Hacklendikten sonra yapılacaklar

“İki tür şirket var, hacklenmiş olanlar ve henüz hacklendiklerini bilmeyenler” bu trajikomik söz A.B.D. Senatosu İstihbarat Komitesi Başkanı Senatör Mike Rogers’a ait. Bilgi güvenliği konusunda çalışanların arasında yaygın olan bir görüşün karikatürü gibi görünse de, senatör bir bakıma haklı. Tehdit o kadar büyük ve etrafımızı o kadar sarmış durumda ki, eninde sonunda bir hata yapacağız.

A.B.D.de J.P. Morgan Chase, bizde HSBC bankaları çok iyi korunan ağlara örnek olarak verilebilecek yerlerdir. Olaylara dahil olmasam bile her iki bankanın günümüz teknolojisi ve uygulamalarını ellerinden gelen en iyi şekilde konumlandırdıklarını ve kullandıklarını düşünüyorum.

Buna rağmen bir güvenlik ihlali yaşanıyorsa bu Mike Rogers’ın veya bizdeki karşılığı olan “iki tür sistem vardır, hacklenenler ve hacklenecek olanlar” sözünün haklı olabileceğini göstermektedir.

Arabanıza veya evinize sigorta yaptırmak gibi bir güvenlik ihlalinin yaşanabileceğini kabul etmek ve buna hazırlık yapmak önemlidir. Bir güvenlik ihlali yaşamanız halinde yapılmasında fayda gördüğüm bazı noktaları toparladım.

Resim 1: Hacklenmek kaza yapmak gibidir

Öncesinde

Güvenlik ihlali öncesinde gerekli yatırımlarımızı yapıp, bilgi güvenliği yönetimi süreçlerimizi ve bilgi güvenliği politikalarımızı oluşturmanın yanında aşağıdaki konuları hatırlamakta fayda var. 

Yedekleyin

Verileri düzenli olarak ve sağlıklı bir şekilde yedeklenen kurumsal ağ sayısı ne yazık ki olması gerekenden az. Yedekleme işlemlerine başlamadan önce yedeği alınacak verileri tanımak önemlidir. Her verinin değerinin aynı olmadığı gibi, oluşma hızları ve sıklıkları da farklıdır. Ağ ve sistemlerimiz üzerindeki her veriyi yedeklemek verimsiz ve maliyetli olduğu için yedeği alınacak verileri belirlemek önemlidir. Verilerin değerini anladıktan sonra yapılacak yatırıma uygun bir fayda/maliyet çalışması yapılabilir, bu çalışma yapılmadan yapılacak yatırım cebimizden gereğinden fazla para çıkmasına neden olacaktır. Yedeklenen verinin şifrelenip saklanması ve gerektiğinde geri getirilmesi için izlenecek prosedürlerin de önceden belirlenmiş olması şarttır.

Normal durumu belirleyin

Bir güvenlik ihlalinin yaşandığını anlamak için ağ ve sistemlerinizin “normal” durumunu kayıt altına almış olmanız gerekiyor. Aksi takdirde saldırganları tespit edemeyeceğimiz gibi ağ ve sistemlere sızdıktan sonra ne yaptıklarını anlamamız da mümkün olamaz. Böyle bir “normal” şablonunun olması arıza tespit ve giderme işlerimizi de son derece kolaylaştıracağı için üzerinde durulması gereken bir konudur.

Sigorta yaptırın

Evet, arabanıza yaptırdığınız gibi bilgi güvenliğinizi de kapsayacak bir sigorta yaptırın. Bilgi güvenliği sigortası yaptırmadan önce bu primleri ödemeye değecek verilerinizin olup olmadığına karar vermeniz önemlidir.

Ülkemizde belirli kapsamda bilgi güvenliği sigortaları mevcuttur, bunlar hakkında ayrıntılı bilgi almak için sigorta şirketinizle görüşmenizde fayda var.

Felaket senaryosunu yazın

İsrail Ordusunun “Ifkha Mistabra” birimi 1973 yılında kuruldu ve çoğu akademik kökenli subaylardan oluşmaktadır. Bu birimin adının kabaca tercümesi “tersi doğrudur” veya “aksi görüş geçerlidir” anlamındadır. Bu birimin görevi, ne kadar saçma olursa olsun, genel olarak kabul edilen görüş veya fikrin aksini araştırmaktır. “Dünya Savaşı Z” (World War Z) filminde bu birimin yaptığı işe “Onuncu Adam Kuralı” adıyla atıfta bulunulduğu düşünebilir. Bilgi güvenliği konusu da, tıpkı ulusal güvenlik gibi, varsayımlara ve genel kabul görmüş fikirlere bırakılmayacak kadar önemlidir. Bu nedenle, herşeyin yolunda gideceğini, firewall’ın doğru kurulduğunu, IPS kurallarının güncellendiğini, yedeklerin alındığını varsaymak yerine bir şeyin ters gitmesi senaryosuna da hazır olunmalıdır. Bütün sistemlerimizin duracağı veya elektriklerimizin kesileceği gibi olağanüstü veya felaket durumlarına hazır olmamız gerekiyor. Ters gidebilecek her şeyin bir listesinin oluşturulması, bunların iş süreçlerine etkilerinin araştırılması ve hayati süreçlerimizin devam etmesini sağlayıp verilerimizi korumamızı sağlayacak bir çözümün hayata geçirilmesi gereklidir.

