Daha İyi Önceliklendirme İçin Varlık Kritiği ve Saldırı Yolu Haritalama

Tekil Bulgu Önceliklendirme Neden Sürekli Kaçırıyor?

Güvenlik ekipleri, tarama çıktısının hacmi göz önüne alındığında zafiyetleri çoğunlukla birer birer triage ediyor. Bu anlaşılabilir bir yaklaşım; ancak tehdit aktörlerinin nasıl hareket ettiğini temelden yanlış temsil ediyor. Saldırganlar izole bulgular üzerinden hareket etmez. Yol izler. Yüksek değerli bir hedefe daha doğrudan yol açıyorsa, dışarıdan erişilebilir bir sistemdeki orta severity bulgusu, hava boşluklu bir varlıktaki kritik severity bulgusundan daha fazla operasyonel aciliyet taşıyabilir.

Bunun anlamı severity'nin alakasız olduğu değil. Anlamı, yol bağlamından yoksun severity'nin eksik bir sinyal olduğu.

Varlık Kritiği Sadece Etiket Değil

Çoğu kurum varlıklarına kritiklik katmanları atıyor. Sorun, bu etiketin nadiren exploitability verileri ve güven ilişkisi bağlamıyla entegre olması. Etkili bir kritiklik modeli şu soruları yanıtlamalı:

Bu varlık hangi veriyi ya da süreçleri barındırıyor ve ele geçirilmesinin iş etkisi ne?

Hangi sistemlerin bu varlığa doğrudan veya ayrıcalıklı erişimi var?

Bu varlık ele geçirilirse, saldırganın sonraki adımda ne yapabileceği açılıyor?

Bu ilişkisel boyutlar olmadan kritiklik, varlığın gerçek saldırgan hareket kalıplarına nasıl uyduğunu yakalayamayan statik bir etiket olarak kalıyor.

Saldırı Yolu Haritalama Pratikte Nasıl İşliyor?

Saldırı yolu analizi, yüksek değerli hedeflere en kısa veya en güvenilir yolları açan maruziyetleri belirlemek için sistemler, kimlikler ve güven sınırları arasındaki ilişkileri modelliyor. İlgili ilişkiler:

dış erişilebilirlik.

yetki mirası.

güven ilişkileri.

yanal hareket fırsatları.

crown-jewel yakınlığı.

Her maruziyet için soru "bu zafiyet ne kadar şiddetli?" den "bu zafiyet iş açısından kritik bir varlığa giden yolu anlamlı biçimde kısaltıyor mu?" ya dönüşüyor.

Saldırı Yolu Düşüncesi Remediation Sırasını Değiştiriyor

Saldırı yolu analizinin pratik çıktısı, yalnızca severity bazlı triage'ın ürettiğinden farklı bir remediation sıralaması. Kimlik sağlayıcısına veya müşteri veri deposuna giden kısa bir yolun başında yer alan orta severity bulgusu, tam izole bir ortamda yanal hareket potansiyeli olmayan kritik severity bulgusunun önünde acil dikkat hak edebilir.

Bu değişim her ortamda karmaşık bir grafik veritabanı gerektirmiyor. Hangi sistemlerin yüksek değerli hedeflere geçiş noktası işlevi gördüğü ve hangi maruziyetlerin yeni geçiş noktaları oluşturduğu üzerine bile basit bir düşünce, düz severity sıralamasından anlamlı biçimde daha iyi önceliklendirme üretiyor.

Varlık Kritiği Puanlama: Pratik Bir Matris

Üç boyutu bir puanlama modeline dönüştürmek, güvenlik ve iş ekiplerinin üzerinde uzlaşabileceği bir tablo üretiyor:

| Boyut | Puan 1 (Düşük) | Puan 2 (Orta) | Puan 3 (Yüksek) |

| --- | --- | --- | --- |

| İş Etkisi | Dahili araç, hassas veri yok | Müşteriye yönelik, sınırlı veri | Gelir kritik veya KVK/düzenlenmiş veri |

| Saldırgan Erişilebilirliği | Hava boşluklu veya izole | Dahili, kurumsal ağdan erişilebilir | İnternete açık veya DMZ |

| Yanal Hareket Potansiyeli | Çıkmaz yol sistemi | Bazı güven ilişkileri var | Kimlik sağlayıcısı veya kritik varlığa bağlı |

Toplam puan 7-9 = Kademe 1 (en yüksek öncelik). Kademe 1 varlıktaki orta severity bulgusu, her koşulda Kademe 3 varlıktaki kritik bulgununun önüne geçer.

Somut Bir Saldırı Yolu Senaryosu

CVSS 6,8 puan alan — çoğu "Kritik" eşiğinin altında — bir geliştirme jump server'ındaki bulguyu düşünelim. İşte saldırı yolu bağlamının her şeyi nasıl değiştirdiği:

Jump server, açık bir SSH portu üzerinden internetten erişilebilir (Erişilebilirlik: Yüksek).

Jump server üzerinden kimlik doğrulayan geliştirici iş istasyonları, üzerinde depolanan paylaşımlı SSH anahtarları kullanıyor (Güven ilişkisi: anahtar mirası).

