Varlık Envanteri ve ZY: Bilmiyorsan Yönetemezsin

Kısaca

• Envanter olmadan bağlam yok; bağlam yoksa doğru önceliklendirme de yok.
• Crown-jewel yaklaşımıyla iş etkisi yüksek varlıklar ön sıraya alınır.

Özet Anlatım

Varlık envanteri, güvenlik bulgularına anlam katar. Aynı CVE, iç ağdaki test sunucusunda düşük riskken, müşteri verisi tutan üretim veritabanında kritik olabilir. Bu yüzden envanter ile ZY verisini birleştirip otomatik sınıflandırma yapmak şarttır.

Entegrasyon Yöntemleri

• CMDB/Cloud API senkronizasyonu
• Agent/agentless keşif ve eşleştirme

Sınıflandırma ve Otomasyon

• Kritiklik atamaları (tiering) ve maruziyet bilgisi
• Otomatik etiketleme ve uyarı kuralları

Pratik Rehber

Kullanım senaryoları:

• Bulut hesaplarında shadow IT tespiti
• Yama penceresi planlaması için crown-jewel listesi
• CMDB kalite ölçümü: drift ve yetim varlıklar

Sık yapılan hatalar:

• Etiketlerin standartlaşmaması nedeniyle veri dağınıklığı
• Maruziyet/iş etki bilgisini envantere taşımamak
• Değişim yönetimiyle entegrasyonu ihmal etmek

Adım adım (entegrasyon):

1. CMDB/Cloud API bağlantıları ve veri modelinin eşleştirilmesi
2. Otomatik sınıflandırma kuralları ve crown-jewel işaretleme
3. ZY platformu ile varlık eşleşmesi ve ticket entegrasyonu

Varlık Keşif Yöntemleri

Etkili bir zafiyet yönetimi programının temeli, envanterin eksiksiz ve güncel olmasıdır. Varlık keşfi için birbirini tamamlayan dört temel yöntem kullanılır:

• Aktif tarama (Active Scanning): Ağ segmentlerine yönelik port taraması, servis keşfi ve işletim sistemi parmak izi analizi. Nmap, Masscan gibi araçlarla gerçekleştirilir. Avantaj: detaylı bilgi; dezavantaj: ağ trafiği üretir ve IDS/IPS uyarıları tetikleyebilir.
• Pasif keşif (Passive Discovery): Ağ trafiğini dinleyerek (TAP/SPAN port) akıştaki cihazları ve servisleri tespit eder. Sıfır ağ yükü ile çalışır. OT/SCADA ortamlarında aktif taramanın riskli olduğu durumlarda tercih edilir.
• Agent tabanlı envanter: Sunucu ve uç noktalara kurulan hafif ajanlar, yazılım envanteri, yapılandırma bilgisi ve yama durumunu gerçek zamanlı raporlar. Siber güvenlik ekipleri için en güncel veri kaynağıdır ancak her ortama agent kurulamayabilir.
• CMDB senkronizasyonu: Mevcut Configuration Management Database (ServiceNow, BMC vb.) ile iki yönlü senkronizasyon yapılır. CMDB'de sayılıp taramada görünmeyen varlıklar "yetim varlık" (orphan asset) olarak işaretlenir.

En etkili yaklaşım, bu dört yöntemi birlikte kullanmak ve çapraz doğrulama yapmaktır. Her yöntemin kapsam dışı bıraktığı alanı diğeri tamamlar.

Varlık Sınıflandırma ve Etiketleme

Keşfedilen varlıkların anlamlı olabilmesi için doğru sınıflandırma ve etiketleme yapılmalıdır. Bu adım, zafiyet yönetimi sürecinde güvenlik açığı bulgularının iş etkisine göre önceliklendirilmesinin temelidir.

• Kritiklik seviyeleri (Tiering): Varlıkları Tier 1 (crown-jewel - müşteri verisi, ödeme sistemleri), Tier 2 (iş destekleyici - e-posta, dosya sunucuları), Tier 3 (geliştirme/test ortamları) olarak sınıflayın. SLA süreleri bu katmanlara göre farklılaşır.
• İş sahibi (Business Owner): Her varlığa sorumlu birim veya kişi atanmalıdır. Sahipsiz varlıklar, sızma testi bulgularının kime yönlendireceği belli olmayan kör noktalardır.
• Veri sınıflandırması: Varlığın işlediği veya depoladığı veri türü (kişisel veri, finansal veri, ticari sır) etikete yansıtılmalıdır. Bu bilgi KVKK ve GDPR gereksinimleriyle doğrudan ilişkilidir.
• Maruziyet düzeyi: İnternete açık, DMZ'de, iç ağda veya izole segmentte bulunma durumu etiketlenir. Aynı zafiyet, maruziyet düzeyine göre farklı önem alır.
• Teknoloji ve ortam: İşletim sistemi, uygulama stack'i, ortam (prod/staging/dev) ve fiziksel/sanal/konteyner ayrımı etiketlenmelidir.

