Kurumsallar için BT Güvenliği Esaslarına Giriş
Altyapınızdaki siber felaketlere karşı koruma düzeyinizi değerlendirmenize yardımcı olacak temel sorulara bakacağız.
Bu ders aşağıdaki konuları içerecektir:
- Envanter
- Yedeklemeler
- Kimlik Avını Önleme
- İnternette Gezinme Koruması
- Yamalama
- Giriş kontrolu
- Risk analizi
- Ağ
- BT Güvenliği için Olay Müdahalesi
- Inventory
- Backups
- Phishing Prevention
- Internet Browsing Protection
- Patching
- Access Control
- Risk Analysis
- Network
- Incident Response for IT Security
Envanter
Altyapınızı korumak, ağınıza hangi cihazların bağlı olduğunu, hangi uygulamaların kullanıldığını, bunlara kimin erişebileceğini ve hangi güvenlik önlemlerinin alındığını bilmenizi gerektirir.
Envanteriniz neleri içermeli ve neden?
Tüm BT güvenlik sorunlarında olduğu gibi eksiksiz bir envantere ihtiyacınız olacak. Bu envanter en azından aşağıdaki bilgileri içermelidir:
- her iş istasyonunun ve sunucunun donanımı
- tam sürümle yüklenen yazılım
- son raporun tarihi
Kullanım Ömrü Sonu Ekipmanlar
Envanteriniz sayesinde tüm ekipmanlarınızı (donanım ve yazılım) destekleri sonunda izole edebildiniz. Artık bakımı yapılmayan ekipman, artık güvenlik yamaları almayacak ekipmandır. Daha sonra bakımı yapılamayan tüm ekipmanları ağınızdan hariç tutmak gerekir. Çok acil durumlarda CISO (Bilgi Güvenliği Baş Sorumlusu) tarafından risk kabulü yapılmalı ve envanterinizde takip edilmelidir. Bu analizin düzenli aralıklarla, ideal olarak keşfedilen her yeni güvenlik açığında gözden geçirilmesi gerekir.
Güvenli Önyükleme
Güvenli önyüklemenin tüm uyumlu cihazlarınızda etkinleştirilmesi gerekir. Bu özellik, bilgisayarın yalnızca üreticinin onayladığı yazılımı kullanarak önyükleme yapmasını sağlar. Bu 10 yıldır mevcut olan bir özellik olduğundan standart kullanımınız varsa sorun yaşanması pek olası değildir.
Yazılım Listesi
Saldırı yüzeyini azaltmak için şirketinizin yetkili ve yetkisiz yazılımlara ilişkin sıkı bir politikasının olması önemlidir.
İzin Verilen Yazılımlar
Bunu yapmak için GPO (Grup İlkesi Nesnesi) veya Intune kullanımı, kullanıcılarınıza istasyonlarında yönetici haklarına ihtiyaç duymadan hızlı bir şekilde kullanılabilen bir yazılım kitaplığı sunmanıza olanak tanır. Bu, kullanıcılarınızın kurulum programlarını kendilerinin indirme zorunluluğunu ortadan kaldırır ve dolayısıyla kötü amaçlı bir program indirme riskini sınırlar.
Yasak Yazılımlar
Aynı şekilde, ister Intune ister AppLocker aracılığıyla olsun, yasak olarak tanımlanan yazılımları engellemek gerekir (uygulamayı meşrulaştırmadığınız için veya sürümünün sizin için tehlikeli olan bir CVE’ye (Yaygın Güvenlik Açıkları ve Etkilenmeler) tabi olması nedeniyle) . Yasaklanmış bir uygulamanın her kullanımı şirketinizin BT ekibine bildirilmelidir.
