2019’u geri bırakırken, şu an gelecek yıl için güvenlik açığı yönetim planlarınızı düşünmek için iyi bir zaman. 5N1K, gelecek yeni yıl için dijital güvenliğinizi geliştirmeye karar verirken bu yöndeki aksiyonlarınızı yönlendirmenize yardımcı olabilir.

Ne?

Güvenlik açığı değerlendirmeleri, ortamınızdaki güvenlik sorunlarını tespit etme konusunda fayda sağlar. Potansiyel güvenlik zayıflıklarını tespit ederek elde ettiğiniz değerlendirmeler, dijital suçluların sistemlerinize sızma riskini azaltmanıza yardımcı olmaktadır.

Ancak, tüm güvenlik açığı değerlendirmeleri aynı değildir. Ağın tamamını güvenlik zayıflıkları için tarayan ağ tabanlı güvenlik açığı değerlendirmelerini kullanmak oldukça fayda sağlayacaktır. Bununla birlikte, potansiyel güvenlik sorunları için sunucuları, iş istasyonlarını, uygulamaları ve veri tabanlarını değerlendirmek için daha odaklı değerlendirmeler kullanılabilir. Ayrıca, güvenlik zafiyeti değerlendirmesi yaparken, beyaz şapkalı hackerların sistemlerinizi ve savunma hattınızı sorgulama izni alarak gerçekleştirdikleri bir sızma testinin de göz ardı edilmemesi önemli bir aksiyondur.

Güvenlik açığı yönetimi, bu tür testlerin döngüsel ve sürekli uygulamasını resmileştiren bir güvenlik programı oluşturmayı hedefler. Böyle bir program oluşturmak için her bir varlığın kritikliğini değerlendirmek, her varlığın sahibini belirlemek, tarama sıklığına karar vermek ve iyileştirme için bir zaman çizelgesi belirlemek gerekmektedir. Ağdaki varlıkları keşfetmek ve bunların envanterini çıkarmak, varlıklardaki açıkları bulmak, bulunan açıkları rapor etmek ve bu açıklara karşı alınacak aksiyonları ve kontrolleri belirlemek başlıca takip edilmesi gereken adımlardır.

Neden?

Güvenlik açığı değerlendirmelerinin iyi bir fikir olduğunu zaten biliyorsunuz, ancak birçok kuruluşun mevzuatlara veya standartlara dayalı gereksinimler nedeniyle belirli periyotlarda ve sürekli güvenlik açığı değerlendirmeleri ve sızma testleri gerçekleştirmesi gerekiyor. Örneğin, Ödeme Kartı Endüstrisi Veri Güvenliği Standardı’na (PCI DSS) tabi kuruluşların, uyumluluklarını sürdürmeleri için 6 ayda bir penetrasyon ve segmentasyon testlerini gerçekleştirmelerini gerektirir. Ayrıca, Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası (HIPAA) uyumluluk düzenlemeleri, yıllık risk analizi ve güvenlik kontrollerinin doğrulanmasını gerektirir. Benzer şekilde, Genel Veri Koruma Yönetmeliği (GDPR) ve Kişisel Verilerin Korunması Kanunu (KVKK) düzenli güvenlik testi ve değerlendirmesi gerektirir.

Yukarıda bahsedilen regülasyon ve çerçevelerden herhangi birine uymamak, kuruluşların ağır cezalar ile karşı karşıya gelmesine sebep olur. Bu, özellikle, kurumların bir veri ihlaline maruz kalmadan önce, düzenli güvenlik açığı değerlendirmeleri ve sızma testleri dahil olmak üzere uygun güvenlik önlemlerini uygulamadığı tespit edildiğinde daha fazla geçerlidir.

Ne zaman?

Yukarıda belirtilen güvenlik açığı yönetim programının aşamaları ile ilgili, standartlarınızı veya uyumluluk temelli gereksinimlerinizi belirledikten ve değerlendirmek istediğiniz tüm varlıkları keşfettikten sonra denetimleriniz için belirli bir zaman veya sıklık belirleme gücüne sahipsiniz. Kurumlar için en iyi hedef olarak “mümkün olduğunca sık” anlayışı olması istenir; ancak, yıllık testler kesinlikle asgari olarak kabul edilmelidir. Güvenlik açıklarını taramayı altı ayda bir, üç ayda bir, aylık olarak, hatta sürekli bile seçilebilir ve böylece buna göre tarama prosedürüne karar verebiliriz.

Nerede?

İyi bir güvenlik açığı yönetim programı hem iç hem de dış ağlarınızda yapılan testleri içerir. Ağ mimarisindeki ve güvenlik kontrollerindeki farklılıkların, keşfedilen güvenlik açıkları üzerinde çok farklı etkileri olabilir. Bu sebeple hem iç hem de dış saldırganlar için saldırı yüzey alanınızı anlamak önemlidir. Bunlar, güvenlik açığı değerlendirmelerinin ve penetrasyon test uzmanlarının bulmanıza yardımcı olabileceği türler. Daha da proaktif bir duruş için, kendi hata ödül (Bug Bounty) programlarınız kapsamında güvenlik araştırmacılarıyla halka açık bir şekilde ortak çalışmayı düşünmek isteyebilirsiniz.

Kim?

İç ve dış ağ tarama konseptine benzer şekilde, iyi bir güvenlik açığı yönetim programı hem kurumsal hem de dış kaynakları kullanır. Kurumunuza güvenlik personeli istihdam edebileceğiniz gibi, bazı yönetmeliklerde, belirli bir standarda bağlı üçüncü taraf grupları tarafından gerçekleştirilen sızma testi ve güvenlik açığı değerlendirmeleri de yapılmalıdır. Taraflılık ve hataları önlemeye yardımcı olduğu için değerlendirme sonuçlarınızda birden fazla bakış açısına sahip olmanın da büyük avantajı vardır. Bu nedenle, olgunlaşmış bir güvenlik açığı yönetim programı hem iç hem de dış kaynaklar ile gerçekleştirilen döngüsel ve sürekli güvenlik açığı tarama ve sızma testlerini içermelidir. Tarafsız bir üçüncü tarafça yapılan dış değerlendirmeler, tarafsız testlerin yapıldığını ve sonuçların doğru şekilde yorumlandığını doğrulayabilir.

Nasıl?

Güvenlik açıklarının ve tehditlerinin sürekli geliştiğini hatırlamalıyız. Bu nedenle, gelişen güvenlik ihtiyaçlarımızı hesaba katarak güvenlik açığı yönetim programlarımızı sürekli olarak yapılandırdığımızdan emin olmalıyız. Kuruluşların güvenlik açığı yönetim programlarını esnek, değişebilir ve gelişebilir tutabilmelerinin yollarından biri, kuruluş genelinde görünürlük sağlayan ölçeklenebilir bir çözüme yatırım yapmaktır. Güvenlik açığı ve risk yönetimi devam eden bir süreçtir ve sürekli gelişen siber güvenlik tehdidi ortamına sürekli uyum sağlamalıdır. Bu nedenle, süreç düzenli olarak gözden geçirilmeli ve personel en son tehditler ve trendlerden haberdar edilmelidir. İnsanlar, süreçler ve teknolojiler için sürekli gelişim, kurumsal güvenlik açığı ve risk yönetimi programının başarısını sağlayacaktır.

---