"İyi önlemler aldık ve iyi korunduğumuza inanıyorum." Sık sık dile getirilen bu cümle sahte bir güvenlik duygusu yaratıyor. Pek çok şirket siber güvenliğe yatırım yapmış olsa da, güvenlik esnekliğinin gerçekten tüm alanlarda vaat ettiklerini sağlayıp sağlamadığını ancak acil durumlarda öğrenebiliyorlar. BT güvenlik açığı değerlendirmeleri ve sızma testleri her zamankinden daha önemli.
Şu anki gibi çalışmalar Sophos Tehdit Raporu tüm çabalara rağmen siber suçlular için hâlâ çok fazla boşluk bulunduğunu gösteriyor. Analiz edilen tüm kötü amaçlı yazılım vakalarının neredeyse yüzde 50'si küçük ve orta ölçekli şirketleri hedef alıyor ve tüm siber saldırıların yüzde 90'ı veri veya kimlik hırsızlığını içeriyor. Siber suçlular daha sonra çalınan bu bilgileri yetkisiz uzaktan erişim, gasp veya fidye yazılımı yükleme gibi başka eylemler için kullanır. Ayrıca güvenli olmayan Nesnelerin İnterneti cihazları genellikle siber suçlular için bir geçit görevi görüyor.
BT altyapısında tespit edilemeyen güvenlik açıkları
Sorun nadiren güvenlik çözümlerinden kaynaklanır, daha ziyade BT altyapısında açık bir tanımlama yapılmadan güvence altına alınamayan, fark edilmeyen güvenlik açıklarından kaynaklanır. Bu nedenle düzenli güvenlik açığı değerlendirmeleri ve sızma testleri önemlidir. Şirketteki güvenliğin ve siber dayanıklılığın gerçek durumu hakkında yalnızca onlar güvenilir geri bildirim sağlar.
Güvenlik açığı değerlendirmeleri ve sızma testinin farklı hedefleri vardır. NIST'e göre, güvenlik açığı değerlendirmeleri "bir bilgi sisteminin güvenlik açıklarının resmi bir tanımını ve değerlendirmesini" sağlarken, sızma testi "genellikle belirli kısıtlamalar altında çalışan denetçilerin bir sistemin güvenlik özelliklerini atlatmaya veya bunların üstesinden gelmeye çalıştığı" bir metodoloji kullanır. Yalnızca her iki önlemin sonuçları, şirketlere mevcut riskler hakkında bilgi sağlar ve bu riskleri ortadan kaldırırken hangi önceliklerin belirlenmesi gerektiği konusunda sonuçlara varılmasına olanak tanır.
Her iki önlemin sıklığı şirketin BT davranışına ve yasal düzenlemelere (örn. ödeme kartı endüstrisi) bağlıdır. Teknolojik dalgalanmaların düşük olduğu firmalar (örn. kod değişiklikleri, donanım yükseltmeleri, personel değişiklikleri, topoloji değişiklikleri vb.) test etmeden yapamazlar, ancak daha düşük sıklıkta test yaparlar. Yüksek teknolojik değişim yaşayan kuruluşlar, daha sık testlerle siber dayanıklılıklarını artırıyor.
Güvenlik açığı değerlendirmelerinin ve sızma testlerinin aşamaları
🔎Sophos Reklam Alanı CTO'su John Shier'in yorumu (Resim: Sophos).
Güvenlik açığı değerlendirmeleri ve sızma testlerinin yürütülmesi, keşiften değerlendirmeye, iyileştirme ve nihai raporlamaya kadar 12 temel adımı içerir:
- Kapsamın tanımı: Test edilecek sistemler, ağlar ve uygulamalar ile belirli amaç ve hedefleri de içerecek şekilde kapsamı açıkça tanımlayın.
- Keşif: Kamuya açık bilgiler ve sosyal mühendislik teknikleri gibi pasif araçları kullanarak hedef sistemler, ağlar ve uygulamalar hakkında bilgi toplamak.
- Güvenlik açığı taraması: Bilinen güvenlik açıkları, yanlış yapılandırmalar ve güvenlik açıkları açısından hedef sistemleri kontrol etmek için otomatik araçların kullanılması. Bu hem dahili hem de harici taramaları içerebilir.
- Güvenlik açığı değerlendirmesi: Güvenlik açıklarını ciddiyet, etki ve istismar olasılığına göre belirlemek ve önceliklendirmek için güvenlik açığı taraması sonuçlarını analiz edin.
- Manuel testler: Otomatik taramaların sonuçlarını doğrulamak ve doğrulamak için manuel testler gerçekleştirin ve otomatik araçlar tarafından tespit edilmeyen ek güvenlik açıklarını belirleyin.
- Penetrasyon testi: Hedef sistemlerin, ağların ve uygulamaların güvenlik durumunu değerlendirmek için güvenlik açıklarından aktif olarak yararlanmak. Çeşitli teknikler kullanılabilir; B. ağ istismarı, web uygulamalarına saldırılar ve sosyal mühendislik.
- Kullanım sonrası: Hedef ortamda bir dayanak oluşturulduktan sonra, gerçek bir saldırganın neden olabileceği potansiyel hasarın boyutunu belirlemek için daha fazla araştırma gerçekleştirilir ve ayrıcalıklar artırılır.
- Belgeler: Keşfedilen güvenlik açıkları, kullanılan yararlanma teknikleri ve iyileştirme veya hafifletmeye yönelik öneriler de dahil olmak üzere tüm bulguları toplayın ve derleyin.
- Raporlama: Hem güvenlik görevlileri hem de yönetim için değerlendirme sonuçlarını içeren, güvenlik açıklarının özeti, teknik ayrıntıları, risk değerlendirmeleri ve iyileştirme veya hafifletme önerilerini içeren kapsamlı bir rapor hazırlayın.
- Düzeltici eylem planlaması: Değerlendirme sonuçlarına ve ayrıca kuruluşun risk toleransı ve iş önceliklerine göre öncelikleri belirleyin ve iyileştirici eylemleri planlayın.
- Yeniden değerlendirme: Güvenlik açıklarının etkili bir şekilde giderildiğini doğrulamak ve şirketin sistemleri, ağları ve uygulamalarının güvenlik duruşunun iyileştirildiğinden emin olmak için takip değerlendirmeleri yapın.
- Sürekli izleme: Yeni güvenlik açıklarını ortaya çıktıkça tespit etmek ve düzeltmek için düzenli izleme ve test süreçleri uygulayın.
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.