Siber güvenliğin en kritik bileşenlerinden; Zafiyet Yönetimi ile minimum riskle güvenli çalışmak

Dijital dönüşümde siber güvenlik hayati önem taşıyor. Büyük ölçekli şirketlerden KOBİ’lere kadar her ölçekteki şirket, kurum veya kuruluşun altyapısında var olan açıklar ve zafiyetler, siber saldırganlardan önce tespit edilmeli, kapatılmalı ve giderilmeli. Yoksa şirketler, kurumlar veya kuruluşların itibar ve finansal kayıplar yaşamasına yol açabilecek ciddi güvenlik ihlallerinin meydana gelme olasılığı yükseliyor. Hatta varlıklarını sürdürememe noktasına geliyorlar.
Bilgi teknolojileri operasyonlarının güvenliğini saldırganların bakış açısıyla inceleyerek, olası güvenlik ihlallerinin önüne geçebilmeyi sağlayan en önemli çözümlerden biri olarak ‘Zafiyet Yönetimi’ öne çıkıyor. Olası saldırılar veya olumsuz olaylar nedeniyle ortaya çıkabilecek riskleri önlemeyi veya ortadan kaldırmayı amaçlayan Zafiyet Yönetimi, riski minimize ederek, bilgi güvenliği, risk yönetimi ve operasyonların güvenle sürdürülmesini sağlıyor.
Zafiyet, bir sistem veya organizasyonda bulunan, potansiyel olarak zarar verebilecek veya güvenlik açıklarına neden olabilecek zayıf noktaları ifade ediyor. Şirkette bulunan bütün bilişimle ilgili sistemler, aktif işletim sistemi kullanan cihazlar, hatta çalışanlar bile potansiyel bir açık yani zafiyet içeriyor. Zayıf noktalar, bilgisayar ağlarında, yazılımlarda, donanımlarda, iş süreçlerinde veya fiziksel ortamlarda olabiliyor. Firmaların içerisinde yer alan ağlar, sunucular (serverlar), ağ cihazları, taşınabilir cihazlar, masaüstü, dizüstü bilgisayarlar ve cihazlar, veri depolama cihazları (harici diskler, USB depolama aygıtları, ve hafıza kartları), linux işletim sistemi bulunduran cihazlar, kablosuz erişim cihazları, ADSL modemler, network ağ cihazları, ağ güvenlik kameraları, ağ yazıcıları, kameralar, tabletler, akıllı telefonlar gibi akıllı cihazların her biri başlı başına risk oluşturabiliyor.
Siber saldırılar bu tarz sistemlerde oluşan zafiyetlere odaklanıyor. Siber saldırganlar, ‘elektronik bir sistemde tespit edilen arka kapılar, saldırılara açık olan zayıflıklar ve benzeri hatalar’ olarak tanımlanan zafiyetleri ve açıkları tespit ederek sistemlere saldırabiliyor, zarar verebiliyor veyahut belirli işlemlerden sonra bu sistemleri ele geçirebiliyor, ana makinelerin belleğine ve depolama birimlerine erişebiliyor, çok değerli bilgileri çalabiliyor, şifreleyebiliyor, sistemi kilitleyebiliyor veya kullanılamaz hale getirebiliyor. Siber saldırılar sonucu, önemli donanımlar ve cihazlar devredışı kalabiliyor, bilgi hırsızlığı ve sistem zararları oluşabiliyor.
Uzmanlar, bu tarz sistemlerin tanınması ve zafiyetlerin açığa çıkarılması için tarama işlemleri gerçekleştirilerek açıklıkların giderilmesinin sağlanması gerektiğini vurguluyor. Uzmanlar, sistem açıklarının oluşmasına yol açan olan bazı sebepleri; ‘virüs bulunan yazılımlar ve donanımlar, parolaları uzun bir süre değiştirilmeyen ağ cihazları, işletim sistemleri, güncel olmayan ve sızıntı tehditlerine açık olan diğer tüm sistemler’ olarak sıralıyor. Zafiyet yönetimi sayesinde analizler yapılarak açığa çıkarılan ve sistemlerde oluşma ihtimali bulunan zafiyetler, oluşturulan aksiyon planları, iş süreçlerinde yapılacak iyileştirmelerle yönetilebilir hale geliyor ve minimize edilerek kontrol edilebiliyor.
