Güvenlik / Security Makaleleri - Teknik Açıklık Yönetimi !

Teknik açıklık yönetimini kısaca, bilgi sistemlerinde var olan teknik açıklıkların tespit edilmesi, açıklıkların değerlendirilip önlemlerin ortaya konması, uygun önlemlerin seçilerek uygulanması ve uygulama sonuçlarının gözlenmesi olarak tanımlayabiliriz. Teknik açıklık yönetimi bir kurumdaki temel bilgi güvenliği süreçlerinden birisidir ve sürekli işlemesi gereken bir süreçtir. ISO 17799’ un en güncel hali olan ISO 17799:2005’te [1] bu süreç ‘Bilgi Sistem Edinim, Geliştirme ve Bakımı’ kontrol grubu içerisinde ayrı bir güvenlik kategorisi olarak ele alınmıştır.

Teknik açıklık yönetimi aslında kimi zaman sadece yama yönetiminden ibaret zannedilmekte [2], kimi zaman açıklık tarayıcı araçlarla sistemlerin taranması ve sonuçların değerlendirilmesi olarak düşünülmektedir, kimi zaman ise güvenlik danışmanlığı veren şirketlere yaptırılan periyodik içeri sızma testlerinin veya güvenlik denetimlerinin sonuçlarını değerlendirmek olarak algılanmaktadır. Yama yönetimi, teknik açıklık yönetimi sürecinde açıklıkların önlenmesindef önemli bir korunma mekanizmalarından birisidir. Açıklık tarama işlemi ve danışmanlara yaptırılan penetrasyon testleri teknik açıklıkların tespitinde kullanılabilecek yöntemlerdendir. Fakat tüm bu çalışmalar söz konusu sürecin sadece belirli parçalarıdır.

Yaptığımız çalışmalarda gözlemliyoruz ki aslında kurumların büyük bir kısmı güvenlik duvarları, virüs tespit sistemleri, sanal özel ağlar, saldırı tespit sistemleri gibi temel bilgi sistemi güvenliği mekanizmalarını sistemlerinde kurmuş durumdalar. Hatta kamu kurumları gibi kaynakları çoğu zaman kısıtlı olabilen kurumlar dahi aslında önemli güvenlik mekanizmalarına sahipler [3]. Çoğunlukla güvenlik açıklıklarının kaynağı, bu mekanizmaların eksik veya yanlış konfigürasyonları, uygulama geliştirmede güvenliğin dikkate alınmaması, yama eksikliği, sistemlerin güvenlik ile ilgili konfigürasyonlarının iyi ayarlanamamış olması ve ağ topolojisindeki eksikliklerdir. Bu açıklık kaynaklarından büyük bir çoğunluğu aslında az bir çabayla önlenebilecek unsurlardır. Fakat çoğunlukla en önemli problemler, bu açıklıkların ortaya çıkarılmaması, çıkarılmışsa önlemlerin belirlenmemesi, önlemler belirlenmişse dahi bu önlemlerin uygulanıp uygulanmadığının bir zaman planı dahilinde kontrol edilmemesidir. Yani temel problem tam bir teknik açıklık yönetimi sürecinin oluşturulmamasıdır.

Son zamanlarda, kurumlar, bilgi güvenliği yönetim sistemlerini (BGYS) oluşturma çabası içerisine girmişlerdir. Bu çaba içerisine girmeyenler de aslında bu yapının eksikliğini hissetmektedirler ama iş gücü eksikliği gibi sebeplerle gerekli çalışmalara başlayamamaktadırlar. ISO 17799 gibi standartlar okunduğunda ise yapılacak bir çok işin olduğu farkedilmekte ve bu kadar işle başa çıkma konusunda karamsarlığa düşülmektedir. Sistemin kısa ile orta vadede etkin sonuçlar doğuracak iki temel ayağı teknik açıklık yönetimi ve kullanıcı bilinçlendirilmesidir. Bu iki konu ilk olarak ele alınabilir. Kurumda etkin bir teknik açıklık yönetimi oluşturmak ve kullanıcı güvenlik politikası oluşturarak bu politikayı kullanıcılara birebir anlatmak BGYS çalışmaları için iyi bir başlangıç olacaktır. Tabi bu iki unsur da devam eden süreçler olarak ele alınmalı ve buna göre kurumda uygulanmalıdır. BGYS çalışmalarında önemli bir yol kateden kurumlar ise risk yönetimi departmanları oluşturmuştur. Bu departmanlar özellikle bilgi güvenliği süreçleri ile ilgili riskleri ortaya k****ktadırlar. Ama çoğunlukla bu departmanlar süreçler üzerine yoğunlaşmakta, teknik açıklıklardan kaynaklanan riskleri yönetmede çok etkin rol oynayamamaktadırlar.

