“Sahip
olamadığın, bilmediğin sistemi/varlığı/veriyi koruyamazsın”
Giriş
Şüphesiz ki dünyanın hiçbir
yerinde siber güvenlik alanında yüzde yüz güvenlikten bahsetmek mümkün
değildir. Ancak insan, teknoloji, organizasyon yapısı, yasal düzenleme ile
ulusal ve uluslararası işbirliği boyutlarının her birinde atılacak doğru ve
bilinçli adımlarla yıkıcı etkilerden korunmak mümkündür.
Bilgi ve İletişim Güvenliği
tedbirlerini içeren, 06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de
yayımlanarak yürürlüğe giren 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yasal
düzenleme boyutunda ülke çapında bilgi güvenliği seviyesini artırmaya yönelik
önemli bir adım olmuştur.
Orijinal Haline buradan (https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf)
ulaşabileceğiniz Bilgi ve İletişim Güvenliği Rehberi, uzun araştırmalar ve
çalışmalar sonucunda oluşturulmuş ve uluslararası standartları içeren özel bir
kaynaktır ve bu çalışmada emeği geçen herkese teşekkürlerimizi sunuyoruz.
Bu makalemizde Bilgi ve İletişim
Güvenliğ Rehberini inceliyor ve rehberde yer alan başlıklardan bazılarını
mercek altına alıyoruz.
Varlık Gruplarına Yönelik
Güvenlik Tedbirleri: Tanımlanan her bir varlık grubuna dâhil olduğu
ana başlığa göre uygulanacak olan
asgari güvenlik tedbirleri belirlenmiş ve detaylandırılmıştır.
Uygulama ve Teknoloji
Alanlarına Yönelik Güvenlik Tedbirleri: Varlık grupları özelinde tanımlanan
güvenlik tedbirlerine ek olarak, uygulama ve teknoloji alanlarına özel güvenlik
tedbirleri tanımlanmış ve detaylandırılmıştır. Her bir varlık grubu için ilgili
uygulama ve teknoloji alanları belirlenmeli ve belirlenen alanlar için
tanımlanan güvenlik tedbirleri de ilgili varlık gruplarına uygulanmalıdır.
Sıkılaştırma Tedbirleri:
İşletim sistemi, veri tabanı ve sunucular için sıkılaştırma tedbirlerini
içermektedir.
"3.1.1.2 Donanım Envanter İçeriğinin Yönetimi:"
Donanım envanteri en az; her bir
donanımın ağ adresini, donanım adresini, makine adını, seri numarasını,
markasını, modelini, destek alınan tedarikçi sözleşme bilgilerini (bakım
süresi, kapsamı vb.), donanımın sorumlusunu, sorumlu kişinin birimini ve
donanımın kurum tarafından onaylı olup olmadığı bilgisini içermelidir. Donanım
envanter içeriğinde yapılan değişiklikler kayıt altına alınmalıdır.
"3.1.2.1 Yazılım Envanterinin Yönetimi"
Kurumda kullanılan tüm
yazılımların (işletim sistemleri, donanım yazılımları, üçüncü parti yazılımlar,
uygulama yazılımları vb.) güncel bir listesi tutulmalı ve listeye yalnızca
yetkilendirilmiş personelin erişimi mümkün kılınmalıdır.
"3.1.3.1 Yazılım Güncelleme Araçlarının Kullanımı"
Tüm sistemlerdeki yazılımların,
mevcut iş gereksinimlerini karşılayacak ve yazılım üreticisi tarafından
sağlanan en kararlı ve güncel güvenlik sürümleri ile çalıştırılmakta olduğu
otomatik yazılım güncelleme araçları kullanılarak kontrol edilmelidir. Otomatik
yazılım güncelleme araçlarının kullanılamadığı durumlarda uzman personel
tarafından manuel olarak gerekli kontroller periyodik olarak yapılmalıdır.
"3.1.3.3 Zafiyet/Yama Yönetimi"
Kurum ağının ve sistem
bileşenlerinin güvenlik açıklarının zamanında tespit edilmesi için uygulanacak
politikalar ve süreçler tanımlanmalıdır. Zafiyet ve yama yönetimine ilişkin
değişiklikler, tanımlanmış değişiklik yönetimi süreci üzerinden kontrollü
olarak gerçekleştirilmelidir.
Zafiyet tespit edilmesi,
zayfiyetlerin kronolojik olarak izlenebilmesi ve zafiyetlerin kapatılıp
kapatılmadığının sürekli olarak kontrol edebilmesi için PentestBX kullanılabilir.
