Güvenlik Açığı Kategorizasyonu Nedir?

paydaslara ozel guvenlik acigi kategorizasyonu nedir

Paydaşlara Özel Güvenlik Açığı Kategorizasyonu tamamen şirketinizle ilgili bir karar ağacıdır. Bu biraz fazla basitleştirilmiş bir ifade olsa da Paydaşlara Özel Güvenlik Açığı Kategorizasyonunun (SSVC- Shareholder Specific Vulnerability Categorization) arkasındaki fikir, güvenlik açıklarınızı size ve kuruluşunuza fayda sağlayacak şekilde ele almaya öncelik vermeniz gerektiğidir.

Önceliklendirmeyi yaptıktan sonra, en kritik güvenlik açıklarınızdan kaynaklanan riski azaltmak için yapabileceğiniz şeyler vardır. Bir WAF (Web Application Firewall-Web Uygulama Güvenlik Duvarı) çözümü bir seçenektir veya riskinizi azaltmak için diğer yöntemleri (virtual patch – sanal yama gibi) değerlendirebilirsiniz.

Güvenlik Açıklarını Neden Kategorize Etmelisiniz?

Eğer sizin şirketiniz de çoğu şirket gibiyse, birçok farklı açıdan çok sayıda güvenlik açığıyla karşı karşıyadır. İnsan hatalarından web uygulamalarınıza gömülü açık kaynak kodundaki arka kapılara kadar, ne zaman saldırıya uğrayacağınızı veya saldırının nereden geleceğini bilemezsiniz. Kategorize etmediğiniz sürece.

Kategorilere ayırmak, düşük riskli güvenlik açıkları ile kritik tehditler arasında ayrım yapmanızı sağlar. Önce hangi tehdidi etkisiz hale getireceğinizi bilmek istiyorsanız, kategorizasyon bunu çözmenize yardımcı olabilir. Birçok güvenlik açığı tehdit oluşturmaz veya belki de acil bir tehdit oluşturmaz.

Öte yandan, bazı zayıflıklarınız istismara son derece açıktır ve bunu mümkün olan en kısa sürede gidermeniz gerekir.

En iyisi sınırlı kaynaklarınızı sorun yaratması muhtemel tehditleri ele almaya odaklamaktır. Diğer şeylerin yanı sıra, bu, bir saldırganın bunları istismar etmesinin kolay veya pratik olduğu, bir saldırgan için finansal olarak ödüllendirici olduğu (ve dolayısıyla şirketiniz için yıkıcı olduğu) veya şirketinizin bir tedarik zinciri saldırısı için bir vektör olarak kullanılabileceği anlamına gelebilir.

Bununla birlikte, örneğin istismar edilmesi son derece pratik olmayan güvenlik açıklarınız varsa, bu sizin için daha düşük bir risk olabilir ve bu nedenle daha kritik sorunları ele alana kadar yamalanmayı bekleyebilir.

Paydaşlara Özel Güvenlik Açığı Kategorizasyonu (SSVC) Nedir?

Şirketinize özel bir sınıflandırma yöntemi olmasının yanı sıra SSVC, devlet kurumları ve kritik altyapı kuruluşlarının siber güvenlik zayıflıklarını değerlendirmelerinin bir yolu olarak ortaya çıkmıştır ve artık özel şirketler için de aynı şeyi yapmanın etkili bir yoludur.

CISA‘nın (Amerika Birleşik Devletleri siber güvenlik ve altyapı güvenliğinin sağlanmasından sorumlu kurum) yönetici asistanı Eric Goldstein, bu metodolojinin güvenlik açıklarını değerlendirmek için tasarlandığını ve istismar durumunun yanı sıra ürünün tekil bir sistem içindeki güvenlik etkileri ve yaygınlığına göre iyileştirmeye öncelik verdiğini açıklıyor.

Tekil bir sistem tek bir şirketi (paydaşı) ifade eder ve amaç daha genel bir risk değerlendirmesinin tavsiyelerini takip etmek yerine bu sistem için güvenlik açıklarını bulmaya öncelik vermektir. En yeni kılavuz ilkeler, güvenlik açıklarının sayısını ve karmaşıklığını yönetmeye odaklanmaktadır.

SSVC karar ağacının nasıl çalıştığına dair bir özet aşağıda yer almaktadır, ancak özetlemek gerekirse her bir güvenlik açığı için 4 olası karar bulunmaktadır:

  • Takip et: Güvenlik açığına dikkat edin, ancak acil eylem gerektirmez.
  • İzle*: Güvenlik açığını izleyin. Acil eylem gerekli değildir, ancak bir sonraki güncelleme yayınlandığında bir aksiyon almanız gerekir.
  • Katılın: Denetçilerin bu güvenlik açığına dikkat etmesi gerekir. Güvenlik açığı ile ilgili yardım veya bilgi almaları gerekebilir. Önem derecesine bağlı olarak, çalışanları veya tüketicileri bilgilendirmeleri gerekebilir. Bu açık bir sonraki standart güncellemeden önce giderilmelidir.
  • Harekete geçin: Liderler yardım ve bilgi almalıdır. Çalışanları ve tüketicileri güvenlik açığı konusunda bilgilendirmeli ve bir müdahale planı oluşturmalıdırlar. Bu güvenlik açığı seviyesi mümkün olduğunca çabuk giderilmelidir.

