Güvenlik Açığı Yönetimi nedir?

Güvenlik açığı yönetimi süreci; güvenlik açıklarını tanımlamayı, değerlendirmeyi, düzeltmeyi, yönetmeyi ve raporlamayı içerir. Güvenlik açığı yönetimi, kuruluşların siber güvenlik programının ayrılmaz bir parçasıdır ve ortaya çıkan güvenlik sorunlarından daha iyi korunmak için sürekli izleme ve iyileştirme gerektirir. Risk tabanlı güvenlik açığı yönetimini benimseyen kuruluşlar, bulut altyapılarının güvenliğini sağlama konusunda daha proaktif, hassas ve kasıtlı olabilirler. 

Etkili bir güvenlik açığı yönetimi stratejisi, kuruluşların mevcut ve ortaya çıkan tehditleri derhâl izlemesine, tanımlamasına ve yanıtlamasına yardımcı olur. Etkili bir strateji, kuruluşların tehdit azaltma ve olay müdahale planlarına görünürlük sunarak operasyonel kesintileri azaltmalarını sağlar. Güvenlik açığı yönetimine yönelik bu yaklaşım, paydaşların çıkarlarını korumak, mevzuat uyumluluğunun karşılanmasına yardımcı olmak ve kuruluşun itibarına güven aşılamak için çok önemlidir.

Ne var ki bulutta güvenlik açıklarını yönetmek, geleneksel güvenlik açığı yönetimi yöntemlerinden farklı bir yaklaşım gerektirir. Modern bulut ortamları, geleneksel şirket içi mimariden daha karmaşıktır ve bu nedenle güvenlik açıklarını gidermek için farklı bir yaklaşım gerektirir. 

AWS, bulut güvenliğini artırmanıza yardımcı olacak çeşitli yönetilen hizmetler ve araçlar sağlar. Örneğin:

• AWS Kimlik ve Erişim Yönetimi'ni (IAM) kullanın ve AWS hizmetlerine erişen kullanıcılar ve iş yükleri için erişim denetimini düzenleyin.
• İş yüklerinizi nereye dağıtacağınızı seçerek veri egemenliğini koruyun. Örneğin, AWS Tahsis Edilmiş Yerel Alanlar, seçtiğiniz bir konumda dağıtım yaparak veri yerleşimi gereksinimlerini karşılamanıza olanak tanır.
• AWS Web Uygulaması Güvenlik Duvarı'nı (WAF) kullanın; dağıtılan web uygulamalarıyla ilişkili güvenlik risklerini izleyin, engelleyin ve azaltın.

AWS Bulut Güvenliği hizmetlerini kullanın; güvenliği artırın, riski yönetin ve Paylaşılan Sorumluluk Modeli doğrultusunda uyumluluk sağlayın. Güvenlik açığı yönetimi, Paylaşılan Sorumluluk Modelinin bir parçasıdır.

İş yüklerini güvenlik açıklarına karşı güvence altına alırken kuruluş genelinde görünürlük; hızlı olay algılama, yanıtlama ve daha kolay güvenlik planlaması sağlar. AWS Security Hub gibi bir çözüm kullanmak kuruluşun ve güvenlik durumunun birleşik bir görünümünü sağlayarak bulut güvenlik tehditlerini geniş ölçekte koordine etmenize, önceliklendirmenize ve bunlara yanıt vermenize olanak tanır. Security Hub, riskleri önceliklendirmenize, tehdit sinyallerini ilişkilendirmenize ve AWS'de korunan varlıkları sürekli izlemenize olanak tanıyarak risk tabanlı güvenlik açığı yönetimini destekler.

