Open in app

Sign in

Write

Sign in

Risk Yönetimi Temelleri — CVE/CVSS | IBM Concert

Engin Özkurt
5 min readSep 17, 2024

--

Bu makalede, yazılım güvenliğinde kritik bir rol oynayan CVE — Common Vulnerabilities and Exposures (CVE) ve Common Vulnerability Scoring System (CVSS) sistemlerinin detaylarına değinmeye çalışacağım..

Ayrıca bu sistemlerin CVE örnekleri ile birlikte nasıl kullanıldığını ve CVSS’in yeni sürümü olan CVSS v4.0'ın önceki sürümden farklılıklarını detaylandıracağım. Güvenlik açıklarının etkilerini, CVSS puanlarının ne anlama geldiğini ve organizasyonların bu bilgileri nasıl kullanabileceklerini inceleyeceğiz.

CVE Nedir?

Common Vulnerabilities and Exposures (CVE), yazılım ve sistemlerdeki güvenlik açıklarını tanımlayan,standartlaştırılmış bir isimlendirme ve izleme sistemidir. CVE, güvenlik açıklarını bir kimlik numarası ile tanımlayarak, dünya genelindeki güvenlik araçları ve veritabanları arasında tutarlılık sağlar. Her CVE, belirli bir güvenlik açığını temsil eden benzersiz bir kimlik numarası ile birlikte açıklamalar ve referanslar içerir. Bu sistem, güvenlik uzmanlarının ve organizasyonların güvenlik açıklarını hızlı ve etkili bir şekilde yönetmelerine yardımcı olur.

CVSS nedir ? ve Nasıl çalışır?

Common Vulnerability Scoring System (CVSS), bir güvenlik açığının şiddetini ve etkilerini değerlendirmek için kullanılan açık bir frameworktür. CVSS, her bir güvenlik açığı için puanlamalar sağlayarak, açıkların uygulamalar için ne kadar ciddi olduğunu ve hangi önceliklerle ele alınması gerektiğini belirler. CVSS, dört ana metrik grubuna sahiptir;

Base Group metrikler: bu metrikler, bir güvenlik açığının zaman içinde değişmeyen ve tüm kullanıcı ortamlarında sabit kalan özelliklerini temsil eder. Base puan, bir açığın temel doğasını yansıtır ve tüm kullanıclar için aynı şekilde değerlendirilir. Base metrikler arasında, saldırganların bir açığı nasıl sömürebileceğini ve bu açığın potansiyel etkilerini değerlendiren kriterler bulunur.

Threat Group metrikler: bir açığın zamanla değişen özelliklerini yansıtır ve genellikle açığın ne kadar hızlı ve kolay bir şekilde sömürebileceğini değerlendirir. Threat metrikleri, bir açığın ne kadar geniş bir etkiye sahip olabileceğini ve ne tür bir tehdit oluşturabileceğini değerlendirir.

Environmetal Group metrikler: bir açığın kullanıcı ortamına özgü niteliklerini değerlendirir. Bu, özellikle bir açığın belirli bir organizasyon veya sistem üzerindeki etkilerini anlamak için kullanılır.

Supplemental Group metrikler: Bu metrikler, nihai CVSS puanını değiştirmeden ek bilgiler sağlar. Bu ek bilgiler, açığın daha iyi anlaşılmasına yardımcı olur ve güvenlik uzmanlarının daha iyi bir risk değerlendirmesi yapmalarını sağlar.

CVSS puanı, 0 ile 10 arasında bir ölçek üzerinde değerlendirilir, burada 10 yüksek riski temsil eder. Bu puan, bir açığın potansiyel etkilerini ve şiddetini standart bir şekilde sunar ve güvenlik açıklarının önemini anlamak için kullanılır.

CVSS v3.0'dan v4.0'a geçiş

CVSS v3.0 uzun yıllar boyunca güvenlik açıklarının değerlendirilmesinde kullanılmıştır. Ancak karmaşıklığı ve esneklik eksiklikleri nedeniyle önemli eleştiriler almıştır. CVSS v3.0, açıkların puanlanmasında bazı sınırlamalara sahipti ve bu nedenle daha esnek ve doğru bir puanlama sistemine ihtiyaç duyulmaktaydı. Bu ihtiyaçlar doğrultusunda FIRST — Forum of Incident Response and Security Teams, CVSS v4.0'ı geliştirmiştir.

CVSS v4.0, daha basit ve esnek bir sistem sunarak, CVSS v3.0 ın sınırlamalarını aşmayı hedefler. Bu yeni versiyon, daha doğru ve kullanılabilir puanlamalar sağlamayı amaçlar. CVSS v4.0, daha geniş bir uygulama yelpazesine hitap eder ve özellikle yeni tehditler ve güvenlik açığı türleri için daha iyi bir değerlendirme sağlar.

