Connect with us

Zafiyet Yönetimi Temelleri

Siber Güvenlik

Zafiyet Yönetimi Temelleri

mm
Published
Updated

Zafiyet yönetimi, bir organizasyonun dijital altyapısının envanterini tutmak, zafiyetler için araştırmak ve belirlenen zayıflıkları gidermek amacıyla süreçlerin ve ürünlerin bir kombinasyonudur. Bu, bir döngüsel uygulama ve iyi bilinen BT atasözünün karşıtıdır: “Eğer bozulmadıysa, onu düzeltme.” Bu prensip, günümüzde kurumsal güvenlik için çalışmıyor. Dijital varlıklar sürekli olarak izlenmez ve güçlendirilmezse, düşük asılı meyveler haline gelir.

Bir tarayıcı yeterli değil

Farklı olarak zafiyet tarayıcıları, zafiyet yönetiminin ana hedefi, altyapı güvenliğini güçlendirmek ve süper tehlikeli tehditlere acil yanıt vermektir. Bir sistemdeki bir açığı bulmak, savaşın yarısıdır, ancak tehdit aktörlerinin onu bir giriş noktası olarak kullanamaması için düzeltilmelidir. Zafiyet değerlendirmesi ve müşteri altyapısına dayalı olarak tespit edilen sorunların önceliklendirilmesi yöntemleri just as önemlidir. Tarayıcılar bunu yapmaz.

Zafiyet yönetimi, esasen, tespit edilen zafiyetleri değerlendiren, önceliklendiren ve gideren tarama sürecine bir ektir. Müşterilerin ihtiyaçları değişirken, ana hedef以前 yalnızca bir zafiyeti keşfetmekti, şimdi ise sorunu ele alma yolları hakkında daha fazla şey yapmaktadır.

Zafiyet yönetimi sistemlerinin kullandığı lisans modelleri genellikle korunan IP adreslerinin sayısı temelinde oluşturulur. Bunların nerede bulunduğunun veya müşterinin kaç kurulum gerektirdiğinin bir önemi yoktur. Bir zafiyet tarayıcısının maliyeti, diğer yandan, kurulum sayısına ve tarama parametrelerine, örneğin ana bilgisayar sayısına bağlıdır.

Ek olarak, farklı türde kurulumlar vardır ve bazı satıcılar sistemlerinin sınırsız kullanımını sunar. Fiyat etiketi, bazıları ücretli ekstralar olarak sunulan özellikler kümesiyle de etkilenebilir.

Zafiyet yönetim sistemi seçme kriterleri

En önemli özellikler, organizasyonun büyüklüğü, farklı zaman dilimlerinde bulunan şubelerinin sayısı ve ürün yerelleştirilmesi, yani bölgeye özgü ve endüstriye özgü zafiyetleri tespit etme yeteneği içerir.

İlginç bir faktör, şirketin InfoSec ve BT departmanlarının çözümün gerekli özelliklerini müzakere etme yeteneği ile ilgilidir. InfoSec uzmanları genellikle zafiyet tespitine öncelik verirken, BT ekipleri esas olarak yama dağıtımına odaklanır. Bu nedenle, bu iki alanın örtüşmesi, sistemin parametrelerini tanımlayacaktır.

Güncellemelerin tamamlanması ve sıklığı ile tarayıcı tarafından desteklenen işletim sistemlerine de bakmak önemlidir. İdeal bir zafiyet yönetim sistemi, organizasyonun temsil ettiği endüstri ve şu anda kullandığı uygulamaların bağlamına da uymalıdır.

Sözleşme imzalama aşamasında, satıcı, yeni ürünler ve özellikler eklemeye hazır olduğunu müşteriye garantileyebilir. Ne yazık ki, bazı sağlayıcılar her zaman bu taahhütleri yerine getirmez. Bu nedenle, çözümün mevcut işlevselliğine odaklanmak en iyisidir.

Herhangi bir zafiyet yönetim sisteminin yararlı bir özelliği, kendi zafiyet veritabanınızı üçüncü taraf kaynaklardan alınan bilgilerle zenginleştirebilme yeteneğidir. Ayrıca, belirli bir zafiyetin üzerine bindiren bir örnek sömürü sunması da harikadır.

Çoğu müşteri, klasik bir ikilemle karşı karşıyadır: başlangıçta bir ücretsiz tarayıcı kullanmak mı yoksa ticari bir çözüm satın almak mı? Güncel bir zafiyet veritabanını korumak, zahmetli ve pahalı bir işlemdir. Bu nedenle, ücretsiz bir ürün durumunda, geliştirme ekibinin alternatif gelir kaynaklarını takip etmek için diğer faaliyet alanlarına öncelik vermesi gerekir, bu da bu tarayıcıların bazı sınırlamalara sahip olmasının nedenidir.

