Kurumsal Ortamlarda Zafiyet Yönetim Sistemi İçin Uygulama Seçimi

0
242
views
Kurumsal ortamlarda zafiyetlerin ortaya çıkarılması ve analizi, risklerin belirlenmesi ve değerlendirilmesi, alınan aksiyonların takibi ve raporlanması gibi konular oldukça karmaşık bir hal alabilmektedir. Bu yazıda zafiyet yönetimi için kullanılabilecek uygulamaların seçimi sırasında sorgulanabilecek konular listelenmiştir.

Soru listesi farklı başlıklar altında sıralanacaktır. Zafiyet Yönetimi hakkında detaylar için kaynaklardaki Çağatay Işıkçı’nın yazısı incelenebilir.

 

Güncelleştirme

  • Güncellemeler zamanlanabilmekte midir?
  • Güncellemeler için internetteki hangi sistemlere (URL/IP) ve servislere (HTTPS gibi) bağlanmak gereklidir? Bu bağlantı sırasında proxy (kimlik doğrulamalı/kimlik doğrulamasız) kullanılması desteklenmekte midir?
  • Güncellemeler ne sıklıkla alınabilmektedir? Bu periyot ayarlanabilmekte midir, standart mıdır?

 

Kurulum

  • Kullanım seçenekleri nelerdir? Cloud, on-promise… gibi.
  • Bulut çözümünde istenildiği zaman tarama yapılabilmekte midir? Altyapı sağlayıcıdan (AWS gibi) izin alma gibi bir prosedür var mıdır?
  • Kullanılacak tüm sistemler kurum içinde kullanılabiliyor mu? Kurum dışındaki bir sisteme bağımlılıklar nelerdir? Örneğin, politika güncelleştirmeleri, belli özellikteki raporları görmek,…
  • Kurulum gereksinimleri nelerdir? Örnek; işletim sistemi kurulu bir sanal makine (OVA, OVF gibi), kendi sanal sunucumuzu (ISO) yükleyebileceğimiz/kurabileceğimiz ortam, kendimize ait fiziksel bir donanım,…
  • Kurum içinde kullanılacak zafiyet yönetimi sistemleri hangi işletim sistem(ler)inde koşabilmektedir? Örnek; Ubuntu Server 16+ x64, Windows Server 2008 R2 x64,… Kurulum için tavsiye edilen işletim sistemi hangisidir?
  • Arayüze bağlantı için standart web tarayıcısı (Internet Explorer, Firefox,…) yeterli midir? Masaüstü uygulaması kurulması gerekir mi?
  • Arayüze bağlantı için web tarayıcısı kullanılıyorsa, hangi teknolojilere ihtiyaç vardır? Örnek, Java, Silverlight, Flash,…

 

Lisanslama

  • Lisanslama metodu nasıldır? Taranacak IP, alınacak scanner sayısı, kurulacak ajan sayısı, mobil cihaz tarama, SCADA sistemi tarama…
  • Anlık/yıllık olarak taranacak IP kısıtı var mıdır?
  • Tarama yapılacak organizasyon (iştirak, alan adı, şube,…) sayısına göre lisanslama değişmekte midir?

 

Tarayıcılar (Scanners)

  • Taramalar ajanlı mı yapılmaktadır, ajansız mı, hibrid mi?
  • Ajanlı çözümlerde uygulama nasıl çalışmaktadır? Hangi kullanıcı yetkisi ile çalışır veya kurulur, servis tabanlı mıdır,…
  • Ajansız tarayıcılarda kaç adet tarayıcıya (scanner) kadar destek vardır?
  • Nasıl bir mimari vardır? Örneğin, tarayıcılar ve merkez arasında client-server mimarisi mi vardır?
  • Tarayıcılar arasında veya merkez arasında hangi portlardan hangi yönlü bir erişim ihtiyacı vardır? Bu erişim hangi protokol üzerinden gitmektedir? Kullanılıyorsa hangi kriptografik yöntem kullanılmaktadır.