Teknik açıklık yönetimi, korunması gereken sistem ve bilgi varlıklarının envanterinin çıkarılması ile başlar. İlk planda kolay gibi gözüken bu ilk adımı bile çoğu büyük kurumda gerçekleştirmek gerçekten çok zordur. Büyük kurumlarda operasyonel hizmetler farklı organizasyon birimleri altında yürütülmektedir ve varlıkların envanterinin tutulması ile ilgili koordinasyon bu birimler arasında sağlanamamaktadır. Dolayısıyla korunması gereken varlıkların bile bilinememesi, teknik açıklık yönetimi sürecinin daha başında önemli bir eksiklik oluşturmaktadır. Bir kurumda, varlık envanterini tutmak bir birimin görevi olmalı, varlıklarda verilen servislerdeki değişiklikler, bu servisleri sağlayan uygulamalardaki değişiklikler, topoloji değişiklikleri ve önemli konfigürasyon değişiklikleri söz konusu birime zamanında iletilmelidir. Yeni hizmete giren varlıklar envantere zamanında kaydedilmeli, hizmeti biten varlıklar sistemden çıkarılarak envanterden fsilinmelidir. Çoğu kurumda hizmet vermeyen ama sistemde yer alan ve bir çok güvenlik açıklığı içeren varlıklar tespit edilebilmektedir. Bu varlıklar her ne kadar aktif bir hizmet vermeseler dahi üzerlerinde önemli bilgiler barındırabilirler ya da saldırganlar söz konusu varlıkları içerdikleri muhtemel güvenlik açıklıklarını kullanarak aktif olarak hizmet veren varlıklara geçiş yapmak için kullanabilirler. Dolayısıyla varlık envanterini tutan birim, periyodik olarak tüm varlıkları kontrol etmeli ve hizmeti sona ermiş olan ama hala sistemde yer alan varlıkları bu kontrollerde tespit etmelidir. Varlık envanteri çıkarılması aşamasının önemli bir adımı da varlıkların sınıflandırılmasıdır. Varlıklar gizlilik, bütünlük ve sürekliliklerinin önem derecelerine göre varlık sahipleri tarafından sınıflandırılmalıdır. Elbette bu sınıflandırma işlemi, kurumca ortaya konmuş açık, herkes tarafından aynı şekilde anlaşılan, kurumun iş hedeflerini yansıtan ortak bir sınıflandırma metodolojisine dayanarak yapılmalıdır. Varlık sınıflandırma çalışmasının sonuçları üst yönetim tarafından onaylanmalıdır. Varlıkların sınıflandırılması, ileride bize içerdikleri açıklıklardan kaynaklanabilecek riskleri derecelendirmede yardımcı olacaktır.

Varlıklardaki güvenlik açıklıklarının tespiti, güvenlik tarayıcı araçlarla sistem varlıklarının taranması, oluşturulan kontrol listelerine göre varlıkların kontrol edilmesi ve danışman kurumlara güvenlik testleri yaptırılması ile gerçekleştirilebilir.

