Kurumsal Sosyal Medya Hesabı Güvenliği

Sosyal medya işlerimizi tanıtmak için kullandığımız önemli bir iletişim aracıdır. Saldırganlar ise kurumsal itibarımıza zarar vermek, müşterilerimize yönelik sosyal mühendislik saldırılarında veya sırf kendi isimlerini duyurup reklam yapmak için bu hesaplarımızı hedef almaktadırlar. Sosyal medya hesaplarımızda yaşanacak bir güvenlik ihlali kurumsal itibarımızı zedeleyecek sonuçlar doğurabilir. 

Bugün bir GSM operatörünün sosyal medya hesabına karşı düzenlenen saldırı üzerine sosyal medya hesaplarınızın güvenliğine yönelik bir kaç öneri paylaşmak istiyorum.

Kurumsal sosyal medya hesaplarının da en nihayetinde bireysel kullanıcıların elinde olduğunu düşünürsek sadece teknik önlemler almak yeterli olmayacaktır. Bu hesapları yöneten personelin de dikkatli olması gerekir.

Politikalarınızı belirleyin

Kurumsal sosyal medya hesaplarına kimlerin erişebileceği, nasıl paylaşımlarda bulunacağı açıkça belli olmalıdır. Kurumsal sosyal medya hesabı kullanım politikası aşağıdaki başlıkları düzenlemelidir:

• Paylaşılmaması gereken bilgileri belirler
• Sorumlu personelin olumsuz davranışlarının sonuçlarını belirler
• Şirketinize soruların soruları yanıtlayacak kişiyi belirler
• Sosyal medya “tonunu” belli eder (sen mi diyeceğiz? Siz mi? Vb.)
• Şirket kültürüne uygundur
• İlgili personele yol gösterir niteliktedir
• Şirket çalışanlarının kişisel hesaplarında şirket ismini/logosunu kullanabilmesini ve işleri hakkında görüş bildirme özgürlüğü (veya yasağı) gibi konular da bu politika dahilinde belirlenebilir.

Resim 1: Burger King Twitter hesabı ele geçirilip rakipleri McDonald's logosu eklenmişti

Sahipleri belirleyin

Kurumsal sosyal medya ağlarının kim veya kimler tarafından yönetileceğinin net bir şekilde belirlenmesi çok önemlidir. Kullanıcı bilgileri mümkün olduğunca üçüncü taraflarla paylaşılmamalı, paylaşılması gerekiyorsa (halkla ilişkiler firması, vb) bunun çok sıkı bir şekilde denetlendiğinden emin olun.

Resim 2: Ele geçirilen hesaptan atılan tweetlere bir örnek

Kullanıcılarınızı eğitin

Sosyal medya hesaplarıyla ilgilenecek personelin sosyal medya üzerinden gelebilecek tehlikelere karşı eğitilmesi önemlidir. Sosyal mühendislik saldırılarına karşı ekstra tedbirli olmaları gerekir. Bu saldırılar DM (direkt mesaj) yoluyla yapılabileceği gibi, herkese açık şekilde “@sirketinizin_kullanıcı_adı bu iddia doğru mu?” veya “@sirketinizin_kullanıcı_adı sizi çok seviyorum!” gibi merak uyandıracak bir mesajın devamında kısaltılmış bir URL (t.co, bit.ly veya goo.gl gibi bir hizmet kullanılarak adresin tamamını yazmak yerine, gerçek adresi saklayacak kısaltılmış bir adres) ile yapıldığını görüyoruz.

Sürekli izleyin

Hesaplarınızı gerçek zamanlı ve sürekli olarak izleyin. İzinsiz veya politikaların izin verdiğinin dışında yapılacak paylaşımlardan ne kadar hızlı haberdar olursanız o kadar kısa sürede müdahale edebilirsiniz.

Resim 3: Ele geçirilen hesaptan verilmeye çalışılan sosyal içerikli mesajlara örnek

Maksimum güvenlikle kullanın

Bir çok önemli sosyal medya platformu SMS ile tek kullanımlık şifre gönderimi (2 factor authentication) gibi ek güvenlik özellikleri sunmaktadır. Bunlar mutlaka kullanılmalıdır.

Uygulamalara dikkat edin

Sosyal medya hesabınıza yükleyebileceğiniz üçüncü taraf uygulamaların (doğum günü hatırlatıcısı, oyun, vb.) birer saldırı vektörü olabileceğini unutmayın. Kurumsal hesaplara gerekmedikçe uygulama yüklenmemesinde fayda vardır.

Resim 4: Ele geçirilen hesaptan aşalamaya yönelik atılan tweetlere bir örnek

Güvenli ağlardan giriş yapın

Kurumsal sosyal medya hesabına ortak kablosuz ağ veya bilmediğiniz/güvenmediğiniz ağlar üzerinden giriş yapmayın. Bu tür durumlarda güvenli olduğunu bildiğiniz bir ağa VPN tünel (SSL veya IPsec) oluşturup onun üzerinden bağlanın.  