Sonrasında

Bütün önlemlerimize rağmen bir güvenlik ihlali yaşanabilir, bu durumda yapılabilecek bazı şeyler aşağıdadır.

Paniklemeyin

Hacklendiğimizi fark ettiğimizde elimizde olmadan panikleriz. Birilerinin kurumsal ağ ve sistemlerimize sızmış olması fikri içimizde evimize hırsız girmesine benzer duyguların ortaya çıkmasına neden olabilir. Bu doğal bir tepkidir ancak güvenlik ihlalini asgari zararla atlatmak için sakin kalmanız gerekiyor.

Hacklendiğinizden emin olun

Komik gelebilir ama yaşanmamış bir güvenlik ihlali için yersiz telaş yapılan pek çok duruma şahit oldum. Size güvenlik ihlali gibi görünen olay performans sorunu yaşayan bir sunucu, güncellemelerini yapmaya çalışan bir istemci, bir çalışanın yüklediği bir yazılım da olabilir. Hacker bizzat size mail atıp sistemlerinize sızdığı iddia etse bile bu iddiayı araştırıp emin olmanızda fayda var.

Kontrolü sağlayın

Bir güvenlik ihlalinin yaşandığından emin olduktan sonra sisteminizin kontrolünü tekrar ele almanız lazım. Bu noktada yapılacak şey duruma göre değişiklik gösterebilir ve tek bir doğru hamleden söz etmek zordur. Tek bir bilgisayarın ele geçirildiği durumlarda yapılabilecek en basit şey bilgisayarın internet bağlantısını kesmektir. Yalıtma (isolation) olarak da adlandırılan bu yöntem ile saldırganın sisteme erişimi kesilerek durumu daha net anlamak ve sistemi temizlemek için gerekli adımlar atılabilir.

Olay sonrası yapılacaklara karar vermek için en doğru zaman olayın yaşanmasından öncedir. Sistemlere ve karşılaşılabilecek saldırı türüne göre (rootkit, botnet üyeliği, yetkili kullanıcının ele geçirilmesi, vb.) izlenecek yolu önceden belirlemekte fayda var. Müdahalenizin adli bilişim çalışmalarını da olumsuz etkileyebileceğini düşünürsek güvenlik ihlalinden sonra yapacaklarınız çok kritiktir.

Parolaları değiştirin

Hepsini ve hemen. Güvenlik ihlalinin yaşandığı dönemde yeni açılan hesapları da incelemekte fayda vardır. Saldırganların yetkili kullanıcı parolasını ele geçirdikten sonra bunu kullanarak kendi kullanıcılarını oluşturduklarını pek çok olayda gördüm. Sahipsiz, kimin veya hangi sistemin kullandığını bilmediğiniz hesapların da kapatılması önemlidir. Kurumsal ağ üzerinde bir olay yaşanması durumunda personelin kişisel hesaplarının (kişisel eposta, bankacılık, sosyal medya, vs.) da parolalarının değiştirilmesi önemlidir.

Entegre olduğunuz sistemler

Ağınız veya ağınız üzerindeki bazı sistemler başka ağ ve sistemlerle entegre çalışıyor olabilir. BU basit bir e-fatura uygulaması da olabilir, online bir müşteri ilişkileri yönetimi çözümü de. Güvenlik ihlalinden sonra bu bağlantıların da incelenmesi ve gerekiyorsa kapatılması çok önemlidir. Ağınızdaki bütün sistemleri temizledikten sonra da saldırganlar sizi hesabınızı kullanarak işlem yapmaya devam edebilir.

Geride kalanlara dikkat edin

Çoğunlukla hackerlar bir bilgisayarı ele geçirdiklerinde ona tekrar erişebilmesini sağlayacak bir kapı açarlar. Bu kapının kapatılması saldırının tekrarlanmaması veya devam etmemesi için çok önemlidir. Genellikle diski birkaç kez formatlamak ve güncel bir antivirüs ile sistemi taratmak işe yarar. Bazı özel durumlarda ise saldırganların sıradan bir arka kapının ötesinde “stealth drive” (Hayalet Disk) oluşturduklarını gördük. Bu teknik ile saldırgan sistemin diskinin bir bölümünü işletim sisteminden gizler ve ayırır, işletim sistem yine de diskin bu bölümünden gelen talimatları uygular. Bu sayede saldırgan formatlama çabalarınızdan etkilenmeden sisteme dilediği zaman geri gelebilecektir. Kritik sistemlerde veya içinize sinmeyen durumlarda ve ekonomik olarak yapılabilecekse sistemi yenilemeyi de düşünebiliriz.

