BugHunters Companies Targets Bug Reports Blog About
TR
BugHuntersCompaniesTargetsBug ReportsBlogAbout
TRLogin Sign Up
Bir Güvenlik Açığının Ne Kadar Tehlikeli Olduğunu Nasıl Anlarız?

Bir Güvenlik Açığının Ne Kadar Tehlikeli Olduğunu Nasıl Anlarız?

98

Bir Güvenlik Açığının Ne Kadar Tehlikeli Olduğunu Nasıl Anlarız? (3 Global Kriterin Tanıtımı)

"Her Hata Bir Güvenlik Açığı mıdır?" başlıklı yazımızda, hataların, bilgisayar sistemlerinde manipülasyon, yıkım veya hırsızlığa yol açabilecek her türlü zafiyet ya da güvenlik açığı olarak kabul edildiğini belirtmiştik. Bazı güvenlik açıkları daha az tehlikeliyken, bazıları ise daha ciddi riskler taşır. Kimi güvenlik açıkları saldırganın diğer kullanıcı hesaplarına erişmesini sağlarken, bazıları ise saldırganın işinizin tüm verilerine, müşteri bilgilerine vb. erişim imkânı sunabilir. Bazı açıklar saldırganın sisteminizi devre dışı bırakmasına olanak tanırken, bazıları ise saldırganın web sitenizde istediği içerikleri yayınlayabilmesine izin verebilir.

Bu blog yazısında okuyacaklarınız:

  • Her güvenlik açığının tehlike derecesini nasıl anlayabiliriz?

  • Her güvenlik açığının tehlike derecesini ve önemini değerlendirmek için kullanılan global kriterler

  • OWASP on güvenlik açığı sıralaması

  • CVSS puanlama sistemi

  • VRT sıralaması

  • Strecan neye dayanarak çalışır?

Her güvenlik açığının tehlike derecesini nasıl anlayabiliriz?

Güvenlik açığından bahsettiğimizde, bu açıkların sistemler için oluşturduğu tehlike derecelerinin aynı olmadığını göz önünde bulundurmalıyız. Peki, her güvenlik açığının ne kadar tehlikeli olduğunu nasıl anlayabiliriz? Farklı güvenlik açıkları arasında hangileri daha tehlikelidir? Her güvenlik açığının tehlike derecesini ve önemini daha iyi anlamamızı sağlayacak kriterler, standartlar, istatistikler ve formüller var mı? Her güvenlik açığının tehlike derecesini ve önemini değerlendirmek için kullanılan global kriterler.

Her güvenlik açığının tehlike derecesini keşfetmenin iki genel yolu vardır. Eğer güvenlik açığını belirli parametrelere göre puanlamak istiyorsak, CVSS puanlama sistemi yardımcı olabilir. Diğer yol ise güvenlik açığını güvenilir sıralamalarda arayıp konumunu bulmaktır. CVSS puanlama sistemi, belirli parametrelere dayanarak güvenlik açığının puanını sunar, ancak sıralamalar sadece yüksek riskli güvenlik açıklarına genel bir bakış sağlar.

Bu blog yazısında, farklı güvenlik açıklarının nasıl değerlendirildiğini anlamanıza yardımcı olacak üç kriteri tanıtacağız:

  • Güvenlik açıklarının sıklığına göre on güvenlik açığını sıralayan OWASP Top Ten.

  • Sistemin tehlike derecesini hesaplamak için bir formül sunan CVSS puanlama sistemi.

  • Güvenlik açıklarını tehlike derecelerine göre sıralayan VRT sıralaması.

OWASP on güvenlik açığı sıralaması

OWASP Projesi, güvenlik açıklarını sıralamada en saygın referanslardan biridir ve bir güvenlik açığının yaygınlık ve tehlike derecesini bulmada yardımcı olabilir. Bu proje, 2001 yılında web uygulama güvenliği alanında güncel metodolojiler sunmak ve dünya genelinde aktif web sitelerindeki mevcut güvenlik açıklarını tanıtmak amacıyla başlatılmıştır. O zamandan beri, web sitelerini daha güvenli hale getirmek ve siber olayların önlenmesi konusunda eğitimler vermek için çeşitli çözümler sunmuştur. OWASP, her 4 yılda bir en sık karşılaşılan ve en tehlikeli 10 güvenlik açığını sıralayan bir liste sunar ve bu liste OWASP Top 10 olarak bilinir. En son OWASP Top 10 listesi 2021 yılında yayımlanmış olup, OWASP ile iş birliği yapan 40 kuruluştan toplanan verilere dayanmaktadır.

