Zafiyet Analizi Nedir? Zafiyet Testinin Önemi!

Zafiyet Analizi

                Merhaba bugün sizlere zafiyet analizi hakkında birkaç bilgilendirme ve zafiyet analizinin gerekliliklerinden bahsedeceğim. Öncelikle neden zafiyet analizi yaptırmanız gerektiğini dilim döndüğünce anlatmaya çalışacağım.

                Zafiyet analizinin amacı sisteminizde bulunan yazılımların ve donanımların güncellenmeyen veya yanlış konfigürasyon nedeniyle dış saldırılara karşı ne kadar savunmasız kalacağının belirlenmesidir. Bilgisayarınızda zafiyetlerin oluşma nedenleri güncellenmeyen işletim sistemleri, programlar, sürücüler ve donanımlarınızın yanlış konfigürasyonundan kaynaklanacağını belirtmiştik. Bilgisayarınızda barındırdığınız önemli bilgilerin bu gibi zafiyetler sonucunda çalınması veya kullanılamaz hale getirilmesi için yapacağınız en önemli işlem öncelikle zafiyet taraması yaptırmak ve zafiyetlerinizi tespit ederek bunları kapatmaya yönelik ilerlemektir. Kısaca özetleyecek olursak zafiyet analizi veya bir diğer adıyla zafiyet taraması, mevcut zafiyetlerin ortaya çıkarılıp, tanımlanması, sisteminizde bulunan risklerin belirlenmesi ve değerlendirilmesidir. Bu zafiyetlerin düzeltilip oluşturdukları riskleri ortadan kaldırma işlemlerini de içerdiği takdirde buna zafiyet yönetimi denilir.

                Zafiyet taraması yani zafiyet analizi zafiyet yönetim sisteminin bir parçasıdır. Zafiyet analizi; ağlarda bulunan bilgisayar altyapılarındaki yada uygulamalardaki zafiyetleri bir yazılım kullanarak belirlemeyi içerirken, zafiyet yönetimi, zafiyeti bulunduran ve risklerin kabul edilmesi ve iyileştirilmesi gibi başlıkları kapsayan süreçlere verilen isimlerdir.

                Zafiyet taramasının gerekliliğini size bir örnek üzerinden vermeye çalışacağım. Adobe Photoshop programını bilmeyen çok az kişi vardır eminim. Hatta bu yazıyı okuyan bütün okuyucularımın bu yazılımı bildiğine eminim. Photoshop’la zafiyet analizinin veya zafiyet taramasının ne alakası olabilir ki dediğinizi duyar gibiyim. Photoshop CS6 ilk çıktığı zamanlarda çok büyük bir güvenlik açığı olduğu ortaya çıktı. Bu güvenlik açığı sayesinde, kullanıcıların Photoshop üzerinde çalışan üçüncü parti bir yazılımı çalıştırmaları ile birlikte aktif hale geliyordu. Üçüncü parti yazılımın kullanılmasının sonrasında saldırgan kişi veya gruplar PC veya Mac bilgisayar farketmeden saldırılarını gerçekleştirerek bilgisayar üzerinde kontrolünü ele geçirebiliyor ve istedikleri dosyaya erişebiliyor, bilgisayar üzerinde istedikleri değişiklikleri yapabiliyorlardı. Bunun üzerine Adobe Türkiye’den bir açıklama gelmişti ve firma bu sorunun çözümü için bir güncelleme yayımlayarak kullanıcılarının derhal bu güncellemeyi yüklemesini istemişlerdi. Bu sayede programdan doğacak güvenlik sorunlarını ortadan kaldırmayı amaçlamışlar ve başarmışlardı.

                Peki Photoshop kullanmıyorsunuz ancak bir diğer örneğimiz Adobe Flash ile ilgili. Adobe Flash’ın kurulu olmadığı bilgisayar neredeyse yoktur. Hatta bazı internet tarayıcılarında gömülü olarak gelmektedir. Ancak bu yazılımda son birkaç yıldır güvenlik açıkları haberleriyle sık sık gündeme geliyor. Yeni fark edilen bir flash player açığı sayesinde, yüklü bilgisayarların sistem kontrollerinin saldırganların eline geçmesi mümkün olabiliyor. Bu sayede siz zararlı yazılımlarla karşılaşmadığınız halde saldırganlar, flash player üzerinden bilgisayarınızı ele geçirebiliyordu. Neyse ki bu açıkta güncellenerek kapatıldı. Flash’ta bulunan güvenlik açıkları sebebiyle ve ağır çalışması nedeniyle Google, Youtube üzerindeki videoları daha güvenliği bulduğu HTML 5 ile oynatıyor artık. Böylece hem yazılımların açıklarından büyük ölçüde kurtulurken aynı zamanda kullanıcılarına daha iyi bir video deneyimi sunmuştur.

