GH GambleHub

Güvenlik açığı taraması ve yamalar

Kısa özet

Güvenlik açığı yönetimi sürekli bir döngüdür: Tespit, risk değerlendirmesi, eliminasyon (yama/göç/yapılandırma), doğrulama, raporlama. Tarama teknolojileri (SCA/SAST/DAST/IAST/Bulut/Konteyner) sinyaller verir ve içeriği (pozlama, ayrıcalıklar, veriler, EPSS, istismarlar) önceliği belirler. Amaç, otomasyon, kanarya hesaplamaları ve açık SLO'ları kullanarak iş kesintisi olmadan gerçek riski azaltmaktır.

Tarama taksonomisi

SCA (Yazılım Kompozisyon Analizi): bağımlılık/lisans analizi; Kütüphanelerde CVE keşfi, SBOM.
SAST-Montajdan önce yerel kodun statik analizi.
DAST: dinamik kara kutu vs çalışan hizmet.
IAST: Uygulama içi sensörler (testler sırasında) - daha az FP, daha derin bağlam.
Konteyner/OS Tarama: görüntüler (temel görüntü, paketler), ana bilgisayarlar (çekirdek/paketler/yapılandırmalar), CIS kıyaslamaları.
Cloud/Infra (CSPM/KSPM): cloud/K8s yanlış yapılandırmalar (IAM, ağlar, şifreleme, genel kovalar).
Secrets Scan: Depolarda ve görüntülerde anahtar/belirteç sızıntıları.
İkili/Artifact Tarama: toplanan eserlerin doğrulanması (imzalar, güvenlik açıkları).

Risk modeli ve önceliklendirme

Puan = CVSS v3. x (temel) × EPSS (sömürü olasılığı) × bağlam (maruz kalma, veri, ayrıcalıklar, telafi edici önlemler).

Bağlam faktörleri:
  • İnternette/içeride maruz kalma, WAF/mTLS/izolasyonun varlığı.
  • Veri: PII/finans/sırlar.
  • Süreç/düğüm ayrıcalıkları, yanal hareket potansiyeli.
  • Kamu istismarı/toplu saldırıların mevcudiyeti, uyumluluk gereksinimleri.

Örnek CVSS vektörü: 'CVSS: 3. 1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H '- eleştirildi; Hizmet halka açıksa ve telafi edici önlemler alınmazsa - P1.

SLO eşikleri (örnek):
  • P1 (kritik, çalıştırılan): 48 saat ≤ düzeltin.
  • P2 (yüksek): 7 gün ≤ düzeltin.
  • P3 (ortalama): 30 gün ≤ düzeltin.
  • P4 (low/inform): Planlanmış/birikmiş iş.

Güvenlik Açığı Yönetimi Yaşam Döngüsü

1. Varlık envanteri: hizmetler, resimler, kümeler, işletim sistemi, paketler, bağımlılıklar, sürümler.
2. Zamanlanmış ve olay taraması: işler, inşa eder, döker, günlük/haftalık pencereler.
3. Triyaj: veri tekilleştirme, normalleştirme (CVE - Bilet), sahibiyle eşleme.
4. Bağlama göre önceliklendirme: CVSS/EPSS + pozlama/veri.
5. Düzeltme: yama/bağımlılık güncelleme/yapılandırma sertleştirme/sanal yama (WAF).
6. Doğrulama: yeniden tarama, testler, kanarya.
7. Raporlama: kapanış metrikleri, güvenlik açıklarının yaşı, SLO uyumluluğu.
8. Dersler: Şablonlarda düzeltme (temel görüntü, Dümen şeması), gelecek için politika.

CI/CD'ye entegrasyon

Adım PR: SAST + SCA + gizli tarama; P1/P2 veya uygulama gereksinimi ile "break build".
Yapım aşamasında: görüntü taraması, SBOM üretimi (CycloneDX/SPDX), artefakt imzası (cosign).
Dağıtım: Kabul politikası aşamasında - 'kritik/yüksek' güvenlik açıkları ve imzasız/SBOM ile görüntüleri yasaklayın.
Aşama sonrası: Evreleme ve kısmen üretime karşı DAST/IAST (güvenli profiller).

