Kurumsal Zafiyet Yönetimi

Yılda bir kez yapılan sızma testlerinin gerekliliği tartışılmaz ancak bu çalışmaların ciddi bir zafiyet yönetimi sürecinin yerini tutamayacağı da ortadadır. Sızma testi ve zafiyet taraması Proaktif siber güvenliğin birbirini tamamlayan bileşenleridir. Sızma testi yılda bir kez yapılabilecekken zafiyet taraması en az aylık olarak yapılmalıdır.

Zafiyet Taraması Nedir?

Bilişim sistemlerinde keşfedilen güvenlik açıklarının ve kurulum veya kullanım sırasında yapılabilecek konfigürasyon hatalarının tespit edilmesi ve giderilmesi için yapılan çalışmalardır. Zafiyet taramasının amacı siber saldırganlar veya zararlı yazılımlar tarafından istismar edilebilecek güvenlik açıklarını erkenden tespit edip bunları gidermektir.

Zafiyet taramalarının başlıca amacı “zafiyet penceresi” olarak bilinen ve sistemlerin zafiyeti üzerlerinde barındırdıkları süreyi azaltmaktır.

Yukarıda verilen grafikte “zafiyet penceresi” bilinen zafiyetleri temel almaktadır. Zafiyetleri 3 ana grupta düşünebiliriz;

  1. Bilinen zafiyetler: Duyulmuş, bilinen güvenlik zafiyetleri
  2. Zero-day zafiyetler: Üreticisinin henüz bilmediği zafiyetleri
  3. Üreticinin giderdiği zafiyetler: Bazı zafiyetler üretici firma tarafından tespit edilir ve güncelleme yayınladığında giderilir

Siber saldırganlar ve zararlı yazılımlar açısından bakıldığında zafiyet penceresinin güncelleme yapıldığında kapandığını düşünürsek kuruluş açısından bu zamanı mümkün olduğunca kısa tutmak çok önemlidir. Bu nedenle yılda 1 kez yapılan sızma testleri zafiyet penceresinin çok uzun süre açık kalmasına neden olmaktadır.

Zafiyet Tarama Programı Nedir?

Kurumsal ölçekte zafiyetlerin takip edilmesi ve zafiyet penceresinin mümkün olduğunca kısa tutulması için yapılan çalışmaların bütünü bu kapsamdadır. Etkin bir kurumsal zafiyet tarama programı bir zafiyet tarama yazılımı alımının ötesinde, aşağıdaki bileşenlere sahip olmalıdır.

Keşif çalışmaları

Zafiyet yönetimi çalışmalarını etkin biçimde takip edebilmek için kuruluş ağına bağlı sistemlerin tamamını değerlendirmeye dahil etmek gerekir. Bu çerçevede ağa bağlı her sistem için en az aşağıdaki bilgileri toparlamak gerekir;

  • Sistem keşfi (İşletim sistemi, MAC adresi, IP adresi, vb.)
  • Tespit edilen sistemler üzerindeki TCP ve UDP servislerin belirlenmesi

Keşif taramaları arasındaki farklar özellikle dikkate alınıp incelenmelidir.

Sistemlerin Gruplanması

Kuruluş bünyesindeki bütün sistemlerin değeri eşit değildir. Bu nedenle zafiyet taraması sonuçlarını önceliklendirmek ve en acil çözümleri en hızlı şekilde uygulamak çok önemlidir. Gruplama kuruluş açısında kritik değere sahip varlıkları (sunucu, veri, veritabanı, mail sunucusu, vb.) daha yakından takip etmeye de imkân verecek bir yapıda olmalıdır.

Denetim Süreçlerinin belirlenmesi

Denetimler ve zafiyet taramaların hangi sıklıkla yapılacağını veya sonuçların nasıl değerlendirileceğini belirlemek zafiyet yönetimi sürecinin etkinliği için çok önemlidir.

Zafiyet taramasının yapılması

Görüldüğü gibi zafiyet taraması kurumsal zafiyet yönetim sürecinin sadece bir parçası. Taramanın nasıl yapılacağı, hangi sıklıkla yapılacağı, bulguların nasıl ele alınacağı, vb. konular belli olmadan yapılan çalışmalar yüzeysel kalacaktır.

