zaafiyet türleri

Siber Güvenlik Zafiyetleri Nelerdir? Sonuçları Nelerdir?
Siber güvenlik zafiyetlerini; elektronik bir sistem üzerinde yer alan donanım veya yazılımları, siber saldırılara açık hale getiren hatalar olarak tanımlıyoruz. Bu hatalardan yararlanan saldırganlar, sisteminizde yetkili erişim elde ederek değişiklikler yapabilir veya verileri ele geçirerek zararlı sonuçlar doğurabilirler.

Bu noktada siber saldırganların sürekli olarak sisteminizde hatalar, açıklar veya zafiyetler aradığının altını çizmek ve sürekli olarak zafiyet tespit etmek için uğraş verdiklerini hatırlatmak isteriz. Tespit edilen hatalardan faydalanan siber saldırganlar bu zafiyetler sayesinde sistemlerinize erişerek fidye talep edebilir, verilerinizi silebilir veyahut bir siber suç ile karşılaşabilirsiniz. Doğal olarak siber saldırıların sonuçlarına baktığımız zaman maddi ve manevi olarak olumsuzluklar yaşarken, iş sürekliliğinin de aksayabileceğini hatırlatmak isteriz.

Siber Güvenlik Zafiyet Türleri Nelerdir?
SANS’ın İlk CVE 25 listesine göre, üç ana güvenlik açığı türü vardır.

Hatalı savunma
Kaynak yönetimi
Öğeler arasında güvensiz bağlantı
Hatalı savunma; kurumların davetsiz misafirlerden korumayı başaramayan savunma önlemlerini ifade eder. Genel olarak hatalı yapılandırılmış firewall cihazları, yanlış yetkilendirme yapılmış çalışanlar, zayıf şifreleme türleri ve yanlış seçilen kimlik doğrulama türlerini bu kapsama alabiliriz.

Kaynak yönetimi; bir sistem içindeki kaynakları transfer etmeyi, kullanmayı, oluşturmayı ve hatta yok etmeyi içermektedir. Kaynakların yönetimi zayıf veya riskli olduğunda, kuruluşunuzun potansiyel tehlikelere açık olduğunu unutmamalıyız.

Güvensiz bağlantı; Sisteminizin veya ağınızın bileşenleri arasındaki iletişim metotları güvensiz olduğunda, kuruluşunuz SQL injection ve benzeri saldırılara açık hale gelebilir. Bu sayede kötü niyetli hackerlar yanlış yönlendirme, siteler arası komut dosyası çalıştırma ve çok daha fazla tehditle karşınıza çıkabilmektedirler.

Siber Güvenlik Zafiyet Taraması
Zafiyet taraması bir sistemdeki olası açıkların belirlenmesine yönelik tasarlanmış siber güvenlik ürünlerinin gerçekleştirdiği test türlerini kapsamaktadır. Bu zafiyetler genellikle otomatik olarak yapılandırılmış araçlar (Nessus, Nmap) sayesinde ortaya çıkarılır. Bu araçlar sistemlerde farklı teknikler kullanarak zafiyetleri tespit edebilme kabiliyetine sahiptir. Bu işlemi yapan araçlar otomatik zafiyet tespitlerini belirlenmiş olan uluslararası metodolojilere göre uygulamaktadırlar.

Zafiyet Taramaları Nasıl Yapılır?

Siber güvenlik zafiyet taramaları, alanında uzman siber güvenlik araştırmacıları tarafından otomatize zafiyet tarama araçları ve kendi tecrübelerini kullanarak yapmış oldukları manuel taramalarla gerçekleştirilir. ERP, CRM veya SCADA sistemleri gibi hassas sitemlerde otomatik zafiyet tarama araçları kullanırken dikkat etmek gereklidir. Aksi takdirde bu araçların oluşturacağı trafik sistemdeki cihazların devre dışı kalmasına veyahut zarar görmesine sebep olabilir. Bu sebeple bu araçları kullanan kişiler alanında uzman ve tecrübeli siber güvenlik uzmanları arasından seçilir.

