Zafiyet Analizi ve Zafiyet Yönetimi
Şirketinizde
bulunan bütün bilişim ile ilgili sistemler (serverlar, bilgisayarlar, modemler,
yazıcılar, vs.) potansiyel bir zafiyet ve açık oluşturmaktadır. Hatta
çalışanlarınız bile şirketiniz için bir zafiyet sayılabilir. Bir saldırgan
şirketinizde bulunan zafiyetleri kullanabilir ve sitemlerinize ulaşarak sizin
için çok değerli sayılacak bilgilerinizi çalabilir, şifreleyebilir, sisteminizi
kilitleyebilir ve kullanılamaz hale getirebilir. Sisteminize erişebilmiş bir
kişi için bu işlemleri gerçekleştirmek hiç zor olmayacaktır.
Aktif
işletim sistemi kullanan bütün cihazlar aslında potansiyel olarak bir açık yani zafiyet içerirler. Bu cihazlara örnek verecek olursak;
- Ø Taşınabilir ve Masaüstü Bilgisayarlar
- Ø Serverlar(Sunucular)
- Ø Veri Depolama Cihazları (Harici Diskler, USB depolama aygıtları ve Hafıza Kartları)
- Ø Tablet ve Akıllı Cihazlar(Telefonlar)
- Ø Linux işletim sistemi bulunduran cihazlar
- Ø Kablosuz erişim cihazları
- Ø ADSL Modemler
- Ø Network ağ cihazları
- Ø Ağ güvenlik kameraları
- Ø Ağ yazıcıları
Yukarıda saydığımız bütün
sistemlerin analizleri yapılarak ve öncesinde taranarak açıkların yani
zafiyetlerin ortaya çıkartılması ve bu zafiyetlerin giderilmesi gerekmektedir.
Bir çok farklı şekillerde zafiyetler nedeniyle bilgi hırsızlığı ve sistem
zararları ile karşı karşıya kalabiliriz. Bunlar;
- v Standart şifreye sahip yani değiştirilmemiş ağ cihazları
- v Virüs içeren sistemler
- v Standart SNMP String’e sahip ağ cihazları
- v İşletim sistemi güncellemesi yapılmamış yani güncel olmayan sistemler
- v Botnet üyesi sistemler
Olarak sıralanabilir.
Zafiyet Analizi ve Zafiyet Yönetimi (Vulnerability Assesment & Vulnerability Management)
Zafiyet,
herhangi bir saldırganın, bilişim sisteme ait bilgi güvenliğini azaltmaya
yardımcı olacak zayıflıktır.
Cert,
Carnegie Mellon University’nin açıklamasına göre“ Ağlara girişlerin %99’u
BİLİNEN güvenlik açıklarından faydalanılarak olmakta veya konfigürasyon
hatalarından kaynaklanmaktadır.” Yani sisteminize ve firmanıza
gerçekleştirilecek her 1000 farklı saldırının 999 tanesi bilinen ve
engellenmesi kolay olan zafiyetlerden oluşmaktadır. Bu gibi zafiyetlerin önüne
geçebilmek için öncelikle sisteminizi ve sisteminizde bulunan yazılımları
sürekli olarak güncelleştirmenizi kesinlikle öneriyoruz.
Sistem Zafiyetleri genellikle 3 farklı unsurun kesişmesi ile
oluşmaktadır. Bunlar;
- · Sistem hassasiyeti veya kusura (Sisteminizde bulunan işletim sistemi temelli kusurlar)
- · Saldırganın zafiyete veya bu kusura ulaşabilmesi (Öyle ya ulaşamasaydı zafiyet olmazdı.)
- · Saldırganın zafiyeti veya zayıflığı kullanabilme kabiliyeti (Kullanılmayan zafiyetin ne önemi olabilirki)
Saldırganın sistem
zafiyetlerinizi kullanabilmesi için en az bir adet uygun aracı veya uygun bir
yeteneği olması gerekmektedir.
Sistem Zafiyetlerinin Sebepleri Nelerdir?
- §
Yazılımlarınızda bulunan açıklar saldırganın
öncelikle uygulamaya veya sisteminize erişmesine neden olabilir.
