Güvenlik açığı değerlendirmesi nedir?
Bu, bir bilgi sistemindeki tüm güvenlik açıklıklarının sistematik olarak gözden geçirilmesidir. Güvenlik açığı belirlemeyi, ölçmeyi ve önceliklendirmeyi içerir. Ardından yapılması gerekenler hakkında öneriler içeren bir rapor hazırlanır.
Güvenlik açığı değerlendirmesinin penetrasyon testinden farkı nedir?
Güvenlik açığı taramaları, sistemlerinizdeki bilinen güvenlik açıklarını arar ve olası tehditleri bildirir. Penetrasyon testleri, bilgi sisteminizin mimarisindeki zayıflıklardan yararlanmayı ve kötü niyetli bir saldırganın varlıklarınıza yetkisiz erişim elde etme derecesini belirlemeyi amaçlar. Bir güvenlik açığı taraması tipik olarak otomatiktir, sızma testi ise bir güvenlik uzmanı tarafından gerçekleştirilen manuel bir testtir.
Güvenlik Açığı Türleri
1- İnsan Güvenlik Açıkları: Bilgi eksikliği, sistemleri veya ağları bozabilir ve kötü niyetli aktörlere erişim sağlayabilir.
2- Ağ Güvenlik Açıkları: Yetersiz yapılandırılmış bir güvenlik duvarı ve güvenli olmayan Wi-Fi erişim noktalarını içerir.
3- Süreç Güvenlik Açıkları: Belirli süreç kontrollerinin zayıflığı veya birinin yokluğu, “bkz. zayıf parolalar” yoluyla ortaya çıkabilir.
4- İşletim Sistemi Güvenlik Açıkları: Bu güvenlik açıkları belirli bir işletim sisteminde bulunur ve kötü niyetli saldırganlar sistemden bilgilere zarar vermek veya bunlara erişmek için bunları kullanabilir.
Değerlendirme Araçları
Güvenlik açığı tarama araçları, birçok yolu kullanarak uygulamalardaki güvenlik açıklarının tespit edilmesini sağlar, bunlar arasında kodlama hatalarını analiz eden kod analizi güvenlik açığı araçları da bulunur. Bazı güvenlik açığı araçları, iyi bilinen rootkit’leri, arka kapıları ve truva atlarını da bulabilir.
Aşağıda, güvenlik açığı değerlendirmesi için kullanılabilecek araçlardan bazıları verilmiştir:
1- Nikto: 6700’den fazla potansiyel olarak tehlikeli dosya/program, 1250’den fazla sunucunun güncel olmayan sürümleri için kontroller ve 270’den fazla sunucuda sürüme özel sorunlar dahil olmak üzere birden çok öğe için web sunucularına karşı kapsamlı testler gerçekleştiren bir Açık Kaynak (GPL) web sunucusu tarayıcısıdır. Ayrıca birden çok dizin dosyasının varlığı, HTTP sunucusu seçenekleri gibi sunucu yapılandırma öğelerini kontrol eder ve kurulu web sunucularını ve yazılımları tanımlamaya çalışır. Tarama öğeleri ve eklentiler sık sık güncellenir ve otomatik olarak güncellenebilir.
2- Netsparker: Yüzlerce ve binlerce web uygulaması ve web hizmetindeki güvenlik açıklarını birkaç saat içinde kolayca ölçeklendirebilen ve otomatik olarak bulabilen, kullanımı kolay ve gelişmiş bir web güvenlik çözümüdür. Ayrıca güvenli SDLC’nize kolayca entegre edilebilir.
3- OpenVAS: Tam özellikli bir güvenlik açığı tarayıcısıdır. Yetenekleri arasında kimliği doğrulanmamış testler, kimliği doğrulanmış testler, çeşitli yüksek ve düşük seviyeli İnternet ve endüstriyel protokoller, büyük ölçekli taramalar için performans ayarı ve her türlü güvenlik açığı testini uygulamak için güçlü bir dahili programlama dili bulunur.