Güvenlik Güçlendirmesi
Şirketiniz cihazlarınızın yapılandırmasını tanımlamak için kanıtlanmış sağlamlaştırma kılavuzlarına güveniyor mu? Bu sağlamlaştırma yönergeleri aşağıdaki gibi farklı seviyeleri kapsayabilir:
- Önkoşul kontrol listesiyle istasyon devir işlemleri
- Cihazların güvenli konfigürasyonunun denetimi
- Yapılandırma değişikliği durumunda uyarı
Bu sağlamlaştırma Ansible, GPO veya Intune gibi çeşitli yöntemlerle yapılabilir.
Antivirüs / EDR
Şirketinizin, işiniz için kritik olan cihazlardan başlayarak tüm filoya bir antivirüs, hatta bir EDR dağıttığından emin olun. Oluşturulan uyarıların takibini ayarlamayı unutmayın.
Yedeklemeler
Yedeklemeler, Ransomware ile mücadeleye yönelik bir mekanizma değildir ancak son savunma hattınızdır. Bir saldırı sonrasında yedekleme sisteminin çalışmaması işletmenizin hayatta kalmasını tehlikeye atabilir.
Kural 3-2-1
Temel bir kural ve bir altyapıdan beklenen minimum kural olarak 3-2-1 kuralı şunları yapmanız gerektiğini belirtir:
Üç Kopya
Prensip, verilerinizin sunucuda ve iki yedekte bulunmasıdır. Bunun amacı, bir arızanın yedeklemelerinizi çalışmaz hale getirmesini önlemektir.
İki Farklı Medya
Burada, iki medya mutlaka iki farklı fiziksel format (sabit disk ve LTO bandı) olarak değil, birinin yedeğinin iki farklı ve ilgisiz noktada bulunması olarak anlaşılmalıdır. Bu nedenle, eğer ikisi aynı veri merkezinde saklanmıyorsa, aynı yazılım RAID (Yedek Ucuz Disk Dizisi) vb. aracılığıyla bağlanmamışsa, sabit disklerde yedeklemenin iki kopyasının bulunması mümkündür.
Bir Tesis Dışı Harici Yedekleme
Bu isteğin arkasındaki fikir, yangın gibi risklere karşı koruma sağlamak için ana verileri içeren bir yedeğin binanızın dışında saklanmasıdır.
Kural 3-2-1-1-0
Bu kural en azından şirketinizin kritik kaynaklarına uygulanmalıdır. 3-2-1 kuralına benzer şekilde iki koşulu ekler:
Bir Çevrimdışı Kopya
Bu, ağınıza ve herhangi bir BT altyapısına bağlı olmayan bir yedeğe sahip olmakla ilgilidir. Amaç, bir saldırganın ağınızın güvenliğini ihlal etmesi durumunda bu yedeğe müdahale etmesini önlemektir.
Restorasyon Sırasında Sıfır Hata
Bu nokta mantıklı gibi görünse de yapılan yedeklemelerin düzenli olarak test edilmesi ve hatasız bir şekilde geri yüklenebildiğinin kontrol edilmesi tavsiye edilir. Geri yüklendikten sonra veritabanı sunucusundaki bir dosyanın gerçekten zarar görmüş olduğunun keşfedilmesi çok yazık olur.
Minimum Depolama Süresi
Yedeklemelerin en az 30 günlük verilerin geri yüklenmesine olanak sağlaması önemlidir. Neden 30 gün? Çünkü parka izinsiz giriş yapılması ile firmanın bunu tespit etmesi arasında geçen ortalama süre bu kadardır.
Yedekleme Testleri
Artık verileriniz en iyi uygulamalara göre yedeklendiğine göre, test geri yüklemelerinizin takip edildiğinden ve her sunucunun yılda en az bir kez geri yüklendiğinden emin olmanız önemlidir.
Kimlik Avını Önleme
Kimlik avı saldırıları, çevrimiçi sunucularınızdaki güvenlik açıklarından yararlanmanın yanı sıra en büyük ilk saldırı vektörlerinden birini temsil eder.
