Kurumlarda Ağ Güvenlik Stratejileri

Yayınlayan
Editör
Yayınlanma tarihi
25-02-2022
Okuma süresi
10 DK

Kurumlarda Ağ Güvenlik Stratejileri

 

Soğuk savaş sonrası, siber savaşlar ve siber cepheler açıldı. Ülkelerin, rejimlerin ve toplulukların dijital ortamda sağlanan bilgilerle şekillendiği günümüzde, atılacak adımları ve alınacak aksiyonları bu kapsamda değerlendirmekte fayda var. Bilgi Güvenliği alanındaki en büyük dezavantaj, çalınan bilginin farkına varmak ve sızıntının tespitinin çok zor olmasıdır. Çünkü dijital ortamda sahibi olduğunuz veya yönettiğiniz bilgi çalındığında da hala koyduğunuz yerdedir. Sizden habersiz şirket, kurum veya kişisel bilgilerinize kim, hangi ip adresinden, ne zaman erişti ve nasıl bu bilgilere ulaştığı sorusunun cevabı çoğu zaman samanlıkta iğne aramaktan farksızdır.

WikiLeaks, Edward Snowden NSA vakası ve Panama belgeleri ile bir kez daha ağ güvenliğinin sağlanması ve bu verilere erişimin takip edilmesinin ne derece önemli olduğunu görmüş olduk. Amacı veya nasıl çalıştıkları konusunda birçok teori olmasına rağmen bilginin ne büyük silah olduğu konusunda hem fikir olmamızı sağlamıştır. Kamu kurum ve kuruluşlarda sahip olunan ve gizlilik arz eden belgelerin (sağlık bilgileri, finansal bilgiler, müşteri bilgileri, sipariş geçmişi, ARGE-tasarım detayları, pazar araştırmaları, satış planları, finansal planlar, kurum içi yazışmalar, özel yaşamla ilgili bilgiler) korunması ve bu yetkili / yetkisiz erişim bilgilerinin rutin olarak gözden geçirilmesi kendi içimizde yaşanacak WikiLeaks vakalarının önüne geçecektir. Şirket çalışanlarından birisinin ilerleyen zamanlarda Julian Assange (WikiLeaks Kurucusu) rolünu üstlenirse kaybedecekleriniz sadece para değil, tekrar kazanamayacağınız marka değeriniz ve itibarınız da olacaktır.

Peki neler yapmalıyız?

Ağ Cihazları

Şirket ağ topolojisi ve kullanılacak cihazların seçimi marka ve reklam algısından uzak olmalıdır. Önemli olan sizin ihtiyacınızın ne olduğu ve bu ihtiyacı görecek ağ cihazlarının seçimidir. Anlık trafik miktarı, trafiği oluşturacak protokollerin neler olacağı, yedeklik ve siber saldırı ihtimalinin yaşanacağı noktaları belirlemek ve buna göre mimariyi oluşturmada fayda vardır.

Her bir istemcinin daha Layer 7'ye (Uygulama Katmanı) gelmeden kontrol edilmesi ve belli kontrollerden geçerek ağa dahil olması sağlanmalıdır. Örneğin şirkete gelen bir misafire verdiğiniz internet hizmeti sebebiyle, şirket sunucuları ile aynı ağa dahil olmamalıdır. Ağ segmentasyonu yapılarak sunucu, veri tabanı ve uygulama sunucuları farklı sanal ağ içerisinde yer alarak, dış erişime açılan sistemlerin hacklenmesi durumunda, zafiyet barındıran sunucu dışına erişilmesinin önüne geçilecektir.

Son günlerde hızlı bir artış gösteren DDoS saldırıları özel ve kamu kuruluşlarında ciddi servis aksaklıklarına sebep olmakta ve prestij kaybının yanı sıra parasal kayıplarında yaşandığı görülmektedir.

Firmaların bu konuda ciddi yatırımlar yaptığını fakat aynı kararlılığın çözümün konumlandırılması akabinde Logların, uyarıların ve geri bildirimlerin yönetilmesi konusunda gösterilmediği görülmektedir. Yapılan bir DDoS saldırısı esnasında wireshark v.s. araçlar ile trafiğin analizi yapılabilir ve gerekli önlemler alınabilir. Fakat atakların mesai saati dışında yapıldığında ve o anda analiz edemediğiniz durumlarda buna ek olarak yapılan bir saldırının hukuki sürecinde kanıt dokümanı olması açısından Log yönetimi entegrasyonu vazgeçilmezdir.

