Selamlar. Bu makalemde Siber Güvenlik denilince akla ilk gelecek bazı kavramlardan kısaca bahsetmek istiyorum
Bilgi güvenliği ile ilgili yıllardır ve ısrarla tekrarladığımız konuları, her ne hikmetse son 1 yıldır sanki ilk defa konuşuluyormuş gibi dinleyen dostlarımızın, ülkemizde yaşanan malum olan olayların tetiklemesi ile bilgi güvenliği ile ilgili biraz daha lobi yapılması durumunda bakanlığın bile kurulabilecek potansiyele geldiğimiz bugünlerde, yeni mezun dostlarımızın ve iki linux komutu ve biraz metasploit ile kendisini white hacker ilan eden değerli dostlarımıza selam olsun. Bunların hepsi bu ülkenin zenginliği. Tabi bugün konumuz farklı.
Kurumlarda çalışan bilgi teknolojileri ya da bilgi güvenliği yöneticilerinin sürekli olarak birbirlerine sorduğu bir soruyu bugun yanıtlamak için bir aradayız.
Bana öyle bir metadoloji verin ki Şirketimi / Kurumumu bilgi güvenliği konusunda maksimum standarda çıkarim?
Sorunun cevabına çeşitli regulasyonlar, IT standartları önerilebilir. Bunların arasında kendi yaptığım değerlendirme ile en makul ve güncel ve siber defansı güçlendirebilmek için izlenmesi gereken yolları keyifli bir şekilde anlatan, SANS’ın yayınladığı 20 Siber güvenlik Kuramı başlıklı makaleyi kendi yorumlarımla beraber sizinle paylaşıyorum.
Yetkili ve Yetkisiz Cihaz Envanteri- Inventory of Authorized & Unauthorized Devices
Ağ içindeki tüm cihazların tespit edilmesi ile sisteme sonradan dahil olan ya da yetkisiz erişim sağlamaya çalışan tüm cihazlar tespi edilebilmesi mümkündür. Bunun için Change Management çözümleri ağdaki hardware envanterini çıkarabilir. İlk defa gördüğü bir cihazı süpheli olarak işaretleyebilir. Yine Sunucu seviyesinde; yetkisiz açılan bir fiziksel sanal ya da buluttaki herhangi bir sunucu otomatik keşif yöntemi ile tespit edilebilir. API kısıtlamaları da yetkisiz donanımların girişimlerini kısıtlayacaktır. Kurumların mutlaka donanım envanterini belli frekanslarla çıkarmaları gerkemektedir.
Yetkili ve Yetkisiz Yazılım Envanteri- Inventory of Authorized & Unauthorized Software
Bilgi güvenliği standardı olarak Yetkili uygulamaların istemci ve sunucularda ayrı ayrı envanterinin çıkarılması ile yetkisiz uygulamaların çalıştırılması ve yüklenmesinin önüne geçilebilir. Bunun için Uygulama kontrolü ile beyazlisteleme özelliğinin kullanılması ve bütünlük kontolü (integrity monitoring) yapılmalıdır. Beyazlisteme ve bütünlük kontrolü beraber çalışmalıdır. Beyazlisteyi aşan herhangi yazılımın sistemde yaptığı değiklikler raporlanabiliyor olmalıdır. Bütün kontrolü operasyonel amaçlar için değil güvenlik gözüyle devreye alınır ise; işletim sistemi ve uygulamaların yükleme kaynak dosyaları gibi kritik alanları kontrol edilirse olası bir zararlı bir aktivite hızlıca tespit edilebilir. Yine işletim sistemine herhangi bir sızma girişimi eşittir sistemde modifikasyon teşebüssü olduğundan, ilgili talep de şüpheli olarak işaretlenebilir.