Zararı anlayın

Şirketinizi internet sayfasında “hacked by Çılqın H@cker. Lamerlere selam hack’e devam” benzeri bir yazının belirmesi ile muhasebe kayıtlarınızın sızdırılması veya silinmesinin etkileri çok farklı olacaktır. Zararın boyutu olaya müdahale yönteminizi ve müdahale sonrası yapılacakları belirleyecektir. Saldırıdan çok önce, bilgi güvenliği yönetimi kapsamında risk değerlendirmesi yapılırken, belli başlı senaryoların maddi ve manevi (itibar kaybı, vb.) zararları ve bu zararların parasal karşılığı belirlenmelidir.

Bilgilendirin

Güvenlik ihlalinden etkilenenleri bilgilendirmeniz gerekmektedir. Bunu sadece “etik olarak yapılması gerektiği” için değil, paydaşlarımızı korumak için yapmalıyız. Kurumsal ağımızda saldırganların tespit edilmesinden sonra personelimize “facebook, twitter, LinkedIn ve online bankacılık parolalarınızı değiştirmenizde fayda var” gibi basit bir duyuru yapmak birlikte çalıştığımız insanları da korumamızı sağlayacaktır. Bu duyuruyu yaparken mümkün olduğunca açık ve net olmakta fayda var. HSBC tarafından olay sonrası yayınlanan duyuru buna iyi bir örnektir; teknik detaylara çok girmeden bir olay yaşandığını ancak bankanın gereken her şeyi yaptığını ve korkulacak bir şey olmadığı mesajını iyi bir şekilde verdiler.

Nedeni bulun

Saldırganların nereden ve hangi tekniği kullanarak sızdıklarını anlamak bu açığımızı kapatmanın tek yoludur. Siber uzayda size kimin saldırdığını anlamak çoğu zaman zor olsa da siyasi veya diğer bir mesaj veya amaç uğruna saldırıya uğradıysanız bunu anlamakta fayda var. Yeni başladığınız bir inşaata tepki olarak çevreci bir hacker grubunun saldırısına uğradıysanız, çevre gruplarının hassasiyetini tetikleyebilecek gelişmelerin olduğu günlerde biraz daha dikkatli olmanızda fayda olacaktır.

Ders çıkartın

Siber saldırının başarılı olmasına neden olan açıklar ve eksikliklerin giderilmesi çok önemlidir. Saldırının bir daha tekrarlanmayacak, münferit bir olay değerlendirilmesi doğru değildir. Tekrar yaşanmaması için gerekli derslerin çıkartılması ve iyileştirmelerin yapılması gereklidir.

Ağ Güvenliği Kontrol Listesi

Belirli bir plan dahilinde ele alınmazsa ağ güvenliğini sağlamak çok karmaşık bir iş gibi görünebilir. Bütçe eksikleri, personel yetersizliği, üst yönetiminin ilgisizliği gibi konular bilişim ve bilgi güvenliği alanında çalışanlar için yorucu olabilir.
Ağ ve bilgi güvenliği konusunda ilk aşamada bakılması gerekenleri toparlamanın faydasının olabileceğine inanıyorum.

Ağ güvenliği
Ağ güvenliğinin sağlanması için aşağıdaki konularda somut olarak ne yapıldığının ve ne yapılması gerektiğinin ortaya konulması gerekir.

Kullanım politikaları: Ağ üzerinde izin verilen ve verilmeyen davranışların ve trafik türlerinin belirlenmesi gerekir. Örneğin Skype benzeri anlık mesajlaşma uygulamalarına izin verilip Torrent trafiği yasak olabilir. Buna ihtiyaçlarınıza olarak karar vermeniz gerekiyor.
Eposta ve iletişim faaliyetleri: eposta eklerinin oluşturduğu tehditlerin ele alınması gerekiyor.
Antivirüs politikası: Zararlı yazılımların oluşturduğu tehditlere karşı
Erişim politikaları: Ağ kaynaklarına kimin ve nasıl erişebileceğinin belirlenmesi
Parola kuralları: Kullanıcıların güçlü parola seçmesive kurum genelinde parolaların ne sıklıkla değiştirilmesi gerektiği
Şifreleme kuralları: Ağ üzerindeki verinin ve veri trafiğinin hangi durumlarda ve nasıl şifrelenmesi gerektiği
Uzaktan erişim kuralları: Kurumsal ağ dışından kurum kaynaklarına kimlerin nasıl ulaşacağının belirlenmesi