Parola

En kritik konulardan birisi de kırılması/tahmin edilmesi zor bir parola kullanılması, bunun düzenli aralıklarla değiştirilmesi ve bu parolanın dağıtımının kontrollü bir şekilde yapılmasıdır.

Farklı bir tarayıcı kullanın

Kişisel güvenliğiniz için bankacılık işlemlerinizi günlük olarak internette kullandığınızdan farklı bir tarayıcı kullanmanızda fayda vardır. Benzer şekilde kurumsal sosyal medya hesaplarına erişim için personelin günlük olarak kullandığından farklı bir tarayıcı kullanmasında fayda var. Saldırganlar bir tarayıcıyı kolayca ele geçirip üzerinde saklanan parolaları görebilirler. Bu tür bir saldırıya kurban gitmemek için sosyal mühendislik saldırılarına hedef olabilecek tarayıcıyı ayrı tutmak lazım.

Sosyal medya hesaplarının kullanıldığı bir şirkette saldırganların akıllarına gelen bütün saldırı vektörlerini kullanacaklarını göz önünde bulunduracak şekilde bir risk analizi ve testleri yapılmalıdır. 

Bulut Teknolojisi: Dost mu? Düşman mı?

Ne zaman “bulut teknolojisi” kelimelerini cümle içerisinde kursam karşımdakilerin önemli bir kısmından verileri veya uygulamaları buluta taşımanın ne kadar güvensiz olduğu konusunda uzunca bir nutuk dinliyorum.

Resim 1: Dost ve düşman bulutlar (temsili ve evet bunları çizmeyi seviyorum)

Bulut teknolojisinin diğer teknolojilerden ne daha güvenli ne de daha güvensiz olduğunu düşündüğüm için hem mevcut tehditleri sıralamak hem de bazı güvenlik önerilerinde bulunmak istiyorum.

Tehlikeyi anlamak

Başkaların verilerinize ulaşabilir, değiştirebilir veya silebilir

Söz konusu verilerimizi ve sistemlerimizi buluta taşımak olduğunda kuşkusuz en büyük korkumuz verilerimizin başkasının eline geçmesidir. Yaşanan büyük güvenlik ihlalleri (target, iCloud, vb.) etrafında yaşanan tartışmaların ateşi henüz geçmedi. Bulut üzerinde bulunan verilerin platform, başka kullanıcıların hataları veya yanlış kurulumlar nedeniyle erişilebilir hale gelmesi ne yazık ki mümkündür.

Verilere erişebilen saldırganların bunları silmesi veya duruma göre değiştirmesi de mümkün olabilir.

Hesabınızı ele geçirebilirler

Oltalama (phishing) benzeri sosyal mühendislik saldırıları veya güvensiz bir ağ üzerinden bağlanmanız durumunda; doğrudan ağ üzerindeki iletişiminizi yakalayarak, buluttaki verilere veya sistemlere ulaşmak için kullandığınız bilgiler (kullanıcı adı ve parola) elde edilebilir. Bu durumda saldırganlar aynı bilgileri kullanarak sistemlerinize erişim kazanmış olur.

Güvensiz API’ler

API’ler (Application Programming Interface – Uygulama Programlama Arayüzü) buluttaki sistemlerinizi yerel ağdaki sistemlerle veya buluttaki başka sistemlere entegre etmek için çok kullanışlıdır. Ancak zayıf bir API, buluttaki sistemlerinizin kapısını saldırganlara açabilir. Bunun en “güzel” örneklerinden birisi iCloud hadisesidir.

Hizmet dışı bırakma

Önemli iş süreçlerini buluta taşıdıktan sonra başımıza gelebilecek en kötü şeylerden birisi de bu sistemlere erişememektir. Yeterince önlem alınmazsa hizmet dışı bırakma saldırısı (DoS/DDoS – Denial of Service/Distributed Denial of Service) karşısında elimiz kolumuz bağlı oturmaktan başka çaremiz kalmaz.

Yetersiz hazırlık

Buluta taşınacak sistemlerin doğru analiz edilmesi ve uygun bulut mimarisinin seçilmesi sadece performansı değil, aynı zamanda buluttaki verilerin ve sistemlerin güvenliğini de doğrudan etkiler. Bulutta alınacak güvenlik tedbirlerinin yerel ağ üzerindekilerden farklı olduğunun, sunucu ve veri tabanı mimarilerinin de farklılık gösterebileceğinin anlaşılması gerekiyor.

Yukarıda saydıklarımın dışında içeriden birinin bilgi sızdırması, yetersiz şifreleme teknolojileri, basit parola kullanımı gibi genel geçer güvenlik zafiyetlerinin de bulutta mevcut olduğunu hatırlatmakta fayda görüyorum.

Güvenlik için Önlem Almak

Verilerinizin ve sistemlerinizin bulutta güvende olmasını sağlamak için bulut hizmetini aldığınız yerin de üzerine düşen şeyler var. Bu listedekileri teyit ederek doğru bir şirketten bulut hizmeti aldığınızı kontrol edebilirsiniz.

