Siber tehdit manzarası sürekli değiştiğinden, rutin siber güvenlik değerlendirmeleri, kapsamlı bir risk yönetimi programının temel bir bileşenidir. Firmanız, üçüncü ve dördüncü taraf sağlayıcılar da dahil olmak üzere tüm ekosisteminin siber hijyenini her zaman izlemelidir. Siber güvenlik risk değerlendirmesi, güvenlik duruşunuzu etkileyen siber riskleri belirleyerek bunu yapmanıza yardımcı olur ve güvenlik kontrollerini uygulamak ve ağı korumak için fonları nasıl tahsis edeceğiniz konusunda daha bilinçli kararlar vermenizi sağlar. En yaygın siber güvenlik risk değerlendirmelerinden bazılarına ve etkili bir değerlendirme yapmak için şirketinizin alabileceği araçlara bir göz atalım:
Siber Güvenlik Değerlendirmesi Nedir?
Siber güvenlik değerlendirmesi, kuruluşunuzun siber güvenlik duruşunun mevcut durumunu belirleyen ve iyileştirme adımları öneren bir süreçtir. Pek çok farklı değerlendirme türü olsa da, bu makale NIST SP 800-115: Federal Bilgi Sistemleri için Güvenlik Kontrollerinin Uygulanması (ICS) – Güvenlik Değerlendirme Metodolojisi 2. Baskı (SAM2) konusuna odaklanmaktadır. Buradaki amaç, SAM2'nin nasıl çalıştığı hakkında bazı arka plan bilgileri sağlamaktır, böylece kendi durumunuza uygun olup olmayacağına karar verebilirsiniz.
Siber Güvenlik Değerlendirme Araçları
Siber güvenlik değerlendirme araçları, şirketinizin siber güvenlik duruşunu değerlendirir. Değerlendirme, kuruluşunuzun mevcut siber güvenlik duruşunu belirlemeye, olası riskleri ve fırsatları belirlemeye yardımcı olan ve mevcut kontrollerinizi değerlendirme fırsatı sunan bir dizi sorudan oluşur.
Değerlendirme, kuruluşunuzu daha önce değerlendirmemiş bir dış değerlendirici tarafından tamamlanacak şekilde tasarlanmıştır. Değerlendirme sonuçlarına göre, siber güvenlik duruşunuzu iyileştirmeye yönelik önerileri içerebilecek bir değerlendirme raporu oluşturulacaktır.
Siber Güvenlik Değerlendirmesini Nasıl Yaparsınız?
Bir siber güvenlik değerlendirmesi yürütmenin ilk adımı, projenizin kapsamını anlamaktır. Bir siber güvenlik değerlendirmesi, ağ ve sistem güvenliği, uygulama geliştirme ve uygulama, kullanıcı yetkilendirme modelleri (ör. çoklu oturum açma) ve veri sınıflandırma yönetimi politikaları ve prosedürleri dahil olmak üzere bilgi güvenliğinin tüm yönlerini dikkate alan bir analiz olarak tanımlanabilir.
Değerlendirmenizin kapsamı aşağıdakileri içermelidir:
- Bir tehdit veya güvenlik açığı oluştuğunda işin etkisi;
- Yukarıda tanımlanan her alan için mevcut risk seviyeleri;
- Her alan bilinen tehditlere karşı ne kadar iyi koruma sağlıyor? Değilse, mevcut endüstri standartlarına/en iyi uygulamalara dayalı olarak hangi kontrollerin uygulanması gerekebileceğini belirleyin;
- Başka hangi alanlara dikkat edilmesi gerekiyor? Örneğin: Ağ trafiğimiz için yeterli izleme kapasitemiz var mı? Müşterilerin günlük etkinliklerinin bir parçası olarak çevrimiçi olarak ne yaptıkları konusunda, her oturum açtıklarında bize başvurmadan yeterli görünürlük var mı?
