Siber güvenlikte ve bilişim yönetiminde dikkat ettiğim en önemli şeylerden biri de izlemektir. Yani hangi makine hangi sistem nereden nereye gidiyor? Bunları Siber operasyon merkezi (SOC) yazılımlarıyla birleştirebiliriz. Sistemlerinizi siber güvenlik ve performans açısından sürekli analiz yapmazsanız sistemsel anlamda körsünüzdür. Yani her gün bir sürprizle uyanabilirsiniz.

Geçen ay büyük işletme ve kurumlarda siber güvenlik yönetiminden bahsetmiştik, bu ay sizlere işletme ve kurumlarda kullanılan siber güvenlik çözümlerini genel hatları ile anlatmaya çalışacağım. Ancak çok uzun olacağını ve burada bana ayrılan alanı geçeceğini düşündüğümden 2 bölüme ayırmayı düşündüm. Bu ay 1. Bölümü size aktarmaya çalışacağım.

Öncelikle her şey yönettiğiniz envanteri tanımakla başlar. Organizasyonumuzda tanımlamadığımız, bilmediğimiz bir elektronik cihaz (IOT) olmamalı. İşte bu envanterin zafiyetlerini ortaya koyduğumuz sistemlere zafiyet tarama sistemleri (Vulnerability management) diyoruz. Bunlar sürekli (continuous) bir şekilde sistemlerinizi tarayıp zafiyetlerini haber verir. Otomatik bir şekilde sistemlerimize saldırı simülasyonu yapan atak simülasyon yazılımlarımız (breach and attack simulation) sistemlerimizi dışardan bir göz ile sürekli kontrol eder. Honey pot dediğimiz bal tuzağı uygulamalarımız ise ola ki tüm güvenlik önlemlerimizi atlatan bir dış saldırganın veya (ve genellikle çoğunlukla) iç saldırganın hedef sisteme sızmasını kolaylaştırdığımız ve onun hareketlerini izlediğimiz yapılardır. Bir makineyi firewalldan bağımsız internete bağladığınızda çok hızlı bir şekilde yüzlerce saldırının geldiğini göreceksiniz. Onun için güvenlik duvarları (firewall) sistemlerimiz için olmazsa olmaz olarak duruyorlar. Ancak DNS firewall gibi DNS sistemlerimizi koruyan bazı spesifik güvenlik duvarları da artık yaygınlaşmakta. Günümüzde saldırganlar DNS sorgularına sizin sunucularınızın verdiği cevaplardan bile veri sızdırabilmektedirler. Bunun dışında yeni çıkan bir teknoloji var o da Browser isolation, uzun süredir kullandığımız sanal masaüstü (VDI) uygulamalarının yanında benzer şekilde ortaya konan browser isolation uygulamaları kullanıcıların browserları merkezden kullanmalarını ve bunların her kullanımda steril edilmesi esasına dayanıyor. Yeni yeni popülerleşen bir diğer konu ise Content disarm and reconstruction artık sistemler size dosya geldiği zaman (diyelimki bir Word belgesi geldi) alıyor yeniden o belgeyi oluşturuyor. İşte bu yeni teknoloji ile beraber artık o dosyanın içine gizlenmiş olan zararlılardan kurtuluyoruz. SOAR dediğimiz siber güvenlik orkestrasyon yazılımları organizasyonlarımız için çok önemli bir hal aldı. Soar yazılımı ne demek? Örneğin gece 2 de size bir uyarı geliyor. Siber istihbarat servisinizden gelmiş olabilir ya da sizin yerel kaynaklarınızdan, SOME (Siber olaylara müdehale ekibi)’den gelmiş olabilir. Örnek verelim bir tane phishing dediğimiz bir aldatma emaili geldi. Hatta gece 2'yi 1 geçe geldi bu bilgi SIEM’sisteminizden SOAR’a geliyor ve sistem otomatikman email gateway üzerine kural koyarak 2’yi 2 