Önce. Zafiyet taraması, sızma testinden

Merhaba,

Gündemde olan birkaç konuya değinmek ve kendimce yorumlamak istedim.

Şuan şirketlerin önceliği haline gelen, ne olduğunun pek bilinmediği, şirketi bir adım daha ileri götürecek devlet onayı ile alınan belgelerin ihtiyaç listesinde olan, özellikle adının kulağa hoş geldiği için yaptırılan ve gereğinden fazla para verilen toolu bol, içeriği danışman firmanın bildiği kadar dolu olan çalışma. Finansal kurumların, büyük şirketlerin ve birkaç orta ölçekli şirket dışında testten sonra verilen raporun okunmadığı, hadi okunsada kapatmak için uğraşılmayan, bütçe nedeni ile yarıda kalan işler bütünü.

• Genel Bilgilendirme

Ülkemizde de olduğu gibi , bir çok ülkede sistemlerin genel olarak aynı olduğunu aslında bu işte biraz tecrübeliyseniz anlayabilirsiniz. (çizimle uğraşmayacağım) genel olarak yapı aşağıdaki gibidir.

Users – Network Users Device(Printer, Kamera, Kapı Girişleri) – Switcler – Server (Sanal-Fiziksel) –Storage – Yedekleme Yazlımı ve/veya Donanımı – Firewall – İnternet – Disaster (%80 yok)

Yapının gelen olarak sıralaması da aslında yukarıda belirttiğim gibidir.

Biraz daha açmak gerekirse;

Users – %99 Windows tabanlı işletim sistemleri kullanılıyor. Ms Office, Anti-Virüs, varsa şirkete ait yazlım uyguılamaları, Departmana göre yazılımlar (Muhasebe, Satış). Bütün bunlara bağlı olarak kullanıcı ile uğraşmayalım diyen verilen Local Admin hakkına sahip yetkili kullanıcılar bütünü. (Özellikle Notebook kullanıcıları.)

Network Users Device – Genel itibari ile default username / password bilgilerinin değiştirilmediği cihaz topluluğu.

Switch – Aslında aklı olan ama bilgi işlem departmanı tarafından kullanılmayan, güncellemesi yapılmayan, yedeğinin nerdeyse hiç alınmadığı, default username / password değiştirilmeyen, SNMP protoklü default u “public” olan cihazlar topluluğu.

Server – %78 Windows Server İşletim sistemine sahip olan, üstünde yine %58 oranında Lisanslı Windows Servislerini ( Exhcange, SQL, Terminal, DHCP, DNS, Active Directory) çalıştırdığımız makinalar.

Vmware, HyPer-V – En çok kullanılan sanallaştırma yazılımı, aslında fiziksel olarak var olan cihazlar üzerine fazladan işletim sistemi kurma platformu, hız, genişleme, yedekleme gibi bir çok kazanımı olan güvenlik diyince hiçbirşey bilinmeyen teknolojik bilgi.

Storage – Sanal sunucuların depolandığı disk kutuları. Kendine ait işletim sisteminin olduğu sadece controllerın yönetildiği Qnap abisi.

Yedekleme Yazılımı – İş sürekliliğinin ilk adımı. Doğru kurgulanmış ise Sistem ve Kişi (IT Çalışanı) kurtarıcısı.

Firewall – Gerçekte olan işini bırakmış, “Gelecek Nesil” diye güzel bir isimle hayatımıza girmiş web filtering, ips, anti-virüs, anti-bot, kimlik farkındalığı işlerini de yaparım ama bunun için daha iyi bir cihaza ihtiyacın var, biraz daha para diyen doymayan iç ve dış network ayırıcısı.

Disaster Site – Felaket olduğunda işimize yarayacak olan, iş sürekliliği ve felaket anı nedir kavram kargaşasından IT yöneticilerinin bile bihaber olduğu. Şirketlerin birşey olmaz diyerek çok önemsemediği, önemseyen şirketlerin ise çoğunun test etmediği, patronlar tarafından gereksiz yatırım görülen uzak diyarlar.

Genel yapı ve yapılarda uygulanan kullanılan teknoloji hakkında genel bir çerçeve çizmeye çalıştım. Eğer yıllardır IT departmanında çalışıyorsanız aslında açıklarınızı biliyorsunuz.

Biz de biliyoruz...

• Zafiyet Taraması;

Aslında sizin bildiğiniz açıkları, bildiğinizi, yeni keşfetmiş gibi anlatma biçimidir. Daha da karmaşık hale getirmek gerekirse. Önceden keşfedilmiş güvenlik açıklarını, sizin şirketinizde yeniden keşif edip size raporlayarak anlatma biçimidir.

• Sızma Testi;

Yetkinliğe bağlı olarak, zafiyet testtinde bulunan açıkların, istismar edilmesidir. Eğer şirketinizde diğer şirketlerden farklı olarak bir yazılım kullanıyorsanız yapılması gerekendir.

• Önce;

İlk başlanması gereken yer. Çok basit, keşif çalışması. Tüm IT genel yapısının fotoğraf çekimidir. Sosyal medyadan tek farkı çok fazla kare çekilerek yapılmasıdır, sonuçta rapor (sosyal medyada albüm) ile sisteminizde olanlar, olmayanlar ve olması gerekenlerin listesinin çıkarılma işlemidir.

Elinizde bulunan mevcut sistemle ve/veya daha az para harcayarak güvenlik altyapınızı arttırabileceğinizi biliyormusunuz.

Biz biliyoruz.