Zafiyet yönetiminin altında bulunan araçlar

Şirket içinde zafiyet yönetim sürecini organize etmek için gereken çözüm seti şunları içerebilir:

  •       Zafiyetler hakkında bilgi toplamak için farklı araçlar, Örneğin tarayıcılar, üçüncü taraf kaynaklardan alınan verilerin işlenmesi için araçlar ve InfoSec uzmanları tarafından bağımsız olarak elde edilen bilgi depoları.
  •       Zafiyet önceliklendirme araçları, CVSS puanlarını tanımlar ve potentially etkilenen varlığın değerini ölçer.
  •       Dış veritabanları ile etkileşim araçları.
  •       Organizasyonun, altyapısının ve küresel saldırı yüzeyinin bağlamında bir zafiyeti işleyen sistemler.

Varlık yönetimi ve otomatik yamalar

Varlık yönetim süreci, organizasyonun tüm altyapısını kapsayacak şekilde, düzenli olarak ve maksimum düzeyde otomatikleştirilmelidir. Bu koşullar yerine getirilmezse, zafiyetleri önceliklendirmek mümkün değildir. Ayrıca, bir organizasyonun BT altyapısını kontrol etmek için genau neye sahip olduğunu bilmek imkansızdır. Bu nedenle, varlık yönetimi, zafiyet yönetiminde çok önemli bir parçadır.

Otomatik yama yönetim sürecinin ana ön koşulu, her bir zafiyet imzasına belirli bir tanımlayıcı atamak ve bir sonraki güncellemenin bunu ele almasını sağlamaktır. Bu, birçok tuzakla dolu karmaşık bir iş akışıdır. Tek bir güncellemenin atlanmasıın sonuçları felaket olabilir, bu nedenle yama dağıtımı mümkün olduğunca iyi düzenlenmelidir.

Ayrıca, otomatik yamaları belirli bir uygulama alanına uyarlamak önemlidir. İş istasyonları için, temel yazılımlar gibi işletim sistemi ve tarayıcıları güncellemeleri sınırlamak kabul edilebilir. Sunucularda ise durum daha karmaşıktır, çünkü çok şey tehlikede olup, hatalı bir güncelleme, iş açısından kritik BT kaynaklarının kullanılabilirliğini etkileyebilir.

Kurumsal altyapıyı izlerken, çoğu şirket, uç noktalara ajanlar yüklemekten ziyade taramayı tercih eder, çünkü bunlar genellikle kötü amaçlı yazılım girişi noktaları haline gelir. Ancak, bir ana bilgisayara başka türlü ulaşılamıyorsa, veri toplama uygulamalarını kullanmak gerekir.

Önceden de bahsedildiği gibi, InfoSec ve BT departmanları arasındaki sorunsuz etkileşim bir fark yaratır. İki takım, belirli kaynaklar için güncelleştirmeleri kimin yükleyeceği ve ne sıklıkla olacağı konusunda anlaşmalı olmalıdır. Esasen, zafiyet yönetim süreci, bu anlaşmalara uyumu izlemek ve acil yamaları yüklemekle ilgili olmalıdır.

Zafiyet yönetim sistemlerinin geleceği neler getirir?

Bu noktada, varlık izleme ve yama dağıtımının artan bir şekilde otomatikleştirilmesi yönünde belirgin bir eğilim vardır. Şirketlerin altyapısı buluta göç etmeye devam ederken, zafiyet tarama sürecinin bulut güvenlik ayarlarını kontrol etmeye indirgenebilir. Bir diğer evrim yönü, zafiyet değerlendirme sistemlerini iyileştirmeye indirgenebilir. Zafiyet önceliklendirme araçları, özellikle en “sömürülebilen” zafiyetler hakkında daha fazla veri içerecektir.

Bu sistemlerin, bir sonraki birkaç yıl içinde, tümleşik bir mantığa geçmesi muhtemeldir, burada tek bir çözüm, InfoSec yönetim araçlarının tam spektrumunu sunacaktır. Zafiyet yönetimi, varlık yönetimi ve risk yönetimi yetenekleri ile birlikte diğer koruma özelliklerini içeren kapsamlı bir platformun ortaya çıkması muhtemeldir. Belki de, bir sunucudan veya yazıcıdan bir dedicated host上的 bir kaba kadar dijital altyapının tüm öğeleri için tek bir zafiyet yönetim konsolu olacaktır.

mm

David Balaban bir bilgisayar güvenlik araştırmacısıdır ve malware analizi ve antivirüs yazılımı değerlendirme konusunda 17 yıldan fazla deneyime sahiptir. David, MacSecurity.net ve Privacy-PC.com projelerini yönetmektedir. Bu projeler, sosyal mühendislik, malware, penetrasyon testi, tehdit istihbaratı, çevrimiçi gizlilik ve beyaz şapka hackleme dahil olmak üzere çağdaş bilgi güvenliği konularında uzman görüşleri sunar. David, güçlü bir malware sorun giderme geçmişine sahiptir ve最近 olarak fidye yazılımı karşı önlemlerine odaklanmıştır.