Güvenlik Çözümlerine Giriş
Büyük bir kurum veya küçük işletme içindeki dijital cihazları ve ağları korumak için birçok ürün ve teknoloji kullanılmaktadır. Saldırganlara karşı güvenliği sağlamak ve güvenlik ihlallerini tespit etmek için tek bir yöntem veya ürün yeterli değildir. Güvenlik birçok ürün ve teknolojiyle sağlanabilir. SOC analistleri ve siber güvenlik departman yöneticileri, siber güvenliğin sağlanmasında etkili ve gerekli olan insan kaynaklarıdır. Siber güvenliği insan kaynakları dışında veya insan kaynakları ile birlikte sağlayan unsur ise siber güvenlik ürünleridir. Kurumsal güvenlik ihlallerini tespit etmek ve önlemek için birçok farklı görevi olan siber güvenlik ürünleri bulunmaktadır.
Saldırı Tespit Sistemi (IDS) / Intrusion Detection System
IDS nedir?
İzinsiz Giriş Tespit Sistemi (IDS), bir ağı veya ana bilgisayarı izleyerek güvenlik ihlallerini ve saldırıları tespit etmek için kullanılan donanım veya yazılımdır.
Kimlik Türleri
Birçok farklı türde IDS ürünü vardır:
Ağ Saldırı Tespit Sistemi (NIDS)
Ağ Saldırı Tespit Sistemi (NIDS), ağdaki tüm trafiğin üzerinden geçirilerek saldırgan davranışına uygun trafik olup olmadığını tespit etmek için kullanılır. Trafikte anormal bir davranış gözlemlendiğinde uyarı oluşturularak yöneticiye bilgi verilebilir.
Sunucu Saldırı Tespit Sistemi (HIDS)
Ana Bilgisayar Saldırı Tespit Sistemi (HIDS), ağdaki belirli bir ana bilgisayar üzerinde çalışır. Bu cihaza gelen tüm ağ paketlerini ve bu cihazdan giden tüm ağ paketlerini inceleyerek kötü amaçlı etkinlikleri tespit etmeye çalışır. Tespit edilen kötü niyetli davranışlar yöneticiye uyarı olarak raporlanır.
Protokol Tabanlı Saldırı Tespit Sistemi (PIDS)
Protokol Tabanlı Saldırı Tespit Sistemi (PIDS), bir sunucu ile istemci arasındaki trafiği protokole özgü bir şekilde inceleyen bir IDS türüdür.
Uygulama Protokolü Tabanlı Saldırı Tespit Sistemi (APIDS)
Uygulama Protokolü Tabanlı Saldırı Tespit Sistemi (APIDS), uygulamaya özel protokollerdeki iletişimi izleyerek güvenlik ihlallerini tespit etmeye çalışan bir IDS türüdür.
Hibrit Saldırı Tespit Sistemi
Hibrit Saldırı Tespit Sistemi, iki veya daha fazla ihlal tespit yaklaşımının bir arada kullanıldığı bir IDS türüdür.
IDS’in İşlevleri
- IDS ürününün kullandığı tespit yöntemlerine göre güvenlik ihlallerinin tespit edilmesi IDS ürününün ana görevidir.
- IDS bir güvenlik ihlali tespit ettiğinde yöneticiye bilgi verilir ve/veya bu bilgi SIEM ürününe gönderilir.
IDS’in Güvenlik Açısından Önemi
IDS, kötü niyetli davranışları tespit etmek için geliştirilmiş bir üründür. IDS olmayan bir ağda güvenliğin eksik olduğu söylenebilir. Çünkü IDS belli bir teknolojik olgunluğa ulaşmış ürünlerden biri. Görevi gereği güvenlik ihlallerinin tespit edilmesi oldukça önemlidir. Tek başına kullanılması yerine diğer güvenlik ürünleriyle birlikte kullanılması tavsiye edilir. IDS ürününün aksiyon alma özelliği bulunmadığından ek aksiyon alma özelliği olan bir güvenlik ürünü ile kullanılması daha etkili olacaktır.
Siber güvenlik sektöründe kullanılan bazı popüler IDS ürünleri şunlardır:
- Zeek/Bro
- Snort
- Suricata
- Fail2Ban
- OSSEC
IDS hangi günlük kaynaklarına sahiptir?
IDS, çalışması sırasında önceden belirlenmiş kurallara göre güvenlik ihlallerini tespit eder. Bu nedenle yazılı kuralın saldırıyı ne kadar tanımladığı çok önemlidir. Yazılı kural saldırıyı tespit edemiyorsa veya normal davranışı anormallik olarak tespit ediyorsa, kural değiştirilmeli veya gelen uyarılar analist tarafından gözden geçirilmelidir. Analistin incelediği IDS logları arasında ağ paketlerinde güvenlik ihlaline ilişkin bilgiler yer alıyor.
IDS Cihazının Fiziksel Konumu
IDS cihazının ağdaki konumu, hangi IDS türüne bağlı olarak değişiklik gösterebilir. Örneğin NIDS tipi bir cihazın ağa gelen tüm paketleri üzerinden geçirmesi gerekir. Bu nedenle dış ağa erişimi sağlayan ağ cihazlarının yakınına konumlandırılması daha uygundur. HIDS tipi bir cihaz ise yalnızca belirli bir ana bilgisayara gelen ve ayrılan ağ paketlerini incelediği için ağdaki ana bilgisayara yakın konumlandırılmalıdır.
(Resim Kaynağı: https://www.comodo.com/ids-in-security.php )
İzinsiz Giriş Önleme Sistemi (IPS) / Intrusion Prevention System (IPS)
IPS nedir?
İzinsiz Giriş Önleme Sistemi (IPS), bir ağı veya ana bilgisayarı izleyerek güvenlik ihlallerini tespit eden ve gerekli önlemleri alarak güvenlik ihlallerini önleyen donanım veya yazılımdır.
IPS Türleri
Birçok farklı türde IPS ürünü vardır:
Ağ Tabanlı Saldırı Önleme Sistemi (NIPS)
Ağ tabanlı saldırı önleme sistemi (NIPS), içinde bulunduğu ağa gelen tüm trafiği izleyerek güvenlik ihlallerini tespit eden ve güvenlik ihlallerini ortadan kaldıran bir IPS türüdür.
Ana Bilgisayar Tabanlı Saldırı Önleme Sistemi (HIPS)
Ana bilgisayar tabanlı izinsiz giriş önleme sistemi (HIPS), bir ana bilgisayarın şüpheli etkinliklerini izleyen ve analiz eden bir yazılımdır.
Ağ Davranış Analizi (NBA)
Ağ Davranış Analizi (NBA), ağdaki olağandışı trafik akışlarını ve Hizmet Reddi (DoS) saldırılarını algılayan ve engelleyen bir IPS türüdür.