Bir geliştirici iş istasyonunda CI/CD pipeline için önbelleğe alınmış kimlik bilgileri var (Yanal hareket: pipeline erişimi).

CI/CD pipeline'ının üretim dağıtım hakları ve secrets manager'daki secret'lara erişimi var (Kritik varlık yakınlığı).

Sonuç: Jump server'daki CVSS 6,8 bulgusu, üretim secret'larından dört adım uzakta. Yalnızca severity bazlı triage bunu gömer. Saldırı yolu haritalama bunu anında yüzeye çıkarır.

Yararlı Bir Kritiklik Ataması Neye Benziyor?

Kritiklik ataması aynı anda üç şeyi yansıttığı ölçüde kullanışlı:

varlığın iş operasyonlarına veya veri korumasına doğrudan önemi.

varlığın neye erişebildiği — bir saldırganın ilerleyişinde potansiyel atlama taşı olarak rolü.

varlığın ne kadar izole edilebildiği — ele geçirmenin sınırlandırılıp sınırlandırılamayacağı ya da domino etkisi yaratıp yaratmayacağı.

Doğrudan önem açısından düşük skor alan ama kimlik sağlayıcısına doğrudan bağlanan bir varlık, bağımsız sınıflandırmasının önerdiğinden daha yüksek önceliklendirmeyi hak edebilir.

MyVuln Yaklaşımı

MyVuln, zafiyet envanteri saldırı yolu haritalama mantığıyla birlikte okunabildiğinde çok daha değerli hale geliyor. Çıktı yalnızca açık bulgular listesi değil; hangi maruziyetlerin iş açısından kritik hedeflere giden yolu kısalttığını gösteren model. MyVuln'un varlık kritiği entegrasyonu, ekiplerin doğrudan varlıklara iş etkisi kademeleri atamasını sağlıyor — böylece her CVE bulgusu, kritik bir sisteme giden yolda yer alıp almadığına göre otomatik olarak ağırlıklandırılıyor. Bu model, zafiyet tarama sonucunu eyleme geçirilebilir bir önceliklendirme kararına dönüştüren şey.

Varlık kritiği (asset criticality), onboarding sırasında atanan statik iş kademesi etiketini aşıp komşuluk ilişkilerini, devralınan güven bağlarını ve erişilebilir aşağı akış sistemlerini yansıttığında gerçek anlamda eyleme dönüştürülebilir hale gelir. Yalnız değerlendirildiğinde kritik olmayan sınıfa giren bir host, kimlik altyapısından bir adım uzaktaysa, finansal kontrol sistemlerine açılan pivot noktasıysa ya da üretime doğru lateral movement yolunu oluşturuyorsa acil öncelik taşıyabilir. Saldırı yolu (attack path) düşüncesi, bireysel varlık önemini ağ farkındalıklı riske dönüştürür; gerçekte önemli olan soruyu yanıtlar: bu sistemin ne olduğu değil, ele geçirildiğinde neye erişilebilir hale geldiği.

Graf tabanlı soru seti bunu somutlaştırıyor. İncelenen herhangi bir varlık için:

Varlık: dev-build-server-04 (sınıf: Kademe 3 — kritik değil)

Graf soruları:
  → İletişim kurduğu sistemler: prod-artifact-registry (Kademe 1)
  → Servis hesabı:              svc-build@corp (üretim deploy pipeline'ına yazma yetkisi var)
  → Üzerinden geçen:            ci-token-store (üretim sürümleri için imzalama anahtarları içeriyor)
  → Güvenlik duvarı istisnası:  dev-build-server-04 → prod-db-primary (port 5432, MFA yok)

Revize edilmiş sınıf: Kademe 1 eşdeğeri — üretime doğrudan imzalama ve veritabanı yolu

Dahası anlamlı önceliklendirme bu nedenle graf tabanlı sorularla başlar. Bu host hangi sistemlerle iletişim kuruyor? Hangi servis hesaplarını kullanıyor? Hangi kullanıcı veya ayrıcalıklı token'lar onun üzerinden geçiyor? Düştüğünde hangi yönetim düzlemleri erişilebilir hale geliyor? Ağ segmentasyonu gerçekten uygulanıyor mu, yoksa bir güvenlik duvarı kuralı istisnası beklenmedik bir güven köprüsü mü oluşturuyor? Bu ilişkiler görünür olduğunda zafiyet kayıtları yeni bağlamsal ağırlık kazanır. İki varlık aynı zafiyet bulgularını ve aynı CVSS puanını taşıyabilir; ancak bunlardan biri saldırganı kimlik veya üretime bir adım yaklaştırıyorsa diğeri yaklaştırmıyorsa, operasyonel remediation öncelikleri eşit değildir.

Olgun ekipler yalnızca "bu sistem kritik mi?" diye sormaz; "bu sistem ele geçirilirse hangi güven zincirleri kırılır, hangi komşu sistemler erişilebilir hale gelir ve buradan lateral movement nasıl görünür?" diye sorar. Bu yanıtlar üzerine kurulu önceliklendirme daha hızlı, daha savunulabilir ve herhangi bir statik puanlama sisteminin tek başına üretebileceğinden çok daha az analist sezgisine bağımlıdır.