Kurum içerisindeki bilgi varlığını korumak ve olası risklere karşı önlem almak gerekmektedir.
Sistemlerin işleyişinde sorunlara yol açabilecek kötü niyetli kişiler tarafından sömürülen zayıflıkların tespit edilmesi ve bunların iyileştirilmesi yönünde sistematik bir akış olması gerekir. Bu kapsamda kurumlara fayda sağlayan Tenable.sc çözüm noktasıdır. Bu yazıda Tenable.sc içerisindeki terimleri ve kullanım amaçlarını inceleyeceğiz.
1.Tenable.sc
Tenable, zafiyet yönetme ve raporlama ürünüdür. Tenable ürünü mevcut sistemleri tarayabilir, asset tanımlamaları düzenleyebilir, güvenlik açıklarını versiyonuna ve update lerine göre karşılaştırabilir, zafiyetlerin iyileştirilmesi için çözüm adımları sunabilir ve bunları raporlayabilir.
Nessus, bir bilgisayarı tarayan ve herhangi bir güvenlik açığı keşfederse uyarı veren bir uzaktan güvenlik tarama aracıdır. Bir varlığı taramak için Nessus uygun olan tarayıcısını tanımlar ve bir port taraması yaparak başlar daha sonra tarama ilkesini, hedeflerini, ve isteğe bağlı kimlik bilgilerini iletir ve tarayıcıya hedefi tarama talimatını verir. Ardından açık portlar üzerinde çeşitli istismarlar dener ve bulgularını Tenable’a geri döndürür. Nessus güvenlik açığı veritabanı günlük olarak güncellenir.
Kurum içerisine birden fazla scanner kurulabilir. Tarama profiline ve hedef sisteme göre ayarlanabilir. Scanner’lar yükü azaltmak ve daha iyi performans sağlaması için cloud’a kurulabilir.
Bir sistem içindeki cihazların listeleridir. Örneğin; dizüstü bilgisayar, sunucular, tabletler…
Varlıklar, bir veya birden fazla kullanıcıyla paylaşılabilir. Ortak özellikleri paylaşan cihazlar için bir varlık oluşturulabilir. Ardından assetteki cihazları taramak için çeşitli yaplandırmalar yapılır.
- IP adres aralıkları
- Donanım türleri
- Güvenlik Açıkları
- Güncel olmayan yazılım sürümleri
- İşletim sistemleri gibi.
Tanımlanmış bir IP adresi aralığındaki desktop’lar için statik bir varlık belirlenebilir.
Resim 1. Statik IP List Asset
1.3 Credential (Kimlik Bilgileri)
Kimlik bilgileri, tarama yapacağımız zaman oturum açmayı kolaylaştıran yeniden kullanılabilir bilgilerdir. Kimlik bilgileri API Gateway, Database, SNMP, SSH veya Windows bölümlerine göre yapılandırılabilir.
Resim 2. SSH Credential Edit
Tenable içindeki güvenlik açığı verilerini içeren veritabanlarıdır. Yönetici tanımlı assetlerde tanımlaması yapılır. Repo’lar ölçeklenebilir ve yapılandırılabilir veri depolama sağlar.
Resim 3. Add Repository
Query’ler kullanabilecek hızlı sorgular oluşturmayı sağlar. Zafiyetleri ayrıştırmak için şu filtleler özelleştirilerek sorgular oluşturulur.
- Name
- Type
- Group
- Owner
- Last Modified
- Severity …
Resim 4. Edit Query
Tarama çeşitleri, etkin taramalar için eklenti ayarları ve gelişmiş yönergeler içerir. Bir tarama ilkesi oluşturulduğu zaman diğer kullanıcılarda bunu kullanabilir. Uygun izinlere sahip kullanıcılar, aktif bir taramada tarama politikalarını kullanabilir, politikayı değiştirebilir.
1.6.1 Active Scan (Aktif Tarama)
Kurum içerisinde gerekli izinler tanımlanmış assetler üzerindeki zafiyetleri tespit etmek için kullanılan taramadır.
- Aşama : Scan adı belirlenir ve açıklaması yazılır.
- Aşama : Policy seçilir.
- Aşama : Repo belirlenir. Diğer ayarlar default kalır.
- Aşama : Target’lar tarama yapılacak Asset, IP, DNS Name’e göre belirtilir
- Aşama : Tarama yapacağın target’a göre credential seçilir.
- Aşama : Scan başlatılır.
Tarama sonuçları Scan Result kısmında görünür.
