Güvenlik Açığı Taramaları Nelerdir?

Güvenlik açığı tarayıcıları, verilerinize ve sistemlerinize erişmek için ağınızdaki saldırganlar tarafından yararlanılabilecek yanlış yapılandırılmış veya hatalı aygıtları ve sistemleri tanımlayan bir araçtır.

Ağınıza başarıyla girebilmek için bir saldırganın cevaplandırılması gereken iki soru vardır:

  • Ağda hangi yazılım ve aygıtlar kullanılıyor?
  • Kullanılan yazılımın ve bellenimin sürümleri nelerdir?

Halihazırda ağınıza internetten erişimini engellemek için zaten bir güvenlik duvarı bulunduğunu varsayarsak, saldırganın belirli bir güvenlik açığını tanımlaması ve ardından istismar etmesi gerekir. Bu, bir hırsızın sokakta durması ve açık görünen herhangi bir pencereyi veya zayıf görünen kilitleri olan kapıları görmesi için evleri gözetlemesine ve kontrol etmesine  ve ardından evin içine girmek için en kolay rotayı hedeflemesine benzer.

Bir Tomcat sunucusunda çalışan bir web uygulamanız olduğunu ve yükleme sırasında varsayılan Tomcat Belgeleri webapp’ının internette yayınlanmasını kaldırmayı unuttuğunuzu hayal edin. Belki de şöyle düşündünüz: Tomcat kullanım kılavuzunun ağınızın içinde ve dışında görülmesi önemli değil. Ancak, Tomcat Documentation web uygulaması, çalıştırdığınız Tomcat sürümünü de açıkça gösterir.

CVE CVE-2019-0232’de Uzaktan Kod Yürütme güvenlik açığı içeren Tomcat sürüm 9.0.17 çalıştırıyorsunuz diyelim.

Dolayısıyla, Tomcat sunucunuzun genel IP adresindeki Documentation varsayılan web uygulamasına erişmeye çalışan bir saldırgan, bilinen bir güvenlik açığından tam olarak nasıl yararlanabileceğini ve web sunucunuzda rasgele kod çalıştırmayı tam olarak bilmektedir.

Keşke hem bu tür basit yapılandırma hatalarını kontrol etmenin hem de ağınızdaki yamanmamış güvenlik açıklarını tespit etmenin basit bir yolu olsaydı.

Bu ve dahası tam olarak bir güvenlik açığı taramasının yapacağı şeydir.

Güvenlik Açığı Taraması Nedir?

En basit haliyle, Güvenlik Açığı Taramasını NMAP  ile ağınızı taramak olarak düşünebilirsiniz. Güvenlik Açığı Taraması, hedeflendiği her IP adresindeki her açık bağlantı noktasını kontrol eder ve ardından bağlantı noktası açıksa, bu açık bağlantı noktasını dinleyen yazılımı tanımlamayı denemek için çeşitli teknikleri dener. Bu teknikler, sürüm numaralarını bildiren geri gönderilen başlıkları basit bir şekilde kontrol etmekten meta-veride veya cevapların biçiminde bulunan ince ipuçlarına kadar uzanır. Tarama satıcıları, bulduğu yazılımı tanımlamaya yardımcı olmak için büyük bilgi veritabanları geliştirmiştir. Yazılım sürümü tanımlandıktan sonra Tarayıcı, bu yazılım ürününün bu kesin sürümündeki  bilinen tüm güvenlik açıklarını CVE veritabanında kontrol eder ve varsa, bu sorunun çözümü ve nasıl çözüleceğini belirten bir rapor sunar. .

Birçok kuruluş, güvenlik açığı taramalarını sistemlerinde düzenli bir sağlık kontrolü olarak kullanır ve en az ayda bir kez çalıştırır. Bu, yeni bir güvenlik açığı rapor edildikten ve CVE veritabanına eklendikten sonra tarama raporlarınızda işaretleneceği ve böylece aylık düzeltme eki döngünüzün bir parçası olarak uygun önlemleri alabileceğiniz anlamına gelir.

Dış taramalar

Çoğu kuruluş için güvenlik taraması harici bir güvenlik açığı taraması ile başlar. Bunlar genellikle abonelik temelinde bir hizmet olarak verilmektedir.  Harici bir tarama ağınıza güvenlik duvarınızın dışından yaklaşır – tıpkı bir saldırganın yaptığı gibi. İlk önce bulabildiği tüm cihazları ve ardından kullandığınız yazılımın genel yapılandırma hatalarını ve bilinen güvenlik açıklarını tanımlamak için tanımladığınız bir dizi IP adresini tarar. Tarama genellikle günün belirli bir saatinde çalışacak şekilde yapılandırılabilir – sistemler daha az kullanılırken genellikle gece seçilmiştir. Taramalar müdahaleci olmayacak şekilde tasarlanmıştır ve sistemlerinizin performansını etkilememelidir. Ancak, taramanın amacı olması gerektiği gibi davranmayan bir yazılımı tanımlamak olduğundan, ağınız üzerinde beklenmedik bir etkisi olması her zaman mümkündür. Bu nedenle, ağ yöneticileri çoğu zaman taramaları ağlarındaki en az kullanımın olduğu süre boyunca çalışacak şekilde programlamayı seçerler.

