Siber Güvenlik Hijyeni Yapılacaklar Listesi

Wannacry olayının etkilerinin konuşulduğu sırada zararlı yazılımın kullandığı açığı yayınlayan “Shadow Brokers” yakın zamanda, yine NSA’den çaldıkları, zafiyet ve istismar kodlarını yayınlayacaklarını duyurdu.

Bu durumda siber güvenlik hijyen kurallarının uygulanması daha da önemli hale geldi. Bu basit kurallar kuruluş ağ ve sistemlerini bilinen tehditlere karşı koruyacak tedbirleri almamızı sağlayacak. Kaynağına göre değişse de başarılı siber saldırıları %70 ile 80’i arasındaki oranın bilinen zafiyetlerin istismar edilmesi sonucu gerçekleştiği düşünülmektedir.

Dolayısıyla başlıca düşmanımız APT’ler değil, basit zafiyetlerdir. Bunları hızlıca tespit etmek ve yönetmek için kullanabileceğiniz basit bazı kontrol noktalarını paylaşmak istiyorum. Aşağıdaki 14 başlık en azından temel düzeyde belirli bir seviyeye ulaşılmasını ve bu seviyenin sürekli korunmasına yardımcı olacaktır.

Bu kontrolleri kritik ağ ve sistemler için günlük, diğerleri için de, en uzun aralıkla ayda 1 yapmanız önerilir.

  1. Ağınıza bağlı sistemleri biliyor musunuz?
    1. Ağınızda yeni IP almış cihazları tespit edin.
    2. Kritik ağlarda (örn. DMZ, bilgi işlem, vb.) günlük olarak bu kontrol yapılabilir.
    3. Özellikle kablosuz ağınızda beliren mobil cihazlara (telefon, tablet, laptop) yakından bakmakta fayda var
  2. Ağ üzerinde çalışan uygulamaları biliyor musunuz?
    1. Güncel olmayan yazılımların en büyük tehditlerin başında geldiğini unutmayın.
    2. Kullanılan yazılımların güncel sürümlerini takip edin. (bkz. Kuruluş bilgisayarında Camtasia 5 var, Camtasia güncel sürümü 9)