Örnek: Renovate/Dependabot (parça)

json
{
"extends": ["config:recommended"],
"vulnerabilityAlerts": { "enabled": true },
"packageRules": [
{ "matchUpdateTypes": ["minor","patch"], "automerge": true },
{ "matchManagers": ["dockerfile"], "enabled": true }
]
}

Kabul politikası (Kubernetes, OPA/Gatekeeper - basitleştirilmiş)

rego package policy.vuln

deny[msg] {
input.image.vuln.critical > 0 msg:= sprintf("Image %s has critical vulns", [input.image.name])
}

deny[msg] {
input.image.sbom == false msg:= sprintf("Image %s without SBOM", [input.image.name])
}

Yama yönetimi (sabit varlıklar, konteynerler, K8s)

ОС (Linux/Windows)

Yama penceresi: normal pencereler + P1 için acil olağanüstü pencereler.
Strateji: Kanarya önce %5-10 düğümler, sonra dalgalar.
Otomatik dağıtım: Ansible/WSUS/Intune/SSM; Kısıtlama kontrolü ve geri dönüşler.
Arıza süresini en aza indirmek için Kernel Live Patching (mümkünse).
Yeniden başlatma hizmetleri: K8s düğümler için yönetilen boşaltma/kordon, zarif kapatma.

Konteynerler

Değişmez yaklaşım: çalışma zamanında "uygun yükseltme'değil; Güncelleştirilmiş taban ile görüntüyü yeniden oluşturun.
Temel görüntüler: altın görüntüleri düzenli olarak güncelleyin (Alpine/Debian/Distroless), sürümleri düzeltin (digest).
Çok aşamalı montajlar: yüzeyi en aza indirin (yapı araçlarını kaldırın).
Dağıtım Öncesi Tarama - Kritik CVE'lerle görüntüleri engelleyin.

Kubernetes/Servis Kafesi

Kontrol Düzlemi: Zamanında küçük sürümler, kapanış CVE k8s/etcd/containerd.
Düğüm İşletim Sistemi/Konteyner çalışma zamanı: zamanlanmış güncellemeler, sürüm uyumluluğu.
Mesh/Ingress: Envoy/Istio/NGINX sürümleri kritiktir (ayrıştırıcılarda/NTTR3'te genellikle CVE).
Kabul Politikaları: ban ': son', imza gereksinimi, güvenlik açığı sınırları.

Sanal yamalar ve telafi edici önlemler

Bir yama hızlı bir şekilde mümkün olmadığında:
  • WAF/WAAP: Belirli bir uç nokta için imza/pozitif model.
  • Özellik Bayrakları: Savunmasız işlevleri devre dışı bırakın.
  • Ağ ACL/mTLS/IP izin listesi: savunmasız hizmete erişimi kısıtlayın.
  • Yapılandırma sertleştirme: hakları azaltma, sanal alan, salt okunur FS, tehlikeli modülleri devre dışı bırakma.
  • TTL belirteçlerinin/anahtarlarının azaltılması, sırların döndürülmesi.

Risk kabulü

Bir istisna ile bir bilet verilir: gerekçe, telafi edici önlemler, eleme için SLA, revizyon tarihi.
"Geçici risk kabulü'olarak rapor edin ve aylık incelemeye dahil edin.

Gözlemlenebilirlik ve metrikler

Teknik:
  • Ortalama Yama Zamanı (MTTP) по P1/P2/P3.
  • Tarama kapsamındaki varlıkların payı (%).
  • Açık güvenlik açıklarının yaşı (p50/p90), backlog yanması.
  • SBOM ve imza içeren görüntülerin yüzdesi.
İş/SLO:
  • Kapanış tarihlerine göre SLO'ların tamamlanması (örn. %95 P1 ≥ ≤ 48 saat)
  • Çalışma süresi üzerindeki etkisi (yama olaylarının sayısı).
  • Aynı CVE'nin tekrar tekrar algılanması (şablonlarda kaliteyi düzeltin).

Playbooks (kısaltılmış)

P1: Kamu hizmetinde kritik RCE

1. WAF kuralı/wirth yamasını etkinleştirin.
2. Yetkisiz kaynaklara erişimi engelleyin (varsa).
3. Acil görüntü yeniden oluşturma/OS yama, dalga kanarya.
4. Tekrarlanan DAST/telemetri kontrolü, hata izleme.
5. Olay sonrası: Temel görüntü/Dümen grafiğindeki düzeltmeyi düzeltin, testi CI'ye ekleyin.

