Güvenlik Açığı İstihbaratı
Güvenlik Açığı İstihbaratı, bilgi sistemleri, yazılım, donanım veya diğer teknolojik ürünlerde bulunan güvenlik açıkları hakkındaki bilgilere odaklanan bir istihbarat dalıdır. Bu tür istihbarat, kuruluşların ve bireylerin siber güvenlik risklerini anlamalarına ve bunlara karşı önlem almalarına yardımcı olur.
VI (Vulnerability Intelligence), kurumların siber saldırılara karşı hazırlıklı ve tedbirli olması için vazgeçilmezdir.
Doğru kurgulanmış bir VI yapısı, riskleri önceden tespit ederek etkin risk yönetimi sağlar.
Ayrıca güvenlik açıkları hakkında hızlı ve doğru bilgiye sahip olmak, hem kurum içindeki envantere ilişkin risklerin tespit edilmesini hem de olay müdahalesi gerektiren olaylara hızlı bir şekilde müdahale edilmesini sağlar.
Hangi güvenlik açıklarının öncelikli olduğunu bilmek, kaynakların daha verimli kullanılmasını sağlar.
Güvenlik Açıklarının Tespiti
Güvenlik açıklarına ilişkin bilgiler farklı kaynaklardan (CVE veritabanları, güvenlik araştırmacıları, üreticiler vb.) toplanır. Bu tür verilerin toplanabileceği açık kaynaklar mevcut olduğu gibi, farklı kaynaklardan toplanan verileri sınıflandıran ve kullanmanızı kolaylaştıran birçok ticari hizmet de bulunmaktadır.
Risk değerlendirmesi
Toplanan güvenlik açığı bilgileri, bir kuruluş veya sistem için ne kadar kritik olduklarını değerlendirmek üzere analiz edilir ve değerlendirilir.
Güncellemeleri ve Yamaları Takip Etme
Üreticilerden veya üçüncü taraf kaynaklardan yayınlanan yamalar ve güncellemeler, bulunan güvenlik açıklarına karşı izlenir.
Güvenlik Açığı İstihbaratı, siber güvenliğe proaktif bir yaklaşım benimsemeye yardımcı olur. Bir başka deyişle olası tehditler karşısında tepkisel olmaktan ziyade önleyici ve hazırlıklı bir tutum geliştirilmesine katkı sağlar. Bu sayede siber saldırıların veya veri ihlallerinin gerçekleşmeden önlenmesi veya etkilerinin en aza indirilmesi mümkün olabilir.
VI Kaynaklar
Güvenlik Açığı İstihbaratı (VI), siber güvenlik çözümlerinin ötesine geçerek güvenlik açıklarının tespit edilmesi, değerlendirilmesi ve bu açıklara yönelik müdahalelerin koordine edilmesi gibi süreçleri içerir. VI’nın amacı kuruluşların BT altyapılarına yönelik riskleri anlamalarını ve azaltmalarını sağlamaktır.
Siber Güvenlik İstihbaratı
Siber güvenlik istihbaratı, siber güvenliğe ilişkin her türlü bilgi, belge ve olayı kapsayan oldukça geniş bir alandır.
Günümüzde siber saldırılar bireysel saldırganların yanı sıra tehdit aktörlerinden oluşan gruplar tarafından da gerçekleştirilmektedir. Siber güvenlik dünyası, bir tarafta siber güvenlik uzmanlarının, siber güvenlik ürünleri ve bilgi sistemleri kullanıcılarının, diğer tarafta siber suçluların yer aldığı, her iki tarafın da sürekli değişim ve gelişim içinde olduğu kocaman bir dünya haline geldi.
Bu kadar hızlı değişen dünyada sadece güncel işletim sistemleri, güncel ağ cihazları ve güncel güvenlik ürünlerini kullanmak ne yazık ki güvende kalmak için yeterli olmuyor; tam tersine başlangıç seviyesinde bir zorunluluktur. Bir diğer zorunluluk ise dünyada olup bitenleri çok yakından ve olabildiğince gerçek zamanlı olarak takip etmektir. Çünkü dünyanın öbür ucundaki bir kurumu hedef alan bir tehdit aktörünün bir sonraki hedefi siz olabilirsiniz. Bu nedenle bu olaylardan mümkün olduğu kadar erken haberdar olmak, detaylarına ulaşmak ve benzer risklerin sizin için de geçerli olup olmadığını bir an önce kontrol etmek çok önemlidir.
Daha somut örneklerle konuyu anlamaya çalışalım:
Bir tehdit aktörünün farklı bir şirkete saldırmak için kullandığı IP adresini kendi güvenlik cihazlarımızın kayıtlarına bakarak aynı aktörün bizi hedef alıp almadığını tespit edebiliriz.
Aktörlerin farklı kurumları hedef alan başarılı saldırılarında giriş noktası olarak kullandıkları uygulamaları/hizmetleri bilirsek, bu uygulamaları/hizmetleri kullanıp kullanmadığımızı kontrol edebilir, kullanıyorsak bir olay yaşanmadan önlem alabiliriz.
Aktörlerin bir web servisine saldırmak için kullandıkları payload bilgilerine ulaşabilirsek, IDS, IPS, WAF vb. ürünlerimizde ilgili payloada ilişkin kuralları konumlandırarak önlem alabiliriz.
Eğer aktörlerin saldırı sırasında kullandığı yürütülebilir bir dosyanın veya webshell’in hash bilgisine sahipsek, uç nokta güvenlik ürünümüzde bu hash bilgisini tanımlayarak saldırganın bizi hedeflemesini engelleyebiliriz.
Siber Güvenlik istihbaratı söz konusu olduğunda her veri/bilgi önemli olacaktır. İstihbaratın her zaman zararlı faaliyetlerle ilgili olması gerekmez. Örnek olarak kuruluşunuzun bir mobil uygulaması olduğunu ve bu mobil uygulamanın müşterilerinizin cep telefonlarında çalıştığını varsayalım. Normal şartlarda bu uygulamaya sadece son kullanıcı IP adreslerinden erişilmesini beklerdik, yani bu uygulamaya ulaşan IP adresinin bir veri merkezine ait bir IP adresi olması en azından şüphelidir. Çünkü bu IP adresini kullanarak uygulamanıza erişmeye çalışan kişi, ilgili veri merkezinde barındırılan bir VPN hizmetini kullanan yasal bir kullanıcı olabileceği gibi, yakaladığı bir sunucu üzerinden mobil uygulamanıza erişip güvenlik açıklarını taramaya çalışan bir saldırgan da olabilir. veya veri merkezinde kiralanabilir. Bu durumda bu IP adresi itibar hizmetleri açısından temiz olsa bile bizim açımızdan şüphelidir. Konut veya veri merkezi IP adresi bilgisini sağlayan bir istihbarat kaynağımız varsa bu konuda da kurallar/önlemler geliştirebiliriz.
Bir diğer konu ise “bizden ne sızıyor”. Saldırganlar, web servislerimiz/uygulamalarımızdaki güvenlik açıklarını ve kullandığımız sistemlerdeki zero0-day kullanarak bize her zaman zarar vermezler. Örneğin bir kullanıcımızın sokakta yürürken düşürdüğü, üzerinde e-posta adresi ve şifresinin yazılı olduğu bir not defterinin bulunması da bizim için bir risk ve istihbarat meselesidir. Çünkü kullanıcı muhtemelen bize “İçinde şifrelerin bulunduğu not defterimi kaybettim” demeyecektir. Ancak bu tür veriler saldırganlar tarafından underground forumlarında ve darkweb pazarlarında paylaşılabilir ve satılabilir. Bu nedenle güvende kalabilmek için burada olup bitenlerden haberdar olmamız önemlidir.
Örneklerden de anladığımız kadarıyla siber güvenlik istihbaratı kapsamımızı ne kadar genişletirsek o kadar güvende oluruz.
Açık Kaynak İstihbaratı (OSINT)
Kamuya açık kaynaklardan, forumlardan, bloglardan, haber sitelerinden ve resmi güvenlik açığı veritabanlarından (CVE, NVD) bilgi toplamaya Açık Kaynak İstihbaratı (OSINT) adı verilir. İnternette pek çok OSINT kaynağı bulunsa da dersimizin konusu olan Zafiyet Yönetimi için zafiyetleri listeleyen en önemli iki kaynak CVE ve NVD’dir.
