14 Eyl

Yazılım Varlıklarının Envanteri ve Kontrolü

Yazılım Varlıklarının Envanteri ve Kontrolü

Yazılım Varlıklarının Envanteri ve Kontrolü konusunu incelediğimiz yazımıza başlıyoruz…

Ağ üzerindeki tüm yazılımlar etkin bir şekilde yönetilmeli. Bunu sağlamak için kuruma ait tüm sistemlerde çalışan yazılımların envanteri çıkartılmalı ve sürekli takip edilerek güncellenmeli. Bu sayede kurum içerisindeki sistemlere sadece izin verilen yazılımlar çalıştırılabilir. Yetkisiz yada izin alınmamış yazılımlar tespit edilip ilgili sistemler üzerinden kaldırılabilir.

 

Neden Bu Kontrol Önemli

Saldırganlar ve Hedefleri

Saldırganlar, hedeflerindeki kurumları sürekli tararlar. Burada amaç sistemler üzerinde zafiyetleri bulunan yazılımları bulmak ve uzaktan bu zafiyetleri sömürmektir. Bazı saldırganlar ayrıca kötü niyetli web sayfaları, pdf ya da farklı biçimlerdeki dosyalar, medya dosyaları ve benzeri içerikleri kendi web siteleri ya da bir şekilde güvenilir üçüncü taraf siteler aracılığıyla dağıtırlar. Şüphelenmeyen kurbanlar bu içeriğe üzerinde zafiyet barındıran bir tarayıcı veya diğer istemci yazılımları ile eriştiğinde, saldırganlar kurbanların makinelerini ele geçirirler. Sonrasında ele geçirilen bu cihazlar üzerine arka kapı programları  ve botlar kurarlar. Bu sayede saldırgan ele geçirilen sistem üzerinde uzun süreli kontrol elde etmiş olur. Bazı sofistike saldırganlar sıfır gün  saldırıları kullanabilirler. Bu tür saldırıların hedefi üzerinde zafiyet bulunduran, henüz yazılım üreticisi tarafından fark edilmemiş ve dolayısıyla da ilgili güvenlik yaması yayınlanmamış yazılımlardır.  Sistemlerin güvenli bir şekilde işletilmesinden sorumlu ekiplerin kurum içerisinde bulunan yazılımlar hakkında yeterli bilgi ve kontrolü olmaması durumunda kurum bilgi varlıklarını kötü niyetli saldırılara karşı yeterince savunamazlar.

Yeterli Koruma Sağlamaz isek Ne Olur

Yeterli şekilde korunmayan makineler iş ile ilgili olmayan ve olası güvenlik açıklarını barındıran yazılımların bulunması doğaldır. Aynı şekilde olası bir saldırı sonrası saldırgan tarafından yüklenmiş zararlı bir yazılımında bulunması beklenen bir durumdur. Tek bir makinenin dahi saldırgan tarafından ele geçirilmiş olması büyük bir tehlikedir. Saldırgan bu makineyi zıplama tahtası olarak kullanabilir. Böylece tüm sisteme erişebilir ve kuruma ait her tür veriyi dışarıya sızdırabilir. Ayrıca, bu tür bir saldırı sonrası ilgili ağa bağlı kuruma ait diğer ağlar da tehlike altına girer. Dahası eğer kurumun ağına bağlı üçüncü kişilere ait ağ bağlantıları var ise bu ağlarda bu tür bir saldırıdan etkilenebilir. Böylece yeteri şekilde korunmayan bir cihaz sebebiyle ortaya çıkan tehlike saldırganın çok büyük yapılara erişmesine yol açabilir. Sonuç olarak etkin bir yazılım envanteri kontrolü yapmayan kurumlar sistemleri üzerinde çalışan yazılımlar ve bu yazılımların olası zafiyetlerinin bilinmesi  konusunda tam bir kontrole sahip olamazlar. Bunun sonucu olarak da her zaman saldırganların hedefi olurlar.

Diğer yandan iyi bir şekilde yürütülen yazılım yönetimi süreçleri kurumun yedekleme – kurtarma ve olay yönetimi gibi süreçlerinde de büyük fayda sağlar.

Nasıl Uygularız

İlk Adım

Öncelikle kurum iş ve bilgi-siber güvenlik ihtiyaçları çerçevesinde kurum içerisinde çalıştırılmasına izin verilen yazılımları belirlenmelidir. Sonrasında yazılım ve donanım envanteri yazılımları kullanılarak kurum içerisinde bulunan sistemler üzerindeki yazılımların envanterlerini çıkartmalıyız. Bu tür yazılımların en büyük faydası veri tabanlarında birçok yaygın kullanılan yazılımın ve bu yazılımların en son güvenli yama seviyelerinin bulunmasıdır. Bu yazılımların veri tabanları periyodik olarak güncellenir ve size her zaman mümkün olan en son durumu gösterir. Böylece sizin ortamınızda bulunan yazılımların sürümleri ile kendi veri tabanında bulunan en son güncel sürümleri karşılaştırıp rapor üretebilirler. Sizde sistem yöneticisi olarak kendi sisteminizi bu seviyeye çekebilirsiniz.

