrasyon için API anahtarları.

  • Otomasyon komut dosyaları için bot kimlik bilgileri.

Riskler: Aşırı ayrıcalıklı, az izlenen ve genellikle kullanımdan sonra uzun süre aktif kalıyor.

Neden Yönetim Geride Kalıyor

Hatta olgun IAM programları burada engellerle karşılaşıyor:

  • Keşif Boşlukları — Birçok organizasyon, tam bir NHI envanterini üretemiyor.

  • Yaşam Döngüsü Ihmali — NHIs genellikle yıllarca sürebiliyor ve düzenli bir inceleme yapılmıyor.

  • Sorumluluk Boşlukları — Bir insan sahibi olmadan, temizleme işlemleri boşluğa düşüyor.

  • İzin Sızıntısı — İzinler roller değiştikçe birikiyor, ancak iptal işlemi gecikiyor.

Bu, insan hesaplarıyla yıllardır mücadele ettiğimiz aynı sorun – ancak şimdi her NHI, 24/7, ölçeklenebilir bir şekilde, “insan” risk kontrollerini tetiklemeden çalışabilir.

NHIs ve AI Aracilerini Güvenliğini Sağlamak için Satıcı Bağımsız Bir Çalıntı Kitabı

  1. Kapsamlı Keşif — Her NHI ve AI aracısını, izinleri, sahipleri ve entegrasyonları ile birlikte haritalayın.

  2. İnsan Sahiplerini Atayın — Her NHI’nin yaşam döngüsü için birini sorumlu tutun.

  3. En Az Ayrıcalık İlkesini Uygulayın — İzinleri gerçek kullanıma göre eşleyin; fazlalıkları kaldırın.

  4. Kimlik Bilgisi Hijyeni Otomatikleştirin — Anahtarları döndürün, kısa süreli token’ları kullanın, boşta kalan hesapları otomatik olarak sona erdirin.

  5. Sürekli İzleme — Beklenmeyen API çağrıları veya izin yükseltilmesi gibi anomalileri tespit edin.

  6. AI Yönetimini Entegre Edin — AI aracısını yüksek ayrıcalıklı yöneticiler gibi tedavi edin: günlüğü kaydedin, ilkeyi uygulayın, yalnızca zamanında erişimi etkinleştirin.

(Bu adımlar NIST CSF, CIS Control 5 ve ortaya çıkan Gartner IVIP en iyi uygulamalarıyla uyumlu.)

Neden Şimdi Olması Gerekiyor

Bu, yalnızca bir AI trendini takip etmekle ilgili değil. Kimlik sınırının insanlardan proseslere kaydığını tanımakla ilgili. Saldırganlar bunu biliyor. Makine kimliklerini bir yana bırakırsak, saldırganlara needed blind spot’u veriyoruz.

Önde kalan ekipler, NHI ve aracısı yönetimini, görünürlük, sahiplik ve yaşam döngüsü disipliniyle, bir sonraki ihlal sorunu ortaya çıkarmadan önce kimlik güvenliğinin birinci sınıf bir öğesi haline getireceklerdir.

Related Topics:
mm

Mike Towers, Veza'da Güvenlik ve Güven Başkan Yardımcısı olarak görev yapmakta ve şirketin siber güvenlik ve veri koruma stratejisini yönetmektedir. Veza'nın Danışma Kurulunu denetler, kimlik güvenliği yeteneklerini geliştirir ve müşterilerin Veza'nın sektördeki lider kimlik güvenliği ve akıllı erişim platformunun benzersiz değerini anlamalarını sağlar. Mike'ın ekibi, Veza'nın platformunu korumaya çalışır ve müşterilerin dijital ve bulut genişlemesiyle gelen karmaşık erişim kontrolü zorluklarını ele almalarına yardımcı olur.

Mike, Digital Trust Group LLC'nin kurucusu ve deneyimli bir yönetici olarak, dijital güvenlik, güven ve iş sürekliliği konularında uzmanlaşmıştır. Veza öncesi, Takeda'nın Baş Dijital Güven Başkanı olarak görev yaptı ve Allergan ve GSK'de liderlik rollerinde bulunarak güçlü güvenlik çerçeveleri oluşturdu. Kariyeri boyunca 50'den fazla birleşme ve satın alma işlemini etkiledi ve CSO Hall of Fame'e alındı. Saygın bir konuşmacı, yazar ve yönetim kurulu danışmanı olarak, Mike sorumlu inovasyonu, veri korumasını ve bilgi paylaşımını savunmaya devam etmektedir. Boston'da bulunan Mike, dijital güveni ve güvenliği ilerletme konusunda önde gelen bir ses olmaya devam etmektedir.

mm

Matthew Romero is a Technical Product Marketing Manager at Veza, where he bridges engineering precision with marketing strategy in the identity security space. With a background in SecOps and hands-on experience with the Microsoft Defender team, he approaches content with a practitioner’s mindset—writing for engineers first, while aligning with the needs of security leaders.

His work highlights how architecture-first approaches solve real-world challenges in access governance, compliance, and risk reduction. Known for his candid, engineer-to-engineer voice, Matthew focuses on simplifying complexity, helping security teams operationalize identity-first defense models, and clarifying the core question in modern security: who can access what?

He is Asana-certified and credits a neurodivergent lens (ADHD and ASD) with balancing precision and adaptability. Outside of work, Matthew enjoys the Pacific Northwest outdoors, family time, and running a Minecraft server.