Antispam ve E-posta Koruması
Çalışanlarınızın aldığı tüm e-postalar spam filtresinden geçiyor mu? Antivirüs (AV) yazılımınız postadaki ekleri analiz ediyor mu? Bu yapılandırma gözden geçiriliyor ve yeni tehditlere karşı güncel tutuluyor mu?
Analiz Prosedürü
Çalışanlarınızdan biri bir e-posta aldığında ve şüpheye düştüğünde, e-postanın analizini yapması için birisiyle iletişime geçme olanağına sahip olmalıdır.
Kimlik Avı Tatbikatı
Çoğunlukla personele yönelik bir saldırı olarak yaşanır; personelinizin gereken şekilde haberdar olduğundan emin olmak için bir test yapmak faydalı olabilir.
İnternette Gezinme Koruması
Yetkisiz web sitelerine, şüpheli alan adlarına ve bilinen kötü amaçlı alan adlarına yapılan bağlantıları filtreleyin.
DNS Filtreleme
Tehlikeli siteleri engelleyin ve istenmeyen içerikleri güvenlik duvarlarınız üzerinden filtreleyin. +18 yetişkinlere yönelik içerik gibi “profesyonel olmayan” kategorilere ek olarak, nadiren engellenen bir kategori daha vardır: URL kısaltıcılar. Bu hizmet, özellikle kimlik avı amacıyla yoğun şekilde kullanılıyor. Engelleme yapılandırıldıktan sonra çalışanlarınızın ziyaret etmeye çalıştığı engellenen siteleri kontrol etmeniz gerekir.
Tarayıcıların Merkezi Yönetimi
Tarayıcı güvenlik ayarlarının güncellenmesi kötü amaçlı yazılımların yüklenmesini zorlaştırabilir. Örneğin, eklenti yükleme yeteneğini azaltmak veya belirli içerik türlerinin otomatik olarak yürütülmesini devre dışı bırakmak.
Yamalama
Yazılımınıza ve ürün yazılımınıza yamaları mümkün olan en kısa sürede dağıtın. Mümkün olduğunda otomatik güncellemeleri etkinleştirin.
CVE’ye Göre Yamalama için SLA
SLA nedir?
Hizmet düzeyi sözleşmesi (SLA), bir hizmet sağlayıcı ile müşterileri arasında, sağlayıcının hangi hizmetleri sağlayacağını belgeleyen ve sağlayıcının karşılamakla yükümlü olduğu hizmet standartlarını tanımlayan bir sözleşmedir.
kaynak: techtarget.com
İş istasyonlarınız/sunucularınız/yazılımlarınız için maksimum güncelleme süresi belirlediniz mi? Cevabınız evet ise CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) puanı, yama yapılacak sunucunun internete açık olup olmaması, kusurun istismar edildiğinin bilinmesi (0 gün) gibi kriterleri dikkate alıyor musunuz? )?
Giriş kontrolu
Yalnızca yetkili kullanıcılara gereken en az ayrıcalıkların verilmesini sağlayan politikaları, süreçleri ve teknolojileri uygulayın. Burada herkesin işine yarayacak sihirli bir değnek yok, uyum sağlamanız, adım adım ilerlemeniz gerekiyor.
Şifre ve MFA
En düşük koruma düzeyi, ortamınızda bir parola politikasının uygulanmasıdır. Windows ortamında bu politikanın, tüm bilgisayarlara uygulanmasını sağlamak için “Varsayılan Etki Alanı Politikası”nda ayarlanması gerekir.
Mümkün olduğunda biyometri, tek kullanımlık şifreler ve uygulama belirteçleri gibi şifre kimlik doğrulamasından daha güçlü mekanizmalar kullanın. Ayrıcalıklı kullanıcılarla başlayıp tüm kullanıcıları kapsayacak şekilde, SMS veya uygulama kimlik doğrulayıcı yoluyla çok faktörlü kimlik doğrulamanın (MFA) yapılması önemle tavsiye edilir.
