Son günlerde kapsamlı veri ihlallerine dair raporların herkeste endişe yarattığına dikkat çeken Fortinet, kurumların bu konuda proaktif adımlar atması gerektiğini vurguluyor.
Müşteriler, finansal ve kişisel bilgilerinin çalınmasının yaratacağı etkilerden kaygılanıyor. İstismar edilen kuruluşlar olayın neden olacağı kısa ve uzun dönemli kurumsal etkileri, diğer kuruluşlar ise sıradakinin onlar olup olmadığı konusunda endişeleniyor. Ancak iki şey kesin: Veri ihlalleri giderek daha pahalıya patlıyor ama gerçekleşmeye de devam ediyor.
Herkesin sorduğu büyük soru ise ‘ben bu konu hakkında ne yapabilirim?’ Fortinet, sunduğu öncü ürün ve çözümlerle bu sorunun cevabı oluyor.
Fortinet Türkiye Sistem Mühendisliği Bölge Direktörü Melih Kırkgözkonuyu şöyle değerlendiriyor: “Eğer veri ihlallerinden etkilenmiş bir mağazadan ister çevrimiçi ister şahsen alışveriş yapmış bir müşteriyseniz ilk yapmanız gereken şey, bankanızı arayıp kartlarınızı yenisiyle değiştirmek olmalı. Eğer kartınız diğer otomatik ödemeler için kullanılıyorsa bu büyük bir sorun olacaktır. Yine de yapmanız gerekiyor. Yapmanız gereken bir sonraki şey ise internet bankacılığına bağlanıp şifrenizi değiştirmek. Eğer aynı şifreyi birçok farklı hesapta kullanıyorsanız onları da değiştirin. Ve son olarak, tüm ekstrelerinizdeki bilgilerinizi gözlemlemeye başlayın ve doğru görünmeyen bir şey tespit ettiğiniz anda bunu rapor edin” diyor ve şöyle devam ediyor: “Bireysel olarak etkilenen kişilerin yanı sıra ‘bunların başlarına gelmemesi için kurumlar şu anda ne yapmalı?’ sorusu, ülke çapında birçok yönetim kurulu odasında tartışılıyor. Var olan birçok güvenlik çözümü, yeni ve dijital ağları yeterli düzeyde korumuyor. Kuruluşunuzu koruyabildiğinizden emin olmanız için öncelikle temel bir ağ ve güvenlik referans seviyesi oluşturmanız gerekiyor. Bunun için gerekli üç anahtar etken risk tespiti yapmak, ağ mimarisinin tamamına güvenlik sağlamak ve varlıkların net olarak tanımlanmasıdır.”
Risk Tespiti
Ayrıntılı bir risk tespiti, kurum için kritik olan şeyi gözlemlemeye ve korumaya odaklanıldığından emin olunmasına yardımcı olur. Birçok sebepten ötürü bugünün karmaşık ağları, her şeyin korunamayacağı ve gözlemlenemeyeceği anlamına geliyor. Bunun yerine, güvenlik inisiyatiflerini iş hedefleriyle paralel kılarak odağınızı kuruma en büyük etkiyi yaratacak risklere yönlendirilmesi gerekiyor.
Ağ mimarisinin güvenliği
Ağ mimari ve tasarımları güzel bir başlangıç yapsa da zamanla ağın boyutu ve karmaşıklığı arttığı için ya güvenlik çözümlerinin etkisini azaltıyor ya da onları daha karmaşık hale getiriyor. İki türlü de sonuç, ağdaki kör noktalar, güvenlik gerekliliklerini karşılamayan sınırlı varlık koruması veya daha da kötüsü, korunmayan varlıklar oluyor. Güçlü ve zayıf yönlerin tamamıyla anlaşılması için onların tanımlanması ve görünürlük ile kontrol sağlanması çok önemli.
Aynı zamanda kritik verilere yönelik zincirleme zafiyetlerin de dahil olduğu mevcut saldırı yollarının değerlendirilmesi gerekiyor. Bunu yapmak, zafiyetlere değinirken hangilerine öncelik verilmesi gerektiğine de yardımcı olabiliyor. ISO, CIS Kritik Güvenlik Kontrolleri (SANS İlk 20) ve NIST Siber Güvenlik Çerçevesi gibi kullanıcıları yönlendirecek çeşitli çerçeveler bulunuyor.
