Kurumsal ölçekte zafiyetlerin takip edilmesi ve zafiyet penceresinin mümkün olduğunca kısa tutulması için yapılan çalışmaların bütünü bu kapsamdadır. Etkin bir kurumsal zafiyet tarama programı bir zafiyet tarama yazılımı alımının ötesinde, aşağıdaki bileşenlere sahip olmalıdır.
Keşif çalışmaları
Zafiyet yönetimi çalışmalarını etkin biçimde takip edebilmek için kuruluş ağına bağlı sistemlerin tamamını değerlendirmeye dahil etmek gerekir. Bu çerçevede ağa bağlı her sistem için en az aşağıdaki bilgileri toparlamak gerekir;
- Sistem keşfi (İşletim sistemi, MAC adresi, IP adresi, vb.)
- Tespit edilen sistemler üzerindeki TCP ve UDP servislerin belirlenmesi
Keşif taramaları arasındaki farklar özellikle dikkate alınıp incelenmelidir.
Sistemlerin Gruplanması
Kuruluş bünyesindeki bütün sistemlerin değeri eşit değildir. Bu nedenle zafiyet taraması sonuçlarını önceliklendirmek ve en acil çözümleri en hızlı şekilde uygulamak çok önemlidir. Gruplama kuruluş açısında kritik değere sahip varlıkları (sunucu, veri, veritabanı, mail sunucusu, vb.) daha yakından takip etmeye de imkân verecek bir yapıda olmalıdır.
Denetim Süreçlerinin belirlenmesi
Denetimler ve zafiyet taramaların hangi sıklıkla yapılacağını veya sonuçların nasıl değerlendirileceğini belirlemek zafiyet yönetimi sürecinin etkinliği için çok önemlidir.
Zafiyet taramasının yapılması
Görüldüğü gibi zafiyet taraması kurumsal zafiyet yönetim sürecinin sadece bir parçası. Taramanın nasıl yapılacağı, hangi sıklıkla yapılacağı, bulguların nasıl ele alınacağı, vb. konular belli olmadan yapılan çalışmalar yüzeysel kalacaktır.
Çıktıların değerlendirilmesi
Zafiyet tarama araçları “false positive” olarak bilinen yanlış bulgularıyla meşhurdur. Bu nedenle herhangi bir zafiyet tarama aracının çıktısını körü körüne ele almadan önce bulguların tutarlılığını teyit edilmesi önemlidir. Sonuçların daha önce belirlenen varlık gruplarına göre dağılımı da bu aşamada yapılabilir.
Çözümlerin Uygulanması
Zafiyet tarama araçlarının çoğu tespit edilen zafiyetlerin giderilmesi için öneriler sunar. Bu durumda önerilen çözümün geçerliliğinin teyit edilmesi ve kuruluş özelinde geçerliliğine bakılması gerekmektedir.