CVE
CVE (Ortak Güvenlik Açıkları ve Etkilenmeler), bir güvenlik açığı tanımlama ve sınıflandırma sistemidir. CVE.org bu sistemle ilgili resmi web sitesidir ve MITRE Corporation tarafından yönetilmektedir. Bu platform, bilgi güvenliği uzmanlarına, sistem yöneticilerine ve yazılım geliştiricilere güvenlik açıklarını tanımlamaya, sınıflandırmaya ve paylaşmaya yönelik bir çerçeve sağlar.
Güvenlik araştırmacıları, yazılım şirketleri veya diğer taraflar bir güvenlik açığı keşfettiklerinde bu bilgiyi CVE’ye bildirirler. Bu bildirimi inceleyen CVE, her güvenlik açığı için benzersiz bir CVE kimliği oluşturur. Bir sonraki adımda CVE açıklarının detayları, etkilediği sistemler, olası etkileri ve çözüm önerileri gibi bilgiler toplanıyor ve bu bilgiler CVE veri tabanında yayınlanarak kamunun erişimine sunuluyor. CVE kayıtları, güvenlik açığı hakkında yeni bilgiler geldikçe veya güvenlik açıklarının durumu değiştikçe güncellenir.
Tüm bu bilgiler CVE’nin sağladığı altyapı desteği sayesinde güvenlik ürünleriyle entegre edilerek güvenlik profesyonellerinin kullanımına sunulmaktadır.
NVD
NVD, Amerika Birleşik Devletleri Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yönetilen bir güvenlik açığı veritabanıdır. NVD, CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) sistemini temel alır ve bu güvenlik açıkları hakkında daha fazla ayrıntı, ölçüm ve analiz sağlar.
NVD, kaynak olarak CVE veritabanını kullanır ancak güvenlik açıklarını çeşitli kriterlere göre sınıflandırır ve önceliklendirir.
CVSS, güvenlik açıklarını puanlarken üç ana ölçüm kümesini kullanır:
Temel Metrikler: Bu metrikler bir güvenlik açığının temel özelliklerini değerlendirir.
- Saldırı Vektörü (AV): Saldırının hangi yöntemle yapılacağını (örneğin ağ, yerel vb.) belirtir.
- Saldırı Karmaşıklığı (AC): Saldırının ne kadar karmaşık olduğunu gösterir.
- Gerekli Ayrıcalıklar (PR): Saldırı için hangi ayrıcalıkların gerekli olduğunu gösterir.
- Etki Metrikleri: Bu metrikler güvenlik açığının etkilerini değerlendirir (Gizlilik, Bütünlük, Kullanılabilirlik).
Geçici Metrikler: Bu metrikler zaman içinde değişebilecek faktörleri değerlendirir:
- İstismar Edilebilirlik (E): Güvenlik açığından yararlanma olasılığı.
- Düzeltme Düzeyi (RL): Mevcut çözümün durumu.
- Rapor Güvenirliği (RC): Güvenlik açığı hakkındaki bilgilerin doğruluğu.
Çevresel Ölçümler: Bu ölçümler, güvenlik açığının belirli bir ortamda ne kadar etkili olacağını değerlendirir:
- İkincil Hasar Potansiyeli (CDP)
- Hedef Dağıtımı (TD)
- Değiştirilmiş Temel Metrikler: Temel metrikler çevresel faktörlere göre değişir.
Bu metrikler kullanılarak her bir güvenlik açığı için 0 ile 10 arasında bir CVSS puanı hesaplanır. Puan ne kadar yüksek olursa güvenlik açığının o kadar kritik olduğu kabul edilir.
0,0 – 3,9 : Düşük
4,0 – 6,9 : Orta
7,0 – 8,9 : Yüksek
9,0 – 10,0 : Kritik
CVSS puanı, kuruluşların riski değerlendirmesine, önceliklendirilmesine ve uygun güvenlik önlemlerini almasına yardımcı olmak için tasarlanmış bir kullanıcı puanlama sistemidir.
Özel Kaynaklar
Açık kaynakların dışında güvenlik açıklarını araştıran, sınıflandıran ve müşterilerine yayınlayan ticari güvenlik ürünleri de bulunmaktadır. Bu hizmetler genel olarak hizmet verdikleri müşterilerin mevcut yazılım ve donanım envanterlerindeki açıkları sürekli tarayarak ve herhangi bir risk durumunda rapor/alarm üreterek çalışır. Bu taramaları otomatikleştirerek ve periyodik hale getirerek güvenli bir ortam yaratılmasına katkıda bulunurlar.
Tenable.io
Bu hizmetlere örnek olarak Tenable Security’nin sunduğu ve tenable.io’da bulunan bulut tabanlı hizmeti verebiliriz:
Bu hizmet, varlıklarınızı belirlediğiniz aralıklarla tarar ve mevcut güvenlik durumunuza ilişkin bir rapor üretir. Örneğin kuruluşunuz bünyesinde çalıştırdığınız bir web sunucusunun sürümü güvenlik açığı bulunan bir sürüm ise bunu size bildirecektir.
Teenable.io, gerektiğinde kurum dışından erişilemeyen sistemlerinizi sensörler kullanarak tarayarak, kurum içi ve kurum dışındaki mevcut varlıklarınızı izlemeye yönelik gelişmiş yöntemler sunar. Aşağıdaki ekran görüntüsünde, otomatik taramalar sonucunda çıkarılan varlıkların bir örneğini görüyoruz:
Ayrıca bu varlıkların her biri hakkındaki ayrıntıları da görüntüleyebiliriz:
Acunetix
Bu hizmetlere bir başka örnek olarak da Acunetix’i verebiliriz.
Acunetix, web uygulamalarının güvenliğini değerlendirmek için kullanılan otomatik bir tarama aracıdır. Web uygulamalarındaki güvenlik açıklarını tespit etmek, analiz etmek ve raporlamak için özel olarak tasarlanmıştır. Acunetix, SQL Injection, Cross-Site Scripting (XSS), CSRF (Cross-Site request Forgery) gibi birçok farklı türde web zafiyetini tespit edebilmektedir.
Acunetix hem otomatik tarama seçenekleri hem de manuel tarama için araçlar sunar. Tespit edilen zafiyetleri detaylı bir şekilde analiz ederek risk seviyelerini belirler. Bulguları kullanarak ayrıntılı güvenlik raporları oluşturabilir. Bu raporlar aynı zamanda güvenlik açıklarının nasıl çözüleceğine ilişkin öneriler de içerebilir. Diğer güvenlik araçları ve süreçleriyle kolaylıkla entegre olabilir.
Diğerleri
Örnek olarak verdiğimiz bu hizmetler gibi farklı ölçek ve kapsamlarda onlarca hizmet bulunmaktadır. Yukarıdaki ekran görüntülerinde fark edeceğiniz gibi, her iki hizmet de aslında CVE veritabanını ve NVD puanlamasını kullanıyor ancak birçok işi bizim için otomatikleştirerek bize izlenebilirlik ve görünürlük sağlıyor. Bu durumda işinize ve ihtiyaçlarınıza uygun bu ürünlerden birini kullanabilir veya scripting derslerinde anlatılan yöntemleri kullanarak varlık tarayıcılarınızı yazabilir, açık veritabanlarından veri çıkarabilir ve bu verileri birbirleriyle eşleştirerek basit güvenlik araçları geliştirebilirsiniz. diğer.
Feed’ler ve API’ler
Otomatik olarak güncellenen, ticari veya ücretsiz yayınlar ve API’ler aracılığıyla gerçek zamanlı zafiyet bilgilerinin elde edilmesi mümkündür. Örneğin CVE veya NVD’ye eklenen yeni bilgileri feed’ler veya API’ler yardımıyla kendi güvenlik ürünlerinize ekleyebilirsiniz.
CVE’nin yayınlarına aşağıdaki bağlantıdan erişebilirsiniz: https://www.cve.org/ResourcesSupport/FAQs#pc_cve_list_basicscve_list_data_feeds
Yurtiçi İstihbarat Koleksiyonu
Kurum içindeki izleme ve tarama araçlarından (örn. IDS/IPS, zafiyet tarama araçları) elde edilen verilerin analizi de size önemli veriler sağlayacaktır.
