Thursday, August 13, 2015

Siber Hijyen Kuralları

Center for Internet Security (CIS) tarafından yürütülen “Siber Hijyen Kampanyası” kuruluşunuzun temel güvenlik seviyesinin arttırılmasını sağlayacaktır. Siber güvenlik konusunda en iyi uygulamalar (best practice) olarak da değerlendirebileceğimiz bu noktalar düşük maliyetli öneriler sunduğu için bütçe ve boyuttan bağımsız olarak bütün kuruluşlar tarafından hemen uygulanabilir niteliktedir.
Siber hijyen programının 5 temel bacağı var, bunlar;
  • Say (ing. Count)
  • Ayarla (ing. Configure)
  • Denetle (ing. Control)
  • Yama (ing. Patch)
  • Tekrarla (ing. Repeat)


Kuruluşunuzda bir siber hijyen programı başlatmanıza yardımcı olmak için bu başlıkları aşağıda hızlıca ele aldım.
Say (Count)
Ağınıza bağlı sistemleri tanımak siber güvenlik için önemli bir adımdır. Kuruluşunuzdaki envanteri çıkartmadan kayıt, çalıntı, izinsiz veya yetkisiz cihazları tespit etmeniz çok zor olacaktır. Varlıkların envanterini çıkartarak sadece bunların en verimli biçimde kullanılmasını sağlamakla kalmaz, güvenliklerini sağlamak için de neler yapmanız gerektiğini bilirsiniz. Ağınıza bağlı neredeyse bütün varlıklarda çeşitli güvenlik zafiyetlerinin olduğunu bilerek bunların sonucunda ortaya çıkan riskleri yönetmemiz gerekiyor.
Envanter çalışmalarına kuruluşunuzun ağına bağlı cihazların listesini çıkartarak başlayabilirsiniz. Envanter çalışmasına dahil edebileceğiniz bazı cihazlar şunlardır;
  • Dizüstü ve masaüstü bilgisayarlar
  • Akıllı telefon ve tabletler
  • Harici diskler, USB bellekler
  • Yazıcılar
  • Router, switch gibi ağ cihazları
  • Sunucular
  • Güvenlik duvarı, sızma tespit ve engelleme sistemleri gibi güvenlik cihazları
Envanter çalışmaları sırasında cihazlara etiket yapıştırmak (barkod kullanılabilir) bir sonraki envanter çalışmalarını kolaylaştıracaktır. Etiket üzerinde kuruluş bilgileriniz gibi bazı bilgiler ekleyebilirsiniz. Envanter kayıtlarında ise cihazla ilgili marka, model, seri numarası, disk ve hafıza kapasiteleri gibi bilgileri toparlamak gerekir. Envanter çalışmalarının nasıl yapılacağı ve nasıl güncel tutulacağını belirleyen bazı dokümanlar hazırlayarak kriterlerinizi de belirleyebilirsiniz.
Ayarla (Configure)
Bu aşamada sistemlerimizin güvenliğini doğru, ve güvenli ayarlar kullanarak, sağlamayı amaçlıyoruz. Bir çok güvenlik ihlali eksik veya güvensiz ayarlardan kaynaklanmaktadır, bunlara verebileceğimiz basit ama sık karşılaşılan bir örnek fabrika çıkışı kullanıcı adı ve parolalarının kullanılmasıdır. Bazı ayarları yapmadan gerçekleştirdiğimiz kurulumların güvenlik açıklarına neden olacağını hatırlamakta fayda var. Kurulumu yapılan sisteme göre önceden belirlenmiş kurulum ayarlarının kullanılması kurulum ve ayarlardan kaynaklı zafiyetlerin çıkma ihtimalini azaltacaktır. Sistemler üzerinde yapılacak ayar değişikliklerinin yapılmadan önce kayıt altına alınmasını, onaylanmasını ve denetlenmesini sağlayacak bir yapı oluşturulması gerekmektedir. Özellikle işletim sistemlerinin sıkılaştırılması için CIS (Center for Internet Security) gibi kuruluşlar tarafından yayınlanmış kurulum dokümanlarının kılavuzluğunda kurulmasında fayda olacaktır.