Güvenlik tarayıcı araçlar, bazı yetersizliklerine rağmen, açıklıkların hızlı bir şekilde tespit edilmesinde çok faydalıdırlar. Özellikle, ürettikleri hatalı pozitif (false positive) sonuçları ayıklayabilecek teknik yeterliliğe sahip kişiler tarafından kullanılması durumunda etkili sonuçlar verirler. Hangi varlığın hangi tarama profili dahilinde taranacağı ortaya konmalıdır ve bu profillere göre varlıklar periyodik olarak taranmalıdır. Tarama işlemi kritik sistem varlıkları için daha sıklıkla yapılabilir. Ayrıca üzerinde değişiklik yapılan veya sisteme yeni ilave edilen varlıklar da tarama işlemine tabi tutulabilirler. Web uygulamalarına ya da veritabanlarına özel tarama araçları da, ilgili sistemlerin güvenlik taramalarında tercih edilmelidir. Ayrıca bazı tarama araçlarının sistemler üzerinde lokal olarak tarama yapan ajanları da mevcuttur. Bu ajanlar yardımıyla uzaktan yapılamayacak bazı önemli testler de gerçekleştirilebilir. Tarama işlemleri, varlıkların yoğun olarak çalışmadıkları zamanlarda açıklık veritabanları güncellenmiş tarama araçları ile varlıklara mümkün olduğunca zarar vermeyecek şekilde gerçekleştirilmelidir. Tarama sonuçlarının, varlıkların sahipleri veya varlıkları yöneten kişilerle birlikte gözden geçirilmesi ve gerektiğinde taranan varlığın konfigürasyonun kontrol edilmesi, özellikle araçların ürettiği sonuçlardan hatalı pozitif olanları elemede çok yararlı olacaktır.

Kontrol listeleri oluşturma, kontrol listelerindeki maddelerinin operasyonel birimlerce uygulanması ve maddelerin periyodik olarak denetlenmesi teknik açıklık yönetiminde önemli yer tutar. Özellikle tarama araçları ile kontrol edilemeyen işletim sistemi ya da uygulamaların güvenlik ile ilgili parametreleri oluşturulan kontrol listeleri ile denetlenebilir. Kontrol listeleri ile detaylı koruma (defence in depth) mekanizmalarının ve en iyi yöntemlerin (best practices) sistemde uygulanıp uygulanmadığı ortaya konabilir. Sistemlerdeki tanımlı kullanıcıların varlığı ve söz konusu kullanıcıların erişim haklarının gözden geçirilmesi de kontrol listesinin önemli maddeleri arasında yer alabilir. Teknik açıdan basit gözüken bu gözden geçirmelerin aslında ne kadar önemli olduğu herkes tarafından bilinir. Kurumdan ayrılan ya da kurumda pozisyonu değişen kişilerin erişim haklarının geri alınması veya değiştirilmesi çoğu kez zamanında yapılamaz. Aslında kurumun değişik departmanları arasında tanımlı olabilecek basit süreçlerle önlenebilecek bu güvenlik problemi, güvenlik kontrol listelerinin gözden geçirilmesi durumunda ortaya çıkacaktır. Kontrol listelerinde, varlıklarda tutulması gereken kayıtların gerçekte tutulup tutulmadığının denetlenmesi ile ilgili maddelerin de yer alması çok faydalı olacaktır.

