içinde

Zafiyet Taraması Nedir?

Zafiyet taraması; mevcut ve çıkması olası açıkların tespit edilmesi işlemidir. Zafiyet Yönetimi ise açıklardan dolayı meydana gelecek risklerin azaltılması için yapılan çalışmaların hepsi olarak tanımlanmaktadır. Kurumlar/Firmalar genellikle mali sebeplerden dolayı sızma testlerini yılda bir kere yaptırmaktadır. Ancak ortaya çıkan kritik güvenlik zaaflarının çokluğu ve tehditlerin sıklığı dikkate alındığında yılda bir defa sızma testi yapılması ile sistemlerin güvenliğinden söz etmek pek mümkün gözükmemektedir.

Zafiyet taraması, en güncel veri tabanı içeren ve lisanslı yazılımlar ile gerçekleştirilir. Firmanızda/Kurumunuzda mevcut olan ağınız içerisindeki cihazlar bilinen zafiyetlere karşı tarama işleminden geçerek yazılımlar sayesinde kurumun zafiyet testleriyle tespit edilen sonuçlar karşılaştırılarak, kurumun risk karnesi oluşturulur ve son test ile birlikte bu karne de kuruma veya firmaya rapor olarak sunulmaktadır. Siber Güvenliği sağlama açısından yapılan incelemelerde düzenli olarak 3’er aylık zamanlarda zafiyet taramasının yapılması gerektiği tavsiye ediyoruz.

ZAAFİYET TARAMASININ İÇERDİĞİ HİZMETLER NELERDİR?

Bilgi Toplama

Network Haritalama

Enumerating(Sayım,Döküm)

Zafiyet Tespiti

Exploitation(Kötüye Kullanma Testi )

Hak Yükseltme

Web Uygulama Güvenlik Testleri

İstemci Taraflı Sızma Testleri

Servis Dışı Bırakma Testleri

Veritabanı Zafiyet Testleri

Kablosuz Ağ Sızma Testleri

Doğrulama Denetimi

Zaafiyet taraması esas olarak üç aşamadan oluşan bir döngü içerisinde uygulanmaktadır.

Bunlar;

Birinci Aşama:

Tarama kapsamının belirlenmesi

Tarama sırasında gerekli olacak süreçlerinin oluşturulması

Kritik varlıkların belirlenmesi ve ölçülmesi

 İkinci Aşama:

Ağ mimarisinin analizi

Tehditlerin ortaya konulması

Taramanın gerçekleştirilmesi

Bulunan zafiyetlerin teyit edilmesi

Güvenlik politikalarının ve süreçlerinin incelenmesi

İş etki analizinin yapılması

Risk modellemesinin yapılması

Kapsamda ise fiziksel zafiyetlerin belirlenmesi

Üçüncü Aşama

Tarama sonuçlarının önceliklendirilmesi

İyileştirme önerilerinin belirlenmesi ve önceliklendirilmesi

Tavsiye edilen iyileştirmeler için bir eylem planının oluşturulması

Sonraki taramaların etkisini artırmak için önerileri

Hedef ağ ve ağa bağlı olan sistemlerle ilgili bilgi toplama

Hedef ağ üzerindeki sistemlerin taranması

Taranan sistemler üzerindeki zafiyetlerin tespit edilmesi

Tespit edilen açıklarının istismar yöntemlerinin belirlenmesi

ZAAFİYET TARAMA HİZMETİNİN ÖNEMLİ NOKTALARI

Zafiyet tarama aşamalarının en önemlisi, şüphesiz, doğru içeriğin belirlenmesidir. Taranacak veya incelenecek sistem sayısının az olması veya bu sistemlerin çoğunluk olarak kullanılan sistemlerden farklı farklı niteliğe sahip olmaları yanıltıcı sonuçların ortaya çıkmasına sebep olabilir.

Zafiyet taraması konusunda başka bir önemli nokta ise belirli aralıklarla devamlı olarak tekrar edilmesidir. Yılda bir kez yapılan bir taramanın faydası az olacaktır. Bu sebeple kaynakların imkan verdiği ölçüde devamlı tekrarlanması önem arz etmektedir.

Zafiyet taraması sürecinin en önemli sonucu ise sunulan rapordur. Rapor anlaşılabilir, gerçek verileri kapsayan ve mantıklı tavsiyeler sunan bir içeriği olması lazımdır.

ZAAFİYET TARAMASINDA TERCİH EDİLEN ARAÇLAR:

KOMUT SATIRI:  Bu yazılım kullanılarak IP (İnternet Protokol) adresleri, kurumun/firmanın sahip olduğu sunucular, DNS bilgileri gibi önemli konularda bilgiler toplanır.

NMAP: Nmap aracı kullanılarak kurumun IP adresleri arasında dışarıya açık (dış taramalar için) veya kurum içerisinde açık (iç taramalar için) cihazlar tespit edilmektedir.

NESSUS: Nessus bilinen zafiyetlerin hedef sistem üzerinde bulunup bulunmadığını denetler şayet açığın olduğunu saptarsa rapora ekler.

Sistemlerin analizinin yapılması ve test aşamasında tespit edilen zaafiyetlere/açıklara yönelik düzeltilmesi gereken durumları belirleyerek ve buna ek olarak önerileri de içeren, konusunda uzman bir ekip (Daha Detaylı bilgi için zaafiyet taraması sayfasını ziyaret edebilirsiniz.) görüşünün doğru bir şekilde raporlandırılması gerekir.

Yazar Aydın Özsoy

Bir yanıt yazın

Web Tasarımı Hakkında Kolay İpuçları

Bir Tuhaf Shakespeare