Geçen ay sizlere işletme ve kurumlarda kullanılan siber güvenlik çözümlerini genel hatları ile anlatmaya başlamış ancak uzun olacağından iki parçaya ayırmış ve birinci bölümünü anlatıştık. Birinci bölümde zafiyet tarama sistemleri (Vulnerability management), atak simülasyon yazılımları (breach and attack simulation), bal tuzağı (Honey pot), güvenlik duvarları (firewall), Browser isolation ve sanal masaüstü (VDI), Content disarm and reconstruction, siber güvenlik orkestrasyon yazılımları (SOAR), SOME, email gateway, veri sınıflandırma ve veri sözlüğü (Data classificatiom, data dictionary), veri sızıntılarını önleme sistemleri (Data Loss prevention DLP), veri şifreleme (data encryption), Siber istihbarat (cyber intelligence), network güvenlik politika yönetimi (Network Security policy management), mobil cihaz yönetimi (Mobile device management MDM), ayrıcalıklı hesap yönetimi (Privileged Access management PAM), tek kullanımlık şifre (OTP), microsegmantasyon ve SD-WAN konularından bahsetmiştik. Bu yazıda DDOS, SIEM, NAC, Sandbox, Static/Dinamik kod tarama, WAF, API/XML Gateway, Database Firewall, Data Masking, Pentest ve Phishing konularına kısaca değineceğim.

Klasik saldırı tespit ve önleme sistemlerinin (IDS-IPS) dışında DDOS dediğimiz dağıtık servis dışı bırakma atakları gün geçtikçe karmaşıklaşmakla birlikte, DDoS saldırısı düzenlemek IOT cihazlarının kontrolsüz bir şekilde hızla çoğalmasıyla çok kolay ve düşük maliyetli olmaya başlamaktadır. Saldırganlar düşük ücretler karşılığında ya da kendilerini tatmin etmek amacıyla sadece hedef adresi girerek DDoS saldırısı gerçekleştirebilmekte ve organizasyon sistemlerini işlevsiz hale getirebilmektedir. Bu tür saldırıları engellemek için sadece kurumunuzda bir DDOS engelleme cihazı kurmak da yetmiyor. ISP tarafında da benzer hizmeti almanız gerekiyor. Hatta zaman zaman DDOS simülasyonları yaparak sistemlerinizi denetlemeniz gerekmekte. Log izleme, tüm kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının (loglarının) belirlenen kurallara göre analiz edilmesi olarak tanımlanmaktadır. Logların kapsamlı bir şekilde toplanması, birleştirilmesi, orijinal haliyle saklanması, analizi ve sunumu gibi adımlardan oluşan log yönetimi ise saldırının göstergelerini ve delillerini elde etmeye olanak sağlamaktadır. Aynı zamanda saldırıların adli olarak incelenmesine de yardımcı olarak saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokollerin kullanıldığı gibi önemli bilgileri elde etmeye yardımcı olmaktadır. Logların günlük olarak izlenmesi ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulması gerekmektedir. İşte tüm bu işlemleri yapmamızı sağlayan sistemlere SIEM deniyor. Tüm cihazlarınızda bütün bilgisayarlarınızda bütün sunucularımızda log toplayan SIEM araçları merkezde birleşiyor ve anlamlı hale getiriliyor korelasyonlar ortaya çıkıyor mesela A şahsı makinesinde 5 kere hatalı login oldu A’nın makinesi sonra B’nin makinesine iletişim kurdu mesela C kişisi 10 GB’den fazla download gerçekleştirdi gibi durumları senaryolaştırıp otomatik playbook dediğimiz scriptlerle SOAR’larımızın çalışmasını sağlayabiliyoruz. SIEM’ler üzerinden yüzlerce korelasyon çıkarabiliriz ve bu sistemlerin başarısı korelasyonyanların etkinliği ile ortaya çıkar.

Network Access controller (NAC) çok çok önemli bir konu ancak uygulaması da bir o kadar zordur. İşletmenizde tüm Network uçlarınızı kontrol altına alındığı ve bütün makinelerinizin (IOT cihazlarınızın) kayıt altına alındığı bir sistemdir. Artık her yerde rj45 konnektör var, kablosuz erişim noktaları var. Bu kontrolleri yapmazsak orada bulunan herkes sisteme bağlanabilir ve kötü niyetli kişiler zafiyetleri sömürebilir. NAC sistemleri sayesinde bazı standartları da uygulama fırsatımız oluyor. Bilinmeyen bir cihazı sisteme bağlamaya çalıştığımızda NAC sistemi cihazın envanterde gözüküp gözükmediği, domainde olup olmadığı, üzerinde aktif bir anti-virüs sisteminin bulunup bulunmadığı gibi bir dizi kontrolleri yaparak işletmenizin standartlarının bağlı tüm cihazlarda uygulanmasını sağlıyor.

