Saldırganlar bugün hem daha hızlı hem de süreçleri daha otomatik. 2024 Verizon DBIR, ihlallerde ilk erişim adımı olarak zafiyet sömürüsünün önceki yıla göre yaklaşık üç kat arttığını (artış %180) raporladı. Bu artışın önemli bir bölümü yamalanmamış sistemlerdeki açıkların hedef alınmasından ve tedarik zinciri etkilerinden kaynaklanıyor. Kısacası, manuel önceliklendirme ile yamalama penceresini kapatmak artık mümkün değil; çözüm, yapay zekâ destekli patch management ile risk-bazlı otomasyondur.
Savunma tarafında tespit hızlanıyor; bu da yamaya ayrılabilecek “güvenli” pencereyi daraltıyor. Mandiant’ın M-Trends 2024 bulgularına göre küresel medyan dwell time 10 güne indi; fidye yazılımı vakalarında 5 gün seviyesine kadar düştü. Bu tablo, kritik yamaların “haftalar” değil “günler” içinde devreye alınmasını gerektiriyor.
Aynı dönemde saldırı yüzeyi büyümeye devam ediyor. ENISA Threat Landscape 2024, 19.754 zafiyet rapor edildiğini; bunların %9,3’ünün kritik, %21,8’inin yüksek olduğunu paylaşıyor. Bu hacimde bir backlog’u çıplak insan gücüyle sıralamak gerçekçi değil; istismar sinyalleri, varlık kritiklik dereceleri ve bağlamsal risk metriklerini birlikte işleyen AI destekli önceliklendirme zorunlu hale geliyor.
Düzenleyici çerçeve de bunu destekliyor. CISA’nın Known Exploited Vulnerabilities (KEV) kataloğu, aktif istismar gören açıkları merkezi olarak yayımlıyor ve kamu kurumları için bağlayıcı süreler tanımlıyor; kurumların da KEV’i iç politika ve SLO’larına girdi yapması tavsiye ediliyor. Ayrıca CISA’nın BOD 22-01/ilgili rehberleri, yüksek/kritik zafiyetlerde 30 güne kadar net hedefler koyuyor. NCSC (UK) ise pratik bir çıta sunuyor: internet-yüzü servisler için ~5 gün, iç ağ için ~14 gün; aktif istismarda süre daha da kısalmalı.
Saldırgan otomasyonu da hız kesmiyor. Google Threat Intelligence, 2024’te 75 sıfır-gün (0-day) istismarının sahada kullanıldığını; bunların yaklaşık %44’ünün ağ/güvenlik gibi kurumsal ürünleri hedef aldığını raporladı. Edge cihazlar, güvenlik duvarları ve ağ geçitleri için gecikmesiz yama akışı bu yüzden kritik.
Türkiye perspektifi de benzer bir resim çiziyor. KVKK 2024 yılı için veri ihlali bildiriminin kuruma ulaştığını paylaştı; USOM ise 2023’te 104.000+ zararlı bağlantıyı tespit ederek altyapı seviyesinde engelledi. 2024–2028 Ulusal Siber Güvenlik Stratejisi de zafiyet ve yamalama süreçlerinin kurumsallaştırılmasını öncelikler arasında konumlandırıyor.
Üstelik bu gereklilik yalnızca teori değil; CISA’nın Eylül 2025’te Cisco ASA/Firepower için yayımladığı acil direktif gibi örneklerde gördüğümüz üzere, aktif istismar halinde envanter çıkarma, adli analiz ve derhal yamalama zorunluluğu getirilebiliyor. Bu tarz olaylar, yama süreçlerinin hem hız hem de izlenebilirlik açısından otomasyona dayandırılması gerektiğini pratikte kanıtlıyor.
AI ile Patch Management nasıl hızlanır?
- Risk-bazlı önceliklendirme (RBP): KEV, istismar telemetrisi, tehdit istihbaratı, CVSS, varlık kritiklik puanı (iş etki haritası) ve “internet-yüzü” bayrağını tek modelde birleştirip dinamik öncelik üretin. Amaç; “kritik + KEV + internet-yüzü” kombinasyonunu otomatik olarak en üste taşımak ve ≤5 gün gibi SLO’lara bağlamak.
- Akıllı pencere planlama: Mandiant’ın 10/5 günlük dwell time metriği, değişiklik takvimlerini yeniden tasarlamayı gerektiriyor. AI; üretim trafiği, iş takvimi, bağımlılıklar ve SLA’ları dikkate alarak en erken uygulanabilir bakım penceresini önerebilir.
- Otomatik test/rollback: Ön-üretim A/B testleri, canary dağıtım ve politika-tabanlı rollback mekanizmaları CI/CD ile bütünleşerek yamaların başarı oranını ve MTTR’ı iyileştirir. (NCSC’nin “update by default” yaklaşımı, bu otomasyonun kültürel temelidir.)
- Doğal dil özetleme ve biletleştirme: AI, vendor bültenlerini özetleyip değişiklik etkisi, önkoşullar, yeniden başlatma ihtiyacı gibi başlıkları otomatik bilet olarak ITSM’e açabilir; CMDB ile çapraz kontrol ederek sahiplik ve onay akışlarını tetikler.
- Edge/ağ cihazları için “acil hat”: 0-day trendi ve regülasyon örnekleri, güvenlik duvarı ve ağ cihazlarını ayrı bir “acil yama hattına” almayı gerektiriyor (örn. KEV + network device etiketi = otomatik yükselmiş öncelik).
Hedef tablo ve KPI önerisi
• SLO’lar:
– KEV + internet-yüzü + kritik: ≤5 gün
– KEV + iç ağ + yüksek: ≤14 gün
– Diğer kritik/yüksek (aktif istismar yok): ≤30 gün
• KPI’lar: KEV uyum oranı, ortalama yama süresi (MTTP), açık kalma süresi (Window of Exposure), başarısız yama oranı, otomasyon kapsama oranı (% kaç varlık “update by default” altında).
Hız, bağlam ve tekrarlanabilirlik
Veriler net: Zafiyet sömürüsü hızlandı (DBIR), tespit penceresi daraldı (M-Trends), zafiyet hacmi yüksek (ENISA) ve regülatif baskı artıyor (CISA KEV/NCSC). Klasik “önce CVSS” yaklaşımı bugün tek başına yeterli değil. AI destekli, risk-bazlı ve uçtan uca otomatik bir patch yönetimi; hem uyum (KEV/SLO), hem de iş sürekliliği için en rasyonel yol. Türkiye’deki tehdit hacmi ve bildirim verileri de (KVKK, USOM) bu dönüşümün gecikmeden yapılması gerektiğini gösteriyor.
Neden Eclit?
Bugünkü gücümüz, Managed/Hybrid Cloud, DRaaS (Disaster Recovery) & Yedekleme, 7/24 SOC, Gözlemlenebilirlik & AIOps, FinOps, Uyum & Denetim.
Hedefimiz: güvenilir altyapı, görünürlük ve maliyet kontrolü ile operasyonunuzu güçlendirmek.