Sıfır Güven / Zero Trust
Kullanılmayan hesapları belirleyin ve devre dışı bırakın, paylaşılan hesapları ortadan kaldırın, gereksiz ayrıcalıkları kaldırın ve güçlü parola politikaları uygulayın.
Hesap Kullanımının Denetimi
Normal iş saatleri dışında veya olağandışı konumlardan erişim girişimleri gibi anormal davranışlar açısından kullanıcı etkinliğini izleyin ve analiz edin. Filonuzda “alan adı yöneticisi” ayrıcalığına sahip hesapların %15’inden fazlası bulunmamalıdır.
Risk analizi
Kaynakların ve yatırımların tahsisine öncelik vermek için risk değerlendirmelerini kullanın.
Hizmete Geri Dön
Şirketiniz hangi kaynakların öncelikle geri kazanılması gerektiğini belirlemek için bir çalışma yaptı mı? Bu analiz aynı zamanda kesintilerin etkisini tahmin etmek ve izin verilen kesinti sürelerini belirlemek için de kullanılabilir.
Bağlantılı Ağlardaki Risklerin İncelenmesi
Şirketiniz ile her bağlantı onun için bir risktir. İster şirketinizin bir bünyesinde ister bir ortağınızda olsun. Bu tarafların her birinin sizinle aynı güvenlik gereksinimlerine sahip olmayabileceğini unutmayın.
İş ortaklarınız sizinle aynı güvenlik düzeyine bağlı mı? Bir güvenlik açığı ortaya çıktığında ne kadar hızlı güncelleme yaptıklarını biliyor musunuz? VPN’lerde varsayılan sertifikaları kullanmamaya kararlılar mı? Çevrimiçi çözümler kullanıyorlarsa yapılandırmalarının güvenlik ihtiyaçlarınızla uyumlu olduğundan emin misiniz?
Ağ
Kuruluşunuzun gelen ve giden İnternet trafiğini izleyin.
PCAP
Ağ etkinliklerinizi yakalamak için ağ ekipmanınızın SPAN bağlantı noktalarını kullanın. Bu yakalama, anormal davranışları (protokolün artan kullanımı, anormal hedef adresleri vb.) tespit etmenize ve ayrıca güvenlik ihlali durumunda otopsi yapmanıza olanak tanır.
Segmentasyon
Segmentasyon, bir bilgisayar ağını daha küçük parçalara böler. Ağ bölümleme, saldırı yüzeyini azaltarak ve saldırı aralığını sınırlayarak ağ performansını ve güvenliğini artırır. VLAN, PVLAN kullanımı farklı ağlarınızı ayırmanıza olanak tanır.
Ağ ekipmanınızın yönetim arayüzlerine Alice’in (veya herhangi birinin) muhasebe istasyonundan ulaşılabilir mi? Uzak ofis hizmeti yalnızca özel bir ağda mı kullanılabilir?
Engellenen Akışların İncelenmesi
Artık kurumsal ağınız bölümlere ayrıldığına ve akışlar yasaklandığına göre, bir sonraki adım, yeni politikanızla engellenen isteklerin kaynağını belirlemek için bir inceleme oluşturmaktır. Bu, güvenliği ihlal edilmiş bir iş istasyonu, envanterde radarınızın altına giren bir uygulama vb. olabilir.
Standart Kullanım Dışında Uyarı
Tüm bunlar yerine getirildikten sonra anormal ağ kullanımı durumunda uyarı oluşturabilirsiniz. Güvenlik kazancının yanı sıra bu uyarılar, örneğin yedekleme araçlarınızın ağı doygun hale getirdiği durumlarda kuruluşunuzdaki zayıf noktaları belirlemenize de olanak sağlayabilir.
BT Güvenliği için Olay Müdahalesi
Büyük olayların tırmanmasıyla ilgili net süreçlerinizin mevcut olduğundan ve personeliniz tarafından bilgilendirildiğinden emin olun. Hızla uzmanlara aktarılan büyük bir olay, siber saldırının etkisini azaltmanıza olanak tanıyabilir.