Yaklaşık 20 yıldır profesyonel iş hayatındayım kariyerim özellikle ofansif güvenlik bakış açısı ile şekillendi. ARGE ve danışmanlık tecrübelerim sonrası, üretici tarafında; IBM Security'de başlayan, ardından Tenable gibi zafiyet yönetimi odaklı global bir firmada devam eden bu süreçte çok sayıda penetrasyon testi ve red team operasyonda çalışma şansı yakaladım., Kritik altyapılardan finans sektörüne kadar geniş bir yelpazede kritik zafiyetler raporladım. OSCP sertifikasını aldığım dönemde öğrendiğim bir şey var ki bence bu durum hâlâ değişmedi: bir sistemi kırmak için sofistike bir exploit'e nadiren ihtiyacınız olur, çoğu zaman gözden kaçmış varlık ve kolayca istismar edilebilen bir zafiyet yeterlidir. Tespit ettiğiniz bir zero-day ise sizi direkt sonuca götürür.
Hem saldırı tarafında hem de savunma tarafında birçok ekiple çalışma şansı yakaladım. CrowdStrike Falcon'u endpoint korumasında birçok kez "karşımda" buldum — ve itiraf edeyim, iyi bir EDR olarak beni birçok projede zorladı. Lateral movement denemelerimde Falcon'un davranışsal analizi alarm ürettiğinde, gece yarısı operasyon planımı baştan yazmak zorunda kaldığım anlar oldu.
Ama bugün konumuz bu değil.
Bugün bahsetmek istediğim şey, CrowdStrike'ın son dönemde giderek agresifleşen bir mesajla müşterilerine söylediği bir cümle: "Zaten EDR ajanınız var. Neden ayrı bir zafiyet yönetim aracına para veriyorsunuz? Biz size vulnerability management da yapalım."
Bu cümle, ilk duyduğumda dürüst olmak gerekirse mantıklı geliyor. Ama gerçek hayatta karşılaştıklarım, bu bakış açısının tehlikeli bir yanılsama olduğunu söylüyor.
Hayalet Zafiyetler ve Kör Noktalar:
Hedef kurum, endpoint tarafında CrowdStrike Falcon kullanıyor ve yakın zamanda Falcon Exposure Management modülü satın aldılar. Üst yönetimin masasında "tek platform, tek ajan" vizyonu vardı — anlaşılır bir hedef.
İlk keşif aşamasında, kurumun DMZ segmentinde bir Windows Server 2019 makinesine ulaşılıyor. Falcon Spotlight bu sunucuyu "düşük riskli" olarak sınıflandırmış durumda. Ancak bağımsız bir zafiyet taraması gerçekleştirdiğimizde, bu sunucuda standart olmayan dış dünyaya açık bir RDP portu, güncellenmemiş bir SQL Server instance'ı ve üç adet kritik CVE tespit edildi. Bunların hiçbiri Falcon'un raporlarında yoktu.
Neden? Çünkü CrowdStrike'ın zafiyet tarama motoru, temelde bir paket enümerasyonu mekanizması. Yani endpoint üzerinde kurulu yazılımların versiyon bilgilerini topluyor ve bunları bilinen zafiyet veritabanıyla eşleştiriyor. Yurtdışı üzerinden gerçekleştirilen taramalarda ise paket kayıpları ve gecikmelere bağlı olarak açık olan erişim noktaları gözden kaçıyor. Ana işi zafiyet tespit olan çözümler ise bunun çok ötesine geçer: DLL dosyalarını inceler, dosya sistemini, Windows registry anahtarlarını kontrol eder, servis konfigürasyonlarını analiz eder ve dinamik bağımlı kütüphanelerdeki yamalı/yamasız durumları doğrular.
Bu fark, kağıt üzerinde teknik bir detay gibi görünebilir. Fakat bir saldırganın kurumun iç ağına lateral movement yapabilmesi ile sonuçlanan kör noktalar yarattı.
İlginç olan şu: geçmişte 2 farklı üreticinin (Tenable ve Qualys) zafiyetler rapor çıktılarında yer alan bu bulgular için kenara atılan orkestrasyon için kullandıkları arayüzde çağrı kayıtları da açılmış. Sonuç olarak "Ajan konsolidasyonu" adı altında yapılan tasarruf, aslında veri sızıntısı ile sonuçlanabilirdi.
