Zafiyet Yönetimi sürecinde zafiyetlerin eksiksiz bir şekilde tespit edilebilmesi çok önemlidir. Tespit edilen zafiyetlerin kapatılması konusu ise, en az tespit edilmesi kadar önemlidir. Zafiyetler düzgün bir şekilde kapatılmadıktan sonra tespit edilmesinin operasyonel olarak bir etkisi bulunmamaktadır.
Bu yazımızda zafiyet kapatma süreçlerinde SLA takibine farklı bir açıdan yaklaşacağız. Bilindiği gibi pek çok firma, zafiyetleri tespit ettikten sonra üçüncü parti “ticketing” ürünlerinde ticket açarak kapatım süreçlerini takip etmektedir. Böylece zafiyetin tespit ve düzeltilme tarihleri kayıt altına alınarak SLA takibi yapılabilmektedir. Ancak üçüncü parti bir ürün kullanmanın bazı dezavantajları bulunmaktadır. Bunları sıralayacak olursak;
- Zafiyet tarama araçlarının üçüncü parti ticketing yazılımı ile nativ entegrasyonu olmaması, bu yüzden script yazılmasına veya entegrasyon yapan başka bir ürüne ihtiyaç duyulması (ek maliyet)
- Nativ entegrason olsa bile firma ihtiyaçlarına cevap veremeyecek olması. Çoğu nativ entegrasyonda zafiyetler genellikle tek bir kullanıcıya atanır ve zafiyetlerin ilgili ekiplere dağıtılması konusunun ayrıca yönetilmesi gerekir.
- Ticketing yazılımına zafiyetlerin bütün detayları ile aktarılamaması, aktarılan bilgilerin analiz konusunda eksik kalması.
- İlgili ekibin zafiyeti kapattıktan sonra anlık sonuç görememesi, kendilerinin anlık kapatma taraması (remediation scan) yapamaması
Bazı zafiyet tarama ürünlerinde yer alan kabiliyetler, bu SLA süreçlerinin ürün üzerine aktarılmasına imkân tanımaktadır. Kimi ürünler doğrudan dahili ticketing desteği sunarken, kimi ürünler ise esnek Dashboard oluşturma özellikleri sayesinde SLA tabloları oluşturulmasına imkân sağlamaktadır.
Bu durumu örneklendirmek için ülkemizde ve dünyada en çok kullanılan zafiyet yönetim yazılımı olan Tenable Security Center’ı seçtik. Tenable Security Center, özellikle IT bileşenlerine (sunucular, istemciler, ağ cihazları, veritabanları vb.) ait zafiyetlerin tespit edilmesi ve yönetilmesinde kullanılmaktadır. Security Center üzerinde bulunan gelişmiş Dashboard özelliği ile hem Tenable tarafından sunulan hazır template’ler kullanılabilmekte, hem de custom dashboard tasarımları yapılabilmektedir.
Biz de SLA takibi için örnek dashboard tasarımı gerçekleştirdik. Bu tasarımda iki teknik ekip olduğunu varsaydık: Windows Ekibi ve Linux Ekibi. Bu iki ekibe ait bileşenlerin IP adresleri belirlidir ve iki asset grubu ile gruplandırılmıştır.
Bu assetleri kullanarak 2 adet dashboard bileşeni oluşturduk.
Zafiyet Yönetimi SLA Takip Matrisi (Devam Eden Zafiyetler): Taramalar sonucu tespit edilmiş ve halihazırda kapatılmamış olan zafiyetlere yönelik hazırlanmıştır.
Zafiyet Yönetimi SLA Takibi (Kapatılmış Zafiyetler): Taramalar sonucu tespit edilmiş ve alınan aksiyonlarla kapatılmış olan zafiyetlere yönelik hazırlanmıştır.
SLA Takibi için belirlenmiş kriterler ise şu şekildedir:
- Kritik seviyeli zafiyetlerin 1 hafta içinde kapatılması gerekmektedir.
- Yüksek seviyeli zafiyetlerin 1 ay içinde kapatılması gerekmektedir.
Şimdi dashboard detaylarına bakalım. Birinci bileşen devam eden zafiyetlerle ilgilidir. SLA uyumlu ve SLA uyumsuz olarak Kritik ve Yüksek seviyeli zafiyetler gruplandırılmıştır.
Matris aşağıda gösterildiği gibi 8 ayrı sorgudan oluşmaktadır.
Sorgu detaylarına bakalım. Örnek olarak, SLA Uyumlu Yüksek Seviyeli Zafiyetler kısmında Linux Ekibi’ne ait olan ve SLA süresi geçmemiş olan 7 zafiyeti seçelim. Matrisin bu alanındaki sorgu detaylarına bakalım:
Sorguda;
- Asset olarak Linux Ekibi seçilmiş durumda.
- Compliance tarama sonuçlarını dahil etmemek için Plugin Type olarak Active seçilmiştir. Yani sonuçlar sadece aktif zafiyet tarama sonuçlarını içerecektir.
- Severity olarak High seçilidir.
- Vulnerability Discovered ise zafiyetin ilk tespit edilme tarihini göstermektedir. Bu filtre “Within the last 30 days” seçilmiştir. Böylece zafiyetin tespit edilmesinin üzerinden geçen sürenin 30 günden az olması filtrelemesi yapılmıştır. Bu durumda SLA süresi aşılmamış olmaktadır.
İkinci Dashboard bileşenimizde ise kapatılmış olan zafiyetlerle ilgili SLA tablosu oluşturulmuştur.
Tabloda örnek olarak baktığımızda, Windows Ekibi’nin sorumluluğunda olan SLA Uyumsuz Kritik Seviyeli Zafiyet sayısının 3 olduğu görülmektedir. Bu filtrenin detaylarına bakarsak;
Source alanının Mitigated olduğunu vurgulayalım. Yani veriyi kapatılmış olan zafiyetlerden çekecek. Filtre detaylarında;
- Asset olarak Windows Ekibi seçili durumdadır.
- Days to Mitigate filtresinde zafiyetin ilk tespiti ile kapatılma tarihi arasında geçen sürenin 7 günden fazla olması ayarlanmıştır. Bu durumda SLA süresi aşılmış olmaktadır.
- Plugin Type, Active olarak seçili durumdadır.
- Severity ise Critical’dır.
Verdiğimiz örneklerde görüldüğü gibi ürün üzerinde SLA takip mekanizması kurmuş olduk. Burada örneğini verdiğimiz dashboard ve sorguların çok daha ileri düzey ve detaylı durumları tasarlanabilmektedir. Teknik ekipler kendi kullanıcıları ile giriş yaparak sadece kendilerine ait bileşenlerin detaylarını görebilir. Dashboard üzerinde bulunan sayılara tıklayarak zafiyetlerin bütün detaylarına erişebilirler. Hatta düzelttikleri zafiyetler için anlık tarama testleri gerçekleştirebilirler. Böylece zafiyet yönetim sürecine doğrudan dahil olurlar.
