teknik 2-min.jpg
f7.png
t2.png

Supernova ZeroRisk

Teknik Açıklıkların Yönetimi

Supernova'nın aşağıdaki konularda nasıl yardımcı olduğunu öğrenin:

Güvenlik açığı yönetimi, artan siber güvenlik saldırıları tehdidi ve PCI DSS, HIPAA, NIST 800-731 ve daha fazlası gibi düzenlemeler nedeniyle şirketler için giderek daha önemli hale geliyor. Güvenlik açığı yönetimi, güvenlik açıklarını sürekli olarak belirlemek, değerlendirmek, sınıflandırmak, düzeltmek ve raporlamak için uygulanan kapsamlı bir süreçtir.

Güvenlik açığı yönetimi çoğu şirket için yeni bir kavram olmasa da, üç aylık güvenlik açığı taramaları ve iyileştirme yönetim planları gibi daha önce kabul edilen uygulamaların ciddi şekilde yetersiz savunma araçları olduğu ortaya çıktı.

 

Bugün, saldırı yüzeyinizi ve genel risk maruziyetinizi en aza indirmek, güvenlik açıkları üzerindeki görünürlüğü artıran ve hızlı düzeltme sağlayan sürekli bir yaklaşım gerektiriyor.

Güvenlik açığı yönetimi

Güvenlik Açığı Yönetimi Nedir?

Güvenlik açığı yönetimi terimi genellikle yama yönetimi ile birbirinin yerine kullanılsa da , bunlar aynı şey değildir. Bunun yerine, bir yama kullanıp kullanmama kararı, daha geniş bir güvenlik açığı yönetimi bağlamına girer.

f1.png

Güvenlik açığı yönetimi, tarama ve yama uygulamadan çok daha fazlasını içerir. İlk olarak hangi güvenlik açıklarının ele alınacağı ve bunların nasıl azaltılacağı konusunda bilinçli kararlar vermek için bütünsel bir bakış açısı gerektirir.

Güvenlik taramaları artık periyodik olarak gerçekleşemez - otomatik araçlarla etkinleştirilerek sürekli olarak çalıştırılmalıdır. Artan güvenlik açıkları nedeniyle çoğu kuruluşun yaşadığı artan güvenlik risklerini ele almak için bir önceliklendirme ve iyileştirme stratejisi uygulanmalıdır. Ayrıca, tehditlerin hızlı ve verimli bir şekilde azaltılmasını sağlamak için güvenlik, geliştirme ve DevOps ekiplerinin tümü güvenlik açığı yönetimi çabalarında yer almalıdır. Tüm bu hareketli parçalar, kapsamlı bir güvenlik açığı yönetimi politikasının parçası olarak net bir şekilde detaylandırılmalıdır.

 
teknik 1-min.jpg
t1.png

Dört aşama

Güvenlik Açığı Yönetiminin Dört Aşaması

Tanımlama

Güvenlik açığı yönetimi programınızdaki ilk aşama, BT ekosistemleriniz genelinde var olan tüm güvenlik açıklarını belirlemek olacaktır. Bunu başarmak için BT varlıklarınızı tanımlamanız ve her varlık için doğru güvenlik açığı tarayıcılarını bulmanız gerekecektir.

Ağınızdaki ve uygulamalarınızdaki güvenlik açıklarını belirlemek için kullanacağınız güvenlik açığı tarayıcısı aynı olmayacaktır. Uygulama güvenliği söz konusu olduğunda, tescilli kodunuzdaki ve açık kaynak kitaplıklarınızdaki güvenlik açıklarını tespit etmek için birden çok AST (uygulama güvenliği testi) aracı kullanmanız gerekecektir.

Bu, güvenlik açığı yönetiminin önemli bir parçasıdır ve kuruluşların BT ekosistemleri daha geniş, karmaşık ve birbirine bağlı hale geldikçe giderek daha zor hale gelen bir parçadır.