Zafiyet taramaları yapılarak kurum veya kuruluşların elektronik sistemlerindeki hatalar, problemler, arka kapılar ve benzeri kötü niyetle kullanılabilecek zafiyetler tespit edilir. Sonrasında ise kuruma siber güvenlik zafiyet taraması raporları sunularak bu zafiyetlerin kapatılması amaçlanır.

Siber güvenlik zafiyetleri kötü niyetli kişiler tarafından tespit edildiğinde kurum ve kuruşlarda maddi ve manevi kayıplara sebep olabilmektedir. Geçmiş yıllarda yaşanmış olan Zoom güvenlik zafiyetini bu duruma örnek olarak gösterebiliriz.

Mitch isimli bir güvenlik araştırmacısı Zoom üzerinde bir zafiyet keşfetmiştir. Zafiyet sohbet penceresi üzerinde ortaya çıkmış ve “\AAAAA\BB” şeklindeki Windows ağ paylaşımlarını URL adreslerine dönüştürdüğü görülmüştür. Güvenlik araştırmacısı Mitch, bu yolla oturumdaki herhangi bir kişi özel hazırlanan URL adresine tıklarsa uzaktaki hedefle bağlantı kuruyor ve karşı taraf NTLM gibi bilgileri kullanıcının haberi olmadan okuyabiliyordu. Ardından da sisteminizin ele geçirilmesine neden olabilecek sonuçlarla karşılaşılabiliyordu.

Dünyanın en popüler sosyal ağ uygulamalarından biri olan Tiktok üzerinde de geçtiğimiz günlerde ciddi bir zafiyet keşfedildi. Talal Haj Bakry ve Tommy Mysk isimli siber güvenlik araştırmacıları tarafından yapılan analizlere göre, kullanıcıların izlediği videolar ve görüntüler şifresiz olarak iletilmekteydi. TikTok uygulaması ve TikTok’un CDN’leri arasına MITM saldırı yöntemi ile giren bir saldırgan, bir kullanıcının indirip izlediği tüm videoları kolayca izleyebileceğini ve izleme geçmişini görebileceğini ortaya çıkarmıştır.

İşletmelerin Güvenlik Zafiyetlerine Karşı Alması Gereken Önlemler Nelerdir?
Kurum ve kuruluşlar siber saldırganlara karşı milyonlarca liralık yatırımlar yaparak IT varlıklarını korumaya çalışmaktadır. Ancak siber güvenlik bir süreçtir ve bu süreç içerisinde yapılan hatalar maalesef ki kurumları korunmasız hale getirebilir.

İşletmelerin güvenlik zafiyetlerine karşı öncelikli olarak alması gereken önlemleri aşağıdaki gibi sizler için sıralıyoruz.

Sızma Testleri
Belirli aralıklarla kurum ve kuruluşlar IT varlıklarını siber güvenlik zafiyetlerine ve teknolojinin gelişimi ile ortaya çıkabilecek uygulama zafiyetlerine karşı test ettirmelidir. Bu testler alanında uzman siber güvenlik şirketleri tarafından yapılmaktadır.

Zafiyetlerin Kapatılması
Tespit edilen ve ortaya çıkarılan zafiyetlerin en kısa sürede kapatılarak doğrulaması yapılmalıdır. Bir zafiyet kapatılırken başka bir zafiyetin de ortaya çıkarılabileceğini unutmamalıyız. Bu noktada zafiyetler kapatıldıktan sonra doğrulama testlerinin muhakkak gerçekleştirilmesi gereklidir.

Siber Güvenlik Yatırımları
Yapılan IT testleri sonucunda uzmanların gerekli gördüğü siber güvenlik yatırımlarının yapılması gerekmektedir. Bazı durumlarda Firewall, IPS, IDS gibi donanım tabanlı güvenlik uygulamaları ile bu yatırımlar yapılırken bazı durumlarda özel siber güvenlik yazılımları ile de bu yatırımlar yapılmaktadır.

Bilgi Güvenlik Farkındalık Eğitimleri
Sızma testlerinde olduğu gibi belirli periyotlarla çalışanlarınızın bilgi güvenliği farkındalığını artırıcı siber güvenlik eğitimleri almaları gerekmektedir. Bu eğitimler sonucunda çalışanlarınızın bilgi güvenliği farkındalığı üst düzeye çıkarılarak siber saldırganlara karşı önlem alınabilir.