Her bir güvenlik açığını nasıl etiketleyeceğinize karar vermek için 5 faktörü göz önünde bulundurun:

  • İstismar durumu: Güvenlik açığı şu anda istismar ediliyor mu?
  • Teknik etki: Kötü niyetli aktörler bu güvenlik açığından yararlanarak kimlik bilgilerini elde edebilir mi? Sistemin geri kalanına ne kadar erişimleri olur?
  • Otomatikleştirilebilirlik: Bir saldırganın bu güvenlik açığından tekrar tekrar yararlanması ne kadar kolaydır? İstismar otomatikleştirilebilir mi?
  • Görev yaygınlığı: Bu güvenlik açığının istismar edilmesinin iş operasyonlarınız üzerinde olumsuz ve önemli bir etkisi olur mu? Ne kadar kesintiye neden olur? Tüketiciler web uygulamanız üzerinden ürünlerinize veya hizmetlerinize erişemezse ne kadar para kaybedersiniz?
  • Kamu refahına etkisi: Bir istismar fiziksel, zihinsel, duygusal veya çevresel zarara neden olacak mı? Bir saldırı gerçekleşirse halk bundan nasıl olumsuz etkilenir? Tüketicileriniz için mali bir kayıp olacak mı veya uyumluluk düzenlemelerini ihlal edecek misiniz?

Bu faktörler belirli bir zafiyet için önemliyse, o zafiyete öncelik vermelisiniz.

CISA’s SSVC Ağacı

Önceliklendirilmiş Risk ve Zafiyet Yönetimi

SSVC’yi gözden geçirdikten sonra, yama işlemine nereden başlayacağınız konusunda oldukça iyi bir fikre sahip olmalısınız. O halde geriye kalan soru, nasıl verimli ve etkili bir şekilde yama yapmanız gerektiğidir. Önemli bir kod sorunu varsa, bu mümkün olan en kısa sürede güncellenmelidir. Daha az acil, daha zor düzeltmeler için sisteminizi dış tehditlerden korumaya yardımcı olacak yollar vardır.

Sanal yama genellikle daha düşük seviyeli tehditlerin riskini azaltmak veya kod sorunlarını ele almak için size biraz zaman verirken hızlı bir şekilde koruma sağlamak için iyi bir yoldur. Bir web uygulaması güvenlik duvarı (WAF) veya Web Uygulaması ve API Koruması (WAAP) protokolü, verileri güvence altına alarak ve trafiği filtreleyerek web uygulamalarını saldırılara karşı korur.

Şirketinizin ihtiyaçlarına bağlı olarak bulut tabanlı veya SaaS tabanlı bir çözüm kullanabilirsiniz. Bu yaklaşım sisteminizdeki güvenlik açıklarını düzeltmeyecek olsa da saldırganları uzak tutmaya yardımcı olabilir.

Hangi yöntemi seçerseniz seçin, sanal yama, siz güvenlik açıklarınızı çözerken verilerinizi güvende tutmak için size yardımcı olabilir. SSVC ile bu güvenlik açıklarını önceliklendirdikten sonra, önce harekete geçin (Act) kategorisi, sonra katılın (Attend) kategorisi, sonra izle (Track*) ve son olarak takip (Track) kategorileri için düzeltmeleri uygulamaya başlayabilirsiniz.

Kaynaklarınızı bu şekilde düzenlemek, daha az kritik güvenlik açıklarını korumaya devam ederken en önemli sorunları çözme konusunda size en iyi şansı verecektir.

Kaynak:

export

Run Zeus Run

Geçtiğimiz hafta sonu, Kaz Dağları’nın etkileyici doğasında 36K Run Zeus parkurunu başarıyla tamamladım. Koşunun adını hak ettiğini söylemeliyim; bu parkuru tamamlamak gerçekten Zeus gücü gerektiriyordu. […]

export

Global Altyapı Ortaklarından Yeni Yapay Zeka Ortaklığı: Veri Merkezleri ve Güç Altyapısına Yatırım

Global Altyapı Ortaklarından Yeni Yapay Zeka Ortaklığı. Veri Merkezleri ve Güç Altyapısına Yatırım. Global Infrastructure Partners (GIP), BlackRock, Microsoft ve MGX, yapay zeka (AI) teknolojilerine […]