Kablosuz İzinsiz Giriş Önleme Sistemi (WIPS)
Kablosuz İzinsiz Giriş Önleme Sistemi (WIPS), bir ağdaki kablosuz cihazların kablosuz ağ protokolü trafiğini izleyen ve analiz eden bir IPS türüdür.
IPS’nin İşlevleri
- IPS, güvenlik ihlallerini tespit ederek kötü niyetli davranışları önlemekle sorumludur.
- İzleme sırasında karşılaşılan güvenlik ihlalini ilgili yetkililere uyarı olarak bildirir.
IPS’nin Güvenlik Açısından Önemi
IPS bir kuruluşta bulunması gereken önemli bir güvenlik ürünüdür. Tespit ettiği güvenlik ihlaline karşı aksiyon alabilme yeteneğine sahip olması, güvenliğin sağlanmasına büyük katkı sağlıyor. Her güvenlik çözümünde olduğu gibi, doğru şekilde kullanılması ve yapılandırılması gerekir. Personel tarafından sürekli kontrol edilmeden montajının yapılması ve çalışmaya bırakılması tavsiye edilmez. IPS ürününün çalışıp çalışmadığı, doğru aksiyon alıp almadığı siber güvenlik personeli tarafından takip edilmelidir.
Siber güvenlik sektöründe kullanılan bazı popüler IPS ürünleri şunlardır:
- Cisco NGIPS
- Suricata
- Fidelis
IPS hangi günlük kaynaklarına sahiptir?
IPS cihazı, IDS cihazına benzer günlük içeriğine sahiptir. Görevleri açısından IDS ve IPS bir noktada benzer özelliklere sahiptir. IPS loglarına eklenebilecek bilgilerden bazıları şunlardır:
- Date/Time Information
- Message About the Attack
- Source IP Address
- Source Port
- Destination IP Address
- Destination Port
- Action Information
- Device Name
IPS Cihazının Fiziksel Konumu
IPS cihazının ağdaki konumu, hangi IPS türüne bağlı olarak değişiklik gösterebilir. Genel anlamda görevi gereği ağda bulunması gereken noktaya yerleştirilmesi gerekmektedir.
(Resim Kaynağı: https://study-ccna.com/firewalls-ids-ips-explanation-comparison/ )
Güvenlik duvarı
Güvenlik Duvarı Nedir?
Güvenlik duvarı, içerdiği kurallara göre gelen ve giden ağ trafiğini izleyen ve kuralın niteliğine göre ağ paketlerinin geçişine izin veren veya paketlerin geçişini engelleyen bir güvenlik yazılımı veya donanımıdır.
Güvenlik Duvarı Türleri
Bir güvenlik duvarı özelliklerine göre birçok farklı türe ayrılır:
Uygulama Düzeyinde Ağ Geçitleri (Proxy Güvenlik Duvarları) / Application-Level Gateways (Proxy Firewalls)
Uygulama Düzeyi Ağ Geçitleri (Proxy Güvenlik Duvarları), iki uç sistem arasındaki uygulama katmanında çalışan bir tür güvenlik duvarıdır. Temel güvenlik duvarlarından farklı olarak uygulama katmanındaki paketleri OSI modeline göre yakalar ve analiz eder. Bu sayede uygulama katmanında ek bir güvenlik önlemi olarak çalışmaktadır.
Devre Seviyesi Ağ Geçitleri / Circuit-Level Gateways
Devre Seviyesi Ağ Geçitleri, kolayca yapılandırılabilen, kaynak tüketimi düşük, basitleştirilmiş yapıya sahip bir güvenlik duvarı türüdür. Bu tür güvenlik duvarları TCP bağlantılarını ve oturumlarını doğrular ve OSI modelinin oturum katmanında çalışır.
Bulut Güvenlik Duvarları / Cloud Firewalls
Bulut Güvenlik Duvarları, kurumun bulut üzerinden hizmet olarak güvenlik duvarı hizmeti alması durumunda kullanılan güvenlik duvarı türüdür. Diğer adı ise “FWaaS” (hizmet olarak güvenlik duvarı). Bulut güvenlik duvarı kullanmanın bazı avantajları vardır. Örneğin, bulut güvenlik duvarlarının fiziksel kaynakları yoktur, dolayısıyla talebe veya trafik yüküne göre kolayca yeniden yapılandırılabilirler. Artan trafiği karşılamak için ek kapasite eklenebilir.
Uç Nokta Güvenlik Duvarları / Endpoint Firewalls
Uç Nokta Güvenlik Duvarları, cihazlara yüklenen bir tür ana bilgisayar tabanlı güvenlik duvarıdır. Genellikle yönetilmesi zor olan bir güvenlik duvarı türüdür. Güvenliği sağlamak için kullanılması gereken önemli bir bileşendir. Örneğin Windows’ta önceden kurulu olarak gelen “Windows Defender Güvenlik Duvarı” bu tür güvenlik duvarına örnektir.
Ağ Adresi Çevirisi (NAT) Güvenlik Duvarları / Network Address Translation (NAT) Firewalls
Ağ Adresi Çevirisi (NAT) Güvenlik Duvarları, internet trafiğine erişmek ve istenmeyen bağlantıları engellemek için tasarlanmış bir tür güvenlik duvarıdır. Bu tür güvenlik duvarları, iç ağdaki IP adreslerini dış ağdan gizlemek için kullanılır. Yani NAT’ın uygulandığı güvenlik duvarıdır.
Yeni Nesil Güvenlik Duvarları (NGFW) / Next-Generation Firewalls (NGFW)
Yeni Nesil Güvenlik Duvarları (NGFW), o günün koşullarında mevcut olan farklı güvenlik duvarlarının özelliklerini tek bir güvenlik duvarında birleştiren bir güvenlik duvarı türüdür. Bu güvenlik duvarlarının derin paket inceleme (DPI) özelliği vardır. Bu güvenlik duvarı türü, dış tehditleri, kötü amaçlı yazılım saldırılarını ve gelişmiş saldırı yöntemlerini engellemek için tasarlanmıştır.
Paket Filtrelemeli Güvenlik Duvarları
Paket Filtrelemeli Güvenlik Duvarları en temel güvenlik duvarı türüdür. Ağ trafiğini izleyen ve gelen paketleri yapılandırılmış kurallara göre filtreleyen bir özelliğe sahiptir. Paket Filtreleyen güvenlik duvarı, gelen paketin kural kümesiyle eşleşmemesi durumunda hedef bağlantı noktasını engeller. Bu güvenlik duvarı çok fazla kaynak gereksinimi olmadan kullanılabilecek hızlı çözümlerden biridir. Ancak bazı dezavantajları da var. Örneğin web tabanlı saldırıları engelleme yeteneğinden yoksundur.