Kontrol listeleri oluşturma, listelerin güncellenmesi gibi işlemler ilk planda zor ve çok zaman gerektiren işlemler gibi gözükse de uygun yöntemler kullanılarak işleyen bir kontrol listesi oluşturma sistemi ortaya konabilir. Kontrol listeleri oluşturmak için literatürde birçok kaynak mevcuttur hatta bazı kontrol listeleri İnternet’ten erişilerek doğrudan kullanılabilir. İlk olarak işletim sistemleri ve uygulamalar ile ilgili genel kontrol listeleri oluşturulmalıdır (Windows 2003, MSSQL 2000, IIS 6.0 kontrol listeleri gibi). Bu genel kontrol listelerinin tüm maddeleri değişik fonksiyonel gereklilikler sebebiyle uygulanamayabilir ya da bu genel kontrol listelerine ek olarak spesifik bir varlık için ilave maddeler gerekebilir. Uygulanamayacak maddeler veya eklenmesi gereken maddeler varlık bazında belirlenmelidir. Kontrol listeleri bu şekilde bir çeşit nesne yönelim (object-oriented) mantığıyla oluşturulabilir. Kontrol listeleri zamanla güncellenmelidir. Uygulamalarda veya işletim sistemlerinde önemli değişiklikler olması (örneğin IIS 5.0’dan IIS 6.0’a geçiş) durumunda veya yeni saldırı tipleri ortaya çıktığında söz konusu güncellemeler yapılmalıdır. Kontrol listeleri oluşturmada en önemli noktalardan biri yeni bir sistemin devreye alınmadan önce kesinlikle bir güvenlik kontrol listesinin hazırlanmış olmasıdır. Bu durum ilk planda, sistemlerin devreye alınmasını geciktirebilecek bir durum gibi gözükse de aslında yeni bir sistemin kabul edilmesi evrelerinin (alternatif sistemlerin denenmesi, uygun olana karar verme, satın alma süreci, sistemlerin kabul testleri v.b) uzunluğu dikkate alınırsa güvenlik kontrol listesi oluşturmanın bu uzun süreç içerisinde çok önemli bir zaman tutmayacağı tahmin edilebilir. Yine de tüm sistemlerin güvenlik kontrol listesi yönetimine dahil edilmesinin gerek zaman gerekse iş gücü açısından uygun olmayacağı düşünülüyorsa söz konusu süreç en azından kritik sistemler için yapılabilir. Ayrıca kontrol listelerine göre sistemlerin denetlenmesi işlemi de kritik sistemler için daha sık, kritik olmayan sistemler için daha uzun aralıklarla yapılabilir. Tabi bu kararı alabilmek için, teknik açıklık yönetimin ilk adımı olan varlık envanterini çıkarma ve varlıkların kritiklik derecelerini belirleme işleminin ne kadar önemli olduğunu tamamlanmış olmasını belirtmekte yarar var.

Bir çok kurum, güvenlik danışmanlığı yapan şirketlere, güvenlik taraması, sızma testi veya güvenlik denetimi yaptırmaktadır. Bu çalışmalar, teknik açıklıkların tespit edilmesinde önemli yer tutar. Söz konusu çalışmaların önemli olmasının ilk sebebi kurum dışından farklı bir gözle objektif olarak sistemlerin denetlenmesidir. Kurum ne kadar teknik bilgi ve beceriye sahip olursa olsun, farklı bir göz farklı açıklıklar tespit edebilir. Hatta kurumlar, çalıştıkları danışman firmaları zamanla değiştirerek daha farklı gözleri tercih etmektedirler. İkinci olarak üst yönetim, kurum içinde yapılan açıklık tespit etme faaliyetlerinin sonuçlarını danışman firmaların yaptığı çalışmaların sonuçları ile karşılaştırarak kurum içi faaliyetlerin eksik taraflarını ortaya koyabilir, yeterliliği hakkında bilgi edinebilir. Üçüncüsü danışman firmaların birçoğu konularında uzman kişileri çalıştırdıkları için bu firmalar farklı gözden de öte sistemlerde tespit edilmesi zor açıklıkları belirleyebilirler.

Çoğunlukla kurumlar kendi içlerinde açıklık tespit etme fonksiyonlarını oluşturamadıkları için danışman firmalara yaptırılan çalışmaların sonuçlarını tek bilgi kaynağı olarak kullanmaktadırlar. Bu tür çalışmaların süresi arttıkça maliyeti de arttığından danışman firmalara kısıtlı zamanda geniş kapsamlı çalışmalar yaptırılmaktadır. Bu durumda da firmalar sistemleri tarayıcı araçlarla güvenlik taramasından geçirip sonuçların içerisindeki hatalı pozitifleri elemine etmek ve bazı bariz açıklıkları kullanarak sistemleri ele geçirmeye çalışmaktan öte bir şey yapamamaktadırlar. Çoğu zaman bütçe nedenleri ile söz konusu çalışmaların süresini uzatmak mümkün olmadığına göre, danışman firmaların uzmanlıklarından tam yararlanmak için güvenlik çalışmasının kapsamını sadece kritik sistemleri dahil edecek şekilde daraltmak ve onların bu dar kapsamdaki sistemler üzerinde konsantre olmalarını sağlamak daha iyi bir seçim olacaktır. Böylelikle güvenlik değerlendiricileri mümkün olan tüm test adımlarını rahatlıkla uygulayabileceklerdir.

