Kurumsal Zafiyet Yönetimi

Blog geri dön

Yılda bir kez yapılan sızma testlerinin gerekliliği tartışılmaz ancak bu çalışmaların ciddi bir zafiyet yönetimi sürecinin yerini tutamayacağı da ortadadır. Sızma testi ve zafiyet taraması Proaktif siber güvenliğin birbirini tamamlayan bileşenleridir. Sızma testi yılda bir kez yapılabilecekken zafiyet taraması en az aylık olarak yapılmalıdır.

Zafiyet Taraması Nedir?

Bilişim sistemlerinde keşfedilen güvenlik açıklarının ve kurulum veya kullanım sırasında yapılabilecek konfigürasyon hatalarının tespit edilmesi ve giderilmesi için yapılan çalışmalardır. Zafiyet taramasının amacı siber saldırganlar veya zararlı yazılımlar tarafından istismar edilebilecek güvenlik açıklarını erkenden tespit edip bunları gidermektir.

Zafiyet taramalarının başlıca amacı “zafiyet penceresi” olarak bilinen ve sistemlerin zafiyeti üzerlerinde barındırdıkları süreyi azaltmaktır.

 

 Zafiyetleri 3 ana grupta düşünebiliriz;

  1. Bilinen zafiyetler: Duyulmuş, bilinen güvenlik zafiyetleri
  2. Zero-day zafiyetler: Üreticisinin henüz bilmediği zafiyetleri
  3. Üreticinin giderdiği zafiyetler: Bazı zafiyetler üretici firma tarafından tespit edilir ve güncelleme yayınladığında giderilir

Siber saldırganlar ve zararlı yazılımlar açısından bakıldığında zafiyet penceresinin güncelleme yapıldığında kapandığını düşünürsek kuruluş açısından bu zamanı mümkün olduğunca kısa tutmak çok önemlidir. Bu nedenle yılda 1 kez yapılan sızma testleri zafiyet penceresinin çok uzun süre açık kalmasına neden olmaktadır.

Zafiyet Tarama Programı Nedir?

Kurumsal ölçekte zafiyetlerin takip edilmesi ve zafiyet penceresinin mümkün olduğunca kısa tutulması için yapılan çalışmaların bütünü bu kapsamdadır. Etkin bir kurumsal zafiyet tarama programı bir zafiyet tarama yazılımı alımının ötesinde, aşağıdaki bileşenlere sahip olmalıdır.

Keşif çalışmaları

Zafiyet yönetimi çalışmalarını etkin biçimde takip edebilmek için kuruluş ağına bağlı sistemlerin tamamını değerlendirmeye dahil etmek gerekir. Bu çerçevede ağa bağlı her sistem için en az aşağıdaki bilgileri toparlamak gerekir;

  • Sistem keşfi (İşletim sistemi, MAC adresi, IP adresi, vb.)
  • Tespit edilen sistemler üzerindeki TCP ve UDP servislerin belirlenmesi

Keşif taramaları arasındaki farklar özellikle dikkate alınıp incelenmelidir.

Sistemlerin Gruplanması

Kuruluş bünyesindeki bütün sistemlerin değeri eşit değildir. Bu nedenle zafiyet taraması sonuçlarını önceliklendirmek ve en acil çözümleri en hızlı şekilde uygulamak çok önemlidir. Gruplama kuruluş açısında kritik değere sahip varlıkları (sunucu, veri, veritabanı, mail sunucusu, vb.) daha yakından takip etmeye de imkân verecek bir yapıda olmalıdır.

Denetim Süreçlerinin belirlenmesi

Denetimler ve zafiyet taramaların hangi sıklıkla yapılacağını veya sonuçların nasıl değerlendirileceğini belirlemek zafiyet yönetimi sürecinin etkinliği için çok önemlidir.

Zafiyet taramasının yapılması

Görüldüğü gibi zafiyet taraması kurumsal zafiyet yönetim sürecinin sadece bir parçası. Taramanın nasıl yapılacağı, hangi sıklıkla yapılacağı, bulguların nasıl ele alınacağı, vb. konular belli olmadan yapılan çalışmalar yüzeysel kalacaktır.

Çıktıların değerlendirilmesi

Zafiyet tarama araçları “false positive” olarak bilinen yanlış bulgularıyla meşhurdur. Bu nedenle herhangi bir zafiyet tarama aracının çıktısını körü körüne ele almadan önce bulguların tutarlılığını teyit edilmesi önemlidir. Sonuçların daha önce belirlenen varlık gruplarına göre dağılımı da bu aşamada yapılabilir.

Çözümlerin Uygulanması

Zafiyet tarama araçlarının çoğu tespit edilen zafiyetlerin giderilmesi için öneriler sunar. Bu durumda önerilen çözümün geçerliliğinin teyit edilmesi ve kuruluş özelinde geçerliliğine bakılması gerekmektedir.

Kuruluşların düzenli olarak zafiyet taraması yapmamalarının 2 temel nedeni olduğunu düşünüyoruz; bütçe ve operasyonel yük fazlalığı.

Bunun yanında düzenli olarak yapılacak zafiyet taramalarının sonuçlarının değerlendirilmesi, önceliklendirilmesi ve zafiyetlerin giderilmesi için gerekli kaynakların da her zaman bulunmadığını biliyoruz.

Hem operasyonel yük hem de bütçe açısından sizin için çok uygun olabilecek yöntemler biliyoruz!

 

 

Blog geri dön