Güvenliği yönetmek mimari planlamadan başlar ve iş yüklerini bulutta dağıttıktan sonra bile devam eder. Güvenlik açığı yönetimi programı oluşturmanıza yardımcı olacak adımlar:

1. Bir güvenlik açığı yönetim planı geliştirin

Bir güvenlik açığı yönetim planı; hem bilinmeyen hem de bilinen güvenlik açıklarının azaltılmasına yönelik hedefleri, kapsamı ve sorumlulukları özetler. Güvenlik açığı yönetimi planı, güvenlik açıklarını ele alırken güvenlik ekiplerinin, çalışanların ve diğer paydaşların öngörülebilir şekillerde hareket etmelerine yardımcı olur.

Bir güvenlik açığı yönetim planı şunları içermelidir:

• Güvenlik açıklarını ciddiyetlerine göre sınıflandırma yöntemleri
• Varlık izleme, tehdit algılama ve olay müdahalesi için kullanılacak güvenlik açığı yönetimi araçları
• Güvenlik ekiplerinin ilgili risk kategorileri için uyması gereken hedef çözüm süresi
• Güvenlik bilgileri, çözülmemiş sorunlar ve uyumluluk durumu için raporlama gereksinimleri
• Kuruluş genelinde hesap verebilirliği ve sorumluluğu teşvik etmek için yönetişim iş akışı

2. Güvenlik açığı taramasını uygulayın

Güvenlik açığı taraması, güvenlik ekiplerinin dijital varlıklarınızda bilinen ve ortaya çıkan güvenlik kusurlarını belirlemesine yardımcı olur. Güvenlik açığı tarayıcısı; tehdit aktörlerinin istismar edebileceği güvenlik açıkları için uygulamaları, ağları ve altyapıyı analiz eder.

Aşağıdakiler de dâhil olmak üzere çeşitli dijital varlıklarda güvenlik açığı taramalarını otomatikleştirebilirsiniz:

• Uygulamalar
• Ağ yapılandırmaları
• Bulut altyapısı
• Sunucu ve bilgisayar sistemleri
• Uç nokta cihazları

Örneğin, AWS bulutunda Amazon Inspector; bilgi işlem bulut sunucularını, kod depolarını, container görüntülerini ve diğer iş yükü türlerini güvenlik açıklarına karşı otomatik olarak tarar. Kamuya açıklanan güvenlik açıklarını tanımlamaya ve bunlara yanıt vermeye yardımcı olmak için Amazon Inspector, AWS Sistem Yöneticisi ve AWS Security Hub'ı kullanabilirsiniz.

3. Risk tabanlı güvenlik açığı yönetim süreçleri oluşturun

Ardından, tanımlanan güvenlik açıklarını belirlemek, önceliklendirmek ve düzeltmek için bir iş akışı oluşturun. Güvenlik açıklarını yönetirken operasyonel ortamı, potansiyel etkiyi ve etkilenen iş yükünü de göz önünde bulundurun. Bu öncelik belirleme adımı yararlıdır çünkü güvenlik açıklarının ciddiyeti değişiklik gösterdiğinden iş sonuçlarını ve operasyonel sonuçları farklı ölçeklerde etkileyebilirler.

Risk değerlendirmeleri yapmak için risk faktörlerini değerlendirmeye yönelik bir kılavuz olarak Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) gibi standart puanlama sistemlerini kullanabilirsiniz. Standartlaştırılmış bir çerçeve kullanarak, keşfedilen riskleri azaltmak için hedef çözüm zaman çizelgesine göre çalışırken kaynakları en iyi şekilde tahsis edebilirsiniz. Örneğin, kullanıcı kimlik doğrulama modülündeki bir güvenlik açığı, düşük riskli olarak sınıflandırılmasına rağmen yetkisiz erişimi önlemek için derhâl dikkat edilmek üzere bildirilmelidir.

