Blog

Siber Güvenlikte 20 Temel İlke!

Siber güvenlik denilince aklınıza ne geliyor? Ya da soruyu şöyle değiştirelim; hala siber güvenliğin ne kadar önemli olduğu konusunda kararsızlıklarınız mı var? Artık bir dijital dünyada yaşıyoruz. Arkadaşlarımızla görüşmelerimizi, akrabalarımızla sohbetlerimizi, iş toplantılarımızı, mülakatlarımızı ve benzeri işlemleri dijital dünya vasıtasıyla gerçekleştirmekteyiz. Dolayısıyla siber güvenlik bir bireyin, kurumun, şirketin olmazsa olmaz konu başlıklarından biri haline gelmektedir. Bugün ki yazımızda siber güvenlik konusunda önemli olan alt başlıklardan bahsedeceğiz. O zaman başlayalım;

  • Yetkili ve Yetkisiz Cihaz Envanteri: Ağ içerisinde bulunan tüm cihazların tespit edilmesi ile birlikte sisteme sonradan dahil olan ya da yetkisiz erişim sağlamaya çalışan tüm cihazlar tespit edilebilmektedir. Bunun için Change Management çözümleri ağdaki hardware envanterini çıkarabilir. İlk defa gördüğü bir cihazı şüpheli olarak işaretleyebilir. Sunucu bazında bakıldığında olaya yetkisiz erişimle açılan fiziksel, sanal ya da bulut ortamındaki herhangi bir sunucu otomatik keşif yöntemiyle tespit edilebilecektir. Yetkili ve yetkisiz cihaz envanteri konusunda önerilen, ağda yer alan tüm cihazların kime ait olduğunun belirlenmesi ve yetkisiz cihazların ağa dahil olmasını engellemek için izni olan cihazların bir listesinin oluşturulmasıdır. Bu envanterin çıkarılması ve düzenli olarak güncellenmesi, izni olan ve olmayan cihazların ayırt edilebilmesi açısından önem arz etmektedir.

  • Yetkili ve Yetkisiz Yazılım Envanteri: Bilgi güvenliği standartı göz önüne alındığında yetkili yazılımların envanterinin çıkarılması, yetkisiz ve izni olmayan uygulama ve yazılımların çalıştırılmasının önüne geçecektir. Bunun için beyaz listeleme ve bütünlük kontrolü yapılabilir. Beyaz listenin dışında kalan yazılımların-uygulamaların sistemde yaptığı değişiklikler raporlanabilmelidir. Bütünlük kontrolü güvenlik amaçlı kullanılırsa işletim sistemi ve uygulamaların kaynak dosyaları gibi önemli alanları kontrol edilirse olası bir zararlı faaliyetin farkına varılabilir ve önlemler alınabilecektir. Aslında burada amaç; sistemde hangi yazılımlar kullanılıyor, bu yazılımlar kim tarafından sisteme yüklenmiş tarzında soruların cevaplarının listesini tutmaktadır. Beyaz liste adı verilen bu liste sayesinde, yetkisiz yazılımların envanteri çıkarılabilecektir. Bu sayede yetkisiz yazılımların sistem üzerindeki kötü faaliyetlerinin önüne geçilebilecektir.

