Zafiyet Analizi

Güvenlik Açığı Taraması, bir kuruluşun güvenlik programındaki hataları otomatik olarak tespit etme sürecini tanımlamak için kullanılan geniş bir terimdir. Bu, yama yönetimi süreci, güçlendirme prosedürleri ve Yazılım Geliştirme Yaşam Döngüsü  gibi alanları kapsar. Güvenlik açığı taraması sunan hizmetler veya ürünler, genel olarak Güvenlik Açığı Değerlendirme Sistemleri olarak da bilinir.

ITSecurity Etkili bir Güvenlik Açığı Yönetim Programının bir parçası olarak, güvenlik açığı tarama çözümleri, bir kuruluşun ağlarındaki güvenlik sorunlarını otomatik olarak tespit etmenin uygun maliyetli bir çözümünü sunmaktadır. Ancak, güvenlik açığı tarama ürünleri ve hizmetleri pazarı, birçok özel alanı kapsar ve dağıtım modelleri ve lisans maliyetleri gibi konuları içeren geniş bir seçenek yelpazesi içerir. Bu karmaşıklıklar, kendi kuruluşunuz için bir güvenlik açığı tarama çözümü satın alırken doğru seçimi yapmayı zorlaştırabilir. Bu nedenle ITSecurity sizin adınıza bu süreçleri en iyi şekilde yürütmektedir.

İzleyici ve yapı

  • Güvenlik açığı taramanın temellerini ve bir  ile nasıl bütünleştiğini anlıyoruz
  • Güvenlik açığı taramasının en etkili şekilde ne zaman ve nasıl kullanılacağına sizin adınıza karar veriyoruz

Güvenlik açığı taramanın avantajları

Kuruluşların güvenlik açığı taramasından yararlanmaları için birkaç neden vardır:

  • otomasyon : tarama, bir programa göre, isteğe bağlı olarak veya bir yazılım projesinin yeni bir derlemesi veya yeni bir sunucunun devreye alınması gibi olayları tetiklemeye yanıt olarak çalıştırılabilir. Bu, güvenlik açığı ortamının güncel bir görünümünün korunmasını sağlar.
  • hız : tarayıcılar tipik olarak yüzlerce ve hatta binlerce denetimi, manuel testte mümkün olandan çok daha hızlı bir hızda gerçekleştirir.
  • maliyet etkinliği : hız ve otomasyonun avantajları, bir hedefe karşı güvenlik açığı taraması yapmayı manuel olarak test etmekten çok daha ekonomik hale getirir.
  • ölçeklenebilirlik : modern bulut tabanlı mimariler, hizmetlerin küçük veya büyük ortamların benzer zaman dilimlerinde taranmasını sağlamak için kaynaklarını artırabileceği veya azaltabileceği anlamına gelir.
  • uyumluluk : birçok güvenlik açığı tarama çözümü, ortak bilgi güvenliği standartlarına veya bir kuruluşun kendi temel kontrol setine uygunluğu test etmek için ısmarlama kontroller içerir.
  • doğruluk : güvenlik açıklarının varlığını doğrulamak için ısmarlama kontroller gerçekleştirerek, tarayıcılar Yazılım Varlık Yönetimi çözümlerinde tutulan bilgilere başvurmaktan çok daha güvenilir sonuçlar üretebilir.

En önemlisi, güvenlik açığı taraması, bir kuruluşa, güvenlik açıklarını keşfetmek için benzer araçlar ve teknikler kullanan, sistemlerden ödün vermeyi amaçlayan bireylere ve gruplara ayak uydurma yeteneği sağlar.

Manuel testle ilişki

Test kapsamının genişliği ve derinliği söz konusu olduğunda, otomatik güvenlik açığı taramasının Sızma Testi gibi manuel işlemlerle karşılaştırılamayacağı unutulmamalıdır.