4. Yama yönetimini ayarlayın

Yama yönetimi, bir kuruluşun tehdide maruz kalma yüzeyindeki güvenlik risklerini yönetmek için çok önemlidir. Bir yama yönetim aracı, satıcılardan gelen güvenlik yamalarını ve yazılım güncellemelerini otomatik olarak indirir ve bunları dağıtılan yazılıma uygular. Otomatikleştirildiğinde yama yönetimi yazılımı, bilinen ve potansiyel güvenlik açıklarını daha önemli bir risk oluşturmadan önce düzelterek güvenlik boşluklarını kapatır.

Örneğin, AWS Sistem Yöneticisi Düzeltme Eki Yöneticisi ile AWS'de yama yönetimini otomatikleştirebilirsiniz. Düzeltme Eki Yöneticisi, Amazon Elastic Compute Cloud (EC2) bulut sunucularına, uç cihazlara, şirket içi cihazlara ve sanal makinelere güvenlik yamaları uygulayabilir. Güvenlik yamalarını bölgeye, onay yönergelerine ve planlanmış bir zamana göre uygulamak için yama politikaları ayarlayabilirsiniz.

Not: Kuruluş genelinde uygulamadan önce yamaları az sayıda cihaza yaymayı düşünün. Bu yaklaşım, yamaların kararlı olduğunu ve operasyonlar üzerinde istenmeyen bir etkiye neden olmayacağını doğrulamanıza olanak tanır.

5. Kötü amaçlı yazılım korumasını yapılandırın

Kötü amaçlı programlar veya yazılımlar, izlenmeyen bir ortamdaki cihazlara bulaşabilir. Kötü amaçlı yazılım bulaşmasını önlemek için AWS GuardDuty gibi bir kötü amaçlı yazılım koruması yükleyin.

Yapay zekâ ve makine öğrenimi ile desteklenen AWS GuardDuty; truva atları, solucanlar, kripto madencileri, rootkit'ler veya botlar gibi kötü amaçlı yazılım bulgularını analiz etmenize, algılamanıza ve bildirmenize olanak tanır. Üstelik düzeltme çabalarını kolaylaştırmak için tüm algılama verilerini AWS Security Hub'a yönlendirebilirsiniz.

6. Güvenlik açığı taramasını CI/CD işlem hatlarına entegre edin

Güvenlik açıkları; geliştirme sırasında kodlama hataları, yetersiz güvenlik denetimleri ve güvenli olmayan üçüncü taraf bileşenlerinin kullanımı yoluyla bir uygulamada yer edinebilir. Tespit edilmeden bırakılan güvenlik kusurları, üretim ortamına sızabilir ve daha maliyetli düzeltmelere neden olabilir. Bu tür komplikasyonlardan kaçınmak için AWS CodeGuru gibi araçlarla yazılım geliştirme yaşam döngüsünün erken dönemlerinde güvenlik açıklarına karşı kodu tarayarak güvenliği sağlayın.

AWS CodeGuru, yazılım ekiplerinin güvenlik açıklarını daha etkili bir şekilde tanımlamasını ve düzeltmesini sağlayan statik bir uygulama güvenliği test aracıdır (SAST). Makine öğrenimi destekli otomatik akıl yürütme özelliğiyle güvenlik zayıflıklarını otomatik olarak tespit etmek için CodeGuru'yu CI/CD iş akışlarınıza kolayca entegre edebilirsiniz.

7. Bir güvenlik izleme hizmeti yapılandırın

Güvenlik ekipleri; tehditlere ve olaylara etkili bir şekilde yanıt vermek için kuruluşun altyapısı, ağı ve iş yükleri hakkında bütünsel bir görünüme ihtiyaç duyar. Taramaları manuel olarak yürütmek ve güvenlik bulgularını bildirmek yerine bulut güvenliği iş akışlarını kolaylaştırmak için AWS Security Hub gibi birleşik bir güvenlik izleme hizmeti kullanmak en iyi uygulamadır.

