Blog'a Dön
Zafiyet Yönetimi ve Önceliklendirme
5 Mart 20268 dk okuma

CISA KEV Kataloğu ile Gerçekten Sömürülen Açıkları Öne Almak

Öne Çıkan Özet

KEV önemlidir; operasyon ekiplerinin ilk sorması gereken soruyu yanıtlar: sahada gerçekten kullanılan açıklar hangileri?

CISA KEVKnown Exploited Vulnerabilitiesactive exploitationpatch prioritization

Görsel Yön

Geniş backlog içinden sıyrılan az sayıdaki aktif sömürülen zafiyeti gösteren bir remediation panosu.

KEV Konuşmayı Anında Nasıl Değiştiriyor?

Güvenlik ekipleri sürekli "gerçek riski" önceliklendirmek istediklerini söyler; ama çoğu patch programı hâlâ statik severity eşikleriyle başlar. Bu alışkanlık, severity'yi sıralamanın kolay olmasından kaynaklanıyor. CISA'nın Known Exploited Vulnerabilities (KEV) Kataloğu bu konuşmayı değiştiriyor; çünkü kurumların sormayı ertelediği tek sinyali ekliyor: bu açıklık teoriden gerçek saldırgan kullanımına geçmiş mi?

CISA, KEV kataloğunu sahada exploit edilen CVE'lerin yetkili listesi olarak tanımlıyor ve zafiyet yönetimi önceliklendirmesinde girdi olarak kullanılmasını açıkça öneriyor. Bu operasyonel açıdan kritik bir ayrım. KEV sıradan bir tehdit istihbaratı süsü değil; remediation kuyruklarını doğrudan harekete geçiren bir tetikleyici.

KEV Nedir, Ne Değildir?

KEV eksiksiz bir önceliklendirme modeli değil. Kurumunuzun iş bağlamını, ağ segmentasyonunu ya da telafi edici kontrollerinizi bilmiyor. Ama çoğu iç tarayıcının veremediği bir şeyi veriyor: exploitation'ın artık teorik olmadığına dair kesin bir sinyal. KEV listesindeki bir zafiyet, tehdit aktörlerinin bunu gerçek hedeflere karşı kullanma kapasitesini ve niyetini zaten gösterdiği anlamına geliyor.

KEV aynı zamanda ABD federal sivil yürütme organı (FCEB) kurumları için pratik bir yükümlülük taşıyor. Bu kurumlar, KEV girişlerini belirtilen süre içinde gidermek zorunda. Bu yükümlülük özel sektörü doğrudan bağlamıyor; ancak genellikle 14 gün olan remediation süreleri, herhangi bir güvenlik programı için işlevsel bir referans noktası.

KEV'i İş Akışınıza Nasıl Entegre Edersiniz?

En doğrudan entegrasyon, mevcut zafiyet envanterinizi KEV listesiyle çapraz referanslamak. Ortamınızda KEV CVE'si taşıyan ve internete açık olan ya da telafi edici kontrolden yoksun her sistem, daha yüksek CVSS skoruna sahip ama exploitation kanıtı bulunmayan düşük öncelikli girişlerin önüne geçmeli.

Bir sonraki adım, her KEV eşleşmesi için üç odaklı soruyu yanıtlamak:

Açıklık bulunan servis internetten ya da güvenilmeyen bir ağ segmentinden erişilebilir mi?

Telafi edici kontrol saldırı yüzeyini gerçekten daralıyor mu, yoksa yalnızca kağıt üstünde mi var?

Remediation zaman çizelgesinin sahibi kim ve pencere kayarsa net bir escalation yolu var mı?

Bu üç soruya cevap verilmeden, KEV bulgusu çözüm hattına girmek yerine kuyruğun içinde kalmaya devam eder.

KEV En Fazla Değeri Kombinasyonda Üretiyor

KEV, az sayıda tamamlayıcı sinyalle birleştiğinde en yüksek operasyonel değere ulaşıyor:

EPSS skoru: önümüzdeki 30 günde exploitation olasılığı — KEV'in kanıtlanmış exploitation bağlamını tamamlayan öngörülü risk verisi.

Varlık maruziyet durumu: açıklık barındıran servisin internete açık mı, yalnızca dahili ağda mı yoksa anlamlı bir telafi edici kontrolün arkasında mı olduğu.

Varlık iş kritiği: etkilenen sistemin ne olduğu, neye bağlandığı ve başarılı bir exploitation'ın blast radius'unun ne anlama geleceği.