- §
Bir çok kullanıcı tarafından kullanılan, iyi
bilinen ve bedava olan kodlar, uygulamalar, işletim sistemleri ve donanımlar
kullanmak saldırganın bir araç veya yöntem ile sistem zafiyetlerine ulaşma
ihtimallerini fazlasıyla arttıracaktır.
- §
Büyük ve kompleks sistemler kusurlarınızın artma
olasılıklarını ve kontrolsüz erişim noktalarının sayısını ciddi oranda
arttırmaktadır.
- §
Güvenilir olmayan ve kolay tahmin edilebilen
kullanıcı hakları gerçekte büyük birer zafiyettir.
- §
Daha fazla fiziksel bağlantı, özel haklar,
protokoller, portlar ve servisler saldırganın sistem zafiyetlerinize erişebilme
olasılıklarını ve şanslarını arttırmaktadır.
Zafiyet Analizi
Zafiyet analizi bir diğer adıyla
zafiyet testi 3 farklı işlemden oluşur. Bunlar;
- Ø Tanımlama
- Ø Ölçme
- Ø Önceliklendirme’dir.
Zafiyet Analizi, risk analizi,
zafiyet testi, zafiyet taraması, risk taraması, risk testi gibi kavramlar
benzer kavramlardır. Analiz genellikle aşağıdaki adımlarla uygulanmaktadır;
- v Sisteminizde bulunan varlıkların ve kaynakların kategorilenmesi
- v Kaynaklarına önemlerine göre sıralı değerler atamak (Kritik önem için 1, orta derece için 3, vs)
- v Varlıkta bulunan her bir kaynak için sistem zafiyetlerini ve potansiyel olan tehlike ve tehditleri belirlemek.
Zafiyet Yönetimi
Yukarıda
anlattığımız kavramlarla aslında zafiyet yönetimini ve zafiyet analizini
sizlere azda olsa anlatmaya çalıştık. Zafiyet yönetimi ise tanımlama,
sınıflandırma veya kategorilendirme ve çözümün düzenli ve zamanlı olarak tekrar
edilecek biçimlerde uygulanmasıdır. Zafiyet analizi (zafiyet testi, sızma
testi, zafiyet taraması, sızma taraması, risk analizi, risk taraması)
sonrasında bulunan ve belirlenmiş olan zafiyetler belirlenmiş iş süreçleri
sayesinde yönetilerek azaltılarak zafiyetlerin yönetimi sağlanmış olur.
Zafiyet Yönetim Süreçleri Nelerdir?
- · Kurallar belirlenir ve bu kurallara göre uygulamalar ve düzenlemeler gerçekleştirilir.
- · Ortamın analizi yapılır ve bu analizler sonucunda çalışmalardaki planlar belirlenir.
- · Zafiyetler ölçeklendirilerek kritik ve önemli zafiyetlerin giderilmesi ön plana alınır.
- · Zafiyetlerin çözümü gerçekleştirilerek azalması sağlanır.
- · Koruma ve izleme yöntemi ile oluşabilecek diğer zafiyetlerin önüne geçilerek koruma sağlanır.
Zafiyet analizini ve zafiyet yönetimini mümkün olduğunca
sizlere anlatmaya çalıştım. Burada dikkatli olmak ve emin adımlarla ilerlemek
gerekmektedir. Ülkemizde zafiyet analizi gibi uygulamalara gereken önem
verilmemesine karşılık sisteminizde bulunan zafiyetler işletmenize ve sizlere
çok ağır darbeler gelmesine yol açabilir. Bir önceki yazımda aslında zafiyet
analizinin öneminden ve gerekliliğinden sizlere bahsetmiştim. O yazımı okumanızı
ve Türkiye’nin en büyük 12. Bankasının başına gelenlere dikkat etmenizi
özellikle öneririm.
Yazılarımı okuduğunuz için teşekkür ederim ve beni takipte
kalmanızı rica ederim. İyi günler. Bir hatamız olduysa affola.
Bu konuda herhangi bir yardıma ihtiyacınız olduğu takdirde
benimle iletişime geçebilirsiniz.
Hiç yorum yok:
Yorum Gönder