Türkçede Kum havuzu olarak adlandırılan Sandbox sıkı kontrol ve izin mekanizmaları uygulanarak ayrık ve kısıtlı olarak dizayn edilmiş, programın üzerinde çalıştığı sisteme herhangi bir hasar vermeden veya zararlı yazılım bulaştırmadan denenebildiği ortamdır. Sandbox içerisinde bir program çalıştırıldığında normal bir sistem üzerinde çalışıyormuş gibi işlevleri yerine getirir. Sandbox sistemler aynı zamanda program kodunun çalışma mekanizmasını inceleyerek belirli zararlı yazılım tehditlerini analiz etmek ve öğrenmek için de kullanılmaktadır. Hem son kullanıcı hem de network üzerinde tespiti zor olan, geleneksel saldırı engelleme sistemlerini atlatabilen ve sıfırıncı gün (Zeroday) zafiyetlerini istismar eden gelişmiş atakları saptamakta etkili olan Sandbox çözümleri artık işletmelerde yaygın hale gelmiştir. Web Application Firewall (WAF), karmaşıklaşan web trafiği üzerinde detaylı inceleme yaparak anormal trafiği engellemeye yarayan bir teknolojidir. Kısacası HTTP/HTTPS/SOAP/XML/Web Servisleri üzerinde detaylı paket incelemesi yaparak zararlı istekleri bloklamak için kullanılan bir araç diyebiliriz. Bu araçların içerisine uygulamalarınızın, microservislerinizin ve dış kurumlarla paylaştığınız api ve webservislerinizin iletişimini denetleyen API gateway ve XML gateway teknolojilerini de katarsak bir tık daha güvenli hale gelmiş oluruz. İşletmeler klasik olarak internet çıkışında bir sürü güvenlik önlemi alıyor. Amiyane tabirle kapıya bir sürü kilit takıyor ama hiç kimse pencereleri düşünmüyor. İşletmemizin dışarıya sunduğu uygulamalarda bir güvenlik açığı varsa istediğimiz kadar Firewall antivirüs kuralım bizi tam anlamıyla korumaz. Kötü niyetli kişiler uygulamanızın içine girip gizli verileri ya da müşterilerimizin kişisel verilerini alabilirler. Bunu engellemek için 2 şey yapmanız gerekmektedir. Bir tanesi güvenli yazılım geliştirme kültürünün o işletmede olması ve bu kültürün içerisinde statik ve dinamik kod tarama (güvenlik ve performans açısından) araçlarının aktif bir şekilde kullanılması. Bir diğeri de WAF, API/XML Gateway dediğimiz sistemlerinizin kurulu olmasıdır. WAF olarak adlandırılmasa da ona benzer bir diğer güvenlik sistemi veritabanı güvenlik duvarlarıdır (Database Firewall). Kurum içinde developerlarımızın, veritabanı uzmanlarımızın, uygulama servis kullanıcılarının veri tabanına bağlanırken neleri sorguladığı hangi değişiklikleri yaptıklarının kayıt altına alınması ve yetkisiz erişimlerin engellenmesi için kullandığımız sistemlerdir. Test sistemlerine üretim ortamından (production) test verisi indirildiğinde ya da üretim ortamında bazı hassas verileri gölgelediğimiz sistemlere de veri maskeleme (Data Masking) diyoruz. Bu sistemler olmadığında yazılım programları genelde gerçek veriler üzerinde geliştirildiği için kişisel verilerin çalınması ya da gizli verilerin işletme dışına çıkarılması gibi suistimallere açık oluyorlar.

Siber güvenlik uzmanları Sızma ve Penetrasyon testlerinin (Pentest) gerek kurum içinden gerekse dışından sürekli yapılmasını öneriyor. Pentest işletmelerin bilişim sistemlerini oluşturan ağ altyapılarına, donanım, yazılım ve uygulamalarına kötü niyetli bir saldırganmış gibi saldırılmasını öngörür. Yapılan siber saldırı ile güvenlik açıklarının tespit edilip bu açıklarla sisteme sızılmaya çalışılmasının simüle edilmesi ve tüm bu işlemlerin raporlanması işlemidir. Oltalama testleri ve siber güvenlik farkındalık araçları (Phishing Test and Training Tools); Oltalama, internet tarihinin eski ve etkili saldırı türlerinden biridir. Phishing saldırıları olarak bilinen bu saldırı türünde genel olarak kurbanların e-posta hesaplarına; hediye, indirim veya benzeri cezbedici sahte iletiler gönderilerek parola, kimlik bilgisi benzeri hassas verilerinin çalınması amaçlanır. İletilen e-posta mesajlarındaki zararlı bağlantılar tıklandığı zaman kurbanın av olması sağlanabildiği gibi e-postalar ile birlikte ek olarak gönderilen virüslü dosyaların çalıştırılması ile de kurbanların bilgisayarları saldırganlar tarafından ele geçirilebilir. Oltalama testlerinde sistem size sosyal mühendislik deneyleri gönderiyor. Gönderilen aldatma içerikli mailleri tıklamanızı istiyor. Sizi tanımaya çalışıyor. Ne kadar Siber güvenlik farkındalığınız var (organizasyondaki çalışan statülerine göre, birimlere göre vs) ölçmeye çalışıyor. Devamında size bir eğitim programı hazırlıyor. Örneğin kimi işletmelerde şirket yöneticisi diyor ki siber güvenlik farkındalık eğitim programını geçmeniz bu şirkette çalışmanız için şart. Siz benim şirketimin siber güvenlik politikalarına uymazsanız bu benim için büyük bir risk oluşturur.

Son olarak siber güvenlikte geleneksel koruma yöntemleri yerine Gartnerin ortaya koyduğu Uyarlanabilen Güvenlik (Adaptive Security Architecture) Mimarisine göz atmanızı öneririm.

 

Geleneksel siber güvenlik konseptlerinde önleyici ve tespit edici yaklaşımlarla ilerlenirken uyarlanabilir güvenlik mimarisi konsepti, tehditlere karşı çevik olabilmek için süreçleri dört ayrı fazda değerlendiriyor.

• Predictive (Tahmin etme)
• Preventive (Önleme)
• Detective (Tespit etme)
• Retrospective (Müdahale etme)

Son olarak Geçmiş Ramazan Bayramınızı kutlarım. Bir sonraki sayıda görüşmek dileğiyle…