Uzaktan Çalışma Modellerinde Siber Güvenlik... - Gais Security- Gais Siber Güvenlik Teknolojileri

Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri

1. GİRİŞ

Dünyanın en yoğun popülasyona sahip ülkesi olan Çin’ de ki sosyal izolasyonu tam anlamıyla gerçekleştiremeyeceğiniz bir ülkede pandemi haline gelen ve yüzyıl boyunca bu ağır hasar bırakan Covid-19 (Korona Virüs) virüsüyle, bütün insanlık mücadele etmektedir. Sağlık uzmanlarının, virüsle mücadelede dikkat edilmesi gereken en önemli hususun “sosyal izolasyon” olduğunu söylemeleri, şirketlerin uzaktan çalışma modellerini uygulamasına sebep olmaktadır.

Uzaktan çalışma, çalışan bireyin işveren tarafından oluşturulan iş organizasyonu kapsamında iş görme edimini çeşitli teknolojik araçlarla işyeri kapsamı dışında yerine getirdiği çalışma şeklidir.

Uzaktan çalışma modellerinde birçok teknolojik ürünün kullanılması durumu, alınacak olan önlemlerin de sayılarını arttırmaktadır. Uzaktan çalışma modellerinde risk altında bulunan kapsamın birçoğunu karşılayan şirketlerin verilerinin korunabilmesi için kriz planlamaların iyi tasarlanması gerekmektedir. Kriz planlamaları, kriz esnasında değil, öncesinde pratik olarak deneyimlenmesi gerekirken, çalışanların da bu deneyimlerden faydalanmaları yine şirketlerin verilerinin daha sağlıklı korunabileceğini göstermektedir.

İçerisinde bulunduğumuz internet çağındaki teknolojik ilerlemeler, çalışan bireylere rahatlık neticesinde getirmiş olduğu lüks, dezavantajlarıyla birlikte gelmektedir. Uzaktan çalışma modellerinde güvenlik risklerine dikkat edilmemesi, çalışanların sadece kendi gizliliklerini riske atmayıp, aynı zamanda çalıştıkları şirketlerin güvenliğini de ihlal etmesine sebep olmaktadır. Gizliliğin korunmaması ve güvenliğin ihlal edilmesi, uzaktan çalışma modellerinde bilgi güvenliğini tehdit etmektedir. Ofis ortamında gerekli güvenlik önlemlerinin alınmış olduğunu varsayarsak, bireyler oluşturulmuş güvenlik katmanların arasında çalıştıkları için bilgi güvenliği ihlalleri zorlaşırken, bireysel olarak alınmayan önlemlerin bu riskleri arttırmasına ve gerçekleşebilecek ihlallerin kolaylaşacağını göstermektedir.

2. UZAKTAN ÇALIŞMA ve GÜVENLİK RİSKLERİ

Uzaktan çalışma modelleri uygulanırken oluşabilecek birçok dijital risk mevcuttur. Bu riskler, çalışan bireyleri dolayısıyla da bireyin çalıştığı şirketleri de tehdit etmektedir. Siber güvenlik alanında önem arz eden bu risklerden sırasıyla bahsedelim.

2.1 Güvenli Olmayan Wi-Fi (Wireless Fidelity/ Kablosuz Bağlantı Alanı) Ağları

Sosyal izolasyonun sağlanması adına çalışma ortamında internet bağlantısı olan çalışan bireylerin aksine çalışma ortamında internet bağlantısı olmayan bilinçsiz çalışanların güvenliğinden emin olmadığı ortak Wi-Fi alanlarında (parklar, belediye hizmetleri vb.) şirket ağına dahil olarak çalışması, verilerin izolasyonu açısından büyük bir risk taşımaktadır. Çalışanların, ortak Wi-Fi ağlarına bağlanan saldırganların network ağını dinlemesi neticesinde, çalışanın ve şirketin bilgilerini saldırganın önüne sunması demektir. Sunulan bu bilgilerin içerisinde bulunan bilgisayarınızın IP adresi ‘basit gelebilecek’ bir bilgi olabilir; fakat bütün felaketin başlamasına atılan en büyük adımdır.