Uç noktalarda donanımsal ve yazılımsal kontrol- Inventory of Authorized & Unauthorized Devices:
Bilgi güvenliği standardı olarak Yetkili uygulamaların istemci ve sunucu ve mobil cihazlarda ayrı ayrı envanterinin çıkarılması ile yetkisiz uygulamaların çalıştırılması ve yüklenmesinin önüne geçilebilir. Bunun için Uygulama kontrolü ile beyazlisteleme özelliğinin kullanılması ve bütünlük kontolü (integrity monitoring) yapılmalıdır. Beyazlisteme ve bütünlük kontrolü beraber çalışmalıdır. Beyazlisteyi aşan herhangi yazılımın sistemde yaptığı değiklikler raporlanabiliyor olmalıdır. Bütün kontrolü operasyonel amaçlar için değil güvenlik gözüyle devreye alınır ise; işletim sistemi ve uygulamaların yükleme kaynak dosyaları gibi kritik alanları kontrol edilirse olası bir zararlı bir aktivite hızlıca tespit edilebilir. Yine işletim sistemine herhangi bir sızma girişimi eşittir sistemde modifikasyon teşebüssü olduğundan, ilgili talep de şeüpheli olarak işaretlenebilir.
Güvenlik açıklarının bulunması, kontrolü ve aksiyon alınması – Continuous Vulnerability Assessment & Remediation
Kurum içinde kullanılan her yeni servis, hizmet ve buna hizmet eden işletim sistemi ve tüm uygulamalar belli frekanslarda güvenlik taramalarından geçmeli. Tespit edilen yazılımlardaki güvenik açıkları raporlanmalı ve güvenlik birimine aksiyona alınması için iletilmelidir. Yazılımlardaki ve işletim sistemlerindeki güvenlik riskleri ve zafiyetlerini takip eden genel teknolojinin ismi IPS teknolojisidir. Kurumlarda mutlaka dışarıdan gelebilecek olası saldırılara karşı kurumlar her saniye güvenlik ihlallerinden dolayı çıkan yamaları sistemlerine geçemeyeceklerinden dolayı IPS teknolojisi ciddi bir koruma kalkanı sağlar. IPS teknolojisinin kalbinde yer alan sanal yama (virtual patching ) ile üreticiler tarafından duyrulan zafiyetlerin yaması çıkmadan önce üreticilerin arge labaratuvarlarına gelen istismar (exploit) bilgisi ile hazırlanan sanal yama kurumlarda koruma sağlar. Bu şekilde yazılım üreticilerinin lanse etmediği güvenlik açıklarına karşı anında korumda olursunuz. Güvenlik açıkları ağ içerisindeki tüm cihazlar için önemli olduğu gibi, sunucu katmanına özellikle dikkat edilmelidir.
Kimlik, Erişim ve Yetki Kontrolü – Controlled Use of Administrative Privileges
Tüm sistemlere yapılan tüm erişimler temel olarak işletim sistemleri üzerinde tutulur. Tüm erişimlerin raporlanması, erişimler ile ilgili anomalilerin tespit edilmesi için IAM uygulamaları (Identity and access management) kullanılması mesai saati dışındaki erişimlerin işaretlenmesi vb gibi detaylar gözlenmelidir. Her kullanıcıya atanan kimliklerin erişimleri kısıtlanmalı, yetki hiçbir zaman olması gerekenden fazla olmamalıdır. Bilgi güvenliğinin kalbindeki konulardan birisi olan kimlik ve hak ve yetki üçlüsü IT yönetiminin vereceği kararlarlar ile beraber IAM uygulaması ve 2-3 faktör doğrulama yöntemleri ile kullanıcılar üzerinde ciddi bir kısıtlama yapılabilir. Bu vesile ile ele geçirilebilecek olan olası bir kimliğin yetkileri minimize edildiği için zarar da minimize edilmiş olunur.
Logların merkezileştirilmesi ve analiz edilmesi, anlamlandırılması. – Maintenance, Monitoring, & Analysis of Audit Logs
Logların merkezi olarak bir storage üzerinde toplanmasından önce SOME ekipleri ya da bilgi güvenliği departmanı logları analiz etmek, anlamdırmak ve korelasyonunu yapabilmek için bir SIEM çözümü yatırıım yapmalıdır. Bununla beraber şu konular değerlendirilmelidir. Doğru log kaynaklarının belirlenmesi, Log anlamlandırma, etiketleme ve seviyelendirme çalışması, korelasyon kurallarının oluşturulması. Her bir olayı görüntüleneceği gerçek zamanlı dashboard için olmazsa olmaz politikların görüntülenmesi.