1.6.2 Advance Scan (Gelişmiş Tarama)
Advance scan yapmak için tarama hedefine yönelik policy oluşturulur. Policy ayarları ;
- Setup Options
- Advanced Options
- Host Discovery Options
- Port Scanning Options
- Service Discovery Options
- Assessment Options
- Brute Force Options
- Malware Options
- SCADA Options
- Web Applications Options
- Windows Options
- Report Options
- Authentication Options
- Compliance Options
- Plugins Options
Talep edilen taramaya yönelik yukardaki parametre seçenekleri seçilir. Örneğin; Ping methodları, portlar, Scada sistemlerine karşı brute force ayarı, web sunucu uygulamaları için test seçeneği, taramak istediğimiz zafiyete ait Plugin ID değerinin seçilmesi gibi.
Basic scan’den daha detaylı tarama yapmamızı sağlayan bu taramada şu örnekleri oluşturabiliriz;
Host cevap vermeyince scan’i durdur. Network aşırı kullanıldığı zaman scan yavaşlatılsın gibi.
1.6.3 Basic Network Scan (Temel Ağ Taraması)
Bir ana makine için uygun olan tam bir sistem taraması yapar.
Resim 5. Basic Network Scan
Resim 5’teki gibi ayarlar ile taramayı gerçekleştirebiliriz. Assesment eklentisini default bırakılabilir, yada web seçeneği ile de tarama yapılabilir. Web ve network arasındaki fark, web taramasında url kısmında zafiyeti deneyebilir yada inputlar varsa orda da assesment yapıp tarama yapılır.
1.6.4 Launch Remediatin Scan (Düzeltme Taraması)
Belirli bir makinede yada belirli bir pluginde önceden var olan zafiyetin mitigated olup olmadığını anlamak için yapılan taramadır.
1.6.5 Host Discovery Scan (Ana Bilgisayar Keşfi Taraması)
Kapalı olmayan cihazları ve açık bağlantı noktalarını keşfetmek için kullanılan taramadır.
1.6.6 Malware Scan / Yara Rule Scan (Kötü Amaçlı Yazılım Tarama)
Windows ve Unix sistemlerde kötü amaçlı yazılımları keşfetmek için kullanılan taramadır. Bu tarama içerisine spesific olarak Yara rule tanımlanabilir ve bu kural ile tarama özelleştirilebilir.
Resim 6. Malware Scan
1.7 Vulnerabilities Analysis (Güvenlik Açıkları Analizi)
Tenable üzerinde yapılan tarama sonuçlarını ürün arayüzünden çeşitli filtrelere göre listelenebilir. Bu listeyi pdf veya csv olarak export edilebilir.
Resim 7. Analysis
Listelemek istenilen zafiyetleri CVE ID, Plugin Family, Severity, zafiyetin ilk keşfedilme tarihi, zafiyetin son görülme tarihi vb. filtrelere göre seçilebilir.
Zafiyetler severity sayılarına göre tablo oluşturulabilir.
Resim 8. Severity Sayısı
Zafiyetli makine sayısına göre liste çıkartılabilir.
Resim 9. Vulnerability List
1.8 Accept Risk Rules (Risk Kurallarını Kabul Etme)
Kurumun güvenlik açıkları için bilgi güvenliği kapsamında riskleri kabul ettiği anlamına gelir. Accept risk olarak işaretlenen zafiyetler analizlerde, gösterge tablolarında ve raporlarda ortadan kaldırılmış olur. Accept risk güncelleme yapılamayan cihazlar yada false-positive algılanan zafiyetler için kullanılabilir.
1.9 Dashboard Oluşturma (Gösterge Paneli Oluşturma)
Tenable giriş sayfasına kişiselleştirilmiş dashboard’lar eklenebilir. Bu süreç takibini kolaylaştırmayı sağlar. Yönetici raporları için veri analizleri çıkarmanıza yardımcı olur.
Örneğin, İlk defa bildirilen Plugin ID’ler, Aylık kapatılan ve keşfedilen zafiyetler, Son 7 günde severity’e göre trend olan mevcut zafiyet tablosu.
Resim 10. Önem Derecesine Göre Mevcut Güvenlik Açığı Eğilimi
Tenable çeşitli rapor şablonları ve özelleştirilebilir rapor aracılığı ile raporlama sağlar. Pdf ve csv dahil olmak üzere biçimlendirilebilir. Özelleştirilmiş ihtiyaçlar için custom raporlar da hazırlanabilir.
1.10.1 Executive Report (Yönetici Raporu)
Yöneticilere yönelik operasyonel bilgiler ve ölçümler sağlayan rapordur.
1.10.2 Operating System Report (İşletim Sistemi Raporu)
Bu rapor, Microsoft, Apple ve Linux dağıtımları gibi bilinen işletim sistemleri güvenlik açıklarını listeler. Rapor, güvenlik açığı, yapılandırma ve iyileştirme ilkeleri gibi varlıklarla ilgili BT yönetim ilkelerini uygulamak ve doğrulamak için bilgileri görüntüler.