Bunun yerine, otomatik tarama, uzman güvenlik test uzmanları çalıştırmaya gerek kalmadan yaygın güvenlik sorunlarını bulmanın ve yönetmenin uygun maliyetli bir yolu olarak görülmelidir.

Benzer şekilde, düzenli güvenlik açığı taraması da yapılmalıdır. ITSecurity sistemlerinizi düzenli periyodlarla tarıyarak güvenlik risklerinizi en aza indirmenizi sağlayan bir STK Şirketidir.

1. Mevcut Güvenlik Açığı Yönetimi Programınızı değerlendirin

Güvenlik Açığı Taraması, yalnızca daha büyük bir Güvenlik Açığı Yönetimi Programının parçası olarak kullanıldığında bir kuruluşa yönelik riski azaltmada etkilidir .

ITSecurity tipik olarak aşağıdaki süreçleri içerir:

  • Sistem keşfi : Kuruluşunuzun sahip olduğu varlıkları tanımlama
  • Varlık sınıflandırması : Varlıkları ortak özelliklere göre gruplara veya kategorilere atama
  • Güvenlik açığı algılama : Varlıklarda güvenlik açıklarını bulma ve doğrulama
  • Güvenlik açığı triyajı : Güvenlik açıklarını teknik veya iş hedeflerine göre önceliklendirme
  • Güvenlik açığı düzeltmesi : Tanımlanan sorunların giderilmesi konusunda danışmanlık ve doğrulama
  • Güvenlik açığı ifşası : Güvenlik araştırmacılarının ilgili güvenlik açıklarını size ifşa etmeleri için bir mekanizma sağlamak. Kendi güvenlik açığı ifşa sürecinizi oluşturma.

Desteklemek

Güvenlik Açığı Tarama çözümleri genellikle bir destekleyen veya onunla entegre olan özellikler içerir, örneğin:

  • IP adres aralıklarınızdaki veya yeni web uygulamalarınızdaki yeni ana bilgisayarları düzenli olarak tarayarak sistem keşfi gerçekleştirme
  • Mevcut varlık yönetimi kayıtlarına göre keşfedilen doğrulama sistemleri
  • Güvenlik açığı raporlarının sunulma şeklini işletmenizin veya kuruluşunuzun öncelikleriyle uyumlu olacak şekilde uyarlamak
  • Düzeltme sürecini, belirli sorunları yeniden tarayarak ve giderildiklerinde onaylandıklarında bildirerek desteklemek
  • İş akışlarını koordine etmeye ve otomatikleştirmeye yardımcı olmak için hata izleyiciler veya kaynak kodu depoları gibi diğer sistemlerle entegrasyon
  • Kullanıcıların güvenlik açıklarını birlikte oturum açıp yönetmeleri için güvenli bir kimlik doğrulamalı portal sağlama

Hangi özelliklere ihtiyacınız var?

Bu özelliklerin kullanılabilirliğinin Güvenlik Açığı Tarama çözümü seçiminizi ne ölçüde etkileyeceği, mevcut VMP’nize ve durumunuzu geliştirip geliştirmediklerine veya sadece gereksiz karmaşıklık sağlayıp sağlamadıklarına bağlıdır.

Örneğin, halihazırda bir VMP’si olmayan bir kuruluş, farklı yöneticilerin kendi sistemleriyle ilgili güvenlik açıklarını görüntülemesine ve yönetmesine olanak tanıyan merkezi bir portal içeren bir hizmetten büyük olasılıkla faydalanacaktır.

Buna karşın, olgun, yerleşik bir MVP’ye sahip kuruluşlar zaten bu tür yeteneklere sahip olabilir ve bu nedenle, mevcut çözümle kolayca entegre edilebilmeleri için sonuçların dışa aktarılmasını destekleyen bir ürüne ihtiyaç duyabilirler.

Bir Güvenlik Açığı Taraması çözümü satın alırken dikkate alınması gereken diğer özellikler bu kılavuzun sonunda belgelenmiştir.