Teknik açıklıkların tespit edilmesi işlemi sadece sistemde hangi açıklıkların bulunduğunun belirlenmesini değil aynı zamanda bu açıklıkların oluşturduğu risklerin de derecelendirilmesini içermelidir. Açıklık tespiti, kurumda elbette birden çok kişinin katıldığı bir çalışmanın sonucudur. Hatta bu çalışmada yukarıda anlatıldığı gibi danışman firmalar da yer alabilir. Farklı kişilerin katıldığı farklı çalışmalar sonucu ortaya çıkan açıklıkların ortak bir risk ölçütü diliyle derecelendirilmesi gerekmektedir. Böylelikle kurum daha çok risk oluşturan açıklıklara odaklanabilir. Bu hedefi tutturabilmek için anlaşılır, karmaşık olmayan ama kurumun iş hedeflerini de yansıtan bir risk değerlendirme ölçütü belirlenmelidir. Oluşturulan risk ölçütü danışman firmalarla da paylaşılmalı ve firmaların buldukları açıklıkları söz konusu ölçütlere göre derecelendirmeleri istenmelidir. Söz konusu çalışmalar sırasında danışman firmalardan, oluşturulmuş risk ölçütleri hakkında değerlendirmelerini almak faydalı olacaktır.

Tespit edilen açıklıklar doğrulanmalıdır. Doğrulamanın en iyi yöntemi, elde edilen açıklıkları varlıkların yöneticileriyle tartışmaktır. Böylelikle hatalı pozitif bulguların süzülmesi sağlanabilir. Karşılıklı mutabakat sağlanamayan durumlar varlıklar üzerinde daha detaylı incelemeler sonucunda açıklığa kavuşturulmalıdır.

Elbette teknik açıklık yönetimi açıklıkların tespit edilmesi ile sona ermez. Tespit aşamasından sonra açıklıkları kapatma ya da açıklıkların etkilerini azaltma yöntemleri ortaya konmalıdır. Söz konusu yöntemler içerisinden uygun olanı seçilmeli ve bu yöntemin uygulanması ile ilgili zaman planlaması yapılmalıdır. Açıklıkların kapatılması ile ilgili plan dahilinde, yapılması gereken çalışmalar kontrol edilmelidir. Aslında periyodik açıklık tespiti çalışmaları bu kontrolü sağlamada etkin bir rol oynar. Ama yüksek dereceli risk oluşturan açıklıkların kapatılıp kapatılmadığı ek denetim çalışmaları ile ortaya konmalıdır.

Peki, üst yönetimin teknik açıklık yönetiminde üzerine düşen görevler nelerdir? İlk olarak üst yönetim, teknik açıklıkların tespit edilmesi ve gerekli önlem belirleme ile bu önlemlerin uygulanması fonksiyonlarını kurumda kimin yapacağına karar vermelidir. Teknik açıklık yönetimi kurumdaki farklı departmanlar arasında koordinasyon gerektirmektedir. Üst yönetim söz konusu koordinasyonu sağlamalıdır. İkinci olarak da açıklık yönetiminin temel evreleri ile ilgili çalışmaları başlatmalı, bu evrelerin sonunda bilgilendirici raporlar talep etmeli ve söz konusu raporları onaylamalıdır. Varlık envanteri raporunu, periyodik açıklık tespiti çalışmalarının özet raporlarını, periyodik yapılan bu çalışmaların karşılaştırma raporlarını talep etmelidir. Özellikle karşılaştırma raporları sistemlerin iyileşme sürecinin gözlenmesinde önemli bir bilgi kaynağıdır. Ayrıca üst yönetim tespit edilen çalışmaların kapatılması ile ilgili bir plan talep etmeli, bu planı onaylamalı ve planın gerçekleşmesi için gerekli iş gücünü ayırmalıdır. Planın uygulanıp uygulanmadığını da denetlemelidir.

Bir sistemin açıklık içermemesi beklenemeyeceği gibi tespit edilen açıklıkların tümünün kısa zaman içerisinde kapatılması da pratikte mümkün değildir. Ama beklenen kurumun devamlı olarak iyiye gitmesidir.

Saygılar..