CVE Önceliklendirme: CVSS vs EPSS

CVSS, EPSS ve varlık bağlamını birleştirerek hızlı ve isabetli aksiyon alma.

CVE Önceliklendirme: CVSS vs EPSS kapak görseli
Risk tabanlı önceliklendirme: CVSS • EPSS • Varlık Bağlamı

Kısaca

  • CVSS şiddeti tek başına yeterli değil; EPSS ile sömürü olasılığını ekleyin.
  • Varlık kritiklikleri ve internet maruziyetiyle bağlam oluşturun.
  • Kuralları otomatikleştirip SLA ve uyarı mekanizmalarıyla hız kazanın.

CVSS tek başına neden yetmez?

CVSS etkiyi ölçer; ancak sömürülebilirlik ve gerçek saldırı olasılığı konusunda sınırlıdır. EPSS, tehdit istihbaratı ve gözlemlenen istismar verileriyle bu boşluğu doldurur.

EPSS nedir ve nasıl kullanılır?

  • Belirli bir CVE’nin yakın vadede istismar edilme olasılığını verir.
  • CVSS 6.5 orta seviye bile EPSS %90 ise kritik gibi ele alınmalıdır.
  • EPSS eşikleri kurallara dökülerek otomatik önceliklendirme sağlanır.

Kombine Puanlama (Örnek)

Risk = CVSS_Impact × EPSS_Factor × Varlık_Kritiklik × Maruziyet

  • Varlık_Kritiklik: crown-jewel = 2, normal = 1
  • Maruziyet: internet-facing = 1.5, dahili = 1
  • EPSS_Factor: EPSS% / 50 (üst sınır 2 ile normalize)

Otomasyon ve Ürünle Birlikte

  • EPSS ≥ %75 ve internet-facing varlıklar için anında uyarı.
  • Risk ≥ eşik için otomatik ticket (Jira, ServiceNow) ve atama.
  • Kapatma sonrası otomatik retest ve doğrulama raporu.

İzlenecek KPI’lar

  • Kritik/EPSS yüksek açıklar için MTTR
  • Exploit edilmiş açıkların oranı (zamanında müdahale)
  • SLA uyum oranı ve retest başarısı

CVE Yaşam Döngüsü

Bir güvenlik açığı keşfedildiğinde, CVE (Common Vulnerabilities and Exposures) sistemi üzerinden standart bir tanımlama ve yayınlama süreci başlar. Bu süreç, zafiyet yönetimi programlarının temelini oluşturur ve doğru önceliklendirme için her aşamanın anlaşılması kritiktir.

CVE yaşam döngüsü üç temel durumdan oluşur: Reserved (ayrılmış), Assigned (atanmış) ve Published (yayınlanmış). Bir araştırmacı veya vendor güvenlik açığını keşfettiğinde, CNA (CVE Numbering Authority) üzerinden bir CVE ID rezerve edilir. Bu aşamada detaylar henüz kamuya açık değildir ve responsible disclosure süreci işler.

CVE ID atandıktan sonra, açığın teknik detayları, etkilenen ürünler ve sürümler CNA tarafından doldurularak NVD'ye (National Vulnerability Database) gönderilir. NVD analisti CVSS puanını hesaplar, CWE kategorisini atar ve CPE (Common Platform Enumeration) eşleştirmesini yapar. Bu süreç ortalama 7-30 gün arasında değişir; ancak yoğun dönemlerde 90 güne kadar uzayabilir.

  • Reserved: CVE ID ayrılmış, detaylar gizli - embargo süreci devam eder.
  • Assigned/Received: Detaylar CNA tarafından doldurulmuş, NVD incelemesi bekliyor.
  • Published: NVD'de tam analiz tamamlanmış, CVSS ve CWE bilgileri kamuya açık.
  • Rejected/Disputed: Geçersiz veya mükerrer olarak işaretlenmiş CVE'ler.
  • Undergoing Analysis: NVD tarafından aktif olarak inceleme altında olan kayıtlar.

Etkili bir siber güvenlik stratejisi için sadece Published durumundaki CVE'leri değil, Reserved aşamasındaki potansiyel tehditleri de izlemek gerekir. SİTEY platformu, CVE yaşam döngüsünün her aşamasını takip ederek erken uyarı mekanizması sağlar.