Log Yönetimi çözümleri ile güvenlik cihazlarının bu noktadaki entegrasyonu çok önemli olup saldırı esnasında anlık mail, sms ve script vs. geri bildirimler alınacak aksiyonları hızlandıracaktır. Log Yönetimi çözümlerine entegre edilen güvenlik cihazlarında (Firewall, IPS, IDS, WAF v.b.) istenilen Log kayıtlarının alınması , anlamlandırılması ve korelasyon çalışmaları bu noktada önem kazanmaktadır.

Log Yönetimi

Veri sınıflaması yaparak sizin için önemli olan verileri önemlilik derecesine göre sınıflandırın. Bu verilere erişimi Log Yönetim sistemleri ile takip ederek kimlerin,  ne zaman erişim sağladığını  kayıt altına almak ve bu verilerin anlık veya düzenli olarak raporlanması, yaşanacak suistimallerin önüne geçecektir.

Bilgi sızıntısında kullanılan yöntem ve tekniklerin çeşitliliği göz önüne alınırsa ve konumlandıracağımız güvenlik ürünlerinde de bu kriterlere göre karar verilirse sızdırmalara karşı alınacak önlemlerde, daha yerinde kararların alınması sağlanacaktır.

Log yönetimi projelerinde en çok karşılaşılan sorulardan birisi de “Nesne Erişim” kontrolleridir. Yani belirlenen bir dosyayı hangi kullanıcı sildi, hangi kullanıcı sahipliğini aldı veya değiştirdi vs. soruların cevabının bulunmasıdır. Maaş, özlük, satın alma raporları gibi firma veya kurum için çok önemli bilgilerin olduğu bir dosya/klasör olduğunu düşünürsek ve bu dosyalara yapılan erişimlerin kayıt altına alınması, kritik durumlarda mail, sms vb. alert mekanizmalarının oluşturulması çoğu zaman hayat kurtaracaktır.

Kurumsal ağınız üzerindeki aşağıdaki aktivitelere ait bilgilerin kayıt altına alınması ve anlık uyarı mekanizmasının kurulması gerekmektedir;

  • Güvenlik ihlallerinin anında tespiti ve delillerin toplanması
  • Cobit, PCI vb. kurum standartları
  • Performans izleme
  • Başarılı, başarısız erişimlerin tespiti
  • Yetkili/Yetkisiz erişimlerin tespiti
  • Kritik dosyalara erişimin takibi
  • Logların kaybolma ve silinme riskinin ortadan kalkması
  • Kritik olayların, alarm politikasının belirlenmesi ve ilgili aksiyonun alınması
  • Sistem yöneticilerinin takibi
  • Kullanıcı bazında usb diske kimin ne kopyaladığı
  • Donanım, ip , hostname gibi değişikliklerin takibi
  • İstemci tarafında çalışan sniffer (cain, wireshark) uygulamalarının tespiti
  • Belirlemiş olduğumuz kullanıcıların kritik durumlarda ekran görüntülerinin kaydı
  • Günün herhangi bir anında hangi kullanıcı, hangi bilgisayarlarda online olduğunun tespiti
  • Print server mimarisi içerisinde kimler hangi yazıcıdan, hangi dokümanın çıktısını aldı
  • Belirlemiş olduğumuz bir text, örneğin “TC Kimlik No ” hangi yazıcıdan ve kim tarafından çıktı alındı
  • Hangi bilgisayara, kim, hangi porttan erişmeye çalıştı
  • Kimler port taraması yaptı
  • Kimler hangi saatte VPN ile uzaktan erişim yaptı
  • Bilgisayarlarda donanım değişikliği var mı
  • Kaçak lisans kullanılan programlar ve işletim sistemleri hangileri
  • Tanımlı SSID’lerin dışında kimler şirket dışındaki kablosuz networklere bağlandı
  • Hangi kullanıcılar P2P (Emule, Kazaa v.s) uygulamaları kullanıyor
  • En çok network aktivitesi hangi bilgisayarlardan yapılıyor, (virüs, trojan) belirtisi
  • Hangi kullanıcılar, hangi dokümanın veya gizli evrak ekran görüntüsünü aldı
Siber İstihbarat