Siber Güvenlik Değerlendirme Kontrol Listesi
Siber güvenlik değerlendirmenizin tüm temellerini kapsadığınızdan emin olmak için standart bir güvenlik değerlendirmesi kontrol listesi kullanabilirsiniz. Bu, her kişinin sürecin kendi payına düşen kısmını tamamlaması için gereken süreyi azalttığından, özellikle büyük projeler ve ekipler üzerinde çalışırken önemlidir.
Gerektiğinde özelleştirebileceğiniz ve kullanabileceğiniz örnek bir kontrol listesi aşağıdadır:
- NIST 800-53 (Bilgisayar Güvenliği Çerçevesi) – Bu belge, bir kuruluşun yaşam döngüsü boyunca bilgi güvenliği yönetimi için minimum gereksinimleri tanımlar. Beş ilgi alanını tanımlar: Risk Değerlendirmesi, Sızma Testi, Olay Müdahale Planı Geliştirme ve Uygulama, Tesis Güvenlik Yönetim Planı Geliştirme ve Uygulama, Politika Kılavuz Belgesi Oluşturma/Güncelleme yeteneği
Siber Güvenlik Değerlendirmesine Neler Dahildir?
Güvenlik değerlendirmesi, ağ ortamınız hakkında bilgi toplamak için araçlar ve teknikler kullanan bir süreçtir. İyi bir güvenlik değerlendirmesi, kuruluşunuzun verilerinin, sistemlerinin ve uygulamalarının mümkün olduğunca güvenli olmasını sağlamayı amaçlar.
İyi bir güvenlik değerlendirmesi şunları içerir:
- Değerlendirmenin kapsamı, programı ve maliyeti;
- Gerçekleştirecek olan ekip;
- Bunu gerçekleştirmek için kullanılan yaklaşım (örneğin, kalem testi veya güvenlik açığı taraması);
- Toplama aşamalarında kullanılan araçlar/teknikler – bağlantı noktası tarama veya bulanıklaştırma yazılımı gibi;
- Bu aktiviteden sonuç alan kişiler – yani, makinelerini birer birer gözden geçiren son kullanıcılar (manuel günlüğe kaydetmeye gerek yoktur), e-posta ek(ler)i yoluyla doğrudan bizden rapor alan ortaklar/satıcılar.
Siber Güvenlik Değerlendirme Hizmetleri
Güvenlik değerlendirmesi, risk düzeyini belirlemek ve kuruluşunuzun bilgi güvenliğindeki zayıflıkları belirlemek için sistematik bir veri koleksiyonudur. Güvenlik değerlendirmesinin amacı, kuruluşunuzun mevcut süreçleri ve ilkelerindeki boşlukları belirlemek ve ayrıca bilgisayar korsanlarının yararlanabileceği güvenlik açıklarını değerlendirmektir.
Güvenlik değerlendirmeleri, size şu anda ağınızın yapılandırmasının bir anlık görüntüsünü veren Nessus veya Qualys'in Vulnerability Management Suite (VMS) gibi açık kaynaklı yazılımlar kullanılarak yapılabilir veya dışarıdan temin edilebilir (Siber Güvenlik Değerlendirmeleri gibi). Bu işlemin birçok faydası vardır: daha ucuzdur; gerçek zamanlı geri bildirim sağlar; tüm araçlara aynı anda erişebildiğiniz için satıcıya kilitlenme sorunu yoktur ve değerlendirme aşamasında belirli bir araçla sorun yaşarsanız, o zaman ücretsiz olarak başka bir araç olabilir!
Siber Güvenlik Değerlendirme Raporu Örneği
Siber güvenlik değerlendirme raporu, kuruluşunuzun mevcut güvenlik duruşunu ve bu konudaki boşlukları açıklayan bir belgedir. Ayrıca, en iyi uygulamaları ve teknolojileri uygulamak da dahil olmak üzere kuruluşunuzun siber güvenliğini geliştirmeye yönelik öneriler sunar.