Severity skoru yalnızca sıralar. Bu üç sinyal birlikte yönlendirir.

Zamanlama Mükemmel Kesinlikten Daha Önemli

Bazı ekipler ek doğrulama beklerken ya da acil yama için change management süreçlerini beklerken KEV girişleri üzerinde işlem yapmayı erteliyor. Bu içgüdü, yüksek değişim sürtünmesi olan ortamlarda anlaşılabilir bir refleks; ancak KEV en pahalı belirsizliği zaten çözmüş. Artık soru "exploit yazılır mı?" değil. Gerçek sistemlere karşı zaten kullanılmış. Geriye kalan tek soru, kurumunuzun maruziyet penceresinin ne kadar daha açık kalacağı.

KEV Entegrasyon İş Akışı: Sinyalden Eyleme

Bilinen Sömürülen Zafiyetler Kataloğu (Known Exploited Vulnerabilities Catalog) eşleşmesini kapatılmış bir remediation biletine dönüştürmek dört operasyonel adım gerektiriyor. Aşağıdaki tablo her adımı veri kaynağına ve iş akışınıza girdiği entegrasyon noktasına eşliyor:

| Sinyal | Kaynak | Entegrasyon Noktası | SLA Tetikleyicisi |

| --- | --- | --- | --- |

| CVE, KEV kataloğuna eklendi | CISA KEV JSON beslemesi | Zafiyet yönetim platformu | Etkilenen bulguları derhal yeniden puanla |

| İnternete açık maruziyet doğrulandı | ASM / tarayıcı | CVE ile ilişkilendirilmiş varlık envanteri | Kısa pencereli SLA'ya yükselt |

| İş kritiği atandı | CMDB / risk kaydı | Varlık sahibi yönlendirmesi | 24 saat mi, 7 gün mü? |

| Telafi edici kontrol değerlendirildi | SOC / ağ ekibi | İstisna veya yamaya devam | Kontrol gerçekse belgele |

Özel Kurumlar İçin Önerilen SLA Katmanları

FCEB kurumları CISA'nın yayınladığı son tarihlere uymak zorunda. Özel kurumlar bu sürelere bağlı değil; ama altta yatan risk mantığı evrensel. Aşağıdaki tablo KEV sinyallerini herhangi bir güvenlik programı için savunulabilir SLA parçalarına çeviriyor:

| Koşul | Önerilen SLA | Gerekçe |

| --- | --- | --- |

| KEV + internet-facing + kritik varlık | 3 gün | Doğrulanmış exploit ve iş etkisinin en yüksek kesişimi |

| KEV + internet-facing + kritik olmayan varlık | 7 gün | Exploitation doğrulandı; maruziyet gerçek ama blast radius daha küçük |

| KEV + yalnızca dahili + kritik varlık | 7 gün | Doğrudan internet yolu yok ama yanal hareket riski yüksek |

| KEV + yalnızca dahili + telafi edici kontrol | 14 gün | FCEB referansıyla eşleşiyor; kontrol belgelenmeli ve doğrulanmalı |

| KEV + izole / hava boşluklu | İstisna değerlendirmesi | Artık risk var ama aktif exploitation yolu mevcut değil |

Öncelik Çatışması Örneği: CVSS ile KEV Karşı Karşıya

Ekipler sık sık CVSS severity ile KEV durumu arasında çatışmayla karşılaşıyor. Doğru çözüm her zaman KEV'i geçersiz kılma sinyali olarak ele almak:

> CVSS 7.5 (Yüksek, Kritik değil) skoruna sahip bir zafiyet KEV kataloğunda yer alıyor. Tarayıcınız "Kritik önce" eşiğinizin altında kaldığı için bunu düşük öncelikli sayıyor. Doğru eylem: bunu Kritik olarak ele al. KEV durumu, gerçek hedeflere karşı sahada aktif exploitation'ı doğruluyor. CVSS skoru teknik severity'yi yansıtır — tehdit aktörlerinin bu açıklığı gerçek hedeflere karşı zaten kullandığını yakalamaz. KEV=evet, her koşulda CVSS<9'u geçersiz kılar.

