Pazar, Şubat 16, 2025
Ana SayfaYazılarSiber GüvenlikGüvenlik Açığı Yönetimi

Güvenlik Açığı Yönetimi

Güvenlik Açığı Yönetimi Kapsamında kritik altyapı niteliğini taşıyan kurumlarda neden olabilecek siber saldırı hasarını önlemek veya sınırlandırmak için olması gereken tedbirleri belirlemeye yönelik organize bir yaklaşım sağlamak için gereken süreç açıklanmaktadır.

Temel amacı; bilgi güvenliği risklerinin azaltılması, ortadan kaldırılması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda güvenliği tehdit edebilecek veya düzeninin bozulmasına yol açabilecek kritik bilgi/verinin güvenliğinin sağlanması için güvenlik tedbirlerinin belirlenmesi ve belirlenen tedbirlerin uygulanması için yürütülecek faaliyetlerin tanımlanmasıdır.

1.Güvenlik Açığı Nedir?

Bir sistemin tasarımında, uygulanmasında veya işletiminde ve yönetiminde, sistemin güvenlik politikasını ihlal etmek için kötü niyetli kişiler tarafından kullanılabilecek bir kusur veya zayıflıktır.

Bu zayıflık kötü niyetli bir kişi tarafından bir bilgisayar sistemine yetkisiz erişim elde etmek için kullanılabilir.

Bu güvenlik açığından yararlandıktan sonra, bir siber saldırı kötü amaçlı kod çalıştırabilir, kötü amaçlı yazılım yükleyebilir ve hatta hassas verileri çalabilir .

1.1 Güvenlik Açığı Yönetimi

Güvenlik Açığı Yönetimi, uç noktalar(endpoints) , iş yükleri( workloads ) ve sistemler genelinde güvenlik açıklarını düzenli olarak izlememize (monitoring ) , tespit etmemize(detecting) , değerlendirmemize (assessing), raporlamamıza (reporting), yönetmemize (managing) ve çözüm üretmemize fayda  sağlayan yönetim sürecidir. 

Olası bir saldırı gerçekleşmeden önce  riskleri öncelendirmek ve güvenlik açıklarını daha çabuk ele almamız için kullanabileceğimiz faydalı bir araçtır. 

1.2 Güvenlik Açığı Yönetimi Nedir ?

Güvenlik açıklarının belirlenmesi, sınıflandırılması, düzeltilmesi, azaltılması’na yönelik döngüsel bir uygulamadır.

1.3 Güvenlik Açığı Yönetimi Amacı

Zafiyetten yararlanan yazılımı kullanan müşterilerin hassas verilerini korumak ve güvenlik açıklarını sistematik bir şekilde sürekli olarak tespit edip ortadan kaldırmaktır.

1.4 Güvenlik Açıklarına Ne Sebep Olur ?

Karmaşıklık: Karmaşık sistemler hata yapmayı veya istenmeyen erişim olasılığını arttırmaktadır.

Familiarity ( Yatkınlık ) : Yaygın kullanılan kod, yazılım, işletim sistemi saldırganların bilinen zafiyeti bulması olasılığını arttırır.

Connectivity ( Bağlantı ) : Bir cihaz ne kadar çok bağlantı sağlarsa o kadar güvenlik açığı olasılığı yüksek olur.

Kötü parola Yönetimi, İnternet kullanımı, yazılım bug ları ve insanlar ( sosyal mühendislik ) güvenlik açıklarına sebep olan faktörler arasındadır.

2.Uygulama Süreci

2.1 Planlama

2.1.1 Varlık Keşfi ve Yönetimi

Varlık keşfi ile güvenlik açıklarını bulmak için önce ağımızda hangi varlıkların ( sunucuların, clientların, printerların vs. ) çalıştığını anlamamız gerekir. Bu, unutulmuş cihazların ortaya çıkarılmasını sağlamak için yapılır. Ayrıca bu varlıkların bakımından sorumlu kişileri belirlemek ve sistemsel bir şekilde sınıflandırmak gerekir.

2.1.2 Güvenlik Açığı Tarama ve Analizi

Sistemlerimizdeki zayıflıkları belirlememizi ve anlamamızı sağlayan bu aşamada kapsam belirlenir. Bu bir güvenlik açığı taramasıyla başlar. Genellikle tarayıcıyı belirli bir İnternet Protokolü adresine veya adres aralığına yönlendirerek yapılır, bu nedenle veri tabanımızı IP’lere göre düzenlemek yararlı olur.

