Bir sistemin güvenliğini sağlamak için yapılması gereken ilk şey zafiyet yönetimi uygulamaktır. Zafiyet yönetimi süreci zafiyetlerin taranması, yeni tespit edilen zafiyetler için alarmlar üretilmesi, kapanan zafiyetlerin izleme listelerinden çıkartılması, iki zafiyet taraması arasındaki farkların incelenmesi, düzeltici ve önleyici faaliyetlerin icra edilmesinden sonra tekrar zafiyet taraması yapılması gibi temel adımlara sahiptir.
ISO 27001, PCI-DSS, NIST, COBIT ve HIPAA gibi standartların zafiyet taramasını zorunlu tutması bir tesadüf olamaz. Türkiye’de Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa’da General Data Protection Regulation (GDPR) kanunları zafiyet yönetimi zorunlu hale getirmiş, bu görevleri yerine getirmeyen kurumlara açık cezalar öngörmüştür.
nebula SECURE Vulnerability Manager, Nebula ARGE departmanı tarafından geliştirilen yerli ve milli zafiyet yönetim aracıdır. Gelişmiş özellikleri ile BT yöneticilerinin beklentilerinin ötesinde analizler yapar ve bilgiler üretir.
1. Geniş Tarama Özellikleri
Internet’ten ulaşılabilir sunucu ve web uygulamalarına; açık port, sunucu ve web uygulama taramaları ayrı ayrı yapılabilir. Yerel ağlar ise sadece tarama anında kullanınan bir VPN bağantısı veya yerel tarama ajanı yardımı ile gerçekleştirilebilir. Tüm tarama sonuçları merkezi olarak saklanır ve analiz edilir.
2. Skorlama
Tespit edilen zafiyetler risk seviyelerine (düşük, orta, yüksek) ve MITRE tarafından berlirlenen CVSS skorlarına ve nebulaSECURE tarafından üretilen risk skoruna göre raporlanabilir. Böylece risk ve zafiyet önceliklendirmesi yapılabilir.
3. Pasif Zafiyet Yönetimi
Kurumun kullanmakta olduğu ürünler için filtreler oluşturulara, envanterde bulunan bir yazılımda yeni bir zafiyet duyurulması halinde anında uyarı üretilebilir.
4. Sürekli Sistem İzleme
Internete açık sunucu ve web uygulamalarının erişilebilirlikleri, etiketleri ve SSL sertifikaları sürekli izlenir ve olası güvenlik problemleri veya değişimler anında alarm olarak iletilir.
5. SOC CCTV
Tespit edilen yeni açıklıklar, üretilen risk skorları, sistem erişim bilgileri ve alarmlar gerçek zamanlı olarak güzenlik izleme ekranlarına yansıtılarak grafik olarak izleme sağlanabilir.