Risk Tabanlı Zafiyet Yönetimi (RBVM): Doğru Öncelik

RBVM Nedir ve Neden Gereklidir?

Risk Tabanlı Zafiyet Yönetimi (Risk-Based Vulnerability Management - RBVM), güvenlik açıklarını yalnızca teknik şiddetine göre değil, kuruluşa oluşturduğu gerçek iş riskine göre önceliklendiren bir yaklaşımdır. Geleneksel zafiyet yönetimi, tüm "kritik" seviyeli zafiyetlere eşit aciliyet atarken RBVM, saldırı olasılığı, varlık değeri ve iş etkisini birleştirerek gerçekçi bir risk tablosu çizer.

Ortalama bir kurumda her ay 1.000'den fazla yeni güvenlik açığı tespit edilir. Tümünü aynı anda kapatmak ne teknik ne de operasyonel olarak mümkündür. RBVM yaklaşımı, güvenlik ekiplerinin sınırlı kaynaklarını en yüksek gerçek riski taşıyan zafiyetlere yönlendirmesini sağlayarak genel risk seviyesini en verimli şekilde düşürür.

Gartner'ın öngörülerine göre, 2026 itibarıyla kurumların %60'ı temel önceliklendirme yöntemi olarak risk tabanlı yaklaşımı benimseyecektir. Bu dönüşüm, zafiyet yönetiminin "her şeyi yamala" anlayışından "doğru şeyi önce yamala" anlayışına evrilmesini temsil eder. SİTEY platformu, bu dönüşümü kolaylaştıran yerleşik risk motoruyla donatılmıştır.

CVSS'in Yetersizlikleri

Common Vulnerability Scoring System (CVSS), on yılı aşkın süredir zafiyet şiddetini değerlendirmek için kullanılan standart metriktir. Ancak CVSS, birçok açıdan eksik kalmaktadır. CVSS skoru yayınlandıktan sonra statik kalır ve zafiyetin gerçek dünyada istismar edilip edilmediğini yansıtmaz.

CVSS'in temel sınırlılıkları:

• Bağlam Eksikliği: CVSS 9.8 skorlu bir zafiyet, internete kapalı izole bir test sunucusunda düşük risk taşırken, müşteri verisi barındıran bir web sunucusunda felaket anlamına gelebilir.
• Exploit Durumu Yansıtılmaz: Aktif olarak istismar edilen bir CVSS 7.0 zafiyet, henüz PoC bile olmayan bir CVSS 9.0 zafiyetten çok daha acildir.
• Şişirilmiş Kritik Sayısı: Tüm zafiyetlerin %25'i CVSS 7.0 üstü "yüksek" veya "kritik" olarak sınıflandırılır ki bu, pratik önceliklendirmeyi imkânsız kılar.
• Telafi Edici Kontrol Göz Ardı: WAF, IPS gibi mevcut güvenlik katmanlarının riski azalttığı hesaba katılmaz.
• Zaman Boyutu Eksik: CVSS skoru, zafiyetin seyrini (yeni PoC, yeni exploit kit) zamanla güncellemez.

"CVSS, zafiyetin ne kadar kötü olabileceğini söyler. RBVM ise kuruluşunuz için ne kadar kötü olduğunu söyler."

EPSS ve Exploit Olasılığı

Exploit Prediction Scoring System (EPSS), FIRST.org tarafından geliştirilen ve bir CVE'nin gelecek 30 gün içinde gerçek dünyada istismar edilme olasılığını tahmin eden makine öğrenmesi tabanlı bir modeldir. EPSS, günlük olarak güncellenir ve %0 ile %100 arasında bir olasılık skoru üretir.

EPSS'in gücü, binlerce veri kaynağından beslenmesinde yatar: exploit-db kayıtları, sosyal medya tartışmaları, dark web istihbaratı, PoC yayınlanma tarihleri ve saldırı pattern'leri. Bu sayede CVSS'in statik değerlendirmesinin aksine dinamik ve bağlamsal bir tehdit resmi sunar.

Pratikte EPSS ve CVSS birlikte kullanılmalıdır. Yüksek CVSS skorlu ama düşük EPSS olasılıklı zafiyetler ertelenebilirken, orta CVSS skorlu ama yüksek EPSS olasılıklı zafiyetler acil ele alınmalıdır. Araştırmalar, EPSS-tabanlı önceliklendirmenin salt CVSS'e kıyasla %2-3 kat daha isabetli olduğunu göstermektedir. SİTEY, EPSS verilerini gerçek zamanlı entegre ederek her zafiyet için güncel exploit olasılığını otomatik hesaplar.

Varlık Kritikliği ve İş Bağlamı

RBVM'nin en belirleyici bileşeni, zafiyetin hangi varlık üzerinde bulunduğudur. Aynı zafiyet, bir geliştirme sunucusunda düşük risk taşırken, müşteri ödeme verilerini işleyen bir üretim sunucusunda kritik bir tehdit oluşturur. Varlık kritikliği, iş etkisi perspektifinden belirlenir.