CVSS v4.0 Yenilikleri

CVSS (Common Vulnerability Scoring System) v4.0, Kasım 2023'te FIRST tarafından yayınlanmış olup zafiyet yönetimi alanında önemli değişiklikler getirmektedir. v3.1'deki temel sorunları gidermek amacıyla puanlama sistemi kapsamlı biçimde yeniden tasarlanmıştır.

CVSS v4.0'ın en büyük yeniliği dört metrik grubu yaklaşımıdır: Base (temel), Threat (tehdit - eski Temporal), Environmental (çevresel) ve yeni eklenen Supplemental (tamamlayıcı). Threat metrik grubu sadeleştirilmiş ve exploit maturity odaklı hale getirilmiştir.

  • Attack Requirements (AT): v3.1'deki Attack Complexity'nin yerini alan yeni metrik; saldırganın başarılı olması için gerekli ön koşulları daha net tanımlar.
  • Provider Urgency (U): Supplemental metrik olarak eklenen bu değer, vendor'ın açığa verdiği aciliyet seviyesini yansıtır.
  • Safety (S): Özellikle OT/ICS ortamları için eklenen, insan güvenliğine etkiyi ölçen supplemental metrik.
  • Automatable (AU): Saldırının otomatikleştirilebilir olup olmadığını gösteren supplemental değer.
  • Recovery (R): Saldırı sonrası sistemin kendini toparlama kapasitesini belirleyen metrik.
  • Value Density (V): Başarılı bir saldırıda elde edilen verinin yoğunluğunu ifade eder.

v4.0 ayrıca çoklu puanlama gösterimi sunar: CVSS-B (sadece Base), CVSS-BT (Base+Threat), CVSS-BE (Base+Environmental) ve CVSS-BTE (tüm gruplar). Bu, sızma testi raporlarında ve güvenlik açığı değerlendirmelerinde daha granüler iletişim sağlar.

CVSS v3.1'den v4.0'a geçişte dikkat edilmesi gereken en önemli nokta, aynı CVE'nin farklı puan alabilecek olmasıdır. SİTEY, hem v3.1 hem v4.0 puanlarını paralel olarak destekleyerek geçiş sürecini kolaylaştırır.

EPSS Modeli Detaylı İnceleme

EPSS (Exploit Prediction Scoring System), FIRST tarafından geliştirilen ve bir CVE'nin önümüzdeki 30 gün içinde istismar edilme olasılığını tahmin eden makine öğrenmesi tabanlı bir modeldir. Zafiyet yönetimi süreçlerinde CVSS'in "ne kadar kötü" sorusuna karşılık, EPSS "ne kadar olası" sorusunu yanıtlar.

Model, 1.400'den fazla özellik (feature) kullanarak olasılık hesaplar. Bu özellikler arasında CVE'nin yaşı, CVSS vektörü, CWE kategorisi, vendor bilgisi, referans sayısı ve en önemlisi gerçek dünya istismar verileri yer alır.

  • Veri Kaynakları: Fortinet, AlienVault OTX, GreyNoise, Shadowserver ve diğer threat intel beslemeleri exploit gözlemlerini sağlar.
  • Olasılık Aralığı: 0 ile 1 arasında; 0.1 (10%) dahi oldukça yüksek sayılır - CVE'lerin %95'inden fazlası %3.57 altında kalır.
  • Percentile: Bir CVE'nin tüm CVE'ler arasındaki göreceli konumunu gösterir; %90 percentile o CVE'nin %90'ından daha yüksek olasılığa sahip olduğu anlamına gelir.
  • Günlük Güncelleme: Model her gün yeniden eğitilir ve skorlar güncellenir; dünkü düşük skor bugün exploit gözlemiyle dramatik artabilir.
  • Coverage: NVD'deki tüm CVE'leri (200.000+) kapsar; yeni yayınlanan CVE'ler 24-48 saat içinde skorlanır.

EPSS'in en güçlü yönü dinamik olmasıdır: tehdit ortamı değiştikçe skorlar güncellenir. Bir PoC yayınlandığında veya aktif kampanyada kullanıldığında EPSS skoru hızla yükselir. Bu, statik CVSS puanına kıyasla çok daha actionable bir rehber sunar.

