Güvenlik Açığı Yönetimi

İnan TAPTIK

Bilgisayar ortamında güvenlik açıklarını tespit edip çözüm bulmak,operasyonu güvence altına almanın kaçınılmaz bir parçasıdır. Ancak, bu hedefe ulaşmabilme yaklaşımları çok çeşitlilik göstermektedir .

Çok az kişi bilgisayar ortamında güvenlik açıklarını bulmanın ve iyileştirmenin operasyonları güvence altına almanın önemli bir kısmı olduğunu tartışacaktır. Ancak, bu hedefe ulaşmak için izlenen yollar çok çeşitlidr. Bazı organizasyonlar" sadece sonuç odaklı " yaklaşımı benimsemekte, mühendisler bireysel olarak güçlü kontroller üzerine odaklanıp, kurulan sistemlerin hatalarını araştırmak için manuel testler yapmaktadırlar. Diğerleri daha reaksiyonel davranmayı tercih etmekte, ortaya çıkan güvenlik deliklerini patch etmektedirler.Önsezileriniz size her ikisini de yapmanızı söyleyebilir. Operasyonel parçalardan en kritik olanı hariç haklı olurdunuz. Global çapta, hızlı bir şekilde güvenlik açıklarını tespit etme ve iyileştirme metoduna ihtiyacınız olacaktır.

Teknoloji zaten mevcut ve kurumun çoğuyla entegre edilebilir haldedir. Bu makale size temel teknolojinin nasıl çalıştığı, nasıl uygulanacağı, ve hangi operasyonel meselelerin üzerine eğilinmesi gerektiğini gösterecektir. Daha fazla detaya girmeden önce bazı temel terminolojiler şöyledir:

Tarayıcı - BT varlıkları ve güvenlik açıklarının otomatik bulunmasını sağlayan bir cihazdır

Hedef - Araştırılan ve güvenlik açıkları aranan somut BT varlığıdır

Güvenlik Açığı - Organizasyonun güvenlik duruşunu azaltabilecek bir konfigürasyon parametresi veya yazılım versiyonudur

Güvenlik Açığı Yönetimi Modeli

BT Altyapı Kütüphanesi çerçevesinin güvenlik açığı yönetimi meselesine yönelik olacağı sanılabilir.Ama öyle değil. Güvenlik açığı servis yönetimi fonksiyonundansa bir güvenlik fonksiyonudur. Güvenlik açıklarının tabiki BT servisleri üzerinde ciddi etkisi vardır.Ancak, güvenlik açığı yönetiminin servis yönetimine girdi sağlaması daha muhtemeldirki.
Güvenlik açığı yönetimi'nin temel süreç bileşenleri şunlardır:

1. Altyapıdaki cihazlar ve hizmetlerin bulunması (çoğu zaman bir network üzerinden)

2. Açıkların tespiti ve bulgulara göre maruz kalınan riskler için öncelik belirlenmesi

3. Güvenlik açıklarının iyileştirilmesi

4. Organizasyonun güvenlik duruşunun yeniden değerlendirilmesi ve tehdit modellerinin altında yatan sebepler

Bu süreç döngüseldir. Her adımdaki aktiviteler aşamalıdır ve her adım bir sonrakine veri olmaktadır. Son adım, yeniden değerlendirme hem organizasyonel süreç geliştirme, hem de güvenlik açığı yönetim süreci için kritik önemdedir. Örneğin, belli bir güvenlik açığının iyileştirilmesi için organizasyonun olayları ele alış şekline önemli değişiklikler yapılması gerektiği keşfedilebilir. İyileştirme adımının muayenesi sonucu varolan bazı tip güvenlik açıklarının işletme teknolojisi mimarisinin temel karakteristiğinden dolayı daha hızlı iyileştirilmesi gerekebilmektedir. Altında yatan işletme modeline benzersiz destek vermesinden dolayı mimariyi değiştirmek mümkün olmayabilir.
Efektif güvenlik açığı yönetimini korumak için döngüsel süreç çok gereklidir.Çünkü patch etmekten çok daha fazlasını gerektirmektedir

Şekil 2

Süreç
Yukarıda bahsedilen güvenlik açığı yönetimi sürecinin dört adımı organizasyonunuzun büyüklüğü ve karmaşıklığına göre bir çok grup ve detaylı koordinasyon içerebilir. İlk olarak BT servis destek fonksiyonlarından bahsedelim. Şekil 2 BTVK servis destek fonksiyonlarının güvenlik açığı yönetimiyle nasıl bütünleştiğini göstermektedir.

