Kurumlar İçin Siber Güvenlik Tavsiyesi
Kredi kartı dolandırıcılığı, çevrimiçi kimlik hırsızlığı, sisteme yetkisiz erişim ile fidye yazılımı bulaştırılması sonucu para talep etme, çevrim içi fikri mülkiyet gaspı, servis dışı bırakma saldırıları sonucu hizmetin verilememesi veya erişilememesi gibi daha birçok siber suç mağduriyetleri günümüzün normal haberleri arasında yer almakta. Hatta öyle ki mağdurlar arasında büyük beynelmilel organizasyonlar bile bulunabilmekte. Bilişim güvenliği konusunda farkındalığı oldukça yüksek olan, teknik personel yeterliliği ve siber güvenlik önlemleri için finansal sıkıntı çekmeyen bu organizasyonlar arasında devlet kurumlarının, finansal kuruluşların, büyük çevrimiçi mağaza ya da sosyal medya platformlarının ve hatta siber güvenlik şirketlerinin olduğunu bile zaman zaman medyadan duyuyoruz, okuyoruz. Bu mağdurların çoğunda siber güvenlik için gerek teknik yatırım gerekse de personel için tahsis edebilecekleri belki de milyonlarca dolar olmasına rağmen yine de bu tür saldırılara karşı savunma çabalarında yetersiz kalıyorlar ve sonuç çoğunlukla hüsranla sonuçlanıyor. Daha da ilginç olanı ise son zamanlarda duyduğum bu siber olayların çoğunluğunun milyonlarca dolar istemeyen basit siber güvenlik önlemlerinin alınmamasından kaynaklı olması. Örneğin gerekli güncellemelerin mutat olarak yapılmaması ya da uzak masa üstü, sanal özel ağ veya varsayılan sistem şifrelerinin değiştirmemesi gibi komik ve basit daha sayılabilecek farklı nedenler bu büyük kurumların saldırılarda çaresiz kalmasına sebebiyet veriyor.
Peki büyük organizasyonlarda bile hal böyle iken, geri kalanımız ne yapmalı? Küçük bütçeli ve sınırlı siber güvenlik teknik personeli bulunan kuruluşlar her gün devam eden siber saldırılara karşı nasıl önlem almalı? Bu yazımda ister büyük olsun ister küçük, siber güvenlik ihtiyacı olan kurumların güvenlikleri için bazı bilinen ama uygulanmayan ya da es geçilen internet güvenlik kontrolleri standartları temelinde az sayıda ancak yüksek öncelikte ve etkinlikte tavsiye edeceğim eylemler yer alacak. Bu küçük ama etkili olduğunu düşündüğüm eylemler ile organizasyonlarına yönelik siber güvenlik sağlamlaştırmalarını yapmalarını sağlamış ve organizasyonlarını siber tehditlere karşı koruma ve güçlendirmeye yönelik adım atmış olacaklarına inanıyorum.
Yukarıda bahsetmiş olduğum es geçilen ya da farkında olmadan uygulanmayan bu yazıdaki basit İnternet Güvenlik Kontrolleri, en yaygın tehditleri ve güvenlik açıklarını ele alan siber güvenlik uzmanlarını aslında senelerdir bildiği, dile getirdiği, konferanslarda veya eğitimlerde anlattığı en basit uygulamalardır. Ama bazen kendileri bile uygulamazlar insanoğlu işte, bilir ama yapar, dediğimi yap ama yaptığımı yapma der. Allahtan ben böyle değilim ve siber güvenlik konusunda 20 senelik bir tecrübe neticesinde beklide paranoya derecesindeyim. Buda iyimi bilmiyorum çünkü bazen esneklik gerektiren konularda çok katı davranabiliyorum ki, bu da hızlı iş yapabilmemi belki de engelliyor. Neyse konumuza gelelim.
Bilişim alt yapısı işleten kurumsal organizasyonların siber güvenlik alanında kaygılarından bazıları şunlardır.
- Organizasyon bilgilerinin çalınması – Dışarıdan bir şekilde içeriye yetkisiz erişim sağlayabilen bilgisayar korsanları veya organizasyon içerisinde memnun olmayan, dargın, kızgın ya da başka motivasyonlar içerisinde olan bir çalışan organizasyon bilgilerini, sistem kaynaklarını ya da rakibe satabileceği bilgileri çalar.
- Web Sitesi Hacklenmesi – Hackerlar web sitenizi hackleyerek prestij kaybınıza sebebiyet verebilir, farklı politik motivasyonlar ile mesajlar yayınlayarak sizi zor duruma sokabilir ya da online bir hizmetinizin sunulamaması sebebiyle hizmetlerinize, organizasyonunuza zarar vererek belki de rakiplerinize avantaj sağlar.
- Phishing/Oltalama ya da Kimlik Avı Saldırıları – Art niyetli saldırganlar E-Posta üzerinden yaptıkları oltamalar ile kullanıcılarınızın bilgisayarlarına zararlı yazılım bulaştır veya bir linki tıklayarak bilgileri resmi gibi görünen bir yere yönlendirmenizi sağlar ve/veya saldırı için temelleri oluşturur, kurumunuz hakkında ileride yapabilecekleri kapsamlı saldırılar için kurumun bazı bilgilerini, personelinizin bilgilerini ya da personelinizden diğer personelin bilgilerini elde eder.
- Ransomware/Fidye Zararlıları – Hackerlar genelde e-posta veya İnternet’e güvensiz bir şekilde açık tutulan kaynaklar üzerinden sisteminize Fidye zararlı yazılımları yükleyerek sistem/sistemlerinizde bulunan kritik bilgileri, veri tabanlarını veya sayılabilecek diğer kaynaklarınızı sizin erişemeyeceğiniz şekilde kriptolu olarak şifreler ve sizden bu kaynaklara tekrar ulaşabilmeniz karşılığında genelde herhangi bir kripto para cinsinden bir fidye ister.