Bağımsız Değerlendirme Sonuçları
Saha gözlemlerimi destekleyen benchmark verileri de mevcut. 2025 yılında yayınlanan Miercom değerlendirmesinde, aynı hedef sistemler üzerinde ana işi zafiyet taraması olan bir zafiyet tarama aracı ile CrowdStrike Falcon Exposure Management karşılaştırıldı bu rapora göre:
Tenable, CrowdStrike'a kıyasla %40 daha fazla zafiyet tespit etti.
Sadece bu da değil. CrowdStrike'ın ağ tarayıcısı, standart dışı RDP ve standart dışı portlarda çalışan SQL web uygulamaları gibi kritik açık portları tamamen kaçırdı. Özelleşmiş araç ise aynı cihazlarda %16 daha fazla CVE kapsama oranı sağladı.
Bu rakamları bir an için düşünün: eğer zafiyet yönetim aracınız, ortamınızdaki zafiyetlerin yüzde kırkını göremiyorsa, aslında bir zafiyet yönetim programınız yok demektir. Göremediğiniz şeyi yönetemezsiniz.
Saldırganın %40'lık dilimde sadece bir tane istismar edilebilir zafiyet bulması yeterli.
"Yeterince İyi" Neden Yeterli Değil: Zaman Yarışı
Zafiyet yönetiminde en kritik metrik nedir? Tespit hızı. Bir zafiyetin herkese açık hale gelmesiyle, sizin onu tespit edip müdahale etmeniz arasındaki süre, saldırganın penceresidir. Bu pencere ne kadar genişse, risk o kadar büyüktür.
Tenable, Qualys, Rapid7 gibi üreticlerin araştırma ekipleri, yalnızca zafiyet keşfi ve istihbaratına odaklanır — bu onların varlık sebebidir. CrowdStrike ise öncelikli olarak bir EDR/XDR firmasıdır ve zafiyet araştırması, portföyündeki birçok bileşenden yalnızca biridir.
Bu yapısal fark, gerçek dünya zafiyet yanıt sürelerine doğrudan yansıyor. 2025 yılında belgelenen vakalara bakalım:
Fortinet CVE-2025-25257 — Temmuz 2025
Kritik bir SQL injection zafiyeti. Fortinet danışma belgesi 7 Temmuz'da yayınlandı. Tenable zafiyet yönetim araçları aynı gün tespit yayınlarken, CrowdStrike ancak 17 Temmuz'da — yani 10 gün sonra — kataloğuna ekledi. Üstelik CrowdStrike bunu eklerken, fonksiyonel bir exploit zaten herkese açık hale gelmişti.
On gün. Kurumsal bir ortamda on günlük kör bir pencere, geçmişte Xfinity veri ihlalinde olduğu gibi, tüm altyapının ele geçirilmesi için fazlasıyla yeterli bir süredir.
WinRAR CVE-2025-8088 — Ağustos 2025
Path traversal yoluyla uzaktan kod çalıştırmaya izin veren bu zafiyet 7 Ağustos'ta yayınlandı. Rakip araç araç 10 Ağustos'ta tespit çıkardı — fonksiyonel exploit henüz mevcut değilken. CrowdStrike ise ancak 12 Ağustos'ta, yani exploit zaten herkese açıldıktan sonra tespit ekledi. Bu 48+ saatlik pencerede, CrowdStrike'a güvenen müşteriler tamamen kördü.
Cursor MCPoison CVE-2025-54136 — Eylül 2025
AI destekli kod editörü Cursor'daki bu kritik kod çalıştırma zafiyeti, yeni nesil saldırı vektörlerinin habercisiydi. Rakip araç, PoC yayınlandıktan 24 saat içinde hem tespit hem emerging threat sınıflandırması yayınladı.
CrowdStrike? Hiçbir kapsama yok. Sıfır. Falcon'a güvenen kurumlar, bu zafiyetten habersiz kalmaya devam etti.
