Güvenlik Dünyası Yeni Gerçeği Kabul Ediyor: “Her Açığı Yamamak” Artık Çalışmıyor

Siber güvenlik dünyası uzun yıllardır aynı refleksle çalıştı:

“CVSS skoru yüksekse acildir.”

“Critical ise hemen kapat.”

“Scanner ne bulduysa remediation aç.”

Kağıt üzerinde mantıklı görünen bu yaklaşım, bugün artık ölçek problemi yüzünden çökmüş durumda.

Çünkü modern kurumlar artık insan ölçeğinde değil, makine ölçeğinde güvenlik problemi yaşıyor.

Bir enterprise ortamında:

- yüz binlerce vulnerability,

- milyonlarca telemetry event,

- sürekli değişen asset topology,

- AI destekli exploit üretimi,

- otomatik saldırı zincirleri

aynı anda çalışıyor.

Ve en kritik gerçek şu:

Her vulnerability eşit risk taşımıyor.

O’Reilly’de yayınlanan “Predict, Don’t Enumerate” makalesi tam olarak bu kırılma anını anlatıyor.

Yazının en önemli tarafı ise teknik detay değil.

Anthropic gibi frontier AI laboratuvarlarının ilk kez açık şekilde şunu söylemesi:

“Enumeration yetmez. Prediction gerekir.”

Bu aslında güvenlik dünyasında sessizce yaşanan paradigma değişiminin resmi ilanı.

CVSS Dünyası Neden Çöküyor?

CVSS insan ölçeği için tasarlanmıştı.

Bugün ise:

- cloud environment’lar,

- container katmanları,

- ephemeral workload’lar,

- AI generated code,

- legacy dependency chain’leri

yüzünden güvenlik yüzeyi geometrik büyüyor.

Bir kurumda:

- 9.8 CVSS skorlu binlerce açık olabilir

- ama bunların çok küçük kısmı gerçekten exploit edilir

İşte burada klasik yaklaşım kırılıyor.

Çünkü:

- “yüksek skor” = “yüksek risk” değil

- “critical” = “öncelikli” değil

Asıl soru şu:

Bu açık gerçekten exploit edilecek mi?

EPSS Neden Önemli?

EPSS (Exploit Prediction Scoring System) tam burada devreye giriyor.

EPSS şunu yapıyor:

“Bir vulnerability’nin önümüzdeki 30 gün içinde exploit edilme olasılığı nedir?”

Bu çok kritik bir fark.

CVSS:

- teorik tehlikeyi ölçer

EPSS:

- gerçek exploit olasılığını ölçmeye çalışır

Yani:

- internet üzerindeki saldırı pattern’leri,

- exploit activity,

- attacker behavior,

- observed telemetry

gibi sinyalleri kullanır.

Aslında güvenlik operasyonlarının uzun süredir hissettiği şeyi matematiksel hale getiriyor:

“Tüm açıklar aynı derecede önemli değil.”

Asıl Problem: Global Model Yetmiyor

Makaledeki en güçlü bölüm burası.

Çünkü EPSS bile yeterli değil.

Neden?

Çünkü EPSS global davranışı görüyor.

Ama senin şirketini bilmiyor.

Şunları bilmiyor:

- asset gerçekten internete açık mı?

- ilgili servis reachable mı?

- WAF koruyor mu?

- segmentasyon var mı?

- exploit path gerçekten çalışıyor mu?

- compensating control mevcut mu?

İki şirket aynı vulnerability’ye sahip olabilir.

Ama riskleri tamamen farklıdır.

İşte burada “local knowing machine” fikri ortaya çıkıyor.

Güvenliğin Geleceği: Knowing Machine

Makaledeki en önemli kavramlardan biri:

“Pointing Machine vs Knowing Machine”

Bugünkü security tooling büyük ölçüde:

- buluyor,

- işaret ediyor,

- enumerate ediyor.

Ama anlamıyor.

“Knowing machine” ise:

- bağlamı anlıyor,

- davranışı yorumluyor,

- gerçek riski hesaplıyor.

Bence önümüzdeki 5 yılın en büyük security dönüşümü tam burada olacak.

Çünkü AI artık:

- exploit üretebiliyor,

- eski bug’ları bulabiliyor,

- attack chain kurabiliyor.

Defender tarafı artık “daha fazla finding” kaldırabilecek durumda değil.

Bu yüzden:

daha iyi scanner değil,

daha iyi prioritization gerekiyor.

Türkiye’deki Şirketler İçin Acı Gerçek

Kurumsal yapılarda hâlâ şu dashboard mantığı var:

- kaç critical açık var?

- kaç tanesi kapandı?

- SLA geçti mi?

Ama bunların büyük kısmı risk metriği değil.

Sadece operasyon metriği.

Üstelik:

- remediation ekipleri tükeniyor,

- patch süreçleri kırılıyor,

- change riski artıyor,

- false urgency kronik hale geliyor.

Yani:

her şeyi yamamaya çalışırken

gerçek risk kaçıyor.

Önümüzdeki dönemde güçlü security ekipleri:

- daha fazla patch yapanlar değil,

- doğru şeyi patch edenler olacak.

Yeni Güvenlik Dönemi Başladı

Makalenin verdiği en önemli mesaj şu:

Güvenlik artık “enumeration” problemi değil.

“Prediction” problemi.

Ve bu sadece teknik dönüşüm değil.

Bu:

- audit dönüşümü,

- compliance dönüşümü,

- board reporting dönüşümü,

- SOC dönüşümü,

- CISO dönüşümü.

anlamına geliyor.

Çünkü AI çağında:

“her şeyi düzeltmeye çalışmak”

strateji değil.

Önceliklendirme artık bir opsiyon değil.

Hayatta kalma mekanizması.