Sistemde oluşabilecek muhtemel açıkların belirlenmesi, bu açıklara yönelik meydana gelebilecek her türlü saldırı ihtimalleri kapsamında alınması gereken tedbirler ile, zafiyet (Vulnerability) taramalarının yapılması gerekir. Nihayetinde “zafiyet taramaları” bir sistemdeki olası açıklıkların tespiti için gereken tedbirlerin belirlenmesine yönelik “tasarlanmış sızma testleri” diyebiliriz. Zafiyetlere yönelik temel bilgileri verdik. Şimdi ise sizlere sızma testlerine yönelik bazı kabul görmüş ve otomatize araçlara ihtiyaç duyulan yöntemlerden bahsedelim. Bu yöntemler aşağıdaki gibidir.
- Nmap
- Qualys
- Nessus
Yukarıdaki terimlere ilişkin özet açıklama yapacak olursak; Qualys
Bulut tabanlı güvenlik ve uyumluluk çözümlerinin öncü ve lider sağlayıcısıdır.
Nmap
Bilgisayar ağları tarafından geliştirilmiş bir güvenlik tarayıcısıdır. Taranan ağın haritasını çıkarabilir ve ağ makinalarında çalışan servislerin durumlarını, işletim sistemlerini, portların durumlarını gözlemleyebilir.
Nessus
GNU/Linux camiasında sıkça kullanılan, kapsamlı bir güvenlik açığı tarama yazılımıdır. Kişisel ve her tür kurumsal olmayan kullanım için ücretsizdir. Genel amacı, bilgisayar sistemlerinde ve bilgisayar ağlarında potansiyel güvenlik açıklarını tespit etmektir.
Vulnerability Assessment (Zafiyet/açıklık) amacı gereği taranan sistemin tüm hatlarıyla güvenlik görüntüsünü almaktır. Olası siber güvenlik tehditlerine karşı bizi uyaran bu tarama sonucunda verilen bilgiler, elbette her zaman ciddi bir tehdidi vermeyebilir. Tabi ki bunun ciddiye alınmaması gerektiğini düşüncesine kapılmak yanlış olacaktır. Güvenlik problemi söz konusu olduğunda, bizler daima ortaya çıkan sızma testi sonuçlarında hangilerinin sistemimiz için gerçek bir tehdit oluşturduğuna karar vermeliyiz. Yeri gelmişken değinmekte faydasının olabileceği düşüncesiyle konuyla ilgi önemli bir kaç noktaya değinelim. Zafiyet veya açıklık (Vulnerability/Assessment) testleri denetiminde firmaların
- HIPAA
- PCI
- SOX
Gibi ağ dünyasında kabul görmüş bazı kavramların karşımıza çıktığını görüyoruz. Kavramlara dair özet açıklamalar aşağıdaki gibidir. HIPAA
Bireylerin korunmuş veya korunması gereken sağlık bilgilerini mahremiyete ve güvenliğe uygun olarak geliştirilen bir takım idari, fiziksel ve tekniksel ihtiyat standartlarıdır.
PCI
Çevresel Bileşen Ara Bağlantısı, Intel tarafından geliştirilen yerel veriyolu standardıdır. Çoğu modern bilgisayarların ana kartında PCI yuvalari, ISA yuvalarinin hemen yanında bulunur; beyaz renkte ve ISA’dan biraz daha kisadir. PCI veriyolu tak-çalıştır desteklidir.
SOX
Bir şirketin finansal bilgilerindeki varyans ve yanlış bilgiler, iç kontrollerin gücü ve muhasebe bölümündeki yönetişim için testler yapar. Değişkenler ve yanlışlar test ederken, denetçiler şirket tarafından hazırlanan belgeleri inceler.