Etiket standartlarını organizasyon genelinde tek bir taksonomiyle belirleyin ve otomatik kurallarla uygulayın. Tutarsız etiketleme, envanterin değerini dramatik biçimde düşürür.

Gölge IT ve Bilinmeyen Varlıklar

Kurumsal envanterde yer almayan varlıklar - "gölge IT" (shadow IT) - siber güvenlik için ciddi bir risk kaynağıdır. Görünmeyen varlıklar taranamaz, yamalanmaz ve denetlenemez; bu da her birini potansiyel bir güvenlik açığı vektörüne dönüştürür.

• Yetkisiz bulut servisleri: Departmanların IT onayı almadan açtığı SaaS hesapları, test amaçlı AWS/Azure kaynakları, kişisel bulut depolama kullanımı. CASB (Cloud Access Security Broker) çözümleri ile tespit edilir.
• BYOD ve kişisel cihazlar: Çalışanların kurumsal ağa bağladığı kişisel cihazlar. NAC (Network Access Control) politikalarıyla görünürlük sağlanır.
• Unutulmuş altyapı: Eski proje sunucuları, devre dışı bırakılmamış test ortamları, expired SSL sertifikalı servisler. Düzenli ağ keşfi ile tespit edilir.
• Geliştirici araçları: Docker container'lar, lokal veritabanları, ngrok gibi tünel servisleri. Geliştirici ortamları için özel tarama politikaları oluşturun.

Gölge IT ile mücadele stratejisi: Yasak yerine görünürlük sağlayın. Onaysız bulut kaynaklarını anlık tespit eden ve envantera otomatik ekleyen mekanizmalar kurun. Hızlı ve basit bir "resmi kaynak talep" süreci sunarak gölge IT motivasyonunu azaltın.

Varlık Envanter Otomasyonu

Manuel envanter yönetimi, bulut ve mikro servis çağında sürdürülebilir değildir. Varlıklar dakikalar içinde oluşturulup yok edilebilir; bu hıza yetebilmek için otomasyon şarttır.

• Otomatik keşif araçları: IP tabanlı keşif (Nmap, Rumble/runZero), bulut API entegrasyonları (AWS Config, Azure Resource Graph, GCP Asset Inventory) ve DNS izleme araçlarının birlikte çalıştırılması.
• API entegrasyonları: Virtüalizasyon platformları (VMware vCenter, Proxmox), container orchestrator'ları (Kubernetes API), ITSM araçları (ServiceNow, Jira Assets) ve endpoint yönetim platformları (Intune, JAMF) ile çift yönlü API bağlantısı kurulmalıdır.
• Gerçek zamanlı senkronizasyon: Webhook ve event stream mekanizmalarıyla varlık değişiklikleri (oluşturma, silme, taşıma) anlık olarak envantera yansıtılır. Batch senkronizasyona kıyasla görünürlük aralığını sıfıra yaklaştırır.
• Drift tespiti: Envanterle gerçek ortam arasındaki sapmaları (drift) otomatik tespit edin. Envanterde var ama taramada görünmeyen, veya taramada keşfedilip envanterde olmayan varlıklar için uyarı üretin.

SİTEY platformu, bu otomasyon kaynaklarından gelen verileri tek bir panelde konsolide eder ve zafiyet yönetimi süreciyle otomatik eşleştirme yapar.