Varlıklarınızı tanımlayın
Sanallaştırılmış veri merkezlerinden çoklu bulut ortamlarına, ağlar hızlıca büyüyor ve gitgide çeşitli ekosistemlere yayılıyor. Ağlara bağlı son nokta cihazlarının sayısındaki artış ve nesnelerin interneti cihazlarındaki patlama bir araya geldiğinde cihazların doğru envanterini oluşturmak ve bunu devam ettirmek zorlu olabiliyor. Karmaşık ortamlar da sürekli değişen altyapılara her zaman net bir merkezi görünürlük sağlamıyor.
Fortinet Türkiye Sistem Mühendisliği Bölge Direktörü Melih Kırkgöz, “Başarılı veri ihlallerinin hacmi göz önünde bulundurulduğunda varlıklarınızı tanımlamak isteğe bağlı bir durum değil. Ağınız boyunca cihazları, işletim sistemlerini ve yama seviyelerini tanımlayan araçlara yatırım yapmanız gerekebilir. Büyük bir ortamda bu bilgiyi aynı zamanda iyi bir tehdit istihbaratıyla da bağlamanız da gerekebilir. Böylece en büyük risklerinizi görüp onlara öncelik verebilirsiniz” diyor.
Veri hırsızlığına karşı 7 kritik strateji,
Temel güvenlik seviyesinin görünürlüğünü sağlayıp kontrol stratejisini kullanmaya başladıktan sonra kurumların, kritik veri ve kaynaklarını hırsızlığa ve istismara karşı koruyacak çözüm ve stratejileri hizmete alması gerekiyor. Her kuruluşun göz önünde bulundurması gereken yedi kritik strateji şöyle sıralanıyor:
1. İyi Güvenlik Hijyenini Uygulamak
“Son birkaç yılda, yamalarının hazır olduğu zafiyetleri başarıyla hedef alan saldırıları izliyoruz” diyen Melih Kırkgöz şöyle devam ediyor: “Yeni saldırılar gerçek risk olsa da birçok ihlal, haftalarca, aylarca hatta belki de yıllarca süren saldırılardan kaynaklanıyor. Üstüne üstlük saldırıların büyük bir çoğunluğu, yamasının 3 yıldır hazır olduğu, bazılarında ise 10 yıla kadar çıktığı zafiyetleri hedef alıyor.”
Muntazam bir yamalama ve güncelleme protokolünü oluşturduktan sonra, envanterlerindeki cihazları anında yamalamaya başlamak kuruluşlar için bir zorunluluk. Devamında ise kontrol edilen cihazların yamalandığı güvence altına alındıktan sonra kontrol edilmeyen cihazların doğru bir şekilde ayrıştırıldığından, karantinaya alındığından ve erişiminin engellendiğinden emin olunması gerekiyor. Aynı zamanda yamalanamayan veya korunamayan sistemlerin, tanımladıktan sonra yenisiyle değiştirilmesi veya çıkarılması gerekiyor. Tüm bu işlemlerin otomatik, izlenebilir ve ölçülebilir olması, kuruluşlar için en iyisi olacağı belirtiliyor.
2. Yerel ve Küresel Tehdit İstihbaratını SIEM Çözümleriyle Birleştirin
Gelişmiş tehdit istihbaratı, kuruluşların tehditleri tespit etmek için harcadığı zamanı azaltarak tespit etme ve karşılık verme arasındaki boşluğun kapanmasını sağlıyor. Bu da hali hazırda ağınızdan elde edilmiş tehdit istihbaratından fayda sağlamakla başlıyor. Bunun için aynı zamanda bilgiyi paylaştıktan ve ilişkilendirdikten sonra koordine bir eylemde bulunmak için tasarlanan güvenlik araçları gerekiyor. Yerel istihbarat tek başına yeterli değil. Onunla birlikte küresel çapta en son tehdit trendlerini ve saldırıları içeren tehdit bilgilendirmelerine de ihtiyaç var. Bu verileri, yerel istihbarat ve altyapıyla çapraz ilişki oluşturabilen eyleme geçirilebilir istihbarata dönüştürmek için güvenlik bilgileri ve vaka yönetimi (SIEM) ve veriyi kullanabilen, onu eyleme geçirilebilir ilkelere dönüştürebilen ve ağınızı korumak için otomatik olarak uygulayabilen web uygulaması güvenlik duvarı (WAF) teknolojileri gerekebilir. Tabii ki dağıtık ve son derece esnek ağlar sürekli olarak bir değişim içinde. SIEM araçları, ağ boyunca verilerin bir araya getirilmesini ve onu yerel ve küresel tehdit istihbaratıyla bağlanmasını sağlıyor. Böylece saldırı ve güvenlik ilkelerinin istismarının göstergeleri gibi detaylar anında sunulabilir.