 

2.1 Kullanılan Cihazlar

Çalışanın, uzak bağlantı için kullanacağı teknolojik ürünlerin (bilgisayar, cep telefonu vb.) risk oluşturan yazılımlara karşı korunması gerekmektedir. Şirket ağına dahil edilen bilgisayar veya cep telefonun kullanımı esnasında şahsi ihtiyaçlar için kullanılmamalıdır. Bilgisayardan erişim sağladığınız herhangi bir web sitede saniyeler içerisinde açılıp kapanan belki de dikkatinizi çekmeyecek Pop-up ekranlarının açılması, arka planda bilgisayarınıza zararlı yazılım yükleyebilir. Cep telefonunuzdan sosyal medya araçlarını kullanarak erişim sağlamanız da bilgi güvenliği açısından risk taşımaktadır. CookiTheft2 (Çerez Hırsızlığı) yapılan saldırının kaynağı, android tabanlı ücretsiz bir yazılım olarak tespit edilmiştir. Bu tarz uygulamaları telefonunuza yüklemeniz halinde backdoor (arka kapı) veya oltalama saldırılarına maruz bırakılarak sisteme zarar vermeden bütün bilgileriniz saldırganların ellerine geçebiliyor.

“Youzicheng”3 adlı uygulama, mobil platformlarda bulunan bir riske daha örnek verilebilir.  Sosyal medya hesabınızda iki adımlı güvenlik seçenekleri oluşturmanıza rağmen, bu zararlı yazılım ikincil bir proxy server oluşturarak şüpheli erişimleri coğrafi konumuzu taklit ederek engelleyebiliyor.

Şekil 2. PDF uzantılı bir belgenin dizin köküne enjente edilen zararlı nesne olduğu ve belirlenen IP adresi ve port ile iletişimde olduğu tespit edilmiştir. [4]

Şekil 3. PDF uzantılı belgenin içerine enjekte kod ile “readnotify.com” adresi ile iletişimde olduğu görülmektedir.[4]

Ayrıca hastanelerde kullanılan ve internet ağlarıyla raporlamalar için paylaşım sağlayan tıbbi cihazların, hastaların kişisel bilgilerinin korunması adına gerekli önlemler alınmalıdır. Bu önlemlerden bahsedeceğiz.

3.1 Kurumsal E-postaların Kullanımı

Kurumsal E-posta adreslerinin kullanımı iletişimin daha zor olduğu, özellikle uzaktan çalışmaların olduğu bir dönemde yoğun kullanılması gelen e-posta ve içeriklerine daha dikkat edilmesini gerektirir. Saldırganlar, çeşitli sahte ve dikkat çekici içerikler hazırlayarak bağlantıyı indirmenizi veya verilen linke erişim sağlamanızı ister. Bilinmeyen içeriklerin indirilmesi zararlı yazılımların bilgisayarınızda bulunan bilgilere saldırganın erişmesini sağlayacaktır. Günümüzde Covid-19 virüsü ile alakalı ‘outbreak map’ (salgın haritası) içeren e-postalar ile kullanıcının kolaylıkla yönlendirilebildiğini söyleyebiliriz.

E-postalar aracılığı ile popüler olan bir saldırı türünden bahsedeli: Phishing. “Phishing” yani oltalama olarak bilinen bir bu saldırı türü hedefli veya hedefsiz olabilmektedir. Spear Phishing saldırıları, hedefli oltalama saldırıları olup, normal akış (şirket çalışanlarından birini taklit etmek) üzerinden gelen e-postalar gibi görünebilir. Vishing saldırısı telefonla gerçekleştirilen bir saldırı olup, ‘durumun acil’ olduğunu belirten iletiler ile süslenebilir. Oltalama saldırılarında parolalarınız, kredi kartı bilgileriniz gibi önemli bilgiler de saldırganların eline geçebilir. Kurumsal e-postalar kullanırken bilinmeyen kullanıcıdan gelen e-postalara kesinlikle dikkat edilmelidir. 