Varlık kritikliği değerlendirmesinde göz önünde bulundurulması gereken faktörler:

1. Veri Sınıflandırması: Varlık üzerinde kişisel veri, finansal veri veya ticari sır barındırılıyor mu?
2. İş Sürekliliği Etkisi: Varlığın devre dışı kalması hangi iş süreçlerini durdurur? Gelir kaybı ne olur?
3. Erişilebilirlik: Varlık internete açık mı, DMZ'de mi, yoksa iç ağda mı konumlanıyor?
4. Düzenleyici Kapsam: Varlık PCI DSS, KVKK veya HIPAA gibi düzenleyici gereksinimlerin kapsamında mı?
5. Kullanıcı Sayısı: Kaç kullanıcı veya müşteri bu varlığa bağımlı?
6. Yatay Hareket Potansiyeli: Bu varlıktan ağdaki diğer kritik varlıklara pivot yapılabilir mi?

SİTEY, CMDB entegrasyonu ve otomatik varlık sınıflandırma özellikleri ile varlık kritikliğini dinamik olarak hesaplar. Varlık sahipliği bilgisi ile birleştirildiğinde, her zafiyetin gerçek iş etkisi belirlenebilir.

Tehdit İstihbaratı ile Zenginleştirme

Zafiyet bulguları tek başına yeterli bilgi sağlamaz. Tehdit istihbaratı (threat intelligence) entegrasyonu, her zafiyetin mevcut tehdit peyzajındaki konumunu ortaya koyar. Bir zafiyetin aktif saldırı kampanyalarında kullanılıp kullanılmadığı, exploit kitlerinde yer alıp almadığı veya APT gruplarının hedefinde olup olmadığı, önceliklendirmeyi kökten değiştirebilir.

Zenginleştirme kaynakları arasında ticari tehdit istihbaratı servisleri (Recorded Future, Mandiant), açık kaynak istihbarat (OSINT) verileri, CISA Known Exploited Vulnerabilities (KEV) kataloğu ve sektörel ISAC bildirimleri yer alır. CISA KEV kataloğu, federal kurumlar için yamalama zorunluluğu getiren resmi listeyi içerir ve özel sektör için de güçlü bir referanstır.

"Tehdit istihbaratı, zafiyet yönetimini teorik riskin ötesine taşıyarak güncel ve gerçekçi bir tehdit resmi oluşturur."

Bu verilerin otomatik olarak zafiyet kayıtlarına eklenmesi, analistin her seferinde manuel araştırma yapma ihtiyacını ortadan kaldırır. SİTEY, STIX/TAXII protokolleri üzerinden tehdit istihbaratı beslemelerini otomatik entegre eder.

Risk Skoru Hesaplama Modeli

RBVM'nin merkezinde, çok boyutlu bir risk skoru hesaplama modeli yer alır. Bu model, teknik şiddet, exploit olasılığı, varlık kritikliği ve telafi edici kontrolleri tek bir bileşke skora dönüştürür. Formül, her kuruluşun risk iştahına göre özelleştirilebilir olmalıdır.

Tipik bir RBVM risk skoru formülü şu bileşenlerden oluşur:

• Teknik Şiddet (CVSS): Zafiyetin teknik ciddiyetini temsil eder - %25 ağırlık.
• Exploit Olasılığı (EPSS): Gerçek dünyada istismar edilme ihtimalini gösterir - %30 ağırlık.
• Varlık Kritikliği: Etkilenen varlığın iş değerini yansıtır - %25 ağırlık.
• Telafi Edici Kontroller: Mevcut güvenlik katmanlarının riski ne kadar azalttığını hesaplar - %10 ile %20 arası düşüş.
• Tehdit İstihbaratı: Aktif istismar durumunda risk skorunu artıran çarpan faktör - 1.5x-2x çarpan.

Bu bileşenler bir araya getirildiğinde, CVSS 9.8 ama düşük EPSS ve iç ağda izole bir varlık üzerindeki zafiyet, CVSS 7.5 ama yüksek EPSS ve internete açık kritik bir sunucudaki zafiyetten daha düşük risk skoru alabilir. İşte bu, RBVM'nin gücüdür. Doğru formül kalibrasyonu, kuruluşun risk iştahı ve sektörel gereksinimlerine göre ayarlanmalıdır.

SİTEY Risk Motoru

SİTEY platformunun yerleşik risk motoru, yukarıda açıklanan tüm bileşenleri otomatik olarak birleştirerek her zafiyet için bağlamsal bir risk skoru hesaplar. Motor, CVSS ve EPSS verilerini gerçek zamanlı olarak çeker, varlık envanteri ile kritiklik bilgisini eşleştirir ve tehdit istihbaratı servislerinden güncel istismar verilerini entegre eder.

Risk motoru, kuruluş genelinde zafiyet portföyünü bir risk haritası olarak görselleştirir. Yönetim panoları üzerinden toplam risk seviyesinin zaman içindeki trendini, en riskli varlıkları ve SLA uyum durumunu tek bakışta görebilirsiniz. Risk motoru ayrıca "what-if" analizleri ile belirli zafiyet gruplarının kapatılmasının toplam riske etkisini simüle edebilir.

"Doğru önceliklendirme, güvenlik ekiplerinin %20 çaba ile %80 risk azaltımı sağlamasını mümkün kılar. SİTEY risk motoru, bu Pareto ilkesini zafiyet yönetimine taşır."