Email ve Web tarayıcı koruması – Email and Web Browser Protections
Uç noktalar üzerindeki işletim sistemi ve uygulamaların, özellikle web tarayıcıların belli sıklıklarda yamalarının geçilmesi gerekmektedir. Bu sebeple mutlaka bir yama yönetimi yazılımı önerilmektedir. Email ve web browser zafiyetlerine karşı üreticilerin çıkardığı geliştirme ve zafiyet ile ilgili yayınlanan yamalar ivedilikle uygulanmalıdır
Zararlı yazılım (Malware) defans politikası – Malware Defense
Malware defans politikası haftalarca yazı yazılabilir ya da söyleşilebilir. Bu konuda yapılacakları özetlemek gerekirse;
Mutlaka bir antimalware yazılımına sahip olmanız gerekir. Antimalware yazılımı üreticileri dünyanın belli noktalarından, 3. parti kurumlardan ve kendi honeypot sistemlerinden gelen veriyi inceliyip güvenlik imzası olarak sizlere gönderirler. Dünyanın x yerinden başlayan bir zararlı yazılım size ulaşmadan engelleme şansınıza sahip olursunuz. Eski yıllara göre imza yayınlama tekniği önemi yitirmekle beraber uç nokta güvenliği üreticileri, zararlı yazılımların davranışlarını inceleyip, potansiyel riskli gördükleri yazılımların pre-execution ve run-time execution safhalarındaki davranışlarını inceleyip bu incelemeyi machine learning algoritmaları ile bireştirmektedir. Bu sebeple bilinmeyeni tespit edebilmeye çalışan ve kendisini yeni metodlarla ve tekniklerle sürekli geliştiren üreticileri takip edilmesi faydalı olacaktır.
Seçeceğiniz uç nokta güvenliği çözümünün ağ geçidi korumalar ile (Antispam, Network Sandbox, Proxy, Exchange ve Lotus Domino Güvenliği) entegrasyonu ve bu çözümlerin birbirlerine güvenlik istihbaratı paylaşabiliyor olması (URL, Domain, File Hash) zararlı yazılımlara karşı tepkinizi ve bilinmeyenin bilinen olma ihtimalini artıracaktır.
Port, Protokol ve Servis Kısıtlaması – Limitation and Control of Network Ports, Protocols, and Services
Atak alaninı azaltabilmek için tüm client ve sunucuların port erişimleri kısıtlanmalıdır.
Firewall düzeninde her zaman beyazliste politikası bulunur. Kullanılacak portlar ve servisler izinli, bunun dışındakiler blokludur. Özellikle üst düzey yöneticilerin güvenlik politikalarından ve bilgi güvenliği yöneticinden istisnai durum talep etmemesi önem teşkil etmektedir. Kurumlardaki Işletim sistemi imajlarının yine standart bir firewall politikası ile düzenlenmesi sonrasında yapılacak değişikliklerin unutulması noktasında minimum güvenliğin korunmasına fırsat bırakacaktır.
Port kısıtlamalarını IPS’e sahip olan kurumlar buradan da yabileceği gibi endpoint güvenliği çözümleri üzerinden de client ya da sunucu bazlı port ve servis kısıtlaması yapılabilir.
Uçnokta uygulama kontrolünün yeteneklerinden beyaz listeleme ile kısıtlı uygulamalara izin vermek, sertifika bazlı kontrol (Örn: Tüm adobe uygulamaları çalışmasın) ya da kategori bazlı kontrol (örn: tüm VPN yazılımları engellensin) tarzı politikalar ile atak alanını minimize edersiniz. Bugun tüm endpoint güvenliği çözümleri temel ya da ileri seviyede uygulama kontrolü sağlasada, bu kontrolün hash bazlı olduğunu unutmamak gerekir. Next-Gen Firewall üzerindeki uygulama kontrolü trafiği ağ üzerinden ve açılan session’lar üzerinden tespit edebilir. Uygulama kontrolü bakış açısıyla daha proaktif bir koruma olduğunu belirtmekte fayda var.