Bu sıkılaştırılmış kurulumların kuruluşunuz genelinde kullanılması, yeni kurulumların bunlara göre yapılması ve eski kurulumların bunlara uygunluğunun denetlenmesi önemlidir. Belli aralıklarla kurulumların uygunluğunun kontrol edilmesi şarttır.
Denetle (Control)
Kullanıcı hesaplarını ve kullanıcı hesaplarının yetkilerini denetleyerek güvenlik seviyesinin arttırılmasını amaçlar. Doğru şekilde yönetilen kullanıcı hesapları sadece siber saldırı sonucu ortaya çıkabilecek güvenlik ihlallerini engellemekle kalmaz, kullanıcıların hatalarından kaynaklı ihlallerin de büyük ölçüde azaltılmasını sağlar.
Kullanıcı hesaplarını denetlemek için öncelikle hesap yetkilerinin ve erişim yönetimi planının belirlenmesi gerekecektir. Kullanıcı hesaplarının nasıl oluşturulacağı ve bu işlemi kimin ve hangi onaylardan geçerek yapacağını da belgelemekte fayda olacaktır. Hesapların hangi sistem kaynaklarına ve nasıl erişebileceklerinin de önceden ve hesabın kullanıcısının görev, yetki ve sorumluluklarına uygun olarak kayıt altına alınarak denetlenmesi şarttır. Kullanıcı hesaplarının denetlenmesine önemli ölçüde katkı sağlayacak bir etken de güçlü parola kullanımıdır. Kullanıcıların güçlü parola kullanımı konusunda eğitilmesi ve kuruluş genelinde bu konuda farkındalık oluşturacak çalışmalar yapılması çok önemlidir. Kullanıcı hesaplarının davranışlarının kayıt altına alınması ve izlenmesi pek çok güvenlik ihlalinin erkenden tespit edilmesine imkan verir. Kullanıcı hesaplarının sisteme giriş çıkış saatlerinin ve eriştikleri kaynakların izlenmesi, olağandışı davranışların fark edilmesini sağlar.
Mevcut yapının ortaya çıkartılması denetleme sürecinin oluşturulmasını kolaylaştıracaktır. Bugün kuruluşunuzda kullanıcı hesaplarının nasıl ve hangi yetkilerle oluşturulduğunu belirledikten sonra izlenen yolun ve ortaya çıkan hesapların uygulamaya çalıştığınız kullanıcı hesabı denetimine uygun olduğundan emin olun. Mevcut durumdan başlayarak hesaplara tanınan gereksiz ve fazladan yetkilerin kaldırılmasını sağlayıp, yeni açılacak hesaplarda bu yetkilerin verilmemesini sağlayacak değişiklikleri yapın. Kullanıcı yetkilerinin kullanıcının işi gereği sahip olduğu yetkilere ve işini yapmak için ihtiyaç duyduğu kaynaklara uygun olmasını sağlayın. Bu kapsamda uzaktan erişim sağladığınız kullanıcıların da ele alınıp yetkileri ve uzaktan erişim için kullandıkları yöntemin güvenliğinden emin olun.
Yama (Patch)
Yama ve zafiyet yönetimi kuruluşunuzun sistemlerinde mevcut güvenlik zafiyetlerinin istismar edilmesini önlemeyi amaçlar. Kuruluş sistemlerinin tümünü kapsayacak bir yama ve zafiyet yönetimi süreci sayesinde;
  • Sistemler üzerinde tespit edilmiş zafiyetlerin hızlıca giderilmesi
  • Mevcut ve gerçek güvenlik seviyenizin yakından takip edilip belli bir seviyenin üzerinde tutulması
  • Sistemlerin siber saldırı veya uygulama hatası nedeniyle devre dışı kalması
Büyük ölçüde engellenmiş olur.