Müzik ve Hafıza
Bilim

Müzik ve Hafıza

Georgia Institute of Technology tarafından gerçekleştirilen “Müzik ve Hafıza” konulu araştırma, müziğin bilişsel süreçler ve hafıza üzerindeki etkilerine odaklanan önemli bulgular sunuyor. Bu araştırma, özellikle […]

Bilim

Magnon-Fonon Fermi Rezonansı

Araştırma ekipleri bir antiferromanyette magnon-fonon Fermi rezonansını keşfetti. Yakında, veri depolama merkezlerinin dünya enerji üretiminin neredeyse %10’unu tüketmesi bekleniyor. Bu artış, diğer şeylerin yanı sıra, […]

export

Jeodezik Kubbeler

Jeodezik kubbeler, mimari ve mühendislik alanlarında dikkat çeken, işlevsel ve estetik yapılar olarak bilinir. Bu yapılar, ilk olarak 20. yüzyılın başlarında ortaya çıkmış ve zamanla […]

dunya nufusunda zirve
Manşet

Dünya Nüfusunda Zirve

Dünya Nüfusunda Zirve: Gelecekteki Tahminler ve Nedenleri. Son yıllarda dünya nüfusunun geleceği ile ilgili çeşitli tahminler ve senaryolar öne sürülmüştür. Birleşmiş Milletler’in (BM) son raporları, […]

akilli toprak
Bilim

Akıllı Toprak

Akıllık Toprak: Sürdürülebilir Tarım İçin Kendi Kendini Sulayan ve Gübreleyen Yüzeyler. Günümüzde tarım sektörü, artan nüfus ve iklim değişikliği gibi faktörlerle karşı karşıya kalırken, sürdürülebilir […]

nato inovasyon fonu
Manşet

NATO Inovasyon Fonu

Son yıllarda Avrupa’da savunma teknolojisi girişimlerine yapılan yatırımlar hız kazandı. NATO’nun 1 milyar euroluk girişim sermayesi fonunun başındaki Andrea Traversone, Avrupa’nın ABD’deki büyük teknoloji şirketlerine […]

kusaklararasi yoksullasma
Manşet

Kuşaklararası Yoksullaşma

Kuşaklar arası yoksullaşma, ekonomik eşitsizlik ve fırsat adaletsizliği gibi konular, günümüz toplumlarının en önemli sorunlarından biri haline gelmiştir. Baby boomer kuşağından başlayarak, X kuşağı, Y […]

maf antrenman yontemi
Koşu

MAF Antrenman Yöntemi

MAF (Maximum Aerobic Function), Dr. Philip Maffetone tarafından geliştirilen bir antrenman yöntemidir. Bu yöntem, aerobik kapasiteyi maksimize ederek sporcuların daha verimli ve sağlıklı bir şekilde […]

Basketbolda anda olmak, en yüksek performansa yol açan zihinsel bir durumdur. Tabii ki sadece Basketbolda değil, hem takım hem de bireysel tüm sporlarda, aslında odaklanmak gereken her ne iş yapıyorsanız Anda olduğunuzda, tamamen kilitlenirsiniz ve dikkatinizi dağıtan şeyleri engelleyebilirsiniz, bu da her ne yapıyorsanız en iyi şekilde yapmanıza yardımcı olur. Bu yazıda size öncelikle basketbolda antrenmanlarda ve maçlarda anda nasıl daha fazla kalabileceğinizle ilgili bilgiler bulacaksınız.
Manşet

Basketbolda Anda Olmak

Basketbolda anda olmak, en yüksek performansa yol açan zihinsel bir durumdur. Tabii ki sadece Basketbolda değil, hem takım hem de bireysel tüm sporlarda, aslında odaklanmak […]

Elon Musk tarafından kurulan Neuralink beyin implantı teknolojisini ilk hastasına uygulaması ile ilgili bir haber yayınlamıştık.  Elon Musk'ın beyin-bilgisayar arayüzü firması Neuralink, ilk hastası Noland Arbaugh'un düşünceleriyle bir bilgisayar imlecini kontrol ettiği bir video yayınladı. Elon Musk tarafından kurulan beyin-bilgisayar arayüzü şirketi Neuralink, firmanın implantının "hayatını değiştirdiğini" söyleyen ilk hastasının kimliğini açıkladı. Ancak uzmanlar, Nueralink'in mevcut araştırma çabalarını kopyalamanın ötesinde bir şey yapıp yapmadığının henüz net olmadığını söylüyor.
Manşet