2. Varlıklarınızı Tanımlayın

‘Varlık’ kelimesi, güvenlik açıklarının ilişkilendirildiği bir varlığı (fiziksel veya sanal) tanımlamak için güvenlik açığı taraması bağlamında kullanılır. Bu, gerçekleştirilmekte olan taramanın türüne bağlı olarak birkaç şekilde olabilir, örneğin:

  • Yönlendirici veya anahtar gibi bir ağ altyapısı bileşeni
  • Dizüstü bilgisayar, çevrebirim cihazı veya sunucu gibi bağlı bir sanal veya fiziksel ana bilgisayar
  • Bir web platformu veya uygulamanın bir örneği
  • Bulut tabanlı ana bilgisayarlar veya uç noktalar

Kuruluşların bu kategorilerin bir kısmını veya tamamını kapsayan çeşitli varlıklara sahip olması yaygındır, ancak bazıları diğerlerinden daha yaygın olabilir. En uygun güvenlik açığı tarayıcı türlerinin aranabilmesi için bunların tanımlanması ve kaydedilmesi (ideal olarak bir varlık kaydında) önemlidir. 

Örneğin, kendi mobil cihazlarını kullanarak uzaktan çalışan kullanıcılar nedeniyle BT mülkünüzün bazı bölümlerinin yüksek oranda dağıtıldığını görebilirsiniz. Bu gibi durumlarda, bu cihazlar tarafından uzaktan erişilebilecek şekilde tasarlanmış tüm yaygın hizmetlere odaklanın. Örneğin, belki de kullanıcıların harici olarak erişilebilen tek bir web portalında veya Sanal Özel Ağ sunucusunda oturum açması gerekebilir. Dahili ağınızın izninin dışında bulunan son kullanıcı cihazlarının güvenliği hala önemliyken, uzaktan güvenlik açığı taramasının bu durumlarda fayda sağlama olasılığı düşüktür. Bunun yerine, uzak cihazlar, yazılımın güncel tutulmasını sağlayarak yaygın güvenlik açıklarından kaçınmayı hedeflemelidir .

Kuruluşunuzdaki tüm ilgili varlıkları belirledikten sonra, bunları farklı mantıksal gruplara ayırmalısınız. Örneğin, ana web sitenizle ilişkili herhangi bir sunucu ana bilgisayarını veya web uygulamalarını bir kategoriye ve dahili masaüstü sitenizi başka bir kategoriye yerleştirmek isteyebilirsiniz. Bu, bireysel güvenlik açığı taramaları için ayrı, daha yönetilebilir kapsamların tanımlanmasına yardımcı olur.

Yukarıda ‘ Mevcut Güvenlik Açığı Yönetimi Programınızı Değerlendirin ‘ bölümünde bahsedildiği gibi , bazı çözümler sistem keşfini ve sınıflandırmasını otomatik olarak gerçekleştirerek bu süreci destekler. ITSecurity olarak kurumsal envanterinizin oluşturulmasında size yardım ederek, en doğru ve güvenilir test hizmetini size sunmaktayız.

3. Uygun bir Güvenlik Açığı Tarayıcısı türü seçin

Güvenlik açığı tarayıcıları, genellikle değerlendirmeyi amaçladıkları hedef türüne göre kategorize edilir. En geniş ayrım, “altyapı” ve “uygulamalar” arasındadır.

Uygulama tarayıcıları ayrıca web uygulamalarını hedefleyenler ve yerel uygulamaları hedefleyenler olarak alt gruplara ayrılır. Tarayıcılar, bulut altyapısı, mobil uygulamalar veya belirli bir platform veya teknoloji kullanılarak oluşturulan web uygulamaları gibi bir dizi uzman alt kategorisi için de mevcuttur.