Durum Bilgili Çok Katmanlı Denetim (SMLI) Güvenlik Duvarları
Durum Bilgili Çok Katmanlı Denetim (SMLI) Güvenlik Duvarı, hem paket incelemesi hem de TCP el sıkışma doğrulaması yapabilen bir güvenlik duvarı türüdür. Bu özellikleri ile diğer güvenlik duvarlarından öne çıkmaktadır. Ayrıca kurulan bağlantıların durumunu takip etme özelliğine de sahiptir.
Tehdit Odaklı NGFW / Threat-Focused NGFW
Tehdit Odaklı NGFW, NGFW tipi bir güvenlik duvarının tüm özelliklerine sahiptir. Ayrıca gelişmiş tehdit algılama özelliklerine sahiptir. Bu özelliği sayesinde saldırılara hızlı tepki verebilmektedir. Tehdit odaklı yazılan kurallar sayesinde güvenliğin daha etkin sağlanmasına yardımcı olur. Her kötü niyetli aktiviteyi başından sonuna kadar izlediği için, tehdidi ilk tespit ettiği andan itibaren temizleme aşamasına kadar geçen süreyi kısaltarak süreci daha hızlı çalıştırır.
Birleşik Tehdit Yönetimi (UTM) Güvenlik Duvarları / Unified Threat Management (UTM) Firewalls
Birleşik Tehdit Yönetimi (UTM) Güvenlik Duvarları, antivirüs ve izinsiz giriş önleme özelliklerine sahip, durum bilgisi olan denetim güvenlik duvarlarının özel bir türüdür.
Güvenlik Duvarı Nasıl Çalışır?
Güvenlik duvarı cihazlarının pek çok türü olmasına rağmen temelde aynı mantıkla çalışırlar. Bir güvenlik duvarının çalışması için bazı kurallara ihtiyaç vardır. Güvenlik duvarı kuralı, güvenlik duvarına gelen ağ paketlerinin geçişine izin verilmesi veya engellenmesine karar vermek için kontrol edilen kısımdır. Örneğin bir kuruluş içerisinde iki departmanın birbirinin ağına erişmesini engellemek için güvenlik duvarı kuralları oluşturulabilir. Bu sayede bir nevi ağ bölümlendirmesi sağlanmakta ve birbirleriyle iletişim kurması gerekmeyen cihazların iletişimi kesilerek güvenlik artırılmaktadır. Firewall’un çalışma prensibi temel olarak şu şekildedir:
(Resim Kaynağı: PowerCert Animasyonlu Videolar Youtube Kanalı, https://www.youtube.com/watch?v=kDEX1HXybrU )
Güvenlik duvarının ağ paketlerini kurallara göre nasıl yönettiği aşağıda gösterilmiştir:
(Resim Kaynağı: PowerCert Animasyonlu Videolar Youtube Kanalı, https://www.youtube.com/watch?v=kDEX1HXybrU )
Yukarıda görüldüğü gibi kurallardaki detaylara göre gelen paketlerin geçişine izin verilir veya paketlerin geçişi engellenir.
Güvenlik Duvarının Güvenlik Açısından Önemi
Güvenlik duvarı, bir ağa dahil edilmesi gereken en temel güvenlik çözümlerinden biridir. Güvenlik duvarı olmayan bir kurumsal ağın tam güvenliğinden bahsetmek doğru olmaz. Mevcut ağda olmanın yanı sıra güvenlik duvarının doğru yapılandırılması ve yönetilmesi de oldukça önemlidir. Yalnızca güvenlik duvarı kullanarak ağı veya ilgili ana bilgisayarı saldırılardan korumak mümkün değildir.
Siber güvenlik sektöründe kullanılan bazı popüler Firewall ürünleri şunlardır:
- Fortinet
- Palo Alto Networks
- SonicWall
- Checkpoint
- Juniper
- pfsense
- Sophos
Firewall hangi günlük kaynaklarına sahiptir?
Firewall ürünleri ağ bazlı filtreleme yaptığı için ağ akışı ile ilgili loglara sahiptir. Örneğin, güvenlik duvarı günlüklerinden bazı bilgiler aşağıda verilmiştir:
- Date/Time information
- Source IP Address
- Destination IP Address
- Source Port
- Destination Port
- Action Information
- Number of Packets Sent
- Number of Packets Received
Güvenlik Duvarı Cihazının Fiziksel Konumu
Firewall cihazları türlerine göre ağ içerisinde farklı yerlere konumlandırılabilmektedir. Örneğin, ana bilgisayar tabanlı güvenlik duvarı, o ana bilgisayarın önündeki gelen/giden trafiği filtrelemek için kullanılır. Genel hatlarıyla kurumsal bir ağı ele alacak olursak kurumun internete giden arayüzlerinde veya dış arayüzde güvenlik duvarı bulunmalıdır. İnternetten gelen paketleri IDS/IPS cihazlarına gelmeden karşılayacak cihaz ise güvenlik duvarı cihazıdır.
(Resim Kaynağı: https://www.geeksforgeeks.org/types-of-firewall-and-possible-attacks/ )
Uç Nokta Tespiti ve Yanıtı (EDR) / Endpoint Detection and Response (EDR)
EDR nedir?
Endpoint Detection and Response (EDR), uç nokta nitelikli cihazlara kurulan, sistemdeki etkinlikleri sürekli izleyen, fidye yazılımı & kötü amaçlı yazılım gibi güvenlik tehditlerini tespit etmeye çalışan ve kötü niyetli faaliyetlere karşı aksiyon alan bir güvenlik ürünüdür.
Uç Nokta Cihazları
Uç nokta cihazlarına örnekler:
EDR Temel Bileşenleri
EDR ürünleri uç nokta cihazı üzerinde birçok farklı işlemi gerçekleştirebilmektedir. Bunlar cihazın güvenliğini sağlamak için birbirini destekleyen süreçlerdir. EDR’nin temel bileşenleri aşağıdaki gibidir:
- Uç nokta veri toplama aracıları – Endpoint data collection agents
- Otomatik yanıt – Automated response
- Analiz ve adli tıp – Analysis and forensics
EDR’nin İşlevleri
EDR ürünlerinin görevleri genel olarak şu şekildedir:
- Cihazdaki güvenlik tehdidini tanımlayabilecek her işlemin izlenmesi ve toplanması
- Tehdit aktörlerinin davranışlarının cihazda toplanan verilere göre analiz edilmesi
- Toplanan verilerden elde edilen tehdit aktörüne karşı uygun güvenlik aksiyonunun alınarak ilgili analistin bilgilendirilmesi.