geçe phishing email gönderen adresi engelliyor. Siber güvenlik robotu diyebiliriz buna. Siz evinizde uyurken sizin adınıza bu güvenlik önlemlerini alabiliyor. Veri Sınıflandırma ve veri sözlüğü (Data classificatiom, data dictionary) dediğimiz konu temel olarak verinin sınıflandırılması yani gizli, çok gizli, hizmete özel gibi veriyi kim ürettiyse, veri üzerinde tanım yapması ile başlıyor. Veri sözlüğü ise bir kurumda, bir şirkette yapılan işe özel terimlerin tanımlanması ve veri tabanlarındaki yerlerinin işaretlenmesi esasına dayanıyor. Böylelikle paydaşlarınızla daha doğru bir iletişim kurmuş oluyorsunuz. Örnek verelim söz gelimi Gazilik ve Şehitlik tanımı kurumlarda farklılık gösteriyor. Bir kurum Gazi ve Şehitlerle ilgili bilgi verirken veri sözlüğü ile birlikte veri desenini yayınlar ve hangi durumlarda gazi ve şehitlik tanımı yapıldığını söyler ise yanlış anlaşılmaların önüne geçmiş oluruz. Devamında veri sızıntılarına karşı Veri Sızıntılarını Önleme Sistemleri (Data Loss prevention DLP) dediğimiz sistemler kullanıyoruz. Kurumunuzun işletmenizin verilerinin dışarı çıkışı ile ilgili (dışarı çıktığı zaman daha önce belirlediğiniz kurallar çerçevesinde) uyarı veriyor ya da engelliyor. Bu sistemleri yönetirken bazı kurallar koyup false pozitifleri en aza indirmemiz gerekebilir. Mesela 50'den fazla kredi kartı numarasının bir yere gönderilmesi, ya da çok gizli olarak tanımlanmış bir dokümanın dışarı çıkarılmaması bir kural olarak konulabilir. Verilerimizi korumak için birde şifrelemeler yapılabilir. Data encrytion dediğimiz olay. Veri o kuruma özel formatlanıyor, yani bir kurumdan bir datayı çıkardığınızda başka bir kurumda okunamıyor gibi. Siber istihbarat bir diğer önemli araç. Ancak burada önerimiz hem Doğu hem batı kaynaklı ve hem de iç kaynaklı Siber istihbaratları birleştirmeniz. Amerikan menşeli bir Siber istihbarat hizmetinin Amerikan Hükümeti güvenlik birimlerinin saldırı yaptığı ip’leri söylemesi beklenemez. Aynı şekilde Rus menşeli bir istihbarat hizmetinin Rus Hükümeti ile iltisaklı organizasyonların saldırı yaptığı ip’leri vermesi beklenemez ancak her ikisinin birleşimini aldığınızda yani hem batı kaynaklı hem Doğu kaynaklı istihbaratı aldığınızda daha güvenli olursunuz. Network Güvenlik Politika Yönetimi (Network Security policy management) bu sistemler otomatikman bütün güvenlik ve network cihazlarınızdaki konfigürasyonları kayıt altına alıyor. Bilişimciler olarak sık sık karşılaştığımız bir durumdur bir makinenin internete bağlanamaması ya da istediğimiz yere gidememesi. Bunun bir sürü neden olabilir? Makinanın içindeki firewall olabilir. Anahtarlama (Switch) cihazlarından kaynaklanıyor olabilir. Antivirüs sistemleri engelliyor gibi onlarca sebebi olabilir. İşte tam bu noktada Network Güvenlik Politika Yönetimi sistemleri size bunun nedenini söyler. SSL inspection konusu da bir diğer konu. Hackerlar artık SSL’in içerisine zararlı yazılımları gömmeye başladılar. Onun için artık o SSL’i açıp içine bakıp içinde zararlı var mı yok mu diye Sonra tekrar kapatıp ya da açık bir şekilde işlem yapmamız gerekiyor.