Ağ güvenliği sağlamak için aşağıdaki güvenlik önlemlerine ihtiyacınız var. Bunlar en temel ve "olmazsa olmaz" cihazlardır.
Güvenlik duvarı (firewall): Ağınıza izinsiz erişimleri engellemek için
Sızma tespit ve engelleme sistemi (IPS/IDS): Ağınıza sızma girişimlerini tespit edip engellemek için
Kablosuz ağ güvenliği: Kablosuz ağınıza kimlerin nasıl bağlanabileceğini denetlemek için

Ağ güvenliği için yapılması gerekenler
Ağ üzerindeki cihazların envanterini çıkartmak: Ağ üzerinde hangi cihazların olduğu, bunların fiziksel olarak bulundukları yer gibi bilgilerin listelenmesi önemlidir
Standart konfigürasyon: Ağ üzerindeki cihazların türlerine göre hazırlanmış standart konfigürasyonları olmalıdır. İlk aşamada zor gibi görünse de yönetim kolaylığı ve bütünlük açısından önemlidir.
Yönetim arabirimleri: Statik IP belirlenmeli ve mümkün olan en güvenli bağlantı yöntemi kullanılmalıdır. Telnet ve benzeri, kullanmadığınız diğer bağlantı yöntemlerini devre dışı bıraktığınızdan emin olun.
SNMP: SNMP kullanıyorsanız fabrika çıkışı ayarlarını mutlaka değiştirin, kullanmıyorsanız SNMP bağlantısını kapatın
Yedekleme: Cihaz konfigürasyon dosyalarını düzenli olarak yedekleyin.
Yazılım: Cihazlarınızın yazılımı olduğunu unutmamak ve yazılımları düzenli olarak güncellemek çok önemlidir.
VLAN: Sunucu, istemci yedek alma ve benzeri gruplara göre trafik türlerini ayırmak için VLAN ayrımı yapılmalıdır
Kullanılmayan portlar: Cihazlar üzerinde kullanılmayan portların aktif olmadığından emin olun. Ağ üzerinde hub benzeri cihazların kullanımını sınırlandırın.

İstemci ve Sunucu güvenliği

Envanter: Ağınızdaki istemcilerin ve sunucuların envanterinin çıkartılması, hangi bilgisayarın nerede, hangi işletim sistemiyle ve kimin tarafından kullanıldığını listeleyin.
Ağ ayarları: İstemcilerin ve sunucuların hangi ağlara, hangi VLAN'lara ve nasıl bağlanacağının belli olması önemlidir.
Yama yönetimi: Yazılım üreticileri tarafından yayınlanan güncellemelerin ve yamaların düzenli olarak yüklenmesi çok önemlidir.
Antivirüs: Hem istemcileri hem de sunucular üzerinde antivirüs kullanılması çok önemlidir.
Host-based IPS: Antivirüs üreticilerinin bir kısmı istemci seviyesinde sızma tespit ve engelleme sistemini antivirüs çözümlerine entegre etmiştir. Bunlardan faydalanabileceğiniz gibi başka yöntemlerle de istemcilerin ve sunucuların gerekmedikçe kendi aralarında iletişim kurmasını sınırlandırmalısınız.
Admin kullanıcısı: Sızma testleri sırasında "büyük ikramiye" olarak görebileceğimiz ve ağ genelinde bütün (veya birçok) makinede geçerli olabilecek bir admin kullanıcısı kullanmayın. Her istemci ve sunucu için farklı bir admin kullanıcısı ve parolası oluşturun. İdeal olarak hiç bir kullanıcı kendi makinesinde admin yetkili kullanıcı hesabı kullanmamalıdır.
Yedekleyin: Düzenli olarak yedekleyin

Ağ Güvenliği Kontrol listeleri
Aşağıdaki listeleri doldurarak mevcut durumunuzu ve iyileştirmeniz gerekenleri ortaya çıkartabilirsiniz.