Veri yedekleme – Data Recovery Capability
Veri yedeklemenin önemini konuşmaya gerek olmasa da, 3 ana sebepten dolayı ihtiyacımız olduğunu iletmekte fayda var. Workload, veritabanları, iş sürekliliği için belli frekanslarda alınmış katı bir yedekleme politikasının olması kritik önem arz eder.
Sektör de yanlış anlaşılan konulardan birisine aktarmakta fayda var. Özellikle fidye yazılımlara karşı, olası very şifreleme vakalarına karşı alınan yedekten dönmek kurumu kurtaraktır. Fakat tüm fidye yazılımları şifrelemeyi local disk’in üzerinde yapmamakta ya da verileri kurum dışında başka bir sunucuya upload eden (data theft) yazılımlara karşı backup çözümleri çözüm üretememektedir. Bu sebepten dolayı güvenlik ve yedekleme her zaman iç içe olmalıdır.
Ağ cihazlarının güvenli ve sürekli konfigurasyon politikası – Secure Configurations for Network Devices
Dünyanın en büyük DDOS saldırısı olarak tarihe geçen Amerika’nın en büyük DNS hizmeti veren kurumunu saatlerce çaresiz bırakan saldırıda akıllı ev cihazlarından, evimizdeki modemler ve kameralar kullanıldı. Bu cihazlar hacklenip saldırının parçası haline getirildi. Nasıl hacklendi sorusunun yanıtı çok basitti. Bu cihazları gelip evinize kurmaya gelen servis’in cihazın üzerindeki işletim sistemi ve giriş ayarlarını sabit bırakması ve herhangi bir değişikliğe gitmemesi gösterilebilir. Bu örneği kurumların içinde ağ cihazları ve üzerlerindeki konfigurasyonları birebir örnek olmasa da doğru konfig yapılmayan bir cihazın neler yapabileceği noktasında örnek olması açısından paylaşmak istedim. Ağ cihazlarının özellikle segmentasyon noktasındaki önemi büyük. Buradaki politikaların doğru kurgulanması ve ağdaki değişikliklere göre belli frekenslarda sürekli güncelleme yapılmalıdır. Tüm ağ cihazlarının üzerlerindeki politikaları kontrol eden, hiç kullanılmayan politika ve kuralları tespit eden ya da üzerlerinde yapılan değişiklikleri raporlayan yazılımların olduğunu unutmamak gerekir. Yazılımların genel isimleri “security policy management”, “change management” “policy orchestration” gibidir. Büyüyen ve komplekleşen ağlarda bu işi otomize eden yazılımlara bırakmak daha akıllıca olacaktır.
Çevresel Güvenlik – Boundary Defense
Mobilitenin arttığı ve sınırların kalmadığı günümüzde hala çevresel güvenlik önem arz etmektedir. Kurum çalışanlarının çevresel güvenlik politika kalkanından filtrelenmesi ya da erişimlerinin kısıtlanması atak alanını minimize etmektedir. Port, IP ya da servis bazlı kısıtlamalar, yine çevresel güvenliğin kilometretaşı olan mail gateway ya da web gateway (proxy) ile beraber Gelişen Next Gen IPS çözümleri, temel firewall yetenekleri yanısıra kullanıcı ve uygulama farkındalığı olan detaylı malware analizi için sandbox (kum havuzu teknolojisi) teknolojisi ile entegre çözümler bugün çevresel güvenliğin kilometre taşı olarak gösterilebilir.
Kurumların çevresel güvenliğe yatırım yapması ve çevresel güvenliğin katmanlı güvenlik unsurları ve uç nokta ile tümleşik olma derinliği yine kurumların değerlendirme unsurları arasında gösterilmelidir.
Veri Koruma – Data Protection
Uçsuz bucaksız bir konu olsa da, veri güvenliği için öncelikle verinin DNA’sı olarak Kabul edilen integrity kontrolü mutlaka anlık raporlanabilmelidir. Sunuculardaki integrity değişikliklerini bilgi güvenliği yöneticileri görebilmeli ve müdahale edebilmelidir. Özellikle işletim sistemlerinin kritik klasörleri olası bir kod enjeksiyonuna karşı monitor edilmelidir. Bunun da temelinde bütünlük kontrolü yer almaktadır.