Bu özellikle dikkat çekici çünkü CrowdStrike, AI güvenliği alanında agresif bir şekilde pazarlama yapıyor. Ancak kendi AI güvenlik portföyünü genişletirken, AI geliştirme araçlarındaki kritik bir zafiyeti tespit edemiyor.
F5 BIG-IP İhlali — Ekim 2025
Bu vaka belki de en çarpıcı olanı. F5, Ağustos ayında bir ulus-devlet aktörünün geliştirme ortamına sızdığını tespit etti ve ihlal soruşturması için bizzat CrowdStrike'ı görevlendirdi. CrowdStrike iki ay boyunca F5'in iç sistemlerine erişim sağladı. Ekim 15'te F5, ihlali ve 44 yeni CVE'yi herkese açıkladığında, özelleşmiş zafiyet yönetim araçları aynı gün tespit yayınladı. CrowdStrike — iki aylık insider erişime rağmen — ancak ertesi gün tespit ekledi.
Düşünün: soruşturmayı bizzat yürüten firma, zafiyet tespitinde dışarıdan bakan firmalardan 17 saat daha geç kaldı.
Bu, CrowdStrike'ın zafiyet araştırma kapasitesinin yapısal bir sınırlılık olduğunu gösteren en somut kanıttır. Kötü niyetli değil — sadece ana odak noktaları bu değil. Ve bu gayet anlaşılır. Ama kurumların bunu bilerek karar vermesi gerekir
EDR Ajanı vs. Zafiyet Yönetim Ajanı: Aynı Kapıdan Giren İki Farklı Dünya
CrowdStrike'ın en güçlü satış argümanlarından biri şu: "Zaten endpoint'lerinizde ajanımız var. Neden ikinci bir ajan kurasınız?"
Bu argüman, bir otomobil tamircisine gidip "zaten arabanızda motor var, neden ayrı bir teşhis cihazı kullanalım?" demek gibidir. Evet, EDR ajanı endpoint üzerinde çalışır — ama amacı ve mimarisi tamamen farklıdır.
Bir EDR ajanı, çalışma zamanı davranışlarını izlemek, şüpheli süreç aktivitelerini tespit etmek ve saldırı göstergelerini (IoA/IoC) yakalamak için tasarlanmıştır. Bu konuda CrowdStrike Falcon gerçekten başarılıdır ve bu alandaki uzmanlıkları tartışılmaz. Her red team operasyonunda Falcon'un varlığını ciddiye alırım.
Özelleşmiş bir zafiyet yönetim ajanı ise tamamen farklı bir amaca hizmet eder:
- İşletim sistemi, dosya sistemi ve uygulama seviyesinde detaylı zafiyet taraması — sadece versiyon numarasına değil, bağımlılıkların, DLL hash'lerine ve registry anahtarlarına bakarak yama durumunu doğrulama
- Credentialed ve non-credentialed tarama teknolojilerinin kombinasyonu
- Yüz binlerce tespit imzasıyla endüstrinin en geniş zafiyet kapsama alanları
- CIS, DISA STIG, PCI DSS, HIPAA, SOX ve onlarca farklı uyumluluk çerçevesi desteği. Custom özelleştirilmiş audit file ve plugin desteği.
CrowdStrike'ın Falcon Exposure Management modülü ise uyumluluk tarafında yalnızca CIS benchmark kontrollerini destekliyor. Eğer kurumunuz PCI DSS, HIPAA, SOX veya herhangi bir sektörel düzenlemeye tabi ise — ki Türkiye'deki finans, sağlık ve enerji sektörleri için bu neredeyse kaçınılmaz — CrowdStrike bu ihtiyacınızı karşılayamaz.
Daha da kritik bir sınırlama: CrowdStrike'ın zafiyet değerlendirmesi, yalnızca Falcon ajanı kurulu endpoint'lerle ve bu client'ların ağ üzerindeki erişimleri ile sınırlıdır. Ajanlara hangi seviyede ağ tarama ve erişim izni verilmesi gerektiği konusu riskli ve zor bir konudur. Çünkü art niyetli bir kullanıcı da aynı yetkileri kullanarak ağı tarayabilir. CrowdStrike ağ tarama özelliği yalnızca Windows üzerinde çalışıyor ve kapsamı, Falcon ajanına komşu sistemlerle kısıtlı. Ağınızdaki ajanı olmayan sunucuları, ağ cihazlarını, yazıcıları, IoT/OT varlıklarını, web uygulamalarını — kısacası saldırı yüzeyinizin büyük bir bölümünü — göremez.