Yama yönetimi süreçlerinin oluşturulması için kuruluş içerisindeki yazılımların bir envanterinin çıkartılması gerekmektedir. Envantere aşağıdakiler dahil edilmelidir;
  • İşletim sistemleri
  • İstemciler (kullanıcı bilgisayarları) üzerinde kullanılan yazılımlar
  • Sunucular üzerinde çalışan yazılımlar
  • Web tabanlı uygulamalar
  • İçerik yönetimi sistemleri (WordPress, Joomla, vb.)
  • Mobil uygulamalar
  • Yazıcı, tarayıcı ve diğer ofis cihazlarının işletim sistemleri
  • Ağ ve güvenlik cihazlarının işletim sistemleri
Yama ve güvenlik güncellemelerinin düzenli olarak yapıldığından emin olun. Bu tür önemli güncellemeleri takip edebileceğiniz bazı yerler şunlardır;
  • Microsoft tarafından yayınlanan güncellemeler
  • USOM güvenlik zafiyeti duyuruları
  • Cihaz ve yazılım üreticilerinin duyuruları
  • Güvenlik blogları ve mail listeleri (bu tür kritik zafiyetleri ben de elimden geldiğince duyurmaya çalışıyorum)
Yama ve zafiyet yönetimi için daha önceki adımlarda çıkarttığımız envanterden faydalanabiliriz. Envanter üzerinde hangi sistemin işletim sisteminin ne kadar güncel olduğunu (en son sürümle aralarında kaç sürüm var?) belirledikten sonra iş süreçleri açısından en kritik olan sistemlerden ve/veya en kritik zafiyetin bulunduğu sistemlerden başlayarak güncellemeler hızlıca yapılmalıdır. Güncelleme görevi ilgili sistemi kullanan ve yöneten birimlere de atanabilir.
Yama ve zafiyet yönetimi konusunda güncellemeleri hangi sıklıkta, kimin ve nasıl yapacağının belirlenmesinin gerekli olduğudur. Örneğin; güncellemeleri her ayın 15’inde yapmaya karar verdiysek başka bir gün çıkacak kritik bir güvenlik zafiyetinin yamasının nasıl yapılacağının da belli olması gerekecektir. Güncellemelerin sorun çıkartabileceğini de düşünüp, güncelleme sırasında veya sonrasında ilgili sistemin devre dışı kalması halinde ne yapılacağı ve sistemin güncelleme öncesi haline nasıl döndürüleceğinin de belirlenmesinde fayda var.
Tekrarla (Repeat)
Önceki adımlarda ortaya çıkan önceliklere göre “say”, “ayarla”, “denetle” ve “yama” adımlarının tekrarlanması gerekiyor. Aksi takdirde önceki aşamaların sonucunda elde ettiğiniz güvenlik seviyesi hızlıca azalarak çalışmaların etkilerinin tamamen ortadan kalkacağı bir duruma gelinir. Aşamaların tekrarlanması gereken noktalarını özetlersek;
Say:
Ağınıza eklenen her sistem (yazılım ve/veya donanım) envantere de eklenmelidir. Düzenli aralıklarla envanterinizi kontrol ederek (örn. Ağ taraması yaparak) güncel tutulduğundan emin olun.
Ayarla:
Kritik ve önemli varlıklarınızın konfigürasyonunu düzenli aralıklarla kontrol edin. Belirlediğiniz kriterlere uymalarını sağlayın.
Denetle:
Önemli veriler dahil hangi kullanıcıların hangi sistemlere ve nasıl (hangi yöntem ve yetkilerle) eriştiğini düzenli olarak denetleyin.
Yama:
Haftalık, aylık ve kritik güvenlik açıklarının yama ve güncellemelerini düzenli olarak yapın.
Aşağıda görsel olarak özetlediğim siber hijyen döngüsünün adımlarının çeşitli araçlarla otomatize edilmesi mümkündür. Burada kullanılacak otomasyon miktarı kuruluşunuzun büyüklüğüne ve kaynaklarına bağlı olarak değişecektir.

No comments:

Post a Comment