Gizli sızıntı (yetkilendirme):

1. Sırların/anahtarların derhal döndürülmesi, belirteçlerin iptali.

2. Kullanım izlerini bulmak, bitiş noktalarını sınırlamak.

3. Sırlar için repo/görüntü taramaları, bir ön işlem tarayıcısının uygulanması.

Artifaktlara örnekler

1) Sıcak güvenlik açıkları hakkında SQL raporu

sql
SELECT service, cve, cvss, epss, exposed, has_exploit, created_at,
PRIORITY(exposed, has_exploit, cvss, epss) AS prio
FROM vuln_findings
WHERE status = 'open' AND (cvss >= 8.0 OR has_exploit = true)
ORDER BY prio DESC, created_at ASC;

2) Kabul politikası (Kyverno, kritik güvenlik açığı bloğu)

yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata:
name: block-critical-vulns spec:
validationFailureAction: Enforce rules:
- name: image-must-have-no-critical match: { resources: { kinds: ["Pod"] } }
validate:
message: "Image contains critical vulnerabilities"
pattern:
metadata:
annotations:
vuln.scanner/critical: "0"

3) SBOM üretimi ve imzası (Makefile parçası)

make sbom:
cyclonedx create --output sbom.json sign:
cosign sign --key cosign.key $(IMAGE_DIGEST)

İGaming/fintech için Özgüllük

Yüksek riskli alanlar: ödeme ağ geçitleri, ödeme backfix, dolandırıcılık önleme, PII/PAN işleme - P1/P2 öncelikli yamalar.
Servis pencereleri: turnuvalar/promosyonlar, sıcak önbellekler, düşük yüklü bölgelerdeki kanaryalar ile koordinasyon.
Düzenleyici (PCI DSS/GDPR): güvenlik açıklarını düzeltmek için zaman çizelgesi, kanıtlar (ekran görüntüleri/raporlar), CHD bölge segmentasyonu, şifreleme.
İş ortağı entegrasyonları: Web kitaplarında sürüm SDK/istemciler, zorunlu SCA ve HMAC/mTLS gerektirir.

Yaygın hatalar

"Her şeyi tara - hiçbir şeyi düzelt": sahipler ve SLO yok.
Bağlam olmadan sadece CVSS'ye odaklanın (pozlama, EPSS, veri).
Görüntüyü yeniden oluşturmak yerine konteyner çalışma zamanını yamalayın.
Kanarya eksikliği/geri dönüş planları.
cloud/K8s yanlış yapılandırmaları göz ardı etme (genellikle CVE'den daha kritik).
SBOM/imza yok - tedarik zinciri.

Uygulama yol haritası

1. Varlıkların ve sahiplerin envanteri; Birleştirilmiş hizmet/resim kaydı.
2. Tarayıcı yığını: SCA/SAST/DAST/Konteyner/Bulut + gizli tarama; CI/CD'ye entegrasyon.
3. SLO ve önceliklendirme politikaları: CVSS + EPSS + bağlamı; Bilet şablonları.
4. Kabul/Kod Olarak Politika: Kritik güvenlik açıklarının yasaklanması, SBOM/imza şartı.
5. Yama işlemleri: pencereler, kanaryalar, geri dönüşler; Küçük/yama versiyonları için otomatik pilotlar.
6. Raporlama ve metrikler: MTTP, kapsam, yaş; Haftalık risk incelemesi.
7. Düzenli egzersizler: kritik CVE simülasyonu, oyun kitaplarının doğrulanması ve geri alma.

Sonuç

Olgun güvenlik açığı yönetimi bir defalık bir "temizleme'değil, bir süreçtir: otomatik algılama, bağlam önceliklendirme, kanaryalar/geri alma yoluyla pürüzsüz yamalar, prod girişinde kod olarak politika ve şeffaf yürütme metrikleri. Temel görüntülerdeki ve desenlerdeki kilitleri sabitleyerek, tekrarlama riskini azaltır ve saldırı yüzeyini sabit kontrol altında tutarsınız.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.