Zafiyet Yönetimine Başlangıç

Keşif, doğrulama, önceliklendirme ve yeniden test adımlarını ürün yaklaşımıyla anlatan pratik rehber.

Zafiyet Yönetimine Başlangıç kapak görseli
Süreç adımları: Keşif • Doğrulama • Öncelik • Retest

Kısaca

  • Veriyi tekilleştir, gerçeği tek kaynağa indir (single source of truth).
  • Risk tabanlı önceliklendir, SLA tanımla ve net sorumluluk ata.
  • Otomatik retest ile kapanışı doğrula; denetime hazır kanıt üret.

Neden Zafiyet Yönetimi?

Dağınık araçlar ve tekrar eden kayıtlar, ekiplerin gerçek riske odaklanmasını zorlaştırır. SİTEY, 16+ aracı tek panelde birleştirir; veri standardizasyonu ile gürültüyü azaltır, SLA takibi ve yeniden test ile kapanış hızını artırır.

Adım 1 — Keşif

  • ASM ile dışa açık varlık haritalama
  • Nessus, OpenVAS, Nuclei, ZAP ve benzeri tarama sonuçlarının konsolidasyonu
  • Otomatik envanter eşleşmesi ve kapsam yönetimi

Adım 2 — Doğrulama

Tekrarlayan ve yanlış pozitif kayıtlar tekilleştirilir; PoC ve kanıtlar ilişkilendirilir. Böylece analist zamanı verimli kullanılır.

  • Aynı kök sebebe ait bulguları parmak izi (fingerprint) ile birleştirme
  • Varlık kritiklik seviyesi ile bağlamlandırma (internet-facing, crown-jewel)
  • İş birimleriyle yorum akışı: yanlış pozitif reddi, açıklama ve kanıt

Adım 3 — Önceliklendirme

CVSS + varlık önemi + sömürülebilirlik bileşenleri ile risk tabanlı puanlama. Kritikler için hedef < 72 saat.

  • Exploit mevcudiyeti ve internet maruziyeti ile artan risk
  • Otomatik etiket kümeleri: RCE, Auth Bypass, Data Exposure vb.
  • Çakışan işler için planlama: bakım pencereleri, versiyon yükseltme

Adım 4 — Atama ve Düzeltme

RBAC ile doğru kişiye net sorumluluk. Otomasyon ve hazır şablonlarla düzeltme süreci hızlanır.

  • Otomatik ticket entegrasyonları (Jira, GitLab, ServiceNow)
  • Kapatma kanıtı zorunluluğu ve değişiklik günlüğü
  • SLA ihlalinde otomatik eskalasyon

Adım 5 — Yeniden Test

Planlı/otomatik retest ile kapanış doğrulaması ve doğrulama mektubu üretimi.

  • Değişiklikten sonra otomatik tetikleme
  • Başarısız retest’te yeniden açma ve sorumluya atama
  • Uyum denetimleri için kanıt arşivi

Otomasyon Örnekleri

  • Nuclei haftalık tarama → bulguların SİTEY’de otomatik açılması
  • Yeni internet-facing varlık bulunduğunda ASM → ZY pipeline tetikleme
  • CVSS 9+ ve exploit bulunan kayıtlar için anında uyarı

İzlenecek KPI’lar

  • MTTR (kritik/yüksek) ve SLA uyum oranı
  • Yanlış pozitif oranı ve tekilleştirme başarısı
  • Retest başarı oranı ve kapanış doğruluğu

SSS

Tarama araçlarını nasıl entegre ederim?

API veya dosya içe aktarma ile raporları SİTEY’e alabilir; alan eşleme sihirbazı ile modele oturtabilirsiniz.

Gürültüyü nasıl azaltırım?

Tekilleştirme, istisna yönetimi ve varlık kritiklik bağlamı ile öncelik puanı netleşir; yanlış pozitifler devre dışı kalır.

Retest’i kim tetikler?

Değişiklik kaydı ile otomatik tetiklenebilir; manuel onay gerektiren ortamlarda RBAC akışı kullanılabilir.

Kullanım Senaryoları

  • Merkezi ZY Ofisi: Farklı kaynaklardan gelen bulguları tek panelde birleştirip ekipler arası atama.
  • Ürün Güvenliği: Uygulama ekipleriyle ortak retest ve değişiklik kaydı entegrasyonu.
  • Uyum ve Denetim: Kanıt saklama, kapanış doğruluğu ve denetime hazır raporlama.

Sık Yapılan Hatalar

  • Tek araç bağımlılığı: Farklı kaynakları konsolide etmeden karar vermek.
  • Bağlam yokluğu: Varlık kritiklik/ maruziyet bilgisini skora katmamak.
  • Retest atlanması: Kapanışı doğrulamadan kapatma ve tekrar eden açıklar.

Örnek İş Akışı

  1. Tarama raporları içe aktarılır ve tekilleştirilir.
  2. Varlık envanteriyle eşleşir, bağlam ve kritiklik eklenir.
  3. Risk skoru hesaplanır ve otomatik atama yapılır.
  4. Düzeltme tamamlanınca otomatik retest tetiklenir.
  5. Kapanış kanıtı saklanır; rapor ve KPI’lar güncellenir.

İlgili Yazılar

Zafiyet Yönetimi Demolar