2.1.3 Risk Değerlendirme

Risk Değerlendirme, bilgisayar sistemlerinizdeki güvenlik açıklarını bulup düzeltmek için temel süreçtir. Belirlenen güvenlik açığından yararlanılıp yararlanılamayacağına karar verilir ve risk düzeyini anlamayı ve zafiyetin sömürülebilirliğini tespit ederiz.
Güvenlik açığı ve risk arasındaki fark ise;
Risk, istismar edilen bir güvenlik açığının olasılığı ve etkisi olarak düşünülebilir.
Zafiyetten yararlanmanın etkisi ve olasılığı düşükse, düşük risk vardır. Yüksek ise yüksek risk vardır.

2.1.4 İyileştirme

İyileştirme aşamasında zafiyete yönelik yayınlanan güncellemeler takip edilmeli ve kısa zamanda etkilenen yazılıma veya donanıma güncelleme uygulanmalıdır.

2.2 Uygulama

2.2.1 Neyi Tarayacağını Belirleme

Güvenlik açığı taramasını tekrar tekrar veya isteğe bağlı olarak çalıştırılacak şekilde programlıyabiliriz ve uygulayabiliriz. Kurum ağına bağlı olan her şey taranmalıdır.

İnternete açık sunucular, iş istasyonları, ağ cihazları ve yazıcılar gibi geniş işlevsel sınıflandırmalara göre veya Finans, İK veya Hukuk gibi departmanlardaki sorumluluk alanlarına görede tarama yapabilir.
Güvenlik açığı taraması yoluyla iki şekilde değerlendirme yapılabilir;
Anlık Tarama, bilgisayar sistemlerinin güvenlik durumunun anlık görüntüsünü veren tek seferlik bir taramadır.
Periyodik Tarama, yamaların ve yazılım güncellemelerinin uygulanma hızını takip etmek ve güvenlik durumunun nasıl geliştiğini değerlendirmeye olanak sağlayan periyodik olarak tekrar eden bir taramadır.
Bu sürece özetle, şirketteki bilinen ve bilinmeyen varlıkların tespiti ve sınıflandırılması. Güvenlik zayıflıklarının belirlenmesi ve kuruma yönelik riskleri, tehditleri proaktif olarak azaltmak için oluşturulan iş akış şeması diyebiliriz.

3.Envanter Yönetimi

Envanter yönetimi, zafiyet yönetimi sürecinde önemli bir boyuta sahiptir. Kurum içerisindeki bilgi varlıklarının listesi elimizde olmadan, kurumda bulunan güvenlik açıklarını tespit etmek, tanımlamak ve çözüm adımları oluşturmak mümkün değildir.

Zafiyet yönetimi kapsamında envanter yönetiminin temel aşamaları şunlardır:

Bilgi varlıklarını belirleme: Kuruluşun sahip olduğu bilgi varlıklarının bir listesini oluşturmak gerekir.

Bu varlıklar ;

  • Fiziksel varlıklar (bilgisayarlar, ağ cihazları, yazılımlar)
  • Dijital varlıklar (veri, web siteleri, Sunucu (Server) ve İstemci (Client) sistemlerdeki yüklü yazılımlar, agentlar)
  • İşlemsel varlıklardan (iş süreçleri, politikalar, prosedürler)

Bilgi varlıklarının özelliklerini belirleme: Her bilgi varlığının özelliklerini belirlemek gerekir. Bu özellikler, varlığın türü, konumu, işlevi, sahipliği, kullanım durumu ve güvenlik önemini içerebilir.
Örneğin; 3rd Party destek alınan danışman hesaplarının listelenmesi ve yetki/erişim denetiminin belirlenip listelenmesi, İstemci (Client) guplarının sahip olduğu harici disk kullanım hakları, dowload/upload politikaları, application whitelist/blacklist durumlarını listeleme

Bilgi varlıklarının güvenlik açıklarını belirleme: Her bilgi varlığının güvenlik açıklarını belirlemek gerekir. Bu açıklar, yazılım hatalarından, yanlış yapılandırılmış sistemlerden ve insan hatasından kaynaklanabilir.

Zafiyet yönetimi kapsamında envanter yönetimi, kuruluşun bilgi güvenliğini sağlamak için önemli bir adımdır.

İLGİLİ PAYLAŞIMLAR

En Popüler Yazılar

Son Gönderiler