Şekil 4. Phishing (Oltalama) Saldırıları [5]

3.2 Hesaplarda ve Cihazlarda Kullanılan Parolalar

Günümüzde gelişen saldırı teknikleriyle birlikte saldırıların hacimlerinin de artış gösterdiği görülmektedir. Cihazlarda ve hesaplarda kullanılan parolalarınız ‘güçlü’ değilse, saldırganların kütüphanelerinde olması muhtemeldir. Belirlenen parolaların çeşitli karakter ve uzunlukta olması gerektiğine dikkat edilmelidir.

 

Şekil 5. Basit ve Zayıf Bir Parola Örneği [6]

3.3 Uzak Bağlantı Araçları (RDP)

Uzak bağlantı modellerinin temel yapı taşını oluşturan RDP yani uzak masaüstü protokolü (Remote Desktop Protocol) bir kullanıcıya ağ bağlantısı üzerinden başka bir bilgisayara bağlanmak için grafik arabirim sağlayan özel bir protokoldür. [7] Check Point Research topluluğu RDP protokolünde 05/02/2019 tarihinde yayınlamış olduğu “Reverse RDP Attack: Code Execution on RDP Clients“raporunda olağan bir işletim sistemini ‘reverse attack’ (tersine saldırı) yöntemiyle BT ağının komple ele geçire bileneceğine dair toplam 25 adet güvenlik açığı yayınlamıştır. Bu açıklar sayesinde saldırgan yükseltilmiş ağ izinlerini alarak bütün sisteme zarar verebilir.

4. RİSKLERE KARŞI ALINMASI GEREKEN GÜVENLİK ÖNLEMLERİ

Uzaktan bağlantı modellerinde karşılaşılabilecek güvenlik risklerini göz önünde bulundurduğumuzda, iş akışını ve hayatı kolaylaştıran uzak bağlantı modellerinde alınması gereken birçok önlemler vardır. Bu önlemlerin birçoğu her ne kadar yazılımsal olsa bile bireylerin veya şirketlerin cihaz ve fiziksel önlemler de alması gerekmektedir.

Günümüzde COVID-19 virüsüyle mücadelede birçok ülke tarafından sağlanmaya çalışan ‘sosyal izolasyon’ neticesinde, şirketler sosyal izolasyonu sağlayabilmek adına uzak çalışma modellerini sağlamaktadırlar veya sağlamalıdırlar. Uzaktan çalışma modellerini sağlanırken siber güvenlik önlemlerinin alınması konusunda dikkat edilmesi, şirketlerin verilerinin izolasyonlarını da sağlayabilmeleri demektir. Alınması gereken tedbirlere bir göz atalım.

4.1 Network Güvenliği

IBM şirketinin 2018 yılında yayınladığı rapora göre Amerika’ da 1000’ den fazla şirketin dahil edildiği analizde %76’ sının DDoS (Dağıtık Servis Engelleme) saldırılarına uğradığı ve şirketlerin DDoS saldırıları neticesinde saatte 250.000 $ kaybettiği bilgisi paylaşılmıştır. Güvenliğin en önemli bileşenlerinden olan “kullanılabilirlik” ilkesinin ihlal edilmesi, DDoS saldırılarına geçit vermektir. Dünya’ da ise “kullanılabilirlik” ilkesinin ihlalleri gün geçtikçe artmaktadır.  Bu saldırıyla amaç, bilgi hırsızlığı yapmak değil, sistemleri kullanılamaz hale getirmektir. DDoS saldırıları tamamen önlemez; fakat kısıtlanabilir. DDoS saldırıları ne yazık ki engellenemezken hedef olma ihtimalini ve saldırı etkilerinin azaltılmasını sağlayabilecek bazı yöntemler bulunmaktadır. [9]