 

Varlık Yönetimi

  • Manuel olarak envanter gruplaması yapılabilmekte midir? Örneğin; ATM veritabanı sunucuları, çağrı merkezindeki istemciler, PCI kapsamındaki uygulama ve veritabanları, ofislerdeki DHCP sunucuları… gibi sistem gruplamaları yapılabilir mi?
  • Otomatik olarak envanter gruplaması yapılabilmekte midir? Netbios adı PROD_ ile başlayanlar PROD olarak grupla, IP adresinin son oktedi 220-250 ise yazıcı olarak grupla, 192.168.0.0/16 olanları DMZ olarak sınıflandır, 1433 portu açık olanları veritabanı olarak gruplandır, DHCP’den veya sanallaştırma ortamından gelen bilgilere göre sınıflandır…
  • Varlık sınıflandırma araçları ile entegre midir? Örnek; HP UCMDB,…
  • Varlıklar dışarıya aktarılabiliyor mu? Hangi formatta (CSV, HTML,…) dışarıya aktarılabilmektedir?

 

Keşif

  • IP/port keşfi için standartlaşmış ürünler (nmap, nc,…) mi kullanılmaktadır, kendine özel bir yöntem mi kullanılmaktadır?
  • Zafiyet taramaları için harici araçlardan (nmap vs) sonuçlar içeriye aktarılabiliyor mu?
  • Sürekli ağ keşfi yapılabilmekte midir?
  • Ayağa kalkan yeni makineler veya yeni servisler otomatik olarak algılanabilmekte ve taramalara eklenebilmekte midir?
  • Periyodik taramalar sırasında erişim sağlanamayan sistemler listelenebilmekte midir?
  • Zafiyet yönetiminden sorumlu ekiplere bu bilgisayarın taramalardan çıkarılması veya bu sistemleri yeniden taranması için bir imkan sunulmakta mıdır?
  • Pasif olarak zafiyet keşfi gerçekleştirilebilmekte midir? Yeni çıkan bir zafiyet tüm ağ taranmadan hangi varlıklarda olduğu listelenebilir mi?
  • Birden fazla IP adresi olan sistemler otomatik olarak algılanabilmekte midir?

 

Eklentiler

  • Tarama haricinde istismar işlemi de gerçekleştirme yeteneği mevcut mudur?
  • Belirli eklentilere göre zafiyet tespiti yapılabilmekte midir?
  • Hangi sistemler için imzalar mevcuttur? Windows (XP/…/10),… Windows Server 2000/…/2016, Oracle 9/…/12, Cisco, Ubuntu Server, Red-Hat, Solaris…
  • Hangi uygulamalar için imzalar mevcuttur? Apache, IIS, Oracle Glassfish, WordPress, Joomla, MSSQL, Mysql, Java, IE, Chrome, Acrobat Reader, Juniper Access Point, Hyper V, ESXi, Vmware Workstation, Cisco Switch, Juniper FW,…
  • Web uygulamaları (XSS, Sql enjeksiyonu vb.) için imzalar mevcut mudur?
  • Web uygulamalarına ait temel imzaları içeren eklentiler var mıdır? Örnek; OWASP Top 10 2017,…
  • VOIP ortamı için özel taramalar yapılabilmekte midir?
  • Mobil uygulamalar için özel taramalar yapılabilmekte midir?
  • Mobil cihazlar için özel taramalar yapılabilmekte midir? Bu taramalar nasıl (EMM, ActiveSync yardımı ile vs) gerçekleştirilmektedir? Hangi EMM teknolojileri (AirWatch, MobileIron, Apple Profile Manager, Good,…) ve işletim sistemleri için kontroller gerçekleştirilebilir?
  • Container ortamlar (örneğin Docker gibi) için özel taramalar yapılabilmekte midir?
  • IOT cihazlar için özel taramalar yapılabilmekte midir?
  • ERP çözümleri için özel taramalar yapılabilmekte midir?
  • Çevrimdışı sanal sistemler (VMDK dosyaları gibi) için taramalar yapılabilmekte midir?
  • Sertifikaların güncellik kontrolleri gerçekleştirilmekte midir? Belirtilen bir süreden daha kısa süre sonra sonlanacak (expire) olan sertifikalar için tarama gerçekleştirilebilir mi?
  • Antivirüslerin güncellik kontrolleri gerçekleştirilmekte midir?

