Güvenlik açığı yönetimi, artan siber güvenlik saldırıları tehdidi ve KVKK, ISO 27001, PCI DSS vb. gibi düzenlemeler nedeniyle ÅŸirketler için giderek daha önemli hale geliyor. Güvenlik açığı yönetimi, güvenlik açıklarını sürekli olarak belirlemek, deÄŸerlendirmek, sınıflandırmak, düzeltmek ve raporlama sürecidir.
Güvenlik açığı yönetimi çoÄŸu ÅŸirket için yeni bir kavram olmasa da, Yıllık güvenlik açığı taramaları ve iyileÅŸtirme yönetim planları gibi daha önce kabul edilen uygulamaların ciddi ÅŸekilde yetersiz olduÄŸu bir gerçektir.Çünkü yıl içerisinde geri kalan 11 ayda sisteminize yeni açıklar gelmekte ve büyüyerek devam etmektedir.Siber risk derecenizi en aza indirmek, güvenlik açıkları üzerindeki görünürlüÄŸü artıran ve hızlı düzeltme saÄŸlayan sürekli bir yaklaşım gerekiyor.
Güvenlik açığı yönetimi
Güvenlik Açığı Yönetimi Nedir?
Güvenlik açığı yönetimi terimi genellikle yama yönetimi ile birbirinin yerine kullanılsa da , bunlar aynı ÅŸey deÄŸildir. Bunun yerine, bir yama kullanıp kullanmama kararı verecek açıklı kapatılamıyorsa EDR ile takip, denetim mekanizması kurma gibi yönetim planlaması alanına girer.
Güvenlik açığı yönetimi, tarama ve yama uygulamadan çok daha fazlasını içerir. Ä°lk olarak hangi güvenlik açıklarının ele alınacağı ve bunların nasıl azaltılacağı konusunda bilinçli kararlar vermek tüm birimlerin ortak çabası gerekir.
Güvenlik taramaları periyodik olarak gerçekleÅŸmeli, otomatik araçları etkinleÅŸtirilerek sürekli olarak çalıştırılmalıdır. Artan güvenlik açıkları nedeniyle çoÄŸu kuruluÅŸun yaÅŸadığı risklerini ele almak için bir önceliklendirme ve iyileÅŸtirme stratejisi uygulanmalıdır. Ayrıca, tehditlerin hızlı ve verimli bir ÅŸekilde azaltılmasını saÄŸlamak için SecOps ve DevOps ekiplerinin tümü güvenlik açığı yönetimi çabalarında yer almalıdır.
Dört aÅŸama
Güvenlik Açığı Yönetiminin Dört AÅŸaması
Tanımlama
Güvenlik açığı yönetimi programınızdaki ilk aÅŸama, BT ekosistemleriniz genelinde var olan tüm güvenlik açıklarını belirlemek olacaktır. Tüm BT varlıklarınızı tanımlamanız ve her varlık için doÄŸru güvenlik açığı tarayıcılarını bulunması gerekmektedir.
​
Ağınızdaki ve uygulamalarınızdaki güvenlik açıklarını belirlemek için kullanacağınız güvenlik açığı tarayıcısı aynı deÄŸildir. Uygulama güvenliÄŸi söz konusu olduÄŸunda, tescilli kodunuzdaki ve açık kaynak kitaplıklarınızdaki güvenlik açıklarını tespit etmek için birden çok uygulama güvenliÄŸi testi (AST) araçlarından birini kullanmanız gerekecektir.
​
Teknik açıklık tarayıcılarındaki tür faklılıkları , güvenlik açığı yönetiminin önemli bir unsurudur kuruluÅŸların BT ekosistemleri daha geniÅŸ, karmaşık ve birbirine baÄŸlı hale geldikçe giderek daha zor hale gelen bir parçadır.
Daha sık tarama, kapatılan açıklıkları düzeltmenizin ilerleyiÅŸi görmek ve büyük resmi görmemizi saÄŸlar.GüncellenmiÅŸ güvenlik açığı bilgilerine dayalı olarak yeni riskleri belirlemenize yardımcı olur.
