Kendinizi korumak için önce nereden saldırılabileceğinizi bilmeniz gerekir. Zafiyet analizi, altyapınızdaki bilinen güvenlik açıklarının kapsamlı bir envanterini çıkararak bu görünürlüğü sağlar. Ancak ham bir tarama raporu tek başına yeterli değildir — asıl değer, o binlerce satırlık çıktıyı gerçek risklere indirgemektir.
SAVKOR’un zafiyet analizi, NIST SP 800-115 ve CIS Controls doğrultusunda yürütülür. Sistemlerinizi ve uygulamalarınızı bilinen zafiyetlere karşı tarar, ancak burada durmaz: her bulguyu manuel doğrular, yanlış pozitifleri eler ve kalan gerçek riskleri iş etkinize göre önceliklendirir. Sonuçta elinize, üzerinde hemen aksiyon alabileceğiniz net bir öncelik planı geçer.
Test Kapsamı
- İşletim sistemi zafiyetleri
- Servis ve uygulama zafiyetleri
- Yanlış yapılandırma tespiti
- Eksik yama ve güncellemeler
- Zafiyet risk sınıflandırması
- Yanlış pozitif eleme ve doğrulama
Metodoloji
- 01
Kapsam & Envanter
Taranacak varlıklar belirlenir ve envanterlenir.
- 02
Tarama
Sistemler ve uygulamalar bilinen zafiyetlere karşı taranır.
- 03
Doğrulama & Eleme
Bulgular manuel doğrulanır; yanlış pozitifler elenir.
- 04
Risk Sınıflandırma
Zafiyetler CVSS ve iş etkisine göre önceliklendirilir.
- 05
Raporlama
Bulgular ve önceliklendirilmiş çözüm önerileri raporlanır.
Teslimatlar
- Yönetici özeti ve zafiyet risk görünümü
- Doğrulanmış zafiyet listesi (CVSS puanlı)
- Yanlış pozitifi elenmiş bulgular
- Önceliklendirilmiş yama/çözüm önerileri
- İyileştirme sonrası yeniden tarama
Sık Sorulan Sorular
Zafiyet analizi ile sızma testi arasındaki fark nedir?
Zafiyet analizi, mümkün olduğunca çok bilinen açığı tespit etmeye ve listelemeye odaklanır; genişlik önceliklidir. Sızma testi ise bu açıkların gerçekten sömürülebilir olduğunu kanıtlar; derinlik önceliklidir. İkisi birbirini tamamlar.
Sonuçlar sadece bir tarama raporu mu?
Hayır. Otomatik tarama çıktısı yanlış pozitiflerle doludur. Biz bulguları manuel doğrular, gerçek riskleri eler ve iş etkinize göre önceliklendiririz. Yani ham bir liste değil, üzerinde aksiyon alınabilir bir öncelik planı teslim ederiz.
Ne sıklıkla yapılmalı?
Yeni zafiyetler sürekli ortaya çıktığı için düzenli tekrar önerilir. Sürekli görünürlük için Sürekli Zafiyet İzleme hizmetimizle otomatikleştirilebilir.