ACSIA Yardım Merkezi

Ara

Cyber Risk Assessment (CRA) Kullanım kılavuzu V23.xx.xxx

Federico Trotta
Federico Trotta
  • Güncellenme

1. Genel bakış

Bu makalede, bir Siber Risk Değerlendirme platformu olan ACSIA CRA platformuna nasıl erişileceğini ve kullanılacağını göreceğiz.

ACSIA CRA, şirketinizin internet üzerindeki konumunu değerlendirmek için çok sayıda pasif kontrol gerçekleştirir. Başka bir deyişle, çok sayıda pasif test yaparak altyapınızın bir siber saldırıya karşı ne kadar zayıf veya güçlü olduğunu değerlendirir ve bu, altyapınıza karşı bir siber saldırı simülasyonu yapmayacağı anlamına gelir. Yani yaptığı şey sadece bazı verileri ve metrikleri toplamak, bunları detaylandırmak ve bir siber saldırı durumunda altyapınızın zayıf mı yoksa güçlü mü olduğunu söylemektir.

CRA'nın size verdiği sayı, bir siber saldırı durumunda altyapınızın ne kadar zayıf veya güçlü olduğunu gösterir, ancak bu kesin bir sayı değildir. Aslında platform, lisansınıza bağlı olarak ara sıra altyapınız üzerinde bir kontrol gerçekleştirir.
ACSIA CRA ile yapılan tüm taramalar veritabanlarımızda kayıt altına alınır ve bazı mühendislerimiz bu bilgilere erişebilecek. Bilgileri ürünümüzü geliştirmek ve anormallikleri veya arızaları tespit etmek için kullanıyoruz. Bu alanı iyileştirmek için olası çözümleri üzerine çalışıyoruz, ancak bugün itibariyle yol haritamızda bu özellik talebini ele alacak bir çözümümüz yok.

2.Nasıl log in

Platforma giriş yapmak için ACSIA CRA destek ekibine bir kullanıcı adı ve şifre talep edilmelidir.

Daha sonra buradan giriş yapabilirsiniz.

 

image_1_CRA_Support_login.png

3. Temel Platform Anlayışı

"Genel Bakış / Overview (1)" üzerine tıklarsanız bazı bilgileri görebilirsiniz. Örneğin, ekranın sol üst köşesindeki (2) kırmızı dikdörtgen içinde şirketinizin bilgilerini görebilirsiniz. Ekranın sağ üst köşesinde (3) ise CRA tarafından internette yer alma durumunuza ilişkin olarak size verilen notu görebilirsiniz.

1-CRA.png

Ayrıca, şunu da görebilirsiniz:

  • 114 asset'in %78'i analiz edildi. Bunun nedeni, assetinizin Amazon Web Service (AWS) veya benzeri hizmetlere referans verebilmesidir: bu durumda, taramamız daha ileri gitmez. Ayrıca, Assets ile siber güvenlik perspektifinden değerlendirilebilen, maruz kalınan ve bir kuruluşun saldırı yüzeyini oluşturan unsurları kastediyoruz.
  • 59 ana bilgisayarı (host) analiz etmiştir. Ana bilgisayar derken, kuruluş tarafından kaydedilen bir etki alanının DNS'sinde bulunan ve tipik olarak dahili veya harici bir IP adresini tanımlayan herhangi bir bilgiyi kastediyoruz.
  • 15 network ağı analiz etmiştir. Network ağı ile BGP'de tek bir blok olarak duyurulan IPv4 veya IPv6 kümesini kastediyoruz, IPv4'te duyurulan minimum ağ /24 (256 IPs) ve IPv6 /48'dir (65536 IPs).
  • 4 AS'yi analiz etmiştir. AS ile Otonom Sistemi kastediyoruz: bir iç sağlayıcı ve yönlendirme politikasını tanımlayan bölgesel internet kayıtları tarafından IANA aracılığıyla atanan bir numara ile tanımlanan bir dizi IPv4 veya IPv6 ağı.
  • 3 Alan Adını (Domain) analiz etmiştir. Etki Alanı ile, kuruluş tarafından üst düzey bir etki alanına (örneğin .com/.net/.it/.eu) kaydedilen İnternet etki alanını kastediyoruz.
  • 14 IP'yi analiz etmiştir. IP ile, bir kuruluşun assetine bağlı IPv4 veya IPv6 İnternet adresini kastediyoruz.
  • 16 Websitesini analiz etmiştir. Web sitesi ile, internette 80 numaralı bağlantı noktasına (HTTP) ve 443 numaralı bağlantı noktasına (HTTPS) yanıt veren herhangi bir ana bilgisayarı kastediyoruz.
  • 2 E-postayı analiz etmiştir. E-posta ile, genellikle gelen e-posta hizmetleri sağlayan bir etki alanına bağlı herhangi bir posta sunucusunu veya e-posta hizmetini kastediyoruz.
  • 1 DNS'yi analiz etmiştir. DNS ile, bir alan adı sunucusunu, kuruluş tarafından kayıtlı bir İnternet alan adına yanıt vermek üzere yapılandırılmış bir hizmeti kastediyoruz; burada, bağlantılı alan adına bağlı bir anımsatıcı ad aracılığıyla erişilebilen kaynakları tanımlayan girişler yapılır.

Aşağı kaydırdığımızda, aşağıdaki gibi bir radar grafiği görebiliriz:

2- RADAR.png

Burada:

  • Sol tarafta, risk endeksinin tüm varlıklar arasında nasıl dağıldığını gösteren radar grafiği yer almaktadır. Örneğin, web sitesi ve alan adının en fazla riske sahip olduğunu görebiliriz. Örneğin DSN ve e-posta en az riske sahiptir.
  • Sağ tarafta, risk endeksinin aylar içindeki eğilimini görebiliyoruz.