- Şüpheli etkinliklerin derinlemesine araştırılması için cihazdaki adli analize izin verin
EDR’nin Güvenlik Açısından Önemi
EDR ürünlerinin koruması gereken cihazların güvenliğinin sağlanması günümüzde dikkat edilmesi gereken önemli bir unsur haline gelmiştir. Çünkü saldırganlar güvenlik açısından zayıf cihazlara yönelerek ağa erişim sağlamayı hedefliyor. Saldırgan, bir uç nokta üzerinden ağa erişim sağladıktan sonra daha kritik sistemlere erişmeye çalışır. Bu sayede EDR ürünü kurulmamış ve yeterince güvenli olmayan bir uç nokta varsa saldırgan tarafından ilk erişim için kullanılabilir.
Siber güvenlik sektöründe kullanılan bazı popüler EDR ürünleri şunlardır:
- SentinelOne
- Crowdstrike
- CarbonBlack
- Palo Alto
- FireEye HX
EDR hangi günlük kaynaklarına sahiptir?
EDR ürünü kurulu olduğu sistemi izleyerek bazı bilgileri log olarak tutar. Sistem üzerinde çalışan işlemler izlenmekte ve programların eriştiği dosyaların adları ve erişim bilgileri EDR tarafından log olarak kayıt altına alınmaktadır. Hangi programların çalıştırıldığını, çalıştırılan programların hangi dosyaları okuduğunu veya hangi dosyada değişiklik yaptığını kaydeder. Her EDR, sistem üzerinden çeşitli bilgiler elde edebilir. Genel olarak EDR ürününün güvenlik açısından gerekli görülen bölümleri takip ettiği ve kayıt altına aldığı söylenebilir.
Örneğin aşağıdaki görüntüde uç nokta güvenlik ürününün cihazdaki işlemleri listelediği görülüyor:
Uç nokta güvenlik ürünü, listelediği işlemler hakkında kullanıcıya bazı bilgiler sağlar. Bu bilgilerin bir kısmı yukarıdaki görselde görüldüğü gibi boyut bilgisi, hash bilgisi ve yol/path bilgisidir.
Antivirüs Yazılımı (AV)
Antivirüs Yazılımı (AV) Nedir?
Antivirüs Yazılımı (AV), cihazlardaki kötü amaçlı yazılımları tespit eden ve kötü amaçlı yazılımları cihaza zarar vermeden önce sistemden bloke eden ve kaldıran bir güvenlik yazılımıdır.
Antivirüs Yazılımı Türleri
Antivirüs yazılımı genellikle sistemin güvenlik açısından taranmasından sorumludur. Antivirüs yazılımı tarama yöntemlerine göre alt türlere ayrılabilir:
İmza Tabanlı Tarama / Signature-Based Scanning
İmza tabanlı tarama yönteminde antivirüs yazılımı, dijital imzalı kötü amaçlı yazılımları tespit etmek için sistemi tarar ve eşleşen bir imza varsa, taradığı ve eşleştirdiği dosyayı kötü amaçlı olarak işaretler ve dosyayı sistemden temizler. Bu yöntemde dijital imzalar sistem üzerinde veri tabanında tutulur ve güncel kötü amaçlı yazılım imzalarıyla sürekli güncellenmesi gerekir. Geçmişten günümüze kullanılan ve bilinen kötü amaçlı yazılımların tespitinde etkili olan bir yöntemdir. Her ne kadar kötü amaçlı yazılımların hepsini yakalayamasa da çoğunu tespit edebilir.
Sezgisel Tarama / Heuristic Scanning
Sezgisel tarama yöntemi, önceki imza tabanlı tarama yönteminden çok farklı bir kötü amaçlı yazılım tespit yöntemidir. İmzayla tespit etmek yerine incelenen dosyaya erişimleri ve davranışları izler. Bu sayede kötü niyetli faaliyetlerin tespit edilme olasılığı çok daha yüksektir. Örneğin, antivirüsün izlediği yürütülebilir dosya, erişemeyeceği bir sistem dosyasını okumaya veya değiştirmeye çalışıyorsa, bu davranış şüpheli olarak işaretlenir. İmzası antivirüs veritabanında kötü amaçlı olarak bulunmasa bile çalıştırılabilir kötü amaçlı yazılım olabilir. Bu durum antivirüs tarafından günlüğe kaydedilir.
Antivirüs Yazılımının İşlevleri
- Sistemi sürekli tarayarak sistemdeki kötü amaçlı yazılımları tespit etmek
- Sistemin dış tehditlere karşı korunması
- Algılanan kötü amaçlı yazılımların sistemden temizlenmesi
Antivirüs Yazılımının Çalışma Şeklinin Arkasındaki Mantık
Antivirüs yazılımının çalışma mantığı şu şekilde gösterilmektedir:
(Kaynak: https://www.youtube.com/watch?v=jW626WMWNAE )
Antivirüs Yazılımının Güvenlik Açısından Önemi
Uzun bir geçmişe sahip olan antivirüs yazılımları güvenlik açısından büyük önem taşımaktadır. Sistemlerde periyodik güvenlik taramaları yapılması gereken en temel güvenlik prosedürlerinden biridir. Antivirüs yazılımı, bilinen kötü amaçlı yazılımları tespit etmenin ve sistemden hızlı bir şekilde temizlemenin en etkili yollarından biridir. Bir kurumda antivirüs yazılımı yoksa güvenlik bir noktada zayıf demektir. Güncel bir kötü amaçlı yazılım imza veri tabanına sahip bir antivirüs yazılımı kullanmak, günümüzde güvenliği sağlamak için gereklidir.
Siber güvenlik sektöründe kullanılan bazı popüler Antivirüs ürünleri şunlardır:
- McAfee
- Symantec
- Bitdefender
- Eset
- Norton
Antivirüs Yazılımı hangi günlük kaynaklarına sahiptir?
Antivirüs yazılımı, periyodik taramalarında veya belirli bir dosyanın özel taramasında elde ettiği bulguların günlüklerini tutar. Bu günlükler, tespit edilen kötü amaçlı yazılım hakkında bilgiler içerir. Örneğin dosyanın boyutu, dosyanın adı, imzası, kötü amaçlı yazılımın türü gibi bilgiler günlüklere dahil edilebilir. Bu loglar sayesinde geriye dönük taramalar ve kötü amaçlı yazılım tespitleri hakkında bilgi alınabilmektedir.
Korumalı Alan Çözümleri / Sandbox
Sandbox Çözümleri Nedir?
Sandbox, kötü amaçlı yazılım olduğu düşünülen veya bilinen yürütülebilir dosyaları veya farklı uzantılara sahip dosya türlerini (pdf, docx ve xlsx vb.) izole bir ortamda çalıştırmak/açmak ve incelemek için kullanılan bir teknolojidir. Sandbox sayesinde dosyanın canlı bir sistem üzerinde çalıştırılması/açılması sırasında ortaya çıkabilecek sorunlara karşı önlem alınır.
Korumalı Alanın Faydaları
- Ana bilgisayarları ve işletim sistemlerini riske atmaz.