 

Entegrasyon

  • Zafiyeti doğrulamak için diğer zafiyet taraması uygulamaları (Netsparker, Nessus, Nexpose, Qualys,…) ile entegre edilebilir mi? Entegrasyon desteği varsa hangi ürünler ile entegrasyon gerçekleştirilebilir? Hangi yöntemler/servisler (syslog gibi) üzerinden entegrasyon gerçekleştirilebilir?
  • Diğer zafiyet taraması uygulamalarından (Netsparker, Nessus, Nexpose, Qualys,…) gelen sonuçlar içeriye aktarılabiliyor mu?
  • Yama yönetimi araçları (WSUS, SCCM, IBM BigFix, Ivanti, RedHat Sattallite, IBM TEM… gibi) ile entegre edilebilir mi? Entegrasyon desteği varsa hangi ürünler ile entegrasyon gerçekleştirilebilir?
  • Sanal yama yönetim araçları (virtual patching) ile entegre edilebilir mi?
  • Entegrasyon desteği varsa hangi ürünler ile entegrasyon gerçekleştirilebilir? Hangi yöntemler üzerinden entegrasyon gerçekleştirilebilir?
  • Zafiyeti olan varlıklara yapılan atakların değerlendirilmesi için SIEM ürünleri (Splunk, Arcside, Qradar, LogRhytm, Solarwinds…) ile entegre edilebilir mi? Entegrasyon desteği varsa hangi ürünler ile entegrasyon gerçekleştirilebilir?
  • WAF ürünleri ile entegre edilebilir mi? Entegrasyon desteği varsa hangi ürünler (F5, Imperva, Fortinet, Akamai, Barracuda, Citrix) ile entegrasyon gerçekleştirilebilir? Hangi yöntemler üzerinden entegrasyon gerçekleştirilebilir?
  • IPS / Virtual Patching ürünleri ile entegre edilebilir mi? Entegrasyon desteği varsa hangi ürünler ile entegrasyon gerçekleştirilebilir? Hangi yöntemler üzerinden entegrasyon gerçekleştirilebilir?
  • BT risk yönetim çözümleri (MetricStream, RSA Archer, Brinqa, Lockpath, Modula, RiskVision, Rsam, Tracesecurity…) ürünleri ile entegre edilebilir mi? Entegrasyon desteği varsa hangi ürünler ile entegrasyon gerçekleştirilebilir?
  • LDAP ile entegrasyon yapılabilmekte midir? Hangi adımlarda kullanılabilmektedir? Örneğin, uygulamada oturum açma, bulgunun ataması, vb.
  • Yetkili hesap yönetimi araçları (CyberArk, BeyondTrust, TPAM, Liberman, Okta, Thycotic…vb) ile entegre edilebilir mi? Entegrasyon desteği varsa hangi ürünler ile entegrasyon gerçekleştirilebilir?
  • EMM teknolojileri (AirWatch, MobileIron) ile entegre edilebilir mi? Entegrasyon desteği varsa hangi ürünler ile entegrasyon gerçekleştirilebilir?
  • NAC teknolojileri ile entegre edilebilir mi? Entegrasyon desteği varsa hangi ürünler ile entegrasyon gerçekleştirilebilir?

 

Taramalar

  • Taramalar sırasında belirli portları tarama veya belirli portları hariç tutma gibi seçenekler bulunmakta mıdır?
  • Başlatılan bir taramanın durdurulabilme ve sonrasında devam edebilme özelliği var mıdır? Yoksa tarama baştan mı başlamaktadır?
  • TCP haricinde UDP tabanlı taramalar da yapılabilmekte midir?
  • Kimlik doğrulamalı zafiyet taraması yapılabilmekte midir?
  • Kimlik doğrulamalı zafiyet taramasında verilecek kullanıcı yetkileri nasıl olmalıdır? Örnek; yerel yönetici, standart kullanıcı,… gibi.
  • Hangi erişim yöntemi ile kimlik doğrulamalı tarama yapılmaktadır? SSH (kullanıcı adı parola veya public key), SMB/CIFS, WMI, SNMP, Telnet, Mssql, …
  • Zamanlanmış tarama gerçekleştirilebilir mi?
  • Zamanlanmış taramaların periyot seçenekleri nelerdir? Örneğin; belirli bir zaman dilimi, haftalık, aylık, 3 aylık,… vb.
  • Zamanlanmış taramalarda belirli vakitler hariç (Blackout süreler) tutulabilmekte midir? Örneğin; Pazartesi günleri 20.00-23.00 arası, belirtilen özel günler (bayram günleri vs), ayın belirli günleri (Her ayın birinci ve 20. günü, her ayın ikinci haftasonu),…
  • Taramalar için onay mekanizması var mıdır? Örneğin, yönetici onayından sonra taramalar başlatılabilsin gibi.
  • IPv6 üzerinden çalışma imkanı sunabilmekte midir?
  • Varsayılan kimlik bilgisi kullanımı ile ilgili kontroller gerçekleştirilebilmekte midir?
  • Muhtemelen gereksiz olan veya uzun süredir kullanılmayan uygulamaların mevcudiyeti  ile ilgili kontroller gerçekleştirilebilmekte midir?
  • Zararlı uygulama veya zararlı proseslerin mevcudiyeti  ile ilgili kontroller gerçekleştirilebilmekte midir?