İnternet Güvenliği Merkezi'ne göre, kuruluşlar haftada en az bir kez otomatik güvenlik açığı taramaları gerçekleştirmelidir. Daha sık tarama, düzeltmenizin ilerleyişi konusunda size daha fazla netlik sağlar ve güncellenmiş güvenlik açığı bilgilerine dayalı olarak yeni riskleri belirlemenize yardımcı olur.

Değerlendirme

Sistemlerinizdeki güvenlik açıklarını belirledikten sonraki adım, bunların oluşturduğu riskleri değerlendirmek ve bunların nasıl yönetileceğini belirlemektir. Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanları gibi güvenlik açığı yönetimi çözümünüzün sağladığı risk derecelendirmelerini anlamak önemli olsa da, diğer gerçek dünyadaki risk faktörlerini de anlamak isteyeceksiniz.

Göz önünde bulundurulması gereken bazı ek faktörler şunlardır:

  • Birisi bu güvenlik açığından ne kadar kolay yararlanabilir ve yayınlanmış bir yararlanma kodu var mı?

  • Güvenlik açığı, ürünümüzün güvenliğini doğrudan etkiler mi?

  • Bu güvenlik açığından yararlanılırsa iş üzerindeki etkisi ne olur?

  • Bu güvenlik açıklarından yararlanma olasılığını/sonucunu azaltacak mevcut güvenlik protokollerimiz var mı?

Tespit edilen güvenlik açıklarının yanlış pozitif olup olmadığını bilmek de önemlidir. Sızma testi gibi güvenlik açığı doğrulamasını sağlayan araç ve tekniklerle yanlış pozitifleri belirleyebilir ve kuruluşunuz için en büyük riski oluşturan güvenlik açıklarına odaklanabilirsiniz.

İyileştirme

Güvenlik açıklarını belirleyip değerlendirdikten sonraki adım, bunların nasıl önceliklendirileceğini ve ele alınacağını belirlemektir.

Güvenlik açığı yönetimi çözümünüz, muhtemelen her bir güvenlik açığı için hangi düzeltme tekniğini kullanmanız gerektiğini önerecektir. Güvenlik ekibinizin, sistem sahiplerinin ve sistem yöneticilerinin doğru stratejiyi belirlemek için tartmaları en iyisidir.

Alabileceğiniz üç genel yol vardır:

  • Düzeltme: Bir güvenlik açığı içeren koda yama uygulayarak, düzelterek veya değiştirerek istismarın tamamen önlenmesi.

  • Azaltma: Bir güvenlik açığının olasılığını veya etkisini azaltmak. Bu genellikle kuruluşların güvenlik açığını giderene kadar kullandıkları geçici bir çözümdür.

  • False Positif Kabul Edilebilir Sayma: Güvenlik açığını kabul etme ve kabul etme. Kuruluşlar bunu genellikle yalnızca güvenlik açığını gidermenin maliyeti, istismar edilmesinin sonuçlarından çok daha yüksek olduğunda yapar.

Düzeltme işlemini tamamladıktan sonra, başka bir tarama gerçekleştirerek güvenlik açığının tamamen çözülüp çözülmediğini kontrol edebilirsiniz.

Raporlama

Güvenlik açığı değerlendirmelerini rutin bir uygulama haline getirerek, güvenlik açığı yönetimi programınızın etkinliği, hızı ve maliyeti hakkında daha fazla bilgi edineceksiniz.

Çoğu güvenlik açığı yönetim sistemi, güvenlik ekibinizin her bir varlığın güvenlik durumunu daha kolay anlayabilmesi ve artan güvenlik açığı algılama veya azalan düzeltme hızı gibi eğilimleri belirlemek için zamanla izleyebilmesi için çeşitli güvenlik açığı tarayıcılarınızdan verileri dışa aktarmanıza olanak tanır.

