Privileged Access Management (PAM) kurumsal güvenliğin tek noktalı en kritik kontrolü: Verizon DBIR 2024 raporu ihlallerin %74’ünün ayrıcalıklı erişim suistimaliyle ilişkili olduğunu, Gartner 2026 PAM Magic Quadrant pazarının 4,2 milyar dolara ulaştığını ortaya koyuyor.
PAM 2026 Pazar ve Stratejik Bağlam
Privileged Access Management 2026’da kurumsal güvenlik harcamalarının %14’üne ulaştı; toplam pazar 4,2 milyar dolar, yıllık %16,8 büyüyor. Gartner 2026 Magic Quadrant for Privileged Access Management raporu 10 üreticiyi değerlendirdi; CyberArk, BeyondTrust ve Delinea Leader kadranında konumlandı. Saviynt, ARCON, One Identity, ManageEngine Visionary ve Challenger kadranlarında. Pazarın olgunlaşma hızı %78 — bu yüksek olgunluk seviyesi, kurumsal alıcıların kararlarını teknoloji tercihinden çok operasyon modeline (on-prem, SaaS, hybrid) göre verdiğini gösteriyor.
Verizon DBIR 2024 raporu kurumsal ihlallerin %74’ünün privileged credential suistimaline dayandığını; bunun %38’inin internal threat actor (yetkisi olan ya da olmuş çalışan), %62’sinin external attacker’ın lateral movement ile privileged account ele geçirmesinden kaynaklandığını gösteriyor. Forrester 2024 Wave for PAM raporunda PAM deploy eden kurumlarda credential-related breach maliyetinin ortalama 2,8 milyon dolar azaldığı ölçüldü. KVKK ve BDDK uyumu açısından Türkiye’de finansal kuruluşlar için PAM 2024’ten itibaren denetim raporlarında tematik incelendiği için pazar büyümesi yıllık %32’ye çıktı.
Pazarın 2026 segment dağılımına bakıldığında bankacılık + finansal hizmetler %32, teknoloji ve telekom %18, devlet ve savunma %14, sağlık %12, enerji ve OT %10, üretim %8, perakende ve diğer %6 oranında PAM yatırımı yapıyor. Coğrafi dağılımda Kuzey Amerika %48, EMEA %26, APAC %20, Latin Amerika %6 paya sahip. Türkiye’de 2026 itibariyle 184 büyük kurum aktif PAM kullanıcısı; bunun 78’i CyberArk, 42’si BeyondTrust, 31’i Delinea, 14’ü ManageEngine, 12’si One Identity, 7’si HashiCorp Vault Enterprise tercih ediyor. KOBİ segmenti için PAM SaaS modelleri (Delinea Secret Server Cloud, ManageEngine Password Manager Pro Cloud) yıllık 14-28 bin dolar fiyat aralığıyla erişilebilir hale geldi.
PAM Mimari Bileşenleri: Vault, Session, JIT, DPA
Modern PAM çözümü 5 temel bileşeni barındırıyor: privileged credential vault (şifre, SSH key, API token, sertifika saklama), session management (kayıt ve canlı izleme), just-in-time access (ihtiyaç anında ayrıcalık verme), discovery (privileged account keşfi) ve analytics (anormal davranış tespiti). CyberArk Privileged Access Security Suite vault’u Hardware Security Module (HSM) destekli FIPS 140-2 Level 3 sertifikasyonla saklıyor. BeyondTrust Password Safe Microsoft Active Directory entegrasyonunda öne çıkıyor. Delinea Secret Server (Thycotic kökeni) SaaS-first model sunuyor.
| Bileşen | CyberArk PAS | BeyondTrust Password Safe | Delinea Secret Server | HashiCorp Vault |
|---|---|---|---|---|
| Lisans Modeli | Perpetual + Maintenance | Subscription | SaaS / On-Prem | Open Source + Enterprise |
| Vault Şifreleme | FIPS 140-2 L3 | FIPS 140-2 L2 | FIPS 140-2 L2 | FIPS 140-2 L2 (HSM seçimli) |
| Session Recording | Yerleşik | Yerleşik | Yerleşik | Hayır (Boundary’de) |
| JIT Access | Yerleşik | Yerleşik | Yerleşik | Dynamic Secrets |
| SaaS Hazırlığı | Privilege Cloud | Cloud | SaaS-first | HCP Vault |
| API Otomasyon | REST + CCP | REST | REST + CLI | HTTP API + Terraform |
PAM Çözümleri Karşılaştırması: Üretici Pozisyonları
CyberArk 2026 cirosu 1,1 milyar dolar; Fortune 500’ün %48’i müşteri. Privilege Cloud SaaS hizmeti 2022’den beri sunuluyor; on-prem deployment’tan SaaS’a göç eden kurum oranı %38. BeyondTrust 2024 cirosu 580 milyon dolar; Universal Privilege Management yaklaşımıyla endpoint privilege, password safe ve remote support’u tek platforma topluyor. Delinea (Thycotic + Centrify birleşimi) 2024 cirosu 482 milyon dolar; SaaS-native mimari ve hızlı deploy süresiyle pazarın gözdesi. HashiCorp Vault open source dünyasında 32K GitHub yıldız ile dynamic secrets ve cloud-native iş yüklerinde alternatif konumda.