 

Compliance

  • Compliance yeteneği var mıdır?
  • Compliance için hangi en iyi yöntemler baz alınmaktadır? Örnek; PCI, CIS, NIST, FISMA, STIX, SOX, HIPPA…
  • Compliance kuralları özelleştrilebilir mi? Örneğin parola politikadaki karakter sayısı 10 iken 9 yapılabilir mi?
  • Zafiyet imzalarını tanımlama, özelleştirmek için arayüz / imkan sunulmakta mıdır? Yoksa aracın kendi dilini öğrenerek mi güncelleştirmek yapmak gereklidir?
  • Ağ cihazlarına yönelik çevrimdışı (yapılandırma dosyası verilerek gibi) değerlendirmelere imkan verilmekte midir?
  • Hangi uygulamalara yönelik değerlendirmeler yapılabilmektedir? Örneğin, Apache, IIS, Oracle Glassfish, WordPress, Joomla, MSSQL, Mysql, Java, IE, Chrome, Acrobat Reader, Juniper Access Point, Hyper V, ESXi, Vmware Workstation, Cisco Switch, Juniper FW,…
    Mobil cihazlara yönelik değerlendirmeler yapılabilmektedir? Hangi cihazlar (Iphone 4-X, Samsung Note 2-7,…) için kontroller gerçekleştirilebilir?
  • Container ortamlara (örneğin Docker gibi) yönelik değerlendirmeler yapılabilmektedir?
  • Paylaşımdaki disk sistemi üzerinden belli paterne (TCKN, kredei kartıi, lisans anahtarı vb.) göre arama yapılabilmekte midir?

 

Bilgilendirme

  • Zamanlanmış veya standart taramalar tamamlandığında belirlenen kişilere mail veya SMS gibi bir yöntem ile bilgi iletilebilmekte midir?
  • Uyarı yöntemi olarak hangi protokoller (SNMP, SMTP, syslog,…) desteklenmektedir?

 

Tarama Sonuç Raporu

  • Raporda olan alanlar/bilgiler nelerdir? Örnek; Zafiyet adı, IP, Zafiyet Derecesi, Zafiyet Puanı, CVE ID, İstismar Edilebilirlik, İstismar Eden Araçlar, Çözüm önerisi, referans,…
    Raporlara sadece belirlenen alanların/bilgilerin eklenebilmesi sağlanabilmekte midir?
  • Raporlar hangi formatta dışarıya alınabilmektedir? Örnek; PDF, CSV, HTML, RTF, XML…
  • Raporlar harici yazılımlara (MSF, Canvas, Core Impact) girdi sağlayacak formatta dışarıya aktarılabiliyor mu?
  • Tekil varlık, gruplanmış varlık veya zafiyet tabanlı olarak rapor çıktısı alınabilmekte midir?
  • Özel raporlar hazırlanabilmekte midir? Örneğin; Internet Bankacılığı sunucularında son 3 ayda çıkan zafiyetlerin durumu, DMZ ağındaki sistemler arasında zafiyet puanı en yüksek 10 makine, Kritiklik seviyesi yüksek sunucularda RCE zafiyetine sahip sistemler, sirket.local domaininde hak yükseltme zafiyetleri haricinde en riskli olan sunucular, SCADA ortamındaki en riskli sistemler…
  • Raporlar belirlenen kişilere maille iletilebilmekte midir?
  • Raporlama sisteminin hangi karakter format destekleri (UTF-8,…) vardır?

 

Risk Değerlendirme

  • Bir zafiyetin riski neye göre belirlenmektedir? Örnek, CVSS skoru, etkisi, istismar edilebilirlik kolaylığı, istismar kodunun yayımlanmış veya herkese açık olması,…
  • Zafiyet önceliklendirme gerçekleştirilmekte midir? Örneğin, IP veya IP segmenti, veri sahipliği, organizasyon,… bazlı risk değerlendirmesi/skorlaması/puanlaması yapılabiliyor mu?
  • Risk puanlarının katsayıları özelleştirilebiliyor mu? Özelleştirilebiliyorsa, hangi kriterlere göre özelleştirilebilir. Örneğin; sunucunun bulunduğu konum/IP bloğu (DMZ, iç ağ vs), CVSS/Zafiyet skoru, varlığın kritikliği, servisin internete açık olması, istismar kodunun bulunması, zararlı yazılımlar tarafından kullanılma durumu, tehdit türü (DOS, RCE,…)… vb.
  • Varlıklardaki zafiyetler toplu olarak listelenebilmekte midir? Örneğin bir varlık üzerinde tespit edilen güncel olmayan PHP zafiyetleri tek bir zafiyet olarak toplu bir şekilde listelenebilmekte midir?
  • Güvenlik duvarı kuralları, ACL’ler gibi bilgileri alarak risk değerlendirmesi yapılabilmekte midir?