Örneğin bir IDS ürününde meydana gelen bir alarm sizi kullanıcının bilgisayarındaki kötü amaçlı bir uygulamaya yönlendirebilir. Bir örnekle devam edelim:
Bildiğiniz gibi IDS ürünleri genel olarak imza veritabanları ile çalışır ve kendilerine sağlanan trafikteki paketlerde imza veritabanlarındakilerle eşleşen içerikleri arar. IDS ürününüzden aldığınız “açık metin şifre” alarmı aslında içeriye yayılmaya başlayan bir kötü amaçlı yazılımın IDS imzasında yakalanan tek kötü amaçlı etkinlik olabilir. Bu alarmı oluşturan aktivitenin kaynağını araştırdığınızda bir kullanıcının bilgisayarındaki PUA’ya, bu PUA’nın hash’ine vb. ulaşabilirsiniz. Diğer sistemlerinizde de bilgilerini arayarak kötü amaçlı yazılımları yayılmadan durdurabilirsiniz.
Güvenlik Araştırmacıları ve Beyaz Şapkalı Hackerlar
Bağımsız güvenlik araştırmacıları bazen buldukları güvenlik açıklarını kuruluşlara bildirirler. Ek olarak, bu tür bilgilere hata ödül programları aracılığıyla da erişilebilir. Bu işi profesyonelce yapan güvenlik araştırmacıları bulgularını düzenli olarak sosyal medya hesaplarında ve/veya kişisel bloglarında yayınlamaktadır.
Zer0 Günlük İstihbarat
Henüz üretici veya topluluk tarafından bilinmeyen ve yama yapılmamış güvenlik açıklarının tespitinde özel istihbarat kaynaklarının kullanılması oldukça faydalı ve yaygın bir yöntemdir. Bu sayede kuruluşunuz bünyesinde kullandığınız yazılımlarda saldırganların yararlanabileceği açıkları, yazılım üreticisi size bildirmeden önce tespit edebilir ve önlem alabilirsiniz.
Güvenlik Açığı Tarayıcılarına Derin Bakış
Hatırlayacağınız üzere Güvenlik Açığı Yönetim Sistemleri ve Güvenlik Açığı İstihbaratı dersinde tenable.io platformundan bahsetmiştik. Şimdi bu platformu merkeze alarak Zafiyet Taraması konusunu biraz daha derinlemesine inceleyelim.
Tenable.io siber güvenlik sektöründe oldukça önemli bir yere sahiptir. Bu platform, güvenlik açıklarını tarayabilen, sonuçları analiz edebilen ve bu güvenlik açıklarının nasıl düzeltileceği konusunda rehberlik sağlayabilen kapsamlı bir çözümdür. Tenable.io’nun en büyük avantajlarından biri bulut tabanlı olmasıdır. Bu sayede kuruluşlar, maliyetli donanım yatırımları yapmadan güvenlik açıklarını hızlı ve esnek bir şekilde tarayabilirler.
Tenable.io endüstrinin birçok farklı sektörü tarafından kullanılıyor. Finans, sağlık hizmetleri, perakende ve kamu gibi birçok farklı sektör, güvenlik açıklarını tespit etmek ve yönetmek için bu platformu kullanıyor. Özellikle büyük ölçekli organizasyonlar için Tenable.io’nun sunduğu otomasyon ve entegrasyon özellikleri büyük avantajlar sağlıyor.
Platform aynı zamanda birçok üçüncü taraf araç ve hizmetle entegre olma kapasitesine de sahiptir. Bu, tenable.io’nun mevcut güvenlik altyapınıza kolayca entegre olabileceği ve halihazırda kullandığınız diğer güvenlik araçlarıyla çalışabileceği anlamına gelir.
Tenable.io sürekli güncellenen bir güvenlik açığı veritabanına sahiptir. Bu, platformun yeni tehditlere hızlı bir şekilde tepki verebilmesini sağlar. Ayrıca kullanıcı dostu arayüzü ve detaylı raporlama özellikleri güvenlik profesyonellerinin işini büyük ölçüde kolaylaştırıyor.
Sonuç olarak Tenable.io, siber güvenlik sektöründe güvenlik açığı taraması ve yönetimi için lider bir platformdur. Bulut tabanlı yapısı, esnekliği, entegrasyon kapasitesi ve güçlü analiz araçlarıyla birçok kuruluş için vazgeçilmez bir araçtır.
Güvenlik Açığı Nedir?
Güvenlik açığı, bir bilgisayar sistemi, ağ, uygulama veya diğer dijital kaynaklardaki zayıflık veya eksikliktir. Bu güvenlik açığı, kötü niyetli aktörlerin veya yazılımların sisteme yetkisiz erişim sağlamasına, verileri çalmasına, sistem kaynaklarını kötüye kullanmasına veya diğer zararlı eylemleri gerçekleştirmesine olanak tanır.
Güvenlik açıkları sıklıkla yazılım hataları, yapılandırma hataları, zayıf parola politikaları veya kullanıcı hataları gibi birçok farklı nedenden dolayı ortaya çıkabilir. Örneğin yazılım güncellenmezse bilinen bir güvenlik açığına maruz kalabilir. Aynı şekilde bir kullanıcının zayıf bir şifre kullanması da güvenlik açığı oluşturabilir.
Güvenlik açıklarının tehlikeli olmasının bir başka nedeni de, genellikle uzun süre fark edilmeden var olabilmeleridir. Bu durum saldırganların sisteme sızmasını ve kötü niyetli eylemlerini gerçekleştirmesini kolaylaştırır. Bu nedenle güvenlik açıklarının tespit edilmesi ve bu açıkların kapatılarak sistemlerin güvende tutulması siber güvenlik dünyasında kritik öneme sahiptir.
Güvenlik açıklarını yönetmek için birçok farklı araç ve metodoloji mevcuttur. Bunlar, güvenlik açığı tarama araçlarını, yama yönetimini, risk değerlendirmesini ve güvenlik politikalarını içerir. Ancak zafiyetlerin etkili bir şekilde yönetilebilmesi için bu araç ve metodolojilerin bir bütün olarak ele alınması ve sürekli güncellenmesi gerekmektedir.
Güvenlik Açığı Taraması Nedir?
Güvenlik açığı taraması, bir bilgisayar sistemindeki, ağdaki veya uygulamadaki güvenlik açıklarını otomatik veya yarı otomatik bir şekilde tespit etmek için kullanılan bir işlemdir. Bu taramalar genellikle özel yazılım araçları kullanılarak gerçekleştirilir. Amaç olası güvenlik açıklarını tespit etmek ve bu açıkların kötü niyetli kişiler tarafından istismar edilmesini önlemektir.
Güvenlik açığı taramaları genellikle üç farklı kategoride gerçekleştirilir:
Statik Tarama
Bu tür tarama, uygulamanın kodunun analiz edilmesiyle gerçekleştirilir. Uygulama çalıştırılmadan önce yapılır ve koddaki olası güvenlik açıklarını tespit etmeye çalışır.
Dinamik Tarama
Bu tür tarama, uygulamanın çalıştığı bir ortamda gerçekleştirilir. Amaç, çalışan uygulamanın nasıl tepki verdiğini görmek ve olası güvenlik açıklarını belirlemektir.
İnteraktif (Hibrit) Tarama
Bu tarama türü statik ve dinamik taramanın birleşimidir. Hem kod analizi yapılır hem de uygulama çalıştırılarak test edilir.
Güvenlik açığı taramaları genellikle belirli bir politikaya veya şablona uygun olarak gerçekleştirilir. Bu politikalar, ne tür güvenlik açıklarının aranacağını, ne kadar derinde tarama yapılacağını ve tarama sonuçlarının nasıl raporlanacağını belirler.
Tarama sonuçları genellikle bir rapor halinde sunulur. Bu raporda tespit edilen güvenlik açıkları, bu açıkların ne tür riskler oluşturduğu ve bu açıkların nasıl giderilebileceği detaylı olarak anlatılmaktadır.
Sonuç olarak, güvenlik açığı taraması siber güvenlik stratejisinin kritik bir parçasıdır. Bu taramalar kuruluşların güvenlik durumlarını sürekli olarak izlemelerine ve potansiyel tehditlere karşı proaktif olarak hareket etmelerine olanak tanır.