Çıktıların değerlendirilmesi

Zafiyet tarama araçları “false positive” olarak bilinen yanlış bulgularıyla meşhurdur. Bu nedenle herhangi bir zafiyet tarama aracının çıktısını körü körüne ele almadan önce bulguların tutarlılığını teyit edilmesi önemlidir. Sonuçların daha önce belirlenen varlık gruplarına göre dağılımı da bu aşamada yapılabilir.

Çözümlerin Uygulanması

Zafiyet tarama araçlarının çoğu tespit edilen zafiyetlerin giderilmesi için öneriler sunar. Bu durumda önerilen çözümün geçerliliğinin teyit edilmesi ve kuruluş özelinde geçerliliğine bakılması gerekmektedir.

ZAFİYET TARAMASI KAMPANYASI İLE YILDA 20.000TL TASARRUF EDİN!

Kuruluşların düzenli olarak zafiyet taraması yapmamalarının 2 temel nedeni olduğunu düşünüyoruz; bütçe ve operasyonel yük fazlalığı. Zafiyet tarama yazılımlarının fiyatlarının yıllık 20.000 TL’nin, 3 yıllık 60.000 TL’nin üzerinde olması bu konudaki yatırımı yönetime onaylatmayı zorlaştırabiliyor. Bunun yanında düzenli olarak yapılacak zafiyet taramalarının sonuçlarının değerlendirilmesi, önceliklendirilmesi ve zafiyetlerin giderilmesi için gerekli kaynakların da her zaman bulunmadığını biliyoruz.
 
Bu sorunları gidermek için sızma testleriyle birlikte açık kaynak zafiyet tarama yazılımı olan OpenVAS’ı aşağıdaki 4 hizmeti kapsayan tek bir pakette öneriyoruz:
 
  1. Sızma testleri: Tam kapsamlı sızma testlerinin yapılması
  2. OpenVAS kurulum desteği: OpenVAS’ın kuruluş bünyesinde kurulumu ve konfigürasyonu için destek
  3. 2 günlük zafiyet yönetimi ve OpenVAS eğitimi: Eğitim detaylarına aşağıdaki linkten erişilebilir:
    https://sparta.com.tr/egitim/bilgi-guvenligi/uygulamali-zafiyet-yonetimi-egitimi/
  4. Aylık tarama sonuçlarının değerlendirilmesinde destek: Kuruluş personeli tarafından gerçekleştirilecek zafiyet taramalarının sonuçlarının değerlendirilmesi ve çözüm önerilerinin sunulması. Bu aşamada isteğe bağlı olarak sonuçlar BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) veya ISO27001 isterlerine uygun raporlar haline getirilebilir veya Microsoft Power BI desteğiyle bir dashboard olarak görüntülenmesi sağlanabilir.  
OpenVAS açık kaynaklı bir çözüm olduğu için ne bu sene ne de önümüzdeki senelerde herhangi bir lisans ücreti ödemeden bunu kullanabilecekseniz. Böylece ticari çözümlerde olduğu gibi lisansa ciddi paralar ödemeden kuruluşunuzun düzenli olarak zafiyet taramasından geçmesini sağlayacaksınız.

Ayrıntılı bir teklif isteyebilir veya 17 Temmuz 2020’ye kadar geçerli aşağıdaki kampanya fiyatlarımızdan yararlanabilirsiniz.

  • 50 ve daha az bilgisayara (sunucu ve istemciler dahil) sahip kuruluşlar için: 9.500 TL + KDV
  • 150 ve daha az bilgisayara (sunucu ve istemciler dahil) sahip kuruluşlar için: 17.000 TL + KDV
  • 300 ve daha az bilgisayara (sunucu ve istemciler dahil) sahip kuruluşlar için: 21.500 TL + KDV

Detaylı görüşmek için bize sparta@sparta.com.tr mail adresimizden ulaşabilirsiniz.

Başa dön