  • Uç Noktalarda Donanımsal ve Yazılımsal Kontrol: İlk iki aşama olan yetkili ve yetkisiz yazılımlar ve cihazların envanteri oluşturulduktan sonra saldırı yüzeyini kontrol etme, en aza indirme ve ağı koruma altına alma safhasına geçilebilir. Varsayılan parola ve hesapların kullanımı, açık portlar, eski tarihli, güncel olmayan, güvenilir olmayan protokoller ya da ilgisiz yazılımlar tespit edilmesi gereken güvensiz yapılandırmalara örnek olarak verilebilmektedir. Saldırganların savunmasız noktaları istismar etmelerini engellemek için bir yapılandırma yönetimi geliştirmek gerekmektedir. Buna binayen bir güvenlik yapılandırması oluşturmak önem arz etmektedir.
  • Güvenlik Açıklarının Bulunması, Kontrolü ve Aksiyon Alınması: Gerçekleştirilen siber saldırıların birçoğu bilinen güvenlik açıklarından faydalanılarak yapılmaktadır. Dolayısıyla düzenli olarak penetrasyon testi yaptırmak olası güvenlik açıklarının tespiti açısından önemlidir. Dolayısıyla tespit edilen güvenlik açıkları için önlem alınacak ve iyileştirme çalışmaları yapılacaktır. Burada önemli olan husus kullanılan tüm sistemler için bu güvenlik taramalarının gerçekleştirilmesidir. Ayrıca sunucu katmanı güvenlik önlemleri de alınmalıdır. Bu noktada IPS teknolojisi fayda sağlayabilmektedir. IPS; ağ trafiği içerisinde bulunan zararlı hareketleri tespit etmek ve önlemek için kullanılan bir teknolojidir diyebiliriz.
  • Kimlik, Erişim ve Yetki Kontrolü: Burada anlatılmak istenen kontrolsüz güç, güç değildir. Dolayısıyla kontrolsüz yetki de sistem içerisinde zafiyet oluşturacaktır. Bu nedenle yönetici ve kullanıcı yetkileri makul düzeyde tutulmalıdır. Bu sayede çalışanlardan kaynaklı güvenlik açıklarının risk boyutu da minimalize edilmiş olacaktır. Siber saldırganların yönetici düzeyinde yetkileri bulunan bir kullanıcı sayesinde zararlı yazılım içeren bir dosya veya oltalama saldırısı ile hedef sisteme sızması ve aynı yetkilerle var olma şansı düşürülmüş olacaktır.

  • Log Kayıtlarının Tutulması ve Analizi: Log kısaca; iletişim sağlayan ya da herhangi bir donanım üzerinde çalışan yazılımlar için yapılan her işlemin aktivite kayıtlarının tutulduğu dosyalardır. Buna istinaden yaşanması muhtemel bir siber saldırı sonrasında olayın tespiti ve müdahalesi için bilgi sağlayabilecek en önemli kaynaktır. Loglama yapılmaması demek, uğranacak bir saldırı da kayıtların olmamasından dolayı saldırının tespiti ve önlemi konusunda sıkıntı yaşanacağı anlamına gelmektedir. Burada doğru log kaynaklarının belirlenmesi, log anlamlandırma, etiketleme ve seviyelendirme çalışmaları önem arz etmektedir.
  • E-posta ve Web Tarayıcı Korumaları: Siber saldırıların birçoğu e-postalar ve web tarayıcıları üzerinden gerçekleştirilmektedir. Bu iki kaynak saldırganların hedefle temasa geçebildiği iki kaynağı göstermektedir. Burada e-posta ve web tarayıcıları için alınacak önlemler olası sosyal mühendislik ve phishing (oltalama) saldırıları risklerini azaltacaktır. Bu nedenle e-posta ve web tarayıcıları için güvenlik önlemi alınması önerilir. Güncellenmiş ve onaylanmış e-posta istemcileri ve web tarayıcılarının kullanımına izin vermek olası siber saldıra karşı bir nebze de olsa önlem almak anlamına gelecektir. Ama unutulmamalıdır ki bu çözüm nihai çözüm değildir. Gelişen teknoloji ile saldırganlarda yeni yöntem ve teknikler keşfetmektedir. Dolayısıyla bu başlığı alınabilecek bir önlem olarak görmekte yarar vardır.
  • Zararlı Yazılım (Malware) Defansı: En aktif ve popüler siber saldırı türüdür. Burada; e-posta, web sayfaları, bulut hizmetleri ve benzeri noktalardan gelebilecek zararlı yazılımlara karşı koruma sağlamaya çalışılır. Bu noktada kullanılabilecek firewall, saldırı tespit kabiliyetleri gibi zararlı yazılım engelleme çözümleri ile bazı siber saldırılar önlenebilir.

