Bu cümleyi gerçekten bir üreticinin sunumunda aldım ve söyleyen kişinin bilgi güvenliği konularına ne kadar uzak olduğuna hala inanmakta zorluk çekiyorum. Tek bir cihazla her hangi bir koruma sağlanabilseydi o cihaz dışındaki bütün üreticiler çoktan iflas etmiş olurdu. Ancak bu yaklaşım müşterileri kandırmaya yetiyor gibi gözüküyor. Üreticileri bir çeşit bilgi güvenliği danışmanı gibi gören müşteriler bu tür asılsız iddialar ışığında bazı yatırım kararları vermek zorunda kalıyor.
Güvenlik konularından biraz anlayan biri olarak şunu biliyorum
ki bilgi güvenliği tek bir ürün veya olay olarak ele alınamaz. Bilgi sızmasına
yol açacak basit bir saldırıyı ele alırsak karşımıza şu aşamalar çıkacaktır;
-
Phishing maili
- Zararlı yazılımı barındıran sayfanın kullanıcı tarafından ziyaret edilmesi veya zararlı yazılımı içeren eposta ekinin açılması
- Zararlı yazılımın yüklenmesi ve dışarıyla iletişime geçmesi
- Kullanıcının bilgisayarının ele geçirilmesi
- Ağdaki diğer bilgisayarlara ve/veya sunuculara sızılması
- Bu bilgisayarlardan veya sunuculardan elde edilen bilgilerin sızdırılması
Siber güvenlik olaylarının veya siber saldırıların tek bir olay değil, olaylar dizisi olduğunu anlayacak kadar bilinçli olan üreticiler de var tabii, Allah hepimizi böyle üreticilerle karşılaştırsın J
Bilgi güvenliği yatırımlarını değerlendirirken bu siber
saldırıların tek bir olaydan ibaret olmadığını hatırlamak ve her aşamaya mümkün
olduğunca hizmet edecek şekilde yatırım yapmak önemlidir.
Firewall örneğiMüşteri tarafında gördüğüm çoğu firewall dışarıdan içeriye doğru istenmeyen trafiği önleyecek şekilde konumlandırılmaktadır. Bu noktada önerim içeriden dışarıya doğru da yapılabilecek trafiği engelleyecek kuralların mutlaka yazılmasıdır.
Diyelim ki ağızı kalabalık bir üretici sizi IPS’e
ihtiyacınız olduğu konusunda ikna etti. Kuracağınız bu ikinci savunma hattı
aslında ilkinden farklı bir amaca hizmet ediyor olmayacaktır, dışarıdan içeriye
gelen saldırıları engelleyecektir.
Bu durumda 2 birim yatırım yapıp kendimizi sadece dışarıdan
gelen saldırılara karşı korumuş olacağız. “Bunun nesi kötü?” diye soranlara
hemen anlatayım. Bir saldırgan bu iki savunma hattını atlatıp içeri sızarsa
içerideki davranışlarını tespit edecek bir yatırımınız ne yazık ki yok.
Bir önceki yazımda da ele aldığım “saldırı sırası” bu
senaryoda da karşılıksız kalmaktadır.
Yalancı üretici sendromu
Bir hastalık olsa adına “Yalancı Üretici Sendromu”
diyebileceğimiz, güvenlik yatırımlarını üreticilerin sizi korkuttuğu doğrultuda
yapma alışkanlığına karşı önerebileceğim en basit reçete kağıt ve kalemdir.
Önünüze bir kağıt alıp aşağıdaki şekilde; saldırı öncesi,
saldırı sırası ve saldırı sonrası başlıklarıyla 3 eşit sütuna bölebilirsiniz;
"Basit iyidir"
"Log çözümümüz var ya la amcamın oğlu" (Bkz. işler güçler)
Forensic çözümleri saldırı sonrası için önemli bilgiler verebilir.
Olay sonrası müdahale uzmanlık ve görece daha fazla yatırım
gerektirse bile en azında birilerinin ağınıza sızdığını anlayabilmenizi
sağlayacak bir olay ve log gözlemleme yatırımı düşünülmelidir. Log toplayacak
çözümün akla gelen her olayın logunu toplamak yerine gerekli uyarıları
iletebilecek şekilde konumlandırılması önemlidir. Örneğin “192.10.2.23 IP’li
makine RDP yapıyor” benzeri loglar saldırı sırasında bize gerekli uyarıları
verecek loglara örnek olabilir.
DUNE benzeri strateji oyunlarını hatırlayın. Elimizde bir
miktar para/cevher olurdu ve bunlarla hangi tür binaları yapacağımıza ve nasıl
askerler yetiştireceğimize karar verirdik. Büyüdük ve artık bu kararları
network düzeyinde vermemiz gerektiği günlere geldik. Kısaca; bütün paranızı
asker yapmaya harcamayın, birazıyla da cevher çıkartın :)
No comments:
Post a Comment