- Doğal olaylar veya kazalar yüzünden veri kaybı.
İyi Bir Siber güvenlik Ekibi ve İyi Bir Bilişim Yönetim Planı ile Profesyonelce Yönetilen Bir Bilişim Altyapısı Ve Ağı, Kötü Yönetilen Ve İyi Bir Siber Güvenlik Ekibine Sahip Olmayan Ancak Bir Çok Pahalı Güvenlik Donanım Ve Sistemlerine Sahip Olan Bir Bilişim Altyapısından Ve Ağından SİBER SALDIRILARA KARŞI DAHA DİRAYETLİDİR!
Bu yüzden organizasyonunuzun siber güvenliğini anlamak için lütfen kendinize şu soruları sorarak ve en başta kendinize karşı dürüst olarak sorulara cevap vererek başlayın.
- Organizasyonunuz içerisinde yer alan tüm kullanıcıların bilgisayarlarına ve sizin yönettiğiniz içerdeki bilişim ağına nelerin bağlı olduğunu biliyor, listesini tutuyor, takip ediyor ve kontrolünü mutat olarak yapıyor musunuz?
- Sistemleriniz üzerinde ve ağınızda hangi yazılımların çalıştığını, çalışma izinlerini biliyor musunuz ve bunların listesini tutarak güncellik kontrollerini sürekli olarak takip ediyor musunuz?
- Yeni bir bilişim sistemini organizasyonunuza dahil ederken güvenlik kurallarına uyarak mı dahil ediyorsunuz ve yeniden bir bilgisayarı yüklerken güvenlik seviyelerini olması gereken gibi tekrar kontrolden geçirerek mi yüklüyorsunuz?
- Hassas bilgilerinize kimlerin erişebileceğini veya kimlerin daha fazla erişim ayrıcalıkları olduğunu takip edip, kimlik denetim sistemleri veya belge lisanslama sistemleri ile organizasyonunuzu yönetiyor musunuz?
- Organizasyonda çalışan bilişim personeli ve siber güvenlik personeli de dahil olmak üzere diğer bilişim sistemleri kullanıcıları olan yöneticilerinizde dahil olmak üzere tüm personelin siber olaylara maruz kalmama konusundaki hassas kişisel rollerinin farkında olup olmadığını biliyor musunuz ve bunu sağlamak amacıyla çalışmalar yapıyor musunuz?
Yukarıda yer alan bu soruların her birini ele alarak cevaplayıp tedbir alabilmek ve güvenliğinizi biraz daha üst seviyeye çıkartabilmeniz amacıyla bu yazının devamında sizlere uygulayabileceğiniz basit bazı prosedürlerin listesi ve çeşitli ücretsiz ya da düşük maliyetli araçlar listesinden bahsedeceğim. Bu prosedürler ve tedbirler listesi sizleri yük altına sokabilecek kadar yorucu olmamakla birlikte organizasyonunuzun siber güvenlik altyapısının gelişmesine ve siber güvenlik tedbirlerinizin çıta yükseltmesine katkıda bulunacaktır diye düşünüyorum. Listeleyeceğim prosedürleri ve tedbirleri sırayla önceliklendirmenize yardımcı olabilmek amacıyla aşağıda yer alan diyagramdaki adımları sırayla takip ederseniz daha kolay bir şekilde tedbir seviyenizi yukarıya taşımış olursunuz.
1’inci aşama; organizasyonunuzun bilişim ağında nelerin olduğunu tüm donanımlarıyla birlikte r. Aynı zamanda bu ağa dahil olan sistemler üzerinde çalışan tüm yazılımların envanterinin çıkarılacağı şekilde bilmekte gerekmektedir.
2’nci aşamada ise; Güvenlik temellerinizi ve politikalarınızı oluşturduktan sonra organizasyonunuzun içerisinde sistemlerinizi kullanıcı durumda olsun olmasın (çaycı ya da temizlikçi personel bile bazen sosyal mühendislik kurbanı olabilir) tüm personelinizin bilişim güvenlik ilkelerine uymalarını sağlamak ve personelinizin siber güvenlik ile siber tehditlere karşı farkındalık düzeyini artırarak güvenlik temelinizi önleyici korunma yöntemleri ile desteklemektir. Buna Güvenli Siber Davranış Geliştirme diyebiliriz.
3’üncü aşama ise; organizasyonunuzun yıkıcı olaylara önceden hazırlıklı olabileceği şekilde yedekleme politikalarının belirlemesi ve yedekleri güvenli bir şekilde alması, yıkıcı olaylar sonrasında felaket kurtarma senaryolarının işleme hemen sokulabilecek şekilde hazır edilmesi ile yıkıcı olayın önlenmesi, tespit edilmesi ve yetkililere bildirilebilmesi amacıyla olay müdahale ekipleriyle hazır olması ilkelerini kapsamaktadır.
Aşağıda detaylarına yavaş yavaş gireceğim her aşamada, siber güvenlik hedeflerinize ulaşmanıza yardımcı olacak eylem öğeleri ve araçlarıyla birlikte uygulamadan önce yine yanıtlamanız gereken belirli sorular yer alacaktır. Biliyorum çok sorulu bir yazı oldu ama soru olmadan cevabı da mümkün olamamakta ve siber güvenliği alabilmenin en temel esasları bol soru ile sisteminizi sorgulamak ve sorgulamalar sonucunda elde edeceğiniz cevaplardaki sorunlara çözümleri bulabilmekten geçmektedir diye düşünmekteyim. Ayrıca bu işlemler için organizasyonunuzdan siber güvenlik konularında bilgili, yetkin veya böyle bir personel olmaması durumunda en azından meraklı bir personeli siber güvenlik tedbir faaliyetlerinizi size raporlaması için görevlendirebilir, birçok organizasyonda olmadığı gibi sizde de olmama ihtimaline karşın siber güvenlik görevlinizi atama ile işe başlayabilirsiniz.