"3.1.3.6 Güvenlik Açıkları için Risk Analizi Tabanlı
Önceliklendirme"
Tespit edilen güvenlik
açıklarının giderilmesi için hazırlanan aksiyon planına yönelik önceliklendirme
risk analizi tabanlı yapılmalıdır.
Bu aşamada sahip olunan varlıkları
düşük öncelikli, yüksek öncelikli, kritik gibi kategorize ederek gruplayarak
her bir varlık ve varlık grubu için risk puanlarını zayıflık bulgularından yola
çıkarak hesaplayan PentestBX
ile kolay bir şekilde öncelikler belirlenebilir.
"3.1.3.10 Aktif Portların,
Servislerin ve Protokollerin Varlık Envanterinde Tutulması"
Aktif bağlantı portları,
servisler ve protokoller donanım ve yazılım varlık envanterinde yer alan
varlıklar ile eşleştirilmelidir. Kurum sistemlerinin tümünü kapsayacak şekilde
port, servis ve protokol taramaları gerçekleştirilmelidir.
PentestBX varlıklarınızı düzenli
olarak tarayarak aktif protokol ve portları, bu portlar üzerinde çalışmakta
olan servisleri, bu servisler üzerindeki zayıflıkları envanterinde tutar ve
kronolojik olarak değişikliklerin izlenmesine imkan verir.
"3.1.6.1 Ağ Topolojisi"
Kurum ağlarına ait topolojiler
güvenli bir şekilde tutulmalı ve güncelliği kontrol edilmelidir.
PentestBX ağ haritanızı güncel bir
şekilde tutarak varlıklarınızı ve bu varlıkların zayıflıklarını takip
edebilmeniz için imkan sağlar.
"3.1.6.5 İzin Verilmeyen Trafiğin Engellenmesi"
Kurum ağ sınırlarından sadece
izin verilen kaynaklardan izin verilen hedeflere, izin verilen port ve
protokoller ile trafiğin akışı sağlanmalıdır. Bu gibi filtreleme işlemleri için
gelişmi güvenlk duvarı özelliklerine sahip Coslat Firewall
ürünleri kullanılabilir.
"3.1.6.7 DoS/DDoS Koruması"
Kurumun internete açık hizmetleri
için olası DoS/DDoS saldırılarına karşı servis dışı kalmasını önlemek, iş
sürekliliğini sağlamak amacıyla en az aşağıdaki önlemler alınmalıdır.
- Güvenlik ürünleri üzerinde DoS/DDoS saldırılarına
özel konfigürasyonların yapılması
- DDoS engelleme sistemlerinin sınırları ve
yeteneklerinin düzenli aralıklarla test edilmesi ve sürekli iyileştirilmesi/güncellenmesi
• DDoS koruma için bir servis
sağlayıcıdan hizmet temin edilmiş ise; servis sağlayıcıdan yukarıdaki
şartlara göre hizmet verildiğine
dair taahhüt alınması, tedarik şartname ve sözleşmelerinde bu
hususların belirtilmesi.
Coslat Firewall
ürünleri üzerinde DoS saldırılarını bertaraf etmenizi ya etkilerini azaltmanızı
sağlayacak SYN Proxy, Rate Limiting gibi özelliklerle birlikte olası
saldırıları ve tespit edip engellemenizi sağlayacak IDS/IPS özellikleri de
mevcuttur.
ISP Tarafından sağlanan DoS
koruma hizmetinin etkinliğinin test edilmesi için TSE A Sınıfı sızma testi
firması olarak uzman ekibimizle güvenlik denetimleri gerçekleştirebilmekteyiz.
"3.1.6.8 İnternet Ortamından Kurum İçi Kaynaklara Erişim"
İnternet ortamından kurum içi
kaynaklara kontrol dışı erişim engellenmelidir. İnternet ortamından kurum içi
kaynaklara erişim gerekli ise VPN teknolojileri kullanılmalıdır. Uzaktan
erişimlerin kurum politika ve prosedürlerine uygun olarak, kısıtlı süre ve
yetkilerle yapılması sağlanmalıdır.
Coslat Firewall ile
kurum dışından gelen internet trafiği kurum politikalarına uygun olarak
filtrelenebileceği gibi yetkilişi kişilerin VPN bağlantıları ile kurum
kaynaklarına erişebilmesi sağlanabilir.
VPN bağlantılarını çift faktörlü
kimlik doğrulama ile daha güvenli hale getiren Coslat 2FA ürünü hem Coslat Firewall ile
hem de önde gelen firewall ürünleri ile entegre bir şekide çalışabilir.