Bir siber güvenlik değerlendirme raporu aşağıdakileri içermelidir:
- Raporun amacı (ör. "Mevcut koruma düzeyimiz hakkında bilgi sağlamak")
- Ne tür bilgilerin dahil edileceğine dair bir açıklama (örneğin, "Aşağıdaki konular ele alınacaktır:")
- Oluşturulması sırasında başvurulan tüm harici kaynaklar da dahil olmak üzere bu belge boyunca kullanılan referansların bir listesi (ör. "Bu makaleyi Dr. John Doe yazdı")
Bir Siber Güvenlik Değerlendirmesi Ne Kadar Sürer?
İşletmenizin büyüklüğüne, yapmak istediğiniz değerlendirmenin türüne ve ne kadar zamanınız olduğuna bağlıdır. Her bir parçanın tamamlanma hızı, üçüncü bir taraftan ne kadar hızlı sonuç alacağınız üzerinde de bir etkiye sahiptir, bu nedenle, yanıt vermede yavaşlarsa veya hiç sonuç vermezlerse, diğer projeleri geciktirebilir. birkaç gün veya hafta boyunca devam ediyor (kaç kaynağın dahil olduğuna bağlı olarak). Bu olursa, o zaman bazen, ihtiyaçlarınıza uyan biri gelene kadar başka bir sağlayıcıyla tekrar denemek daha iyidir!
NIST güvenlik değerlendirmesi nedir?
NIST, Ulusal Standartlar ve Teknoloji Enstitüsü'dür (NIST). ABD Ticaret Bakanlığı bünyesindeki düzenleyici olmayan bir kurumdur, yani yasa yapmaz veya devlet düzenlemelerini uygulamaz. Bunun yerine NIST, bilgi güvenliği standartları da dahil olmak üzere binalar, elektronik cihazlar ve yazılımlar için standartlar oluşturur ve yayınlar!
"Değerlendirme" kelimesi, bir kuruluşun mevcut durumunu bir veya daha fazla belirlenmiş kriter veya hedefe göre değerlendirdiği bir değerlendirme sürecini ifade eder; sonra bu bulgulara göre harekete geçer. Bir güvenlik değerlendirmesi, siber suçluların oluşturduğu geçmiş ihlallere veya mevcut tehditlere bakarak kuruluşların güvenlik açıklarını öğrenmelerine yardımcı olabilir; gelecekteki saldırıları önlemek için yeterli kaynakları olup olmadığını belirlemek; bilgisayar korsanlarının tekrar başarısız olması için iyileştirmelerin yapılabileceği alanları ve çok daha fazlasını belirleyin!
Bir Güvenlik Değerlendirme Planının Üç Aşaması Nelerdir?
Güvenlik değerlendirmesi, ağınız ve müşterileriniz hakkında bilgi toplamayı, değerlendirmenin hedeflerini tanımlamayı, farklı kaynaklardan veri toplamak için bir yaklaşım tasarlamayı ve sonuçları analiz etmeyi içeren bir süreçtir.
Herhangi bir güvenlik değerlendirmesinin ilk aşaması planlamadır. Bu aşamada, kuruluşunuzun siber güvenlik duruşunu değerlendirmek için hangi bilgileri toplayacağınıza karar vereceksiniz. Ayrıca, bu görevin yerine getirilmesinde kimlerin yer alacağını ve her kişinin (ve ekibinin) görevi tamamlamasının ne kadar süreceğini de düşünmek isteyebilirsiniz.
Planınız oluşturulduktan sonra uygulama zamanı! Bu aşamada, planlama sırasında atanan tüm görevler, uzmanlık seviyelerine bağlı olarak bağımsız veya birlikte çalışmaya başlayacaktır.
Siber Güvenlik Değerlendirmesine Nasıl Başlarım?
Hedef belirlemenin ilk adımı sorunu tanımlamaktır. Bunu daha önce hiç yapmadıysanız zor olabilir, ancak kuruluşunuzun neyi başarmaya çalıştığını ve mevcut durumunun nerede olduğunu net bir şekilde anlayarak başlamalısınız.