Şifreleme veri korumanın en önemli unsurlarından bir diğeridir. HTTPS’in email’deki karşılığı olan TLS protokolünü bugün kaç kurum efektif olarak kullanmaktadır? TLS’in aktif kullanılması için karşı tarafında TLS kullanması gerekmekte ve kullanım arttıkça domino etkisi gibi TLS kullanımı da daha makul bir noktaya gelecektir. Yine uç nokta da belli klasörlerin şifrelenmesi veriyi ele geçiren kişinin veriye ulaşmasını engeller.
Dünya da sıklıkla uygululanılan disk şifreleme türkiye’de sadece üst düzey kişilerin bilgisayarlarına uygulandığını görüyoruz. Bilgisayar ya da cihaz çalınmalarına karşı mobil cihazlar ve dizüstü bilgisaylarının disklerinin şifrelenmesi verinin başka birisi tarafından ele geçirilmesini engelleyecektir. Oldukça azalsa da kobiler halen Veri alma protokolleri olarak POP3 veya IMAP kullanıyorlar. Bu protokoller yerine POP3S veya IMAPS tercih edilmelidir. Bunu kullanan görmediğimi de vurgulamak isterim. Sonra niye BEC (Business Email of Compromise) saldırısına maruz kalıyoruz sorunun cevabı şifrelemede yatmaktadır. BEC saldırıları ise üst düzey kişilerin email hesabı ile geçirilerek güvenilir kişilerden ki genelde muhasabe ya da finans departmanından ilgili kişilere hızlı para transferi talepleri şeklinde sonuçlanan ve çözümü oldukça basit saldırılardır. Etkin olmasının temel sebebi planlanmış ve sofistike sosyal mühendislik içermesidir.
Kimlik ve Erişim kontrolü çözümleri (IAM) ile tüm erişimlerin denetlenmesi ya da anormalliklerin raporlanması olası veri sızıntısının önüne geçecektir.
Güvenli Erişim Kontrolü – Controlled Access Base on the Need to Know
Routing tabloları, erişim kontrol listeleri (ACL) ile örnek vermek gerekirse muhasebe birimindeki bir dizüstü bilgisayarın finans birimindeki bir sunucu erişiminin engellenmesi ya da kontrollü yapılabilmesi için kullanılır. Çoklu örnekler verilebildiği gibi temel amaç departmanların ve kullanıcıların hangi hizmete erişiminin departman yöneticisi tarafından IT’ye iletilmesi ve erişim ve hakların doğru kurgulanması temel noktadır.
Kullanıcı hakkı ve buna bağlı izinler sizin ağ içerisinde neleri yapıp yapamayacağınızdır. Ağ içindeki özgürlük buna bağlıdır. Bilgi güvenliğinde fazla özgürlük en fazla manipule edilen alandır.
Kablous Ağ Erişim Kontrolü – Wireless Access Control
Mac Adres filtreleme izinsiz erişimlerin önüne geçilebildiği bunu daha ileri seviyede kullanıcıları doğrulayacak ağa girmelerini sağlayabilir ve 802.1X’i devreye alabilirsiniz. Kablosuz LAN’lar arası şifreleme ile aradaki adam (MiTM) ataklarına karşı önlem alınabilir. Bu güvenlik metodu ile yerel ağ içindeki trafik şifreli internete çıkarken decrypt edilmiş trafik üzerinden erişim sağlanmış olacaktır.
Hesap denetimi – Account Monitoring & Control
Siber güvenliğin en büyük saldırılarından birisi olarak Kabul edilen hesap yükseltme saldırısı (privilege escalation) engellemek için tüm uygulamalar ve işletim sistemindeki yaratılan, selinen ya da hareketsiz hesapların raporlanması ve denetimi.