Neuralink

Elon Musk tarafından kurulan Neuralink beyin implantı teknolojisini ilk hastasına uygulaması ile ilgili bir haber yayınlamıştık.  Elon Musk’ın beyin-bilgisayar arayüzü firması Neuralink, ilk hastası Noland […]

sihirli dovme murekkebi
Bilim

Sihirli Dövme Mürekkebi

HYPRSKN Magic Ink (Sihirli Mürekkep), dünyanın ilk yeniden yazılabilir, silinebilir ve yeniden programlanabilir dövme mürekkebidir. Bu sihirli mürekkep, dövme sektörünü yeniden tanımlayarak bireylerin vücut sanatı […]

aralikli oruc
Bilim

Aralıklı Oruç

Aralıklı Oruç olarakda bilinen zaman kısıtlı beslenme ile ilgili Amerika Kalp Derneğinin 18-21 Mart 2024 tarihinde Chicago’da düzenlenen “Epidemiyoloji ve Önleme|Yaşam Tarzı ve Kardiyometabolik Bilimsel […]

Yavaş Koşu kavramı Japonya'dan dünyaya yayılan ve uzun, sağlıklı bir yaşam sürmenin sırrı olarak kabul edilen, düşük tempoda yapılan bir koşu türüdür. Bu egzersiz formu, vücuda aşırı yük bindirmeden, kalp sağlığını, metabolizmayı destekleyerek ve zihinsel stresi azaltarak genel sağlığı iyileştirmeye odaklanır. Bu koşu türü Japonya'da Dr. Hiroaki Tanaka tarafından popüler hale getirilmiştir. Dr. Tanaka, bu egzersiz metodunun kalp atış hızını aşırı yükseltmeden, sağlıklı ve etkili bir şekilde fiziksel kondisyonu artırabileceğini keşfetti.
Koşu

Yavaş Koşu

Yavaş Koşu kavramı Japonya’dan dünyaya yayılan ve uzun, sağlıklı bir yaşam sürmenin sırrı olarak kabul edilen, düşük tempoda yapılan bir koşu türüdür. Bu egzersiz formu, […]

Beyin çiplerinin geleceği nasıl olacak? Neuralink şirketinin insan beynine yerleştirilen ilk çip haberini paylaşmıştık. Elon Musk, 30 Ocak'ta paylaştığı bir mesajla insan beynine  çip yerleştirildiğini paylaşmış ve hastanın iyileşme sürecinde olduğunu belirtmişti. Üzerinden 1 ay geçen bu operasyon sonrasında hastanın düşünce gücü ile bilgisayar faresini hareket ettirebildiği ile ilgili bir haber paylaşıldı. Beyin çiplerinin geleceğini merak ediyorsanız farklı kaynaklardan derlediğimiz yazı ilginizi çekebilir?
Manşet

Beyin Çiplerinin Geleceği

Beyin çiplerinin geleceği nasıl olacak? Neuralink şirketinin insan beynine yerleştirilen ilk çip haberini paylaşmıştık. Elon Musk, 30 Ocak’ta paylaştığı bir mesajla insan beynine  çip yerleştirildiğini […]

limonata ve rafadan yumurta
Manşet

Limonata ve Rafadan Yumurta

Çetin Altan tarafından ilk kez 1985’te Güneş gazetesinde, sonra 2.6.2003 ve 21.7.2012 tarihlerinde Milliyet’te yayınlanan “Limonata ve Rafadan Yumurta” başlıklı yazısını sizlerle paylaşmak istedik. Usta […]

yetenek acigi
Eğitim

Yetenek Açığı

Dünya çapında işverenler, yetenek açığının üstesinden gelme mücadelesini sürdürüyor. ManpowerGroup’un kapsamlı “Yetenek Açığı Raporu” bu konuda aydınlatıcı veriler sunuyor. Yıllara Göre Yetenek Açığı Manpower Group […]

yokus kosu antrenmani
Koşu

Yokuş Koşu Antrenmanı

Yokuş koşu antrenmanı, koşmayı seviyor olsanız bile, yokuş yukarı koşmayı sevmeme ihtimaliniz yüksektir. Yerçekimine karşı verilen bu mücadele sizi zorlayabilir, ancak koşu yarışlarına, özellikle de […]

yilin sozcugu otantik
Manşet

Yılın Sözcüğü “Otantik”

Yılın Sözcüğü “Otantik”. Merriam-Webster’ın 2023 Yılın Kelimesi olarak seçtiği kelime “authentic” (otantik) oldu. Bu kelime, her zamankinden daha fazla düşündüğümüz, yazdığımız, özlemini çektiğimiz ve yargıladığımız […]

kworks demo day
Manşet

KWORKS Demo Day

🎯Bu yıl Koç Üniversitesi Girişimcilik Merkezi KWORKS bünyesinde yer alan girişimlere mentorluk yapmaya başladım. Birebir çalıştığım girişimlere uzmanlık alanım ve tecrübelerim doğrultusunda destek oluyorum. Bu […]