Zafiyet tarama ve yönetimi, ağ cihazı, uygulama, sunucu, işletim sistemi, yazıcı, IP kamera vb. Bilgi Sistemlerinizdeki tüm varlıkların güvenlik açıklarının bulunması, önceliklendirilmesi ve azaltılmasını kapsayan düzenli olarak işletilmesi gereken bir süreçtir.
Zafiyet taraması hem teorik olarak hem de pratik olarak Sızma Testi süreçlerinden farklı yöntem ve araçlarla yapılır. Sızma testlerinde amaç açıklıkları tespit etmek ya da tanımlamak değil var olan her hangi bir açıklığın sömürülerek, "kurum sistemlerine zarar vermeden", kurumun bilgi sistemleri üzerinde yetki ele geçirmek, kurum ağına sızmaktır.
Bir zafiyet taraması otomatikleştirilebilir olsa da, sızma testi çeşitli düzeylerde uzmanlık gerektirir.
Zafiyet taramasında amaç daha üreticiler tarafından duyurulmuş, bilinen ve tanımlanmış olan güvenlik açıklıklarının tespit edilerek kapatılmasıdır.
Zafiyet taramasında her sistem, uygulama, cihaz için üreticilerin yayımlamış oldukları duyuruları takip ederek yönetmek de bir yöntem gibi görünse de yüzlerce farklı sistem, uygulama, ağ cihazının olduğu karmaşık yapılarda bu işin merkezi bir uygulama üzerinden yapılması kaçınılmazdır.
Zafiyet tarama araçları birbirlerinden faklı ve güçlü yönleri ile birbirlerinden farklılık gösterse de çoğu aşağıdaki temel özellikleri içerir.
Keşif: Ağ ortamında her varlığın tanımlanması ve sınıflandırılması ve bir veri tabanında niteliklerin depolanması süreci. Bu aşama aynı zamanda bu varlıklarla ilişkili güvenlik açıklarını keşfetmeyi de içerir.
Önceliklendirme: Bilinen varlık açıklarını ve riskleri derecelendirme süreci. Güvenlik açıklarına, 5 en kritik olmak üzere 1 ile 5 arasındaki gibi bir önem derecesi verilir. Bazı sistemler güvenlik açıklarını düşük, orta ve yüksek olarak sıralamaktadır.
Açıkları Kapatma: Bu sistemler keşfedilen her bir güvenlik açığı hakkında, detaylı bilgi, düzeltme önerileri ve varsa üretici yamaları ilgili üretici sitelerine yönlendirmeler içerir. Bazı üreticiler kendi güvenlik açığı istihbarat veri tabanı bilgilerini paylaşmaz bazıları da Ortak Güvenlik Açıkları ve Etkilenmeleri veri tabanı, Ortak Güvenlik Açığı Puanlama Sistemi veya gibi üçüncü taraf kaynaklara bağlantılar da sunar. Digisecure olarak, Güvenlik Açıklıkları Yönetimi Süreci oluşturulması kapsamında, Zafiyet tarama araçlarının kurulumu, Kurum ağından ve internet üzerinden periyodik taramaların tanımlanması, Taramaların kurum sistemlerine ek yük getirmemesi için ayarların yapılması
Raporların düzenlenmesi ve Açıklıkların kapatılması hizmetlerini alanında sertifikalı uzmanlarımız hizmet vermekteyiz.