Ana işi zafiyet yönetimi olan teknolojiler ise ajan tabanlı, ajansız ve ağ taraması teknolojilerini birleştirir. Passive monitoring, dağıtık tarama motorları, DAST, OT, Cloud, identity sensörleri ve IaC değerlendirmesi ile saldırı yüzeyinizin tamamını kapsar.
Falcon ajanı kurulu olmayan o tek cihaz, CrowdStrike'ın zafiyet raporlarında hiçbir zaman görünmez.
Kara Kutu Problemi
Penetrasyon testi sonuçlarını müşteriye sunarken en çok karşılaştığım itiraz şudur: "Ama bizim zafiyet tarama aracımız bunu göstermedi!"
Manuel pentest ya da bazen kaliteli araçlar ile bu tartışmayı hızla çözeriz. Öncelikle hiçbir araç manuel pentestin yerini tutamaz. Fakat kalite araçların zengin çıktısı, zafiyetin tam yolunu — hangi dosyada, hangi versiyon numarasında, hangi konfigürasyonda tespit edildiğini — detaylıca gösterir. Tespit mantığı herkese açıktır, plugin çıktısı okunabilir. Bu şeffaflık, false positive tartışmalarını hızla sonuçlandırır ve IT ekiplerinin gereksiz yere zaman kaybetmesini önler.
CrowdStrike'ın tespit mekanizması ise bir kara kutu. Tespit mantığı herkese açık değil, plugin veritabanı yayınlanmamış, zafiyetin tam yolu gösterilmiyor. Bağımsız değerlendirme raporlarında CrowdStrike'ın yüksek hacimde gereksiz bildirim ve false positive ürettiği defalarca teyit edildi.
Bir güvenlik aracına güvenmek için, o aracın size neyi neden gösterdiğini açıklayabilmesi gerekir. "Güven bana, bu riskli" yaklaşımı, savunma tarafında kabul edilebilir bir strateji değildir.
IBM Security'deki yıllarımda öğrendiğim en değerli ilkelerden biri şuydu: güvenlikte şeffaflık, güvenin ön koşuludur. Tespit mantığını doğrulayamadığınız bir araca güvenmek, gözü kapalı araba sürmekten farklı değildir.
Eksik Parçalar
Olgun bir zafiyet yönetim programı yalnızca "şu CVE var mı?" sorusuna yanıt vermekle kalmaz. Aşağıdaki yeteneklerin her biri, stratejik bir güvenlik programının vazgeçilmez bileşenleridir:
Zafiyet İstihbaratı (Vulnerability Intelligence): Hangi zafiyetlerin aktif olarak istismar edildiği, exploit kullanılabilirliği, tehdit aktörü bağlamı ve tarihsel trend analizi. CrowdStrike Falcon Exposure Management'ta bu yetenek mevcut değil.
Müdahale Takibi (Exposure Response): SLA bazlı iyileştirme takibi — kümülatif risk skorları yerine, uçtan uca bir iş akışı ve yama mevcut olmasa bile risk bazlı bir yaklaşım. CrowdStrike'ta mevcut değil.
Emsal Kıyaslama (Peer Benchmarking): Siber riskinizi sektör emsallerinizle karşılaştırma. CrowdStrike'ta mevcut değil.
Geniş Uyumluluk Desteği: CIS dışında PCI DSS, HIPAA, DISA STIG, SOX ve onlarca ek çerçeve. Özelleştirilebilme kabiliyeti. Custom audit ve plugin desteği. CrowdStrike yalnızca CIS benchmark ile sınırlı.
On-prem internet olmadan çalışabilme kabiliyeti: CrowdStrike bulut tabanlı bir çözümdür.
Bu yeteneklerin yokluğu, CrowdStrike'ın zafiyet yönetimini bir yan ürün olarak — EDR platformunun bir eklentisi olarak — konumlandırdığının en net göstergesidir. Bu bir eleştiri değil, bir tespit. CrowdStrike mükemmel bir EDR firmasıdır ve asıl gücü oradadır.