DeÄŸerlendirme
Sistemlerinizdeki güvenlik açıklarını belirledikten sonraki adım, bunların oluÅŸturduÄŸu riskleri deÄŸerlendirmek ve bunların nasıl yönetileceÄŸini belirlemektir. Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanları gibi güvenlik açığı yönetimi çözümünüzün saÄŸladığı risk derecelendirmelerini anlamak önemli olsa da, diÄŸer gerçek dünyadaki risk faktörlerini de anlamak isteyeceksiniz.
​
Göz önünde bulundurulması gereken bazı ek faktörler ÅŸunlardır:
​
-
Birisi bu güvenlik açığından ne kadar kolay istismar edebilir ve yayınlanmış bir exploit var mı?
-
Güvenlik açığı, ürünümüzün güvenliÄŸini doÄŸrudan etkiler mi?
-
Bu güvenlik açığı istismar edilirse iÅŸ üzerindeki etkisi ne olur?
-
Bu güvenlik açıklarından yararlanma olasılığını/sonucunu azaltacak güvenlik protokollerimiz var mı?
​
Tespit edilen güvenlik açıklarının kabul edilebilir olup olmadığını bilmek de önemlidir. Sızma testi gibi güvenlik açığı doÄŸrulamasını saÄŸlayan araç ve tekniklerle tutarsız tarama sonuçları belirleyebilir.Bu durumda kuruluÅŸunuz için en büyük riski oluÅŸturan güvenlik açıklarına odaklanılması gerekir.
Ä°yileÅŸtirme
Güvenlik açıklarını belirleyip deÄŸerlendirdikten sonraki adım, bunların nasıl önceliklendirileceÄŸini ve ele alınacağını belirlemektir.
​
Güvenlik açığı yönetimi çözümünüz, muhtemelen her bir güvenlik açığı için hangi düzeltme tekniÄŸini kullanmanız gerektiÄŸini önerecektir. Güvenlik ekibinizin ve sistem yöneticilerinin korelasyonu ile doÄŸru stratejiyi belirlemek gerekir.
​
AlabileceÄŸiniz üç genel yol vardır:
​
-
Düzeltme: Bir güvenlik açığı içeren koda yama uygulayarak, düzelterek veya deÄŸiÅŸtirerek istismarın tamamen önlenmesi.
-
Azaltma: Bir güvenlik açığının olasılığını veya etkisini azaltmak. Bu genellikle kuruluÅŸların güvenlik açığını giderene kadar kullandıkları geçici bir çözümdür.
-
False Positif Kabul Edilebilir Sayma: Güvenlik açığını kabul etme ve kabul etme. KuruluÅŸlar bunu genellikle yalnızca güvenlik açığını gidermenin maliyeti, istismar edilmesinin sonuçlarından çok daha yüksek olduÄŸunda tercih eder.
​
Düzeltme iÅŸlemini tamamladıktan sonra, baÅŸka bir tarama gerçekleÅŸtirerek güvenlik açığının tamamen çözülüp çözülmediÄŸini kontrol edebilirsiniz.
Raporlama
Güvenlik açığı deÄŸerlendirmelerini rutin bir uygulama haline getirerek, güvenlik açığı yönetimi programınızın etkinliÄŸi, hızı ve maliyeti hakkında daha fazla bilgi edineceksiniz.
​
ÇoÄŸu güvenlik açığı yönetim sistemi, siber güvenlik ekibinizin her bir varlığın güvenlik durumunu daha kolay anlayabilmesi ve artan güvenlik açığı algılama veya azalan düzeltme hızı gibi eÄŸilimleri belirlemek için zamanla izleyebilmesi için çeÅŸitli güvenlik açığı tarayıcılarınızdan verileri dışa aktarmanıza olanak tanır.
​
Tutarlı raporlama, siber güvenlik ekibinizin kuruluÅŸunuzun risk yönetimi KPI'larına ve regülatif gereksinimlere uymasına yardımcı olacaktır.