SİTEY platformu EPSS verilerini API üzerinden günlük olarak çeker, trend analizi yapar ve 30 günlük EPSS trendi yükselişe geçen CVE'ler için proaktif alarm üretir.

SSVC Karar Ağacı

SSVC (Stakeholder-Specific Vulnerability Categorization), CISA ve Carnegie Mellon SEI tarafından geliştirilen, karar ağacı tabanlı bir güvenlik açığı önceliklendirme çerçevesidir. CVSS'in puanlama yaklaşımı yerine, paydaşlara özel aksiyon kararları üretir.

SSVC'nin temel felsefesi şudur: "Bir güvenlik açığı için ne yapmalıyım?" sorusuna Track (izle), Track* (yakından izle), Attend (ilgilen) veya Act (hemen harekete geç) şeklinde net bir karar vermektir.

  • Exploitation (İstismar Durumu): None, PoC, Active - açığın aktif olarak sömürülüp sömürülmediği.
  • Automatable (Otomatikleştirilebilirlik): Saldırının insan müdahalesi olmadan otomatikleştirilebilirlik durumu.
  • Technical Impact (Teknik Etki): Partial veya Total - sistemin ne kadarının ele geçirilebileceği.
  • Mission Prevalence (Görev Yaygınlığı): Etkilenen varlığın organizasyonun kritik görevlerindeki rolü.
  • Public Well-being (Kamu Esenliği): Açığın halk sağlığı ve güvenliğine olası etkisi.

SSVC'nin en büyük avantajı şeffaflık ve tutarlılık sağlamasıdır. Karar ağacı yapısı sayesinde aynı girdilerle her zaman aynı sonuca ulaşılır. CISA, bilinen istismar edilen açıklar kataloğunu (KEV) SSVC ile birlikte kullanılmak üzere tasarlamıştır.

SİTEY, SSVC karar ağacını platform içinde modellemenize olanak tanır; siber güvenlik ekipleri kendi organizasyon profillerine göre dallanma noktalarını özelleştirebilir.

Exploit Olgunluk ve Tehdit Bağlamı

Bir güvenlik açığı için exploit'in mevcut olup olmadığı ve olgunluk seviyesi, önceliklendirme kararını dramatik biçimde etkiler. Exploit olgunluğu, teorik bir risk ile aktif bir tehdit arasındaki farkı belirler ve zafiyet yönetimi sürecinin en kritik girdilerinden biridir.

Exploit olgunluk seviyeleri şu şekilde sınıflandırılabilir:

  • Unproven / Theoretical: Sadece teorik olarak sömürülebilir; henüz çalışan exploit kodu yok. Risk düşük ama izlenmeli.
  • PoC (Proof of Concept): Kavram kanıtı yayınlanmış; GitHub, Exploit-DB veya araştırma yazılarında mevcut. Saldırganlar bunu weaponize edebilir.
  • Weaponized: Exploit, saldırı araçlarına (Metasploit, Cobalt Strike, Nuclei template) entegre edilmiş durumda. Sömürü kolaylaşmış ve yaygınlaşma riski yüksek.
  • Active / In-the-Wild: Gerçek saldırılarda aktif olarak kullanılıyor. CISA KEV kataloğu, GreyNoise ve honeypot verileriyle doğrulanmış.
  • Commodity / Kit: Exploit kitlerine dahil edilmiş; düşük yetenekli saldırganlar bile kullanabiliyor. En yüksek aciliyet seviyesi.

Tehdit bağlamı sadece exploit olgunluğuyla sınırlı değildir. Saldırgan profili (APT grupları, ransomware çeteleri), hedef sektör ve coğrafi threat landscape de değerlendirilmelidir. Örneğin, sağlık sektörünü hedefleyen bir APT grubunun kullandığı CVE, sağlık kuruluşları için kritik önceliğe sahip olmalıdır.

SİTEY, exploit veritabanları, CISA KEV, Metasploit modülleri ve Nuclei template'lerini sürekli izleyerek her CVE'nin exploit olgunluk skorunu otomatik olarak günceller ve sızma testi bulgularıyla korelasyon sağlar.

