CVE Nedir?

CVE Nedir?

CVE (Common Vulnerabilities and Exposures), halka açık olarak sunulan bir zafiyet sözlüğüdür. Bu sözlüğün yaratılma amacı zafiyetler hakkında yapılan bilgi paylaşımını kolaylaştırmaktır. Bir CVE kaydı, zafiyet hakkında bir açıklama, bir zafiyet kimlik numarası ve en az bir halka açık referanstan oluşur.

CVE, ABD İç Güvenliği (DHS) tarafından sponsorlanmakta olup, MITRE tarafından yürütülmektedir. CVE, aynı zamanda MITRE tarafından markalaştırılmıştır ve her hakkı MITRE’ye aittir.

CVE sözlüğü, halka açık olarak bedava bir şekilde sunulmaktadır ve bu sözlük üzerine belirli veritabanları kurulmuştur. Bu veritabanlarından en önemlileri arasında NVD (National Vulnerability Databse) de bulunmaktadır. NVD, CVE sözlüğü ile senkronize çalışan ve yine halka açık olarak bedava sunulan bir veritabanıdır. Bu veritabanında zafiyetler hakkında detaylı bilgiler bulunmaktadır. Bu bilgilere ek olarak zafiyetlere verilen skorlar da bulunmaktadır.

Zafiyet Skoru Nedir?

Zafiyet skorları, zafiyet veritabanları üzerinde belirli metrikler kullanılarak oluşturulan skorlardır. Bir zafiyet skorunun yüksek olması, o zafiyetin önem arz ettiğini ve potansiyel bir tehlike olduğunu gösterir. Zafiyet skorlamak için sık olarak CVSS (Common Vulnerability Scoring System) kullanılır. CVSS, belirli algoritmalar ve metrikler vasıtasıyla zafiyetlere 10 üzerinden puanlar verir. Zafiyetler daha sonra skorlarına göre gruplanır. Bu gruplar, bulundurdukları zafiyetlerin önem sırasına göre oluşturulmuş gruplardır.

CVSS, 2 farklı versiyonda zafiyetleri gruplamaktadır. Bu versiyonlar CVSS v2.0 ve CVSS v3.0’dır. Aşağıda verilen tablolarda, 10 üzerinden verilen CVSS skorlarının, her versiyonda hangi grup altına düştüğü görülebilir.

 

Zafiyetler Nasıl Bulunurlar?

 

Zafiyetlerin bulunma süreci zafiyetlere göre değişmektedir. Eğer daha önce hiç keşfedilmemiş bir zafiyet keşfediliyorsa süreç uzun ve zorludur. Saldırganın gereken durumlarda satır satır kod inceleyerek kodda kullanabileceği bir hata bulması bile söz konusu olabilir. Yazılım zafiyetleri genellikle insan hatası, konfigürasyon/kurulum hatası ve kodlama hatasından kaynaklanırlar. Zaten bilinen bir zafiyetin bulunması yeni bir zafiyet bulunmasına kıyasla çok daha kolaydır. Halihazırda bulunan belirli yazılımlar, varlıkları birçok perspektiften, birçok farklı parametreyle tarayarak, daha önceden keşfedilmiş zafiyetleri kullanıcılara gösterebilmektedirler.

 

 

 

Zafiyetler Nasıl Çözümlenir?

Zafiyetleri çözümleme süreci zafiyetlerin türüne göre farklılık göstermektedir. Birçok zafiyetin çözümlenmesi, güncellemeler vasıtasıyla gerçekleşir. Bunun yanı sıra ek yazılımlar kullanarak sistemi daha güvenli hale getirmek de mümkündür. Varlıklar üzerinde keşfedilen zafiyetlere göre siber güvenlik planları oluşturmak, varlıklar için en güvenlisi olacaktır. Zafiyetleri mümkün olabildiğince az sayıda tutmak adına izlenebilecek adımlardan bazırları aşağıdaki gibidir:

• Varlıklarda kullanılan tüm yazılımlar, özellikle de 3. parti yazılımlar, güncel tutulmalıdır.
• Bulunan zafiyetler, önem sırasına göre sıralanmalı ve yamalanmalıdır.
• Zafiyeti yamalamak henüz mümkün değilse, zafiyetten etkilenebilecek varlık sayısı minimuma indirilmeli ve oluşabilecek sorunlar bu şekilde azaltılmalıdır.

Zafiyetlerin yamalanması süreci tamamlandıktan sonra, zafiyet taramaları ve zafiyet testleri tekrar yapılıp, sistemin güvence altına alınıp alınmadığı doğrulanmalıdır.

Zafiyet İzlemede Neden SwordEye?

SwordEye Saldırı Yüzeyi Haritalama, dijital varlıklarınızı ve dış tehditlerinizi hiçbir konfigürasyona gerek kalmadan izleyerek, organizasyonunuza risk skorları vermektedir. 200’den fazla port, web servisleri ve diğer servisler SwordEye tarafından incelenir ve izlenir. Potansiyel oltalama siteleri, art niyetli JavaScript betikleri, CVE’ler ve CPE’ler incelenir ve hepsinin sonucunda organizasyonunuzun risk skoru bir harf notu şeklinde sunulur. Güncel olarak sisteminizde keşfedilen zafiyetleri izlemek, SwordEye ile kuruluma gerek kalmadan mümkündür.