  • Port, Protokol ve Servis Kısıtlaması: Burada gelebilecek siber saldırılara karşı tüm client ve sunucuların port erişimleri kısıtlanmalıdır. Firewall düzeninde bir beyaz liste bulunmaktadır. Buna göre kullanılacak servis ve portlar izinli diğerleri ise bloklu olacaktır. Uç nokta uygulama kontrolünün yeteneklerinden beyaz listeleme ile kısıtlı uygulamalara izin vermek, sertifika bazlı kontrol (Örn: Tüm adobe uygulamaları çalışmasın) ya da kategori bazlı kontrol (örn: tüm VPN yazılımları engellensin) tarzı politikalar ile atak alanını minimize edersiniz. Burada uygulama kontrolü bakış açısıyla daha proaktif bir koruma sağlanabilmektedir.
  • Veri Yedekleme: Bilindiği üzere, yaşadığımız dünya bir dijital dünya ve tüm verilerimiz bu dijital dünyada barınmaktadır. Dolayısıyla veri güvenliği hayati bir önem taşımaktadır. Özellikle son zamanlarda artan ransoware (fidye yazılım) saldırıları küçük-büyük demeden birçok işletmeyi maddi ve manevi zarara uğratmıştır. Saldırı sonrası ele geçirilen veriler için çeşitli miktarlarda fidye talep edilmiştir. Bu firmalara-kurumlara maddi bir külfet yüklediği gibi prestij açısından da ciddi anlamda zarara uğratmaktadır. Bu noktada güvenli veri yedeklemesi yapılması kurum ve firmalar için gerekli görülmektedir. Zamanında ve doğru yapılmış veri yedeklemeleri sayesinde kurumlar ya da firmalar uğradıkları siber saldırılar sonucunda hızlı aksiyon alabilecek ve kuruluşun veri koruma uygunluk gereksinimlerini karşılayabilecektir.
  • Ağ Cihazlarının Güvenli Konfigürasyonunun Yapılması: Çok sayıda kuruluş güvenlik yerine kullanım kolaylığını tercih ederek üretici veya satıcılar tarafından sağlanan ağ altyapısı cihazlarının varsayılan yapılandırmalarını kullanmaya devam eder. Bu kontrol noktasında, saldırganların yararlanabileceği güvenlik açıklarının sayısını en aza indirmek için uygun yapılandırma yönetimi ve kontrol süreçleri dahil tüm ağ aygıtları için güvenli yapılandırma uygulanması önerilir. Özellikle açık portlar ve hizmetlerin, varsayılan kullanıcı adı ve parolaların ya da ilgisiz ancak cihazlar üzerinde ön yükleme ile gelmiş yazılımların belirlenmesi kuruluşun güvenlik duruşunda negatif etkiye sahip olacağından incelenmelidir. Bu konunun önemini şu örnek daha iyi anlatacaktır; Dünyanın en büyük DDOS saldırısı olarak tarihe geçen Amerika’nın en büyük DNS hizmeti veren kurumunu saatlerce çaresiz bırakan saldırıda akıllı ev cihazlarından, evimizdeki modemler ve kameralar kullanıldı. Bu cihazlar hacklenip saldırının parçası haline getirildi. Nasıl hacklendi sorusunun yanıtı çok basitti. Bu cihazları gelip evinize kurmaya gelen servisin cihazın üzerindeki işletim sistemi ve giriş ayarlarını sabit bırakması ve herhangi bir değişikliğe gitmemesi gösterilebilir.

  • Çevresel Güvenlik: Burada güvenlik açısından zararlı olabilecek verilere odaklanarak farklı seviyelerde bilgi aktarımı yapan ağların akışını tespit etme, log izleme, izinsiz giriş tespit ve gerekli görülen noktalarda düzeltmeler yapma hedeflenir. Bunun amacı; siber saldırganların içe erişimini engellemek, izinsiz girişleri tespit ve önlemektir. Kurum çalışanlarının çevresel güvenlik politika kalkanından filtrelenmesi ya da erişimlerinin kısıtlanması saldırı alanını minimize eder. Port, IP ya da servis bazlı kısıtlamalar, yine çevresel güvenliğin kilometre taşı olan mail gateway ya da web gateway (proxy) ile beraber gelişen Next Gen IPS çözümleri, temel firewall yetenekleri yanı sıra kullanıcı ve uygulama farkındalığı olan detaylı malware (zararlı yazılım) analizi için sandbox (kum havuzu teknolojisi) teknolojisi ile entegre çözümler bugün çevresel güvenliğin kilometre taşı olarak gösterilebilir.
  • Veri Koruma: Uçsuz bucaksız bir konu olsa da veri güvenliği için öncelikle verinin DNA’sı olarak Kabul edilen integrity kontrolü mutlaka anlık raporlanabilmelidir. Sunuculardaki integrity değişikliklerini bilgi güvenliği yöneticileri görebilmeli ve müdahale edebilmelidir. Özellikle işletim sistemlerinin kritik klasörleri olası bir kod enjeksiyonuna karşı monitor edilmelidir. Bunun da temelinde bütünlük kontrolü yer almaktadır. Şifreleme veri korumanın en önemli unsurlarından bir diğeridir. HTTPS’in email’deki karşılığı olan TLS protokolünü bugün kaç kurum efektif olarak kullanmaktadır? TLS’in aktif kullanılması için karşı tarafında TLS kullanması gerekmekte ve kullanım arttıkça domino etkisi gibi TLS kullanımı da daha makul bir noktaya gelecektir. Yine uç nokta da belli klasörlerin şifrelenmesi veriyi ele geçiren kişinin veriye ulaşmasını engeller. Artık hayatımızın en önemli parçası haline gelen verilerin sistemli ve en güvenli ortamlarda tutulması bunun için gerekli yazılım çözümleri ve hizmetlerin alınması gerekmektedir. ATAGÜÇ
  • Güvenli Erişim Kontrolü: Kuruluşların çoğunda kritik ve hassas veriler için erişim seviyelerinin sınırlandırılması yeterli seviyede değildir. Kuruluş çalışanlarının kuruluşa ait finansal, operasyonel veya insan kaynakları ile ilgili veriler gibi en hassas bilgilere kolaylıkla erişim sağlayabildiği durumlara rastlanmaktadır. Kuruluşlar ağ segmentasyonu, şifreli iletişim ve diğer erişim denetimi türleri ile siber saldırganların hassas verilere erişimini ve kötü niyetli faaliyetlerde bulunmasını engelleyebilir. Kontrollü erişim ile kuruluş çalışanlarının işlerini yapmak için gereken verilerin dışında bilgilere erişiminin engellenmesi önerilmektedir. Çoklu örnekler verilebildiği gibi temel amaç departmanların ve kullanıcıların hangi hizmete erişiminin departman yöneticisi tarafından IT’ye iletilmesi, erişim ve hakların doğru kurgulanması temel noktadır.

  • Kablosuz Ağ Erişim Kontrolü: Siber saldırganların kuruluş ağlarına sızmasının en kolay yollarından bir tanesi da kablosuz ağlardır. Bu kontrol noktası ile kuruluşların izinsiz giriş, veri hırsızlığı ve zararlı yazılımlara karşı korunması için kablosuz erişim kontrolünün etkili bir şekilde yapılması önerilir. Kuruluşlar, kullanılmakta olan kablosuz cihazlar için yetkili yapılandırmalar ve güvenlik profilleri uygulayarak kablosuz ağ güvenliğini büyük ölçüde artırabilir. Bunun için yetkisiz cihazlara erişim engeli uygulanması, hedefli ağ taramalarının reddinin sağlanması ve yetkili ve yetkisiz ağ erişim noktalarının belirlenmesi gereklidir.
  • Hesap Denetimi: Kuruluşlarda yaşanan işe giriş-çıkışlar nedeniyle tüm eski çalışanlara ait kullanıcı hesaplarının kapatılması zaman zaman unutulabilmektedir. Bu durum nedeniyle eski kullanıcı hesaplarının siber saldırganlar tarafından kendi çıkarlarına yönelik olarak kullanıldığı durumlara rastlanabilmektedir. Kullanıcı hesaplarının izlenmesi ve kontrolü, siber saldırganların etkin olmayan sistem veya uygulama hesaplarından faydalanma ihtimalinin azaltılması için önemli bir strateji olarak belirtilir. Kullanıcı hesapları sürekli izlenerek, ilgisiz veya etkin olmayan hesaplar kaldırılabilecek ve siber saldırganların veya eski çalışanların kritik kurumsal verilere erişimi engellenebilecektir.
  • Güvenlik Becerilerinin Değerlendirilmesi ve Uygun Eğitimlerin Verilmesi: Farkındalık bilgi güvenliğinin kilometre taşlarından birisidir. İşe yeni başlayan kullanıcının kurum bilgi sistemlerini kullanmadan önce bu eğitimi alması sağlanabilir. Bilgi güvenliği Farkındalığı Değerlendirme Modeli” ile internet/intranet kayıtları, e−posta sistem verileri, anti−virus sistemi kayıtları, şifre analiz programı verileri, yardım masası ve olay bildirim verileri gibi sistem kaynaklarından faydalanarak çalışanların güvenlik konusundaki davranışları tespit edilerek kurumun bilgi güvenliği bilinç seviyesi ölçümlenebilir. Yine çeşitli uygulamalar ve bulut tabanlı yazılımlar aracılığı ile kullanıcılara test amaçlı oltalama saldırıları (phishing ya da sperphishing) gönderilerek reaksiyonları raporlanır. Bu sayede uygun eğitim programı hazırlanarak çalışanların bilinçlenmesi sağlanabilmektedir.