Tenable.io
Tenable.io, siber güvenlik sektöründe oldukça popüler ve etkili bir güvenlik açığı yönetimi platformudur. Bulut tabanlı bir yapıya sahip olan bu platform, kuruluşların güvenlik açıklarını tespit etmesine, analiz etmesine ve yönetmesine olanak tanıyor. Tenable.io genel olarak orta ve büyük ölçekli işletmeler tarafından tercih edilse de küçük işletmeler için de uygun çözümler sunmaktadır. Önce özelliklerine kısaca bir göz atalım:
Kapsamlı Tarama Seçenekleri: Tenable.io ağlarda, uygulamalarda, cihazlarda ve hatta bulut hizmetlerinde ayrıntılı güvenlik açığı taramaları gerçekleştirebilir.
Esneklik ve Ölçeklenebilirlik: Bulut tabanlı yapısı sayesinde Tenable.io’yu ihtiyaçlarınıza göre ölçeklendirebilir ve farklı lokasyonlardan yönetebilirsiniz.
Entegrasyon Kapasitesi: Tenable.io birçok üçüncü taraf araç ve hizmetle kolayca entegre olabilir. Bu, mevcut güvenlik altyapınıza uyum sağlamayı ve diğer güvenlik araçlarıyla birlikte çalışmayı kolaylaştırır.
Kullanıcı Dostu Arayüz: Platform, güvenlik profesyonellerinin tarama sonuçlarını kolayca analiz edebilmesi ve raporlar oluşturabilmesi için kullanıcı dostu bir arayüze sahiptir.
Ayrıntılı Raporlama: Tenable.io, tarama sonuçlarını ayrıntılı olarak raporlar. Bu raporlar tespit edilen güvenlik açıklarını, risk seviyelerini ve çözüm önerilerini içerir.
API Desteği: Platform, API desteği sayesinde otomasyon ve özelleştirme konusunda geniş olanaklar sunuyor.
Arayüz
Öncelikle Tenable.io’nun arayüzünde neler var inceleyelim ve aşağıdaki bölümlerde yolumuzu kaybetmediğimizden emin olalım:
Gösterge Paneli
Kontrol Panelinin ana ekranı tarama sonuçlarını, risk puanlarını ve açık güvenlik açıklarının bir özetini içerir. Bu şekilde güvenlik durumunuz hakkında hızlı bir fikir edinebilirsiniz.
taramalar
Bu bölümü yeni bir zafiyet taraması başlatmak, mevcut taramaları görüntülemek veya tarama şablonları oluşturmak için kullanabiliriz.
Taramalar menüsüne gittiğimizde aşağıdaki gibi bir ekranla karşılaşıyoruz. Bu ekranda mevcut tarama işlemlerinin nasıl çalıştığı, son çalıştırma süresi, son çalıştırmanın sorunsuz tamamlanıp tamamlanmadığı gibi detayları görebiliyoruz.
Ekranın sağ üst köşesindeki butonlarla hemen yeni bir tarama başlatabiliriz.
Create Scan
Temel Ağ Taraması’nda aşağıdaki ekranla karşılaşıyoruz:
Bu ekranda:
Alan #1’de taramamıza bir isim veriyoruz.
Alan #2’de taramamız için bir açıklama ekliyoruz.
3 numaralı alanda hangi Scanner’ı kullanacağımızı seçiyoruz. Burada iki seçenek bizi bekliyor olacak: Internal Scanner ve Cloud Scanner .
4 numaralı alanda 3 numaralı alanda seçtiğimiz tarayıcı tipinin ayarlarını yapıyoruz.
5 numaralı alanda taramanın hedefini belirliyoruz ve sayfanın sağ alt köşesindeki “Kaydet&Başlat” butonuna tıklıyoruz.
Tarayıcı türleri
Dahili Tarayıcı, genellikle kuruluş içindeki varlıkları/hedefleri taramak için kullandığımız tarayıcıdır. Yani kurumumuzda normal şartlarda internet üzerinden erişilemeyen ağların taranması için kullanışlıdır.
Cloud Scanner ise kurumsal ağımızın dışında bir noktadan hedeflerimizi taramak için kullanacağımız tarayıcıdır.
Bir örnekle farklılıklarını açıklayalım:
Aşağıdaki diyagrama bakalım. Şirketimizin bir ağı bulunmaktadır. Bu ağda DMZ bölgesinde internete yayın yapan sunucularımız bulunmaktadır. Sunucu ağında sadece şirket içerisindeki kullanıcılara hizmet veren sunucularımız bulunmaktadır. Tenable Cloud Scanner ile başlattığımız tarama sonucunda tarama trafiğini alacak ilk cihaz “COMPANY FW” cihazı olacaktır. Doğal olarak bu cihaz sadece web ve mail sunucularına giden isteklerin girmesine izin verecek ve bu trafikleri “DMZ FW” cihazına yönlendirecektir. Trafiğimiz “DMZ FW”den izin alabilirse WEB veya MAIL sunucumuza ulaşacaktır. Yine rotadaki izinler nedeniyle tarayıcı, örneğin web sunucumuzun yalnızca 443 numaralı bağlantı noktasıyla konuşabilecektir. Bu durumda tarayıcı bize 443 numaralı bağlantı noktasında çalışan bir web sunucumuz olduğunu (belki de sunucunun sürümü vb.) bildirecektir, ancak daha fazla ayrıntı rapor edemeyecektir. Bu senaryo dışarıdan neye benzediğini anlamak için harika. Peki yeterli mi? Örneğin Web Sunucusunda çalışmaması gereken bir servis 80 numaralı portta çalışıyorsa onu göremeyeceğiz.
Bu nedenle dahili tarayıcıların doğru yerlere yerleştirilmesine ihtiyacımız var. Aşağıdaki görüntüde “DMZ SW” anahtarına bağlanan ve doğru şekilde ayarlanan dahili bir tarayıcı ile “DMZ NETWORK”te olup biten her şeyi raporlayabileceğiz.
Ancak “DMZ NETWORK” içinden bakıldığında muhtemelen “FILE SRV” makinesinin varlığından bile haberdar olmayacağız. Bu nedenle “SERVERS” ağındaki durumumuzdan henüz haberimiz yok. Ancak OFFICE ağına ulaşmayı başaran bir saldırgan veya halihazırda orada bulunan bir iç tehdit aktörü için bu alan erişilebilir durumdadır ve dolayısıyla bizim için önemli bir saldırı yüzeyidir. Bu yüzden oraya dahili bir tarayıcı yerleştirip orada olup biteni izlememiz gerekecek.
Bu arada Nessus Scanner ile Nessus Sensor arasındaki farklardan da bahsedelim .
Bu iki kavram temelde aynı amaca hizmet etmektedir.
Nessus Tarayıcı daha küçük ağ segmentlerinde kullanılır ve bağımsız olarak çalışır.
Nessus Sensor, karmaşık ağlarda konumlandırılarak tarayıcılardan veri toplar ve yönetir.
Scan templates
Tenable.io’daki Nessus tarama şablonları, belirli tarama işlemleri için önceden yapılandırılmış ayarlar ve parametreler içeren şablonlardır. Bu şablonlar farklı güvenlik gereksinimlerini karşılamak üzere tasarlanmıştır ve kullanıcılar tarafından özelleştirilebilir. Aşağıda Nessus raster şablonlarının temel işlevlerini açıklayan bazı örnekler verilmiştir:
Hızlı Tarama: Hızlı tarama şablonu, ağınızdaki önemli güvenlik açıklarını hızlı bir şekilde tespit etmek için tasarlanmıştır. Bu şablon, daha kapsamlı taramalara göre daha az kaynak ve zaman gerektirir.
Tam Tarama: Tam tarama şablonu, ağınızdaki tüm güvenlik açıklarını bulmak için daha kapsamlı bir tarama gerçekleştirir. Bu daha fazla kaynak ve zaman gerektirebilir ancak daha ayrıntılı sonuçlar sağlar.
Yama Yönetimi Taraması: Bu şablon, sistemlerinizdeki eksik güvenlik yamalarını tespit etmek ve yönetmek için tasarlanmıştır. Eksik güvenlik yamaları kötü niyetli saldırganlar tarafından kullanılabilir.
Sızma Testi Taraması: Bu şablon, ağınızdaki güvenlik açıklarından aktif olarak yararlanmak ve gerçek dünya sızma testlerini simüle etmek için kullanılır. Bu tarama, ağınızdaki potansiyel tehditleri daha iyi anlamanıza yardımcı olabilir.
Mobil Cihaz Taraması: Mobil cihazlarınızın güvenlik durumunu değerlendirmek için kullanılır. Mobil uygulamalar ve cihazlar arasındaki güvenlik açıklarını tespit eder.