Konu	Evet	Hayır
Politika ve Kurallar
Bilişim kaynakları kullanım politikaları belli mi?
Ağ kaynakları kullanım politikaları belli mi?
Eposta ve iletişim faaliyetleri denetleniyor mu?
Antivirüs kullanılıyor mu?
Erişim politikaları ve uralları belli mi?
Parola kuralları belli ve uygulanıyor mu?
Şifreleme kuralları belli ve uygulanıyor mu?
Uzaktan erişim kuralları belli ve uygulanıyor mu?
Güvenlik Cihazları	Var	Yok
Güvenlik duvarı (firewall) var mı?
Sızma tespit ve engelleme sistemi (IPS/IDS) var mı?
Kablosuz ağ güvenliğini sağlıyor muyum?
Antivirüs her tüm sunucu ve istemcilerde yüklü mü?
Ağ Güvenliği	Evet	Hayır
Ağ üzerindeki cihazların envanteri var mı?
Ağ cihazlarının nerede olduğunu biliyor muyum?
Standart konfigürasyon belli mi?
Yönetim arabirimleri denetleniyor mu?
SNMP Kullanıyor muyum? Kullanımyorsan devre dışı mı?
Düzenli olarak konfigürasyon yedeği alıyor muyum?
Cihaz yazılımlarını (Firmware) güncelliyor muyum?
VLAN ayrımı var mı? Anlamlı mı?
Ağ cihazları üzerinde kullanılmayan portlar kapalı mı?
İstemci ve Sunucu güvenliği	Evet	Hayır
İstemci ve sunucuların envanteri var mı?
İstemci ve sunular üzerindeki işletim sistemlerini biliyor muyum?
Ağ ayarları belli ve standart mı?
Yama ve güncellemeleri düzenli olarak yüklüyor muyum?
Bütüm istemci ve sunucularda antivirüs var mı?
Host-based IPS kullanıyor muyum?
Sunucu ve istemciler arasındaki trafiği denetliyor muyum?
Admin kullanıcısı sistem kullanıcısından farklı mı?
Farklı admin kullanıcı ve parolaları kullanıyor muyum?
Düzenli olarak yedek alıyor muyum?

Bulut Teknolojisi: Dost mu? Düşman mı?

Ne zaman “bulut teknolojisi” kelimelerini cümle içerisinde kursam karşımdakilerin önemli bir kısmından verileri veya uygulamaları buluta taşımanın ne kadar güvensiz olduğu konusunda uzunca bir nutuk dinliyorum.

Resim 1: Dost ve düşman bulutlar (temsili ve evet bunları çizmeyi seviyorum)

Bulut teknolojisinin diğer teknolojilerden ne daha güvenli ne de daha güvensiz olduğunu düşündüğüm için hem mevcut tehditleri sıralamak hem de bazı güvenlik önerilerinde bulunmak istiyorum.

Tehlikeyi anlamak

Başkaların verilerinize ulaşabilir, değiştirebilir veya silebilir

Söz konusu verilerimizi ve sistemlerimizi buluta taşımak olduğunda kuşkusuz en büyük korkumuz verilerimizin başkasının eline geçmesidir. Yaşanan büyük güvenlik ihlalleri (target, iCloud, vb.) etrafında yaşanan tartışmaların ateşi henüz geçmedi. Bulut üzerinde bulunan verilerin platform, başka kullanıcıların hataları veya yanlış kurulumlar nedeniyle erişilebilir hale gelmesi ne yazık ki mümkündür.

Verilere erişebilen saldırganların bunları silmesi veya duruma göre değiştirmesi de mümkün olabilir.

Hesabınızı ele geçirebilirler

Oltalama (phishing) benzeri sosyal mühendislik saldırıları veya güvensiz bir ağ üzerinden bağlanmanız durumunda; doğrudan ağ üzerindeki iletişiminizi yakalayarak, buluttaki verilere veya sistemlere ulaşmak için kullandığınız bilgiler (kullanıcı adı ve parola) elde edilebilir. Bu durumda saldırganlar aynı bilgileri kullanarak sistemlerinize erişim kazanmış olur.

Güvensiz API’ler

API’ler (Application Programming Interface – Uygulama Programlama Arayüzü) buluttaki sistemlerinizi yerel ağdaki sistemlerle veya buluttaki başka sistemlere entegre etmek için çok kullanışlıdır. Ancak zayıf bir API, buluttaki sistemlerinizin kapısını saldırganlara açabilir. Bunun en “güzel” örneklerinden birisi iCloud hadisesidir.

Hizmet dışı bırakma

Önemli iş süreçlerini buluta taşıdıktan sonra başımıza gelebilecek en kötü şeylerden birisi de bu sistemlere erişememektir. Yeterince önlem alınmazsa hizmet dışı bırakma saldırısı (DoS/DDoS – Denial of Service/Distributed Denial of Service) karşısında elimiz kolumuz bağlı oturmaktan başka çaremiz kalmaz.

Yetersiz hazırlık

Buluta taşınacak sistemlerin doğru analiz edilmesi ve uygun bulut mimarisinin seçilmesi sadece performansı değil, aynı zamanda buluttaki verilerin ve sistemlerin güvenliğini de doğrudan etkiler. Bulutta alınacak güvenlik tedbirlerinin yerel ağ üzerindekilerden farklı olduğunun, sunucu ve veri tabanı mimarilerinin de farklılık gösterebileceğinin anlaşılması gerekiyor.

Yukarıda saydıklarımın dışında içeriden birinin bilgi sızdırması, yetersiz şifreleme teknolojileri, basit parola kullanımı gibi genel geçer güvenlik zafiyetlerinin de bulutta mevcut olduğunu hatırlatmakta fayda görüyorum.

