ZAFİYET TARAMASI, YÖNETİMİ, METODOLOJİSİ ve ARAÇLARI

Zafiyet taraması; mevcut ve çıkması muhtemel zafiyetlerin tespit edilmesidir. Zafiyet Yönetimi ise bunlardan doğacak risklerin azaltılması için yapılan çalışmaların bütünüdür.

Kurumlar özellikle maliyet unsurlarını göz önünde bulundurarak sızma testlerini genellikle senede bir kere yaptırmaktadır. Ancak çıkan kritik güvenlik açıklarının sıklığı ve tehditlerin çokluğu göz önünde bulundurulduğunda yılda bir kez sızma testi yapılması ile sistemlerin güvenliğinden söz etmek pek de mümkün değildir.

ZAFİYET TARAMASI METODOLOJİSİ

Zafiyet Taraması Metodolojisi Temelde 3 aşamadan oluşan bir döngüdür.

Öncesi:

  • Tarama kapsamının belirlenmesi.
  • Tarama sırasında gerekli olacak süreçlerinin oluşturulması.
  • Kritik varlıkların belirlenmesi ve ölçülmesi.

Zafiyet taraması adımları:

  • Ağ mimarisinin analizi.
  • Tehditlerin ortaya konulması.
  • Taramanın gerçekleştirilmesi.
  • Bulunan zafiyetlerin teyit edilmesi.
  • Güvenlik politikalarının ve süreçlerinin incelenmesi.
  • İş etki analizinin yapılması.
  • Risk modellemesinin yapılması.
  • Kapsamda ise fiziksel zafiyetlerin belirlenmesi.

Sonrası:

  • Tarama sonuçlarının önceliklendirilmesi.
  • İyileştirme önerilerinin belirlenmesi ve önceliklendirilmesi.
  • Tavsiye edilen iyileştirmeler için bir eylem planının oluşturulması.
  • Sonraki taramaların etkisini artırmak için öneriler.

Yukarıdaki iş akışı bünyesinde izlenebilecek çeşitli metodolojiler vardır. Aralarında büyük farklar yoktur ve genellikle aşağıdaki gibi bir yol izlerler:

  • Hedef ağ ve ağ üzerindeki sistemlerle ilgili bilgi toplama.
  • Hedef ağ üzerindeki sistemlerin taranması.
  • Taranan sistemler üzerindeki zafiyetlerin tespit edilmesi.
  • Tespit edilen zafiyetlerin istismar yöntemlerinin belirlenmesi.

ZAFİYET TARAMALARINDA KULLANILAN ARAÇLAR

Yukarıda belirtildiği gibi bir zafiyet taraması yapmak için kullanılabilecek bazı araçlar şunlardır:

Komut satırı

Whois, Dig, traceroute, Hping3 gibi komut satırı araçları sayesinde bilgi toplanır. Zafiyet taraması kurum personeli tarafından gerçekleştiriliyorsa, sahip olunan IP adresleri gibi konular hakkında bilgi sahibi olunacağından bu tarz bir araştırma gereksiz görünebilir. Ancak, büyük yapılarda bilgi işlem biriminin bilgisi dışında bazı gelişmeler yaşanabilmektedir (Örn: bir reklam kampanyasının sunucularının açılması) bu nedenle bu adımı atlamamakta fayda vardır.

Bu araçlar kullanılarak kurum IP adresleri, sahip olduğu sunucular, DNS bilgileri gibi önemli konularda bilgiler toplanır.

Nmap

Nmap kullanılarak kurumun IP adresleri arasında dışarıya açık (dış taramalar için) veya kurum içerisinde açık (iç taramalar için) cihazlar tespit edilir.

Nmap aynı zamanda ayakta olan cihazların işletim sistemleri, dışarıya açık servisleri gibi önemli bilgiler elde edilebilir. Aşağıdaki tarama sonucuna bakacak olursak Nmap ile taranan bir sistem hakkında elde edilebilecek bilgileri görebiliriz.

zafiyet taraması ve nmap

Nmap ile farklı parametreler kullanılarak hedef sistem üzerinde çalışan servisler hakkında daha detaylı bilgi de elde edilebilir.

Nmap tek bir hedef için kullanılabileceği gibi bir alt ağ için de kullanılabilir.

Nessus

En yaygın olarak kullanılan araçlardan biri Nessus’tur.
Nessus bilinen zafiyetlerin hedef sistem üzerinde bulunup bulunmadığını denetler ve olduğunu düşünürse raporuna ekler.

Bunun gibi zafiyet tarama çözümleri konusunda unutulmaması gereken bazı önemli noktalar vardır. Öncelikle bu sistemler sadece yaygın olarak bilinen zafiyetleri aramaktadır. Dolayısıyla 0-day olarak adlandırılan yeni zafiyetler bu taramalarda bulunmayabilir.

Bunun yanında raporlarda “false positive” olarak adlandırılan ve aslında olmayan bir zafiyetin varmış gibi raporlanması da sıkça görülmektedir.

Web uygulamalarında bulunabilecek zafiyetleri taramak için Acunetix gibi bu konuda biraz daha uzmanlaşmış bir araç kullanılabilir.

Daha etkili bir zafiyet taraması için birden fazla tarama aracı kullanılması ve sonuçların el ile teyit edilmesi gereklidir.

Zafiyet taraması sürecinin önemli noktaları

Zafiyet tarama sürecinin en önemli aşaması, şüphesiz, doğru kapsamın belirlenmesidir. taranacak veya incelenecek sistem sayısının az olması veya bu sistemlerin yaygın olarak kullanılan sistemlerden farklı özelliklerde olmaları yanıltıcı sonuçlar doğuracaktır.

Zafiyet taraması konusunda bir diğer önemli nokta ise belirli aralıklarla tekrar edilmesidir. Senede bir gün yapılan bir taramanın faydası çok az olacaktır. Bu nedenle eldeki kaynakların el verdiği ölçüde sık tekrarlanması çok önemlidir.

Zafiyet taraması sürecinin en değerli çıktısı ise rapordur. Rapor okunabilir, doğru veriler içeren ve mantıklı öneriler taşıyan bir içeriği olması gerekmektedir. Ne yazık ki hayatımda gördüğüm çoğu sızma testi raporu okunmamıştı, bunun nedeni raporu teslim alan kişinin tembel olması değil, raporda okumaya değer çok az yer olmasıydı.

Sayfalarca Nmap çıktısı raporu kalın ve önemli gösterebilir ancak raporu okuyan kişiyi ilgilendiren kısım bu olmayacaktır. Zafiyet analizi raporları da benzer şekilde okunabilir ve anlaşılabilir olmalıdır.

Sızma Testi Mi? Zafiyet Taraması Mı?” başlıklı makalede; “Sızma testi yaptırıyorsak, zafiyet taraması yaptırmamıza gerek var mı?” ve “Zafiyet Taraması ve Sızma Testi farkları nelerdir?” sorularına yanıt bulabilirsiniz.

Ayrıca zafiyet taraması ve sızma testi ihtiyaçlarınız için bizimle BURADAN hemen iletişime geçebilirsiniz.

Başa dön