getirebiliyor. Siber saldırılar sonucu,
         önemli donanımlar ve cihazlar dev-
         redışı kalabiliyor, bilgi hırsızlığı ve
         sistem zararları oluşabiliyor.
         Uzmanlar, bu tarz sistemlerin tanın-
         ması ve zafiyetlerin açığa çıkarılması
         için tarama işlemleri gerçekleşti-
         rilerek açıklıkların giderilmesinin
         sağlanması gerektiğini vurguluyor.
         Uzmanlar, sistem açıklarının oluş-
         masına yol açan olan bazı sebepleri;
         ‘virüs bulunan yazılımlar ve donanım-
         lar, parolaları uzun bir süre değiştiril-
         meyen ağ cihazları, işletim sistemleri,
         güncel olmayan ve sızıntı tehditlerine
         açık olan diğer tüm sistemler’ olarak
                                         mesiyle oluştuğunu belirtiyor:   için otomatik araçlar, güvenlik ta-
         sıralıyor. Zafiyet yönetimi sayesinde
         analizler yapılarak açığa çıkarılan ve   • Sistem hassasiyeti veya kusu- ramaları, penetrasyon testleri  ve
         sistemlerde oluşma ihtimali bulunan   ru (sistemde bulunan işletim sis- diğer yöntemlerin korunmasını
         zafiyetler, oluşturulan aksiyon plan-  temi temelli kusurlar)    içerir. Önce kurallar ve izlenmesi
                                           •  Saldırganın zafiyete veya bu  gereken yollar belirlenir, bu kural-
         ları, iş süreçlerinde yapılacak iyileş-
                                         kusura ulaşabilmesi             lara göre uygulama ve düzenleme-
         tirmelerle yönetilebilir hale geliyor ve
                                           • Saldırganın zafiyeti veya zayıf- ler yapılır. Varlık ve ortam analiz-
         minimize edilerek kontrol edilebiliyor.
            Toplantılar ve organizasyonlar için   lığı kullanabilme kabiliyeti.  lerinin sonuçlarına göre çalışma
                                                                         stratejileri, planları belirlenir. Za-
         önemli bir bilgi koruma bileşeni ola-
         rak kabul edilen Zafiyet Yönetimi ile   Sistem zafiyetlerinin     fiyetler ölçeklendirilerek, kritik ve
         zaafiyetlerin tespit edilmesi, değer-  nedenleri                 önemli zafiyetler giderilir. Zafiyet-
         lendirilmesi ve uygun önlemlerin alın-  Uzmanlar sistem zafiyetlerinin ne-  lerin yok edilmesi için çözümler
         ması, saldırganların bilgi varlıklarını  denlerini de şöyle sıralıyor:   geliştirilir. Yok edilen zafiyetler tek-
         ve sistemlerini yok etme risklerini en   • Yazılımlarda bulunan açıklar sal-  rardan taranır, doğrulama işlemle-
         aza indirmek amaçlanıyor.       dırganın öncelikle uygulamaya veya   ri gerçekleştirilir. İzleme ve koru-
                                         sisteme erişebilmesini sağlıyor.   ma yöntemiyle daha sonra oluşma
                                           • Birçok kullanıcı tarafından kulla- ihtimali olan zafiyetlerin önüne
                                         nılan, iyi bilinen ve bedava olan kodlar,  geçilir, koruma sağlanır.
                                         uygulamalar, işletim sistemleri ve do-  Uzmanlar, Zafiyet Yönetimi sü-
                                         nanımlar kullanmak saldırganın bir  reçlerini şöyle özetliyor:
                                         araç veya yöntemle sistem zafiyetleri-  1) Zafiyeti Tanımlama: Bir siste-
                                         ne ulaşma ihtimalini çoğaltıyor.   min veya organizasyonun zayıf nok-
                                           • Büyük ve kompleks sistemler ku- talarını belirlemek için tarama, de-
                                         surların artma olasılıklarını ve kont- netim veya güvenlik incelemesi.
                                         rolsüz erişim noktalarının sayısını cid-  2) Zafiyet Analizi: 3 aşamadan olu-
            Zafiyet Yönetimi’nin önemi    di oranda arttırıyor.           şuyor: Tanımlama. Ölçme. Öncelikli
            Uzmanlar, ağlara girişlerin %99’unun   • Güvenilir olmayan ve kolay tah- hale getirme. Keşfedilen zafiyetlerin
         bilinen güvenlik açıklarından faydanıla- min edilebilen kullanıcı hakları ger- nasıl sömürülebileceği, ciddiyeti, et-
         rak yapıldığının veya konfigürasyon  çekte büyük birer zafiyet.   kileri ve olası saldırı senaryoları ince-
         hatalarından kaynaklandığının altını   • Daha fazla fiziksel bağlantı, özel  lenir.
         çiziyor. Yani sisteme  veya  firmaya  haklar, protokoller, portlar ve servis-  3) Sınıflandırma ve Önceliklen-
         gerçekleştirilecek her 1000 farklı  ler, saldırganın sistem zafiyetlerine  dirme: Zafiyetlerin ciddiyeti, etkisi
         saldırının 999’u bilinen ve engellen- erişebilme olasılıklarını ve şanslarını  ve olası riskleri göz önünde bulun-
         mesi kolay olan zafiyetler. Bu gibi za- arttırıyor.              durularak hedefleme yapılır. Bazı
         fiyetlerin önüne geçebilmek için ön-                             zaafiyetler daha büyük riskler taşı-
         celikle sistemi ve sistemde bulunan   Zafiyet Yönetimi Süreçleri  yabilir veya daha kolay sömürülebi-
         yazılımları sürekli güncellemek çok   Potansiyel güvenlik açıklarının  lir, bu nedenle sıralaması yapılır.
         önemli.                         tespiti ve analizi için sürekli bir iz-  4) Risk Değerlendirmesi: Zafi-
            Uzmanlar sistem zafiyetlerinin  leme ve değerlendirme yapılır. Bu,  yetlerin olası riskleri ve sonuçları
         genellikle 3 farklı unsurun kesiş- güvenlik açıklarının belirlenmesi  değerlendirilerek, organizasyonun
                                                                               Temmuz 2023 KobiEfor Dijital 11