 

Yönetici Raporu & Sunumu

  • Farklı tarihler arasındaki taramaların analizi / raporlaması gerçekleştirilebilir mi? Örnek; Delta, Differential Reporting, Trend Analizi,…
  • Varlıkların zafiyet eğilimleri zamana göre raporlanabilmekte midir?
  • Dashboard var mıdır? Özelleştirilebilir mi?
  • Rapor veya dashboard oluşturmasında ürünün firmasından destek alınabiliyor mu?
  • Belli filtredeki sistemler/zafiyetler için anlık zafiyet/sistem durumu alanabiliyor mu? Örneğin; MS17-010 zafiyeti olan tüm sistemler, Windows 2008 işletim sistemlerinden kritik ve yüksek zafiyetli olanlar, DMZ’deki sistemlerde CVSS Base Skoru 7 ve üzeri olanlar, risk değerlendirmesine göre en riskli sistemler…
  • Raporlar veya dashboard’daki bilgiler oluşturulurken bulut ortamındaki sistemlerden faydalanmakta mıdır?

 

Tarama Sonucu Ataması

  • Çıkan zafiyetler otomatik olarak ilgilisine yönlendirilebilir mi?
  • Çıkan zafiyetlerin sorumlusuna atanması için harici platformlar ile entegrasyonu var mıdır? Varsa nelerdir? Örnek; Atlassian JIRA, HP SM, BMC, Manage Engine, Microsoft, ServiceNow…
  • Zafiyet değerlendirme seçenekleri nelerdir? Zafiyetin giderilmesi, giderilemeyecek zafiyetin kabulü,…
  • Vaktinde kapatılmayan, SLA’a uymayan, yanlış açılmış olan,… bulgu atamaları sınıflandırılabiliyor, listelenebiliyor mu?

 

Kimlik Doğrulama

  • Uygulamaya kimlik doğrulatmak için Microsoft AD kullanılabilmekte midir? Bunun haricinde hangi yöntemler ile kimlik doğrulamaya destek verilmektedir?
  • Arayüze giriş için ikinci faktör (SMS OTP entegrasyonu gibi) bulunmakta mıdır?
  • Sadece bulgu ataması için (tarama değil) kullanıcı oluşturulabilmekte midir?

 

Yetkilendirme

  • Kullanıcı bazlı yetkilendirme yapılabilmekte midir?
  • Uygulamade yetkilendirme için Microsoft AD kullanılabilmekte midir? Bunun haricinde hangi yöntemler ile yetkilendirmeye destek verilmektedir?
  • Kullanıcılar arası politika, envanter, tarama sonucu, rapor paylaşımı yapılabilmekte midir? Yapılan bu paylaşımlarda yetkilendirme (sadece okuma, Okuma/değiştirme/silme vb) yapılabilmekte midir?
  • Envanter bazlı tarama yapabilme, sadece kimlik bilgisi girebilme, sadece politikaları oluşturabilme,… gibi roller bulunmakta mıdır?

 

İzleme

  • Yapılan işlemleri kayıtları alınmakta mıdır? Alınıyorsa neler alınabilmektedir? Örnek; oturum açma, politika oluşturma, tarama zamanlama, …
  • Bu kayıtlarda hangi bilgiler bulunmaktadır? Örnek; kişi, IP, zaman, işlem açıklaması,…
  • Gerçekleştirilen işlemlerin logları harici bir sunucuya gönderilebilir mi? Gönderilebiliyorsa entegrasyon nasıl gerçekleştirilebilir?

 

Kaynaklar:

https://cagatayisikci.wordpress.com/2013/06/12/zafiyet-yonetimi-sistemi-zys/
https://www.gartner.com/doc/3775765/comparison-vulnerability-security-configuration-assessment
https://www.gartner.com/doc/3169217/guidance-framework-developing-implementing-vulnerability

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz