Boşluqların daranması
Boşluqların tapılması üçün müxtəlif növ avtomatlaşdırılmış və əl alətləri mövcuddur. Boşluq
darayıcıları əməliyyat sistemləri, şəbəkə, proqram təminatı və tətbiqlərindəki boşuqları, səhvləri,
zəiflikləri aşkarlamaq üçün xüsusi olaraq dizayn edilmişdir. Skriptlərin, açıq portların, bannerlərin,
servislərin, konfiqurasiya səhvlərinin dərin inspeksiyasını həyata keçirirlər.
Məşhur boşluq
skanerləri:
Nessus
Open VAS
Nexpose
Retina
GFI LanGuard
Qualys FreeScan
Boşluqların daranması üçün tövsiyələr
• Şəbəkədə hər hansı boşluq qiymətləndirmə alətini istifadə etməmişdən əvvəl auditor bu
alətin tam funksionallığını başa düşməlidir.
• Əmin olmaq lazımdır ki, aləti istifadə edərəkən şəbəkədə işləməkdə olan servislərə zərər
gəlməyəcək və ya hər hansı bir problem baş verməyəcək.
• Fokus sahəsini azaltmaq üçün darama mənbəyindən əmin olmaq lazımdır.
• Boşluqları aşkarlamaq üçün darama mütəmadi aparılmalıdır.
Özünü yoxlamaq üçün suallar
1. Boşluqların idarə edilməsinin həyat dövrü hansı mərhələlərdən ibarətdir?
2. Boşluqların qiymətləndirməsinin hansı növləri var?
3. Boşluqlar üzrə hansı açıq mənbələr var?
4. NVD hansı təşkilat tərəfindən dəstəklənir?
5. CVSS qiymətləndirmə sistemi hansı metrikalardan istifadə edir?
6. Boşluqların daranması üçün hansı məşhur alətlər var?
7. Boşluq haqqında məlumatın açıqlanması üzrə hansı siyasətlər mövcuddur?
8. CERT/CC boşluq haqqında məlumatın açıqlanması üçün neçə gün vaxt müəyyən edir?
