Zafiyet taraması; mevcut ve çıkması olası açıkların tespit edilmesi işlemidir. Zafiyet Yönetimi ise açıklardan dolayı meydana gelecek risklerin azaltılması için yapılan çalışmaların hepsi olarak tanımlanmaktadır. Kurumlar/Firmalar genellikle mali sebeplerden dolayı sızma testlerini yılda bir kere yaptırmaktadır. Ancak ortaya çıkan kritik güvenlik zaaflarının çokluğu ve tehditlerin sıklığı dikkate alındığında yılda bir defa sızma testi yapılması ile sistemlerin güvenliğinden söz etmek pek mümkün gözükmemektedir.
Zafiyet taraması, en güncel veri tabanı içeren ve lisanslı yazılımlar ile gerçekleştirilir. Firmanızda/Kurumunuzda mevcut olan ağınız içerisindeki cihazlar bilinen zafiyetlere karşı tarama işleminden geçerek yazılımlar sayesinde kurumun zafiyet testleriyle tespit edilen sonuçlar karşılaştırılarak, kurumun risk karnesi oluşturulur ve son test ile birlikte bu karne de kuruma veya firmaya rapor olarak sunulmaktadır. Siber Güvenliği sağlama açısından yapılan incelemelerde düzenli olarak 3’er aylık zamanlarda zafiyet taramasının yapılması gerektiği tavsiye ediyoruz.
ZAAFİYET TARAMASININ İÇERDİĞİ HİZMETLER NELERDİR?
Bilgi Toplama
Network Haritalama
Enumerating(Sayım,Döküm)
Zafiyet Tespiti
Exploitation(Kötüye Kullanma Testi )
Hak Yükseltme
Web Uygulama Güvenlik Testleri
İstemci Taraflı Sızma Testleri
Servis Dışı Bırakma Testleri
Veritabanı Zafiyet Testleri
Kablosuz Ağ Sızma Testleri
Doğrulama Denetimi
Zaafiyet taraması esas olarak üç aşamadan oluşan bir döngü içerisinde uygulanmaktadır.
Bunlar;
Birinci Aşama:
Tarama kapsamının belirlenmesi
Tarama sırasında gerekli olacak süreçlerinin oluşturulması
Kritik varlıkların belirlenmesi ve ölçülmesi
İkinci Aşama:
Ağ mimarisinin analizi
Tehditlerin ortaya konulması
Taramanın gerçekleştirilmesi
Bulunan zafiyetlerin teyit edilmesi
Güvenlik politikalarının ve süreçlerinin incelenmesi
İş etki analizinin yapılması
Risk modellemesinin yapılması
Kapsamda ise fiziksel zafiyetlerin belirlenmesi
Üçüncü Aşama
Tarama sonuçlarının önceliklendirilmesi
İyileştirme önerilerinin belirlenmesi ve önceliklendirilmesi
Tavsiye edilen iyileştirmeler için bir eylem planının oluşturulması
Sonraki taramaların etkisini artırmak için önerileri
Hedef ağ ve ağa bağlı olan sistemlerle ilgili bilgi toplama
Hedef ağ üzerindeki sistemlerin taranması
Taranan sistemler üzerindeki zafiyetlerin tespit edilmesi
Tespit edilen açıklarının istismar yöntemlerinin belirlenmesi
ZAAFİYET TARAMA HİZMETİNİN ÖNEMLİ NOKTALARI
Zafiyet tarama aşamalarının en önemlisi, şüphesiz, doğru içeriğin belirlenmesidir. Taranacak veya incelenecek sistem sayısının az olması veya bu sistemlerin çoğunluk olarak kullanılan sistemlerden farklı farklı niteliğe sahip olmaları yanıltıcı sonuçların ortaya çıkmasına sebep olabilir.
Zafiyet taraması konusunda başka bir önemli nokta ise belirli aralıklarla devamlı olarak tekrar edilmesidir. Yılda bir kez yapılan bir taramanın faydası az olacaktır. Bu sebeple kaynakların imkan verdiği ölçüde devamlı tekrarlanması önem arz etmektedir.
Zafiyet taraması sürecinin en önemli sonucu ise sunulan rapordur. Rapor anlaşılabilir, gerçek verileri kapsayan ve mantıklı tavsiyeler sunan bir içeriği olması lazımdır.
ZAAFİYET TARAMASINDA TERCİH EDİLEN ARAÇLAR:
KOMUT SATIRI: Bu yazılım kullanılarak IP (İnternet Protokol) adresleri, kurumun/firmanın sahip olduğu sunucular, DNS bilgileri gibi önemli konularda bilgiler toplanır.
NMAP: Nmap aracı kullanılarak kurumun IP adresleri arasında dışarıya açık (dış taramalar için) veya kurum içerisinde açık (iç taramalar için) cihazlar tespit edilmektedir.
NESSUS: Nessus bilinen zafiyetlerin hedef sistem üzerinde bulunup bulunmadığını denetler şayet açığın olduğunu saptarsa rapora ekler.
Sistemlerin analizinin yapılması ve test aşamasında tespit edilen zaafiyetlere/açıklara yönelik düzeltilmesi gereken durumları belirleyerek ve buna ek olarak önerileri de içeren, konusunda uzman bir ekip (Daha Detaylı bilgi için zaafiyet taraması sayfasını ziyaret edebilirsiniz.) görüşünün doğru bir şekilde raporlandırılması gerekir.