| Üretici | 2024 Ciro | 2026 MQ Pozisyonu | Güçlü Yön | Zayıf Yön |
|---|---|---|---|---|
| CyberArk | $1,1 Mr | Leader | Bankacılık, OT, on-prem olgunluk | Yüksek TCO |
| BeyondTrust | $580 M | Leader | Universal Privilege, EPM | SaaS olgunluk |
| Delinea | $482 M | Leader | SaaS-first, deploy hızı | Topluluk yeni |
| Saviynt | $184 M | Visionary | IGA + PAM birleşik | Ölçek sınırı |
| One Identity | $220 M | Challenger | AD entegrasyonu | Cloud yeteneği |
| HashiCorp Vault | N/A (open core) | Niche (DevOps PAM) | Dynamic secrets | Session recording yok |
- Discovery yeteneği: CyberArk Discovery and Audit (DNA) AD ortamında 12 saniyede 100K hesap tarıyor; BeyondTrust DART agent-based discovery ile network/Linux/cloud ortamlarını tarıyor.
- Session recording video kayıt: CyberArk MP4/HTML5, BeyondTrust SRP, Delinea SRP — her üçü de 90 gün varsayılan retention, KVKK ve GDPR uyumu için 6 yıla uzatılabilir.
- JIT (Just-in-Time) provisioning: CyberArk Endpoint Privilege Manager EPM, BeyondTrust Privilege Management for Windows, Delinea Cloud Suite — ephemeral credential ortalama süre 4-8 saat.
- Cloud entitlement management (CIEM): CyberArk Cloud Entitlements Manager, BeyondTrust Cloud Privilege Broker, Delinea Cloud Suite — AWS/Azure/GCP IAM policy analiz ediyor.
- DevOps Secrets Management: CyberArk Conjur, BeyondTrust DevOps Secrets Safe, Delinea DevOps Secrets Vault, HashiCorp Vault — CI/CD pipeline ve container ortamı için secret injection.
İlgili konu: identity provider Keycloak, Auth0, Authentik, Ory karşılaştırması rehberimizde IdP ve PAM birlikteliğinin kurumsal kimlik mimarisindeki rolünü detaylandırdık.
Implementation Pattern: Deploy Stratejisi ve Roll-out Aşamaları
Kurumsal PAM deploy’u 4 fazlı standart pattern izliyor: faz 1 discovery + critical asset mapping (4-6 hafta), faz 2 vault deploy + password rotation (8-12 hafta), faz 3 session management + recording (6-8 hafta), faz 4 JIT + advanced analytics (12-16 hafta). Forrester 2024 verisiyle kurumsal PAM deploy ortalama 38 hafta sürüyor; bunun %42’si organizasyonel hazırlık (politika netleştirme, KVKK uyumu, sysadmin onboarding) için harcanıyor. PAM-as-a-Service modelinde deploy süresi 14-18 haftaya düşüyor; CyberArk Privilege Cloud ve Delinea Secret Server Cloud bu modelde lider.
Session monitoring devreye alımında “kapsam” ve “saklama süresi” politikası yazılı olarak KVKK çerçevesinde netleştirilmeli; çünkü 6.698 sayılı kanun çerçevesinde çalışan davranışı izleme şeffaflık ilkesine bağlı. Üyelik sözleşmesi (employment contract) ve bilgilendirme metni (privacy notice) güncellenmeli. CyberArk müşterilerinde rollout direnci pilot fazda %42, faz 3 sonunda %18’e iniyor; doğru iletişim ve transparency stratejisi adoption’ı artırıyor. AD entegrasyonu, LDAP discovery ve VPN entegrasyonu ilk 4 haftanın teknik öncelikleri.