- Potansiyel olarak tehlikeli dosyaları algılar.
- Yazılım güncellemelerinin yayınlanmadan önce test edilmesine olanak tanır.
- 0 günlük güvenlik açıklarına karşı mücadeleye olanak sağlar.
Güvenlik Açısından Sandbox’ların Önemi
Geçmişte karşılaşılan kötü amaçlı yazılım türleri artık kendilerini daha iyi tasarlayarak, daha farklı ve gelişmiş yöntemlerle sistemlere erişmeye çalışıyor. Bu nedenle gelişmiş saldırı araçlarına ve kötü amaçlı yazılımlara karşı güvenlik sağlayan teknolojiler de yaratılıyor. Kötü amaçlı yazılımların davranışlarını görmek ve buna göre önlem almak için sandbox’lar kullanılmalıdır. Korumalı alan şu şekilde çalışır:
Siber güvenlik sektöründe kullanılan bazı popüler Sandbox ürünleri şunlardır:
- Checkpoint
- McAfee
- Symantec
- Trend Micro
- Proofpoint
Korumalı alanlar hangi veri kaynaklarına sahiptir?
Her korumalı alan ürünü kendine özgü verileri tutar. Ancak sandbox’ların görevi gereği kullanıcıya sunulan verilerde tutabilecekleri bilgilerin, yaptıkları analizlerle ilgili olduğu söylenebilir. Örneğin sample.exe dosyası sandbox ortamında çalıştırıldığında, bu dosyanın çalışma süresi, programın çalıştırıldıktan sonra eriştiği dosyalar, davranışı, bu işlemlerin tarih/saat bilgileri, hash bilgileri gibi bilgiler Bu dosyanın bir kısmı sandbox ürünü tarafından kullanıcıya sağlanan verilere dahil edilebilir.
Veri Kaybını Önleme (DLP) / Data Loss Prevention (DLP)
Veri Kaybını Önleme (DLP) Nedir?
Veri Kaybını Önleme (DLP), hassas ve kritik bilgilerin kurum dışına çıkmasını engelleyen bir teknolojidir.
Veri Kaybını Önleme Türleri
DLP ürünleri çeşitli türlere ayrılır:
Ağ Veri Kaybını Önleme
Ağ DLP, ağdaki kritik ve hassas bilgilerin kuruluş dışında bırakılmasına ilişkin güvenlik önlemlerinin alınmasından sorumludur. Örneğin DLP ürünü, bir FTP sunucusuna dosya yüklemeye çalışan bir bağlantıyı engelleyebilir, denetlenmesini talep edebilir veya ilgili güvenlik çözümüne log olarak iletebilir. DLP ürününün yapacağı aksiyon konfigürasyonuna göre değişiklik göstermektedir. Ayrıca şüpheli etkinliği yöneticiye bildirebilir.
Uç nokta DLP’si
Ağ DLP’den farklı olarak Uç Nokta DLP, ağ içindeki paket akışı yerine belirli bir cihazdaki etkinlikleri izler. Endpoint DLP ürünü cihaza kurulur ve kurulum sonrasında cihazdaki şüpheli aktiviteleri yönetir. Uç nokta DLP, uzaktaki personelin cihazlarındaki kritik ve hassas bilgilerin korunması için gereklidir. Örneğin bir Endpoint DLP ürünü, hassas bilgilerin cihazda şifreli biçimde tutulup tutulmadığını görebilir.
Bulut Veri Kaybını Önleme
Cloud DLP, belirli bulut teknolojileriyle çalışarak hassas verilerin bulut üzerinden sızmasını önlemek için kullanılır. Kurumsal personelin bulut uygulamalarını veri ihlali veya kaybı olmadan rahatça kullanabilmesinin sağlanmasından sorumludur.
DLP nasıl çalışır?
DLP, kendisi için tanımlanan kurallara göre doğru formatta veri tespit ettiğinde yapılan işlemi bloke eder veya veriyi şifreleyerek iletimin güvenliğini sağlamaya çalışır. Örneğin kredi kartı numaralarının belli bir formatı vardır ve e-posta içeriğindeki DLP ürünü kredi kartı numarasını bu formata göre gördüğünde ilgili aksiyonları alacaktır. Aşağıdaki resimde DLP’nin temel anlamda nasıl çalıştığı gösterilmektedir:
(Resim Kaynağı: https://bbes-group.com/bbes-group-solutions/data-loss-prevention/ )
Güvenlik Açısından DLP’nin Önemi
Günümüzde kritik bilgilerin açıklanması organizasyonlarda sıklıkla karşılaşılan bir durumdur. Bu durumun pek çok kötü etkisi olabileceğinden dikkat edilmesi gereken faktörlerden biridir. DLP ürünü de diğer güvenlik çözümleri gibi kritik bilgilere sahip kurumların kullanması gereken güvenlik ürünlerinden biridir.
Siber güvenlik sektöründe kullanılan bazı popüler DLP ürünleri şunlardır:
- Forcepoint
- McAfee
- Trend Micro
- Checkpoint
- Symantec
Varlık Yönetimi Çözümleri / Asset Management Solutions
Varlık Yönetimi Çözümleri Nedir?
Varlık Yönetimi Çözümleri, kurumsal ağdaki varlıkların çalışma durumlarının izlenmesi, bakımının yapılması, gerektiğinde kaldırılması gibi varlık yönetimi işlemlerinin tamamını gerçekleştirebilen bir yazılımdır.
Varlık Yönetimi Yazılımının Faydaları
- Standartların uygulanmasını kolaylaştırır.
- Dokümantasyon konusunda yardımcı olur.
- Varlıkların çalışma performansını artırır.
- Envanter kontrolü sağlar.
- Stratejik karar verme desteği sağlar.
BT Varlık Yönetimi Türleri ve Bileşenleri
Yönetilen dört ana BT varlığı şunlardır:
- Yazılım
- Donanım
- Mobil cihazlar
- Bulut
Varlık Yönetimi Yazılımının Güvenlik Açısından Önemi
Günümüzde kurumsal bir ağda güvenlik ürünü veya ağ ürünü görevi gören pek çok cihaz bulunmaktadır. Ağdaki cihaz sayısının artması cihazların yönetimini zorlaştırmaktadır. Bu nedenle cihazlarla ilgili dikkat edilmesi gerekenler detayların gözden kaçırılmasına neden olabilir. Bu durumu önlemek için Varlık Yönetim Araçları kullanılmaktadır. Varlık Yönetimi araçlarının da buna göre işlerini yapması çok önemlidir. Varlık Yönetimi Araçları sayesinde güncel olmayan yazılımlar kolaylıkla tespit edilip yönetilebilir. Örneğin, bir güvenlik duvarı aygıtındaki önemli bir güvenlik açığını yayan bir güvenlik güncellemesi geldiğinde hızlı eylem kritik öneme sahiptir. Çünkü zaman geçtikçe kritik açıklara yönelik kötü niyetli faaliyetler söz konusu olabilir. Varlık Yönetim Araçları sayesinde güvenlik güncellemelerinden hızlı bir şekilde haberdar olabilirsiniz ve güncellemeler hızlı bir şekilde yapılır.
