"Günümüzün rekabetçi ortamında, firmalar güvenlik saldırıları nedeniyle, para, zaman ve prestij kaybına tahammül edemeyecek bir pozisyondadırlar. Firmalar web sitelerinin ele geçirilmesi ve müşterilerinin kritik bilgilerinin çalınması nedeniyle ölçülemeyecek kayıplara uğramaktadırlar. Bu anlamda “Güvenlik Açıkları Yönetimi” kavramı, tehdit ortaya çıkmadan onu tanımlama, değerlendirme ve önlem almayı içeren kritik bir süreçtir.
Güvenlik Açığı Nedir?
"The National Institute of Standards and Technology (NIST) güvenlik açığını; kötü niyetli bir kişinin politikaları bozmak amacıyla istismar edebileceği yazılım zayıflığı olarak tanımlar.(1) Örnek vermek gerekirse; kötü niyetli bir kullanıcı, bir açığı bir bilgisayar veya ağdaki erişim ve/veya izin yetkilerini genişletecek şekilde kullanabilir. Gartner açık tanımını insanlar ve süreçler açısından biraz daha genişleterek güvenlik açığını, bir teknoloji, süreç veya yönetimde BT güvenliğini tehlikeye atmak için kullanılabilecek zayıflık olarak tanımlar.(2) Hangi perspektiften bakılırsa bakılsın yazılımdaki bu kusurlar kötü niyetli bir kullanıcı tarafından teknolojileri kötüye kullanmak, BT ve iş süreçlerini çalmak, değiştirmek veya aksatmak için kullanılabilir ve bu da firma için zaman, para ve güven kaybı demektir.
Güvenlik Açıkları Yönetimi Neleri Kapsar?
"Güvenlik açıkları yönetimi, sistem ve uygulamalardaki güvenlik açıklarını (istismara açık zayıflıkları) tanımlama, değerlendirme ve onarma sürecidir. Sürekli olarak yeni güvenlik açıkları ortaya çıktığından bu süreç döngüseldir ve periyodik taramalarla sistemde oluşabilecek yeni açıklar belirlenir.
Varlıkları Tanımlama ve Gruplandırma
"Bilgi işlem altyapısında yer alan bütün IP tabanlı varlıklar sisteme girilir. Varlıklar çeşitli kriterlere göre oluşturulabilecek tarama grup/gruplarına eklenir.
Güvenlik Açıklarını Belirleme
"Varlıklar, özel tarama profilleri ve tarama paketleri oluşturularak önem derecelerine uygun sıklıkta taranarak güvenlik açıkları belirlenir. Detaylı teknik güvenlik açıkları ve yönetici raporları oluşturulur.
Güvenlik Açıklarını Kapatma
"Belirlenen güvenlik açıkları, sistem yöneticileri tarafından kullanıcılara atanır ve portal üzerinden kapatılma süreci izlenebilir ve rapor oluşturulabilir.
Güvenlik Açıkları yönetimi dinamik bir süreçtir.
"CERT® (Coordination Center at Carnegie Mellon University)’e göre her ay 300 adet yeni açık ortaya çıkmaktadır. Buna göre kurumların, özellikle risk seviyesi yüksek, öncelikli varlıklarını daha sık taramaları gerekmektedir. Cert/CC istatistiklerine göre, güvenlik saldırılarının %95’i, yamaları yayınlanmış güvenlik açıkları istismar edilerek gerçekleştirilmektedir. Bunun önüne geçilmesi için, sistem zaaflarının ve güvenlik açıklarının güncel tehditlere karşı sürekli olarak tarandığı, yamaların hızla uygulandığı entegre bir çözüme ihtiyaç vardır. Gartner Araştırmacıları, Güvenlik Açıkları Yönetim Sürecini işleten firmalara gerçekleştirilen atakların, sadece saldırı tespit sistemlerini kullanan firmalara göre, %90 daha başarısız olacağını öngörmektedir. (3)
Güvenlik Açıklarının Belirlenmesinde Karşılaşılan Güçlükler
"Yasal düzenlemeler ve artan güvenlik saldırıları nedeniyle, işletmeler düzenli ve bağımsız denetimlerin yapılmasının, güvenlik standartlarına uyumluluk ve ağların güvenliği için bir gereklilik olduğunu fark etmeye başlamışlardır. Ancak, günümüzde yaygın olarak kullanılan elle veya geleneksel tarayıcılar ile gerçekleştirilen güvenlik denetimleri büyük işletmeler için yeterince verimli değildir ve hantal bir yapı oluşturmaktadır. (4) Başarılı bir güvenlik açıkları yönetimi için hem bilgi işlem sistemlerinin alt yapılarındaki hem de web uygulamalarındaki açıkların belirlenebilmesi gereklidir. Bu, ağdaki güvenlik açıklarının bütünsel resmini ortaya koyar. Mevcut ürünler ya web uygulamaları ya da altyapıdaki güvenlik açıklarının belirlenmesine yoğunlaşmıştır. Bu nedenle firmalar güvenlik açıklarının yönetilmesi için farklı ürünler kullanmak zorunda kalmaktadır. Bu hem maliyetlerini artırmakta hem de her ürünün ürettiği raporların entegrasyonunun elle yapılmak zorunda oluşu zaman kaybına ve hatalara neden olmaktadır. Securist GYS alt yapı ve web servis/uygulamalarındaki açıkları taramada başarılı olan tarama motorlarını bünyesinde birleştirerek, tarama ve raporlamanın merkezi ve otomatik olarak yönetilmesini sağlar, buna ek olarak, gerekli alt yapıyı sağlamaları durumunda firmaların kullanıyor oldukları tarama programlarının sisteme entegrasyonuna imkan veren bir mimariye sahiptir. Bu özelliği ile hem açıkların belirlenmesindeki başarım oranını artırır hem de tek bir ürünle ihtiyacı karşılayarak firmaların maliyetlerini düşürür. Güvenlik Açıkları Aktivite Yönetimi modülü ile güvenlik açıklarının ilgili kişilere atanıp, kapatılması süreci hızlandırılır.