CVSS Puanlama Sistemi

CVSS sistemi, herhangi bir güvenlik açığının kökeniyle ilgilenmez. Bunun yerine, her güvenlik açığının tehlike şiddetini belirlemeye yardımcı olan bir formül sunar. CVSS formülünde güvenlik açıklarını puanlamak için kullanılan parametreler şunlardır:

  • Attack Vector (Saldırı Yöntemi)

  • Access Complexity (Erişim Karmaşıklığı)

  • Privileges Required (Gerekli Yetkiler)

  • User Interaction (Kullanıcı Etkileşimi)

  • Scope (Hedeflenen Bölüm)

  • Confidentiality (Gizlilik)

  • Integrity (Bütünlük)

  • Availability (Erişilebilirlik)

Belirtilen her bir parametreyi bir güvenlik açığı için ayarlayarak, bu güvenlik açığının tehlike seviyesini veya şiddetini belirleyen 0 ile 10 arasında bir puan elde edilir.

VRT Sınıflandırması

Bir güvenlik açığının ciddiyetine göre önemini ve değerini keşfetmenin bir başka yolu, Bugcrowd platformu tarafından sunulan Vulnerability Rating Taxonomy ya da kısaca VRT sınıflandırmasıdır. Bu sınıflandırma açık kaynaklıdır. Güvenlik araştırmacıları, her güvenlik açığının derecelendirmesi hakkında gerekçeli görüş belirtebilirler. VRT’yi sağlayan ekip, düzenli olarak ve genellikle haftalık olarak yaptıkları toplantılarda en son önerileri değerlendirir ve gerekirse VRT listesini günceller. VRT’de güvenlik açıkları genellikle ciddiyetlerine göre beş kategoriye ayrılır: P1, P2, P3, P4 ve P5. Bu sıralamanın iki ucunda, P1 en tehlikeli ve en yaygın güvenlik açıklarını, P5 ise en düşük tehlikeye sahip ve en nadir görülen güvenlik açıklarını temsil eder. Bu sınıflandırma açık kaynaklı olup, güvenlik araştırmacıları her güvenlik açığının derecesi hakkında gerekçeli görüş belirtebilir.

Strecan Nasıl Çalışır?

Strecan, küresel standartları ve sınıflandırmaları göz önünde bulundurarak, performansını güncel uluslararası kriterler ve formüller temelinde sunmayı hedefler. "Bir güvenlik açığının tehlike derecesi", bu açığın değerini belirlemede kritik bir faktördür ve bu faktör bug bounty programlarında da güvenlik açıklarının değerini belirlemek için önemli bir unsur olarak kabul edilir. Strecan'da, güvenlik açıklarının değerini hesaplamak için kullanılan formülde, CVSS puanlama sisteminden elde edilen skora bir katsayı tahsis edilmiştir. Strecan'da, hedef kayıt işlemi sırasında işletmeler, avcılardan hangi tür güvenlik açıkları raporlarını almak istediklerini sunulan sınıflandırmalardan seçebilirler.

Son Söz

Bu blog yazısında, dünya çapında güvenlik alanında tanınmış kaynaklar ve yetkili merciler tarafından sunulan standartları, sınıflandırmaları ve formülleri tanıttık. Amaç, farklı güvenlik açıklarıyla karşılaştığınızda, belirtilen kriterler yardımıyla bu açıkların tehlike derecesini ve değerini ölçmenizi sağlayacak bir ölçüt sunmaktır. Artık, her bir güvenlik açığını değerlendirirken kullanabileceğiniz sağlam ölçütlerle donanmış durumdasınız.

Siz hangi yöntemi tercih ediyorsunuz?

Strecan

Strecan, eski ingilizcede avcı anlamına gelir. Biz, Strecan’da işletmelerin siber güvenlikteki endişelerini gidermek için sağlıklı bir ortamda siber güvenlik uzmanları ve beyaz şapkalı hackerlar ile buluşturup İşletmelerin, iş güvenliklerinin iyileştirilmesi konusunda bize güvenebilmeleri ve işlerini büyütme yolundaki diğer zorlukları çözmeye odaklanabilmeleri koşullarını sağlıyoruz.

Subscription

To receive latest Strecan's newsletter

Links
BugHunter
Company
Be Secure ;)© All Rights Reserved.