Siber güvenlik sektöründe kullanılan bazı popüler Varlık Yönetimi Araçları şunlardır:
- AssetExplorer
- Ivanti
- Armis
- Asset Panda
Web Uygulaması Güvenlik Duvarı (WAF)
Web Uygulaması Güvenlik Duvarı (WAF) nedir?
Web Uygulaması Güvenlik Duvarı (WAF), bir web uygulamasına gelen paketleri ve bir web uygulamasından giden paketleri izleyen, filtreleyen ve engelleyen bir güvenlik yazılımı veya donanımıdır.
WAF Türleri
Birkaç tür WAF ürünü vardır:
Ağ tabanlı WAF
Ağ tabanlı WAF, ilgili ağ üzerinde donanım tabanlı bir güvenlik ürünüdür. Üzerine kurallar yazacak ve sürdürecek personele ihtiyacı var. Etkili bir WAF ürünü olmasına rağmen diğer WAF ürünlerine göre daha pahalıdır.
Ana bilgisayar tabanlı WAF
Ana bilgisayar tabanlı WAF, ağ tabanlı WAF’tan daha ucuz bir üründür. Daha fazla kişiselleştirme olanağına sahip bir WAF’tır. Bir yazılım ürünü olduğu düşünüldüğünde bulunduğu sunucunun kaynaklarını tüketir. Bakımı daha zor olabilir ve üzerindeki sistemlerin güvenli bir şekilde sağlamlaştırılması gerekir.
Bulut tabanlı WAF
Bulut tabanlı WAF, harici hizmet olarak satın alınan diğer WAF ürünlerine göre çok daha kullanışlı ve uygulaması kolay bir güvenlik çözümüdür. WAF ürününün bakım ve güncellemeleri servis alanına ait olduğundan maliyet, bakım gibi ek maliyetler söz konusu değildir. Ancak hizmet verilen bulut tabanlı WAF ürününün size uygun, yeterli özelleştirmelere sahip olmasına dikkat edilmesi gereken bir husustur.
Bir web uygulaması güvenlik duvarı (WAF) nasıl çalışır?
WAF, gelen uygulama trafiğini üzerindeki mevcut kurallara göre yönetir. HTTP protokolüne ait olan bu isteklere kurallar gereği izin verilir veya engellenir. Uygulama katmanı seviyesinde çalıştığı için web tabanlı saldırıların önüne geçebilmektedir. Aşağıdaki görselde WAF ürününün çalışma mantığı temel anlamda gösterilmektedir:
Web uygulamasına geçmeden önce kullanıcılardan gelen HTTP istekleri WAF ürününde karşılanmaktadır. WAF ürününde belirlenen kurala göre aşağıdaki görselde görüldüğü gibi bazı isteklerin geçişine izin verilmemekte ve bu sayede kötü amaçlı trafik oluşturan istekler engellenmektedir. Burada WAF üzerindeki kuralların saldırıyı nasıl tanımladığı çok önemlidir, aksi takdirde gelen normal isteklerin kötü niyetli davranış göstermemesine rağmen engellenmesi mümkündür. Bu da WAF ürününün verimli ve doğru kullanılmadığını gösteriyor, dolayısıyla bazı noktalarda saldırının engellenememesiyle sonuçlanabiliyor.
Yukarıdaki görselde normal ve kötü niyetli isteklere karşı WAF ürününde nasıl bir aksiyon alındığı gösterilmektedir.
WAF’ın Güvenlik Açısından Önemi
Günümüzde hemen hemen her sektördeki uygulamalar yerel ağlarda veya internete açık olarak mevcuttur. Bilişim dünyasında yaygın olarak kullanılan web uygulamalarının güvenliğinin sağlanması kritik bir konudur. Güvenli olmayan web uygulamalarında ciddi veri sızıntıları veya güvenlik ihlalleri meydana gelebilir. Tüm bu güvenlik ihlallerini önlemek için web uygulamalarının önüne WAF ürünleri yerleştirilmektedir. Web uygulamalarının önünde WAF ürününün bulunması bile uygulama güvenliğini sağlamak için yeterli olmadığı gibi, WAF ürününün bulunmaması da kesinlikle tavsiye edilmemektedir.
Siber güvenlik sektöründe kullanılan bazı popüler WAF ürünleri şunlardır:
- AWS
- Cloudflare
- F5
- Citrix
- Fortiweb
Yük dengeleyici / Load Balancer
Yük Dengeleyici nedir?
Load Balancer, trafiği sunuculara dengeli bir şekilde dağıtmak için kullanılan ve sunucuların önüne yerleştirilen donanım veya yazılımdır.
Yük Dengeleyicinin Faydaları
Load Balancer, birçok avantajı olan BT sektörü için önemli bir araçtır. Ağ trafiğinin dağıtımında kritik rol oynayan yük dengeleyici cihazının faydaları aşağıda gösterilmektedir:
Yük Dengeleyicinin Çalışma Şeklinin Arkasındaki Mantık
Yük dengeleyici, yük dengeleme işlemini gerçekleştirirken bazı önemli matematiksel algoritmaları kullanarak en uygun hedefi tespit eder ve ağ paketlerini uygun hedefe yönlendirir. Bu sayede yük dengeleyicinin arkasında bulunan bir sunucunun aşırı yüklenmesi engellenir. Örneğin yük dengeleyici kullanılmadığında olası trafik akışı şu şekildedir:
(Resim Kaynağı: https://www.cloudflare.com/learning/ Performance /what-is-load-balancing / )
Yukarıdaki görselde de görüldüğü gibi istenmeyen bir durum olarak “sunucu1” aşırı yüklenmiş ve paketleri işleyememektedir. Bu durum kullanıcının veya sunucuyu kullanan istemci cihazın istemediği bir gecikmeye neden olur. Bu durumu önlemek için yük dengeleyici kullanılmalıdır. Örneğin, aşağıdaki resimde yük dengeleyici cihaz kullanıldığında olası trafik akışı gösterilmektedir:
(Resim Kaynağı: https://www.cloudflare.com/learning/ Performance /what-is-load-balancing / )
Yukarıdaki görüntüde görüldüğü gibi dengeli yük dağılımı ile sistem ve sunucuların kaynakları çok daha etkin kullanılarak gecikmeler ve erişim kayıpları engellenir.