Güvenlik için Önlem Almak

Verilerinizin ve sistemlerinizin bulutta güvende olmasını sağlamak için bulut hizmetini aldığınız yerin de üzerine düşen şeyler var. Bu listedekileri teyit ederek doğru bir şirketten bulut hizmeti aldığınızı kontrol edebilirsiniz.

Hareket halindeki verinin korunması

Veri bir yerden başka bir yere transfer edilirken gerekli şifreleme ve kimlik doğrulama önlemleri alınmalıdır. Veri transferi sırasında üçüncü kişilerce verinin değiştirilmesi veya okunmasının önüne geçilmelidir.

Fiziksel güvenlik

Verilerin tutulduğu platformların fiziksel güvenliği sağlanmalıdır. Sunucuların veya bulut platformunun çalınması, zarar görmesi veya değiştirilmesi bilgi güvenliği ihlaliyle sonuçlanabilir.

Kullanıcıların ayrılması 

Saldırganların aynı bulut yapısını kullanan başka bir kullanıcıya sızmaları veya aynı bulut yapısı üzerinde kendilerine kullanıcı açması halinde bu hesaptan sizin verilerinize ulaşamamaları gerekir.

Bilgi güvenliği yönetimi 

Bulut hizmeti alacağınız firmanın bu yapıyı nasıl yönettiğinin ve gerekli bilgi güvenliği yönetimi süreçlerinin var olduğundan emin olunmalıdır.

Güvenlik süreçleri

Bulut hizmetini aldığınız firmanın bilgi güvenliğine ilişkin süreçleri de oturmuş olmalıdır. Örneğin sızma girişimlerini nasıl yönetiyorlar? DDoS (Dağıtık Hizmet Dışı Bırakma) saldırılarına karşı nasıl bir eylem planları var? Gibi soruların cevapları net olmalıdır. “Bize kimse saldırmıyor”, “o işe bakan bir ekip var ama başka şehirdeler”, “çok sağlam heykır bir arkadaş var, o koruyor”, “mikrotik (jenerik üretici adı anlamında) var be yeeaaa” gibi cevaplarla karşılaşırsanız bulut teknolojisine geçmek için çok yanlış yerdesiniz, koşar adımlarla uzaklaşmanızda fayda var.

Personel güvenliği

Bulut hizmeti aldığınız veri merkezinin personelinin gerekli güvenlik kontrollerinden geçmiş, “düzgün” tabir edebileceğimiz kişilerden oluşmasında fayda var. Bunu anlamak için bulut hizmeti almayı düşündüğünüz firmanın işe alım prosedürlerini ve referans kontrollerinin yapılıp yapılmadığını sormanın faydası olabilir.

Güvenilir uygulamalar

Bir uygulamayı buluta taşıyacaksanız bütün dünyanın buna erişimi olabileceğini düşünmenizde fayda var. Bu nedenle bulut üzerinde çalıştıracağınız uygulamanın kaynak kod analizin ve güvenlik testlerinin yapılmış olmasında fayda var.

Güvenlik yönetimi: Bulut yapısını kullananlara kendi güvenliklerini sağlamak için gerekli yönetim arayüzlerinin ve hayati gelişmeleri takip edebilecekleri ekranların sunulması önemlidir.

Yetkili erişim

Bulut yapısına ve bulut yapısı üzerinde çalışan sistemlere erişimin sadece yetkili kişilerle sınırlandırılmış olması önemlidir.

Dışarıya bakan arayüzlerin güvenliği

Bulut platformunun internete bağlı olan her noktası için gerekli güvenlik önlemleri alınmalıdır. Örnek olarak web tarayıcısı ile port 80 üzerinden erişenleri ülke bazında sınırlandırdıysak SSH ve RDP bağlantıları için de benzer önlemlerin alınması gereklidir.

Güvenli hizmet verme

Bulut hizmeti aldığınız firmanın düzenli olarak güvenlik testlerini yaptırması ve güvenlik altyapısı konusunda gerekli yatırımları ve iyileştirmeleri yapıyor olması önemlidir.

Kullanım kılavuzunu okuyun 

Hizmet şartlarınızı, sözleşmeyi ve size bulut hizmeti veren firma ile aranızdaki SLA’yi (Service Level Agreement – servis şartlarını düzenleyen anlaşma) dikkatle okuyun. Okurken aklınıza yatmayan veya size uygun olmayan bir şart varsa buna mutlaka açıklık getirin. “Orada öyle yazıyor da biz pek şeyapmıyoruz be yeeaaa” türü açıklamalar yapılır koşarak uzaklaşın.

İhtiyaç duyduğunuz güvenlik seviyesini belirleyin

Buluta taşımak istediğiniz verileri veya sistemlerin ne kadar önemli olduğuna göre ihtiyacınız olan güvenlik seviyesini belirlemelisiniz. “güvende olmalı” gibi genel bir yaklaşımdan ziyade basit bir tablo ile en kritik yönlerini ve tehdit oluşturabilecek zafiyetleri listelemek ve bunları adreslemek gerekir.

