Yılda bir kez yapılan sızma testlerinin gerekliliği tartışılmaz ancak bu çalışmaların ciddi bir zafiyet yönetimi sürecinin yerini tutamayacağı da ortadadır. Sızma testi ve zafiyet taraması Proaktif siber güvenliğin birbirini tamamlayan bileşenleridir. Sızma testi yılda bir kez yapılabilecekken zafiyet taraması en az aylık olarak yapılmalıdır.
Bilişim sistemlerinde keşfedilen güvenlik açıklarının ve kurulum veya kullanım sırasında yapılabilecek konfigürasyon hatalarının tespit edilmesi ve giderilmesi için yapılan çalışmalardır. Zafiyet taramasının amacı siber saldırganlar veya zararlı yazılımlar tarafından istismar edilebilecek güvenlik açıklarını erkenden tespit edip bunları gidermektir.
Zafiyet taramalarının başlıca amacı “zafiyet penceresi” olarak bilinen ve sistemlerin zafiyeti üzerlerinde barındırdıkları süreyi azaltmaktır.
Yukarıda verilen grafikte “zafiyet penceresi” bilinen zafiyetleri temel almaktadır. Zafiyetleri 3 ana grupta düşünebiliriz;
Siber saldırganlar ve zararlı yazılımlar açısından bakıldığında zafiyet penceresinin güncelleme yapıldığında kapandığını düşünürsek kuruluş açısından bu zamanı mümkün olduğunca kısa tutmak çok önemlidir. Bu nedenle yılda 1 kez yapılan sızma testleri zafiyet penceresinin çok uzun süre açık kalmasına neden olmaktadır.
Kurumsal ölçekte zafiyetlerin takip edilmesi ve zafiyet penceresinin mümkün olduğunca kısa tutulması için yapılan çalışmaların bütünü bu kapsamdadır. Etkin bir kurumsal zafiyet tarama programı bir zafiyet tarama yazılımı alımının ötesinde, aşağıdaki bileşenlere sahip olmalıdır.
Keşif çalışmaları
Zafiyet yönetimi çalışmalarını etkin biçimde takip edebilmek için kuruluş ağına bağlı sistemlerin tamamını değerlendirmeye dahil etmek gerekir. Bu çerçevede ağa bağlı her sistem için en az aşağıdaki bilgileri toparlamak gerekir;
Keşif taramaları arasındaki farklar özellikle dikkate alınıp incelenmelidir.
Sistemlerin Gruplanması
Kuruluş bünyesindeki bütün sistemlerin değeri eşit değildir. Bu nedenle zafiyet taraması sonuçlarını önceliklendirmek ve en acil çözümleri en hızlı şekilde uygulamak çok önemlidir. Gruplama kuruluş açısında kritik değere sahip varlıkları (sunucu, veri, veritabanı, mail sunucusu, vb.) daha yakından takip etmeye de imkân verecek bir yapıda olmalıdır.
Denetim Süreçlerinin belirlenmesi
Denetimler ve zafiyet taramaların hangi sıklıkla yapılacağını veya sonuçların nasıl değerlendirileceğini belirlemek zafiyet yönetimi sürecinin etkinliği için çok önemlidir.
Zafiyet taramasının yapılması
Görüldüğü gibi zafiyet taraması kurumsal zafiyet yönetim sürecinin sadece bir parçası. Taramanın nasıl yapılacağı, hangi sıklıkla yapılacağı, bulguların nasıl ele alınacağı, vb. konular belli olmadan yapılan çalışmalar yüzeysel kalacaktır.
Çıktıların değerlendirilmesi
Zafiyet tarama araçları “false positive” olarak bilinen yanlış bulgularıyla meşhurdur. Bu nedenle herhangi bir zafiyet tarama aracının çıktısını körü körüne ele almadan önce bulguların tutarlılığını teyit edilmesi önemlidir. Sonuçların daha önce belirlenen varlık gruplarına göre dağılımı da bu aşamada yapılabilir.
Çözümlerin Uygulanması
Zafiyet tarama araçlarının çoğu tespit edilen zafiyetlerin giderilmesi için öneriler sunar. Bu durumda önerilen çözümün geçerliliğinin teyit edilmesi ve kuruluş özelinde geçerliliğine bakılması gerekmektedir.
Kuruluşların düzenli olarak zafiyet taraması yapmamalarının 2 temel nedeni olduğunu düşünüyoruz; bütçe ve operasyonel yük fazlalığı.
Bunun yanında düzenli olarak yapılacak zafiyet taramalarının sonuçlarının değerlendirilmesi, önceliklendirilmesi ve zafiyetlerin giderilmesi için gerekli kaynakların da her zaman bulunmadığını biliyoruz.
Hem operasyonel yük hem de bütçe açısından sizin için çok uygun olabilecek yöntemler biliyoruz!
Detaylı görüşmek için bize sparta@sparta.com.tr mail adresimizden ulaşabilirsiniz.