Security Skills Assessment & Appropriate Training to Fill Gaps
Farkındalık bilgi güvenliğinin kilometretaşlarından birisidir. İşe yeni başlayan kullanıcının kurum bilgi sistemlerini kullanmadan önce bu eğitimi alması sağlanabilir. Bilgi güvenliği Farkındalığı Değerlendirme Modeli” ile internet/intranet kayıtları, e−posta sistem verileri, anti−virus sistemi kayıtları, şifre analiz programı verileri, yardım masası ve olay bildirim verileri gibi sistem kaynaklarından faydalanarak çalışanların güvenlik konusundaki davranışları tespit edilerek kurumun bilgi güvenliği bilinç seviyesi ölçümlenebilir.
Yine çeşitli uygulamlar ve bulut tabanlı yazılımlar aracılığı ile kullanıcılara test emaçlı oltalama saldırıları (phishing ya da sperphishing) gönderilerek reaksiyonları raporlanır. Siber saldırıların %90 email üzerinden geldiğini unutmamak gerekir. Kullanıcıları iknaya yönelik organize sosyal mühendislik içeren saldırılara karşı detaylı ve sürekli eğitim verilmelidir.
Application Software Security
In-house yazılım geliştirilen kurumların SDLC (Software Development Life cycle) olarak tabir edilen iş akış modelini tam anlamıyla devreye almaları ve buraya güvenlik parametrelerini eklemeleri gerekmektedir. Bunun içinde güvenli kod yazımından static kod analizine kadar otomasyon ve manuel iş akış süreçleri entegre edilir. Güvenlik yazılımları bu bağlamda IDS ve IPS ya da HIPS teknolojileri ile uygulama güvenliğine yardımcı olurlar.
Olaylara Müdahale Ekibi – Incident Response Management
Yıllardır finans sektöründe var olan fakat kaynak yetersizliğinden finans dışındaki kurumlarda görmeye alışık olmadığımız incident response ekipleri bugun devletimizin girişimleri ile kamu kurumlarında SOME (siber olaylara müdahale) ekipleri kurulmuştur. SOME ekipleri IT’den bağımsızdır fakat IT ile entegre çalışır. Şirket yönetimi dışında USOM yani ulusal siber olaylara müdahale merkezine raporlar. Herhangi bir kurumda izinsiz yapılan erişimler, tüm güvenlik ihlallerinin izlenmesi ve çıkan aksiyon alınması yine bu ekibin görevidir. Bu oluşum kamu tarafındadır. Incident response ekiplerinin bugün özel sektördeki ismi SOC ekipleri olarak tabir edilen (Security operation center) yani güvenlik operasyon merkezi altına girmiştir. SOC ekipleri bilgi güvenliği politikalarının oluşturulması, ilgili teknolojik yatırımın sağlanması ve SIEM çözümlerinin tüm cihazları denetleyip, doğru korelasyon kurallarının tanınması ile ilgili tüm aşamalarda yer alır. Kurumlarım bazıları kendi içinde SOC kurmaya çalırşırken buna kaynak ayıramayacak kurumlarda SOC hizmeti veren yerel ve global şirketlerden destek almaya başladılar. Ortalama bir şirketin bir siber saldırıya maruz kaldıktan sonra bunu idrak etmesi 250 günü bulabilmektedir. Incident response ya da SOC operasyonları ile hedef Şirketlerin siber güvenlik olaylarına anlama ve tepki verme süresini maksimum seviyede minimize etmektir.
Penetrasyon Testi Hizmeti – Penetration Tests & Red Team Exercises:
Burda tam anlamıyla zafiyet ve penetrasyon hizmetine girmiş bulunmaktayız. Belli frekanslar ile kurumun kendisi tarafından geliştirilen ya da satın aldığı tüm uygulamaların zafiyet taramasından geçmesi gerekmektedir. Çıkan zafiyet raporundaki zafiyetlerin kritiklik derecesine göre kapatılması önem arz eder.