                Verdiğimiz örneklerde gördüğünüz gibi zararlı görülmeyen ve emin olup güvendiğimiz yazılımlar bile bizim bilmediğimiz zafiyetler bulundurabiliyor. Bu açıklar güncellemelerle genellikle giderilmesine rağmen henüz belirlenemeyen ve yeni ortaya çıkan zafiyetler ne olacak?.

                İşte burada zafiyet analizinin ne kadar gerekli olduğu ortaya çıkıyor. Kişisel bilgisayarlarınız için zafiyetlerini basit anti-virüs programlarıyla vs. koruyor olabilirsiniz ancak büyük işletmelerde ve network ağınızda bu gibi zafiyetler size, şirketinize ve önemli bilgilerinize zarar verebilir ve çalınmasına neden olabilir. Bu bilgilerin çalınmasından bahsetmişken henüz birkaç yıl öncesinde icloud’un kırılarak ünlülere ait fotoğrafların çalınmasını hatırladınız değil mi? Bu olayın Apple için ne kadar büyük bir itibar kaybı oluşturduğunu unutmamak gerekir.

Sisteminizde bulunan zafiyetler sizlere itibar, para, zaman ve güven kaybı olarak geri dönecektir ve bu firmanızın kapanmasına bile yol açabilir. Hemen bunu da tekrar başka bir örnekle anlatayım. 12 Kasın 2014 tarihinde haber sitelerine düşen HSBC Türkiye’den çalınan kredi ve banka kartı bilgilerine yönelik, banka detaylı bir açıklama göndermişti. Merak etmeyin! Bir şey yapmanıza gerek yok! Müşterilerimizin zararını biz karşılayacağız!... Basına ilk yansıyan bilgilere göre tam 2.7 milyon adet kredi kartı numarası ve banka kartı numarası, bu kartın bağlı bulunduğu hesap numarası, kartların son kullanım tarihi ve kart sahibinin ismi saldırganların eline geçmişti. Yaşanan siber saldırıyı geç fark eden bankanın sonu Haziran 2015’de Türkiye’den çekilmesiyle sonuçlandı. Müşterilerinin zararlarını karşılayacaklarını bildirmelerine rağmen oluşan güvenlik kaybı nedeniyle Türkiye’de müşteri ve itibar kaybeden HSBC’nin Türkiye macerası da böylelikle son bulmuş oldu. 2013 yılında 29,8 milyon TL net kârı olan banka, 2014 yılında 55,9 milyon TL net zarar açıklamıştı. Türkiye’de 298 şubesi olan ve Türkiye’nin en büyük 12. bankası durumundayken piyasadan bir anda çekilmesinin en önemli sebebi tabi ki öncelikle sisteminde bulunan güvenlik açığı ve bu güvenlik açığını çok geç tespit etmeleriydi. Düşünsenize 2.7 milyon kart bilgisi 1 saatte çekilecek kadar kolay değildir. Kim bilir saldırganlar ne kadar süredir bankanın sisteminde dolaşıyor ve bilgi çekiyorlardı.

Sonuç olarak size verdiğim örneklerde de anlaşılacağı üzere sisteminizde bulunan zafiyetler sizlere fazlasıyla itibar, para ve zaman kaybettirecek sonuçlarında ise belki sizleri iflasa sürükleyecek kadar önemli ve vahim sonuçlar doğurabilecektir.

İşletmelerinizin geleceği için öncelikle sisteminizde zafiyet analizi başka bir deyişle zafiyet taraması yaptırmanızı ardından zafiyet yönetimi uygulamanızı ve ileriki zamanlarda da kapsamlı bir penetrasyon testi yaptırmanızı kesinlikle ve şiddetle öneriyorum. Tabi ki güvenlik hizmetini alacağınız firma ve yazılım konusunda da dikkatle olmalısınız. Eğer bir gün böyle bir hizmet almayı düşünürseniz ve yardıma ihtiyacınız olursa benimle iletişime geçebilirsiniz. Aşağıdan yazıma yorum yapmanız aslında yeterli olacaktır. Yazımda yapmış olabileceğim hatalardan dolayı şimdiden özür dilerim. Bir sonraki yazımda görüşmek dileğiyle zafiyetsiz günler dilerim.