  • Uygulama Yazılımlarının Güvenliği: Siber saldırganlar hedeflerini genellikle en kolay ele geçirilebilir olanlardan seçmektedir ve bu hedefler genellikle kurum içi veya edinilmiş uygulama yazılımlarından ortaya çıkar. 18. kontrol noktasında; kodlama hataları, mantık hataları, eski yazılım sürümleri gibi uygulama güvenlik zafiyetlerini önlemek, tespit etmek ve düzeltmek üzere öneriler sunulur. Uygulamalarını yazılım güncellemeleri, yama yönetimi ve güvenlik duvarı dağıtımları (firewall deployment) ile güvence altına alan kuruluşlar, uygulama güvenlik açıklarının saldırganlar tarafından istismar edilmesini engelleyebilecektir. Özellikle kurum içi uygulama geliştiren kuruluşların “Uygulama Geliştirme Yaşam Döngüsü” (Software Development Life Cycle) olarak tanımlanan iş akış modelinin devreye alınması ve güvenlik parametrelerinin eklenmesi gereklidir.
  • Olaylara Müdahale Ekibi: Yıllardır finans sektöründe var olan fakat kaynak yetersizliğinden finans dışındaki kurumlarda görmeye alışık olmadığımız incident response ekipleri bugün devletimizin girişimleri ile kamu kurumlarında SOME (siber olaylara müdahale) ekipleri kurulmuştur. SOME ekipleri IT’den bağımsızdır fakat IT ile entegre çalışır. Şirket yönetimi dışında USOM yani ulusal siber olaylara müdahale merkezine raporlar. Herhangi bir kurumda izinsiz yapılan erişimler, tüm güvenlik ihlallerinin izlenmesi ve çıkan aksiyon alınması yine bu ekibin görevidir. Bu oluşum kamu tarafındadır. Incident response ekiplerinin bugün özel sektördeki ismi SOC ekipleri olarak tabir edilen (Security operation center) yani güvenlik operasyon merkezi altına girmiştir. SOC ekipleri bilgi güvenliği politikalarının oluşturulması, ilgili teknolojik yatırımın sağlanması ve SIEM çözümlerinin tüm cihazları denetleyip, doğru korelasyon kurallarının tanınması ile ilgili tüm aşamalarda yer alır. Kurumlarım bazıları kendi içinde SOC kurmaya çalışırken buna kaynak ayıramayacak kurumlarda SOC hizmeti veren yerel ve global şirketlerden destek almaya başladılar. Ortalama bir şirketin bir siber saldırıya maruz kaldıktan sonra bunu idrak etmesi 280 günü bulabilmektedir. Incident response ya da SOC operasyonları ile hedef Şirketlerin siber güvenlik olaylarına anlama ve tepki verme süresini maksimum seviyede minimize etmektir.

  • Penetrasyon Testi: Bilindiği üzere siber saldırılar devlet, kurum ya da şirket tanımadan her yöne yapılabilmektedir. Bu saldırılar binlerce farklı teknik ve yöntemle gerçekleşebilmektedir. Dolayısıyla firma ya da kurumların düzenli olarak penetrasyon testi yaptırmaları varsa güvenlik açıkları için iyileştirme çalışmaları yapmaları önerilir. Bunun amacı olası siber saldırılara karşı hazırlıklı olmaktır.

Görüldüğü üzere siber güvenlik artık vazgeçilemeyecek en önemli konuların başında gelmektedir. Yukarıda bahsettiğimiz konular hakkında daha detaylı bilgi almak, siber güvenlik konusunda geliştirmiş olduğumuz yazılım ve hizmetlerimizden faydalanmak için BBS Teknoloji ekibi ile iletişime geçebilirsiniz.

Unutmayın güvenlik her şeydir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.