Toplantılar ve organizasyonlar için önemli bir bilgi koruma bileşeni olarak kabul edilen Zafiyet Yönetimi ile zaafiyetlerin tespit edilmesi, değerlendirilmesi ve uygun önlemlerin alınması, saldırganların bilgi varlıklarını ve sistemlerini yok etme risklerini en aza indirmek amaçlanıyor.

Zafiyet Yönetimi’nin önemi
Uzmanlar, ağlara girişlerin %99’unun bilinen güvenlik açıklarından faydanılarak yapıldığının veya konfigürasyon hatalarından kaynaklandığının altını çiziyor. Yani sisteme veya firmaya gerçekleştirilecek her 1000 farklı saldırının 999’u bilinen ve engellenmesi kolay olan zafiyetler. Bu gibi zafiyetlerin önüne geçebilmek için öncelikle sistemi ve sistemde bulunan yazılımları sürekli güncellemek çok önemli.
Uzmanlar sistem zafiyetlerinin genellikle 3 farklı unsurun kesişmesiyle oluştuğunu belirtiyor:
• Sistem hassasiyeti veya kusuru (sistemde bulunan işletim sistemi temelli kusurlar)
• Saldırganın zafiyete veya bu kusura ulaşabilmesi
• Saldırganın zafiyeti veya zayıflığı kullanabilme kabiliyeti.

Sistem zafiyetlerinin nedenleri
Uzmanlar sistem zafiyetlerinin nedenlerini de şöyle sıralıyor:
• Yazılımlarda bulunan açıklar saldırganın öncelikle uygulamaya veya sisteme erişebilmesini sağlıyor.
• Birçok kullanıcı tarafından kullanılan, iyi bilinen ve bedava olan kodlar, uygulamalar, işletim sistemleri ve donanımlar kullanmak saldırganın bir araç veya yöntemle sistem zafiyetlerine ulaşma ihtimalini çoğaltıyor.
• Büyük ve kompleks sistemler kusurların artma olasılıklarını ve kontrolsüz erişim noktalarının sayısını ciddi oranda arttırıyor.
• Güvenilir olmayan ve kolay tahmin edilebilen kullanıcı hakları gerçekte büyük birer zafiyet.
• Daha fazla fiziksel bağlantı, özel haklar, protokoller, portlar ve servisler, saldırganın sistem zafiyetlerine erişebilme olasılıklarını ve şanslarını arttırıyor.

Zafiyet Yönetimi Süreçleri
Potansiyel güvenlik açıklarının tespiti ve analizi için sürekli bir izleme ve değerlendirme yapılır. Bu, güvenlik açıklarının belirlenmesi için otomatik araçlar, güvenlik taramaları, penetrasyon testleri ve diğer yöntemlerin korunmasını içerir. Önce kurallar ve izlenmesi gereken yollar belirlenir, bu kurallara göre uygulama ve düzenlemeler yapılır. Varlık ve ortam analizlerinin sonuçlarına göre çalışma stratejileri, planları belirlenir. Zafiyetler ölçeklendirilerek, kritik ve önemli zafiyetler giderilir. Zafiyetlerin yok edilmesi için çözümler geliştirilir. Yok edilen zafiyetler tekrardan taranır, doğrulama işlemleri gerçekleştirilir. İzleme ve koruma yöntemiyle daha sonra oluşma ihtimali olan zafiyetlerin önüne geçilir, koruma sağlanır.

Uzmanlar, Zafiyet Yönetimi süreçlerini şöyle özetliyor:
1) Zafiyeti Tanımlama: Bir sistemin veya organizasyonun zayıf noktalarını belirlemek için tarama, denetim veya güvenlik incelemesi.