Risk endeksi aşağıdaki gibi okunabilir:

mceclip4.png

Bunun anlamı şudur ki:

  • 0-30 risk endeksine sahip bir asset acil eylem gerektirir.
  • 90-100 risk endeksine sahip bir asset eylem gerektirmez.

 

DİKKAT:
Risk endeksi her taramada değişir. ACSIA CRA, aboneliğinize bağlı olarak altyapınızı düzenli olarak tarar, ancak manuel yeniden kontroller de gerçekleştirebilirsiniz.

 

Daha sonra, aşağı kaydırırsak, riske maruz kalma ile ilgili daha fazla ayrıntı görebiliriz:

3 - torta.png

Örneğin, yukarıdaki grafik en yüksek riske maruz kalan assetin web sitesi olduğunu göstermektedir çünkü geniş bir kırmızı banda sahiptir (ve bu bize burada daha geniş bir saldırı bandına sahip olduğumuzu söyler).

 

Aşağı kaydırırsak, çeşitli varlıkların bağımlılıklarını görebiliriz; yani assetlerin kendileriyle nasıl ilişkili olduğunu anlayabiliriz:

mceclip0.png

Bu, assetlerin gerçekten fiziksel olarak birbirine bağlı olduğu anlamına gelmez. Yazılım onları sadece mantıksal olarak birbirleriyle ilişkili bulmuştur.

 


Son olarak varlıklara ilişkin tüm detayları görselleştirebiliyoruz. Bunu yapmak için varlık yönetimine özel kılavuzu takip edebilirsiniz.

4. Olaylar ve bildirim kılavuzu

23.06.001 sürümünden başlayarak, şirketlerinizdeki güvenlik konularında güncel kalmanızı sağlayan yeni bir bildirim sistemi kurduk. Sistem iki bölümden oluşur: bildirim yapılandırması ve beslemeniz.

 

4.1 Bildirim Yapılandırması

Platformun bildirim sisteminin yapılandırılması, bildirim kanallarını ve konu başlıklarını ayarlamanıza olanak tanır.


Topics
Konular, kullanıcının bildirim almak istediği konuları temsil eder. Varsayılan olarak, kullanıcı "Platform Haberleri" ve "Dünya Haberleri" konularının yanı sıra teknik erişim haklarına sahip olduğu tüm aboneliklere abone olur. Bu konuların her biri etkinleştirilebilir veya devre dışı bırakılabilir. Etkinleştirilirse, bildirim almak için istenen önem düzeyi ayarlanabilir.


Önem seviyeleri:
● "Exclusively alert notification"
● "Warning and alert notification"
● "Info, warning, and alert notification"

Kullanıcı abonelikleri için topic devre dışı bırakılamaz ancak yalnızca önem derecesi ayarlanabilir.

Bu konulara ek olarak, bir kullanıcı belirli şirketler için farklı bir bildirim seviyesi yapılandırabilir. Bu, "Actions -> Edit Notifications" menüsü aracılığıyla doğrudan şirketin sayfasında ayarlanabilir ve daha sonra değiştirilebilir veya söz konusu şirket için varsayılan abonelik düzeyine sıfırlanabilir.


"Subscription" konusu, o aboneliğe ait şirketler için varsayılan ayar olarak ayarlanmalıdır.

 

Channels
Her kullanıcının yapılandırma için kullanabileceği iki kanalı vardır: "Feed" ve "Email". "Feed" kanalı
platformun kontrol panelinde görüntülenir (aşağıdaki açıklamaya bakın). "Email" kanalı platform oturumu için kullanılan e-posta ile otomatik olarak yapılandırılır ve değiştirilemez. Bu kanalların her biri etkinleştirilebilir veya devre dışı bırakılabilir. Etkinleştirilirse, bildirim almak için istenen önem düzeyi ayarlanabilir.


Şiddet seviyeleri:
● "Exclusively alert notification"
● "Warning and alert notification"
● "Info, warning, and alert notification"

mceclip1.png

 

Oluşturulan olaylar ve işlem örneği
Platform, ayarlarına göre kullanıcılara gönderilebilecek olayları otomatik olarak oluşturur.
Örneğin:


● Bir şirketin notu 84'ten 78'e değiştirilerek yeniden hesaplanır.
● "Uyarı" önem derecesine sahip bir olay oluşturulur.
● Şirket aboneliğine erişimi olan her kullanıcı bildirimi almaya hak kazanır. Konu için ayarlanan önem düzeyi kontrol edilir ve olayın önem düzeyine eşit veya daha düşükse bildirim saklanır; aksi takdirde atılır.
● Bildirimi alması gereken her kullanıcı için, kanallar için ayarlanan önem düzeyleri doğrulanır. Olayın önem düzeyine eşit veya daha düşükse, bildirim gönderilir; aksi takdirde, o kanal için atılır.


Feeds

Platform içindeki dahili beslemenin arayüzüne, kontrol panelinin sağ üst köşesinde bulunan zil simgesi aracılığıyla erişilebilir. Zil simgesi ayrıca son 7 gün içinde okunmamış bildirimlerin sayısını da gösterir. Her bildirim açıldığında otomatik olarak okundu olarak işaretlenir. Bildirimler içinde daha kolay gezinmek ve arama yapmak için çeşitli filtreler ve eylemler mevcuttur.

mceclip0.png