- 30 Kas 2018
- 630
- 10
- 691
Güvenlik Açıgı Değerlendirmesi Nedir?
Bir bilgi sistemindeki tüm bilgi güvenliği ihlallerinin sistematik bir özetidir. Bu, güvenlik açıklarının tanımlanmasını, ölçülmesini ve önceliklendirilmesini içerir. Daha sonra ne yapılması gerektiğine ilişkin tavsiyelerin yer aldığı bir rapor hazırlanır.
Güvenlik Açığı Değerlendirmesinin Penetrasyon Testinden Farkı Nedir?
Güvenlik açığı kontrolleri, sistemlerinizdeki bilinen güvenlik açıklarını arar ve potansiyel tehditleri bildirir. Sızma testinin amacı, bilgi sistemi mimarinizdeki zayıflıklardan yararlanmak ve bir saldırganın varlıklarınıza ne kadar yetkisiz erişim sağladığını belirlemektir. Güvenlik açığı taraması genellikle otomatikleştirilirken, sızma testi bir güvenlik uzmanı tarafından gerçekleştirilen manuel bir testtir.
Güvenlik Açığı Türleri
1-) İnsan Açıkları: Bilgi eksikliği, sistemleri veya ağları bozabilir ve kötü niyetli aktörlerin erişimini sağlayabilir.
2-) Ağ Güvenlik Açıkları: Kötü tanımlanmış güvenlik duvarı ve korumasız Wi-Fi erişim noktalarını içerir.
3-) Süreç Güvenlik Açıkları: Belirli süreç kontrollerinin zayıflığı veya yokluğu, “cf. "zayıf şifreler" tarafından ortaya çıkarılabilir.
4-) İşletim sistemi güvenlik açıkları: Bu güvenlik açıkları bazı işletim sistemlerinde bulunur ve kötü niyetli aktörler tarafından sistem verilerini ele geçirmek veya bunlara erişmek için kullanılabilir.
Değerlendirme Araçları
Güvenlik açığı tarama araçları, uygulama güvenlik açıklarını, kod hatalarını analiz eden kod analizi güvenlik açığı araçları da dahil olmak üzere çeşitli yollarla tespit eder. Bazı güvenlik açığı araçları aynı zamanda bilinen rootkit'leri, arka kapıları ve Truva atlarını da bulabilir.
Güvenlik açığı değerlendirmesi için kullanılabilecek bazı araçlar aşağıda verilmiştir:
1-) Nikto: 6700+ potansiyel olarak tehlikeli dosya/program, 1250+ sunucu güncel olmayan sürüm denetleyici ve 270+ sunucu açık kaynak (GPL) web sunucusu tarayıcısı Bu, sürüme özgü sorunlar da dahil olmak üzere birçok amaç için web sunucusunun kapsamlı testlerini gerçekleştirir. Ayrıca birden fazla dizinin varlığı, HTTP sunucusu ayarları gibi sunucu yapılandırma öğelerini de kontrol eder ve yüklü web sunucularını ve yazılımlarını algılamaya çalışır. Tarama öğeleri ve eklentiler sıklıkla güncellenir ve otomatik olarak güncellenebilir.
2-) Netsparker: Yüzlerce ve binlerce web uygulaması ve web servisindeki güvenlik açıklarını kolayca ölçekleyebilen ve saatler içinde otomatik olarak bulabilen, kullanımı kolay ve gelişmiş bir ağ güvenliği çözümüdür. Ayrıca güvenli bir SDLC'ye kolayca entegre edilebilir.
3-) OpenVAS: Çok yönlü bir zafiyet tarayıcısıdır. Özellikleri arasında kimlik doğrulamasız testler, kimlik doğrulamalı testler, çeşitli yüksek ve düşük seviyeli İnternet ve endüstri protokolleri, büyük taramalar için performans ayarlaması ve her türlü güvenlik açığı testi için güçlü bir dahili programlama dili bulunur.