"3.1.6.10 Misafir Ağı Yönetimi"
Kurum ağı ile fiziksel ve/veya
mantıksal olarak izole edilmiş bir misafir ağı oluşturulmalıdır. Misafirlerin,
misafir ağına bağlanmaları öncesinde kimlik bilgilerini doğrulayan mekanizmalar
devreye alınmalı ve misafirler tarafından misafir ağı üzerinden yapılan tüm
erişimler kayıt altına alınmalıdır. Misafir cihazlarının yalnızca misafir ağına
erişimleri mümkün kılınmalıdır.
Coslat Hizmet Portalı
(Hotspot) ürünü ile misafir ağlarında ihtiyaç duyuabilecek tüm
yetkilendirme ve kimlik doğrulama sorunları çözümlendiği gibi misafir internet
erişimlerinin yasal mevzuata uygun olarak kayıt altına alınması sağlanmaktadır.
"3.1.6.18 Ağ Sınır Cihazlarında Kayıt Tutulması"
Ağ sınır cihazlarındaki bağlantı
trafiği, kullanıcı işlemleri gibi bilgiler kayıt altına alınmalıdır. Bu
cihazlardan syslog ile gönderilecek loglar Coslat 5651 Log Server
üzerinde imzalanarak saklanabilir.
"3.1.6.21 Ağ Tabanlı URL Filtreleri Kullanımı"
Kurumdaki sistemlerin, kurum
tarafından onaylanmayan ve mevzuat gereği erişimi yasak olan web sitelerine
bağlanmasını engelleyen ağ tabanlı URL filtreleri uygulanmalıdır.
Coslat Firewall üzerinde
yer alan filtreleme servisi hem URL filtreleme hem de içerik filtreleme yaparak
kullanıcıların zararlı içeriklere erişimini engelleyebilir. Görünmez modda ya
da vekil sunucu modunda kullanılabilen bu servis istemcilere sertifika yüklenmesine
gerek kalmadan HTTPS filtreleme yapabilmektedir.
"3.1.6.22 URL Kategori Hizmeti Kullanımı"
URL sınıflandırma servisleri
kullanılmalıdır. Bu servislerin kullandığı listeler güncel tutulmalıdır.
Kategorilendirilmemiş siteler
varsayılan olarak engellenmelidir.
Coslat Firewall üzerindeki
filtreleme servisi çok sayıda kategoriden oluşan oldukça gelişmiş bir kara
listeye sahiptir. Ek olarak Coslat Güvenlik duvarı farklı siber istihbarat
servisleriyle entegre olarak çalışabilir ve bu servislerden aldığı zararlı
içerikleri filtreleyebilir.
"3.1.6.23 URL’lerin Kayıt Altına Alınması"
Potansiyel olarak zararlı
etkinlikleri tanımlamak ve saldırıya uğramış sistemlerin belirlenmesine
yardımcı olmak için sistemlerden gelen tüm isteklere ait URL’ler kaydedilmelidir.
Coslat Firewall ürünleri
istemcilerin yaptıkları web erişimlerini yasal mevzuata uygun bir şekilde kayıt
altına alabilmektedir.
"3.1.11.1 Sızma Testleri ve Güvenlik Denetimlerinin
Gerçekleştirilmesi"
Kurum sistemlerinin güvenlik açıklarını
ve saldırı yüzeyini belirlemek için düzenli aralıklarla harici ve dâhili sızma
testleri ve güvenlik denetimleri gerçekleştirilmelidir. Sızma testleri ve
güvenlik denetimleri gerçekleştirilmeden önce testi gerçekleştirecek taraftan,
test süresince elde edilen hiçbir verinin yetkisiz kişilere verilmemesi,
aktarılmaması ve ifşa edilmemesine yönelik taahhüt alınmalıdır. Sızma testi ve
güvenlik denetimi kapsamı tanımlanmalı ve dokümante edilmelidir. Sosyal
mühendislik testleri de sızma testi kapsamına dâhil edilmelidir.
TSE A Sınıfı Sızma Testi
Firması olan BG-TEK uzman ekibi ile standartlara uygun olarak
sızma testlerini gerçekleştirmektedir. Yapılan gizlilik ve yetkilendirme
sözleşmelerinin ardından uzman ekibimiz
testleri azami dikkat ve özenle gerçekleştirmektedir. Test süreçleri
kurum yetkilileriyle işbirliği ve iletişim halinde tamamlanmakta ve elde edilen
bulgular detaylı şekilde raporlamaktadır. Bulguların yer aldığı test raporu
yalnızca yetkili kişilere şifreli olarak sunulmaktadır.