Maliyet Yanılsaması
"Ek ajan gerektirmez" argümanı, bir TCO (Toplam Sahip Olma Maliyeti) avantajı gibi sunulur. Ancak Miercom'un bağımsız TCO analizi farklı bir tablo çiziyor:
CrowdStrike, Exposure Management için minimum 100 lisans zorunluluğu getiriyor. Ve bu modülün etkinliği, paralel EDR lisansları olmadan sınırlı kalıyor — bu da koltuk başı maliyeti fiilen ikiye katlıyor. Değerlendirmede CrowdStrike'ın koltuk başı maliyeti 96,80 dolara ulaştı. Üçüncü taraf veri entegrasyonu için de ek lisans ücreti talep ediliyor.
Asıl maliyet hesabı ise şu: lisans tasarrufu yapıp zafiyetlerin %40'ını kaçırmak mı, yoksa doğru araca yatırım yapıp saldırı yüzeyini gerçekten görmek mi? Bir veri ihlalinin ortalama maliyetinin milyonlarca doları bulduğu bir dünyada, bu sorunun cevabı açık olmalı.
Strateji mi, Taktik mi?
Güvenliği bir yaşam felsefesi haline getirmiş, kurumsal olgunluğa ulaşmış kritik organizasyonlar bir gerçeği çoktan kavramıştır: zafiyet yönetimi, endpoint güvenliğinin bir alt kümesi değildir. Tam tersine, zafiyet yönetimi proaktif güvenlik stratejisinin temelidir — endpoint güvenliği ise bu stratejinin bir bileşenidir.
CrowdStrike Falcon, endpoint detection and response alanında tartışmasız bir liderdir. Red team operasyonlarında karşıma çıktığında saygı duyduğum bir çözümdür. Ama bir aracın bir alanda mükemmel olması, her alanda yeterli olduğu anlamına gelmez. Bir beyin cerrahından kardiyoloji muayenesi olmazsınız — her ikisi de doktordur ama uzmanlıkları farklıdır.
CrowdStrike'ın zafiyet yönetim modülüne güvenen kurumlar şu riskleri taşımaktadır:
- Saldırı yüzeylerinin yalnızca bir dilimini görebilirler — ajanı olmayan varlıklar tamamen kör noktadadır
- Zafiyetlerin %40'ına kadarını kaçırabilirler — bu, bağımsız testlerle kanıtlanmış bir rakamdır
- Kritik zafiyetlere günlerce, hatta haftalarca geç müdahale edebilirler — 10 günlük pencereler belgelenmiştir
- PCI DSS, HIPAA, SOX gibi temel uyumluluk gereksinimlerini ve ülkemizdeki istenen kontrollere göre özelleştirilmesi gereken uyumluluk gereksinimlerini karşılayamazlar
- Yüksek false positive oranıyla zaman kaybederler
- Tespit mantığını bağımsız olarak doğrulayamazlar
- Bulut ve internet etkileşimine bağımlıdırlar.
Bu risklerin her biri tek başına ciddi bir endişe kaynağıdır. Bir arada değerlendirildiklerinde ise kabul edilebilir bir tablo çizmezler.
Yönetici olarak "ajan sayısını azalttık, maliyetten tasarruf ettik" demek, yönetim kurulunda iyi bir etki yaratabilir. Ama bir sızıntı sonrası "zafiyetlerin büyük bir kısmını göremedik çünkü EDR ajanına güvendik" demek, çok farklı bir konuşmadır.
Güvenlik hijyeni, uzmanlaşmış araçlarla sağlanır. EDR, EDR işini yapar — ve CrowdStrike bunu mükemmel yapar. Zafiyet yönetimi ise zafiyet yönetimi için tasarlanmış araçların işidir. Piyasada bu alanda yıllardır kanıtlanmış, bağımsız değerlendirmelerde tutarlı biçimde liderlik konumunda yer alan çözümler mevcuttur.
Tercih sizin. Ama bilgi sahibi olarak tercih edin.
No comments:
Post a Comment