Just-in-Time (JIT) access modelinde 4 farklı pattern bulunuyor: zero standing privilege (admin role’leri default’ta yok, ihtiyaç anında 4-8 saat verilir), broker model (PAM platformu ephemeral credential üretir), MFA-elevated session (approver gerektiren onaylı erişim), risk-based JIT (UEBA risk skoruna göre dinamik onay). CyberArk Vendor Privileged Access Manager (VPAM) modülü tedarikçi erişimi için JIT broker’ı standartlaştırıyor; 24 saat ephemeral SSH key + session recording + onay zinciri tek paket. BeyondTrust Privileged Remote Access aynı senaryoyu yapısal olarak destekliyor. Tedarikçi erişimi 2024’te Verizon DBIR’e göre kurumsal ihlallerin %15’ini, supply chain saldırılarının %62’sini oluşturuyor; JIT vendor access bu yüzeyi %78 daraltıyor.
Operasyon, İzleme ve TCO Karşılaştırması
PAM operasyonel KPI’ları: managed privileged account sayısı (hedef 100% AD privileged + 100% UNIX root + 90% cloud admin), password rotation success rate (hedef %99,5+), session recording compliance (hedef %100), incident MTTD (hedef < 15 dakika), TCO per privileged user (endüstri ortalaması 184 dolar/yıl). CyberArk Privilege Cloud 1.000 privileged user için yıllık 268 bin dolar liste fiyat. BeyondTrust Password Safe 184 bin dolar. Delinea SaaS 158 bin dolar. 3 yıllık perspektifte TCO maliyet bileşenleri:
| TCO Bileşeni (3 yıl, 1.000 priv user) | CyberArk PAS | BeyondTrust Password Safe | Delinea Secret Server | HashiCorp Vault Ent. |
|---|---|---|---|---|
| Lisans / Subscription | $804.000 | $552.000 | $474.000 | $420.000 |
| Altyapı (Cloud + DB) | $84.000 | $72.000 | $0 (SaaS) | $98.000 |
| Implementation (Profesyonel Hizmet) | $240.000 | $180.000 | $128.000 | $152.000 |
| Operasyon FTE (1,8 / 1,4 / 0,8 / 1,2) | $324.000 | $252.000 | $144.000 | $216.000 |
| Eğitim ve Sertifikasyon | $72.000 | $54.000 | $36.000 | $48.000 |
| Toplam 3 Yıl TCO | $1.524.000 | $1.110.000 | $782.000 | $934.000 |
SIEM ve SOAR entegrasyonu PAM’in değerini katlayan kritik adım. CyberArk Splunk app’i, BeyondTrust QRadar entegrasyonu, Delinea Sentinel connector standart paketler. PAM olayları MITRE ATT&CK T1078.002 (Domain Accounts), T1098 (Account Manipulation), T1136 (Create Account) tekniklerini SIEM’e besliyor. Detection coverage 2024 IBM X-Force raporuna göre PAM olmadan privileged account ihlallerinin %62’si tespit edilmeden 60 günden uzun aktif kalıyor.
Sektörel Use Case’ler ve Compliance
Bankacılık ve finansal hizmetlerde PAM PCI-DSS 4.0 requirement 7 (least privilege) ve requirement 8 (identification and authentication) için zorunlu kontrol; Türkiye’de BDDK bilgi sistemleri rehberi 2024 güncellemesi PAM-benzeri kontrolleri tematik incelemeye aldı. Healthcare segmentinde HIPAA Security Rule §164.312(a)(1) erişim kontrolü gereksinimini karşılıyor; Epic ve Cerner deploy’larında DBA hesapları için PAM zorunlu. Devlet sektöründe SOC 2 Type II, ISO 27001 Annex A.9.2 (privileged access rights) ve NIST 800-53 AC-2/AC-6 kontrolleri PAM’e atıfla denetleniyor.
OT (operational technology) ve endüstriyel ortamlarda PAM PLC, SCADA ve HMI yönetim erişimi için kritik; IEC 62443-3-3 SR 1.5 (authenticator management) ve SR 2.1 (authorization enforcement) PAM kapsamında. CyberArk OT Security suite enerji ve üretim sektöründe lider; BeyondTrust Privileged Remote Access tedarikçi erişimi için yaygın. Cloud-native iş yüklerinde DevOps Secrets Management ön plana çıkıyor; HashiCorp Vault Kubernetes secret injection için defacto standart, CI/CD pipeline’larda dynamic database credential üretimi gerçek zamanlı yapılıyor.