Yük Dengeleyicinin Güvenlik Açısından Önemi
Yük dengeleyici görevi gereği bir organizasyonun çok önemli bir bileşenidir. Kuruluşun hizmetlerinin kesintisiz olarak sürdürülmesi kuruluş için çok kritik olabilir. Bu nedenle erişim güvenliği için yük dengeleyici cihazların/yazılımların gerekli yerlere yerleştirilmesi ve doğru şekilde yapılandırılıp izlenmesi gerekmektedir. Aksi takdirde kuruluşun hizmetleri kesintiye uğrayabilir, kuruluşun prestij kaybı veya maddi kayıp yaşamasına neden olabilir. Örneğin DoS/DDoS saldırılarının kurumun hizmetlerini engellemeye yönelik olduğunu düşünürsek yük dengeleyicilerin bu anlamda önemini daha kolay anlayabiliriz.
DoS (Hizmet Reddi): Hedef sistemin kaldırabileceğinden daha fazla ağ trafiği göndererek hizmeti çalışamaz hale getirmek için yapılan saldırıya denir. Kısaca kaynakların hedefe yönelik tüketilmesiyle verilen hizmetin aksamasına neden olduğu söylenebilir.
Siber güvenlik sektöründe kullanılan bazı popüler Load Balancer ürünleri şunlardır:
- Nginx
- F5
- HAProxy
- Citrix
- Azure Traffic Manager
- AWS
Proxy sunucu / Proxy Server
Proxy Sunucusu Nedir?
Proxy Sunucusu, birçok farklı amaç için kullanılan donanım veya yazılımdır ve istemci ile sunucu arasında ağ geçidi görevi görür.
Proxy Sunucu Türleri
Birçok Proxy Sunucu türü vardır:
İleri Proxy Sunucusu – Forward Proxy Server
Forward Proxy Sunucusu en yaygın kullanılan proxy sunucu türüdür. Özel bir ağdan gelen istekleri güvenlik duvarı ile internete yönlendirmek için kullanılır.
Şeffaf Proxy Sunucusu – Transparent Proxy Server
Şeffaf Proxy Sunucusu, gelen/giden istek ve yanıtlarda değişiklik yapmadan istek ve yanıtları hedefe yönlendiren bir proxy sunucusudur.
Anonim Proxy Sunucusu – Anonymous Proxy Server
Anonim Proxy Sunucusu, internette anonim gezinmeyi sağlayan bir proxy sunucusudur.
Yüksek Anonimlik Proxy Sunucusu – High Anonymity Proxy Server
Yüksek Anonimlik Proxy Sunucusu, istekte proxy sunucu türü ve istemci IP adresi bilgilerini göndermeden istemcinin daha yüksek gizlilikle izlenmesini zorlaştıran bir proxy sunucusudur.
Proxy Sunucusunu Bozmak – Distorting Proxy Server
Bozucu Proxy Sunucusu, kendisini bir web sitesinin proxy sunucusu olarak tanımlayarak kimliğini gizlemeye çalışan bir proxy sunucusudur. Gerçek IP adresi değiştirilerek istemcinin gizliliği sağlanmaya çalışılır.
Veri Merkezi Proxy Sunucusu – Data Center Proxy Server
Veri Merkezi Proxy Sunucusu, veri merkezleri üzerinden hizmet alarak ISP’ye (İnternet Servis Sağlayıcı) bağlı olmayan, proxy sunucu olarak kullanılan özel bir proxy sunucusudur. Anonimlik sağlamaya yetmeyen bir proxy sunucusudur. Hızlı tepki verme özelliği vardır.
Konut Proxy Sunucusu – Residential Proxy Server
Yerleşik Proxy Sunucusu, istemci tarafından yapılan tüm istekleri ileten bir proxy sunucusudur. Bu proxy sunucu sayesinde istenmeyen ve şüpheli reklamlar engellenebilir. Diğer proxy sunuculara göre daha güvenlidir.
Genel Proxy Sunucusu – Public Proxy Server
Herkese açık bir Proxy Sunucusu, herkesin kullanabileceği ücretsiz bir proxy sunucusudur. Güvenlik ve hızdan ödün vererek, maliyetsiz bir proxy sunucusu arayanlar için idealdir. Herkes tarafından erişilebilir olduğundan güvensizdir ve aynı zamanda yavaştır.
Paylaşılan Proxy Sunucusu – Shared Proxy Server
Paylaşımlı Proxy Sunucusu, aynı anda birden fazla kişi tarafından kullanılabilen bir proxy sunucusudur. Hızlı bağlantı ve maliyetsiz kullanım açısından tercih edilmektedir. Bu proxy sunucusunun dezavantajı, aynı anda birçok kişi tarafından kullanılmasıdır, dolayısıyla herhangi bir kullanıcının etkinliği diğerini etkileyebilir. Örneğin kullanıcılardan birinin aktivitesinden sonra bu proxy sunucunun IP adresi bir sunucu tarafından engellenmiş olabilir. Bu durumda proxy sunucusunu kullanan tüm kişilerin engelleme sunucusuna erişimi sağlanamaz.
SSL Proxy Sunucusu – SSL Proxy Server
SSL Proxy Sunucusu, istemci ve sunucu arasındaki iletişimin çift yönlü şifreli olarak sağlandığı proxy sunucudur. Tehditlere karşı şifreli iletişim sağladığı için güvenli olduğu söylenebilir.
Dönen Proxy Sunucusu – Rotating Proxy Server
Dönen Proxy Sunucusu, her istemciye ayrı bir IP adresinin atandığı bir proxy sunucusudur.
Ters Proxy Sunucusu – Reverse Proxy Server
Ters Proxy Sunucusu, istemcinin doğrudan iletişim kurmaması için işlemleri doğrulayan ve işleyen bir proxy sunucusudur. En popüler ters proxy sunucuları “Varnish” ve “Squid”dir.
Proxy Sunucusunu Böl – Split Proxy Server
Bölünmüş Proxy Sunucusu, iki farklı bilgisayara kurulu iki program olarak çalışan bir proxy sunucusudur.
Şeffaf Olmayan Proxy Sunucusu – Non-Transparent Proxy Server
Şeffaf Olmayan Proxy Sunucusu, tüm istekleri güvenlik duvarına göndererek çalışan bir proxy sunucusudur. Bu proxy sunucusunu kullanan istemciler, isteklerin güvenlik duvarı üzerinden gönderildiğini bilir.
Düşman Proxy Sunucusu – Hostile Proxy Server
Düşman Proxy Sunucusu, web üzerinde istemci ile hedef arasındaki trafiği gizlice dinlemek için kullanılan bir proxy sunucusudur.
Proxy Sunucusunun Ele Geçirilmesi – Intercepting Proxy Server
Intercepting Proxy Server, proxy sunucu özellikleri ile ağ geçidi özelliklerinin bir arada kullanılmasına olanak sağlayan bir proxy sunucusudur.