Tutarlı raporlama, güvenlik ekibinizin kuruluşunuzun risk yönetimi KPI'larına ve düzenleyici gereksinimlere uymasına yardımcı olacaktır.

 
kvkk-min.jpg

Bir Sonraki Hizmet

KVKK Teknik Tedbirler ve Uyum Süreci

siber 2-min.jpg
t1.png

Metrikler

Güvenlik Açığı Yönetimi Metrikleri

Ölçüm ve ölçümler, güvenlik açığı yönetimi politikasının bir diğer önemli parçasıdır - kuruluşlar, kullandıkları algılama ve düzeltme araçlarının kapsamlı ve güncel raporlar ürettiğinden emin olmalıdır.

Kuruluşlar, temel güvenlik açığı yönetimi ölçümleri, tespit etme süresi, düzeltme süresi, yama hızı ve daha fazlasını içerdiğinden emin olmalıdır. Bu, ekiplerin KPI'larına ayak uydurduklarından emin olmalarına yardımcı olur ve yöneticilere ve paydaşlara güvenlik profillerine ayak uydurmaları ve güvenlik stratejilerini mükemmelleştirmeye devam etmeleri için ihtiyaç duydukları bilgileri sağlar.

Politika oluşturma

Bir Güvenlik Açığı Yönetim Politikası Oluşturma

ISO 27002 gibi sektörler arası standartlarla uyumluluk, kuruluşların yıllarca bir güvenlik açığı yönetimi politikası uygulamasını gerektirmiştir. Günümüzün gelişen tehdit ortamı, yazılım geliştirme ve teslim ekosistemleri daha karmaşık hale geldikçe, şirketlerin güvenlik açığı yönetim politikalarının güvenliğe ayak uydurmasını sağlamasını gerektiriyor.

Güvenlik açığı yönetimi politikaları, yukarıda listelenen dört aşamanın tümünü kapsamalı ve hem AST (uygulama güvenlik testi) araçları hem de çalışma zamanı koruma araçları ile yazılım geliştirme yaşam döngüsünün tüm bölümlerinde sürekli güvenlik taramasını içermelidir - ancak bu sadece başlangıç. Bu araçların çoğu güvenlik açığı tespitine odaklandığından, kuruluşların güvenlik açığı yönetimi politikası, önceliklendirme ve iyileştirme stratejilerini de kapsamalıdır.

Bir Güvenlik Açığı Yönetim Politikasının Kapsamı

Bir politikanın kapsamı, bir organizasyonun büyüklüğüne, türüne ve sektörüne bağlı olarak değişebilse de, bir güvenlik açığı yönetimi politikası tipik olarak ağ altyapısını kapsar; sunucular; işletim sistemleri; Sanal makineler; bulutta barındırılan sunucular; veritabanı sunucuları; veritabanları; tescilli, üçüncü taraf ve açık kaynak uygulamaları; şirkete ait cihazlar; ve dahası. 

f1.png

Neyin ve nasıl izlendiğine dair herhangi bir belirsizlikten kaçınmaya yardımcı olmak için kapsamın haritasını çıkarmak ve net bir şekilde belgelemek önemlidir.

Bir kuruluşun sistemini oluşturan cihazların, ortamların ve çerçevelerin her birinin farklı türde riskler içerdiğini hatırlamak da önemlidir. Ponemon Enstitüsü'nden bir araştırma raporu, BT Güvenliği harcama eğilimlerini analiz etti ve bazı saldırı vektörleri için algılanan risk düzeyi ile farklı koruma katmanları için yıllık harcama düzeyi arasında önemli boşluklar buldu. Etkili bir güvenlik açığı yönetimi politikası, her tür güvenlik tehdidini uygun şekilde ele alacak ve farklı vektörler ve katmanlar tarafından getirilen risk düzeyini ele almak için doğru süreçlerin ve araçların devreye alınmasını sağlayacaktır.

 
 
veri 1-min.jpg

Bir Sonraki Hizmet

Veri Kaybı Önleme Sistemi