3. İmza Temelli Güvenlik Araçlarını Hizmete Alma
Saldırıya uğrayan zafiyetlerin çoğu bilindiği için onları hedef alan saldırılar, imzaları kullanarak tespit edilebiliyor. İmza temelli tespit araçları, herhangi bir sızma girişimi ve bilinen zafiyetleri hedef alan saldırı çalışmalarına hızlıca bakılmasını ve onların engellenmesini sağlıyor.
İmza temelli araçlar, aynı zamanda saldırılara karşı son derece zayıf olduğu gözler önüne serildiği halde kuruluşlar tarafından gitgide daha çok benimsenen, güncellenemeyen nesnelerin interneti ve diğer birbiriyle bağlantılı cihazların yer aldığı sıfır gün ağ segmentleri gibi karmaşık ortamlarda da etkili oluyor.
4. Davranış Temelli Analitikleri ve Veri Temizlemesini Ekleme
Bütün tehditler, tanınabilen bir imzaya sahip değil. Gelişmiş saldırılar, korumaları alt ederek tespit edilmekten kaçınabiliyor. Bu da infilak edilebilen, ayrıştırılabilen ve sıfır gün zararlı yazılımının çeşitlerini tanımlarken bu veriyi kalan tüm güvenlik altyapısıyla ilişkilendirebilen” sandbox” gibi gelişmiş tehditlere karşı koruma araçlarına ihtiyaç duyulabileceği anlamına geliyor. Kullanıcı Varlık Davranış Analitiği (UEBA) araçları da aynı zamanda dahili güvenliklerin tanımlanmasını ve bireysel suçluların bulunmasını kolaylaştırıyor.
Elbette bu, söylendiği kadar kolay değil. Saldırganlar da tespit edilmekten kaçınmak için meşru trafik düzenlerini öğrenip onu taklit etmek gibi gelişmiş teknikler kullanıyor. Güvenlik araçlarının kolay hedef olan zararlı yazılımları aramak için verileri ve uygulamaları kontrol etmenin ve denetlemenin ötesinde kötü niyetleri tespit etmek ve belirlemek için zamanla oluşan düzenleri aramak ve ilişkilendirmek amacıyla derin bir denetleme ve analiz sunması gerekiyor. Buna ek olarak, mümkün olan noktalarda akıllı güvenlik sistemlerinin başlamamış bir saldırıya engel olabilmesi için proaktif ve otomatik olarak müdahale etmesi gerekiyor.
Melih Kırkgöz, “Bir yeni trendimiz ise veri temizlemesi için kullanılan İçeriği Çözme ve Yeniden Yapılandırma (CDR) araçları. CDR, gelen dosyaları parçalarına ayırıyor ve içerisinden aktif içeriği çıkarıyor. Belirli dosyalardaki kötü içeriklerin proaktif olarak ortadan kaldırıldığı bu yaklaşımla sıfır gün koruma stratejisi güçlenirken ekteki zararlı yazılım ve zararlı dosyaların yanlışlıkla yüklenmesinin önüne geçiliyor” diyor.
5. Web Uygulaması Güvenlik Duvarlarıyla Kapalı Web Temelli Saldırı Vektörleri
Tehditlerin büyük çoğunluğu artık ağlara giriş yapmak için geleneksel yolları kullanmıyor. Özellikle doğrudan bir veri merkezindeki bilgiyi sorgulamak ve kazmak için tasarlanan web temelli saldırılar, harekete geçmek için uygulamalardaki gözle görülür artışı kullanıyor.
Evde geliştirilen ve isteğe uyarlanmış web uygulamalarına olan talep çok hızlı bir artış gösterdiği için birçok kuruluşun en basit haliyle onları hizmete almadan önce test etmek ve güçlendirmek için yeterli zamanı ya da kaynağı bulunmayabiliyor. Bir WAF’yi uygulamak, bu boşluğu kapatmanın etkili bir yolu olarak dikkat çekiyor. Bu güvenlik cihazları geleneksel NGFW teknolojisinin çok ötesinde, derin ve yüksek performanslı bir web uygulaması trafiğinin denetimini sağlama amacıyla tasarlandı.