Sonrası…

Diğer bir kontrol olarak kurum içerisinde çalıştırılmasını istediğiniz dosyaları ya da yazılımları beyaz-liste olarak tanımlayabilirsiniz. Bugün birçok son kullanıcı koruma yazılımı üreten firma anti-virüs, anti-spyware, kişisel güvenlik duvarı, sistem tabanlı tehdit algılama sistemi (Host base IDS) ve tehdit engelleme sistemi (IPS) ve dahası beyaz ve siyah liste uygulamalar olarak sınıflandırılmış uygulama listeleri ile geliyor. Bu yazılımların birçoğu yukarıda bahsettiğimiz özelliklerinden dolayı sistem üzerinde çalıştırılmak istenen yazılımlar üzerinde;

  • Dosyanın adı
  • Sistem üzerinde bulunduğu yer
  • Çalıştırılacak dosyanın hash kodu
  • Beyaz ya da siyah listede olup olmadığı

gibi kontrolleri yaptıktan sonra çalıştırılmasına izin veriyorlar. Bu tür yazılımların bir diğer faydası da sistem yöneticileri tarafından kuruma özel siyah, beyaz ya da gri listelerin oluşturula bilmesi. Böylece belirli yazılımların sadece belirli kullanıcılarda çalışmasına da izin verilebiliyor.

 

Uygulama Kontrolleri

CIS Alt KontrolVarlık TipiGüvenlik FonksiyonuBaşlıkAçıklama

Yazılım Varlıklarının Envanterinin Oluşturulması ve Kontrolü

1,1UygulamaBelirleİzin verilen yazılımlar envanterini güncel tutTüm sistemler üzerinde bulunan ve iş ya da bilgi-siber güvenlik ihtiyaçları için kullanılması gereken yazılımlar listesinin sürekli güncel halde olmasını sağla.
1,2UygulamaBelirleYazılımların üreticisi tarafından destekleniyor olmasını sağlaKurumun izin verilen yazılımlar listesinde sadece üreticisi tarafından desteklenen yazılımların ya da işletim sistemlerinin olmasını sağla. Üreticisi tarafından desteklenmeyen yazılım ya da sürümleri izin verilmeyen yazılım olarak etiketle ya da listele.
1,3UygulamaBelirleYazılım envaterleme araçları kullanKurumun sistemleri üzerinde kullanılan tüm yazılım ve işletim sistemlerinin otomatik olarak raporlanması için yazılım envanteri araçları kullan.
1,4UygulamaBelirleYazılım envanteri bilgilerini takip etFirma tarafından izin verilen tüm uygulama ve işletim sistemlerinin isim, sürüm, yama seviyesi, ne amaç için kullanıldığı ve kurulum tarihi gibi bilgileri takip et.
1,5UygulamaBelirleDonanım ve Yazılım Envanterini Entegre et.Donanım envanteri ile yazılım envanterini bir birine bağla. Hangi donanım üzerinde hangi yazılımın çalıştığını tek bir ortamdan takip et.
1,6UygulamaAksiyon Alİzin verilmeyen Uygulamaları Belirleİzin verilmeyen uygulamaların sistem üzerinden kaldırılmasını sağla. Aynı zamanda yazılım envanterini de uygun şekilde güncelle.
1,7UygulamaKoruBeyaz-Liste Uygulamalarından FaydalanTüm donanım varlıkları üzerinde sadece izin verilen uygulamaların çalışmasını sağlamak amacıyla Beyaz-Liste teknolojilerini kullan. İzin verilmeyen uygulamaların sistemler üzerinde çalışmasını engelle ve kaldır.
1,8UygulamaKoruUygulamalar için Beyaz-Liste kütüphanelerini Devreye AlKurumun Beyaz-Liste yazılımının sadece izin verilen yazılım kütüphanelerini (örnek: *.dll, *.ocx vs.) sistem prosesleri üzerine yüklemesini sağla.
1,9UygulamaKoruUygulamalar için Beyaz-Liste betiklerini (Script) Devreye AlKurumun Beyaz-Liste yazılımının sadece izin verilen betiklerin (Script) (örnek: *.ps1, *.py vs.) sistem üzerine çalışmasını sağla.
1,10UygulamaKoruFiziksel yada Mantıksal Olarak Yüksek Riskli Uygulamaları AyırFiziksel ya da Mantıksal olarak yüksek risk içeren fakat iş birimlerinin ihtiyaçları dolayısıyla kullanılması gereken uygulamaları ayır. (Örnek: Üreticisi tarafından desteği sona ermiş ve potansiyel zafiyetler barındıran bir iş yazılımının farklı bir Vlan üzerinden erişiminin sağlanması.)

 

 

 

Makalelerimi Beğendiğiniz ve Takip Ettiğiniz İçin Çok Teşekkürler
0