1. Aşama : BİLME – Organizasyonunuzun Bilişim Ortamını Bilin.
Siber güvenlik çalışmalarınızda ilerlemenize yardımcı olacak ilk adım, bağlı aygıtlarınız, kritik verileriniz ve yazılımlarınız dahil olmak üzere ağınızı tanımaktır. Neyi korumanız gerektiğine dair net bir anlayış ve sisteminizin detaylı bir şekilde çekilmiş röntgeni olmadan, siber güvenlik çabalarınızın sonuçlarına varmakta ve gerçekten ihtiyaç duyulan korunacak varlıklarınızı, siber güvenlik bağlamında kapsamını belirlemekte zorlanabilirsiniz.
Düşünmeniz gereken önemli birkaç soru;
- Ağınızda nelerin bağlı olduğunu detayları ile biliyor musunuz ve sisteme dahil olabilme politikalarınız var olup sağlam mı?
- Ağınızda yer alan sistemlerde hangi yazılımların yüklü olduğunu biliyor musunuz ve yazılım yönetim politikalarınız yetkilendirme takipleriniz var mı?
- Sistem Yöneticilerinizin, Kurum Yöneticilerinizin ve Kurum Personelinin güçlü şifreler kullanıp kullanmadıklarını biliyor musunuz ve bir şifre politikanız var mı?
- Kurum personelinin hangi çevrim içi platformları (çalışma, sosyal medya ve mesajlaşma veya çevrim içi etkileşim için) kullandığını biliyor musunuz? Bunların kullanımı ile ilgili kısıtlamalarınız tedbirleriniz var mı?
- En önemli verileriniz organizasyon ağınızda nerelerde saklanıyor, bunlar saklandıkları ortamlardan kurum içindeki kişiler tarafından ne şekilde erişilebiliyor kaydını tutuyor musunuz?
Ağınızda nelerin bağlı olduğunu detayları ile biliyor musunuz?
Organizasyon verileriniz kaybolur, sızar, çalınır veya bozulursa sonuçları çok ağır olabilecek problemler yaşayabilirsiniz. Kazalar veya doğal afetler, organizasyonunuzun kamusal ya da ticari faaliyetler için güvendiğiniz sizin için gerekli olan verilerinizi potansiyel olarak tahrip edebilir. Ayrıca art niyetli siber korsanlar veya kişiler kendileri için potansiyel değeri olabilecek çalabilecekleri verileri veya zarar verebilecekleri sistemleri hedef alırlar. Bu kişiler siz farkında olmasanız da organizasyon çalışanlarınız bile olabilir. Ve bu kişiler için sizin ağınız, kullanmak istedikleri verilere ulaşmanın ve bunları elde etmenin en iyi kullanılabilecek aracıdır. İşinizi korumak için verilerinizin değerini ve saldırganlar ya da rakipleriniz tarafından nasıl kullanılabileceğini anlamanız gerekir. Ayrıca, kredi kartı, sağlık bilgileri, kişisel verileri koruma kanunlarına göre paylaşılmaması gereken gibi belirli türde bilgileri korumak için yasalar tarafından uymanız gereken yükümlülükleriniz de mevcut olabilir. Aşağıda kendiniz için tanımlama ve örnekleme yapabilmeniz amacıyla bazı veri kalemleri listelenmiştir;
- Kredi Kartı, bankacılık, finans ve yatırım bilgileri.
- Kimlik Numaraları, sağlık bilgileri, kullanıcı adları ve şifreler, e-posta ve iletişim adresleri, doğum tarihleri vb. Gibi kişisel olarak tanımlanabilir her türlü bilgiler.
- Müşteri listesi, ürün listesi, fiyatlandırma vb.
- Kamu kurumuysanız vermiş olduğunuz hizmet ile ilgili vatandaşlar hakkında hizmet kalitenizi artırmak için turmuş olduğunuz her türlü kişisel veri, bilgi veya istatistik.
- Organizasyonunuzun varsa; ticari sırları, formülleri, metodolojileri, modelleri ve anlaşmaları.
Yine ağınızda hangi cihazların bulunduğunu iyi bir şekilde anlamanız birden çok avantaj sağlar. Ortamınızın yönetimi kolaylaşır ve hangi cihazlar ile üzerinde bulunan verileri korumanız gerektiğini bilirsiniz. Aşağıda, ağınızdaki cihazlar hakkında bilgi edinmek, kayıtlarını tutmak ve yetki erişim denetimleri yapabilmek için gerçekleştirebileceğiniz bazı işlemler bulunmaktadır.
- Kablosuz bir ağınız varsa; güçlü şifrelemeler ve hatta kimlik ve oturum denetleyiciler kullanarak bir de üstünde erişim sertifikaları dağıtım politikaları uygulayarak ağınızı daha güvenli hale getirebilirsiniz. Hangi cihazların bağlı ve şifre korumalı olduğunu görmek için yönlendiricinizi sık sık kontrol edin veya bu iş için özel ticari araçlar kullanın.
- Daha büyük ağlar için, ağınızdaki tüm cihazları tanımlamak için bir ağ tarayıcısı ve loglama yazılımları (ticari veya açık kaynak) kullanın.