Keşif
İlk adım BT ortamına bağlı ve bu ortamda çalışan tüm cihazları keşfetmek olmalıdır . Bu makale için tüm bu cihazların aynı yerdeki bir IP ağına bağlı olduğunu varsayacağız . Her cihaz otomatik olarak bulunmakta ve bir envanterde saklanmaktadır . Bazı durumlarda, kendi varlık veritabanınızı ve eğer varsa konfigürasyon yönetimi veritabanınızı karşılaştırmak veya güncellemek isteyebilirsiniz.Keşfin detayları ürün kapasitesine ve keşfedilen platforma göre değişmektedir. Sadece makina çeşidi, bilgisayar adı, IP adresi, işletim sistemi ve kurulan ana yazılımı elde edebilirsiniz. Başka durumlarda, tespit edilen uygulamaların ve çalışan servislerin detaylı bir listesi elde edilebilir.

Teşhis ve Öncelik Tespiti
Bu, tarama fonksiyonunun kolay kısmıdır. Yazılım versiyonları hakkında bilgi toplarken, konfigürasyonları analiz ederken, servisleri tespit ederken, bir güvenlik açığına başvrulmaktadır. Bilinen açıklar tespit edilir ve genellikle kategorize edilmiş bir raporda sunulur.Birçok ürün birkaç metodolojiden birini kullanarak size güvenlik açığının derecesini söylemeye çalışacaktır. Ürünler risk derecesini belirlerken varlığın önem derecesini ve değerini, birer faktör olarak almaktadır.Bazıları bir adım daha ileri giderek sizin organizasyonunuzda güvenlik açığının bağlamını dikkate almaya çalışmaktadır. Bu da network'ünüzdeki poizsyonu ve cihazın çeşitli saldırı vektörleri tarafından erişilebilirliğinin göz önüne alındığı anlamına gelmektedir.Bütün bu bilgiler sizin önemli tek bir şeyi yapmanız içindir: İlk önce hangi açıkları iyileştireceğinize karar vermeniz için.

İyileştirme
Bu kritik adım güvenlik organizasyonunun servis destek ekibiyle en çok yüzyüze kaldığı durumdur. Genellikle, süreç bir çeşit destek ekibince erişilen bir çeşit etiketlendirme sistemiyle yönetilmektedir. Tarayıcı belirttiğiniz belli bir kritere denk gelen bir açık bulduğunda, hedef olan sistemin sahibi için sistem otomatik bir etiket yaratacaktır. Alternatif olarak, açık yöneticisi açıklar listesini inceleyerek bir çeşit " etiket yarat " düğmesine manuel olarak etiket oluşturabilir.İyileştirme bir kez tamamlandıktan sonra, tipik olarak, görevi tamamlayan yönetici etiketi kapatacaktır. Bu yapıldıktan sonra, manuel tarama manuel veya otomatik olarak uygulanabilir. Eğer iyileştirme başarılı olduysa, etiket kapalı olarak bırakılmaktadır. Başarısızsa, ya etiket yeniden açılır, ya da yeni bir tane yaratılır.