Özel tarayıcılar, değerlendirmek için tasarlandıkları hedef türleri için en doğru ve ilgili sonuçları sunabilirken, bir kuruluşun BT mülkiyeti, bu tür çözümlerin kendi başlarına kapsamlı kapsam sağlamak için çok fazla çeşitlilik içermesi muhtemeldir. Bu nedenle, en yaygın altyapı sorunları hakkında iyi bir kapsama düzeyi sağlamak için ilk önce temel düzeyde genelleştirilmiş bir tarama oluşturmaya çalışmalısınız.

Kuruluşunuz yukarıda belirtilenler gibi diğer belirli kategorilerdeki varlıkları ortaya koyuyorsa – ve bütçeniz buna izin veriyorsa – temel taramanızı daha özel tarayıcılarla tamamlayarak, tarama için katmanlı bir yaklaşım sunmaktayız.

Altyapı tarayıcıları

Altyapı tarama çözümleri tipik olarak ağın geri kalanı veya bir bütün olarak İnternet tarafından erişilebilen hizmetleri tanımlama ve test etmeye odaklanır. Bunun için genellikle ana bilgisayar keşfi ve bağlantı noktası tarama işlevini içerirler.

Erişilebilir bir ağ hizmeti keşfedildiğinde, genellikle mümkün olduğunca fazla bilgi bulmak için onu incelerler. Tarayıcı, “parmak izi” veya diğer başka teknikler kullanarak, yazılımın satıcısı ve sürüm numarası gibi ayrıntıları toplayacaktır. Birçok altyapı tarayıcısı, daha bilgilendirici yanıtları araştırmak veya bir güvenlik açığının varlığını doğrudan test etmek için bazı hizmet türlerine güvenli test mesajları da gönderecektir. Bir hizmet ‘parmak izi’ elde edildikten sonra, bu aynı zamanda güvenlik açıkları içerdiği bilinen ürünlerden oluşan bir bilgi kitaplığına da başvurulur.

Bazı ağ güvenlik açığı tarayıcıları bundan daha gelişmiş yöntemler kullanır ve hatta ilk önce kimlik doğrulama gerektiren kontrolleri destekleyebilirken, genellikle kapsam söz konusu olduğunda derinlik yerine genişliği hedeflerler. Örneğin, bu tür tarayıcılar genellikle web uygulamalarında gezinme veya özel protokollerle karmaşık etkileşimler gerektiren güvenlik açıklarını algılama yeteneğinden yoksundur. Bununla birlikte, aynı bağlantı noktalarında eski yazılım kullanımından veya zayıf şifreleme ayarlarından kaynaklanan güvenlik açıklarını tespit edebilirler.

Bu nedenle, ağ güvenlik açığı tarayıcıları, İnternetten veya şirket içi ağınızdan saldırılardan yararlanılabilecek yeni yaygın güvenlik açıkları için büyük dış ayak izlerine sahip ağları izlemek için mükemmel bir seçimdir. Ayrıca, ağırlıklı olarak ‘hazır’ çözümlerden oluşan, çok az özel geliştirilmiş yazılım içeren veya hiç içermeyen BT siteleri için daha kullanışlıdır. ITSecurity olarak sizlere bu noktada gelişmiş bir hizmet sağlamaktayız.

Yerel yazılım tarayıcıları

Bu tarama çözümleri, özel uygulamaların oluşturulması ve konuşlandırılmasındaki yaygın kusurları tespit etmek için tasarlanmış olmaları bakımından web uygulamalarına benzer.

Bununla birlikte, web uygulama tarayıcılarından farklı olarak, yerel yazılım tarama çözümleri, genellikle değerlendirilen yazılım ürünüyle aynı ana bilgisayarda veya kaynak koduna doğrudan erişimi olan bir yerde dahili bir ortamda çalıştırılmak üzere tasarlanmıştır. Bu, sınırlı ağ maruziyetine sahip harici bir web uygulamasıyla etkileşimde bulunulması mümkün olmayacak kontrollerin yapılmasını sağlar.