Zorunlu Proxy Sunucusu – Forced Proxy Server
Zorunlu Proxy Sunucusu, engelleme ve izin verme politikalarının birlikte uygulandığı bir proxy sunucusudur.
Proxy Sunucusunu Önbelleğe Alma – Caching Proxy Server
Önbellekleme Proxy Sunucusu, üzerinde önbellekleme mekanizması bulunan ve istemcilerin gönderdiği isteklere yanıt olarak bu önbellekleme mekanizmasına uygun olarak yanıt döndüren bir proxy sunucudur.
Web Proxy Sunucusu – Web Proxy Server
Web Proxy Sunucusu, web trafiği üzerinde çalışan bir proxy sunucusudur.
Socks Proxy Sunucusu – Socks Proxy Server
Soket Proxy Sunucusu, harici ağ bileşenlerinin istemci hakkında bilgi edinmesini engelleyen bir proxy sunucusudur.
HTTP Proxy Sunucusu – HTTP Proxy Server
HTTP Proxy Sunucusu, HTTP protokolü için önbelleğe alma mekanizmasına sahip bir proxy sunucusudur.
Proxy Sunucunun Faydaları
- Özel tarama/browsing
- Kullanıcı güvenliğini arttırır.
- İstemcinin IP adresinin gizlenmesine izin verir.
- Ağ trafiğini yönetmenizi sağlar.
- Önbellekleme mekanizmasıyla birlikte bant genişliğinden tasarruf sağlar.
- Erişim kısıtlaması olan yerlere erişim sağlayabilir.
Proxy Nasıl Çalışır?
Proxy sunucusu, istemciden gelen istekleri hedef adrese iletmekten sorumlu bir ağ bileşeni olduğundan, iletişim kuran iki taraf arasında gerçekleşerek çalışır. Temel olarak proxy sunucusunun nasıl çalıştığı aşağıda gösterilmiştir.
Yukarıdaki görselde görüldüğü gibi istemci tarafından gönderilen isteklerin hedefe gitmeden önce proxy sunucu üzerinden geçmesi gerekmektedir. Bu sayede istemci tarafından gönderilen tüm isteklerin, aracı ağ bileşeni olan proxy sunucu üzerinden geçmesi sağlanır. Proxy sunucusu, kullanım amacına uygun olarak gelen istekleri hedefe yönlendirir.
Proxy sunucusu, işlemlerinin bazı günlük kayıtlarını tutar. Gerektiğinde bu log kayıtlarına bakılarak ağ iletişimiyle ilgili bazı detaylar görülebilir. Proxy sunucusundaki günlük etkinliği kabaca aşağıdaki gibidir:
(Resim Kaynağı: https://www.youtube.com/watch?v=5cPIukqXe5w )
Proxy Sunucuların Güvenlik Açısından Önemi
Proxy Server kullanım amacına göre değişmekle birlikte bazı noktalarda önemli görevler üstlenebilmektedir. Örneğin istemci tarafından gönderilen istekteki IP adresi alanı proxy sunucudaki proxy sunucuya ait IP adresi ile değiştirildiği için hedefte istemcinin IP adresi yerine proxy sunucunun IP adresi görünür. . Bu durumda istemcinin IP adresi gizlenir ve güvenlik sağlanır.
SOC Analistleri olarak sunucuları analiz ederken Proxy’den gelen trafiğe dikkat etmemiz gerekiyor. Çünkü gördüğümüz kaynak IP adresi doğrudan ilgili kişiye ait olmayıp, proxy sunucuya aittir. Yapmamız gereken proxy sunucuya istekte bulunan gerçek kaynak IP’yi bulmak ve bu bulgularla analize devam etmektir.
Diğer bir sorun ise yalnızca bazı proxy sunucu türlerinin şifrelenmiş trafiği desteklemesidir. Trafiğin şifreli olarak iletilmesi güvenlik açısından oldukça önemlidir. Bu özelliğe sahip proxy sunucuların daha güvenli olduğu söylenebilir.
Siber güvenlik sektöründe kullanılan bazı popüler Proxy Server ürünleri şunlardır:
- Smartproxy
- Bright Data
- SOAX
- Oxylabs
E-posta Güvenliği Çözümleri / Email Security Solutions
E-posta Güvenliği Çözümü Nedir?
E-posta Güvenlik Çözümleri, e-posta yoluyla gelebilecek tehditlere karşı güvenlik sağlayan güvenlik çözümlerinden biridir. Yazılım veya donanım tabanlı ürünler olabilir.
E-posta Güvenliği Çözümünün İşlevleri
- E-postadaki dosyaların güvenlik kontrolünün sağlanması
- E-postadaki URL’lerin güvenlik kontrollerinin sağlanması
- Sahte e-postaların tespiti ve engellenmesi
- Bilinen zararlı e-postaları engelleme
- Kötü amaçlı içerik tespit edilen e-posta adreslerinin engellenmesi
- Zararlı e-posta içeriğine ilişkin bilgilerin ilgili ürüne veya yöneticiye uyarı olarak iletilmesi
(Resim Kaynağı: https://www.proofpoint.com/au/threat-reference/email-security )
Güvenlik Açısından E-posta Güvenliği Çözümlerinin Önemi
Günümüzün en popüler saldırı yöntemi olan phishing, kurumsal ve bireysel kullanıcılar için büyük bir tehdittir. İnsan faktörünün zafiyetinden yararlanarak kurum veya kişiler hakkında bilgi toplamayı veya hedefe zarar vermeyi amaçlayan phishing saldırılarının sonuçları bazen çok ağır olabiliyor. Bu nedenle e-posta yoluyla gelebilecek tehditler asla hafife alınmamalıdır. E-postayla gönderilen dosya ve bağlantıların güvenli olduğunu ve kötü amaçlı olmadığını doğrulamak gerekir. Bu noktada kapsamlı güvenlik önlemleri sunan e-posta güvenliği çözümlerinin önemi ortaya çıkıyor. Diğer güvenlik ürünleri gibi e-posta güvenlik çözümleri de güvenliği sağlamak için tek başına yeterli değildir ancak güvenliğin sağlanmasında önemli bir bileşendir. Temel amacı, gelen e-postaları otomatik olarak analiz ederek kötü amaçlı e-postaların son kullanıcıya ulaşmasını engellemektir.
Siber güvenlik sektöründe kullanılan bazı popüler E-posta Güvenliği Çözümleri ürünleri şunlardır:
- FireEye EX
- IronPort
- TrendMicro Email Security
- Proofpoint
- Symantec
Sonraki yazılarımızda görüşmek üzere.
Tekrardan not düşmek adına: SOC analist egitimi kapsamında ögrendiğim bilgileri burada paylaşıyorum.
Kaynak olarak letsdefend.io yani eğitimi aldığım sayfayı kullanıyorum.