Zafiyet Analizi
AÇIKLIK ANALİZİ
Bilgi güvenliği, bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanmasını gerektirmektedir. Bu kriterleri etkileyerek kriterlerin sürekli olarak sağlanabilmesini engelleyebilecek risklerin belirlenmesi ve bu risklerin azaltılması bilgi güvenliğinin sürekliliğinde önemlidir.
Risklerin etkin bir biçimde belirlenebilmesi için sistem üzerinde bulunan açıklıkların tespit edilmesi gerekmektedir. Sistem üzerindeki açıklıklar tespit edildikten sonra bu açıklıkları kullanabilecek tehditler belirlenerek bu tehditlerin sistem üzerindeki etkisi ve gerçekleşme ihtimalleri hesaba katılarak risk analizi yapılabilir.
Bu açıklıklar açıklık (zafiyet) analizleri ile belirlenebilir. Açıklık analizleriyle sistem üzerinde bilgi güvenliği ihlaline neden olabilecek zayıflıklar belirlenir. Bu analizin sızma testinden farkı, belirlenen açıklıklar üzerinden sisteme girilerek bu açıklıkların sistem üzerindeki kesin etkilerinin ortaya koyulmasıdır.
Açıklık analizleri ile sistemin yapısal ya da işletimsel açıklıkları bulunabilir. Açıklık analizi yapabilmek için öncelikle analizin yapılacağı sistem üzerinde bilgi edinmek gerekir. Bunun için ağ haritası çıkarılarak, altyapıdaki IP blokları ve sistem bileşenlerinin (sunucu, switch, firewall, client) ağ içerisindeki konumu, yerel ağda ve DMZ’de bulunan cihazlar belirlenebilir. İlgili sistem bileşenlerinin işletim sistemleri ve servisleri ise bir sonraki aşamada belirlenir. Bu aşamada, güncellemelerin zamanında yapılıp yapılmadığı ile bilinen güvenlik açıklıklarının ilgili sistemler üzerinde bulunup bulunmadığına ilişkin bilgiler elde edilebilir. Tüm bu işlemler için otomatik araçlar (komut satırı araçları (ping, tracert, whois, vb.), nmap, superscan, nessus, microsoft baseline security analyzer, vb.) kullanılmaktadır.
İşletimsel hataların bulunabilmesi için ise yetkili bir kullanıcı yetkileriyle ilgili sistemlere erişim sağlayarak sunucuların ya da diğer cihazların yapılandırma ayarları da açıklık analizleri kapsamında kontrol edilebilmektedir. Bu analiz için diğer bir yöntem ise şifre kırma araçları kullanılarak (Cain and Abel, Brutus, vb.) sistemdeki zayıf şifrelerin ele geçirilmesi suretiyle ilgili cihazlara erişim sağlamaktır. İyi yapılandırılmış sistemlerde ve bilgi güvenliği bilinci yüksek kullanıcılarda zayıf şifre oranı az olacağından analizin gerçekleştirilebilmesi için yetkili kullanıcı bilgilerine ihtiyaç duyulabilir.
Bilgi güvenliğinin sağlanmasında en önemli faktör insan ve bilinç düzeyi olduğundan bu kriterin de açıklık testlerinde incelenmesi oldukça faydalı olacaktır. Burada çeşitli sosyal mühendislik girişimleriyle insani zafiyetlerden faydalanıp kullanıcı adı ve şifreler ile gizli kurumsal bilgi elde edilmeye çalışılmaktadır. Bu analiz sayesinde kurumsal bilgi güvenliği ortalama bilinç düzeyi ortaya çıkarılabilir.
Açıklık analizi sonucunda elde edilen sonuçların okunabilir ve anlaşılabilir şekilde raporlanması da analiz sürecinin önemli kısımlarından birisidir. Bunun için, önemli sonuçlar vurgulanmalı, açıklıklar net bir şekilde ifade edilerek bu açıklıkların sistem üzerinde olası etkileri ortaya koyulmalıdır. Açıklıkların kapatılma yöntemleri de raporun içerisinde yer almalıdır.
Raporun sunulmasıyla açıklık analizi tamamlanmış olmaktadır. Rapor sonrasında, bu açıklıkların bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini nasıl etkileyeceğinin belirlenmesi için açıklıkları kullanabilecek tehditler düşünülmeli ve risk analizi güncellenerek açıklıklar önceliklendirilmeli ve bu açıklıkların kapatılması için raporda yer alan kapatılma yöntemleri de dikkate alınarak bir plan oluşturulmalıdır.
Daha önce bahsedildiği gibi, açıklık analizleriyle sistem üzerinde bilgi güvenliği ihlaline neden olabilecek zayıflıklar belirlenmektedir. Analiz sonrasında, bulunan açıklıklar üzerinden, farklı senaryolar ile sızma testleri gerçekleştirilerek bu açıklıklardan yararlanabilen tehditler ve bu açıklıklar ile sisteme ne kadar zarar verilebileceği daha kesin olarak belirlenebilir.