- Ağınızdaki tüm cihazların kolayca izlenebilmesini sağlamak için ağ cihazlarınızda Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) kaydını etkinleştirin. Ağınızı segmentlere ayırın ve erişim denetimlerini bu seğmentlere göre planlayın. Vlan, VPN, PKI, SSL gibi erişim denetimi için kullanabileceğiniz her türlü olasılığı değerlendirin.
- Organizasyonunuz ağı ile sistemleri üzerine yeni cihazlar veya veriler eklendiğinde güncellenmesi gereken donanım varlıklarınızın (bilgisayarlar, sunucular, dizüstü bilgisayarlar, yazıcılar, telefonlar vb.) Ve kritik verilerinizin envanter listesini tutun. Bunun için açık kaynaklı yazılımlar kullanabileceğiniz gibi ticari ürünler de mevcuttur. Kritiklik seviyenize göre ticari ürünleri tercih etmekte fayda vardır.
Burada sizlere açık kaynak kodlu ve en azından küçük ölçekli işletmeler için kullanabileceğiniz birkaç araç listelemek istiyorum. Liste çoğaltılabilir fakat yazı sırasında aklıma gelenler bunlardan ibarettir. Ticari olanları bahsetmek kişisel bloğumda pek uygun olmamakla birlikte, şayet organizasyonunuz büyük bir bilişim altyapısına sahipse kesinlikle ticari ürünleri kullanmanızı tavsiye ederim. Ancak iyi bir yazılım ekibiniz ve siber güvenlik personeliniz var ise o zaman sayılabilecek diğer açık kaynak ürünler üzerinde kendi platformunuzu da geliştirebilirsiniz.
- Nmap: Dünyadaki sistem yöneticileri ve bilgisayar korsanları tarafından hangi cihazların ağınıza bağlı olduğunu belirlemek için kullanılan ünlü çok amaçlı ağ tarayıcısı https://nmap.org/
- ZenMap: Nmap için kullanımı kolay grafik kullanıcı ara yüzü https://nmap.org/zenmap/
- Spiceworks: Ağınızdaki cihazları ve yazılımları tanımlamak için ücretsiz BT envanteri ve varlık yönetimi yazılımı https://www.spiceworks.com/
- pfSence : FreeBSD Tabanlı bir Güvenlik Duvarı dağıtımıdır. Açık kaynak kodlu ve ücretsizdir. Bir çok modülü ile MAC adresi denetimi, Radius yetkilendirme ve hatta açık kaynak kodlu Saldırı tespit sistemi modülleri dahil işinize çok yarayabilir. https://www.pfsense.org/
- Snort : Snort, çok popüler bir açık kaynak kodlu saldırı tespit ve önleme sistemidir (IDS / IPS). Snort ile; saldırıları, tampon taşması saldırılarını, port taramalarını ve daha fazlasını tespit etmek için ağ trafiğinin analiz edilmesini sağlayabilirsiniz. Ayrıca yukarıdaki pfsence ile de entegre olabilmektedir. https://www.snort.org/
- freeRadius : RADIUS sunucular, kullanıcı bağlantı isteklerini alır, kullanıcının kimliğini doğrular ve ardından kullanıcıya hizmet sunması için gereken yapılandırma bilgisini döndürür. Bu sayede ağınızda yetkisiz erişimleri engellemede çıta yükseltebilir ve kullanıcılarınıza kimlik denetimi yapabilirsiniz. https://freeradius.org/
- Observiusm : Observium, Cisco, Windows, Linux, HP, Ardıç, Dell, FreeBSD, Brocade, Netscaler, NetApp ve diğerleri gibi çok çeşitli cihaz türlerini, platformlarını ve işletim sistemlerini tanıyabilip destekleyen düşük bakım gerektiren, otomatik keşif yapan bir ağ izleme platformudur. https://www.observium.org/
Organizasyonunuzun sistemleri üzerinde çalışan yazılımları biliyor musunuz?
Yazılım yönetimi hem iyi bir BT yönetimi hem de etkili siber güvenliğin önemli bir bileşenidir. Organizasyonunuzun sistemlerinde bulunan hileli(lisansız) yazılımlar, her ne kadar size maddi kazanç sağlıyormuş gibi görünse de aslında sistem güvenliğiniz için önlenmesi gereken ve azaltılması gereken riskler oluşturabilir. Ayrıca lisanssız yazılımı kullanmak yasal sorumluluklarda doğurup başınızı hukuki olarak derde de sokabilir. Aynı zamanda lisansız yazılım kullanmak kötü amaçlı zararlı yazılımların sisteminize sızması veya art niyetli kişilerin sisteminize saldırması için yaygın arka kapılar bırakabilir. Ağınızda hangi yazılımların olduğunu anlayarak, kişilerin ağınıza yazılım ekleyebilme yeteneklerini kontrol ederek ve hesapları yönetici ayrıcalıklarıyla koruyarak, siber olayların olasılığını ve etkisini azaltabilirsiniz. Organizasyonunuzun yazılım geliştiricileri tarafından geliştirilmiş yazılımlar da sisteminiz üzerinde kullanıyorsanız, bu yazılımların güvenli bir şekilde geliştirildiğinden, içerisinde yazılımcılarınızın bilinçsiz bir şekilde kodlamadan kaynaklı açıklara sebebiyet veren kod parçalarının olup olmadığından emin olmanız gerekebilir. Bazı durumlarda da art niyetli bir yazlım geliştiriciniz sebebiyle kod içerisinde arka kapıların yerleştirilmesi gibi tehlikeli riskler ile karşılaşabileceğinizden dolayı, yazılımlarınızın kodlarını tekrar kontrol edebilecek mekanizmalar oluşturmak faydalı olacaktır.
