Page 11 - Dijital KobiEfor Temmuz 2023
P. 11
getirebiliyor. Siber saldırılar sonucu,
önemli donanımlar ve cihazlar dev-
redışı kalabiliyor, bilgi hırsızlığı ve
sistem zararları oluşabiliyor.
Uzmanlar, bu tarz sistemlerin tanın-
ması ve zafiyetlerin açığa çıkarılması
için tarama işlemleri gerçekleşti-
rilerek açıklıkların giderilmesinin
sağlanması gerektiğini vurguluyor.
Uzmanlar, sistem açıklarının oluş-
masına yol açan olan bazı sebepleri;
‘virüs bulunan yazılımlar ve donanım-
lar, parolaları uzun bir süre değiştiril-
meyen ağ cihazları, işletim sistemleri,
güncel olmayan ve sızıntı tehditlerine
açık olan diğer tüm sistemler’ olarak
mesiyle oluştuğunu belirtiyor: için otomatik araçlar, güvenlik ta-
sıralıyor. Zafiyet yönetimi sayesinde
analizler yapılarak açığa çıkarılan ve • Sistem hassasiyeti veya kusu- ramaları, penetrasyon testleri ve
sistemlerde oluşma ihtimali bulunan ru (sistemde bulunan işletim sis- diğer yöntemlerin korunmasını
zafiyetler, oluşturulan aksiyon plan- temi temelli kusurlar) içerir. Önce kurallar ve izlenmesi
• Saldırganın zafiyete veya bu gereken yollar belirlenir, bu kural-
ları, iş süreçlerinde yapılacak iyileş-
kusura ulaşabilmesi lara göre uygulama ve düzenleme-
tirmelerle yönetilebilir hale geliyor ve
• Saldırganın zafiyeti veya zayıf- ler yapılır. Varlık ve ortam analiz-
minimize edilerek kontrol edilebiliyor.
Toplantılar ve organizasyonlar için lığı kullanabilme kabiliyeti. lerinin sonuçlarına göre çalışma
stratejileri, planları belirlenir. Za-
önemli bir bilgi koruma bileşeni ola-
rak kabul edilen Zafiyet Yönetimi ile Sistem zafiyetlerinin fiyetler ölçeklendirilerek, kritik ve
zaafiyetlerin tespit edilmesi, değer- nedenleri önemli zafiyetler giderilir. Zafiyet-
lendirilmesi ve uygun önlemlerin alın- Uzmanlar sistem zafiyetlerinin ne- lerin yok edilmesi için çözümler
ması, saldırganların bilgi varlıklarını denlerini de şöyle sıralıyor: geliştirilir. Yok edilen zafiyetler tek-
ve sistemlerini yok etme risklerini en • Yazılımlarda bulunan açıklar sal- rardan taranır, doğrulama işlemle-
aza indirmek amaçlanıyor. dırganın öncelikle uygulamaya veya ri gerçekleştirilir. İzleme ve koru-
sisteme erişebilmesini sağlıyor. ma yöntemiyle daha sonra oluşma
• Birçok kullanıcı tarafından kulla- ihtimali olan zafiyetlerin önüne
nılan, iyi bilinen ve bedava olan kodlar, geçilir, koruma sağlanır.
uygulamalar, işletim sistemleri ve do- Uzmanlar, Zafiyet Yönetimi sü-
nanımlar kullanmak saldırganın bir reçlerini şöyle özetliyor:
araç veya yöntemle sistem zafiyetleri- 1) Zafiyeti Tanımlama: Bir siste-
ne ulaşma ihtimalini çoğaltıyor. min veya organizasyonun zayıf nok-
• Büyük ve kompleks sistemler ku- talarını belirlemek için tarama, de-
surların artma olasılıklarını ve kont- netim veya güvenlik incelemesi.
rolsüz erişim noktalarının sayısını cid- 2) Zafiyet Analizi: 3 aşamadan olu-
Zafiyet Yönetimi’nin önemi di oranda arttırıyor. şuyor: Tanımlama. Ölçme. Öncelikli
Uzmanlar, ağlara girişlerin %99’unun • Güvenilir olmayan ve kolay tah- hale getirme. Keşfedilen zafiyetlerin
bilinen güvenlik açıklarından faydanıla- min edilebilen kullanıcı hakları ger- nasıl sömürülebileceği, ciddiyeti, et-
rak yapıldığının veya konfigürasyon çekte büyük birer zafiyet. kileri ve olası saldırı senaryoları ince-
hatalarından kaynaklandığının altını • Daha fazla fiziksel bağlantı, özel lenir.
çiziyor. Yani sisteme veya firmaya haklar, protokoller, portlar ve servis- 3) Sınıflandırma ve Önceliklen-
gerçekleştirilecek her 1000 farklı ler, saldırganın sistem zafiyetlerine dirme: Zafiyetlerin ciddiyeti, etkisi
saldırının 999’u bilinen ve engellen- erişebilme olasılıklarını ve şanslarını ve olası riskleri göz önünde bulun-
mesi kolay olan zafiyetler. Bu gibi za- arttırıyor. durularak hedefleme yapılır. Bazı
fiyetlerin önüne geçebilmek için ön- zaafiyetler daha büyük riskler taşı-
celikle sistemi ve sistemde bulunan Zafiyet Yönetimi Süreçleri yabilir veya daha kolay sömürülebi-
yazılımları sürekli güncellemek çok Potansiyel güvenlik açıklarının lir, bu nedenle sıralaması yapılır.
önemli. tespiti ve analizi için sürekli bir iz- 4) Risk Değerlendirmesi: Zafi-
Uzmanlar sistem zafiyetlerinin leme ve değerlendirme yapılır. Bu, yetlerin olası riskleri ve sonuçları
genellikle 3 farklı unsurun kesiş- güvenlik açıklarının belirlenmesi değerlendirilerek, organizasyonun
Temmuz 2023 KobiEfor Dijital 11