Tenable.io’daki Nessus tarama şablonları, ağınızdaki güvenlik açıklarını tespit etmek ve riskleri azaltmak için kullanılır. İhtiyaca ve gereksinimlere göre bu şablonlar özelleştirilebilir veya yeni şablonlar oluşturulabilir. Bu tarama modelleri, güvenlik ekibinizin ağınızdaki güvenlik açıklarını tespit etmesine ve düzeltmesine yardımcı olabilir.
Bulgular
Tenable.io Bulguları, Tenable.io güvenlik platformunun güvenlik taramaları sırasında tespit ettiği potansiyel güvenlik sorunlarına ve tehditlere atıfta bulunur. Bu tespitler, ağınızdaki sistem, uygulama ve cihazlar üzerindeki açıkları, zayıf noktaları ve riskleri tespit etmek amacıyla gerçekleştirilen güvenlik taramaları sonucunda elde edilen sonuçlardır.
Tenable.io, çeşitli güvenlik tarayıcıları ve araçlarını kullanarak ağınızı tarar ve sonuçları Bulgular adı verilen raporlarda sunar. Bu tespitler aşağıdakiler gibi çeşitli güvenlik sorunlarını içerebilir:
Zayıf Şifreler: Taramalar sırasında Tenable.io, zayıf veya tahmin edilebilir şifreler kullanılarak erişilebilen hesapları tespit edebilir.
Açık Bağlantı Noktaları ve Hizmetler: Tarama, açık ağ bağlantı noktalarını ve bu bağlantı noktalarında çalışan hizmetleri algılar. Bu, yetkisiz erişime veya sızma girişimlerine yol açabilir.
Eksik Güvenlik Yamaları: Tenable.io, güvenlik yamalarının eksik olduğu sistemleri ve uygulamaları tespit edebilir. Bu, güncellenmemiş yazılım nedeniyle kötü niyetli aktörlerin sisteminize sızma olasılığını artırabilir.
Zayıf Yapılandırmalar: Yanlış yapılandırılmış ayarlar veya güvenlik politikaları, güvenlik taramaları sırasında tespit edilebilir ve düzeltilmesi gereken potansiyel riskler oluşturabilir.
Kötü Amaçlı Yazılım Sinyalleri: Tenable.io, tarama sırasında kötü amaçlı yazılım imzalarını veya kötü amaçlı yazılım etkinliğinin izlerini tespit edebilir.
Kimlik Doğrulama Hataları: Kimlik doğrulama süreçlerindeki hatalar veya güvenlik açıkları, kötü niyetli kişilerin yetkisiz erişim elde etmesine olanak tanıyabilir. Tenable.io, ağınızı ve varlıklarınızı bu tür güvenlik açıklarına karşı sürekli olarak tarayıp raporlayarak potansiyel sorunları saldırganlardan önce tespit etmenize ve çözüm sunmanıza olanak tanır.
Bulgular, ağınızdaki potansiyel tehditleri ve riskleri anlamanız ve çözmeniz için size kritik bilgiler sağlar.
Varlıklar
Tenable.io Varlıkları, Tenable.io güvenlik platformunda kullanılan bir terimdir ve kuruluşunuzun ağında bulunan ve güvenlik açısından kritik olan varlıkları temsil eder. Bu varlıklar ağınızdaki cihazları, sunucuları, uygulamaları, ağ bölümlerini ve diğer dijital kaynakları içerebilir. Tenable.io Assets, güvenlik taramaları sırasında bu varlıkları izlemek, yönetmek ve değerlendirmek için kullanılır.
Tenable.io Assets özelliğini kullanarak neler yapabileceğimize bir göz atalım:
Varlık Takibi: Tenable.io ağınızdaki tüm varlıkları otomatik olarak algılar ve kataloglar. Bu, kuruluşunuzun varlık envanterini oluşturmanıza ve güncel tutmanıza yardımcı olur.
Varlık Sınıflandırması): Tenable.io Varlıkları, varlıkları önemlerine göre sınıflandırabilir. Örneğin kritik sistemleri ve hassas verileri barındıran sunucuları izole edebilirsiniz.
Varlık Nitelikleri: Her varlık için çeşitli nitelikler tanımlanabilir. Bu, varlıkların işlevselliği, sahibi, konumu ve diğer özellikleri hakkında daha fazla bilgi sağlar.
Güvenlik Açığı Takibi: Tenable.io Assets, varlıkları güvenlik açıkları veya eksik güvenlik yamaları açısından izleyebilir. Bu, kuruluşunuzun güvenlik durumunu izlemenize yardımcı olur.
Kötü Amaçlı Yazılım Takibi: Tenable.io Varlıkları, kötü amaçlı yazılımları veya kötü amaçlı etkinlikleri tespit etmek ve bu tür tehditleri tespit etmek amacıyla varlıkları izlemek için kullanılabilir.
Risk Değerlendirmesi: Tenable.io Assets, varlıkların güvenlik risklerini değerlendirmenize ve önceliklendirmenize yardımcı olur. Önemli varlıkların daha fazla dikkat gerektiren risklere sahip olup olmadığını belirlemenize yardımcı olabilir.
Tenable.io Assets, ağınızdaki varlıkları daha iyi anlamanıza, sınıflandırmanıza, izlemenize ve korumanıza yardımcı olur. Bu özellik, güvenlik açıklarının tespit edilmesi, risklerin yönetilmesi ve uyumluluk gereksinimlerinin karşılanması açısından önemlidir. Unutulmaması gereken şey, varlıkların etkili bir şekilde izlenmesi ve yönetilmesinin kuruluşlar için siber güvenlik konusunda daha güçlü bir savunma sağladığıdır.
Raporlar
Tenable.io harika bir raporlama arayüzü sunuyor. Bu arayüz sayesinde ihtiyacınız olan hemen hemen her çıktıyı tamamen kendi ihtiyaçlarınıza göre özelleştirilmiş olarak alabilirsiniz. Yerleşik şablonlar genellikle yeterlidir:
Ancak yeterli olmadığı durumlarda rapor oluşturma aracı ile sürükle bırak yöntemiyle raporlar oluşturabilir ve istediğiniz zaman çalıştırıp güncelleyebilirsiniz.
Ayarlar
Tenable.io platformunun genel ayarlarını, kullanıcı yönetimini ve entegrasyonlarını bu bölüm üzerinden yapabilirsiniz.
Bu menünün altında pek çok seçenek var, sık kullanılanlardan bazılarına göz atalım:
Tenable.io’nun arayüzünde bulunan ayarlar menüsü, platformun farklı bileşenlerini yapılandırmak ve özelleştirmek için kullanılır. Aşağıda Tenable.io’nun genel ayarlar menüsü altındaki ana işlevleri açıklayan bir liste bulunmaktadır:
Genel: Bu menü altında tarama sonuçlarında kullanılacak Önem Metrikleri (CVSSv2, CVSSv3), SLA Değerleri, Uygulama dili seçenekleri, Varsayılan dışa aktarma saklama süreleri, Eklenti Çıkışı Arama seçenekleri gibi ayarları yönetebilirsiniz.
Hesabım: Bu başlık altında hesabınıza ait Kullanıcı Adı, Email, Şifre gibi seçenekleri düzenleyebilir ve 2FA ayarlarını yapabilirsiniz.
SAML: Tekli Oturum Açma ayarlarını bu menü altında yapılandırabilirsiniz. Bu sayede kullanıcılarınızın merkezi bir yerden uygulamaya giriş yapmasını sağlayarak daha yönetilebilir bir ortama sahip olacaksınız.
Lisans: Bu menü altında mevcut lisanslarınızın durumunu görebilirsiniz. Hangi modüllere ait lisansınız var, bu lisanslardan kaç gün kaldı, bu lisanslardan kaç tane kullanıyorsunuz gibi bilgiler bu menü altındadır.
Erişim Kontrolü: Bu menü altında kullanıcılar, roller ve gruplar oluşturabilir ve bu kullanıcı, rol ve gruplara izinler atayabilirsiniz. Ayrıca mevcut kullanıcılarınızın durumları, son giriş zamanları, hatalı giriş sayıları gibi detayları da bu menü altında görebilirsiniz.
Aktivite Logları: Bu menü altında kullanıcılarınızın platform üzerindeki tüm aktivitelerini, otomasyonlarını ve entegrasyonlarını izleyebilir ve detaylı olarak raporlayabilirsiniz.