Neler yapabilirsiniz:
- Sisteminizde çalışan uygulamaların ve kuruluşunuzun kullandığı web hizmetlerini veya bulut çözümlerinin bir listesini oluşturun:
- Sistemde yüklü olan yazılımların listesini almak için işletim sisteminin yükleme / kaldırma özelliklerini kontrol edin veya bu işler için tüm ağınızda kullanabileceğiniz son nokta güvenlik çözümlerini kullanın.
- Mevcut envanter veya denetim araçlarını kullanarak sistemlerinizde hangi yazılımların çalıştığını sürekli olarak görmek için düzenli kontroller gerçekleştirin.
- Çevrimiçi dosya paylaşım platformları veya etkileşim sistemleri gibi hangi çevrimiçi hizmetleri işlerinin bir parçası olarak kullandıklarını belirlemek için çalışanlarınızla görüşün veya bunların bağlantı isteklerinin listesini otomatik bir şekilde size raporlayabilecek güvenlik çözümlerini sisteminize entegre edin.
- Sisteminiz de yönetici ayrıcalıklarına sahip bireylerin sayısını çok küçük bir sayı ile sınırlandırın. Genel kullanıcıların yönetici olarak çalışmasına asla izin vermeyin.
- Yönetici hesapları için benzersiz güçlü şifreler kullanın çünkü yönetici hesaplarını tespit edebilen veya ele geçirebilen art niyetli kişiler sistemde istemediğiniz değişiklikleri gerçekleştirebilir. Çalışanlara güçlü şifreler geliştirme konusunda talimatlar verin. Hatta hesap ve şifrelemeler için anahtar oluşturarak yetkilendirme ve erişimleri izine tabi tutan 2 kademeli erişim denetim sistemlerini sisteminize entegre edebilirsiniz.
- Sistem yöneticilerinin e-posta okumak, İnternete erişmek ve belgeleri hazırlamak için yönetici olmayan ayrı bir hesap kullanmasını sağlayın.
- Ağınıza yazılım indirmek veya yüklemek için bir organizasyon süreci geliştirin ve ücretsiz Applocker gibi beyaz liste araçlarıyla onaylanmamış uygulamaların kullanılmasını önleyin. Lisanslı ürünler de kullanabilirseniz daha detaylı bilgiler elde edebilir ve koruma sağlayabilirsiniz ancak yine de politika standartları belirlemek sizin elinizdedir.
Burada sizlere açık kaynak kodlu veya ücretsiz en azından küçük ölçekli işletmeler için kullanabileceğiniz birkaç araç listelemek istiyorum. Liste çoğaltılabilir fakat yazı sırasında aklıma gelenler bunlardan ibarettir. Ticari olanları bahsetmek kişisel bloğumda pek uygun olmamakla birlikte, şayet organizasyonunuz büyük bir bilişim altyapısına sahipse kesinlikle ticari ürünleri kullanmanızı tavsiye ederim. Ancak iyi bir yazılım ekibiniz ve siber güvenlik personeliniz var ise o zaman sayılabilecek diğer açık kaynak ürünler üzerinde kendi platformunuzu da geliştirebilirsiniz.
- Applocker: Sistemleriniz üzerinde çalışmasına izin verilen yazılımı tanımlamak, tanımlanmış olanların çalışmasını sınırlamak için ücretsiz kullanılabilecek bir Microsoft Windows aracı https://technet.microsoft.com/en-us/library/dd759117(v=ws.11).aspx
- Netwrix: Sistemlerinize idari erişim hakkındaki bilgileri tanımlamak için çeşitli araçlar https://www.netwrix.com
- OpenAudIT: İş istasyonu, sunucuları ve ağ cihazlarındaki yüklü ve çalışan yazılımları ve uygulamaları takip edebilmek için geliştirilmiş bir envanter yazılımı http://www.open-audit.org/
2. Aşama : KORUNMA – Korunma yöntemleri hakkında bilinçlenin.
En değerli varlıklarınızı koruyun. Eski ve köklü birçok beynelmilel firmanın bilinçli olarak söylediği gibi çalışanlarınız en değerli varlığınızdır ve bilişim güvenliği söz konusu olduğunda da bu böyledir. Siber güvenlik katmanlarından en kritik kısmını; aslında bilgilerinizi korumak için yalnızca teknolojik çözümleri sisteminize katmak yerine, sisteminize yanlışlıkla zarar verilmesine sebebiyet vermemek için çalışanların bilgi güvenliği ve siber güvenlik farkındalığını oluşturur. Yazının bu bölümü hem organizasyonunuz içerisinde yer alan bilişim sistemlerini korumaya hem de kullanıcılarınızı siber güvenlikteki rolleri konusunda eğitmeye odaklanmaktadır.
Korunma aşamasından güvenliğinizi alabilmek üzere cevaplamanız gereken bazı sorular:
- Bilişim sistemlerinizi kurgularken veya kurarken personeliniz güvenlik gereksinimlerini akıllarında bulundurarak mı bu işlemi gerçekleştiriyor?
- Ağınız güncel zararlı yazılım çözümleri kullanıyor mu ve personeliniz zararlı yazılımları sistemlere bulaştırmama tedbirlerinde ne kadar bilinç içerisinde?
- Kullanıcılarınızı siber güvenlik tedbirleri ve uygulamaları konusunda eğitiyor musunuz?
Güvenlik temellerinizi ve Politikalarınızı oluşturun.