Varsayımda bulunmayın

Hizmet aldığınız şirketin hiç bir şey yaptığını varsaymayın, her şeyi sorun ve belgeleyin. 

Bulut konusunda temel görüşüm, buluta taşınan verilerinizin, en az kendi ağınızda olduğu kadar, genellikle de daha güvende olduğudur. Doğru bir firmadan hizmet alırsanız ve sistemlerinizin güvenliğine özen gösterirseniz güvenlik seviyeniz artacaktır.

CEO'nun Siber Güvenlik Rehberi

“Siber güvenlik” veya daha genel olarak kabul görmüş ismiyle “bilgi güvenliği” konuları her geçen gün kurumsal yapının daha üst basamaklarında ele alınıyor. İş hayatına ilk başladığımda “bilgisayarcı çocuk” tarafından ele alınan konu artık müdür, direktör ve hatta genel müdür seviyesinde ele alınmaya başlandı. Bilgi Güvenliği konusunda çalışmayan ama bütçe veya satınalma onayı gibi nedenlerle bu konuda karar vermek zorunda kalan; CEO, CXO, Genel Müdür, Satınalma Müdürü, Finans Müdürü, Mali Müşavir, Danışman ve benzeri görevleri üstlenenlerin bu konuda daha doğru ve etkin kararlar vermelerini sağlayacak bazı basit soruları toparlamak istedim.

Yönetici (temsili)

Konunun Bilgi İşlem birimlerinin ötesine ve/veya üstüne taşınmasının başlıca nedenleri arasında aşağıdakileri sayabiliriz;

• Kanuni zorunluluklar: 5651 sayılı kanun gibi kanunların veya  çeşitli yönetmeliklerin kurumsal bilgileri koruma zorunluluğu getirmesi.
• Değişen iş süreçleri: Internet’e ve bilgi teknolojilerine daha bağlı hale gelen iş süreçleri bilgi güvenliği ihlallerinin iş, para veya itibar kaybına neden olması şirketlerin üst yönetimlerinin konuya daha fazla ilgi göstermesine neden olmuştur.
• Artan bilinç düzeyi: Bilgi güvenliği konusunda yaşanan ihlallerin ve konunun bir şirket için hayati önem taşıdığının basında ve çeşitli etkinliklerde dile getirilmesi kurumsal yapının her basamağında belli bir farkındalık düzeyi oluşmasını sağlamıştır.

Bilgi güvenliğinin teknik/teknolojik bir konu olmadığını elimden geldiğince her fırsatta vurgulamaya çalışıyorum. Bilgi güvenliği konusu aslında bir risk yönetimi konusudur ve bu nedenle konuşmaların ve kararların sadece teknik bir bakış açısı ile ele alınması çok doğru olmayacaktır. Bilgi güvenliği konusunda doğru adımların atılması ve yatırımların yapılmasını sağlamak amacıyla konuya Üst Yönetim bakış açısıyla yaklaşmanın faydası olacaktır.

Bilgi güvenliği yatırımlarının etkili olması, yapılan yatırımın tam karşılığının alınabilmesi ve şirket veya kurum için hayati önem taşıyan bu konuda atılan adımların somut olarak ne anlama geldiğinin Üst Yönetim tarafından anlaşılması çok önemlidir.

Bu işlere “Bilgisayarcı Çocuk” bakmıyor mu?

Maalesef, Bilgi Güvenliği bir risk yönetimi faaliyetidir ve şirket risklerinin sahiplerinin sorumluluğuna girmiştir. Şirket risklerinin sahipleri; Genel Müdürler, CEO’lar, Finans müdürleri veya İdareciler gibi şirketin veya kurumun doğru çalışmasını, zarara uğramaması ve daha ileriye gitmesi için çalışan kişilerdir.

Teknik birimlerle Yöneticilerin Bilgi Güvenliği konusunda karar vermek için yaptıkları toplantılarda teknik olmayan idarecilerin elinin altında bulunmasında fayda gördüğüm bazı soruları aşağıda toparladım. Bir karar toplantısında veya ilk fırsatını bulduğunuzda teknik birimdeki arkadaşlarınızla bu soruların etrafında bir görüşme yapmak kurumsal Bilgi Güvenliği düzeyinizi anlamak ve iyileştirmek için faydalı olacaktır.