Yeniden Değerlendirme
Bu adım güvenlik yöneticisinin organizasyon ve çeşitli fonksiyonel alanlar hakkında özet raporları incelediği bölümdür. Bu raporlar açıkların ne kadar efektif olarak iyileştirilebildiğinin trendinin yanısıra genel güvenlik duruşunu gösterebilmektedir.
Bu, operasyonel problemler ve sistematik konfigurasyon hatalarını tespit etmek için benzersiz bir fırsat sunmaktadır. Örneğin aynı güvenlik açığı her yeni online sistemde baş gösteriyorsa, belki de kurulan ana sunucu imajıyla ilgili bir sorun var demektir. Veya patchler üretime geçmeden önce uygulanmamalıdır.
Ortaya çıkarılabilecek diğer problemler değişim yönetimi ile ilgili olanlardır. Bir sisteme bir değişilik uygulandığı zaman,bazen değişimin çalışması için konfigürasyon parametreleri de değiştirilmektedir. Bu, belli bir uygulmanın implementasyon prosedürünün altında yatan bir noksanı ortaya koyabilmektedir. Bu durumda, güvenlik yöneticisi uygulama sahibiyle, uygulamanın veya prosedürün daha güvenli yönetilmesi için nasıl adapte edileceği üzerinde beraber çalışmalıdır.
Yeniden değerlendirmenin bir son faydası daha,diğer güvenlik sistemlerinin güvenlik durumunun kullanılmasıdır. Güvenlik olayı yöneticileri ve faydalanan korelasyon motorları bu bilgiyi gerçek atak tehdidini daha iyi analiz etmek için kullanabilmektedir. Eğer bir yazılım açığından faydalan solucan yayılımı tespit edilirse, patch edilmedikleri için gerçekten etkilenen sistem sayısı ve tipi daha net tanımlanabilmektedir. Sonuç olarak, yanıt derecesi olay yöneticisi tarafından düzgün olarak belirlenebilecektir.
Güvenlik açığı tarayıcılarının son bir yan faydası uyum izlemesine yardımcı olmasıdır. Tarayıcı bir sistemde kurulu yazılımları incelediğine göre kurulu yetkisiz uygulamalar da tespit edilebilir. Uyum yönetimi ekibi, bu bilgiyi sistemleri ayrı ayrı uyuma sokmak için kullanabilir.

T eknik meseleler
Güvenlik açığı yönetimi implementasyonu sırasında çözülmesi gereken bazı teknik meseleler vardır. Tarayıcı bir network üzerinden çalıştığı için çoğu network ile ilgilidir. Ancak değinilmesi gereken bazı host meseleleri de vardır.

Hostlar
Bir host'u güvenlik açığı için taramanın iki yolu vardır : N e t w o r k parmakizi kontrolü ve tasdikli tarama . Parmakizi kontrolü yazılımın versiyonuyla ilgili belli bilgileri açık eden tehlikeye açık servislerin bulunarak açıkların tespitini içermektedir . Bazı durumlarda bu, birkaç sık görülen şifreleri ve SNMP iletişim metni denemeyi içerebilmektedir. Bu genellikle zararsız bir aktivitedir. Ancak nadiren bazen host problemleri yaratabilir,host üzerindeki çok sayıda TCP bağlantısını yarı açarak bağlantı çizelgesinin dolmasına sebep olabilir.

Birkaç kez yanlış girilen bir şifre,kritik bir hesabın kitlenmesine neden olabilir .

Agresif tarama kullanımı koduna izinsiz kullanarak sistemlerin veya servislerin çökmesine sebep olabilir.

Bu meseleler en iyi uygulamalara sadık kalınarak kolayca çözümlenebilir. Örneğini belli " servis " hesapları çoklu başarısız giriş sınırlandırmasına tabi olmamalıdır. Ayrıca çoğu zaman sadece aşırı yüklü değilse de çok yoğun sunucular bağlantı çizelgesi taşmasına açıktırlar .Agresif taramalara gelince, genellikle üretim ortamında kaçınılmalıdırlar. Faydalıdırlar ama yeni bir sunucunun veya masaüstü imajının esnekliğini test ederken.Kimlik doğrulaması taramaları yapılırken, host genellikle çok etkilenmemektedir. Windows bilgisayarları için kayıt dosyası salt-okunur modda incelenmektedir. Bu amaçla yaratılan kimlik kartları bu şekilde sınırlanmalıdır.
Varolan kimlik doğrulama ve host'a uzaktan erişim mekanizmalarını kullanmaya bir alternatif olarak, bazı satıcılar aracı-bazlı yaklaşım sunmaktadırlar. Bu hedefe platformlara bir aracı kurulmasını gerektirmektedir. Bir atak vektörüne dönüşebilecek iyi bilinen bir servisin hedefte çalışıyor olmaması açısından daha güvenli kabul edilebilir. Öte yandan, ilave bir yazılım parçası işe karışmakta, operasyonel ve uyumsal problemler çıkma ihtimali doğmaktadır. Aracı yaklaşımıyla ilgili bir diğer problem ise aracıların her platform için mevcut olmayabileceği ve bilinmeyen hostların eski moda port taraması ve ping sweep ile tespit edilmesi gerekebileceğidir.