Zararlı yazılımlar ve kötü amaçlı siber aktörler, sistemde çalışan uygulamalardaki güvensiz yapılandırmalardan veya güvenlik açıklarından yararlanır. Organizasyonunuzu korumak için, işletim sisteminizin ve uygulamalarınızın (özellikle web tarayıcılarının) güncel ve güvenli bir şekilde yapılandırıldığından emin olmanız gerekir. Ayrıca, ortamınızı güvence altına almak için anti virüs yazılımları haricinde de işletim sisteminizde yerleşik olabilecek güvenlik ve kötü amaçlı yazılımdan koruma işlevlerini tanımlamalı ve bunlardan yararlanmalısınız. Örnekler arasında Windows Device Guard, Bitlocker ve aşağıda belirtilen diğerleri bulunur.
Neler Yapabilirsiniz:
- Windows ürünleri için hangi yamaların eksik olduğunu ve hangi yapılandırma değişikliklerinin yapılması gerektiğini belirlemek için periyodik olarak Microsoft Baseline Security Analyzer’ı çalıştırın.
- Tarayıcılarınızın ve tüm eklentilerin güncel olduğundan emin olun. Google Chrome tarayıcısı gibi kendini otomatik olarak güncelleyen bir tarayıcı kullanmayı düşünün.
- Sistemleri kötü amaçlı yazılımlardan korumak için güncel anti-malware yazılımı kullanın. Kötü amaçlı yazılım önleyici ürününüz bunu destekliyorsa, güncellemeleri kontrol etmek için bulut tabanlı arama özelliklerini kullanın.
- Çıkarılabilir ortamların (USB’ler, CD’ler, DVD’ler) kullanımını onaylanmış bir iş gereksinimi olanlarla sınırlayın.
- Kod tabanlı güvenlik açıklarına karşı korumak için Gelişmiş Risk Azaltma Deneyimi Araç Takımı’nı (EMET) Microsoft Windows makinelerine dağıtın. Https://www.microsoft.com/en-us/download/details.aspx?id=50766
- Özellikle dahili ağınıza veya e-postalarınıza uzaktan erişmek için, mümkün olduğunda çok faktörlü kimlik doğrulamanın kullanılmasını isteyin. Örneğin, bu güvenli parolaların veya mobil doğrulama seçeneklerinin yalnızca parolaların ötesinde ek bir güvenlik katmanı olarak kullanılmasını içerebilir.
- Tüm uygulamalar, işletim sistemleri, yönlendiriciler, güvenlik duvarları, kablosuz erişim noktaları, yazıcı / tarayıcılar ve diğer cihazlar için ağa eklerken varsayılan şifreleri değiştirin.
- Cihazlarınızın güvenli bir şekilde uzaktan yönetimi ve hassas bilgilerin iletilmesi için kriptolu veya sertifikalı şifreleme kullanın.
- Hassas bilgileri içeren sabit diskleri, dizüstü bilgisayarları ve mobil cihazları kriptolu bir şekilde şifreleyin.
- Çok hassas bilgileri işleyen sistemlerde, cihazları ve uygulamaları güvenli bir şekilde yapılandırmak için CIS Benchmark’larından (cisecurity.org) gelen önerileri uygulayın.
Burada sizlere açık kaynak kodlu veya ücretsiz en azından küçük ölçekli işletmeler için kullanabileceğiniz birkaç araç listelemek istiyorum. Liste çoğaltılabilir fakat yazı sırasında aklıma gelenler bunlardan ibarettir. Ticari olanları bahsetmek kişisel bloğumda pek uygun olmamakla birlikte, şayet organizasyonunuz büyük bir bilişim altyapısına sahipse kesinlikle ticari ürünleri kullanmanızı tavsiye ederim. Ancak iyi bir yazılım ekibiniz ve siber güvenlik personeliniz var ise o zaman sayılabilecek diğer açık kaynak ürünler üzerinde kendi platformunuzu da geliştirebilirsiniz.
- Bitlocker: Microsoft® Windows cihazları için dahili şifreleme https://technet.microsoft.com/en-us/library/cc732774(v=ws.11).aspx
- FireVault: Mac cihazları için dahili şifreleme https://support.apple.com/en-us/HT204837
- Qualys Tarayıcı Kontrolü: Tarayıcınızın tüm yamalarıyla güncel olup olmadığını kontrol etmek için bir araç https://browsercheck.qualys.com/
- OpenVAS: Güvenlik taban hatlarını kontrol etmek için sistemleri taramak için bir araç openvas.org
- Microsoft Baseline Security Analyzer: Windows bilgisayarlarının güvenli bir şekilde nasıl yapılandırıldığını anlamak için ücretsiz Microsoft® aracı https://www.microsoft.com/en-us/download/details.aspx?id=7558
- CIS Benchmarkları: 100’ün üzerinde teknolojiye yönelik fikir birliğine dayalı konfigürasyon yönergelerine sahip ücretsiz PDF’ler. cisecurity.org
Güvenli Siber Davranış Geliştirme
Siber güvenlik sadece teknoloji ve bu yatırımı yapmak ile alınamaz. İyi bir siber güvenlik sürecinin planlanması ve organizasyonunuz içerisindeki personelinde yer alacağı top yekûn bir siber güvenlik uygulama planı ile farkındalığı üst seviyeye çıkarmak gerekir. Çünkü siber dünyada ispatlanmış bir gerçekte siber güvenlikte en zayıf halka kullanıcılar yani insanlardır. Yalnızca güvenlik araçlarına ve yazılıma sahip olmak yeterli değildir. Kuruluşunuzun güvenliğini sağlamak için çalışanlarınız ve personeliniz de güçlü siber güvenlik davranışları uygulamalıdır. Çalışanlarınıza yönelik “siber güvenlik” için iki önemli husus vardır: neyle iletişim kurulmalı ve nasıl iletişim kurulmalı. Aşağıda bu söylemi açıklamaya çalışacağım.