Dashboard’lar: Bu menü altında tıkla, sürükle bırak mantığıyla mevcut Dashboard’ları görüntüleyip düzenleyebilir, ihtiyaçlarınıza uygun yeni Dashboard’lar oluşturabilirsiniz. Bunu yaparken tenable.io’da bulunan şablonları kullanıp özelleştirebilirsiniz veya sıfırdan çözümler üretip hazır widget’lar ekleyebilirsiniz.
Sensörler: Bu menü altında mevcut bulut tarayıcıları ve kendi ortamınıza kurduğunuz dahili tarayıcıları görebilir, çevrimiçi/çevrimdışı durumlarını izleyebilirsiniz.
Scanner->Sensor->Tenable.io zincirindeki tüm yapı taşlarını bu sayfa altında yönetebilir ve durumlarını izleyebilirsiniz.
Kimlik Bilgileri: Bu menü altında taramalarda kullanılacak kimlik bilgilerini tanımlayabilirsiniz. Bildiğiniz gibi bazı güvenlik açıkları (ayrıcalık yükseltme vb.) öncelikle erişim gerektiriyor. Sistemlere çeşitli yetki seviyelerindeki Nessus hesaplarını vererek Nessus’un daha kapsamlı taramalar yapmasını sağlayabiliriz. Örneğin, Kimlik Bilgilerini sağlamadığımız bir durumda, Nessus yalnızca bir Linux makinesindeki bağlantı noktalarını vb. tarayabilir. Kimlik bilgilerini sağladığımızda sisteme giriş yapabilecek ve daha detaylı taramalar yapabilecektir.
İstisnalar: Bazı durumlarda bazı varlıklarımızın tarama kapsamından çıkarılmasını isteyebiliriz. Bu durumlarda bu ayarları bu menüden yapabiliriz.
Bulut Konektörleri: Bulut ve sanallaştırma teknolojileri artık bilişim altyapılarının vazgeçilmez bir parçası. Öte yandan bu teknolojilerle oluşturulan servislerin zafiyet taramasının geleneksel yöntemler kullanılarak gerçekleştirilmesi mümkün değildir.
Bu nedenle tenable.io bulut, konteyner ve sanallaştırma teknolojilerine özel bazı çözümler sunmaktadır. Tenable.io platformunda bu tür hizmetleri tanımlamak ve güvenlik açıklarını taramak için Cloud Connector menüsünü kullanıyoruz.
Tenable.io, doğru kullanıldığında tüm varlıklarınıza ilişkin tüm risklerinizi bir arada görüntülemenizi ve yönetmenizi sağlayan çok gelişmiş bir araçtır. Gözden kaçırılmaması gereken en önemli detay, zayıf noktalarımızı ve zayıf noktalarımızı bilmenin tek başına bizi güvende tutmayacağıdır. Önemli olan doğru yaklaşım ve planlama ile bunları mümkün olan en kısa sürede ortadan kaldırmaktır.
Web Uygulaması Güvenlik Tarayıcılarına Derin Bakış
Web Uygulama Güvenliği Nedir?
Web Uygulama Güvenliği, web uygulamalarının ve web sitelerinin çeşitli siber tehdit ve saldırılara karşı korunmasını sağlamak için alınan güvenlik önlemlerini ve uygulamalarını içeren bir disiplindir. Web uygulamalarının ve web sitelerinin güvenliğini artırmayı amaçlayan bir dizi teknik, prosedür ve en iyi uygulamaları içerir.
Web uygulamaları, kullanıcıların eriştiği ve kullandığı, birçok farklı güvenlik tehdidine maruz kalabilen yazılım veya hizmetlerdir. Bu tehditler; veri sızıntısı, kimlik hırsızlığı, SQL enjeksiyonu, Siteler Arası Komut Dosyası Çalıştırma (XSS), Siteler Arası İstek Sahteciliği (CSRF) gibi çeşitli saldırı türlerini içerir. Web Uygulama Güvenliği, bu tür tehditlere karşı koruma sağlamak için aşağıdaki temel adımları içerir:
Kimlik Doğrulama ve Yetkilendirme: Kullanıcıların kimliğini doğrulamak ve yalnızca yetkili kullanıcıların erişimine izin vermek için güçlü kimlik doğrulama ve yetkilendirme mekanizmaları kullanılır.
Veri Giriş Denetimi: Kullanıcılar web uygulamalarına giriş yaptıklarında veya veri gönderdiklerinde verilerin güvenli ve doğru olduğundan emin olmak için veri giriş denetimleri gerçekleştirilir.
Veritabanı Güvenliği: Veritabanları, web uygulamalarının hassas verileri depoladığı kritik bileşenlerdir. Bu nedenle veritabanlarına erişim ve bunların güvenliği büyük önem taşımaktadır.
Saldırı Tespit ve Önleme: Saldırıların tespit edilmesi ve engellenmesi amacıyla güvenlik duvarı ve sızma testleri gibi güvenlik araçlarından yararlanılmaktadır.
Güncelleme ve Yama Yönetimi: Web uygulamalarının ve altyapılarının güncel tutulması ve güvenlik yamalarının düzenli olarak uygulanması önemlidir.
Kod İncelemesi ve Güvenlik Testleri: Web uygulamalarının kodları güvenlik açıklarına karşı düzenli olarak incelenmekte ve güvenlik testleri yapılmaktadır.
Eğitim ve Farkındalık: Kullanıcılar ve geliştiriciler, güvenlik farkındalığı ve eğitim yoluyla daha bilinçli hale getirilir.
Bu adımları doğru işlesek veya yürütmeye çalışsak da zaman zaman gözden kaçan detaylar olabiliyor ve gözden kaçan bu detaylar telafisi çok zor olan itibar, para ve zaman kayıpları olarak bize geri dönüyor. Bu nedenle yukarıda sıralanan konularda aldığımız önlemlerin bir kısmının veya tamamının etkinliğini kontrol etmek ve her şeyin doğru çalıştığından emin olmak çok önemlidir.
Web Uygulaması Güvenlik Tarayıcısı Nedir?
Web Uygulaması Güvenlik Tarayıcısı, web uygulamalarındaki güvenlik açıklarını ve zayıflıkları otomatik olarak tespit etmek için kullanılan bir yazılım veya hizmettir. Bu tarayıcılar, web uygulamalarının ve sitelerin siber tehditlere karşı savunmasını artırmak ve olası saldırıları önlemek amacıyla kullanılmaktadır. Piyasada bazıları ticari, bazıları açık kaynak olmak üzere pek çok ürün var. Öncelikle Web Uygulama Güvenliği Tarayıcılarının çalışma yöntemlerine ve çıktılarına genel hatlarıyla bir göz atalım:
Tarama Hedefini Belirleyin: İlk adım, taranacak web uygulamalarının veya sitelerin URL’lerini veya IP adreslerini belirlemektir. Tarayıcı bu hedefe yönelik çalışacaktır.
HTTP İstekleri ve Yanıtları: Tarayıcı, hedef web uygulamasına HTTP istekleri gönderir ve yanıtları alır. Bu istekler web uygulamasıyla etkileşime girer ve süreçte bazı keşifler yapar. Genellikle bu aşamada hedef sistemdeki uç noktalar, yanıt veren web sunucusunun detayları, izin verilen yöntemler, hedef sistemdeki formda kullanılan alanlar vb. gibi ayrıntılar toplanır.
Zayıflık Analizi: Tarayıcı, önceki makalede elde edilen verileri kullanarak web uygulamasının farklı bileşenlerini (formlar, URL’ler, veritabanı sorguları vb.) analiz eder ve olası güvenlik açıklarını ve zayıflıkları arar. Genellikle SQL enjeksiyonu, Siteler Arası Komut Dosyası Çalıştırma (XSS), Siteler Arası İstek Sahteciliği (CSRF) gibi yaygın saldırı türlerinin tespit edilmesini içerir.
Sızma Girişimleri: Tarayıcı, tespit ettiği zayıf noktalar hakkında bildiği istismar yöntemlerini kullanarak web uygulamasına saldırıyormuş gibi yapar ve güvenlik açıklarını tespit etmek için çeşitli saldırı vektörlerini (payload’ları) kullanır. Bu, uygulamanın yanıtının nasıl değiştiğini gözlemleyerek güvenlik açıklarının varlığını doğrular.