Sorunu tanımladıktan sonra, personelinizin bu hedeflere doğru nasıl ilerlediklerini anlamalarına yardımcı olacak ölçülebilir sonuçlar belirleme zamanı. Mümkünse, başkalarının ne kadar iyi yaptıklarına dair algılarına güvenmemeye çalışın - bir birey veya ekip üyesi olarak her zaman hataları ve başarısızlıkları sahiplenmelisiniz (ve kendinizi unutmayın!). Hırslı ama gerçekçi olmak, burada başarıya ulaşmada çok yol kat edecektir; "Önümüzdeki altı ay içinde ekip üyelerimin kondisyon seviyelerinin %20 artmasını istiyorum" gibi şeyler düşünün.
Ücretsiz Siber Güvenlik Değerlendirme Araçları
Hızlı bir siber güvenlik değerlendirmesine genel bakış arıyorsanız, ücretsiz araçlar yardımcı olabilir. Size ağınız hakkında temel bilgileri gösterecekler ve nesnelerin nerede olduğuna dair bir anlık görüntü sağlayacaklar. Ancak bu araçlar, ücretli olanlar kadar ayrıntılı veya güvenilir değildir, bu nedenle ortamınızın ne kadar güvenli olduğuna dair tüm ayrıntıları size vermezler.
Ücretli siber güvenlik değerlendirme araçları, ücretsiz olanlardan daha fazla ayrıntıya girdikleri için altın değerindedir. Ayrıca, şirketinizin altyapısının farklı bölümlerindeki (masaüstü ve mobil gibi) risk düzeylerini değerlendirirken çok daha doğrudurlar.
Aşağıda, kontrol etmeniz gereken ücretsiz siber güvenlik değerlendirme araçlarının en iyileri yer almaktadır.
1 numara. Kali Linux
Kali Linux, etik korsanlık olarak da bilinen penetrasyon testi için popüler bir işletim sistemidir. Debian Linux tabanlıdır ve önceden yüklenmiş 600'den fazla güvenlik aracına sahiptir. Bu, onu bir ağ veya web uygulamasının güvenliğini test etmek için ideal hale getirir.
Kali, bir ağ veya web uygulamasının güvenliğini, ona karşı çeşitli saldırılar gerçekleştirerek (port tarama gibi) test edebilir.
2 numara. kimlik avına git
Go phish, penetrasyon testi yapanlar ve güvenlik farkındalığı eğitimi için bir kimlik avı araç takımıdır. Bir değerlendirmede veya sınıf ortamında kullanılabilecek gerçekçi kimlik avı e-postaları, web sayfaları ve SMS mesajları oluşturma yeteneği sağlar.
Araç, popüler sızma testi çerçevesi Metasploit Framework'ü (MSF) de yaratan Adrienne Porter Felt tarafından oluşturuldu. Bu proje, kapsamlı bir programlama deneyimine sahip olmayan kişilerin araçlarını MSF'nin API'lerinin üzerine inşa etmelerini ve bu API'lerin nasıl çalıştığını öğrenmek zorunda kalmadan daha kolay hale getirmeyi amaçladı ve yaptıkları da tam olarak buydu!
#3. savunmak
Savunma, web uygulamalarınızdaki güvenlik açıklarını bulmanıza ve düzeltmenize yardımcı olmak için OWASP İlk 10'u kullanan web tabanlı bir güvenlik tarayıcısıdır. Penetrasyon ve web uygulama güvenlik testleri için kullanılabilir. Yine de Python'da ve açık kaynakta yazılmıştır, bu nedenle işlevleri hakkında daha fazla bilgi edinmek istiyorsanız GitHub'daki taşralarına göz atın!
# 4. Aircrack-ng
Aircrack-ng, kablosuz ağları denetlemek için kullanılabilen bir araçlar paketidir. WiFi güvenliğini denetlemek için kullanılır ve ağ anahtarlarını ve şifrelerini kurtarır.