- Web Uygulaması Testleri,
- DNS Servisi Testleri,
- DoS/DDoS Testleri,
- Kablosuz Ağ Sızma Testleri,
- Mobil Cihaz Güvenlik Testleri,
- ATM Sızma Testleri,
- Sosyal Mühendislik Testleri,
- Sunucu ve Servis Güvenlik Testleri ve Değerlendirmeleri,
- Ağ ve İletişim Cihazları Güvenlik Testleri ve Değerlendirmeleri,
- Firewall ve IDS/IPS Cihazları Güvenlik Testleri ve Değerlendirmeleri,
- Sanallaştırma Ortamı Güvenlik Testleri
- Domain ve PC Güvenlik Testleri,
- Veritabanı Güvenlik Testleri ve Değerlendirmeleri
Liste uzayıp gider. In-house geliştirilen uygulamalardaki yayınlanan yeni versiyonlardan hemen sonra tekrar zafiyet testi yapılmasını yine önem teşkil eder. İlgili zafiyet testi yaptıracağınız yerli ve yabancı kurumlara mutlaka bir test senaryosu (checklist) ile gitmeniz ve elinizdeki örnek bir test sistemine bu bir honeypot sistem olabilir ki bu hizmeti buluttan temin edebilirsiniz, kurumların bu sistem üzerinden zafiyet raporu vermesini sağlayabilirsiniz. Gerekirse gizlilik anlaşması yapıp production ortamında zafiyet testi yaptırabilir ve uygulamalarınız güvenliği ile ilgili kurumların size ilettipi raporu inceleyebilirsiniz.
Çıkan raporlar sonrası IDS, IPS sistemleri içerisinde gömülü gelen sanal yama politikaları ile zafiyetlerin istismar edilmelerini engelleyebilirsiniz. Sanal yama üreticilerin publish ettiği fakat release etmediği yamaları ya da desteği bitmiş işletim sistemlerindeki güvenlik açıklarını da kapatacaktır. Sıfırıncı gün olarak tanımladığımız bu alanda sanal yama ve IDS/IPS teknolojisi kurumlara öncelikli yardımcı olur.
Bazı bilgi güvenliği araştırmacıları ağ, iletişim ya da ağ güvenliği cihazlarında ilgili üreticinin bilmediği bir açığı tespit ediyor olabilir bu durumda açığın kapatılması için hızlıca üretici kurumla irtibata geçilmesi gerekmektedir.
Bilgi güvenliği bütünlük, gizlilik ve erişilebilirlik üçgeninde işler. Bu üç unsur’a yapılan her müdahale güvenlik unsuru oluşturabilir. Bazen ezbere söylenen en güvenli sistem kapalı sistemdir sözü de paradoks içerir, kapalı bir sistemde iletişim olmayacağından güvenliğinden de bahsedemezsiniz. Bu sebeple siber güvenlik riski minimize etmenizi sağlayan teknolojiden daha fazlası değildir. SANS’ın ilettiği 18 maddeyi maksimum kontrol, siber güvenliği maksimum kontrol anlamına gelir. Bilgi güvenliği yaptık oldu şeklinde olan bir süreç değil bir iş akışı ve kültürdür. Bilgi güvenliğini sürekli ve durmaksızın kullanıcılara ve yöneticilere empoze etmesi gerekir ki bu sonsuz bir süreçtir. Her konuda olduğu gibi siber güvenlik konusunda da her zaman öğrenci olduğumuzu unutmamak gerekir.
Umarım faydalı bir makale olmuştur, bir Sonraki makalemizde görüşmek üzere.
Güvenlik operasyonları merkezi (SOC), bir kuruluşun güvenlik durumunu sürekli olarak izlemek, analiz etmek ve geliştirmekle sorumlu bilgi güvenliği ekibidir. SOC ekibinin amacı, teknolojik çözümleri ve güçlü bir süreç yönetimi kullanarak siber güvenlik vakalarını tespit etmek, analiz etmek ve bunlara tepki vermektir.SOC personeli, güvenlik sorunlarının keşfedildiğinde hızla ele alınmasını sağlamak için organize bir şekilde olay müdahale (incident response) ekipleriyle yakın çalışırlar. Güvenlik operasyon merkezlerinde genellikle siber güvenlik analistleri, mühendisleri ve oluşan tüm süreçleri denetleyen yöneticiler bulunur.
Birol BOZKURT 