  • Öncelikle şirketlerin network altyapılarını iyi tasarlanmış olması gerekmektedir. Bununla birlikte TCP/ IP bilgisinin üst düzey olması risk önlemlerinin başında gelir.
  • Saldırganların hedef sistemlere gönderdikleri paketler ilk olarak router’ dan geçer ve sırasıyla diğer sistemlere iletilir. Saldırıya maruz kalan ilk sistem router’ lar olduğu için router’ larda ‘erişim kontrol listesi’ oluşturularak saldırının etkisi azaltılabilir.
  • Güvenlik duvarlarında gerekli kurallar oluşturularak sisteme zarar verilmesinin etkisi azaltılabilir. Özellikle güvenlik duvarlarında ‘rate limiting’ özelliğin kullanılması belirli bir IP adresinden gelecek olan maksimum paket sayısının (sınır) belirlenerek sınırı aşan IP adreslerinin engellenmesi sağlanabilir.
  • Donanımlı ve tecrübeli BT uzmanları tarafından internet trafiğinin 7/24 izlenmesi gerekmektedir.

 

BT uzmanlarının network trafiğini dinlerken, ilerleyen süreçte aynı problemlerle karşılaşılması durumda daha hızlı aksiyon alınabilmesi adına SIEM (Security Information Event Management, Bilgi Güvenliği Olay Yönetimi) ürünleri kullanılmalıdır. SIEM ürünleri sadece log kayıtlarından ibaret bir ürün olarak düşünülmemeli, siber istihbarat raporları sürekli takip edilerek gerekli korelasyon oluşturulmalıdır. SIEM ürünleri, güvenlik duvarlarını destekleyen ve alarm üretip, bu alarmları loglayan IDS (Intrusion Detection System, Saldırı Tespit Sistemi) ürünleridir. Uzaktan çalışma modellerinde yeri çok önemli SIEM ürünleri BT uzmanları tarafından 7/24 süreyle takip edildiği sürece verim sağlanabilmektedir. SIEM ürünleriyle alakalı daha detaylı bilgilere buradan ulaşabilirsiniz.

Şirketlerin local networklerine dahil olabilmek için kullanılan ve gizliliği temelinde bulunduran VPN (Virtual Private Network, Sanal Özel Ağ) kullanımı güvenlik risk yönetim sürecinin temel yapını oluşturmaktadır. VPN ürünlerinin kullanımı esnasında aşağıdaki maddelere dikkat edilmelidir.

  • Sunucunun hız ve ping kontrolünden geçmiş olması,
  • Sürekli erişebilir olması,
  • Kullanıcı yükünü dengeleyen bir yapıya sahip olması ve son olarak
  • Sunucunun kara listeye yazılmamış ve IP’lerinin kaliteli olması gerekmektedir.[10]

VPN hizmetleri, iki farklı protokol üzerinden çalışmaktırlar. Bu protokoller IPSec (Internet Protocol Security, İnternet Protokolü Güvenliği) ve SSL (Secure Sockets Layer, Güvenli Yuva Katmanı)’ dir. IPSec VPN protokolü güvenli bağlantı sağlamasıyla beraber yüksek maliyetli olması kullanımını zorlaştırmaktadır. Bu sebeple SSL VPN protokolü ekonomik olduğu için daha fazla tercih edilmelidir.

SSL VPN ile aşağıdaki durumlar sağlanmış olur:

