Örnek vermek gerekirse bir ISS sunucunda yapılan taramada sunulan bir web hizmeti http olabilir. http protokolünün güvenli şifrelenmiş versiyonu bildiğimiz üzere httpsdir. Dolayısı ile bir sitede http yerine https kullanmak zafiyet taramasında bir bulgu olarak gözükebilir. Fakat siz o hizmeti http sunmak zorunda olabilirsiniz.Gerekli güvenlik önlemleriniz var ise bu sizin için ciddi bir tehdit değildir.Yukarıdaki örnekteki gibi tüm protokoller, verilen her hizmette şifrelenmiş olmak durumda değildir. Ama bu durum zafiyet taramasında bir bulgu olarak gözükebilir. Dolayısı ile zafiyet taraması sistemle ilgili oluşabilecek tüm güvenlik risklerini bize sunan bir güvenlik taramasıdır.Tabi bu zafiyet taramasının ciddiye alınmaması gibi bir durum ortaya koymaz.
Zafiyet taramasında çıkan tüm bulguların dikkatli bir şekilde incelenmesi gerekir.Bu tehditlerden hangisi bizim sistemimizde gerçek bir risk oluşturuyor buna karar verilmesi gerekir. Zafiyet taramasında denetlenen bir diğer şey ise uyumluluk süreçleridir. Zafiyet taraması firmaların PCI, SOX, HIPPA vs. gibi dünyaca kabul edilmiş birçok uyumluluk standatlarına göre durumunu da inceler. BT ortamınız bu uyumluluklardan geçecekse bu taramaların mutlaka yapılıp sistemin durumu hakkında fikir sahibi olmak ve gerekli önlemleri almak gerekir.
Hiç yorum yok:
Yorum Gönder