Raporlama: Tarayıcı, tespit edilen güvenlik açıklarını ve zayıflıkları ayrıntılı bir rapor halinde sunar. Raporlar kurumun güvenlik ekibi veya geliştiricileri tarafından incelenir ve düzeltilmesi gereken zafiyetler belirlenir.
Teorik olarak Web Uygulaması Güvenlik Tarayıcılarının yaptığı her şeyi yapabiliriz. Ancak bu bizim için çok zaman ve çaba gerektirecek bir iş. Çok sayıda hedef sistemimiz olduğunda da büyük miktarda emek gerektirecektir.
Web Uygulaması Güvenlik Tarayıcıları işleri otomatikleştirmenin harika bir yoludur. Hedefleri verip, ne tür taramaların ne sıklıkta yapılacağını belirledikten sonra artık yalnızca raporlarla ilgilenebiliriz.
Çoğu senaryoda sadece aktif olarak kullanılan sistemleri değil, henüz yayınlanmamış sistemleri de analiz ederek olası pek çok riski ilk etapta önleyen çok kullanışlı ve yararlı araçlardır.
Yukarıda da söylediğimiz gibi bugün piyasada bu amaca yönelik pek çok ürün ve hizmet mevcut olup hepsinin birbirine göre avantaj ve dezavantajları bulunmaktadır. Dolayısıyla böyle bir ürüne ihtiyaç duyduğunuzda öncelikle ihtiyaçlarınızın bir listesini yapmak, daha sonra bu ihtiyaç listesine göre ürünleri filtrelemek en doğru yaklaşım olacaktır.
Acunetix
Acunetix, web uygulaması güvenliğini değerlendirmek ve güvenlik açıklarını tespit etmek için kullanılan popüler bir web uygulaması güvenlik tarayıcısı ve otomasyon aracıdır. Web uygulamalarının siber tehditlere ve saldırılara karşı ne kadar güvenli olduğunun belirlenmesine yardımcı olur.
Gelişmiş yapısı sayesinde web uygulamalarınızı periyodik ve otomatik olarak tarar, zafiyetleri rapor eder, diğer güvenlik ve raporlama ürünlerinizle entegre olarak en önemli saldırılardan biri olan web uygulamalarınızla ilgili sorunlardan haberdar olmanızı sağlar. yüzeyler.
Genel Bakış
Acunetix’e giriş yaptığımızda oldukça basit bir gösterge paneli arayüzü ile karşılaşıyoruz. Bu panelde Acunetix’e daha önce tanımladığımız hedeflere ilişkin özet bilgileri görüntüleyebilir ve mevcut güvenlik durumumuz hakkında hızlı bir şekilde bilgi alabiliriz. Bu kontrol paneline uygulamanın herhangi bir yerinden soldaki menüden “genel bakış”a tıklayarak erişebiliriz.
Keşif
Acunetix bünyesinde en çok kullanacağımız departmanlardan biri Discovery.
Bu bölümde daha önce tanımladığınız hedeflerin listesini ve bu hedeflere ait “İlk Görülme” ve “Son Görülme” değerlerini göreceksiniz. Bu bilgi her şeyin yolunda gittiğinden emin olmak için önemlidir.
Aynı bölümün altındaki alt menülerde “Eklenenler” ve “Hariç Tutulanlar” ayarlarını görebilirsiniz.
Acunetix’in “Keşif” bölümü web uygulamalarını taramadan önce yapmanız gereken hazırlık ve konfigürasyon işlemleri için kullanılır. Bu bölüm, taramayı başlatmadan önce önemli ayarları yapılandırmanıza ve hedefleri tanımlamanıza olanak tanır. Discovery ilk açıldığında, daha önce girdiğiniz hedeflerin bir dökümünü göreceksiniz.
Hedef URL’leri Ekle : Taramak istediğiniz web uygulamalarının veya sitelerin URL’lerini veya IP adreslerini ekleyin. Bu, Acunetix’in tarayacağı hedefleri belirlemenize yardımcı olur.
Kimlik Doğrulama Bilgilerini Ekle : Web uygulamaları oturum açmayı gerektiriyorsa, kimlik doğrulama bilgilerini (kullanıcı adı ve şifre) ekleyin. Bu, tarayıcının oturum açmasına ve oturum açmışken güvenlik açıklarını tespit etmesine olanak tanır.
Oturum Yönetimi Bilgilerinin Eklenmesi : Web uygulamasında oturum yönetimi gerekiyorsa bu oturum yönetimi bilgisini ekleyin. Örneğin bir oturum kimliği, oturum belirteci veya çerez bilgisi olabilir.
Gelişmiş Ayarların Ayarlanması : Tarama davranışını ve taranan hedefleri özelleştirmek için gelişmiş ayarları yapılandırabilirsiniz. Bu, taramanın kapsamını ve derinliğini kontrol etmenizi sağlar.
Tarayıcı Kimliği Tanımlaması : Acunetix’in tarayıcı kimliğini belirtin. Bu, web uygulamasına yönelik isteklerin gerçek bir kullanıcının tarayıcısından geldiğini simüle etmeye yardımcı olabilir.
Hedefler Arasındaki Kapsamın Belirlenmesi : Tarama kapsamını belirleyin. Hangi URL’lerin veya sayfaların taranacağını ve hangilerinin hariç tutulacağını belirlemek için bu özelliği kullanabilirsiniz.
HTTP Kimlik Doğrulama Ayarları : Web uygulamanız HTTP kimlik doğrulaması gerektiriyorsa ilgili kimlik doğrulama ayarlarını yapın. Bu, Acunetix’in kimlik doğrulama gereksinimlerini karşılamasına yardımcı olur.
Otomatik Oturum Yönetimi Ayarları : Acunetix’in oturum yönetimini otomatikleştirme yetenekleri vardır. Bu, oturum açma işlemlerini tarayıcı aracılığıyla otomatik olarak işlemesine olanak tanır.
Ayarlar
Acunetix Keşif menüsünün Ayarlar bölümündeki ayarlar, Acunetix’in web uygulamalarının ve hizmetlerinin otomatik olarak keşfedilmesini kontrol eder. Bu ayarlar, keşfedilecek web uygulamalarının sayısını ve kapsamını, keşif sürecinin hızını ve hassasiyetini belirler.
Bu menüdeki seçenekler ve işlevleri aşağıdaki gibidir:
E-posta Eşleştirme: Bu seçenek etkinleştirildiğinde Acunetix, kullanıcının e-posta adresindeki ikinci düzey alan adını kullanarak web uygulamalarını eşleştirir.
Web Sitesi Eşleştirme: Bu seçenek etkinleştirildiğinde Acunetix, kullanıcı tarafından daha önce keşfedilen web uygulamalarının alan adlarını kullanarak web uygulamalarını eşleştirir.
Yalnızca Kayıtlı Etki Alanları: Bu seçenek, keşfin yalnızca kayıtlı etki alanlarını içeren web uygulamalarını ve hizmetlerini bulmasını sağlar. Bu seçenek etkinleştirildiğinde bulma, henüz kayıtlı olmayan veya kayıtlı ancak kullanımda olmayan etki alanlarını içeren web uygulamalarını ve hizmetlerini yok sayar.
Ters IP Adresi Arama: Bu seçenek etkinleştirildiğinde Acunetix, kullanıcının IP adresini kullanarak web uygulamalarını eşleştirir.
Kuruluş Adı Eşleştirme: Bu seçenek etkinleştirildiğinde Acunetix, web uygulamalarını kullanıcının kuruluşunun adını kullanarak eşleştirir.
Kapsamalar
Dahil Edilenler menüsü, Acunetix Discovery’nin keşif sürecinin kapsamını kontrol etmek için kullanılır. Bu menü, keşif sürecinin dikkate alacağı etki alanı adlarını, IP adreslerini ve kuruluş adlarını eklemek için kullanılabilir.
Eklenenler menüsü aşağıdaki ayarları içerir:
İkinci Düzey Alan Adları: Bu alana keşif işleminin dikkate alacağı ikinci düzey alan adlarının eklenmesi mümkündür.
Top-Level Domains: Bu alana keşif işleminin dikkate alacağı üst düzey domainlerin eklenmesi mümkündür.
Organizasyon Adları: Bu alana keşif işleminin dikkate alacağı organizasyon adlarını eklemek mümkündür.
IP Adresleri: Bu alana keşif işleminin dikkate alacağı IP adreslerini eklemek mümkündür.