CVSS örnekleri ve etkileri

1- Log4j Güvenlik Açığı (CVE-2021–44228)

Log4j, dünya çapında bir çok web sitesi ve iş uygulaması tarafından kullanılan açık kaynaklı bir yazılım kütüphanesidir. CVE-2021–44228 olarak bilinen Log4j güvenlik açığı, kritik bir risk puanı olan 10 puan ile değerlendirilmiştir. Bu güvenlik açığı, kötü niyetli kullanıcıların uzaktan kod çalıştırmasına ve verileri çalmasına olanak tanımaktadır. Log4j açığının etkisi o kadar genişti ki, internetin tamamını etkileyebilecek potansiyele sahip olduğu görülmüştür. CVSS v3.x puanı, bu açığın ne kadar ciddi olduğunu ve hangi düzeyde aciliyet gerektirdiğini göstermektedir. Söz konusu güvenlik açığı, tüm yazılım endüstrisinde geniş yankı uyandırmış ve ciddi güvenlik riskleri oluşturmuştur.

2- SQL Injection Güvenlik Açığı (CVE-2023–34362)

SQL Injection, veritabanı yönetim sistemlerine yönelik bir saldırı türüdür. CVE-2023–34362 olarak tanımlanan SQL Injection açığı, orta risk puanı olan 9.8 ile değerlendirilmştir. SQL Injection açıkları, genellikler kullanıcı tarafından sağlanan verilerin yeterince filtrelenmediği durumlarda ortaya çıkar ve güvenlik açıklarını kötüye kullanarak veri sızıntılarına yol açabilir. Bu tür bir açık, saldırganların veritabanı komutlarını manipüle etmelerine ve hassas verilere erişmelerine olarak tanıdr. SQL Injection güvenlik açıkları, yazılım geliştirme sürecinde uygun güvenlik önlemlerinin alınmamasının bir sonucu olarak ortaya çıkar.

CVSS’in Sınırlamaları ve Kullanım Alanları

CVSS, güvenlik açıklarının şiddetini standart bir biçimde sunma konusunda oldukça etkili bir araçtır. Ancak, CVSS puanları her zaman belirli bir rganizasyonun özel ihtiyaçlarını ve ortamını yansıtmayabilir. CVSS puanları, genel bir değerlendirme sağlar, ancak uygulama ortamındaki spesifik riskler ve etkiler üzerinde daha ayrıntılı analizler yapılması gerekebilir. Bu nedenle, CVSS puanları ile birlikte ek analizler ve risk değerlendirmeleri de yapılmalıdır. CVSS puanları, açıkların genel şiddetini belirlemekte iyi bir araçtır, ancak her zaman organizasyonel riskleri ve özel koşulları dikkate alacak şekilde tamamlayıcı değerlendirmeler yapılmalıdır.

Yazılım Tedarik Zinciri ve SBOM Kullanımı

Yazılım tedarik zinciri, organizasyonel yazılım bileşenlerini ve bağımlılıklarını nasıl yönettiğini belirler. Yazılım tedarik zinciri açıkları, geniş çapta güvenlik riskleri oluşturabilir ve bu nedenle organizasyonlar, bu açıkları yönetmek için yazılım envanteri oluşturarak daha iyi bir risk yönetimi sağlamalıdır.

Bu bağlamda, Software Bill of Materials (SBOM), yazılım bileşenlerinin ve bağımlılıklarının detaylı bir envanterini sunar. SBOM, açık kaynak veya özel yazılım bileşenlerini içerebilir ve bu bileşenlerin güvenlik açıklarını daha iyi yönetmek için kullanılabilir.

SBOM, yazılım üreticilerinin, satın alma yazılımları ve işletim ekiplerinin kullanabileceği üç ana perspektife sahiptir.

  • produce software: SBOM, yazılımın ve upstream bileşenlerinin geliştirilmesi ve bakımı için kullanılır.
  • purchase software: SBOM, Yazılım alımında önemli bir karar faktörü haline gelmiştir. Alıcıların yazılım bileşenlerinde potansiyel güvenlik açıklarını değerlendirmelerine yardımcı olur.
  • operate software: SBOM, yazılım bileşenlerinin yönetimini ve lisans uyumluluğunu kolaylaştırır. Ayrıca, yazılım bileşenlerini üzerindeki değişiklikler ve yeni güvenlik açıkları hakkinda bilgi sağlar.

Bu makalede, CVE, CVSS sistemlerinin detaylarına değinerek, güvenlik açıklarının risklini ve etkilerinin nasıl değerlendirildiğini ve bu bilgilerin nasıl kullanılabileceğini anlatmaya çalıştım.

Bir sonraki makalede görüşmek dileğiyle!

Teşekkürler

Engin Özkurt

Senior Site Reliability Engineer

--

--

Engin Özkurt
Engin Özkurt

Written by Engin Özkurt

84 Followers
88 Following

𝘚𝘦𝘯𝘪𝘰𝘳 𝘚𝘪𝘵𝘦 𝘙𝘦𝘭𝘪𝘢𝘣𝘪𝘭𝘪𝘵𝘺 𝘌𝘯𝘨𝘪𝘯𝘦𝘦𝘳 / 𝘌𝘹-𝘔𝘪𝘤𝘳𝘰𝘴𝘰𝘧𝘵 /𝘖𝘱𝘪𝘯𝘪𝘰𝘯𝘴 𝘩𝘦𝘳𝘦 𝘢𝘳𝘦 𝘮𝘺 𝘰𝘸𝘯.

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams