4 ay önce
51 Görüntüleme

Tenable Nessus Yönetilen Güvenlik Hizmeti

Teknolojiler: Güvenlik
Tenable
Yönetilen Servisler
Veri Güvenliği

Nessus, Tenable tarafından geliştirilen bir güvenlik açığı tarama ve değerlendirme aracıdır. Nessus, ağ güvenliği ve zayıflıkların tespiti konusunda geniş bir kullanım alanına sahip bir çözümdür. Temel olarak, bilgisayar ağlarında güvenlik açıklarını tarayarak ve analiz ederek organizasyonların siber güvenliklerini değerlendirmelerine yardımcı olur.

Tenable Nessus, bir dizi özelliği barındıran kapsamlı zaafiyet taraması ve raporlama çözümüdür. Özellik kapsamı, genelde aşağıdaki gibi temel yetenekleri içerir:
1. Zayıflık Taraması:
Sistemdeki zayıf noktaları ve güvenlik açıklarını tespit eder.
Bilgisayar ağlarında ve sistemlerdeki potansiyel riskleri değerlendirir.
2. Güvenlik Açığı Değerlendirmesi:
Keşfedilen zayıf noktaların ciddiyetini ve etkilerini değerlendirir.
Açıkların sınıflandırılmasını ve önceliklendirilmesini sağlar.
3. Uyumluluk Taraması:
Belirli güvenlik standartlarına (PCI DSS, HIPAA, ISO/IEC 27001 vb.) uyumluluğu kontrol eder.
4. Port Tarama ve Hizmet İnceleme:
Ağdaki aktif portları tarama ve hizmetlerin türünü tanımlama sağlar.
Sunucu ve servis bilgilerini toplama.
5. Gelişmiş Raporlama:
Detaylı raporlar oluşturarak tarama sonuçlarını açıklayıcı bir şekilde sunar.
Uygulama sahiplerine ve yöneticilere yönelik özel raporlama seçenekleri sunar.
6. Web Uygulama Güvenliği Testi:
Web uygulamalarındaki güvenlik açıklarını tespit eder.
SQL enjeksiyonu, cross-site scripting (XSS) gibi saldırılara karşı test yapabilir.
7. Günlük İnceleme ve Analiz:
Saldırı girişimlerini tespit etme ve raporlama.
Güvenlik olaylarına yönelik günlükleri inceleme ve analiz etme yeteneği.
8. Güvenlik İyileştirme Önerileri:
Keşfedilen zayıf noktalara yönelik düzeltme ve iyileştirme önerileri sunar.
Güvenlik durumunu güçlendirmek için pratik çözümler sağlar.
9. Gelişmiş Tarama Seçenekleri:
Ağ taraması için özelleştirilebilir parametre seçenekleri.
Hedef sistemlere yönelik detaylı ve özelleştirilebilir tarama profilleri.
Bu özellikler, Tenable Nessus ürününün genel kapsamını oluşturur, ancak sürekli olarak güncellendiği ve geliştirildiği için, en güncel ve spesifik özelliklere ulaşmak için Tenable Nessus resmi belgelerine başvurmak önemlidir.

Tenable Nessus‘un temel hedefleri şunlardır:
1. Zayıflık Taraması:
Nessus, bilgisayar ağlarını ve sistemleri tarayarak potansiyel zayıf noktaları ve güvenlik açıklarını tespit eder. Bu, organizasyonların güvenlik durumunu değerlendirmelerine yardımcı olur.
2. Güvenlik Açığı Değerlendirmesi:
Keşfedilen zayıf noktaların ciddiyetini ve etkilerini değerlendirir. Açıkların sınıflandırılması ve önceliklendirilmesi, güvenlik ekibine eylem planları oluşturma konusunda rehberlik sağlar.
3. Uyumluluk Taraması:
Nessus, belirli güvenlik standartlarına uyumluluğu kontrol eder. Bu, organizasyonların sektörel düzenlemelere uyum sağlamasına yardımcı olur (örneğin, PCI DSS, HIPAA, ISO/IEC 27001).
4. Port Tarama ve Hizmet İnceleme:
Nessus, ağdaki aktif portları tarama ve hizmetlerin türünü tanımlama yeteneği sunar. Bu, ağda bulunan potansiyel riskleri belirleme konusunda önemlidir.
5. Gelişmiş Raporlama:
Detaylı raporlar oluşturarak tarama sonuçlarını açıklayıcı bir şekilde sunar. Bu raporlar, güvenlik durumunu anlamak ve iyileştirmeler yapmak için yöneticilere rehberlik sağlar.
6. Web Uygulama Güvenliği Testi:
Web uygulamalarındaki güvenlik açıklarını tespit eder. SQL enjeksiyonu, cross-site scripting (XSS) gibi saldırılara karşı test yaparak web uygulama güvenliğini sağlar.
7. Günlük İnceleme ve Analiz:
Nessus, günlükleri inceleme ve analiz etme yeteneği ile güvenlik olaylarını tespit etmeye yardımcı olur. Bu, potansiyel saldırı girişimlerini izlemek için kritik bir özelliktir.
8. Güvenlik İyileştirme Önerileri:
Keşfedilen zayıf noktalara yönelik düzeltme ve iyileştirme önerileri sunarak organizasyonların güvenlik durumunu güçlendirmelerine yardımcı olur.
9. Gelişmiş Tarama Seçenekleri:
Ağ taraması için özelleştirilebilir parametre seçenekleri ve detaylı tarama profilleri sunar. Bu, kullanıcıların taramaları isteklerine uygun şekilde özelleştirmelerine olanak tanır.
Nessus’un bu temel hedefleri, organizasyonların siber güvenliğini güçlendirmek ve potansiyel riskleri etkili bir şekilde yönetmek için kapsamlı bir güvenlik değerlendirme aracı olarak kullanılmasını sağlar.