Örneğin, bir e-ticaret şirketiyseniz, yalnızca kendi alan adınızı ve alt alan adlarınızı keşfetmek için Dahil Edilenler menüsünü kullanabilirsiniz. Bu, keşif sürecinin hızını artıracak ve yalnızca şirketinizin web uygulamalarının ve hizmetlerinin keşfedilmesini sağlayacaktır.
Veya bir devlet kurumuysanız, yalnızca devlete ait alan adlarını keşfetmek için Dahil Edilenler menüsünü kullanabilirsiniz. Bu, keşif sürecinin kapsamını daha da daraltacak ve yalnızca devlete ait web uygulamalarını ve hizmetlerini keşfetmesini sağlayacaktır.
İstisnalar
Hariç tutulanlar menüsü, dahil edilenler menüsünün tersi şekilde çalışır. İki menü arasındaki temel fark, Dahil Edilenler menüsünün keşif sürecinin kapsamını genişletmesi, Hariç Tutulanlar menüsünün ise keşif sürecinin kapsamını daraltmasıdır. Yani bu menü, keşif işleminin dikkate almayacağı alan adlarını, IP adreslerini ve kuruluş adlarını eklemek için kullanılabilir.
IP Adresleri: Bu alana keşif işleminin dikkate almayacağı IP adreslerini eklemek mümkündür.
Organizasyon Adları: Bu alana keşif işleminin dikkate almayacağı kuruluş adlarını eklemek mümkündür.
Üst Düzey Alan Adları: Bu alana, keşif işleminin dikkate almayacağı üst düzey alan adlarının eklenmesi mümkündür.
İkinci Düzey Alan Adları: Bu alana, keşif işleminin dikkate almayacağı ikinci düzey alan adlarının eklenmesi mümkündür.
Hedefler
Acunetix Hedefleri menüsü, Acunetix’in web uygulamaları ve hizmetlerini taramasını kontrol etmek için kullanılır. Bu menü, taranacak web uygulamalarını ve hizmetlerini eklemek, kaldırmak ve düzenlemek için kullanılabilir.
Menüye tıkladığımızda yukarıdaki gibi bir ekranla karşılaşıyoruz. Bu ekranda daha önce ele aldığımız ve taradığımız hedeflerin listesini, tarama sonuçlarında elde edilen bulguların önem derecesine göre bu hedeflerin sayısını, son tarama zamanı ve tarama durumuna ilişkin bilgileri görebiliriz. Bulguların önemine göre sayıların gösterildiği alanda hangi değerin hangi seviyeyi gösterdiğini görmek için aşağıdaki görseli inceleyebilirsiniz.
Ekranın sağ üst kısmında göreceğiniz butonlar arasında sadece CSV’yi Dışa Aktar seçeneği aktif olacaktır. Bu buton sayesinde ekranda gördüğünüz listeyi virgülle ayrılmış metin dosyası formatında çıktı alabilirsiniz.
En az bir tarama sonucunu seçtiğinizde ekranın üst kısmındaki diğer seçenekler de aktif hale gelecektir.
Bu seçenekler arasında ilk sırada yer alan Export to… seçeneği, ilk sırada “Web Application Firewall” seçeneğini görüyoruz ve bu seçeneğin altında farklı WAF ürünleri için dışa aktarma seçenekleri yer alıyor. Bu seçenekler sayesinde tarama sonuçlarındaki zafiyetlere ilişkin WAF kurallarını ürünümüze uygun formatta import edip WAF ürünümüze ekleyebiliyoruz. (WAF ürünümüzün yeteneklerine bağlı olarak bu işlemi otomatikleştirme ve tarama sonuçlarına göre kuralları otomatik olarak WAF ürününe gönderme seçenekleri de mevcuttur.)
Dışa Aktar… menüsü CSV, JSON ve XML’dir. Bu seçenekleri kullanarak dışa aktarılan verileri programlı olarak diğer güvenlik ve izleme ürünlerinize entegre edebilir veya Excel vb. ortama aktarabilirsiniz. Ürünlerde kullanabilirsiniz.
Rapor Oluştur butonunu kullanarak Acunetix’in sunduğu yerleşik raporlara erişebilir ve tarama sonuçlarını farklı yaklaşımlara göre raporlayabiliriz.
Ekran görüntüsünde de görebileceğiniz gibi işletmeniz için veya kurum bünyesinde uygulama geliştiren geliştiriciler için yürürlükteki mevzuatlar açısından çıktılar oluşturmanız mümkün.
Sil Butonu ile seçtiğiniz rapor veya raporları silebilirsiniz.
Grup Düğmesi ile arama sonuçlarınızı gruplandırabilirsiniz.
Taramalar
Taramalar menüsü, Hedefler menüsüyle hemen hemen aynı özelliklere sahip olup, Hedefler menüsünde karşılaşmadığımız Taramaları Durdur , Taramaları Sil ve Taramaları Karşılaştır seçeneklerini de karşılıyoruz.
Taramaları Durdur seçeneği, durumu Tamamlanmayan taramaları seçtiğimizde taramaları aktif olarak durdurmamıza olanak tanır.
Taramaları Sil seçeneği, seçtiğimiz taramaları silmemizi sağlar.
Taramaları Karşılaştır seçeneği, farklı tarihlerde gerçekleştirilen iki taramanın sonuçlarını karşılaştırmanıza olanak tanıyan çok kullanışlı bir özelliktir. Bu özellik sayesinde iki tarama arasında yapılan çalışmaların sonuçları nasıl değiştirdiğini kolaylıkla takip edebiliyoruz.
Güvenlik açıkları
Zafiyet modülü, taranan Hedeflerde tespit edilen güvenlik açıklarının raporlandığı modüldür.
Daha önce Hedefler modülünde anlattığımız şiddetleri bu kez aynı renk kodu ve açıklamasıyla ilk sütunda görüyoruz.
İkinci sütunda zafiyetin adını, üçüncü sütunda ise zafiyetin tespit edildiği URL’yi görüyoruz.
Parametreler sütununda zafiyeti tespit etmek için bir parametre kullanılmışsa bu parametreyi görüyoruz.
Durum sütunu, güvenlik açığının mevcut durumunu görüntüler. Bu sütunda görünebilecek olası değerler aşağıdaki gibidir:
Yeni: Bu, Acunetix’in daha önce tespit etmediği yeni bir güvenlik açığı anlamına gelir.
Yeniden Keşfedildi: Bu, daha önce Acunetix tarafından tespit edilip giderilen bir güvenlik açığının yeniden tespit edildiği anlamına gelir.
Açık: Bu, güvenlik açığının henüz giderilmediği anlamına gelir.
Düzeltildi: Bu, güvenlik açığının giderildiği anlamına gelir.
Güvenlik açığı değil: Bu, güvenlik açığının gerçek bir güvenlik açığı olmadığı anlamına gelir.
Yanlış pozitif: Bu, güvenlik açığının yanlış algılandığı anlamına gelir.
Bir sonraki sütun olan Güven Sütunu’nda Acunetix’in tespit ettiği güvenlik açığının geçerliliği konusunda ne kadar emin olduğuna dair yüzdelik bir ayrıntı görüyoruz. %100 güvenlik açığının kesinlikle geçerli olduğunu belirtirken %50 ise Acunetix’in sonuçtan pek emin olmadığını gösteriyor.
Son Görülme sütunu, bulgunun en son tespit edildiği tarihi gösterir.
Profilleri Tara
Soldaki ana menünün sağ alt kısmında Tarama Profilleri ayarları bulunur. Bu modülde tıpkı Acunetix’te varsayılan olarak gelen birçok tarama profili olduğu gibi, sağ üst köşedeki “Yeni Profil Ekle” butonuna tıklayarak kendi özel profillerimizi oluşturabiliriz .
Kendi profillerimizi oluştururken Acunetix’teki hazır scriptlerden ihtiyaç duyduklarımızı seçerek ilerleyebilir veya kendi scriptlerimizi yazabiliriz.
WAF
Son olarak daha önce Targets and Scans modüllerinde bahsettiğimiz WAF entegrasyonu için bu menüyü kullanabiliriz. Bu menü sayesinde örneğin Acunetix’imizi Amazon Cloud Front’a entegre edebiliyoruz ve WAF ürünümüzün tarama sonuçlarımıza göre otomatik olarak azaltma yapmasını sağlayabiliyoruz.