    3. İşletim sistemi, office uygulamları (Excel, Word, Powerpoint, vb.) ve tarayıcı güncellemeleri özellikle çok kritik.
    4. İş için kullanılmayan uygulamların tamamınından kurtulabilirsiniz. Pek çok antivirüs uygulama denetimi (application control) yapmanıza da imkan veriyor, üreticiyle görüşmekte fayda olabilir.
  3. Zararlı yazılım müdahale stratejiniz belli mi?
    1. Wannacry benzeri fidye yazılımlar veya da agresif yayılma eğiliminde olan solucanlar (worm) için müdahale planınızı oluşturun.
  4. Güvenli konfigürasyon politikalarınız belli mi?
    1. Yeni bir sunucu veya istemci kurulduğunda izlenen prosedür belli mi?
    2. Switch, modem, router, vb. ağ cihazlarının kurulumu ve firmware güncellemeleri için yapılacakları belirleyin.
    3. Hiç bir cihazın fabrika çıkışlı kullanıcılarıyla ağınıza bağlanmamasını sağlayacak süreçleri ve kontrolleri oluşturun.
    4. Cihaz konfigürasyon değişikliklerini de kayıt altına almayı unutmayın.
  5. Sistemleriniz üzerinde bilinen zafiyetlerin farkında mısınız?
    1. Düzenli olarak zafiyet taraması yapın
    2. Hayır, sızma testi hizmeti almanız aynı şey değil. Düzenli olarak zafiyet taramaları yapmak kritik güvenlik zafiyetlerinin ağınızda barınma süresini kısaltır ve (laf aramızda) kimseye “sızma testi” adı altında Nessus çalıştırması için para vermememiş olursunuz.
    3. OpenVAS, Nikto, Vega, OWASP ZAP, vb. ücretsiz ve/veya açık kaynak zafiyet tarama yazılımlarını bile kullanabilirsiniz, hiç yoktan iyidir.
  6. Geliştirdiğiniz uygulamalar için güvenli uygulama geliştirme metodolojisi uyguluyor musunuz?
    1. Yazılım ekibi tabii ki çok dikkatli çalışıyor ve “framework” kullanıyor ama statik kaynak kod analizi yapmanız kadar etkili bir yöntem yok.
    2. Sızma testleri ve zafiyet taramaları zafiyetlerin ancak belli bir kısmını bulabilirken kaynak kod analizi çok daha fazla açığın tespit edilmesini ve kolayca giderilmesini sağlar.
  7. Kablosuz ağınızın denetimi sizde mi?
    1. Kablosuz ağınızın kuruluşunuza gelen misafirlere açık olmadığından emin olun. Bağlanan herkesin en azından kimlik bilgilerini tutmanız kanunen gerekiyor.
    2. Kablosuz ağın networkün kalanından yalıtılmış olduğundan emin olun
    3. Kablosuz ağdan gelen ve giden trafiği de denetlemeyi unutmayın.
  8. Veri yedekleriniz var ve kullanılabilir mi?
    1. Aldığınız yedekleri kontrol edin
    2. Sunucular ve veritabanı dışında da kritik verilerinizin olabileceğini düşünerek e-postalar ve excel tabloların da yedeklerini almanız gerekebilir. Kuruluş genelinde bir veri envanteri çalışması yapmak faydalı olacaktır.
  9. Bilgi güvenliği farkındalığı eğitimleri veriyor musunuz?
    1. Düzenli olarak, hatırlatma anlamında çalışanları tehlikeler konusunda bilinçlendirmek gerekiyor.
    2. Teknik ekip olarak güncel tehditleri takip etmenizi sağlayacak bir rutin oluşturmanızda fayda var. Belli başlı yabancı siber güvenlik haberi kaynaklarını belirleyip bunları en az 2-3 günde 1 ziyaret edin. Türkçe kaynaklar ne yazık ki ya 1 hafta geriden geliyor ya da üretici güdümünde ilerliyor (Bilgi olması açısından: Netsec mail listesinin belli bir grup tarafından manipüle edildiği gördüğüm için gruptan çıktım.)
    3. Üst yönetimle siber güvenlik tehditleri konusunda küçük bir bilgi toplantısı yapmanın faydası olacaktır.
  10. Yerel ağ ve internetle olan iletişimde port/protokol denetlemesi yapılıyor mu?
    1. Dışarıya açık RDP var mı? Birisi RDP veya SSH bağlantısı açsa firewall buna izin verecek mi? gibi basit soruları yanıtlamak amacıyla firewall kurallarını gözden geçirebilirsiniz.
    2. Yerel ağda hangi protokollerin konuşabileceği belli mi? Birisi içeriye FTP sunucusu kursa çalışır mı?
  11. Hangi kullanıcının hangi varlıklara (veri ve/veya sistem) erişebildiğini biliyor musunuz?
    1. İşini yapması için gerekenden fazlasına erişebiliyor mu? Erişmesini engelleyecek bir yapı var mı?
    2. Alınabilecek raporların kapsamının sınırlandırılması veya çok geniş kapsamlı raporlar alındığında bazı uyarıların verilmesi sağlanabilir.
  12. Kullanıcı hesaplarını aktif olarak yönetiyor musunuz?
    1. Kaç tane yetkili kullanıcı var? Yeni bir yetkili kullanıcı açılsa bunu fark edebilir miyiz?
    2. İstemcileri kullananlar neler yapabiliyor? Kendi sistemleri üzerinde ne kadar yetkileri var? Bu konu özellikle içeride geliştirilmiş uygulamalar konusunda sıkıntılı olabiliyor.
  13. Loglarınızın nerede olduğunu biliyor musunuz?
    1. Bir olay yaşandığında tam olarak neler olduğunu anlamak için alınması gereken logların (örn. audit loglar) nerede tutulduğunu, bunlara nasıl ulaşabileceğinizi ve bu loglar silinirse/değiştirilirse anlayıp anlayamayacağınızı kontrol etmekte fayda var.
    2. Merkezi bir log yönetimi çözümünüz varsa bunun optimum düzeyde kullanılması için (false positive dediğimiz yanlış alarmların azaltılması, performansının iyileştirilmesi, vb.) gerekenleri yapmakta fayda olabilir. Yine laf aramızda, özellikle yerli üreticileri biraz sıkıştırmak gerekiyor.
  14. Olay müdahale planınız işlevsel mi?
    1. USOM istedi diye SOME’nizi kurmuş olabilirsiniz ancak belli başlı saldırı senaryoları karşısında neler yapacağınızı test etmekte her zaman fayda var.
    2. Olay anında her şey planladığı gibi gitmezse (örneğin saldırgan SIEM’e de sızıp logların tümünü sildiyse) neler yapabileceğinizi belirlediniz mi?