N e t w o r k
Tarama bir network üzerinden yapıldığına göre, hedef ve tarayıcı arasındaki her cihaz, taramadan etkilenme veya taramayı etkileme potansiyeline sahiptir. Bu cihazların her birinin lokasyonu ve doğası tarayıcıyı satın almadan ve yaymadan önce dikkate alınmalıdır . Genel olarak tarayıcı tarafından yaratılan network trafiği, hafiftir. Taranan network'ün binlerce host'u olmadığı ve bağlantı sadece 256 KB olduğu sürece etki oldukça düşüktür. Yine de network mühendisi ve güvenlik açığı yöneticisi birlikte çalışarak tarayıcıya tanımlanacak uygun bant genişliği sınırlama özelliklerini belirlemelidir.Ayrıca, network cihazlarının tarama harici bırakılmaması gereken bazı yönetim adresleri de vardır. Bunlar da diğerleri gibi network üzerinde saldırıya maruz kalabilecek hostlardır.

Güvenlik Duvarları : Bu taramayı etkileyebilecek en belirgih araçtır. Tarayıcılar maliyetli olduğu için ve çoğu kurumsal netowrk'ün binlerce güvenlik duvarlı segmenti olduğu için her network segmenti için bir tane almak istemeyeceksinizdir. Güvenlik duvarlarıyla ilgili bazı sorunlar şunlardır :
Servis keşifleri için port taramalarını bloke etmek hedefe vekaleten bağlantıların kusurlu tarama sonucu vermesiVarolandan fazla host'un aktif olduğunu gösteren QoS özellikleri; çoğu zaman H.323 protokollerinde görülen bir durumdur

Yönelticiler : Bu cihazlar, eğer çok yüklü değillerse tarayıcının yarattığı hafif trafiği kolaylıkla idare edebilecek durumdadır. Bazı durumlarda, ACL'ler (Erişim Kontrol Listesi) taramayı etkileyerek sonuçları çarpıtabilir.

I D S / I P S (İhlal Tespit Sistemi/ Bilgi İşleme Sistemi) : Eğer tarayıcının yaratacağı trafiği dikkate almamak üzere düzgün bir şekilde ayarlanmamışsa bir network IDS'i çok yüksek ihtimalle alarm verecektir. Normal olarak tarayıcı IP adresini ilişkili IP adresiyle birlikte konfigüre etmek tercih edilmelidir. İyi bir uygulama normalde taradığı IP alanının dışında bir alanı tarayan yanlış bir tarayıcı tespit edildiğinde alarm vermesi olacaktır. Bu tarayıcının operatör tarafından yetkisiz olarak kullanıldığına veya tarayıcı adresinin bir saldırıyla yanıltıldığı anlamına gelebilir.

Anahtarlar : Anahtarın yönetim adresi taramanın parçası olmadığı takdirde katman 2 veya 3 anahtarı genellikle taramadan etkilenmemektedir. O durumda, herhangi bir host'u tararken alacağınızla aynı önlemleri almalısınız. 802.1 x gibi diğer network erişim;kabul kontrol parçaları konfigüre edilmelidir ki tarayıcının bağlı olduğu anahtar port için geçerli olmasın. Güvenlik açığı tarayıcılarının ileri derece implementasyonund, NAC yazılım ve donanımıyla entegrasyon yapılabilir. Ancak bu, bu makalenin kapsamı dışındadır .