Varlık Bağlamı ile Zenginleştirme

CVE puanlaması ne kadar gelişmiş olursa olsun, varlık bağlamı olmadan gerçek riski ölçmek imkânsızdır. Aynı CVSS 9.8 açığı, internete açık kritik bir veritabanı sunucusunda varoluşsal bir tehdit iken, izole test ortamındaki bir makinede kabul edilebilir risk olabilir.

Varlık bağlamı zenginleştirme, zafiyet yönetimi sürecine şu boyutları ekler:

  • Varlık Kritikliği: Crown-jewel (müşteri verileri, finansal sistemler, DC) varlıklar en yüksek ağırlığı alır. Üç katmanlı sınıflandırma: Tier-1 (kritik), Tier-2 (önemli), Tier-3 (düşük).
  • İnternet Maruziyeti: İnternetten doğrudan erişilebilir, DMZ'de, VPN arkasında veya tamamen izole - her seviye farklı risk çarpanı taşır.
  • Telafi Edici Kontroller: WAF, IPS, segmentasyon, EDR gibi mevcut güvenlik katmanları etkin risk seviyesini düşürebilir. Ancak bu, yamanın ertelenmesi için bahane olmamalıdır.
  • İş Etkisi (Business Impact): Varlığın devre dışı kalması durumunda finansal kayıp, operasyonel duruş, müşteri etkisi ve regülasyon riski değerlendirilir.
  • Veri Hassasiyeti: Varlığın barındırdığı veri türü (PII, KVKK kapsamı, kart verileri, sağlık kayıtları) önceliği doğrudan etkiler.
  • Bağımlılık Haritası: Varlığın diğer kritik sistemlerle bağımlılıkları; bir veritabanı sunucusundaki açık, bağlı 50 uygulamayı da riske atar.

Etkili bir zenginleştirme için CMDB, ağ topolojisi, iş süreç haritaları ve veri sınıflandırma envanterleri entegre edilmelidir. SİTEY'in varlık modülü bu kaynakları birleştirerek her güvenlik açığına dinamik bağlam skoru atar.

Önceliklendirme Otomasyonu

Manuel önceliklendirme, günde yüzlerce yeni CVE yayınlanan günümüz ortamında sürdürülebilir değildir. Otomasyon, zafiyet yönetimi programlarının ölçeklenmesi için zorunludur ve SİTEY bu alanda kapsamlı bir çözüm sunar.

Otomatik önceliklendirme şu bileşenlerden oluşur:

  • Risk Formülü: Risk = f(CVSS_Base, EPSS_Score, Exploit_Maturity, Asset_Criticality, Exposure, Compensating_Controls). Her parametre ağırlıkları organizasyona özel kalibre edilir.
  • Eşik Yönetimi (Threshold Management): Dinamik eşikler farklı varlık grupları için farklı tetikleme noktaları belirler. Crown-jewel varlıklar için eşik düşük, izole test ortamları için yüksek tutulur.
  • Kural Motoru: IF-THEN yapısında kurallar: "EPSS ≥ 0.7 AND Internet_Facing = True → Severity = Critical, SLA = 24h, Auto-Assign = SOC Team".
  • EPSS Trend Analizi: Anlık skor yerine 7 ve 30 günlük trend yönü değerlendirilir; yükseliş trendindeki CVE'ler proaktif olarak yükseltilir.
  • Otomatik Ticket Oluşturma: Belirlenen eşikleri aşan açıklar için Jira, ServiceNow veya Azure DevOps'ta otomatik iş emri, atama ve SLA tanımlanır.
  • Feedback Loop: Kapatılan açıkların gerçek exploit verileriyle karşılaştırılması, modelin sürekli iyileştirilmesini sağlar.

SİTEY'in önceliklendirme motoru, tüm bu değişkenleri gerçek zamanlı olarak hesaplar ve günlük EPSS güncellemeleri, yeni exploit gözlemleri ve varlık değişikliklerini anında yansıtır. Siber güvenlik ekipleri böylece en yüksek gerçek risk taşıyan açıklara odaklanabilir.