Yapılan tüm bu yatırım ve çalışmalar var olan bilginin korunması adınadır. Fakat olası bir sızıntıdan haberdar olmanız için bir kulağınızın dışarıda olması veya sizin adınıza dijital ortamda bu bilgileri sağlayacak servisler ile çalışmanızda fayda var. En büyük veri sızıntıları afişe olmamış hack vakalarıdır. Bu makaleyi okurken bile birileri sizin sistemlerinize sızmış ve şirketinize ait ihale, finans veya mahrem bilgilerinizi alıyor olabilir. Uygulama ve sunucularınızı yılda bir kez güvenlik testine tabi tutmak artık eski bir yöntem ve yanlış algıdır. Rakip firmalar, istihbarat örgütleri veya kızgın bir müşterinin hedefindesiniz. Onların silahı ile kuşanmadığınız sürece dijital ortamda ayakta kalmak mümkün değildir.

Diğer Blog Yazıları_

Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Infraskope Server ve Özellikleri
Infraskope Server ve Özellikleri
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kurumlarda Ağ Güvenlik Stratejileri
Kurumlarda Ağ Güvenlik Stratejileri
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
Log Yönetiminde Ajanlı/Ajansız Çözümler
Log Yönetiminde Ajanlı/Ajansız Çözümler
Herkesin aklındaki soru: Yapay Zeka Nedir?
Herkesin aklındaki soru: Yapay Zeka Nedir?
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Web Cache Poisoning
Web Cache Poisoning
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
ARP Poisoning
ARP Poisoning
Cross-Site Request Forgery (CSRF) Zafiyeti
Cross-Site Request Forgery (CSRF) Zafiyeti
SSRF (Server Side Request Forgery)
SSRF (Server Side Request Forgery)
BlueBorne
BlueBorne
Server Side Template Injection Nedir?
Server Side Template Injection Nedir?
Linux Restricted Shell Atlatma Teknikleri
Linux Restricted Shell Atlatma Teknikleri
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
SDR-Sharp Kullanımı
SDR-Sharp Kullanımı
Log Yönetimi | Log Management | Veritabanı Log | Siem
Log Yönetimi | Log Management | Veritabanı Log | Siem
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Phishing Nedir?
Phishing Nedir?
“GOLD” Affix Phishing Attack
“GOLD” Affix Phishing Attack
Sızma Testi ve Ödül Avcılığı Hizmetleri
Sızma Testi ve Ödül Avcılığı Hizmetleri
Güvenilir Olarak CAPTCHA Yapılandırılması
Güvenilir Olarak CAPTCHA Yapılandırılması
Basit Kriptolojiden Günümüze Evrilişi
Basit Kriptolojiden Günümüze Evrilişi
Dosya Sistem Analizinin Önemi
Dosya Sistem Analizinin Önemi
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Sızma (Penetrasyon) Testi Nedir?
Sızma (Penetrasyon) Testi Nedir?
Start Up Kültürü
Start Up Kültürü
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Kritik Altyapılar ve SCADA Güvenliği
Kritik Altyapılar ve SCADA Güvenliği
Zararlı Yazılım Analiz Teknikleri
Zararlı Yazılım Analiz Teknikleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
PHISHING Hakkında Her şey
PHISHING Hakkında Her şey
Sosyal Mühendislik Nedir?
Sosyal Mühendislik Nedir?
Siber Hijyen
Siber Hijyen
Adli Bilişim (Digital Forensic) Nedir?
Adli Bilişim (Digital Forensic) Nedir?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
SolarWinds Vaka Analizi
SolarWinds Vaka Analizi
Frida ile SSL Pinning Bypass
Frida ile SSL Pinning Bypass
COOKİE Nedir? Nasıl Çalışır?
COOKİE Nedir? Nasıl Çalışır?
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Adwind Rat Technical Analysis Report (ENG)
Adwind Rat Technical Analysis Report (ENG)
SOC Nedir, Firmalar İçin Neden Önemlidir?
SOC Nedir, Firmalar İçin Neden Önemlidir?
Blockchain Nedir?
Blockchain Nedir?
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
Active Directory Güvenlik İpuçları
Active Directory Güvenlik İpuçları
Nisan 2022 Siber Güvenlik Bülteni
Nisan 2022 Siber Güvenlik Bülteni
Mavi Takım Üyeleri İçin Windows Core Process
Mavi Takım Üyeleri İçin Windows Core Process
Kişiler İçin Bilgi Güvenliği Rehberi
Kişiler İçin Bilgi Güvenliği Rehberi
DDoS Nedir?
DDoS Nedir?
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
C Dilinde Dosya Yönlendirmeleri (IO Redirection)