4-) W3AF: Bu, geliştiricilerin ve penetrasyon testçilerinin web uygulaması güvenlik açıklarını belirlemesine ve bunlardan yararlanmasına yardımcı olan açık kaynaklı bir web uygulaması güvenlik denetimidir.
5-) Acunetix: Web uygulamalarınızı SQL enjeksiyonu, uzaktan komut ve dosya yürütme, diğer güvenlik açıklarından yararlanan zincirleme saldırılar gibi güvenlik açıklarına karşı kontrol eden otomatik bir web uygulaması güvenlik test aracıdır. Genel olarak Acunetix, HTTP/HTTPS protokolünü kullanan bir tarayıcı aracılığıyla erişilebilen herhangi bir web sitesini veya web sitesini tarar.
6-) Nmap: Ağ algılama ve güvenlik izleme için ücretsiz açık kaynaklı bir araçtır. Birçok sistem ve ağ yöneticisi, ağ envanteri, hizmet yükseltme programlarını yönetme veya hizmet kullanılabilirliğini izleme gibi görevler için de bunu yararlı bulmaktadır. Nmap, ağda hangi bilgisayarların bulunduğunu, bu bilgisayarların hangi hizmetleri sağladığını, hangi işletim sistemlerine sahip olduklarını, hangi paket filtrelerinin/güvenlik duvarlarının kullanıldığını ve düzinelerce başka işlevi belirlemek için ham IP paketlerini kullanır. Büyük ağların hızlı taranması için tasarlanmıştır.
7-) Nessus: Bilgisayarınızı tarayan ve kötü niyetli bilgisayar korsanlarının ağınıza bağladığınız herhangi bir bilgisayara erişim sağlamak için kullanabileceği güvenlik açıkları bulduğunda sizi uyaran bir uzaktan güvenlik izleme aracıdır. Belirli bir bilgisayarda 1. 200'den fazla kontrol çalıştırarak, bu saldırılardan herhangi birinin bilgisayara izinsiz girmek veya bilgisayara zarar vermek için kullanılıp kullanılamayacağını test eder.
Değerlendirme adımları
1-) Planlama: Varlıklarınızı tanımlayın ve ağınızın parçası olan cihazları öğrenin. Riskleri ve kritik ekipmanları belirleyin. Cihazların herkese açık mı yoksa yalnızca yetkili kullanıcılar ve yöneticiler için mi erişilebilir olduğunu analiz edin.
2-) Tarama: Ardından, sistemi veya ağı manuel olarak veya otomatik araçlar kullanarak aktif olarak tarayın ve güvenlik hatalarını ve güvenlik açıklarını tespit etmek ve hatalı pozitifleri filtrelemek için testler çalıştırın. Özellikle ilk değerlendirmede, üçüncü adım devreye girerse bulunan güvenlik açıklarının sayısı çok fazla olabilir.
3-) Analiz: Güvenlik açıklarının nedenlerinin, olası etkilerinin ve önerilen tedavi yöntemlerinin net bir şekilde anlaşılmasını sağlayan daha ayrıntılı bir analiz aşağıda yer almaktadır. Daha sonra her bir güvenlik açığı, risk altındaki bilgilere, güvenlik açığının ciddiyetine ve savunmasız sistemin ihlalinden kaynaklanabilecek potansiyel hasara göre sınıflandırılır veya kategorize edilir. Buradaki fikir, tehdidi ölçmek ve her başarısızlığın ardındaki aciliyet veya risk ile potansiyel etkisinin net bir şekilde anlaşılmasıdır.
4-) Güncelleme: Son olarak tespit edilen güvenlik açığı bulunan uygulama veya hizmetlerin güncellenmesi gerekir. Üçüncü adımın sıralanması bu sürecin önceliklendirilmesine yardımcı olur ve en acil hataların ilk önce düzeltilmesini sağlar. Ayrıca bazı hataların küçük bir etkiye sahip olabileceğini ve onarım maliyetlerine ve aksama süresine değmeyebileceğini de belirtmekte fayda var.