Altyapı ve web uygulaması tarayıcılarını karşılaştırma

Güvenlik Açığı Taramasının Türü İlişkili varlıklar Tespit edilen sorunların örnekleri
Altyapı
  • Ağ altyapısı bileşenleri
  • Fiziksel ana bilgisayarlar
  • Sanal konaklar
  • Son kullanıcı cihazları
  • Bulut tabanlı ana bilgisayarlar veya uç noktalar
  • Eksik İşletim Sistemi veya yazılım uygulaması yamaları
  • Desteklenmeyen İşletim Sistemleri veya yazılım uygulamaları
  • Varsayılan veya zayıf parolaların kullanılması
  • Zayıf kriptografi veya açık metin hizmetlerinin kullanımı
  • Hassas hizmetlerin veya bilgilerin ifşa edilmesi
  • Güvenlik güçlendirme önlemlerinin eksikliği
  • Aşırı izin veren erişim kontrolleri
Web uygulaması
  • API uç noktaları
  • internet uygulamaları
  • Alanlar
  • Kötü niyetli kullanıcı girdisinden enjeksiyonlar
  • Bozuk kimlik doğrulama
  • Hassas kişisel veya sistem verilerinin ifşası
  • Bozuk erişim kontrolü
  • Savunmasız üçüncü taraf bileşenlerin kullanımı
  • Zayıf kriptografi veya şifrelenmemiş iletişim kullanımı

4. Bir dağıtım modeli seçimelidir

Güvenlik açığı tarama çözümleri ve hizmetleri pazarı, hem geleneksel şirket içi modeli hem de giderek daha popüler hale gelen satıcı tarafından barındırılan modeli içerir. Altyapınızla en iyi bütünleşen ve kuruluşunuzun güvenlik kısıtlamalarını karşılayan bir dağıtım modeli seçmelisiniz. Bu modelleri sizin oluşturuyoruz.

Şirket içi çözümler

Şirket içi dağıtımda, müşterinin tarama ürününü kendi altyapısında barındırması gerekir. Bu, örneğin, veri merkezinizdeki bir Sanal Makine (VM) veya fiziksel cihazı içerebilir.

Bu tür bir dağıtım, ağın harici ağ bağlantısı olmayan alanlarının taranmasını çok daha kolay hale getirir. Veriler ayrıca bu tür dağıtımlarda yerel olarak depolanır, bu nedenle sistemlerinizdeki güvenlik açıklarıyla ilgili tüm hassas bilgilerin konumu üzerinde tam kontrole sahip olmanızı sağlıyoruz.

Bu tür dağıtımlar, en son güvenlik açıklarıyla güncel kalmalarını sağlamak için kaçınılmaz olarak bazı ilk yapılandırma ve sürekli bakım gerektirir.

5. Hangi varlıkların ne zaman taranacağımıza karar veriyoruz

BT varlığınızın daha geniş kapsamının, kuruluşunuzun genel riskine ilişkin daha eksiksiz bir görünürlük sağladığı doğru olsa da, her şeyi taramak pratik veya uygun maliyetli olmayabilir. Bu durumlarda, İnternet erişimi olan, iş açısından kritik hizmetleri barındıran veya en hassas verileri içeren (örneğin veritabanı sunucuları) varlıklara öncelik vermelisiniz. İlgili risklerin kuruluşunuzun güvenlik modeline dahil edilebilmesini sağlamak için, güvenlik açığı taraması dışında bırakılan varlıkların bir kaydını tutmak önemlidir. Bu hizmetleri size sağlayarak taramalarda maliyetlerinizi minimuma indirerek gereksiz güvenlik testi masraflarından sizi koruyoruz.

Düzenli olarak tarıyoruz

Düzenli olarak (en az ayda bir) veya kritik bir sorunu gidermek için değişiklikleri uyguladıktan hemen sonra altyapınızın güvenlik açığı taramalarını gerçekleştiriyoruz.