Pratik Önceliklendirme Senaryoları

Teorik çerçevelerin gerçek dünyada nasıl fark yarattığını anlamak için somut karşılaştırma senaryolarına bakalım. Aşağıda, sadece CVSS kullanan geleneksel yaklaşım ile çok faktörlü zafiyet yönetimi yaklaşımı yan yana değerlendirilmektedir:

Senaryo 1 - Log4Shell (CVE-2021-44228): CVSS 10.0, EPSS %97.5. Sadece CVSS'e bakıldığında zaten kritik; ancak EPSS'in %97.5 olması ve exploit-in-the-wild durumu, bu açığı tüm kritikler arasında bile en üst sıraya çıkarır. Çok faktörlü yaklaşım: internet-facing Java uygulamaları için saatler içinde aksiyon, dahili sistemler için 24 saat.

Senaryo 2 - Teorik Kernel CVE: CVSS 9.1 (Kritik) ama EPSS %0.2 ve exploit yok. Geleneksel yaklaşımla bu CVE, Log4Shell ile aynı aciliyet sınıfına girer ve kaynak israfına neden olur. Çok faktörlü yaklaşım: Track* (yakından izle) - exploit gelişmeleri monitör edilir, kaynak yüksek olasılıklı açıklara yönlendirilir.

Senaryo 3 - Orta Seviye Web Açığı: CVSS 6.5 (Orta), EPSS %85, Metasploit modülü mevcut, internet-facing web sunucusu. Geleneksel yaklaşımla "Orta" sınıfında kalır ve haftalık yama döngüsüne girer. Çok faktörlü yaklaşım: exploit olgunluğu ve maruziyet nedeniyle Kritik olarak yükseltilir, 24 saat SLA uygulanır.

  • Kazanım: Çok faktörlü yaklaşımla gerçek saldırı yüzeyine odaklanma %60-70 oranında iyileşir.
  • Verimlilik: Ekiplerin kritik olarak işaretlediği açık sayısı %40 azalır, odak artırılır.
  • MTTR İyileşmesi: Gerçek risk taşıyan açıklar için ortalama müdahale süresi %50 kısalır.
  • Kaynak Optimizasyonu: Sızma testi ekiplerinin retest yükü doğru önceliklendirme ile azalır.

SİTEY, bu çok faktörlü yaklaşımı otomatik kural motoruyla hayata geçirir; ekipler her sabah en güncel risk sıralamasıyla güne başlar ve siber güvenlik operasyonlarını veri odaklı yönetir.

SSS

EPSS verisini nereden alabilirim?

Resmi EPSS API/CSV kaynakları veya threat intel sağlayıcıları üzerinden alınır ve SİTEY’e entegre edilir.

EPSS düşük ama CVSS yüksekse?

İş etkisi yüksekse yine öncelik verilir; bağlam ve regülasyon gereksinimleri dikkate alınır.

Skorlamayı nasıl doğrularım?

Geriye dönük olay verisiyle korelasyon analizi ve pilot süreçlerle eşik ayarlarını kalibre edin.

Kullanım Senaryoları

  • Patch önceliklendirme: Haftalık yama penceresinde EPSS ve maruziyete göre sıralama.
  • Zeroday yakın takip: Yüksek EPSS trendlere göre acil aksiyon listeleri.
  • Varlık bazlı alarm: Crown-jewel varlıklarda risk eşiğini daha düşük tutma.

Sık Yapılan Hatalar

  • Tek metrikle karar: Sadece CVSS veya sadece EPSS ile sıralama.
  • Maruziyeti yok sayma: İnternet-facing olmayan sistemleri aynı öneme koyma.
  • Statik eşikler: Tüm varlıklar için aynı kural setini uygulama.

Örnek Kural Setleri

  • EPSS ≥ %75 VE internet-facing → kritik, 24 saat içinde aksiyon.
  • CVSS ≥ 9 VE exploit mevcut → kritik, 72 saat içinde aksiyon.
  • EPSS 40–75 VE crown-jewel → yüksek, 5 iş günü.

İlgili Yazılar

SİTEY ile bu süreçleri tek platformda otomatikleştirin.

Sınırsız Demo İndir Platformu İnceleyin