6. İzole Nokta Çözümlerini Yenisiyle Değiştirin
Ağlar sürekli olarak değişim içinde oldukları için ağın veya veri merkezinin sınırında güvenlik cihaz veya platformlarını hizmete alma geleneği artık yeterli değil. Bu geleneksel nokta güvenlik teknolojilerinin büyük bir çoğunluğu da aynı zamanda izole bir şekilde çalışıyor. Bu yüzden yalnızca önlerinden geçen tehditleri görüp onlara tepki verebiliyor. Ama bugünün çok vektörlü ve akıllı tehditlerinin doğasına baktığınızda, güvenlik çözümlerinin, esnek ağ mimarilerini kapsayabilecek ve onlara adapte olabilecek tek, birleşmiş bir sistemle birlikte bağlı olması gerekiyor. Dinamik entegrasyon ve karşılıklı ilişki, tüm ağ boyunca gerçek zamanlı görünürlük sağlıyor. Bu da göremeyeceğiniz bir tehdide karşı kendinizi savunamayacağınız için kritik bir öneme sahip. Buna ek olarak entegre, düzenlenmiş bir güvenlik çözümleri sistemi, bu tehditlerin oluşabileceği yerlerde kuruluşların siber saldırılarla koordineli bir sistem olarak proaktif ve akıllıca savaşmasını sağlıyor.
Açık uygulama programlama arayüzleri, yaygın işletim sistemleri ve birleşik yönetim araçları gibi şeyleri bilgiyi paylaşmak için kullanacak şekilde tasarlanmış araçları aramak bir başlangıç olabilir. Güvenlik doku mimarileri de geleneksel olan izole güvenlik araçlarını birbiriyle bağlayarak bilgiyi paylaşmalarını ve ilişkilendirmelerini sağlıyor. Bu mimariler aynı zamanda merkezi bir otomasyon etkisi, tek ekrandan yönetim, tutarlı ilke dağıtımı ve erişim noktaları, etkilenmiş cihazları ve zararlı yazılımı ayrıştırma, korunmasız veya gizliliği ihlal edilmiş cihazların tanımlanması ve adli analiz ve iyileştirmenin başlatılmasını sunuyor.
7. Ağınızı Ayrıştırın
Ağ tabanlı ekosistemlerin değişken doğası ve birçok ağ boyunca geniş yelpazeli uygulamalar ile veri akışı dikkate alındığında, tehditlerin ağ boyunca yatay olarak yayılmasını engelleyecek etkili ve güvenli ağ segmentasyonu kurmak daha önce hiç olmadığı kadar önemli. Kuruluşlar, dahili ağı ayrıştırma güvenlik duvarlarını hizmete almanın yanı sıra makro ve mikro segmentasyon stratejilerini de oluşturarak güvenliklerini çarpıcı bir şekilde iyileştirebiliyor. Böylece tehditlerin yayılmasını engelleyebiliyor. Buradaki amaç, ağın derinliklerinde, başka bir deyişle çeperin ötesinde tutarlı ilke ve yaptırım yaratarak verilerin ve uygulamaların yanal hareketini yönetmek ve korumak.
Muazzam büyüklükteki verilerin toplanıp tek bir ortamda ilişkilendirildiği veya birlikte bağlanırlığın birçok ağ tabanlı ortamlara yayıldığı durumlarda oluşturulmuş ayrıştırma kontrollerinin, bir ağ segmentinin çeperini aşmayı başarmış ve ortam boyunca yanal hareket eden tehditleri tespit etmesi özellikle çok kritik. Ayrıştırma ve tanımlama araçları yerlerinde değilse, bu tür tehditler verileri kolayca toplayabilir, bozabilir ve çalabilir.
Melih Kırkgöz şu tespitlerde bulunuyor “Bugünün veri ihlallerinin ölçeği ve sıklığı endişe yaratırken kuruluşları mağdur olma nedenlerinin hepsi birbirine benziyor. Son derece esnek ve adapte edilebilir ağ ortamlarına sahip kuruluşların çoğu, onları koruması için hala izole olmuş ikinci nesil güvenlik çözümlerine ve stratejilerine güveniyor. Bugün güvenlik, sonradan akla gelen bir düşünce olamaz. Güvenlik için planlama, insanlar ve adapte olabilen güvenlik teknolojileriyle birlikte çalışan işlemler gerekiyor. Bu güvenlik teknolojilerinin de bugünün dijital ağlarını ölçekleyebilecek, tüm dağıtık ağ boyunca görüp koordine edebilecek ve onları hedef alan gelişmiş siber tehditlere değinmek için tek ve proaktif bir savunma sistemi olarak karşılık verecek şekilde tasarlanması gerekiyor.”