Güvenlik Açığı Değerlendirmesi (Vulnerability Assessment) Nedir?

BT altyapısını, uygulamalarını ve verilerini korumak, saldırganların yararlanabileceği güvenlik zayıflıklarını anlamanızı gerektirir. Bir güvenlik açığı değerlendirmesi yapmak, bu anlayışı kazanmak için çok önemlidir. Bu temel güvenlik uygulamasının daha net bir resmini elde etmek için, farklı türlerine, uygulamanın nasıl değiştiğine ve güvenlik açığı değerlendirme araçlarının uygulama güvenliğini yönetmeye yönelik genel yaklaşımınıza nasıl uyduğuna bakılması çok önemlidir.

Güvenlik açığı değerlendirmesi nedir?

Güvenlik açığı değerlendirmesi, belirli bir BT sistemindeki siber güvenlik açıklarını tanımlama, ölçme ve önceliklendirme sürecidir. Bir değerlendirmenin amacı, sistemleri tehlikeye atmak için istismar edilebilecek zayıflıkları bulmaktır. Bu tür zayıflıklara örnek olarak uygulama kodundaki hatalar, yanlış yapılandırılmış ağ cihazları, bir veritabanındaki aşırı izin verilen erişim kontrolleri veya Log4Shell ile son zamanlarda tespit edilen rastgele kod yürütme verilebilir. Güvenlik açığı değerlendirmesi yerleşik bir güvenlik alanıdır.

Toplamda, her biri kendi odak ve yöntemlerine sahip yedi tür güvenlik açığı değerlendirmesi vardır:

Uygulama analizinin iki türü vardır: statik ve dinamik.

1-Uygulama kodunun statik analizi:

Yazılımda SQL enjeksiyon saldırıları gibi bir bilgisayar korsanının yararlanabileceği belirli noktaları bulur. Dinamik analiz, uygulamanın yapılandırılma şekline bağlı olarak güvenlik açıklarının olup olmadığını belirler.

2-Ağ analizi:

Bir ağın yapılandırmaları ve ilkelerindeki yetkisiz kullanıcılara ağ erişimine izin verecek zayıflıkları arar. Bu, belirli bir IP adresi aralığı kümesi için yapılandırılmış bir ağ tarayıcısı gibi güvenlik açığı değerlendirme araçlarının yardımıyla yapılır. NMAP, iyi bilinen bir açık kaynaklı ağ tarayıcı örneğidir.

3-Ana bilgisayar analizi:

Yamalanabilen bilinen güvenlik açıklarına sahip yazılım bileşenleri olup olmadığını anlamak için işletim sistemlerine, sanal makinelere ve kapsayıcılara odaklanır. Bunlar, işletim sistemi erişim kontrollerinin yapılandırılabilir ve gereksiz kitaplıkların veya sistem hizmetlerinin kullanımını içerebilir.

4-Veritabanı analizi:

Veri sızmasını önlemek için veritabanının yapılandırma standartlarına ve en iyi güvenlik uygulamalarına (örneğin, güçlü parolalar) uyup uymadığını ve veritabanının kendisinin (Oracle gibi) bilinen güvenlik açıkları içerip içermediğini belirler.

5-Bulut altyapı analizi:

Sanal makineler, konteynerler, bulutta barındırılan veritabanları ve sunucusuz hizmetler dahil olmak üzere bulut altyapısının güvenli bir şekilde yapılandırılmasını sağlar. Bu aynı zamanda kimlik yönetimi ve erişim kontrol politikalarının yürürlükte olup olmadığını da belirler.

6-Gizli yönetim analizi:

Kullanıcı adlarının, parolaların, şifreleme anahtarlarının veya diğer gerekli gizli verilerin komut dosyalarında açığa çıkıp çıkmadığını veya kaynak kodu depolarında mevcut olup olmadığını algılar.

7-API analizi:

Modern uygulamaların uç noktalar ve cloud- tabanlı uygulamalar arasında veri aktarmak için kullandığı yöntem olan API’lerde açığa çıkan güvenlik açıklarını inceler. Açık Web Uygulama Güvenliği Projesi (OWASP), en iyi 10 API güvenlik açığını listeleyen kar amacı gütmeyen bir vakıftır.

“Savunmasızlık değerlendirmesi” ile birlikte duyabileceğiniz yaygın bir ifade “risk değerlendirmesi”dir. Güvenlik açığı değerlendirmesi, istismar edilebilecek zayıflıkları tespit ederken, risk değerlendirmesi, her bir güvenlik açığından yararlanılma olasılığını ve böyle bir istismarın meydana gelmesi durumunda iş etkisini tanımlar.