AWS Security Hub'ı devreye alarak standartlaştırılmış güvenlik çerçevelerine dayalı otomatik kontroller yoluyla bulut sağlamlığını artırmaya yardımcı olursunuz. AWS Security Hub; tehdit tanımlamayı, sınırlamayı ve yanıtlamayı hızlandırmak için diğer AWS hizmetleriyle entegre olur. AWS Security Hub'ı kullanarak anında gerçekleştirilebilecek güvenlik açığı yönetimi eylemlerine genel bir bakış elde edersiniz ve güvenlik açığını algılama ile düzeltme arasındaki süreyi kısaltabilirsiniz.

8. Web uygulaması sızma testini uygulayın

Sızma testi, güvenlik kusurlarını proaktif olarak belirlemenize ve kuruluşunuz üzerindeki etkilerini değerlendirmenize olanak tanır. Bir web uygulaması sızma testinde siber güvenlik uzmanları, dağıtılan web uygulamalarının mevcut güvenlik önlemlerini değerlendirmek için kasıtlı ve hedefli girişimler gerçekleştirir. Ardından sonuçları belgeler, en kritik güvenlik açıklarına öncelik verir ve azaltma önlemleri alırlar.

Not: AWS'de uygulamalar oluşturuyor, test ediyor ve dağıtıyorsanız genel web uygulaması güvenliğini doğrulamak ve iyileştirmek için izin verilen hizmetler üzerinde sızma testi yapabilirsiniz.

9. Kod olarak altyapı ile otomatikleştirin

Karmaşık bulut ortamlarının güvenliğini sağlamak Kod Olarak Altyapı (IAC) hizmetleriyle daha yönetilebilirdir. Bulut kaynaklarının manuel olarak sağlanması, altyapı güvenliğini etkileyebilecek bulut yapılandırma hataları riskini artırır.

Bulut altyapısını manuel olarak sağlamak yerine işlem kaynağı tahsisini, hizmet yapılandırmasını ve diğer bulut yönetimi görevlerini otomatikleştirmek için AWS CloudFormation gibi IaC araçlarını kullanın. CloudFormation ile AWS iş yüklerinizi tutarlı ve kontrollü bir şekilde ölçeklendirebilir, yanlış yapılandırma risklerini azaltabilirsiniz. 

Etkili bir güvenlik açığı yönetimi çözümü, ortaya çıkan riskleri azaltmak için sürekli izleme ve iyileştirme gerektirir. Tehdit zekasına dayanarak güvenlik ekipleri, güvenlik yaklaşımlarını tehdit ortamına uyum sağlayacak şekilde geliştirir.

Amazon GuardDuty gibi tehdit tanımlama araçları; AWS hesaplarınız, iş yükleriniz ve verilerinizdeki tehditleri hızlı bir şekilde tanımlamanıza, analiz etmenize ve yanıtlamanıza yardımcı olur. Amazon GuardDuty, iş yüklerinize uçtan uca görünürlük sağlayarak güvenlik çabalarını manuel müdahale olmadan ölçeklendirmenize olanak tanır.

Ek olarak kilit paydaşlar; sürekli raporlama yoluyla güvenlik değerlendirmesi, olaylar ve düzeltme durumu hakkında bilgilendirilmelidir. Zamanında raporlama, kuruluşların bilinçli kararlar almasını sağlayarak tehditlerin artmasını önler. 

Güvenlik açığı yönetimi, bir kuruluşun bulutta güvenle yenilik yapma çabalarını desteklemek için gereklidir. Kapsamlı bir güvenlik açığı yönetim sistemi; siber tehditlerden kaynaklanan operasyonel aksaklıkları, finansal kayıpları ve itibar zararlarını önlemeye yardımcı olur. AWS'de güvenlik açığı yönetimi, katmanlı güvenlik önlemlerinin temelini oluşturan Paylaşılan Sorumluluk Modelini anlamakla başlar.

Buradan AWS'de bulut güvenliği, kimlik ve uyumluluk ile güvenlik açığı yönetimini iyileştirmenin diğer yollarını keşfedin.