Dahili taramalar

Dahili güvenlik açığı taramaları, harici taramaların temel ortağıdır. Adından da anlaşılacağı gibi, ağınızın içinde – güvenlik duvarınızın arkasında – dahili bir tarama gerçekleşir. Bunun gerçekleşmesi için, her ağ segmentine bir tarama cihazının kurulması gerekir, böylece LAN’ınızdaki tüm cihazlarla iletişim kurabilir. Bu cihazlar genellikle bir Sanal Makine görüntüsüdür ancak veri merkezinize takılı fiziksel rafa monte cihazlar da olabilir.

Dış taramalarınızı birkaç ay boyunca yürüttükten ve belirlenen tüm sorunları çözdükten sonra, kuruluşunuzun saldırı yüzeyi daha da azalacak ve sertleşecektir. Taramalarda görülebilen bazı sunucular, artık doğru şekilde  yapılandırıldığı için artık zafiyetli görünmüyor.  Tüm ağın güvenli olduğundan emin olmak için, tüm dahili cihazlara karşı bir tarama yapmak  gereklidir.

Eğer bir saldırgan dahili ağınızda bir erişimkazanabiliyorsa – örneğin bir e-posta ekinde gönderilen kötü amaçlı yazılım yoluyla – tüm dahili sistemlerin daha fazla erişilmeyi önlemek için doğru şekilde  yapılandırılması önemlidir.

Dahili tarama, planlanan ağ bölümlemesinin kırılmadığını kontrol etmek için de faydalı bir araçtır (ve bu nedenle ağda önemli bir değişiklik yapıldığında PCI-DSS kapsamında gereklidir). Dış taramalarla ortaklaşa aylık bir dahili tarama yapmak, güvenlik duruşunuzun sağlığını korumak için harika bir yoldur.

Web uygulaması ve altyapı taramaları

Şimdiye kadar, altyapı taramalarını düşündük – bunlar güvenlik duvarlarına, yönlendiricilere, sunuculara, NAS cihazlarına ve bunun ağınızda mevcut olmasına odaklanıyordu. Bir sunucu tanımlanırsa, tarama Windows veya Linux olup olmadığını ve web sunucusu olarak Apache veya Nginx çalıştırıp çalıştırmadığını bulmaya çalışacaktır. Ancak, web sunucusunda çalışan, yazdığınız web uygulamasına ne dersiniz? Altyapı taraması genellikle işletim sistemine ve web sunucusu yazılımına odaklanır ve sunucuda çalışan web uygulamalarını yok sayar. Ya web uygulamanızda açık varsa?

Bir Web Uygulaması taraması, bir web uygulamasıyla etkileşimde bulunmak üzere tasarlanmış ve web uygulamasından çıkmayı ve temel sunucuya erişmeyi veya web uygulamasının kimlik doğrulamasını kırmayı ve verilere aynı şekilde erişmeyi deneyen özel bir güvenlik açığı taraması türüdür.

Bir Web Uygulaması taraması, verilerinizi hırsızlığa veya yetkisiz manipülasyona karşı savunmasız bırakan genel programlama hatalarını veya yapılandırma hatalarını belirlemek için web uygulamanızı test eder. Bu, SQL Injection, Cross Site Scripting ve OWASP’nin ilk 10’unu ihlal eden genel tasarım kusurları gibi açıkları içerir . Bazı Web Apps tarayıcıları ayrıca, ek tanılama bilgileri toplamak için test edilecek sunucuya bir bileşen yüklemenizi gerektirir.

Bir Web App tarayıcısı kullanırken, hem kimliği doğrulanmamış hem de kimliği doğrulanmamış taramaların yapıldığından emin olmalısınız. Kimliği doğrulanmış bir tarama, Web App tarayıcısının sağladığınız ve Web App’e giriş yaptığınız geçerli bir kullanıcı adı ve şifre kullanacağı anlamına gelir. Bu, tarayıcının oturum açmış bir kullanıcının görmeye yetkili olmadığı verilere erişemediğini – bu durumun bozuk bir erişim denetimi güvenlik açığı bulunduğunu – doğrulamasını sağlar.

Güvenlik açığı taraması yaparsam sızmayet testine ihtiyacım var mı?

İnsan kaynaklı penetrasyon testleri, zafiyet  taramalarından farklı  bir araçtır. Güvenlik açığı taramaları otomatik yazılım odaklı hizmetler olduğundan, insan kaynaklı sızma testinden daha düşük bir maliyetle gelirler, bu nedenle güvenlik açığı taramalarını gerçekleştirmek ve sızma testine girmeden önce tespit edilen sorunları çözmek için genellikle ekonomik bir anlam ifade eder. Fakat sızma testi ile insan odaklı işlemler ile daha net sonuçlar alınabilir Bu nedenle birçok regülasyon üç ayda bir güvenlik açığı taraması ve yılda en az bir kere penetrasyon testi gerektirir.

About The Author

Reply