Neyle İletişim Kurulmalı:
- Organizasyonunuzdaki hassas verilere erişimi olan veya bunlarla ilgilenenleri belirleyin ve bu bilgileri korumadaki şahsi rollerini anlamalarını sağlayın.
- Yaygın olarak kullanılan iki sosyal mühendislik saldırı yöntemi olarak, kimlik avı e-postası ve telefon görüşmesi saldırılarını en başa yerleştirebiliriz. Çalışanlarınızın bir saldırının ortak göstergelerini açıklayabildiğinden ve tanımlayabildiğinden yani uyanık olabileceğinden emin olun ve onları sosyal mühendislik saldırılarına karşı eğitin. Örneğin; güçlü bir aciliyet duygusu yaratan biri, çok hassas veya özel bilgileri başkası ya da ilgilisi gibi taklit ederek isteyen biri, kafa karıştırıcı veya teknik terimler kullanan biri ve çalışandan güvenlik prosedürlerini görmezden gelmesini veya atlamasını isteyen biri olabilir.
- Herkesin sağduyulu olmanın nihayetinde en iyi savunma olduğunu bildiğinden emin olun. Bir şey garip, şüpheli veya gerçek olamayacak kadar iyi görünüyorsa, büyük olasılıkla iyi bir sosyal mühendislik saldırısıdır.
- Mümkün oldukça her hesap için ve/veya iki adımlı doğrulama için güçlü, benzersiz parolaların kullanılmasını teşvik edin.
- Herkesin mobil cihazlarında “ekran kilidini” kullanmasını isteyin. Çünkü sisteminizde parola yenileme gibi bir servis sms üzerinden yapılıyor olabilir.
- Tüm personelin cihazlarını ve yazılımlarını güncel ve güncel tuttuğundan emin olun. Mobil telefonlarını şarj etmek amacıyla dahi ola usb portları üzerinden bağlamamalarını sağlayın. Aynı şekilde sağda solda ve hatta yerde buldukları usb medya taşıyıcılarından uzak durmalarını söyleyin ve sebeplerini anlatın.
Nasıl İletilişim Kurmalı:
- Çalışanlarınızı, organizasyonunuzu nasıl koruyacaklarını ve bu korumanın kişisel yaşamları için de nasıl uygulanacağını anladıklarından emin olarak, duygusal bir düzeyde kurum bağlılığı kurarak sürekli meşgul edin.
- Tüm personelin siber güvenliğin işlerinin önemli bir parçası olduğunu anladığından emin olun.
- Personelinize SANS OUCH gibi ücretsiz siber güvenlik bilinci materyallerini dağıtın! Bültenler çıkarın veya yine MS-ISAC’ın aylık siber ipucu bültenlerini kullanın.
- Amerikan National Cyber Security Alliance’ın StaySafeOnline.org gibi çevrimiçi kaynaklarını kullanın. Ne yazık ki ülkemizde bu konuda çok detaylı kurumsal ya da devletimizin oluşturmuş olduğu siber farkındalık politika belgeleri ve kaynakları yok.
Bun sitelerin linkleri;
SANS Ouch! Newsletter: http://securingthehuman.sans.org/ouch/archives
MS-ISAC Newsletters https://msisac.cisecurity.org/newsletters
3. Aşama : HAZIRLIKLI OLMA – Yıkıcı Olaylara Önceden Hazırlıklı Olun.
Organizasyonunuz güçlü bir siber güvenlik temelleri attığında ve güvenlik politikaları geliştirdiğinde, bundan sonrası yapmanız gereken yine de oluşabilecek aksiliklere karşı ani, güçlü ve etkili bir olay müdahalesi için yeteneklerinizi geliştirmenizdir. Bunlar, bir siber güvenlik olayının nasıl ele alınacağını ve sonrasında kesintisiz ihtiyacınız olan işe en az zararla veya hiç zarar görmeden nasıl geri dönüleceğini bilme, planlama ve yeteneklerini kapsamaktadır. Yıkıcı olaylara önceden hazırlıklı olmaya planlamaya başlamadan önce kendinize birkaç soru sormanız gerekmektedir. İşte cevaplamanız gereken kilit sorular;
- Kritik dosyalarınızın, veri tabanlarınızın, sunucu sistemlerinizin veya sanal ortamlarınızın en son ne zaman yedeklendiğini biliyor musunuz?
- Yedeklemelerin tamamlandığını, efektif olarak alındığını ve geri dönüşüme elverişli olabilecek şekilde hazır olup olmadığını periyodik olarak kontrol ediyor musunuz?
- Bir olay meydana gelirse kiminle temas kurulacağını, yedeklemenin nasıl dönüleceği hususunda operasyon planlamasını vb. aksiyon alacağınız konuları biliyor musunuz?
Yedekleri Yönetme:
Yedekleme yapmak ve yönetmek sıkıcı, planlaması zor ve yorucu bir iş olabilir; ancak, verilerinizi güvenceye almanın, bir olaydan sonra kurtarmanın ve işinizi kaldığınız yere geri almanın en iyi yollarından biridir. Kritik verilerinizin yedeklerini almak, özellikle fidye yazılımlarının tüm dosyalarınızı şifreleyip verilerinizi fidye için size karşı kullanabileceğini göz önüne aldığınızda oldukça önemlidir. Mevcut ve korunan yedeklemelerle tamamlanan sağlam bir yanıt planı, bir siber olayla uğraşırken en iyi korumadır.
Neler yapabilirsiniz:
- Otomatik olarak önemli bilgiler içeren tüm bilişim sistemlerinizin haftalık yedeklemelerini yapın. Mümkün olduğunda güvenli bulut çözümleri ya da buluta çıkmayan bağlantısız bir iç ağınız mevcut ise kurumsal düzeyde ileri teknoloji teyp yedekleme üniteleri kullanmayı düşünün.
