ZAFİYET TARAMASI, YÖNETİMİ, METODOLOJİSİ ve ARAÇLARI

Zafiyet taraması; mevcut ve çıkması muhtemel zafiyetlerin tespit edilmesidir. Zafiyet Yönetimi ise bunlardan doğacak risklerin azaltılması için yapılan çalışmaların bütünüdür.

Kurumlar özellikle maliyet unsurlarını göz önünde bulundurarak sızma testlerini genellikle senede bir kere yaptırmaktadır. Ancak çıkan kritik güvenlik açıklarının sıklığı ve tehditlerin çokluğu göz önünde bulundurulduğunda yılda bir kez sızma testi yapılması ile sistemlerin güvenliğinden söz etmek pek de mümkün değildir.

Zafiyet Taraması Metodolojisi:

Temelde 3 aşamadan oluşan bir döngüdür.

Öncesi:

Tarama kapsamının belirlenmesi
Tarama sırasında gerekli olacak süreçlerinin oluşturulması
Kritik varlıkların belirlenmesi ve ölçülmesi

Zafiyet taraması adımları:

Ağ mimarisinin analizi
Tehditlerin ortaya konulması
Taramanın gerçekleştirilmesi
Bulunan zafiyetlerin teyit edilmesi
Güvenlik politikalarının ve süreçlerinin incelenmesi
İş etki analizinin yapılması
Risk modellemesinin yapılması
Kapsamda ise fiziksel zafiyetlerin belirlenmesi

Sonrası:
Tarama sonuçlarının önceliklendirilmesi
İyileştirme önerilerinin belirlenmesi ve önceliklendirilmesi
Tavsiye edilen iyileştirmeler için bir eylem planının oluşturulması
Sonraki taramaların etkisini artırmak için öneriler

Yukarıdaki iş akışı bünyesinde izlenebilecek çeşitli metodolojiler vardır. Aralarında büyük farklar yoktur ve genellikle aşağıdaki gibi bir yol izlerler:

Hedef ağ ve ağ üzerindeki sistemlerle ilgili bilgi toplama
Hedef ağ üzerindeki sistemlerin taranması
Taranan sistemler üzerindeki zafiyetlerin tespit edilmesi
Tespit edilen zafiyetlerin istismar yöntemlerinin belirlenmesi

Zafiyet Taramasında Kullanılabilecek Araçlar:

Yukarıda belirtildiği gibi bir zafiyet taraması yapmak için kullanılabilecek bazı araçlar şunlardır:

Komut satırı

Whois, Dig, traceroute, Hping3 gibi komut satırı araçları sayesinde bilgi toplanır. Zafiyet taraması kurum personeli tarafından gerçekleştiriliyorsa, sahip olunan IP adresleri gibi konular hakkında bilgi sahibi olunacağından bu tarz bir araştırma gereksiz görünebilir. Ancak, büyük yapılarda bilgi işlem biriminin bilgisi dışında bazı gelişmeler yaşanabilmektedir (Örn: bir reklam kampanyasının sunucularının açılması) bu nedenle bu adımı atlamamakta fayda vardır.

Bu araçlar kullanılarak kurum IP adresleri, sahip olduğu sunucular, DNS bilgileri gibi önemli konularda bilgiler toplanır.

Nmap

Nmap kullanılarak kurumun IP adresleri arasında dışarıya açık (dış taramalar için) veya kurum içerisinde açık (iç taramalar için) cihazlar tespit edilir.

Nmap aynı zamanda ayakta olan cihazların işletim sistemleri, dışarıya açık servisleri gibi önemli bilgiler elde edilebilir. Aşağıdaki tarama sonucuna bakacak olursak Nmap ile taranan bir sistem hakkında elde edilebilecek bilgileri görebiliriz.

zafiyet taraması ve nmap

Nmap ile farklı parametreler kullanılarak hedef sistem üzerinde çalışan servisler hakkında daha detaylı bilgi de elde edilebilir.

Nmap tek bir hedef için kullanılabileceği gibi bir alt ağ için de kullanılabilir.

Nessus

En yaygın olarak kullanılan araçlardan biri Nessus’tur.
Nessus bilinen zafiyetlerin hedef sistem üzerinde bulunup bulunmadığını denetler ve olduğunu düşünürse raporuna ekler.

Bunun gibi zafiyet tarama çözümleri konusunda unutulmaması gereken bazı önemli noktalar vardır. Öncelikle bu sistemler sadece yaygın olarak bilinen zafiyetleri aramaktadır. Dolayısıyla 0-day olarak adlandırılan yeni zafiyetler bu taramalarda bulunmayabilir.

Bunun yanında raporlarda “false positive” olarak adlandırılan ve aslında olmayan bir zafiyetin varmış gibi raporlanması da sıkça görülmektedir.

Web uygulamalarında bulunabilecek zafiyetleri taramak için Acunetix gibi bu konuda biraz daha uzmanlaşmış bir araç kullanılabilir.

Daha etkili bir zafiyet taraması için birden fazla tarama aracı kullanılması ve sonuçların el ile teyit edilmesi gereklidir.

Zafiyet taraması sürecinin önemli noktaları

Zafiyet tarama sürecinin en önemli aşaması, şüphesiz, doğru kapsamın belirlenmesidir. taranacak veya incelenecek sistem sayısının az olması veya bu sistemlerin yaygın olarak kullanılan sistemlerden farklı özelliklerde olmaları yanıltıcı sonuçlar doğuracaktır.

Zafiyet taraması konusunda bir diğer önemli nokta ise belirli aralıklarla tekrar edilmesidir. Senede bir gün yapılan bir taramanın faydası çok az olacaktır. Bu nedenle eldeki kaynakların el verdiği ölçüde sık tekrarlanması çok önemlidir.

Zafiyet taraması sürecinin en değerli çıktısı ise rapordur. Rapor okunabilir, doğru veriler içeren ve mantıklı öneriler taşıyan bir içeriği olması gerekmektedir. Ne yazık ki hayatımda gördüğüm çoğu sızma testi raporu okunmamıştı, bunun nedeni raporu teslim alan kişinin tembel olması değil, raporda okumaya değer çok az yer olmasıydı.

Sayfalarca Nmap çıktısı raporu kalın ve önemli gösterebilir ancak raporu okuyan kişiyi ilgilendiren kısım bu olmayacaktır. Zafiyet analizi raporları da benzer şekilde okunabilir ve anlaşılabilir olmalıdır.

Sızma Testi Mi? Zafiyet Taraması Mı?” başlıklı makalede; “Sızma testi yaptırıyorsak, zafiyet taraması yaptırmamıza gerek var mı?” ve “Zafiyet Taraması ve Sızma Testi farkları nelerdir?” sorularına yanıt bulabilirsiniz.

Ayrıca zafiyet taraması ve sızma testi ihtiyaçlarınız için bizimle BURADAN hemen iletişime geçebilirsiniz.

Başa dön