Yeni bir sürüm kurulduğunda veya özel uygulamanızın kaynak kodunda değişiklik yapıldığında olduğu gibi, hedef uygulamada herhangi bir değişiklik yapıldığında sizi düzenli olarak tarayarak, anlık ortaya çıkacak güvenlik risklerini minimize ediyoruz.

Ek hususlar

Güvenlik açığı tarama hizmetlerinin ihtiyaçlarınıza uygunluğunu belirlerken göz önünde bulundurduğumuz şeyler;

  • Yanıt verebilirlik : Çözüm, kamuya açıklandıktan sonra makul bir süre içinde yeni bir güvenlik açığını tespit edebiliyor mu? Kritik sorunlar için bu birkaç günden fazla olmamalıdır.
  • Kapsam : Tarayıcı, sizin için alakalı ve önemli olan güvenlik açığı kategorilerini kapsıyor mu? Örneğin, web uygulama tarayıcıları söz konusu olduğunda, tüm sorunlar OWASP İlk 10’a dahil mi?
  • Kimlik doğrulama desteği : Tarayıcı kimliği doğrulanmış kontrolleri destekliyor mu? Örneğin, başka türlü mevcut olmayan kontrolleri gerçekleştirmek için Windows ana bilgisayarlarında oturum açabiliyor mu? Yalnızca bir aracı kullanarak yerel kimlik doğrulamayı ve uzaktan kimlik doğrulamayı mı destekliyor? Hesapların kilitlenmesini önlemeye yardımcı olacak güvenlik önlemleri var mı?
  • Doğruluk : Tarayıcı genellikle yanlış pozitifler (bir güvenlik açığının olduğu ancak olmadığı durumlarda) veya yanlış negatifler (bir güvenlik açığının olduğu ancak rapor edilmediği durumlarda) üretiyor mu? Örneğin, yazılım ürünlerinin eski sürümlerini hatalı bir şekilde tanımlıyor mu veya sahip olduklarını bildiğiniz halde yamaların uygulanmadığını iddia ediyor mu?
  • Güvenilirlik : Tarayıcı, hem otomatik bir programa göre hem de isteğe bağlı olarak manuel olarak görev yapmaya hazır mı?
  • Ölçeklenebilirlik : Tarayıcı, herhangi bir zamanda gerekli kapasiteye dayalı bir maliyet modeli ile artan talep dönemlerinde performanslı kalır mı?
  • Raporlama yetenekleri : Raporlar özel ihtiyaçlarınıza göre uyarlanabilir mi? Raporlama yetenekleri, güvenlik ve yönetim ekiplerinizi desteklemek için doğru bilgileri ve ölçümleri sağlıyor mu?
  • Diğer İşletim Sistemi bileşenleriyle entegrasyon : Çözüm, hedef ana bilgisayarlarda mevcut yüklü yazılımlardan yararlanarak ek değer sağlayabilir mi? Örneğin, akıllı yama yönetimi özellikleri sağlamak için Windows ana bilgisayarlarında Microsoft System Center ile entegre oluyor mu?
  • Farklı varlık türleri için destek : Örneğin, çözüm sanal makinelerin, konteynerlerin veya özel veritabanı sunucularının taranmasını destekliyor mu?
  • Bulut ortamlarıyla entegrasyon : Çözüm, bu ortamlarda barındırılan ek varlıkları otomatik olarak keşfetmek ve taramak için yaygın bulut sağlayıcılarını sorgulayabilir mi?
  • Güvenlik : Satıcı, tarama faaliyetinin hedeflenen hizmetlerin kullanılabilirliğini bozmayacağını garanti ediyor mu? Değilse, çözüm daha tehlikeli kontrolleri hariç tutacak şekilde yapılandırılabilir mi?

Comments (0)

Leave Comment