Hareket halindeki verinin korunması

Veri bir yerden başka bir yere transfer edilirken gerekli şifreleme ve kimlik doğrulama önlemleri alınmalıdır. Veri transferi sırasında üçüncü kişilerce verinin değiştirilmesi veya okunmasının önüne geçilmelidir.

Fiziksel güvenlik

Verilerin tutulduğu platformların fiziksel güvenliği sağlanmalıdır. Sunucuların veya bulut platformunun çalınması, zarar görmesi veya değiştirilmesi bilgi güvenliği ihlaliyle sonuçlanabilir.

Kullanıcıların ayrılması 

Saldırganların aynı bulut yapısını kullanan başka bir kullanıcıya sızmaları veya aynı bulut yapısı üzerinde kendilerine kullanıcı açması halinde bu hesaptan sizin verilerinize ulaşamamaları gerekir.

Bilgi güvenliği yönetimi 

Bulut hizmeti alacağınız firmanın bu yapıyı nasıl yönettiğinin ve gerekli bilgi güvenliği yönetimi süreçlerinin var olduğundan emin olunmalıdır.

Güvenlik süreçleri

Bulut hizmetini aldığınız firmanın bilgi güvenliğine ilişkin süreçleri de oturmuş olmalıdır. Örneğin sızma girişimlerini nasıl yönetiyorlar? DDoS (Dağıtık Hizmet Dışı Bırakma) saldırılarına karşı nasıl bir eylem planları var? Gibi soruların cevapları net olmalıdır. “Bize kimse saldırmıyor”, “o işe bakan bir ekip var ama başka şehirdeler”, “çok sağlam heykır bir arkadaş var, o koruyor”, “mikrotik (jenerik üretici adı anlamında) var be yeeaaa” gibi cevaplarla karşılaşırsanız bulut teknolojisine geçmek için çok yanlış yerdesiniz, koşar adımlarla uzaklaşmanızda fayda var.

Personel güvenliği

Bulut hizmeti aldığınız veri merkezinin personelinin gerekli güvenlik kontrollerinden geçmiş, “düzgün” tabir edebileceğimiz kişilerden oluşmasında fayda var. Bunu anlamak için bulut hizmeti almayı düşündüğünüz firmanın işe alım prosedürlerini ve referans kontrollerinin yapılıp yapılmadığını sormanın faydası olabilir.

Güvenilir uygulamalar

Bir uygulamayı buluta taşıyacaksanız bütün dünyanın buna erişimi olabileceğini düşünmenizde fayda var. Bu nedenle bulut üzerinde çalıştıracağınız uygulamanın kaynak kod analizin ve güvenlik testlerinin yapılmış olmasında fayda var.

Güvenlik yönetimi: Bulut yapısını kullananlara kendi güvenliklerini sağlamak için gerekli yönetim arayüzlerinin ve hayati gelişmeleri takip edebilecekleri ekranların sunulması önemlidir.

Yetkili erişim

Bulut yapısına ve bulut yapısı üzerinde çalışan sistemlere erişimin sadece yetkili kişilerle sınırlandırılmış olması önemlidir.

Dışarıya bakan arayüzlerin güvenliği

Bulut platformunun internete bağlı olan her noktası için gerekli güvenlik önlemleri alınmalıdır. Örnek olarak web tarayıcısı ile port 80 üzerinden erişenleri ülke bazında sınırlandırdıysak SSH ve RDP bağlantıları için de benzer önlemlerin alınması gereklidir.

Güvenli hizmet verme

Bulut hizmeti aldığınız firmanın düzenli olarak güvenlik testlerini yaptırması ve güvenlik altyapısı konusunda gerekli yatırımları ve iyileştirmeleri yapıyor olması önemlidir.

Kullanım kılavuzunu okuyun 

Hizmet şartlarınızı, sözleşmeyi ve size bulut hizmeti veren firma ile aranızdaki SLA’yi (Service Level Agreement – servis şartlarını düzenleyen anlaşma) dikkatle okuyun. Okurken aklınıza yatmayan veya size uygun olmayan bir şart varsa buna mutlaka açıklık getirin. “Orada öyle yazıyor da biz pek şeyapmıyoruz be yeeaaa” türü açıklamalar yapılır koşarak uzaklaşın.

İhtiyaç duyduğunuz güvenlik seviyesini belirleyin

Buluta taşımak istediğiniz verileri veya sistemlerin ne kadar önemli olduğuna göre ihtiyacınız olan güvenlik seviyesini belirlemelisiniz. “güvende olmalı” gibi genel bir yaklaşımdan ziyade basit bir tablo ile en kritik yönlerini ve tehdit oluşturabilecek zafiyetleri listelemek ve bunları adreslemek gerekir.

Varsayımda bulunmayın

Hizmet aldığınız şirketin hiç bir şey yaptığını varsaymayın, her şeyi sorun ve belgeleyin. 

Bulut konusunda temel görüşüm, buluta taşınan verilerinizin, en az kendi ağınızda olduğu kadar, genellikle de daha güvende olduğudur. Doğru bir firmadan hizmet alırsanız ve sistemlerinizin güvenliğine özen gösterirseniz güvenlik seviyeniz artacaktır.