Siber hırsızlık ve Casusluk Zafiyet Kontrol Soruları

• Korumamız gereken veya yarın sabah gazete manşetlerinde görmekten hoşlanmayacağımız ticari sır, bilgi, yazışma, plan, proje ve/veya patentlerimiz var mı?
• Ticari sırlarımıza, bilgilerimize, yazışmalarımıza, planlarımıza, projelerimize ve/veya patentlerimize erişmek isteyebilecek rakipler veya başkaları var mı?
• Ticari sır, bilgi, yazışma, plan, proje ve/veya patentlerimiz bilgisayar ortamında tutuluyor mu?
• Bilgisayarlarınız veya bilgisayar ağınız internete bağlı mı?
• Bilgisayarlarınızda USB girişi, ağ kablosu girişi veya CD/DVD yazıcı var mı?
• Önemli bilgilerimizin, dosyalarımızın ve yazışmalarımızın yedeklerini düzenli olarak alıyor muyuz?

Bu soruların yanıtları kurumsal ağınızın saldırganlar açısından ne kadar “iştah açıcı” olduğunu ortaya koymaktadır. Bunlardan en az 2 tanesine “evet” yanıtı verdiyseniz Yönetim olarak Bilgi Güvenliği konularına dahil olmanız gerekmektedir.

Teknik Riskler ve Zafiyetler Kontrol Soruları

Bu soruların yanıtları kurumsal ağınızın ne kadar “hacklenebilir” olduğu konusunda bir fikri verecektir.

• Daha önce bilgi güvenliği konusunda bir ihlal yaşandı mı?
  Önceki güvenlik ihlaline neden olan açık hala kapatılmamış olabilir. İstatistiksel olarak daha önce saldırıya uğramış bir şirketin tekrar saldırıya uğrama ihtimali çok yüksektir.
• Bilgisayarlarınızda veya bilgisayar ağınızda zararlı yazılım tespit edildi mi? (virüs, Truva atı, ransomware, vs.)
  Zararlı yazılımlar geride arka kapılar veya kendilerini bile bırakabilirler. Bu nedenle daha önce zararlı yazılım bulaşmış bir ağın ve sistemlerin çok dikkatlice incelenmesi ve temizlenmesi gerekir. 
• Ağınızı açık portları ve zafiyetleri tespit etmek için dışarıdan tarayanlar var mı?
  Web uzantınız .gov.tr ise günde birkaç bin kez, .com.tr ise günde birkaç yüz kez  taranıyorsunuz. Bilgi İşlem ekibinin bunun farkında olması ve ağ üzerinde gerekli tedbirleri alması önemlidir.
• Kullandığınız yazılımların ve sistemlerin daha güncel sürümleri veya bu yazılımlar için yayınlanmış yamalar var mı?
  Güncel sürümler güvenlik açıklarını kapattığı için çok önemlidir. Kullandığınız yazılımların bir envanterini çıkartmak ve bunları üreticilerin web sayfalarındaki son sürümlerle karşılaştırmak sistemlerinizin güncel olup olmadığını anlamınızı sağlar.
• Personeliniz iş için laptop, tablet, akıllı telefon benzeri taşınabilir cihazlar kullanıyor mu?
  Mobil cihazların güvenliğini sağlamak için alınması gereken önlemlerin alındığından emin olmak gerekiyor. Cihazlar çalınabilir, güvenli olmayan bir ağ üzerinden şirket bilgilerine ulaşabilir ki, bu durumda ,aynı ağa bağlı herhangi biri de aynı bilgileri görebilir.
• Ağ ve bilgiye ulaşmak için sadece parola (kullanıcı adı ve şifre olarak da bilinir) kontrolü mü yapıyorsunuz?
  Sadece parolaya güvenmek parolanın ele geçirilmesi durumda tamamen korumasız kalmanıza neden olur.
• Ağınızın ve bilgisayar sistemlerinizi düzenli olarak bilinen zafiyetlere karşı tarıyor musunuz?Bu taramaları yapmak bilinen ve saldırganlar tarafından yaygın olarak istismar edilmeye çalışılan güvenlik zafiyetlerini tespit etmenizi ve gerekli önlemleri almanızı sağlar.
• Ağınıza veya ağınızdaki sistemlere uzaktan erişim (RDP, SSH, Web arayüzü, API, vs.) sağlıyor musunuz?
  Uzaktan erişim sağlayan cihaza (masaüstü bilgisayar, laptop, tablet veya akıllı telefon) zararlı yazılım bulaşmış olabilir veya güvensiz bir bağlantı üzerinden bağlanıyor olabilir. Bu durumların dışında da uzaktan erişim vererek kurumsal ağınızı dış dünyaya açtığınızı bilmeli ve gerekli tedbirleri almalısınız.  

 Yukarıdaki sorular içerisinde “evet” yanıtı verdikleriniz ele alınması gereken güvenlik tehditlerine işaret etmektedir.

 Bu konulardan yola çıkarak bir çerçeve oluşturmak ve kurumsal ağınızın ve bilgilerinizin güvenliğini arttırmak için önemli adımlar atmanızı sağlayacaktır.