Kurumlara yapılan güvenlik denetimleri sonucu ortaya çıkan açıklar detaylara inildiğinde kurumdan kuruma farklılık gösterse de, büyük resme bakıldığında farklılıkların azaldığı ve birçok ortak noktanın bulunduğu gözlemlenmektedir. Bu ortak noktaların oluşmasına neden olan şey ise bulunan açıklara ait kök nedenlerdir. Kök nedenlerin kurumlar arasında genellenebilmesi ise istatistiksel bir durumdur. Bu istatistiksel ve/veya ampirik olarak varılan sonucun altında yatan nedenler ise ayrı bir araştırma konusu olabilir.
Kök nedenler bir açığın var olma sebeplerini özetlemeye, açığın varlığını özet bir sebep üstünde toplamaya yarayan faktörlerdir. Bir açığın büyük resimde bir tane kök nedeni olabileceği gibi, detaylarda farklı yaklaşımlarla irdelendiğinde açık için birden fazla kök neden bulabilmek de mümkündür. Bu yüzden kök nedenler seçilirken genelleme yapmak yerinde olmayacaktır.
Örnek vermek gerekirse, bir açığa ait kök neden eğer güncelleştirme yönetimi kaynaklı eksiklik ise, bu kök neden bir üst kümede kurumsal güvenlik kültürünün oluşmaması kaynaklı olarak da değerlendirilebilir. Böyle durumlarda alt küme sayısının azaldığı noktada olan ve sorunun çözümüne en yakın olan neden, kök neden olarak seçilir. Bir sistemde çalışan üçüncü parti bir uygulamada güvenli kodlama kriterlerinin uygulanmaması nedeniyle çıkmış bir uzaktan kod çalıştırma açığı için birçok neden öne sürülebilir. Ancak, açığın kurum bünyesinde barınma nedeni güncelleştirme politikası eksikliği ve açığın en kolay çözümünün güncelleştirme yapılması olduğu göz önünde bulundurulduğunda, bu açığa ait kök nedeni güncelleştirme politikası eksikliği olarak tanımlamak yerinde olacaktır. Öte yandan, açığı oluşturan nedenlerden biri olan güvenli kodlama yapılmaması nedenini kök neden olarak belirtmek, kurum yerine bu uygulamayı tasarlayan üçüncü parti yazılım firmasının işine yarayacak bir kök neden belirtmek olur. Bu da gösterir ki kök nedenlerde durumlara bağlı bir değişkenlik söz konusudur.
Burada anlatılmış olan bakış açısı kurumlara yapılmış olan denetimlerin sonuçlarının genellenerek yorumlanmasıyla ortaya çıkan bakış açısı olacaktır. Kök nedenler, kuruma yapılan bir denetimin bakış açısıyla ve büyük resme bakıldığında yoğun olarak görülen açıkların yorumlanmasıyla elde edilmiştir. Kullanılan veri tabanında Türkiye’de çok çeşitli alanlarda hizmet göstermiş şirketlerin denetim raporlarının sonuçları yer almaktadır ve bu yazı için 10 yıllık örnekleme süresi baz alınmıştır.
Yapılan araştırma sonucunda, kurumlara yapılan güvenlik denetimlerinde 10 adet kök nedene sık olarak rastlanmıştır. Bunlar şu şekildedir:
1- Güncelleştirme Eksiklikleri
2- Varsayılan/Zayıf Parola ile veya Parolasız Kullanılan Ağ Öğeleri
3- Oturum Açma Sistemlerinin Tasarımı
4- Domain Politikalarının Yetersizliği
5- Konfigürasyon Yetersizlikleri
6- Anti Virüs Yönetimi Eksiklikleri
7- Uygulamalardaki Tasarım ve Kodlama Eksiklikleri
8- Güvenlik Cihazlarının Yönetimindeki Yetersizlikler
9- Ağ Tasarımındaki Eksiklikler
10- Kurum Güvenlik Kültürü
Gökhan MUHARREMOĞLU