Dizin Servisleri
Bir tarayıcıdan maksimum verim elde edebilmek için nitelikler bir aracı vasıtasıyla sağlanır. Bu da tarayıcıya arayüzde başka türlü keşfedilemeyecek açıkları tespit etme fırsatı verir. Genellikle, tarayıcılar hedef hostlardaki kayıtlara, dosyalara ve dizinlere sınırlı, salt-okunur erişim hakkı veren bir servis hesabı gerektirir. Bu hesaplar sık sık şifre değiştirmediğine göre şifreleri çok kuvvetli olmalıdır (12 karakterden uzuni küçük ve büyük harflerin ve özel karakterlerin karışımı olmalıdır). Değiştirme dikkatlice kontrol edilmeli, değişim sırasında tarama hizmetleri kesintiye uğramamalıdır.
Eğer birden çok iş ünitesi kendi ayrı servis hesaplarına erişim sağlayacaksa, o zaman servis hesap şifreleri çok kuvvetli bir şekilde sınırlandırılmalı ve birbirlerinin kimlik alanlarını etkilemeleri engellenmelidir.

Yayılım İpuçları
Açık Yönetiminin başarılı olarak yayılmasının mantrası Planlama! Planlama! Planlamadır! Güvenliğin bu önemli alanına dalmadan önce aşağıdaki noktaları göz önüne almalısınız.

-İyileştirme işleminin diğer gruplarla nasıl etkileşime gireceğine karar verin. Alternatif olarak sınırlı yayılım, küçükadımlarla-araştırma yaklaşımı uygulayın. Bu size yayılımı geniş tabanlı yapmadan önce süreç problemlerini tespit etme şansı verecektir.

-Operasyon personelinin ürün değerlendirmesi öncesi gerekleri yerine getirmek için geniş fırsatı olduğundan emin olun.

- Çözümü iyileştirmeye tabi tutulanlara iletin ve erken katılımlarını sağlayın.

- Mevcut güvenlik politkasının çözüm implementasyonu şartlarını barındırıp barındıramayacağını belirleyin.

-Mevcut olay/etiketleme yönetimi sistemiyle uyumluluğunu gözden geçirin. Güvenlik açığı yönetimi çözümünün değerinin büyük bir kısmı mevcut sistem üzerinden iyileştirme çalışması yapılmasından kaynaklanabilir. Eğer böyle bir sistem yoksa, güvenlik açığı yönetimi ürünü içinde kurulu bir tanesini kullanmanın pratik olup olmayacağını belirleyin.

-Patch yönetimi ile entegrasyon ilginç olabilir ama umulan değeri sunmayabilir. Çoğu patch yönetimi aracı patch'e ihtiyacı olan binlerce ürün için yeterli kapasiteye sahip değildir. Birçok durumda, patch yöneticilerinin destekli patchler için, içinde kurulu patch kontrolleri zaten vardır.

-Taranması gereken kritik varlıkları daha baştan belirleyerek ilk yayılımın değerini maksimize edin. Direktör sunucular, internet yüzlü sunucular, ve diğer kritik barındırcılar mükemmel hedef oluştururlar.

- Unuttuğunuz bilgi varlığı yönetimi politikasını gözden geçirin ve varlıklara bir değer ve önem derecesi atfedebileceğinizden emin olun. Güvenlik açığı yönetimi araçlarının büyük faydalarından biri de güvenlik açıklarının şiddetini raporlarken bu değerleri dikkate alabilmeleridir.

-Süreci güvenlik açığı yönetimi operasyonunda ve iyileşitirme aktivitelerinde yer alan tüm ekiplerle tanımlayın. Tanımın sonucu tüm tarafların üzerinde mutabık kaldığı çapraz-fonksiyonlu bir akış şeması olmalıdır.

Sonuç
Güvenlik açığı yönetimi sürecinin sürekli sürdürülebilir olması çok önemlidir.Bu sürecinin kesintiye uğraması telafi edilemez veri kayıplarıyla karşı karşıya kalmanız gerçegini unutturmamalıdır.Bu bakımdand a bu sürecin dışarıdan bağımsız günlük güvenlik denetimi sağlayan bilişim güvenliği konusunda uzman büyük ölçekli ve uluslararsı kimliğe sahip firmalar tarafından yönetilmesi bir gereklilik olarak ortaya çıkmaktadır.