- Yedekleme kullanarak bir sistemi geri yüklemeyi deneyerek yedeklemelerinizi düzenli aralıklarla test edin.
- En az bir yedekleme hedefinin yönettiğiniz ağ üzerinden erişilebilir olmadığından emin olun. Bu, en başta fidye yazılımı saldırılarına karşı korunmaya yardımcı olacaktır, çünkü ağ üzerinden erişimi olmayan bu yedekleme dosyalarına kötü amaçlı yazılımlar ve kişilerce erişilemez erişilemez.
Burada sizlere açık kaynak kodlu veya ücretsiz en azından küçük ölçekli işletmeler için kullanabileceğiniz birkaç araç listelemek istiyorum. Liste çoğaltılabilir fakat yazı sırasında aklıma gelenler bunlardan ibarettir. Ticari olanları bahsetmek kişisel bloğumda pek uygun olmamakla birlikte, şayet organizasyonunuz büyük bir bilişim altyapısına sahipse kesinlikle ticari ürünleri kullanmanızı tavsiye ederim. Ancak iyi bir yazılım ekibiniz ve siber güvenlik personeliniz var ise o zaman sayılabilecek diğer açık kaynak ürünler üzerinde kendi platformunuzu da geliştirebilirsiniz.
- Microsoft “Yedekleme ve Geri Yükleme”: Microsoft® işletim sistemlerinde yüklü yedekleme yardımcı programı aracı https://support.microsoft.com/en-us/help/17127/windows-back-up-restore
- Apple Time Machine: Apple® işletim sistemlerinde kurulu olan yedekleme aracı https://support.apple.com/en-us/HT201250
- Amanda Network Backup: Ücretsiz, açık kaynak kodlu bir yedekleme aracı http://www.amanda.org/
- Bacula: Açık kaynaklı ağ yedekleme ve kurtarma çözümü http://blog.bacula.org/
Olaylara Karşı Hazırlıklı Olmak
Hiçbir organizasyon bir siber güvenlik olayının gerçekleşmesini istemez, ancak ne kadar kötü olaylara karşı hazırlıklı olursanız, işinizi yeniden kurmak ve yürütmek için daha iyi bir konumda olursunuz. Siber olaylar arasında, web sitenizi durduran hizmet reddi saldırısı, sisteminizi veya verilerinizi kilitleyen bir fidye yazılımı saldırısı, müşteri veya çalışan verilerinizin kaybolmasına neden olan kötü amaçlı yazılım saldırısı ve şifrelenmemiş verilerinizi içeren bir dizüstü bilgisayarın çalınması bulunabilir. Hazırlanmak için, bir olay durumunda olaya müdahale için elinizde hangi kaynakların mevcut olduğunu bilmeniz gerekir. Yardım için dahili siber güvenlik personelini kullanabilir veya olay yönetimi hizmetleri sağlamak için üçüncü bir tarafa güvenerek hizmet satın alabilirsiniz. Her iki durumda da bir olay meydana gelmeden önce olay yönetiminden sorumlu olan herkesin rollerini ve beklentilerini bilmeli ayrıca önceden planlam
Hazırlıklı olmak için neler yapabilirsiniz:
- Organizasyonunuzda, bir olay olması durumunda lider ve olaya müdahale ekibi olarak görev yapacak personeli belirleyin yani Siber Olaylara Müdahale Ekibinizi (SOME) kurun.
- Siber Güvenlik personeli ve / veya üçüncü taraf kuruluşlar ile irtibata geçmek için iletişim bilgilerini hazır bulundurun.
- Ulusal SOME ağı gibi organizasyonlara veya bilgi paylaşmaya ve siber güvenliği teşvik etmeye odaklanan diğer derneklere katılın.
- Planınızın bir parçası olarak harici irtibatların bir listesini tutun. Bunlara yasal danışmanlık, siber risk kapsamı taşırsanız sigorta acenteleri ve güvenlik danışmanları dahil olabilir.
- Yasal olarak haklarınızı takip edebilmek amacıyla bir hukuk danışmanlığı almadan önce mevcut yasal mevzuat ve düzenlemeler hakkında bilgi sahibi olun ki nasıl bir hukuki yardım alabileceğinizi ya da hukuki haklarınızı nasıl arayabileceğinizi panik halinden önce planlamış olun.
Bir saldırıya uğrarsanız;
- Olayın mahiyeti ve kapsamı sizin için açık değilse, başka harici bir BT veya siber güvenlik danışmanlığı ve desteği veren kurum, firma veya uzman şahıslar ile iletişim kurmayı düşünün.
- Olayla ilgili çalınan kişisel bilgilerin yer aldığı anlaşılıyorsa bir hukuk danışmanıyla görüşün.
- Kişisel bilgileri ihlalde bulunan etkilenen bireyleri bilgilendirmeye hazırlanın.
- Kolluk kuvvetini gerektiği gibi bilgilendirin.
- Şayet Bir Adli Bilişim Ekibiniz var ise delilleri toplayın ve incelemeye başlayın. Ancak Uzman olmayan kişilerin kesinlikle sisteminize müdahale etmesine izin vermeyin.
Ülkemizde genellikle siber saldırı sonucu mağdur olan kurumlar, kurum prestijlerini koruma içgüdüleri ile yasal mercilere haklarını aramak amacıyla veya suçun takibi için iletişime geçmemektedirler. Unutmayın ki prestijiniz kaygısıyla siz kendi zararım diye düşünüp şikâyete tabi bir suç olarak olguyu değerlendirseniz de sonrasında doğabilecek problemlerden dolayı bildirimde bulunmadığınız bir olay akabinde başınıza daha büyük sorunlar açabilir.