Cahil Cühela

Vulnerability Assessment (Zafiyet/Açıklık Tarama) Nedir?

Seo & Siber GüvenlikSiber Güvenlik

 Sistemde oluşabilecek muhtemel açıkların belirlenmesi, bu açıklara yönelik meydana gelebilecek her türlü saldırı ihtimalleri kapsamında alınması gereken tedbirler ile, zafiyet (Vulnerability) taramalarının yapılması gerekir.  Nihayetinde “zafiyet taramaları” bir sistemdeki olası açıklıkların  tespiti için gereken tedbirlerin belirlenmesine yönelik “tasarlanmış sızma testleri” diyebiliriz. Zafiyetlere yönelik temel bilgileri verdik. Şimdi ise sizlere sızma testlerine  yönelik bazı kabul görmüş ve otomatize araçlara ihtiyaç duyulan yöntemlerden bahsedelim. Bu yöntemler aşağıdaki gibidir.

 

  • Nmap
  • Qualys
  • Nessus

 

Yukarıdaki terimlere ilişkin özet açıklama yapacak olursak; Qualys

Bulut tabanlı güvenlik ve uyumluluk çözümlerinin öncü ve lider sağlayıcısıdır.

Nmap

Bilgisayar ağları tarafından geliştirilmiş bir güvenlik tarayıcısıdır. Taranan ağın haritasını çıkarabilir ve ağ makinalarında çalışan servislerin durumlarını, işletim sistemlerini, portların durumlarını gözlemleyebilir.

Nessus

GNU/Linux camiasında sıkça kullanılan, kapsamlı bir güvenlik açığı tarama yazılımıdır. Kişisel ve her tür kurumsal olmayan kullanım için ücretsizdir. Genel amacı, bilgisayar sistemlerinde ve bilgisayar ağlarında potansiyel güvenlik açıklarını tespit etmektir.

Vulnerability Assessment (Zafiyet/açıklık) amacı gereği taranan sistemin tüm hatlarıyla güvenlik görüntüsünü almaktır. Olası siber güvenlik tehditlerine karşı bizi uyaran bu tarama sonucunda verilen bilgiler, elbette her zaman ciddi bir tehdidi vermeyebilir. Tabi ki bunun ciddiye alınmaması gerektiğini düşüncesine kapılmak yanlış olacaktır. Güvenlik problemi söz konusu olduğunda, bizler daima ortaya çıkan sızma testi sonuçlarında hangilerinin sistemimiz için gerçek bir tehdit oluşturduğuna karar vermeliyiz. Yeri gelmişken değinmekte faydasının olabileceği düşüncesiyle konuyla ilgi önemli  bir kaç noktaya değinelim. Zafiyet veya açıklık (Vulnerability/Assessment) testleri denetiminde firmaların

  • HIPAA
  • PCI
  • SOX

Gibi ağ dünyasında kabul görmüş bazı kavramların karşımıza çıktığını görüyoruz. Kavramlara dair özet açıklamalar aşağıdaki gibidir. HIPAA

Bireylerin korunmuş veya korunması gereken sağlık bilgilerini mahremiyete ve güvenliğe uygun olarak geliştirilen bir takım idari, fiziksel ve tekniksel ihtiyat standartlarıdır.

PCI

Çevresel Bileşen Ara Bağlantısı, Intel tarafından geliştirilen yerel veriyolu standardıdır. Çoğu modern bilgisayarların ana kartında PCI yuvalari, ISA yuvalarinin hemen yanında bulunur; beyaz renkte ve ISA’dan biraz daha kisadir. PCI veriyolu tak-çalıştır desteklidir.

SOX

Bir şirketin finansal bilgilerindeki varyans ve yanlış bilgiler, iç kontrollerin gücü ve muhasebe bölümündeki yönetişim için testler yapar. Değişkenler ve yanlışlar test ederken, denetçiler şirket tarafından hazırlanan belgeleri inceler.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir