Güvenlik açığı yönetimi, artan siber güvenlik saldırıları tehdidi ve KVKK, ISO 27001, PCI DSS vb. gibi düzenlemeler nedeniyle şirketler için giderek daha önemli hale geliyor. Güvenlik açığı yönetimi, güvenlik açıklarını sürekli olarak belirlemek, değerlendirmek, sınıflandırmak, düzeltmek ve raporlama sürecidir.
Güvenlik açığı yönetimi çoğu şirket için yeni bir kavram olmasa da, Yıllık güvenlik açığı taramaları ve iyileştirme yönetim planları gibi daha önce kabul edilen uygulamaların ciddi şekilde yetersiz olduğu bir gerçektir.Çünkü yıl içerisinde geri kalan 11 ayda sisteminize yeni açıklar gelmekte ve büyüyerek devam etmektedir.Siber risk derecenizi en aza indirmek, güvenlik açıkları üzerindeki görünürlüğü artıran ve hızlı düzeltme sağlayan sürekli bir yaklaşım gerekiyor.
Güvenlik açığı yönetimi
Güvenlik Açığı Yönetimi Nedir?
Güvenlik açığı yönetimi terimi genellikle yama yönetimi ile birbirinin yerine kullanılsa da , bunlar aynı şey değildir. Bunun yerine, bir yama kullanıp kullanmama kararı verecek açıklı kapatılamıyorsa EDR ile takip, denetim mekanizması kurma gibi yönetim planlaması alanına girer.
Güvenlik açığı yönetimi, tarama ve yama uygulamadan çok daha fazlasını içerir. İlk olarak hangi güvenlik açıklarının ele alınacağı ve bunların nasıl azaltılacağı konusunda bilinçli kararlar vermek tüm birimlerin ortak çabası gerekir.
Güvenlik taramaları periyodik olarak gerçekleşmeli, otomatik araçları etkinleştirilerek sürekli olarak çalıştırılmalıdır. Artan güvenlik açıkları nedeniyle çoğu kuruluşun yaşadığı risklerini ele almak için bir önceliklendirme ve iyileştirme stratejisi uygulanmalıdır. Ayrıca, tehditlerin hızlı ve verimli bir şekilde azaltılmasını sağlamak için SecOps ve DevOps ekiplerinin tümü güvenlik açığı yönetimi çabalarında yer almalıdır.
Dört aşama
Güvenlik Açığı Yönetiminin Dört Aşaması
Tanımlama
Güvenlik açığı yönetimi programınızdaki ilk aşama, BT ekosistemleriniz genelinde var olan tüm güvenlik açıklarını belirlemek olacaktır. Tüm BT varlıklarınızı tanımlamanız ve her varlık için doğru güvenlik açığı tarayıcılarını bulunması gerekmektedir.
Ağınızdaki ve uygulamalarınızdaki güvenlik açıklarını belirlemek için kullanacağınız güvenlik açığı tarayıcısı aynı değildir. Uygulama güvenliği söz konusu olduğunda, tescilli kodunuzdaki ve açık kaynak kitaplıklarınızdaki güvenlik açıklarını tespit etmek için birden çok uygulama güvenliği testi (AST) araçlarından birini kullanmanız gerekecektir.
Teknik açıklık tarayıcılarındaki tür faklılıkları , güvenlik açığı yönetiminin önemli bir unsurudur kuruluşların BT ekosistemleri daha geniş, karmaşık ve birbirine bağlı hale geldikçe giderek daha zor hale gelen bir parçadır.
Daha sık tarama, kapatılan açıklıkları düzeltmenizin ilerleyişi görmek ve büyük resmi görmemizi sağlar.Güncellenmiş güvenlik açığı bilgilerine dayalı olarak yeni riskleri belirlemenize yardımcı olur.
Değerlendirme
Sistemlerinizdeki güvenlik açıklarını belirledikten sonraki adım, bunların oluşturduğu riskleri değerlendirmek ve bunların nasıl yönetileceğini belirlemektir. Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanları gibi güvenlik açığı yönetimi çözümünüzün sağladığı risk derecelendirmelerini anlamak önemli olsa da, diğer gerçek dünyadaki risk faktörlerini de anlamak isteyeceksiniz.
Göz önünde bulundurulması gereken bazı ek faktörler şunlardır:
-
Birisi bu güvenlik açığından ne kadar kolay istismar edebilir ve yayınlanmış bir exploit var mı?
-
Güvenlik açığı, ürünümüzün güvenliğini doğrudan etkiler mi?
-
Bu güvenlik açığı istismar edilirse iş üzerindeki etkisi ne olur?
-
Bu güvenlik açıklarından yararlanma olasılığını/sonucunu azaltacak güvenlik protokollerimiz var mı?
Tespit edilen güvenlik açıklarının kabul edilebilir olup olmadığını bilmek de önemlidir. Sızma testi gibi güvenlik açığı doğrulamasını sağlayan araç ve tekniklerle tutarsız tarama sonuçları belirleyebilir.Bu durumda kuruluşunuz için en büyük riski oluşturan güvenlik açıklarına odaklanılması gerekir.
İyileştirme
Güvenlik açıklarını belirleyip değerlendirdikten sonraki adım, bunların nasıl önceliklendirileceğini ve ele alınacağını belirlemektir.
Güvenlik açığı yönetimi çözümünüz, muhtemelen her bir güvenlik açığı için hangi düzeltme tekniğini kullanmanız gerektiğini önerecektir. Güvenlik ekibinizin ve sistem yöneticilerinin korelasyonu ile doğru stratejiyi belirlemek gerekir.
Alabileceğiniz üç genel yol vardır:
-
Düzeltme: Bir güvenlik açığı içeren koda yama uygulayarak, düzelterek veya değiştirerek istismarın tamamen önlenmesi.
-
Azaltma: Bir güvenlik açığının olasılığını veya etkisini azaltmak. Bu genellikle kuruluşların güvenlik açığını giderene kadar kullandıkları geçici bir çözümdür.
-
False Positif Kabul Edilebilir Sayma: Güvenlik açığını kabul etme ve kabul etme. Kuruluşlar bunu genellikle yalnızca güvenlik açığını gidermenin maliyeti, istismar edilmesinin sonuçlarından çok daha yüksek olduğunda tercih eder.
Düzeltme işlemini tamamladıktan sonra, başka bir tarama gerçekleştirerek güvenlik açığının tamamen çözülüp çözülmediğini kontrol edebilirsiniz.
Raporlama
Güvenlik açığı değerlendirmelerini rutin bir uygulama haline getirerek, güvenlik açığı yönetimi programınızın etkinliği, hızı ve maliyeti hakkında daha fazla bilgi edineceksiniz.
Çoğu güvenlik açığı yönetim sistemi, siber güvenlik ekibinizin her bir varlığın güvenlik durumunu daha kolay anlayabilmesi ve artan güvenlik açığı algılama veya azalan düzeltme hızı gibi eğilimleri belirlemek için zamanla izleyebilmesi için çeşitli güvenlik açığı tarayıcılarınızdan verileri dışa aktarmanıza olanak tanır.
Tutarlı raporlama, siber güvenlik ekibinizin kuruluşunuzun risk yönetimi KPI'larına ve regülatif gereksinimlere uymasına yardımcı olacaktır.
