K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / crown-jewels

Asset / Crown Jewels Mapping — które aktywa są klejnotami koronnymi

Finding bez kontekstu aktywa jest ślepy: „SQL injection w usłudze X" znaczy co innego dla strony marketingowej, a co innego dla rdzenia płatności. Ta warstwa (F11) mapuje aktywa na krytyczność, usługę biznesową, właściciela, flagę crown-jewel, zależności i blast radius — żeby priorytet remediacji i raport DORA/TIBER wiedziały, czy dana luka dotyka klejnotu koronnego. Dane w tabeli poniżej są syntetyczne (przykład).

Status: MVP MVP. Model danych (asset → criticality → business service → owner → crown-jewel → dependency → blast radius) i przykładowa tabela są zdefiniowane i pokazane poniżej. Automatyczne wiązanie findingu z aktywem (finding→asset→crown-jewel przy imporcie) oraz graf zależności są ROADMAP. Zgodnie z doktryną claim ≤ proof rozdzielamy to, co jest schematem i przykładem, od tego, co jest zautomatyzowane w silniku.
Klejnot koronny = aktywo, którego kompromitacja zatrzymuje usługę krytyczną.

Bez rejestru aktywów każdy finding trafia do jednej kolejki i „ważny" miesza się z „kosmetyczny". Crown Jewels Mapping dokłada każdemu aktywu kontekst biznesowy: jak bardzo jest krytyczne, jaką usługę obsługuje, kto za nie odpowiada, czy jest klejnotem koronnym, od czego zależy i jak szeroki jest promień rażenia (blast radius) przy jego kompromitacji. Ten kontekst zmienia sortowanie remediacji i zasila ocenę pokrycia funkcji krytycznych w DORA/TIBER.

ŁAŃCUCH WARTOŚCI: finding (import)aktywocrown-jewel?blast radiuspriorytet remediacjipokrycie DORA/TIBER

Model danych aktywa

Sześć atrybutów, które opisują każde aktywo w rejestrze. To słownik pól, nie zrzut z produkcji.

asset criticality

Krytyczność aktywa w skali C1–C4 (C1 = misja krytyczna, C4 = pomocnicze). Wejście do sortowania findingów.

business service

Usługa biznesowa obsługiwana przez aktywo (np. „Rozliczenia", „Logowanie klienta"). Łączy technikę z funkcją.

owner

Właściciel odpowiedzialny (zespół / rola). Adresat zadania remediacji i punkt kontaktu przy incydencie.

crown-jewel flag

Flaga TAK/NIE: czy kompromitacja zatrzymuje usługę krytyczną lub narusza dane regulowane.

dependency

Od czego aktywo zależy (baza, kolejka, IdP, dostawca). Podstawa mapy propagacji ryzyka.

blast radius

Promień rażenia — ile usług/aktywów upada wraz z tym aktywem. Szacunek zasięgu, nie pomiar.

Tabela przykładowa (dane syntetyczne)

Ilustracja modelu na fikcyjnej organizacji. Nazwy, właściciele i zależności są wymyślone. Kolumna Crown: = klejnot koronny.

Asset IDAktywoKrytycznośćUsługa biznesowaWłaścicielCrownZależnościBlast radius
AST-001 Core Payments API C1 Rozliczenia i przelewy Zespół Płatności AST-004 (DB), AST-006 (IdP), AST-007 (kolejka) wysoki — 5 usług zależnych
AST-002 Ledger / Księga Główna C1 Rachunkowość, rozliczenia Zespół Fintech-Core AST-004 (DB) wysoki — dane regulowane
AST-003 Customer Login Gateway C2 Logowanie klienta Zespół IAM AST-006 (IdP) średni — bramka dostępu
AST-004 Primary PostgreSQL Cluster C1 Trwałość danych (współdzielona) Zespół Platform/DB AST-008 (storage) wysoki — podpiera AST-001/002
AST-005 Marketing CMS C4 Strona publiczna Zespół Marketing AST-008 (storage) niski — izolowany
AST-006 Identity Provider (OIDC) C1 Tożsamość i dostęp Zespół IAM AST-004 (DB) wysoki — auth wielu usług
AST-007 Message Queue (broker) C2 Asynchroniczne przetwarzanie Zespół Platform AST-008 (storage) średni — opóźnia płatności
AST-008 Object Storage C2 Przechowywanie (współdzielone) Zespół Platform średni — warstwa bazowa

Legenda krytyczności: C1 misja krytyczna · C2 ważne · C3 standardowe · C4 pomocnicze. Blast radius = szacunek zasięgu na podstawie zadeklarowanych zależności, nie pomiar.

Po co to DORA / TIBER

DORA pyta o funkcje krytyczne, nie o listę CVE. Regulacja odporności cyfrowej wymaga wskazania, które funkcje są krytyczne dla ciągłości i jak są chronione. Bez mapy crown-jewel raport findingów nie odpowiada na to pytanie — z mapą każdy finding można rzutować na usługę krytyczną i pokazać, czy dotyka aktywa oznaczonego .
TIBER-EU planuje scenariusze wokół klejnotów koronnych. Ćwiczenie typu threat-led zaczyna się od pytania „co jest najcenniejsze i co się stanie, gdy upadnie". Rejestr aktywów z blast radius daje ten punkt wyjścia jako dane, nie intuicję. Uwaga: to warstwa danych wejściowych do planowania — nie zastępuje formalnego zakresu ćwiczenia ani ról nadzorczych.
Co to daje findingowi. Gdy silnik zwiąże finding z aktywem, jedno pytanie zmienia priorytet: „czy to aktywo ma flagę crown-jewel?". Jeśli tak — finding trafia wyżej niezależnie od surowego CVSS, a jego blast radius wchodzi do uzasadnienia remediacji. Automatyczne wiązanie finding→asset jest dziś ROADMAP; model i przykład (powyżej) są MVP.

Powiązania

F11
Warstwa
Asset / Crown Jewels Mapping
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Ta strona pokazuje model i przykład syntetyczny. Deklarujemy dokładnie tyle: schemat pól jest zdefiniowany, tabela ilustruje jego użycie. Elementy zautomatyzowane w silniku (wiązanie findingu, graf zależności, wyliczanie blast radius z danych) są oznaczone ROADMAP, a nie jako gotowa funkcja.

Powiązane: kontekst regulacyjny → /dora-tiber · kolejkowanie napraw → /remediation · metryka pokrycia → /coverage-score · granice systemu → /known-limitations.