Araç ilk olarak, "Aircrack" olarak bilinen otomatik bir komut dosyası kullanan WPA/WPA2 şifrelemesinin hizmet reddi saldırılarına (DoS) karşı savunmasız olduğunu bulan Simon Paška tarafından geliştirildi. Aircrack'in ilk versiyonu 2002 yılında Wichert Akkerman ve Michal Zalewski tarafından yayınlandı.[4] 2004 yılında Mikko Hyppönen, mon0/0 yerine mon1'ı destekleyen Airmon adlı yeni bir sürüm yarattı.[5] 2007'de aircrack-ng, Kismet'in Linux Shodan eklentisine entegre edildi (ilk olarak 2006'da piyasaya sürüldü).
# 5. Geğirme Süiti
Burp Suite, web uygulamalarının güvenlik testlerini gerçekleştirmek için entegre bir platformdur. Trafiğin yakalanması ve izlenmesinden ding raporu oluşturmaya kadar tüm test sürecini destekleyen bir araç koleksiyonu içerir.
Burp Suite, web sitesinin veya uygulamanın güvenliğini sağlamak için HTTP'yi ve istekleri ve yanıtları yakalayabilir, manipüle edebilir ve günlüğe kaydedebilir. Aşağıdaki gibi özellikleri içerir:
- vekil – Özel izinler olmadan canlı ağ bağlantılarına keyfi yükler ekler; ayrıca Twitter veya LinkedIn gibi (genellikle özel izinler gerektiren) üçüncü tarafları test etmede yardımcı olur.
- Tekrarlayıcı – Farklı girişleri kolayca kullanarak istekleri birden çok kez tekrarlamanıza olanak tanır; farklı parametre/başlık vb. kombinasyonlarını denerken kullanışlıdır, örneğin, bir isteği birkaç kez tekrarlayarak iki farklı URL arasında GET parametrelerini değiştirmek!
Özet
Sonuç olarak, bir siber güvenlik değerlendirmesinin, işletmelerin bilgisayar korsanlığı ve hırsızlığa karşı savunmasızlıklarını değerlendirmelerine yardımcı olan bir süreç olduğu unutulmamalıdır. Değerlendirme, ağ altyapınızın bir envanterinin çıkarılmasını, her sistemle ilgili risklerin değerlendirilmesini, bu sistemlerdeki ve geliştiricilerdeki güvenlik açıklarının test edilmesini, sorunları daha önemli sorunlar haline gelmeden önce çözmek için bir eylem planının atılmasını içerir. Ayrıca, çalışanların şirketinizin sistemlerinden gizli bilgileri çalmaya çalışan bilgisayar korsanlarından kendilerini en iyi nasıl koruyacaklarını bilmeleri için sürekli eğitim almak çok önemlidir.
Siber Güvenlik Değerlendirmesi SSS
Siber Güvenlik Değerlendirmesi nedir?
Operasyonel Teknoloji ve Bilgi Teknolojisini değerlendirmeye yönelik sistematik bir süreçte varlık sahiplerine ve operatörlere rehberlik eden bağımsız bir masaüstü uygulaması.
Güvenlik risk değerlendirmesi kontrol listesi nedir?
Bir kuruluşun varlıklarının bütünlüğünü, gizliliğini ve kullanılabilirliğini etkileyen tehditlerin bir listesini sağlar.
5 adımda siber güvenlik risk değerlendirmesi nasıl yapılır?
- 1. Adım: Risk değerlendirmesinin kapsamını belirleyin
- 2. Adım: Siber güvenlik riskleri nasıl belirlenir?
- 3. Adım: Riskleri analiz edin ve potansiyel etkiyi belirleyin
- 4. Adım: Riskleri belirleyin ve önceliklendirin
- Adım 5: Tüm riskleri belgeleyin
- SİBER GÜVENLİK RİSK DEĞERLENDİRMESİ: Bilmeniz Gereken Her Şey
- SİBER HARÇ: Tanım, Kapsamlar ve Örnekler
- İŞ GÜVENLİĞİ SİSTEMİ: Her Şey, Türleri ve Maliyeti
Referanslar