2) Zafiyet Analizi: 3 aşamadan oluşuyor: Tanımlama. Ölçme. Öncelikli hale getirme. Keşfedilen zafiyetlerin nasıl sömürülebileceği, ciddiyeti, etkileri ve olası saldırı senaryoları incelenir.
3) Sınıflandırma ve Önceliklendirme: Zafiyetlerin ciddiyeti, etkisi ve olası riskleri göz önünde bulundurularak hedefleme yapılır. Bazı zaafiyetler daha büyük riskler taşıyabilir veya daha kolay sömürülebilir, bu nedenle sıralaması yapılır.
4) Risk Değerlendirmesi: Zafiyetlerin olası riskleri ve sonuçları değerlendirilerek, organizasyonun iş sürekliliği, veri gizliliği veya itibar gibi riskleri belirlenir.
5) Risk Azaltma: Yüksek güvenlik açıklarının azaltılması veya ortadan kaldırılması için; teknik düzeltmeler, değişiklikler, güvenlik politikalarının revize edilmesi veya eğitim programlarının derlenmesi gibi çeşitli önlemler almaktır.
6) Çözüm Geliştirme: Gerekli düzeltme ve yama işlemleri başlatılır. Çözüm, ilgili sistemlerin veya resimlerin güncellenmesi, değişiklikler veya başka güvenlik önlemlerini içerir.
7) Uygulama ve Test Etme
8) Tedbirlerin Planlanması
9) İyileştirme, Düzeltme ve Yama Yönetimi veya Azaltma Önlemlerinin Uygulanması: Siber güvenlik ekipleri veya sistem yönetimi tarafından tespit edilen güvenlik açıklarının kaldırılması veya risklerin azaltılması için uygun önlemler, iyileştirmeler, düzeltmeler uygulanır veya yamalanır. Bu önlemler; güvenlik kontrollerinin devreye alınması, sistemlerin görüntülenmesi, sistem veya ağ önlemlerinin güncellenmesi, yamaların yürütülmesi, güvenlik yazılımlarının güncellenmesi, düzenli denetimlerin yapılması gibi işlemler.
10) İzleme, Saptama ve Geribildirim: Uygulanan düzeltme ve sonuçların etkileri izlenir ve geribildirimleri alınır. Bu izleme, sistem güvenlik önlemlerinin sürekli kullanımını, yeni zafiyetlerin veya tehditlerin tespit edilmesini olanaklı kılar. Bu sürelerde, güvenlik kontrolleri, olay günlükleri, tehdit istihbarat ve diğer izleme taraflarında kullanılarak potansiyel tehditler veya saldırı görüntüsünün tespit edilmesi hedeflenir. İzleme, saptama ve geribildirim; sistem güvenlik durumunun düzenli izlenmesini sağlar; yeni zafiyetler, saldırılar hakkında bilgiler verir, yapılan düzeltmelerin veya yamaların başarılı şekilde güvenlik açığının kapatıldığı denetlemeyi de içerir.
11) Olay Değerlendirme: İzleme ve bulma süreci sonucunda tespit edilen olaylar ve algılamalar daha ayrıntılı incelenir. Olayların ciddiyeti, etkileri ve olası riskleri analiz edilir. Bu adım, tespit edilen yaklaşımın açıklamalarına ve yöntemlerin önemine göre müdahale stratejisinin belirlenmesine yardımcı olur.
12) Olay Yanıtı ve Müdahale: Olayların önemine ve yorum sırasına göre uygun yanıt ve müdahale planı uygulanır. Bu müdahale, etkileme sistemlerinin kurtarılması, saldırının durdurulması ve götürülmesinin sınırlandırılması için gerekli önlemleri içerir. Olay müdahale ekibi, çözüme yönelik yönlendirme ve sistemlerin normale döndürülmesini sağlar.
13) Olay Analizi ve Öğrenme: Olayların nedenleri, saldırı yöntemleri ve sonuçları ayrıntılı analiz edilir. Bu yerlerde, olayın kök nedenlerini belirlemek ve benzer süreçleri tekrarlamayı önlemek amaçlanır. Olay analizleri, güvenlik kontrollerinin değerlendirmelerini ve sürekli bölümleri için geri bildirim sağlar.
