Zafiyet Analizi ve Zafiyet Yönetimi | Hacker 101

 Merhaba sayın okurlar, bu yazımızda Zafiyet Analizi ve Zafiyet Yönetimi hakkında bilgi edineceğiz. Umarım beğenirsiniz.





Zafiyet Analizi ve Zafiyet Yönetimi

Şirketinizde bulunan bütün bilişim ile ilgili sistemler (serverlar, bilgisayarlar, modemler, yazıcılar, vs.) potansiyel bir zafiyet ve açık oluşturmaktadır. Hatta çalışanlarınız bile şirketiniz için bir zafiyet sayılabilir. Bir saldırgan şirketinizde bulunan zafiyetleri kullanabilir ve sitemlerinize ulaşarak sizin için çok değerli sayılacak bilgilerinizi çalabilir, şifreleyebilir, sisteminizi kilitleyebilir ve kullanılamaz hale getirebilir. Sisteminize erişebilmiş bir kişi için bu işlemleri gerçekleştirmek hiç zor olmayacaktır.

Aktif işletim sistemi kullanan bütün cihazlar aslında potansiyel olarak bir açık yani zafiyet içerirler. Bu cihazlara örnek verecek olursak;

  • Ø  Taşınabilir ve Masaüstü Bilgisayarlar
  • Ø  Serverlar(Sunucular)
  • Ø  Veri Depolama Cihazları (Harici Diskler, USB depolama aygıtları ve Hafıza Kartları)
  • Ø  Tablet ve Akıllı Cihazlar(Telefonlar)
  • Ø  Linux işletim sistemi bulunduran cihazlar
  • Ø  Kablosuz erişim cihazları
  • Ø  ADSL Modemler
  • Ø  Network ağ cihazları
  • Ø  Ağ güvenlik kameraları
  • Ø  Ağ yazıcıları

Yukarıda saydığımız bütün sistemlerin analizleri yapılarak ve öncesinde taranarak açıkların yani zafiyetlerin ortaya çıkartılması ve bu zafiyetlerin giderilmesi gerekmektedir. Bir çok farklı şekillerde zafiyetler nedeniyle bilgi hırsızlığı ve sistem zararları ile karşı karşıya kalabiliriz. Bunlar;

  • v  Standart şifreye sahip yani değiştirilmemiş ağ cihazları
  • v  Virüs içeren sistemler
  • v  Standart SNMP String’e sahip ağ cihazları
  • v  İşletim sistemi güncellemesi yapılmamış yani güncel olmayan sistemler
  • v  Botnet üyesi sistemler

Olarak sıralanabilir.

Zafiyet Analizi ve Zafiyet Yönetimi (Vulnerability Assesment & Vulnerability Management)

Zafiyet, herhangi bir saldırganın, bilişim sisteme ait bilgi güvenliğini azaltmaya yardımcı olacak zayıflıktır.

                Cert, Carnegie Mellon University’nin açıklamasına göre“ Ağlara girişlerin %99’u BİLİNEN güvenlik açıklarından faydalanılarak olmakta veya konfigürasyon hatalarından kaynaklanmaktadır.”  Yani sisteminize ve firmanıza gerçekleştirilecek her 1000 farklı saldırının 999 tanesi bilinen ve engellenmesi kolay olan zafiyetlerden oluşmaktadır. Bu gibi zafiyetlerin önüne geçebilmek için öncelikle sisteminizi ve sisteminizde bulunan yazılımları sürekli olarak güncelleştirmenizi kesinlikle öneriyoruz.

Sistem Zafiyetleri genellikle 3 farklı unsurun kesişmesi ile oluşmaktadır. Bunlar;

  • ·         Sistem hassasiyeti veya kusura (Sisteminizde bulunan işletim sistemi temelli kusurlar)
  • ·         Saldırganın zafiyete veya bu kusura ulaşabilmesi (Öyle ya ulaşamasaydı zafiyet olmazdı.)
  • ·         Saldırganın zafiyeti veya zayıflığı kullanabilme kabiliyeti (Kullanılmayan zafiyetin ne önemi olabilirki)

Saldırganın sistem zafiyetlerinizi kullanabilmesi için en az bir adet uygun aracı veya uygun bir yeteneği olması gerekmektedir.

Sistem Zafiyetlerinin Sebepleri Nelerdir?