Siber güvenlikte ve bilişim yönetiminde dikkat ettiğim en önemli şeylerden biri de izlemektir. Yani hangi makine hangi sistem nereden nereye gidiyor? Bunları Siber operasyon merkezi (SOC) yazılımlarıyla birleştirebiliriz. Sistemlerinizi siber güvenlik ve performans açısından sürekli analiz yapmazsanız sistemsel anlamda körsünüzdür. Yani her gün bir sürprizle uyanabilirsiniz. Onun için Network'ün uçtan uca analiz edilmesi önemlidir. Hele de birden fazla ofisiniz, taşra teşkilatınız varsa. Bir ilimizinden, bir ilçemizden personelimiz sistemlere bağlanamıyorum dediğinde bunun onlarca nedeni olabilir. Aşağıdan yukarı doğru baktığında bağlantı 50 tane cihazdan geçiyor. Bunlardan birinde bir sorun olmalı. Bazen dar boğaz o ilde oluyor mesela, oradaki ISP il Müdürlüğünün bize sağladığı servis alanı (bandwidth) dolu oluyor. Bu gibi nedenlerden dolayı uçtan uca izlenebilirlik için çok önemli. Antivirüsler artık Antivirüsün dışında daha akıllı son kullanıcı güvenlik yazılımları (Endpoint Detection and Response EDR), kullanıcı davranış analizleri ile birleşiyor. Birkaç örnek vereyim. Siz standart olarak bilgisayarınızda üç beş tane uygulamaya bağlanıp, e-postanızı, web tarayıcınızı veya ofis uygulamalarınızı açarsınız. Ama bilgisayarınızda başka başka bir şeyler oluyorsa o zaman kullanıcı davranış analizi sistemleri sizi uyarıyor. Diyor ki bu bilgisayarın davranışı, kullanıcısının davranışına benzemiyor. O genelde 3 tane uygulamaya girerdi bu 25 tane uygulama açtı burada bir sıkıntı var diye uyarıyor. Ya da sizin şifrenizi girdiğiniz bir hızınız var. Yani herkes kendi şifresini belli hızda belli karakterleri basarak giriyor. Artık sistemler bunu bile algılıyor. Diyor ki bu şifre doğru ama giren sen değilsin. Davranış analizi sistemleri de Mobile device management yazılımlarıyla birleştirerek kontrolleri yapabiliyoruz. Ayrıcalıklı Hesap Yönetimi (Privileged Access management PAM), veri bütünlüğü, kuruluşlar için hayati öneme sahiptir. Verileri üzerinde işlem yapabilme veya verileri görebilme gibi ayrıcalıkların her kullanıcıya tanımlanmaması gerekmektedir. PAM, siber güvenlik konusundaki en önemli konulardan biridir ve bunun nedeni siber suçluların, kritik varlıklara sınırsız erişim elde etmek için ilk hedefleri ayrıcalıklı hesapları keşfetmek ve bunları kullanmaktır. İnsan doğası gereği şifreleri verirken bilindik şifreler koyar. Enterprise key management sistemleri ise sizin adınıza şifreleri üretip bunları sanal kasalarda kilitliyor. Uzak bağlantılarda ise artık tek kullanımlık şifre dediğimiz OTP çözümlerini yaygın olarak kullanıyoruz. Bir diğer önemli bir konu microsegmentasyon, güvenlik duvarları klasik olarak dış dünyadan bizi izole ediyor ama sistemlerin kendi arasında güvenliğini sağlamayı genelde ikinci plana bırakıyoruz. İstatistikler bize gösteriyor ki saldırıların önemli bir kısmı içeriden kaynaklı. Saldırılar çoğunlukla ya içeriden yapılıyor ya da içeriden bilgi verilerek yapılıyor. Dolayısıyla organizasyon içinde de segmentasyon katmanları koymanız gerekiyor. Örneğin veritabanı ile uygulama sunucuları arasına, Network-sistem yönetim sunucuları ile kullanıcılarımız arasına bu bize hem ağın izlenmesi anlamında önemli bir avantaj sağlıyor hem de olağandışı bir şey olduğunda segmentler arası sıçramamasını sağlıyor. Network güvenliği ve segmentasyonu anlamında bir diğer çözümde de SD-WAN dediğimiz sistemler. Artık sahada bu teknolojilere geçiyoruz. SD-WAN (Software-Defined Wide Area Networking – Yazılım Tabanlı Geniş Alan Ağı), geniş bant internet, 4G, LTE veya MPLS gibi WAN bağlantılarına uygulanan yazılım tanımlı ağ (SDN) teknolojisidir. Geniş alan ağlarını daha akıllı ve esnek hale getirmek için yazılım kullanan bir tekniktir. Bize Wan sanallaştırma, bandwith yönetimi, güvenlik duvarı (Next Generation Firewall) gibi bir dizi özelliği bir arada sağlamaktadır.

Önümüzdeki ay ikinci kısımla devam edeceğiz…