14) Önleyici Önlemler: Olay analizinden yola çıkarak, benzer sonuçların tekrarlanmasını önlemek için önleyici tedbirler alınır.
15) İyileştirme Planlama: İyileştirme planı, kaynaklar, zaman ayırma ve görevlerin maliyetiyle birlikte oluşturulur.
16) İyileştirme Uygulaması.
17) Test ve Doğrulama: Güvenlik testi, penetrasyon testi veya güvenlik değerlendirmeleri gibi yöntemleri kullanarak yapılandırmaların gerçekleştirmesini sağlar.
18) Yeniden Değerlendirme ve Kontrol: Uygulanan işlemlerin etkinliğini ve etkisini yeniden gerçekleştirme. Bu süreçte, yapılan düzeltmelerin beklenen sonuçlarına göre güvenlik önlemleri geliştirilir. İyileştirme önlemlerinin başarısından emin olunur ve eksiklikler varsa bunlar düzeltilir.
19) İletişim ve Raporlama: Yapılandırılan tablolar, güncel risk durumu ve zafiyet yönetimine ilişkin bilgiler, ilgili bölümlere düzenli olarak iletilir. Raporlar ve sunumlar, güvenlik durumu hakkında bilgilendirme yapılmasını, önlemler veya kararlar alınmasını sağlar.
20) Acil Durum Planlama: Organizasyon, beklenmedik olaylar veya acil durumlar için hazırlık yapar. Bu önlemler, acil durum planları oluşturmak, acil iletişim ve tepki protokolleri tarafından belirlenen kriz yönetimi geliştirilir ve acil durum senaryoları üzerinde çalışılır.
21) İzleme ve Tehdit İstihbaratı: Saldırılar, güncel tehditler, saldırı yöntemleri ve kötü niyetli yönelim hakkında bilgi yönlendirme. Bu bilgiler, güvenlik önlemlerinin güncellenmesi ve tehditlere karşı proaktif önlemlerin alınması için kullanılır.
22) Kriz Yönetimi: Acil durumlar veya ciddi güvenlik olayları meydana geldiğinde, kriz yönetimi süreci devreye girer. Bu aşamada, olaya hızlı bir şekilde yanıt verilir, etkiler en aza indirilmeye çalışılır, iletişim ve koordinasyonun sağlanması ve kriz sonrası gösterimi yapılır.
23) İç Denetimler: Organizasyon içinde düzenli olarak güvenlik denetimleri yapılır. Güvenlik politikaları ve önlemlerine yönelik işlemler kontrol edilir, sistem ve ağ güvenliği kontrolleri yapılır ve değerlendirilir, uygunluk raporları sağlanır.
24) Denetim ve Revizyon: Zafiyet yönetimini gerçekleştirme ve uyumluluğu düzenli denetlenir ve gözden geçirilir. Süreler, performans metrikleri ve hedefler belirlenir, denetimler yapılır, süreç boyutlarındaki indirimler tespit edilir ve bakım süreçleri revizyonları yapılır.
25) Zayıf Nokta Analizi.
26) Dış Saldırıların İzlenmesi.
27) Acil Durum Tatbikatları.
28) Sürekli İzleme, İyileştirme ve Güncelleme: İyileştirme planlarının ve güvenlik önlemlerinin işleyişi düzenli çalıştırılır ve geliştirilir. Yapılanmaların etkisi izlenir, yeni güvenlik teknolojileri ve çözümler hayata geçirilir, güvenlik önlemleri güncellenir. Sınırlamalar, yeni tehditler ve güvenlik zafiyetleri hakkında bilgi aktarılır, güvenlik politikaları ve prosedürleri güncellenir, sürekli gözden geçirilerek iyileştirilir, güvenlik açıklarının muhafazası ve tutulması için sürekli bir çaba gösterilir, çalışan güvenlik bilinci artırılır.