  • §  Yazılımlarınızda bulunan açıklar saldırganın öncelikle uygulamaya veya sisteminize erişmesine neden olabilir.
  • §  Bir çok kullanıcı tarafından kullanılan, iyi bilinen ve bedava olan kodlar, uygulamalar, işletim sistemleri ve donanımlar kullanmak saldırganın bir araç veya yöntem ile sistem zafiyetlerine ulaşma ihtimallerini fazlasıyla arttıracaktır.
  • §  Büyük ve kompleks sistemler kusurlarınızın artma olasılıklarını ve kontrolsüz erişim noktalarının sayısını ciddi oranda arttırmaktadır.
  • §  Güvenilir olmayan ve kolay tahmin edilebilen kullanıcı hakları gerçekte büyük birer zafiyettir.
  • §  Daha fazla fiziksel bağlantı, özel haklar, protokoller, portlar ve servisler saldırganın sistem zafiyetlerinize erişebilme olasılıklarını ve şanslarını arttırmaktadır.

Zafiyet Analizi

Zafiyet analizi bir diğer adıyla zafiyet testi 3 farklı işlemden oluşur. Bunlar;

  • Ø  Tanımlama
  • Ø  Ölçme
  • Ø  Önceliklendirme’dir.

Zafiyet Analizi, risk analizi, zafiyet testi, zafiyet taraması, risk taraması, risk testi gibi kavramlar benzer kavramlardır. Analiz genellikle aşağıdaki adımlarla uygulanmaktadır;

  • v  Sisteminizde bulunan varlıkların ve kaynakların kategorilenmesi
  • v  Kaynaklarına önemlerine göre sıralı değerler atamak (Kritik önem için 1, orta derece için 3, vs)
  • v  Varlıkta bulunan her bir kaynak için sistem zafiyetlerini ve potansiyel olan tehlike ve tehditleri belirlemek.

Zafiyet Yönetimi

                Yukarıda anlattığımız kavramlarla aslında zafiyet yönetimini ve zafiyet analizini sizlere azda olsa anlatmaya çalıştık. Zafiyet yönetimi ise tanımlama, sınıflandırma veya kategorilendirme ve çözümün düzenli ve zamanlı olarak tekrar edilecek biçimlerde uygulanmasıdır. Zafiyet analizi (zafiyet testi, sızma testi, zafiyet taraması, sızma taraması, risk analizi, risk taraması) sonrasında bulunan ve belirlenmiş olan zafiyetler belirlenmiş iş süreçleri sayesinde yönetilerek azaltılarak zafiyetlerin yönetimi sağlanmış olur.

Zafiyet Yönetim Süreçleri Nelerdir?

  • ·         Kurallar belirlenir ve bu kurallara göre uygulamalar ve düzenlemeler gerçekleştirilir.
  • ·         Ortamın analizi yapılır ve bu analizler sonucunda çalışmalardaki planlar belirlenir.
  • ·         Zafiyetler ölçeklendirilerek kritik ve önemli zafiyetlerin giderilmesi ön plana alınır.
  • ·         Zafiyetlerin çözümü gerçekleştirilerek azalması sağlanır.
  • ·         Koruma ve izleme yöntemi ile oluşabilecek diğer zafiyetlerin önüne geçilerek koruma sağlanır.

Zafiyet analizini ve zafiyet yönetimini mümkün olduğunca sizlere anlatmaya çalıştım. Burada dikkatli olmak ve emin adımlarla ilerlemek gerekmektedir. Ülkemizde zafiyet analizi gibi uygulamalara gereken önem verilmemesine karşılık sisteminizde bulunan zafiyetler işletmenize ve sizlere çok ağır darbeler gelmesine yol açabilir. Bir önceki yazımda aslında zafiyet analizinin öneminden ve gerekliliğinden sizlere bahsetmiştim. O yazımı okumanızı ve Türkiye’nin en büyük 12. Bankasının başına gelenlere dikkat etmenizi özellikle öneririm.

Yazılarımı okuduğunuz için teşekkür ederim ve beni takipte kalmanızı rica ederim. İyi günler. Bir hatamız olduysa affola.

Bu konuda herhangi bir yardıma ihtiyacınız olduğu takdirde benimle iletişime geçebilirsiniz.

1 Yorumlar

Yorum Gönder

Daha yeni Daha eski