Varlık Envanteri ve ZY: Bilmiyorsan Yönetemezsin

Envanter eşleme olmadan ZY neden başarısız olur? Crown-jewel odağıyla pratik yaklaşım.

Varlık envanteri ve zafiyet yönetimi kapak görseli
Envanter • Sınıflandırma • Crown-Jewel

Kısaca

  • Envanter olmadan bağlam yok; bağlam yoksa doğru önceliklendirme de yok.
  • Crown-jewel yaklaşımıyla iş etkisi yüksek varlıklar ön sıraya alınır.

Özet Anlatım

Varlık envanteri, güvenlik bulgularına anlam katar. Aynı CVE, iç ağdaki test sunucusunda düşük riskken, müşteri verisi tutan üretim veritabanında kritik olabilir. Bu yüzden envanter ile ZY verisini birleştirip otomatik sınıflandırma yapmak şarttır.

Entegrasyon Yöntemleri

  • CMDB/Cloud API senkronizasyonu
  • Agent/agentless keşif ve eşleştirme

Sınıflandırma ve Otomasyon

  • Kritiklik atamaları (tiering) ve maruziyet bilgisi
  • Otomatik etiketleme ve uyarı kuralları

Pratik Rehber

Kullanım senaryoları:

  • Bulut hesaplarında shadow IT tespiti
  • Yama penceresi planlaması için crown-jewel listesi
  • CMDB kalite ölçümü: drift ve yetim varlıklar

Sık yapılan hatalar:

  • Etiketlerin standartlaşmaması nedeniyle veri dağınıklığı
  • Maruziyet/iş etki bilgisini envantere taşımamak
  • Değişim yönetimiyle entegrasyonu ihmal etmek

Adım adım (entegrasyon):

  1. CMDB/Cloud API bağlantıları ve veri modelinin eşleştirilmesi
  2. Otomatik sınıflandırma kuralları ve crown-jewel işaretleme
  3. ZY platformu ile varlık eşleşmesi ve ticket entegrasyonu
ZY Başlangıç CVE Önceliklendirme