29) Eğitim, Farkındalık, Sürekli Öğrenme ve Araştırma: Çalışanların güvenlik bilincini maksimuma çıkarmak için düzenli eğitimler planlanır. Eğitim programları, politikalar ve kazanç kampanyalarıyla insan faktörüne yönelik zafiyetlerin azaltılması hedeflenir. Güvenlik eğitimleri ve tasarruf kampanyaları kullanılır, güvenlik kültürü güçlendirilir ve güvenlikle ilgili en son gelişmeler, en iyi uygulamalar paylaşılır. Güvenlik ekipleri yeni tehditler, savunma hakkında güncel bilgilere sahip olmak için sürekli eğitim alır ve araştırma yapar.
30) Sürekli Çalıştırma ve İyileştirme Döngüsü: Zafiyet yönetimi süreci sürekli bir döngüdür. İyileştirme, yeni tehditlerin ortaya çıkması, teknolojik değişiklikler, mimari düzen ve organizasyon düzenlemelerine göre sürekli güncellenir.

Zafiyet Yönetimi’nde öne çıkan çözümler ve teknolojiler
Yapay Zeka, Büyük Veri, Siber Güvenlik Çözümleri, Zafiyet Yönetimi, Zafiyet Yönetimi Sistemi, Zafiyet Yönetim Hizmetleri, Kurumsal Zafiyet Yönetimi, Zafiyet Analizi, Risk Analizi, Risk Taramaları, Zafiyet Taraması Çözümleri, Zafiyet Tarama, Zafiyet Tarama Yönetimi, Zafiyet Testi, Risk Testi, Varlık Analizi, Ortam Analizi, Envanter Analizi, Zafiyet Tespiti, Uygulama Güvenlik Testleri, Sızma (Penetrasyon) Testleri, Sosyal Mühendislik, Yük Testleri (DDos/Dos), Güvenlik Açığı ve Yama Yöntemi, Entegre ve Otomatize Yama Yönetimi, Uç Nokta Bilgisayarları (İstemci) Yönetimi, Olay Yönetimi, İzleme, Güvenlik Duvarı, Mobil Uygulama Testleri, Konfigürasyon Analizi, Düzenli Zafiyet Tarama ve Yönetimi, Konteyner Zafiyet Yönetimi, Tehdit İstihbaratı ve Zafiyet Yönetimi, Siber İstihbarat, Tehdit ve Zafiyet Yönetimi, Tehdit Koruması, Cihaz Güvenliği, Bilgi ve Sistem Güvenliği, Kimlik ve Erişim Yönetimi (IAM), Bulut Güvenliği, Web2 ve Web3 Uygulama Güvenliği, Mobil Güvenlik, Mobil Cihaz Yönetimi (MDM) Çözümleri, Mobil Erişim Yönetimi (Mobile Access Management-MAM), Bilgi Güvenliği ve Risk Yönetimi, Cihaz Güvenliği, Bilgi ve Sistem Güvenliği, Aktif Savunma Çözümleri, Kurumsal Bilgi Güvenliği Yönetişimi, Kurumsal Bilgi Güvenliği Yönetim Sistemleri.

Zafiyet Yönetimi nedir?
Zafiyet Yönetimi; “Bir sistem veya organizasyon içinde potansiyel güvenlik açıklarını tespit etme, analiz etme, izleme, düşünme ve yönetme sürecidir. Bu güvenlik açıkları veya zayıflıklar, bilgisayar sistemleri, ağ altyapıları, yazılımlar, uygulamalar veya veri sistemleri gibi çeşitli kirleticilerde bulunabilir” diye tanımlanıyor.
Bir başka tanıma göre; “Özellikle bilgi sistemlerinde kullanılan unsurların tamamının taranması ve olası güvenlik açıklarının belirlenmesi ve önlemlerinin alınmasını sağlayan bir hizmet.” Bir diğer tanımsa şöyle: “Tanımlama, sınıflandırma, kategorize etme ve çözümlerin düzenli, zamanlı olup tekrar edilebilecek şekillerde uygulanması.”