Varlık Yaşam Döngüsü Yönetimi

Her varlık bir yaşam döngüsüne sahiptir: planlamadan devreye almaya, aktif kullanımdan devre dışı bırakmaya. Zafiyet yönetimi açısından her aşamanın farklı gereksinimleri vardır:

• Planlama/Tedarik (Provisioning): Varlık henüz devreye alınmadan güvenlik gereksinimlerini belirleyin. Hardening baseline'ları uygulansın, envanter kaydı oluştursun ve sahiplik atansın.
• Devreye alma: İlk günden itibaren tarama kapsamına dahil edin. Yeni varlık devreye alındığında otomatik ilk tarama tetiklenmelidir.
• Aktif kullanım: Düzenli tarama, yama yönetimi ve konfigrasyon denetimi yapılır. Kritiklik seviyesi değiştiyse etiketler güncellenir.
• Devre dışı bırakma (Decommissioning): Varlık kaldırıldığında envanter kaydı arşivlenir, ilişkili açık bulgular kapatılır, DNS kayıtları temizlenir. Eksik decommissioning, gölge varlık riski yaratır.
• Yaşam sonu (End-of-Life): Üretici desteği biten yazılım ve donanımlar için risk değerlendirme, yenileme planı veya risk kabulü süreci başlatılmalıdır.

Yaşam döngüsü izlemeyi ITSM süreçleriyle entegre edin. Change management ticket'ları, otomatik olarak envanter güncellemelerini ve sızma testi kapsamı revizyonlarını tetiklemelidir.

Envanter ve Zafiyet Korelasyonu

Varlık envanteri ile zafiyet yönetimi verisini korelemek, risk bazlı önceliklendirmenin en güçlü bileşenidir. Aynı güvenlik açığı, farklı bağlamlardaki varlıklarda tamamen farklı risk seviyelerine sahiptir.

• Risk puanlama formulası: Zafiyet şiddeti (CVSS) × Varlık kritikliği (tier) × Maruziyet düzeyi (internet/DMZ/iç) × Veri hassasiyeti. Bu çarpanların ağırlıkları organizasyona özgü ayarlanmalıdır.
• Bağlam zenginleştirme: Bulgu + varlık bilgisi + tehdit istihbaratı (EPSS, KEV) bir araya getirildiğinde gerçek riski yansıtan daha doğru bir sıralama elde edilir.
• Cluster analizi: Aynı zafiyetten etkilenen varlık kümelerini gruplayarak tek bir düzeltme eylemi ile birden fazla varlığı kapsayan toplu çözüm planları oluşturun.
• Trend korelasyonu: Belirli varlık türleri veya teknoloji stack'lerinde tekrar eden zafiyet paternlerini tespit edin. Örneğin, belirli bir Linux dağıtımındaki sunucular sürekli aynı CVE'lerden etkileniyorsa, imaj bazını gözden geçirin.

Korelasyon, manuel olarak yapıldığında ölçeklenemez. SİTEY gibi platformlar API üzerinden varlık envanterini çekerek otomatik korelasyon ve risk puanlama gerçekleştirir.

Bulut ve Konteyner Varlık Yönetimi

Bulut ve konteyner ortamları, geleneksel envanter yönetimini kökten değiştirmektedir. Varlıklar dinamiktir, dakikalar içinde oluşturulup yok edilebilir; bu da siber güvenlik ekiplerini yeni yaklaşımlar benimsemeye zorlar.

• Dinamik bulut varlıkları: Auto-scaling gruplardaki sunucular, serverless fonksiyonlar ve managed servisler sürekli değişir. Bulut sağlayıcı API'leri (AWS Config, Azure Resource Graph, GCP Cloud Asset Inventory) ile gerçek zamanlı izleme yapılmalıdır.
• Ephemeral konteynerler: Kubernetes pod'ları saniyeler içinde başlatılıp durdurulur. Konteyner imaj envanteri ve runtime keşfi ayrı ayrı yönetilmelidir. İmaj tarama, build aşamasında (shift-left); runtime tarama, çalışma anında gerçekleştirilir.
• Kubernetes envanteri: Namespace, deployment, service, ingress ve secret nesnelerini envanter olarak izleyin. Kube-bench ve kube-hunter gibi araçlarla yapılandırma güvenliğini denetleyin.
• Multi-cloud görünürlük: Birden fazla bulut sağlayıcı kullanan kuruluşlarda tüm bulut varlıklarını tek panelde birleştirmek kritiktir. Her sağlayıcının farklı terminolojisi ve API yapısı olduğundan normalizasyon gereklidir.
• Infrastructure as Code (IaC) entegrasyonu: Terraform, CloudFormation ve Pulumi gibi IaC araçlarının çıktıları envanter kaynağı olarak kullanılabilir. IaC state dosyaları ile gerçek ortamı karşılaştırarak drift tespit edin.

Bulut ve konteyner varlık yönetimini zafiyet yönetimi süreciyle entegre etmek, geçici varlıklardaki güvenlik açığı risklerinin göz ardı edilmesini önler.

SSS