"3.1.11.5 Doğrulama Testlerinin
Yaptırılması"
Sızma Testi sonrasında bulunan
zayıflıklar için aksiyon alınması ve açıkların kapatıdığından emin olunması
gerekmektedir. Zayıflıkların giderilip giderilmediğini anlamak için yapılan
testlere doğrulama testleri denmektedir. BG-TEK uzman
sızma testi ekibiyle zayıflıkların gerçekten kapanıp kapanmadığı kontrol ederek
sistem güvenliğinin arttılmasına yardımcı olmaktadır.
"3.1.14.7 Kurum Kaynaklarına Uzaktan Erişim"
Uzaktan çalışma kapsamında kurum
kaynaklarına erişim VPN teknolojileri ve çok faktörlü kimlik doğrulama ile
sağlanmalıdır. Erişimler kurum politikalarına göre en az yetki prensibine göre
sınırlandırılmalıdır.
Coslat Firewall ile
kurum dışarısından VPN ile kullanıcıların kurum ağına bağlanması ve yalnızca
yetkili olduklara kaynaklara erişebilmeleri için filtreleme yapılması
sağlanabilir.
VPN bağlantılarında çift faktörlü
kimlik doğrulama yaparak güvenli bir VPN bağlantısı sağlamak için Coslat 2FA kullanılabilir. Coslat 2FA önde gelen pek çok
güvenlik duvarı ile entegre olarak çift faktörlü kimlik doğrulama yapılmasına
imkan verir. VPN Bağlantısı yapan kullanıcılara sorulacak ikinci pin SMS
ile gönderilebilir ya da Google Authenticator gibi araçlarla
sağlanabilir.
"3.5.2.1 Farkındalık Eğitimleri
Verilmesi"
Tüm kurum personeline düzenli
aralıklarla temel ve güncel konuları içerecek şekilde bilgi güvenliği ve siber
güvenlik farkındalık eğitimleri verilmelidir. Eğitim konuları aşağıdaki gibi
listelenebilir.
• Bilgi güvenliği ve siber
güvenlik temel kavramları,
• Kurumsal bilgi güvenliği ve
siber güvenlik politikaları,
• Parola güvenliği,
• E-posta kullanımında güvenlik,
• İnternet kullanımında güvenlik,
• Mobil güvenlik,
• Fiziksel güvenlik,
• Sosyal ağların riskleri ve
güvenli kullanımı,
• Kişisel verilerin güvenliği,
• Bilinen ve yaygın kullanılan
sosyal mühendislik yöntemleri ve bu yöntemlere karşı alınacak önlemler,
• Lisanslı ürün kullanımı
Eğitim öncesi ve sonrası yazılı
sınav, sosyal mühendislik saldırıları gibi yöntemlerle farkındalık
eğitimlerinin etkinliğine yönelik ölçümler yapılmalı ve ölçüm sonucu
doğrultusunda aksiyonlar planlanmalıdır.
Bu noktada BG-TEK olarak gerek Son Kullanıcı
Farkındalık Eğitimleri ve gerekse sosyal mühendislik testleri ile siber
güvenlik farkındalığının arttırlmasına ve kurumun güvenlik seviyesinin
yükseltilmesine katkı sağlıyoruz.
"3.5.2.2 Olayların Tespiti ve Raporlanmasına Yönelik
Eğitimlerin Verilmesi"
Bilgi güvenliği ve SOME
personeline, siber olay veya bilgi güvenliği ihlal olayı tespiti ve raporlanması
konularında eğitim verilmelidir.
BG-TEK uzman ekibi ile “SOME
Eğitimleri”, “Beyaz Şapkalı Hacker”, “Sızma (Penetration) Testi” gibi teknik
içerikli siber güvenlik eğitimlerine ek olarak “Bilişim Hukuku”, KVKK gibi gibi
eğitimleri kurumsal olarak vermektedir. Eğitimler saha tecrübesi olan kıdemli
eğitmenler tarafından uygulamalı olarak verilmektedir.
“GÜVENLİK
BİR ÜRÜN DEĞİL BİR SÜREÇTİR” ve uzman görüş ve destekleri çok önemlidir.
Serdar
TANERİ
Harun
ŞEKER
https://www.coslat.com
https://www.pentestbx.com
https://www.2favpn.com
Kayıtlar
Hiç yorum yok:
Yorum Gönder