       Tarama hizmetinin sağlıklı bir şekilde verilebilmesi işletme bünyesinde satın alınmış bir NessusPro ürününün kurulu ve sağlıklı bir şekilde çalışıyor olması gerekmektedir.


İşletmenin internet sağlayıcısının aktif olarak çalışıyor ve uzak bağlantı sistemlerinin de hazır bulunması gerekmektedir.
       Hizmet kapsamının net bir şekilde tanımlanması, beklentilerin yönetilmesine, yanlış anlamaların önlenmesine ve hem hizmet verenin hem de hizmet alanın sağlanan hizmetler konusunda uyumlu olmasını sağlamaya yardımcı olur.


Hizmet kapsamı maddeler halinde aşağıdaki gibidir:


-Kurulum ve Yapılandırma


-Özelleştirilmiş Tarama Desteği


-Tarama Raporlama İşlemleri


-Güvenlik Standartlarına Uygunluk Testi


-Hedef Belirleme ve Analiz


-Zamanlanmış Tarama ve Raporlama


-8×5 Servis Saatleri


Hizmet kapsamında yapılan faaliyetler detaylı olarak aşağıda belirtilmiştir:


On-premies Tenable Nessus Tarama hizmetimizdeki taramalar, local ve dış IP adresleri üzerinden gerçekleştirilir.
Müşteri, kendi altyapısına kurulacak gereksinimleri kendi sağlayacaktır.
On-premies ürünün sistem bakımı ve güncellemeleri müşteri tarafından gerçekleştirilir.
Ayda 2 kez Tarama Hizmeti: Müşteri, iş ortağı ve SERVİS ÜRETİCİSİ ekibi tarafından ortak belirlenen tarihlerde ayda 2 kez güvenlik tarama hizmetinin verilmesi,
Nessus tarafından tespit edilen zafiyetlerin detaylı bir şekilde analiz edilmesi ve müşterilere kapsamlı raporlar sunulması,
PCI DSS, HIPAA, ISO 27001 gibi endüstri standartlarına uyum sağlamak amacıyla uyumluluk değerlendirmelerinin gerçekleştirilmesi.
Müşterilerin belirttiği ağ ve sistem hedeflerine yönelik analizlerin yapılması ve bu hedeflerin güvenlik durumlarının değerlendirilmesi,
Nessus’un güncel veri tabanını kullanarak, en son tehditlere ve güvenlik açıklarına karşı sürekli olarak güncellenen bir hizmet sunulması,
Müşterilere düzenli aralıklarla güvenlik durumu raporlarının sağlanması ve bu raporlar üzerinden önerilerin sunulması,
Taramalar aşağıdaki güvenlik standartlarına göre gerçekleştirilebilir:


Common Vulnerabilities and Exposures (CVE): CVE, bilinen güvenlik açıkları ve tehditlerin bir listesini içeren bir standarttır. Nessus, CVE veritabanını kullanarak sistemde bulunan potansiyel güvenlik açıklarını belirlemek için tarama yapabilir.


Common Platform Enumeration (CPE): CPE, yazılım ve donanım ürünlerini tanımlamak için kullanılan bir standarttır. Nessus, taranan sistemdeki uygulamaların ve cihazların bu standarta uygunluğunu kontrol edebilir.


Common Configuration Enumeration (CCE): CCE, güvenlik ayarlarını ve yapılandırmalarını standart bir şekilde tanımlayan bir sistemdir. Nessus, bu standartlara uygun olmayan konfigürasyonları belirlemek için tarama yapabilir.


Security Content Automation Protocol (SCAP): SCAP, güvenlik bilgisi paylaşımı ve otomatik değerlendirme için bir dizi standart protokol ve spesifikasyon içerir. Nessus, SCAP protokollerini kullanarak sistemlerin güvenlik durumunu değerlendirebilir.


Payment Card Industry Data Security Standard (PCI DSS): PCI DSS, ödeme kartı işlemleri ile ilgili güvenlik gereksinimlerini belirleyen bir endüstri standardıdır. Nessus, PCI DSS uyumluluğunu kontrol etmek için özel tarama politikaları sağlayabilir.


Hizmet kapsamı dışında bırakılan kurulum faaliyetleri aşağıda listelenmiştir:


Taramaların ayarlanması ve raporlanması haricindeki tüm işlemler kapsam dışıdır.
Yapılan taramalar sonucunda bulunan zafiyetlerin kapatılması hizmet kapsamı dışıdır.
Nessus tarafından sunulan raporlarda belirtilen aksiyonların uygulanması müşteri sorumluluğundadır.
İlk tarama yapılandırması ve düzenlemesi müşteri taleplerine göre yapılır.
Acil durum müdahaleleri ve güvenlik zafiyetlerinin giderilmesi müşteri ekipleri tarafından sağlanır.
Altyapı ve sistem gereksinimleri kaynaklı oluşan sorunlar ve çözümleri müşteri sorumluluğundadır.
© 2024 Yönetilen Servisler - DİPLOKİON BİLİŞİM SİSTEMLERİ A.Ş. All rights reserved. Powered By BUBERKA