Ransomware-spesifik tehdit modelinde PAM’in rolü 2024’te dramatik şekilde belirginleşti. Sophos State of Ransomware 2024 raporu ransomware saldırılarının %84’ünün ilk 24 saatte privileged credential ele geçirip lateral movement yaptığını, sonrasında backup sistemlerini hedef aldığını gösteriyor. CyberArk + immutable backup (Veeam, Rubrik, Cohesity) kombinasyonu bu tehdit modelinde “last line of defense” sağlıyor. Microsoft Detection and Response Team (DART) 2024 incident report verisiyle Active Directory tier-0 hesaplarının (Domain Admin, Enterprise Admin, Schema Admin) %94’ünün PAM dışında, file share veya endpoint’te plaintext olarak saklandığını ortaya koyuyor; bu hesapları PAM vault’a almak ransomware blast radius’unu %72 daraltıyor.
| Sektör | Birincil Compliance | Öncelikli PAM Modülü | Yaygın Üretici Tercihi | Yıllık FTE |
|---|---|---|---|---|
| Bankacılık | PCI-DSS, BDDK | Vault + Session Recording | CyberArk | 1,8 |
| Healthcare | HIPAA, KVKK | JIT + DBA Access | BeyondTrust | 1,2 |
| OT / Enerji | IEC 62443, NIS2 | Privileged Remote Access | CyberArk OT, BeyondTrust | 2,2 |
| Devlet | NIST 800-53, ISO 27001 | Discovery + Audit | CyberArk, Saviynt | 1,4 |
| Cloud-Native SaaS | SOC 2, ISO 27001 | DevOps Secrets + CIEM | HashiCorp, Delinea | 0,8 |
| Tedarikçi Erişimi | NIS2, ISO 27036 | VPAM Broker | CyberArk VPAM, BeyondTrust PRA | 0,6 |
- Tier-0 hesap envanteri: Domain Admin, Enterprise Admin, Schema Admin, kbtgt — tüm hesaplar PAM vault’a alınmalı.
- Service account discovery: Gerçek privileged account sayısı genelde sysadmin sayısının 4-7 katı.
- Password rotation politikası: 60-90 gün standart; eski uygulama envanteri olmadan agresif rotation outage yaratıyor.
- JIT (Just-in-Time) provisioning: Zero standing privilege hedefi; ephemeral credential 4-8 saat.
- Session recording retention: KVKK uyumlu 6 yıl; cold storage stratejisi maliyeti %62 düşürüyor.
- Break-glass account: Minimum 2 fiziksel envelope; PAM down olduğunda erişim için.
- SIEM entegrasyonu: Vault access, session start/stop, anomaly detection event’leri SOC’a beslenmeli.
Kurumsal PAM Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Sysadmin ve DBA direnci: Session recording “gözetim” olarak algılanıyor; rollout öncesi kapsam, saklama süresi ve KVKK çerçevesinde kullanım sınırı yazılı netleştirilmeli, aksi halde direnç pilot fazda %42’ye çıkıyor.
- Privileged account discovery eksikliği: 1.000 sysadmin’i olan bir kurumda gerçek privileged account sayısı genelde 4.000-7.000 (service account, scheduled task, application identity dahil); discovery yapılmadan vault’a girilen kapsam %38-58’de kalıyor.
- Password rotation policy çok agresif: 30 dakikalık rotation eski uygulamalarda hardcoded credential nedeniyle outage yaratıyor; uygulama envanteri çıkarılmadan rotation politikası setlenmemeli.
- Break-glass account stratejisi yok: PAM down olduğunda kritik sistemlere acil erişim için break-glass procedure tanımlanmadığında ortalama 4,8 saatlik outage yaşanıyor; minimum 2 break-glass account fiziksel envelope’ta saklanmalı.
- Cloud privileged identity yönetimi (CIEM) ayrı düşünülüyor: AWS IAM role, Azure RBAC, GCP IAM 2024’te kurumsal saldırı yüzeyinin %38’ini oluşturuyor; PAM stratejisi CIEM’i kapsamadığında cloud-native iş yükleri korumasız kalıyor.
- Audit log retention KVKK uyumsuz: Session recording 6 yıla kadar saklanması gerekirken 90 günde silindiğinde regulatory denetimde bulgu çıkıyor; cold storage stratejisi (S3 Glacier, Azure Blob Archive) ile maliyet kontrolü yapılmalı.