MyVuln Yaklaşımı

MyVuln burada yalnızca "bu CVE KEV'te" demekle kalmıyor. Asıl değer, KEV kaydını internet maruziyeti, varlık iş bağlamı ve sahip yönlendirmesiyle birleştirip hangi sistemlerin gerçekten aktif sömürüyle kesiştiğini ortaya koymak. MyVuln'un Intel Feed ekranı KEV durumunu birinci sınıf filtre olarak sunuyor; bu sayede ekipler 3 günlük aksiyon gerektiren az sayıdaki bulguyu anında geniş remediation backlog'undan ayırt edebiliyor. Ancak o zaman KEV, dashboard rozeti olmaktan çıkıp patch kuyruğunu fiilen değiştiren bir karar sinyaline dönüşüyor.

CISA KEV kataloğunun temel değeri zafiyet tartışmasını teorik etkiden gerçek saldırgan davranışına bağlamasıdır. Bir açık yüksek CVSS skoruna sahip olabilir; ama pratikte hiçbir saldırgan ilgisi çekmeyebilir. KEV'e girmiş bir açıklık farklı bir sinyal taşır: bu noktada "bu açık kötü olabilir" demiyoruz, "bu açıklık için aktif exploitation vahşi ortamda gözlemlendi" diyoruz. Bu kanıtsal fark, özellikle internete açık sistemler, uzaktan erişim ağ geçitleri (VPN/gateway), kimlik doğrulama altyapısı ya da üretim iş akışlarını doğrudan destekleyen varlıklar söz konusu olduğunda yamayı ertelemeyi savunmayı çok daha güç hale getirir.

Operasyonel açıdan işe yarayan KEV iş akışı dört boyutu eş zamanlı kesiştirir:

KEV kaydı
    │
    ├── İnternet-açık varlık?  ──Evet──► SLA Kademe 1: 24-48 saat
    │                           ──Hayır─► Devam ▼
    │
    ├── Kimlik veya üretime komşu?  ──Evet──► SLA Kademe 1: 24-48 saat
    │                                ──Hayır─► Devam ▼
    │
    ├── Kompansasyon kontrolü mevcut?  ──Evet──► SLA Kademe 2: 7 gün (kontrol belgelenmeli)
    │                                   ──Hayır─► SLA Kademe 1: 24-48 saat
    │
    └── İzole sistem, güçlü kontroller?  ──Evet──► SLA Kademe 3: 30 gün
                                          ──Hayır─► SLA Kademe 2: 7 gün

Bununla birlikte KEV kör bir hızlandırma düğmesi olarak kullanılmamalıdır. Olgun ekipler kataloğu maruziyet verisi, varlık kritiği ve remediation kapasitesiyle birlikte değerlendirir. İzole bir laboratuvar sistemindeki KEV kaydı ile internet üzerinden erişilebilen bir müşteri kimlik doğrulama servisindeki aynı KEV kaydı kategorik olarak farklı operasyonel risk temsil eder. Operasyonel açıdan doğru soru "bu KEV'de mi?" değil; "bu KEV'de yer alan zafiyet bizim ortamımızda hangi varlıkta, hangi erişim yolu üzerinde, hangi varlık sahibinde ve mevcut kompansasyonlar göz önüne alındığında hangi remediation zaman diliminde bulunuyor?" sorusudur. KEV bağlam temelli puanlamanın yerini almaz; ancak önceliklendirmeyi teorik etki tahminlerine değil, kanıtlanmış saldırgan davranışına bağlayan güçlü bir gerçek dünya sinyali olarak eşsiz bir değer taşır.

CISA KEVKnown Exploited Vulnerabilitiesactive exploitationpatch prioritizationremediation SLAmyvuln

MyVuln Araştırma Ekibi

Siber güvenlik istihbaratı ve zafiyet araştırmaları.

Önceki Makale

Meşru Trafiği Bozmadan API DoS Önleme

Sonraki Makale

Alert Fatigue ve Bildirim Filtreleme: Analist Zamanını Koru

İlgili Makaleler

Zafiyet Yönetimi ve Önceliklendirme

CVSS v4.0 Mimarisi, Makro Metrikler ve Tehdit Odaklı Önceliklendirme

Makaleyi Oku
Zafiyet Yönetimi ve Önceliklendirme

EPSS ile Zafiyet Önceliklendirme: Sömürü Olasılığını Tahmin Etmek

Makaleyi Oku
Zafiyet Yönetimi ve Önceliklendirme

NVD ve CWE: Tekrar Eden Zafiyet Kalıpları ve Güvenli Kodlama Kök Nedenleri

Makaleyi Oku