4- W3AF: Bu, geliştiricilerin ve sızma testi uzmanlarının, web uygulamalarındaki güvenlik açıklarını belirlemelerine ve bunlardan yararlanmalarına yardımcı olan açık kaynaklı bir web uygulaması güvenlik tarayıcısıdır.
5- Acunetix: SQL İnjection, uzaktan komut ve dosyası çalıştırma, diğer açıklardan yararlanarak zincirleme saldırılar gibi güvenlik açıklarını kontrol ederek web uygulamalarınızı denetleyen otomatik bir web uygulaması güvenlik test aracıdır. Genel olarak Acunetix, bir web tarayıcısı aracılığıyla erişilebilen ve HTTP/HTTPS protokolünü kullanan herhangi bir web sitesini veya web uygulamasını tarar.
6- Nmap: Ağ keşfi ve güvenlik denetimi için ücretsiz ve açık kaynaklı bir araçtır. Birçok sistem ve ağ yöneticisi, ağ envanteri, hizmet güncelleme programlarını yönetme veya hizmet çalışma süresini izleme gibi görevler için de yararlı bulur. Nmap, ağda hangi bilgisayarların mevcut olduğunu, bu bilgisayarların hangi hizmetleri sunduğunu, hangi işletim sistemlerini çalıştırdıklarını, ne tür paket filtrelerinin/güvenlik duvarlarının kullanıldığını ve düzinelerce başka özelliği belirlemek için ham IP paketlerini kullanır. Büyük ağları hızla taramak için tasarlanmıştır.
7- Nessus: Bir bilgisayarı tarayan ve kötü niyetli bilgisayar korsanlarının bir ağa bağladığınız herhangi bir bilgisayara erişmek için kullanabileceği herhangi bir güvenlik açığı keşfederse uyarı veren bir uzaktan güvenlik tarama aracıdır. Belirli bir bilgisayarda 1200’den fazla kontrol çalıştırarak, bu saldırılardan herhangi birinin bilgisayara girmek veya bilgisayara zarar vermek için kullanılıp kullanılamayacağını test eder.
Değerlendirme adımları
1- Planlama: Varlıklarınızı tanımlayın ve ağınızın parçası olan cihazları bilin. Riskleri ve kritik değere sahip cihazlarını tespit edin. Cihazların herkes tarafından erişilebilir olup olmadığını veya yalnızca yetkili kullanıcılar ve yöneticilerle sınırlı olup olmadığını analiz edin.
2- Tarama: Ardından, sistemi veya ağı manuel olarak veya otomatik araçlar aracılığıyla aktif olarak tarayın ve güvenlik kusurlarını ve zayıflıklarını belirlemek ve false positive olanları filtrelemek için testler yapın. Özellikle ilk değerlendirmede, bulunan güvenlik açıklarının sayısı çok fazla olabilir ki bu da üçüncü adımın devreye girdiği yerdir.
3- Analiz: Ardından, güvenlik açıklarının nedenlerine, potansiyel etkilerine ve önerilen iyileştirme yöntemlerine ilişkin net bir fikir sağlayan daha ayrıntılı bir analiz yapılır. Daha sonra her güvenlik açığını, risk altındaki verilere, zafiyetin ciddiyetine ve etkilenen sistemin ihlalinin neden olabileceği hasara göre sıralanır veya derecelendirilir. Buradaki fikir, tehdidi ölçmek, her bir kusurun arkasındaki aciliyet veya risk düzeyi ve potansiyel etkisi hakkında net bir fikir vermektir.
4- İyileştirme: Son olarak, tespit edilen zafiyetli uygulamaların veya servislerin güncellemesi yapılmalıdır. Üçüncü adımdaki sıralama, en acil kusurların ilk önce ele alınmasını sağlayarak bu sürece öncelik verilmesine yardımcı olacaktır. Ayrıca, bazı kusurların çok az etkisi olabileceğini ve düzeltme için gereken maliyete ve kesinti süresine değmeyebileceğini de belirtmekte fayda var.