Güvenlik Açığı Nedir?
"The National Institute of Standards and Technology (NIST) güvenlik açığını; kötü niyetli bir kişinin politikaları bozmak amacıyla istismar edebileceği yazılım zayıflığı olarak tanımlar.(1) Örnek vermek gerekirse; kötü niyetli bir kullanıcı, bir açığı bir bilgisayar veya ağdaki erişim ve/veya izin yetkilerini genişletecek şekilde kullanabilir. Gartner açık tanımını insanlar ve süreçler açısından biraz daha genişleterek güvenlik açığını, bir teknoloji, süreç veya yönetimde BT güvenliğini tehlikeye atmak için kullanılabilecek zayıflık olarak tanımlar.(2) Hangi perspektiften bakılırsa bakılsın yazılımdaki bu kusurlar kötü niyetli bir kullanıcı tarafından teknolojileri kötüye kullanmak, BT ve iş süreçlerini çalmak, değiştirmek veya aksatmak için kullanılabilir ve bu da firma için zaman, para ve güven kaybı demektir.
Güvenlik Açıkları Yönetimi Neleri Kapsar?
"Güvenlik açıkları yönetimi, sistem ve uygulamalardaki güvenlik açıklarını (istismara açık zayıflıkları) tanımlama, değerlendirme ve onarma sürecidir. Sürekli olarak yeni güvenlik açıkları ortaya çıktığından bu süreç döngüseldir ve periyodik taramalarla sistemde oluşabilecek yeni açıklar belirlenir.
Varlıkları Tanımlama ve Gruplandırma
"Bilgi işlem altyapısında yer alan bütün IP tabanlı varlıklar sisteme girilir. Varlıklar çeşitli kriterlere göre oluşturulabilecek tarama grup/gruplarına eklenir.
Güvenlik Açıklarını Belirleme
"Varlıklar, özel tarama profilleri ve tarama paketleri oluşturularak önem derecelerine uygun sıklıkta taranarak güvenlik açıkları belirlenir. Detaylı teknik güvenlik açıkları ve yönetici raporları oluşturulur.
Güvenlik Açıklarını Kapatma
"Belirlenen güvenlik açıkları, sistem yöneticileri tarafından kullanıcılara atanır ve portal üzerinden kapatılma süreci izlenebilir ve rapor oluşturulabilir.
"CERT® (Coordination Center at Carnegie Mellon University)’e göre her ay 300 adet yeni açık ortaya çıkmaktadır. Buna göre kurumların, özellikle risk seviyesi yüksek, öncelikli varlıklarını daha sık taramaları gerekmektedir. Cert/CC istatistiklerine göre, güvenlik saldırılarının %95’i, yamaları yayınlanmış güvenlik açıkları istismar edilerek gerçekleştirilmektedir. Bunun önüne geçilmesi için, sistem zaaflarının ve güvenlik açıklarının güncel tehditlere karşı sürekli olarak tarandığı, yamaların hızla uygulandığı entegre bir çözüme ihtiyaç vardır. Gartner Araştırmacıları, Güvenlik Açıkları Yönetim Sürecini işleten firmalara gerçekleştirilen atakların, sadece saldırı tespit sistemlerini kullanan firmalara göre, %90 daha başarısız olacağını öngörmektedir. (3)
Güvenlik Açıklarının Belirlenmesinde Karşılaşılan Güçlükler
"Yasal düzenlemeler ve artan güvenlik saldırıları nedeniyle, işletmeler düzenli ve bağımsız denetimlerin yapılmasının, güvenlik standartlarına uyumluluk ve ağların güvenliği için bir gereklilik olduğunu fark etmeye başlamışlardır. Ancak, günümüzde yaygın olarak kullanılan elle veya geleneksel tarayıcılar ile gerçekleştirilen güvenlik denetimleri büyük işletmeler için yeterince verimli değildir ve hantal bir yapı oluşturmaktadır. (4) Başarılı bir güvenlik açıkları yönetimi için hem bilgi işlem sistemlerinin alt yapılarındaki hem de web uygulamalarındaki açıkların belirlenebilmesi gereklidir. Bu, ağdaki güvenlik açıklarının bütünsel resmini ortaya koyar. Mevcut ürünler ya web uygulamaları ya da altyapıdaki güvenlik açıklarının belirlenmesine yoğunlaşmıştır. Bu nedenle firmalar güvenlik açıklarının yönetilmesi için farklı ürünler kullanmak zorunda kalmaktadır. Bu hem maliyetlerini artırmakta hem de her ürünün ürettiği raporların entegrasyonunun elle yapılmak zorunda oluşu zaman kaybına ve hatalara neden olmaktadır. Securist GYS alt yapı ve web servis/uygulamalarındaki açıkları taramada başarılı olan tarama motorlarını bünyesinde birleştirerek, tarama ve raporlamanın merkezi ve otomatik olarak yönetilmesini sağlar, buna ek olarak, gerekli alt yapıyı sağlamaları durumunda firmaların kullanıyor oldukları tarama programlarının sisteme entegrasyonuna imkan veren bir mimariye sahiptir. Bu özelliği ile hem açıkların belirlenmesindeki başarım oranını artırır hem de tek bir ürünle ihtiyacı karşılayarak firmaların maliyetlerini düşürür. Güvenlik Açıkları Aktivite Yönetimi modülü ile güvenlik açıklarının ilgili kişilere atanıp, kapatılması süreci hızlandırılır.