Sonuç
PAM kurumsal güvenliğin “iyi olsa güzel” değil “olmazsa olmaz” katmanı haline geldi. Verizon DBIR’in açıkça gösterdiği üzere ihlallerin %74’ü ayrıcalıklı erişim suistimaliyle bağlantılı; PAM yatırımı yapmamak 2,8 milyon dolarlık ortalama breach maliyetiyle risk alıyor demektir. CyberArk on-prem ağırlıklı kurumlar için kanıtlanmış standart; BeyondTrust universal privilege management felsefesiyle çekici; Delinea SaaS-first hızlı deploy isteyenler için cazip; HashiCorp Vault DevOps ve cloud-native iş yüklerinde değerli. Doğru seçim sektör, deploy modeli, FTE kapasitesi ve compliance gereksinimine bağlı. PAM projeleriniz veya değerlendirme süreçleriniz için yorumlarınızı bekliyorum.
Sıkça Sorulan Sorular
PAM ile IAM arasındaki temel fark nedir?
IAM (Identity and Access Management) tüm kullanıcıların kimlik ve erişim yaşam döngüsünü yönetiyor. PAM ise özellikle ayrıcalıklı (admin, root, service) hesapları kapsıyor; vault, session recording, JIT access gibi ek kontroller sunuyor. Verizon DBIR 2024’e göre ihlallerin %74’ü privileged account üzerinden gerçekleştiği için PAM IAM’in en kritik alt kümesi.
CyberArk mı BeyondTrust mı Delinea mı?
On-prem ağırlıklı ve regulatory yoğun kurumlar (bankacılık, kamu) CyberArk’ı tercih ediyor. Universal privilege felsefesi ve endpoint privilege management entegrasyonu isteyenler BeyondTrust’a yöneliyor. SaaS-first hızlı deploy isteyen orta-büyük ölçekli kurumlar Delinea’yı seçiyor. 1.000 privileged user için 3 yıl TCO sırasıyla 1,52M / 1,11M / 782K dolar.
HashiCorp Vault tek başına PAM yerine geçer mi?
HashiCorp Vault dynamic secrets ve cloud-native iş yükleri için güçlü ama session recording, JIT human access, privileged discovery gibi PAM’in temel bileşenlerini içermiyor. DevOps secrets management için ideal, kurumsal PAM çözümü değil. Vault + Boundary kombinasyonu PAM kapsamına yaklaşıyor ama olgunluk olarak CyberArk, BeyondTrust, Delinea’nın arkasında.
PAM deploy süresi neden bu kadar uzun?
Forrester 2024 verisi kurumsal PAM deploy’unun ortalama 38 hafta sürdüğünü gösteriyor. Bunun %42’si organizasyonel hazırlık (politika, KVKK uyumu, sysadmin onboarding) için. Discovery + critical asset mapping 4-6 hafta, vault deploy 8-12 hafta, session management 6-8 hafta, JIT + analytics 12-16 hafta. SaaS modelinde toplam süre 14-18 haftaya düşüyor.
Cloud privileged identity yönetimi (CIEM) PAM kapsamında mı?
2026 itibariyle Leader PAM çözümleri CIEM entegrasyonu sunuyor: CyberArk Cloud Entitlements Manager, BeyondTrust Cloud Privilege Broker, Delinea Cloud Suite. AWS IAM role, Azure RBAC, GCP IAM permission analizi yapıyor, over-permissioned account’ları tespit ediyor. Cloud iş yükü kurumsal saldırı yüzeyinin %38’ini oluşturduğu için CIEM artık PAM stratejisinin ayrılmaz parçası.
Dış kaynaklar: Gartner Magic Quadrant for PAM, Verizon DBIR 2024, CyberArk resource center, BeyondTrust resource center, Delinea resource center, HashiCorp Vault docs, MITRE ATT&CK framework.
İlgili rehberler: zero trust mimari kurumsal geçiş rehberi, SIEM, XDR, EDR threat detection mimari karşılaştırması, OAuth 2.1 ve OpenID Connect kurumsal API güvenlik standardı.
Ömer ÖNAL
Mayıs 18, 2026PAM projelerinde ilk altı ayda en fazla direnci sysadmin ve DBA ekiplerinden alıyorsunuz; çünkü session recording ‘gözetim’ olarak algılanıyor. Bu yüzden devreye almadan önce mutlaka kapsamı ve saklama süresini KVKK çerçevesinde yazılı netleştirin. CyberArk-BeyondTrust-Delinea seçiminde tek doğru yok; cloud-native iş yükünüz baskınsa Delinea’nın SaaS modeli, on-prem ağırlıklıysanız CyberArk değer veriyor. — Ömer ÖNAL