  • VPN ile bağlanmış olan tüm ağlar, sanki aynı ağdaymış gibi çalışır.
  • Hızlı ve sadece kurulum maliyeti olan bir ağ mimarisi oluşmuş olur. Kullanıcı ya da yazılım için lisans bedeli ödenmez.
  • Ek bir donanıma gerek kalmamış olur.
  • Kurumlar, şubeler ve bölgeler arasında SSL sertifikalı şifreli bir iletişim sağlanır.
  • Merkez ve diğer lokasyonlar arasında merkezden yönetilebilir bir ağ yapısı sağlanmış olur.
  • Ağlardaki yerel ağ alt yapısı veya IP adresleri değişmeden, SSL teknolojisi ile güvenliği sağlanan bir veri iletim ortamı oluşur.
  • Yönetici tarafından erişim izinleri farklı olarak atanabilir ve böylece bazı kaynaklara erişim kısıtlanabilir. Erişimin kısıtlanabilir olması bir güvenlik önlemidir. Örneğin bir şirket, iş ortağının sadece hafta içi mesai saatleri içerinde ağ kaynaklarına erişim izni vermek isteyebilir. Böylelikle sistem hep kontrol altında tutulur. [11]

4.2 Kullanılan Cihazların Güvenliği

Şirket ağlarında kullanılacak olan ve çalışan bireylere tahsis edilecek olan cihazların güvenli bir şekilde kullanılmasına dair şirketlerin bireyleri bilinçlendirmesi adına bireylere eğitimler verilmelidir. Verilecek olan eğitimlere buradan  ulaşabilirsiniz.

Cihazlara sağlanan istem dışı erişimler neticesinde cihazlarda arka planda çalışacak zararlı yazılımların (malware) tespiti için gerekli analizler yapılmalı veya otomatize edilmiş yazılımlar kullanılmalıdır. Zararlı yazılım tespit yazılımları ile Phishing (Oltalama), Ransomware (Fidye Yazılımı) ve Spam (İstenmeyen E-posta) saldırıları da engellenmiş olur. Otomatik ve etkileşimli zararlı yazılım analiz sistemlerine buradan  ulaşabilirsiniz. Ayrıca çalışan bireylere tahsis edilen cihazların fiziksel olarak çalınmasına karşın, cihazların disklerinin mutlaka şifrelenesi gerekmektedir.

Son zamanlarda T.C. Sağlık Bakanlığı’ na ait olduğu iddia edilen bir belge yayınlandı. İlk bakışta profesyoneller tarafından ‘sahte’ olduğu anlaşılan belgenin, dizinine malware enjekte edilip edilmediği konusunda bilinci olunması gerekmektedir.

4.3 Parola Güvenliği

Günümüzde belki de unutulduğu için kullanılan basit parolalar, sistem ihlallerinin önüne geçmenize engel olacaktır. Bahsettiğimiz gibi gelişen siber saldırı teknikleri ile birçok parola saldırganların kütüphanelerinde kayıtlıdır. Kütüphanelerde kayıtlı olan bu parolalar ile bruteforce (kaba kuvvet) saldırı teknikleri ile hesaplarınıza erişim kolaylaşacaktır. Hesaplara erişimleri iki kademeli kimlik doğrulaması yöntemiyle desteklenmesi gerekmektedir. Kullanıcılar parolaları ile giriş yaptıktan sonra SMS vb. yöntemler ile iletilecek olan tek kullanımlık anahtarla giriş yapması parolanızın güvenliğini oluşturmak için önemli bir adımdır. Yine bruteforce ataklarını engellemek için Carnegie Mellon School of Computer Science tarafından geliştirilen ve insan ve bilgisayarların davranışlarını ayırt eden CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) kullanılmalıdır. CAPTCHA, doğrulama diyebileceğimiz bir tür mekanizma olduğu için güvenlik yapılandırması yine bruteforce ataklarını engellemek için dikkat edilmesi gerekmektedir. CAPTCHA güvenliğinde dikkat edilmesi gereken konulara buradan ulaşabilirsiniz.

Belirli aralıklar güncellenmeyen parolalar ile SIM kart ataklarının önüne maalesef geçemezsiniz. SIM kart kopyalanabilir veya son zamanlarda keşfedilen Simjacker saldırısına benzer olan WIBattack [12] yöntemiyle, konum verilerini alma, aramayı başlatma, sms gönderme, cihazda metin görüntüleme, URL ile tarayıcı başlatma gibi komutlara maruz kalınabilir.

Şekil 7. Ginno Güvenlik Laboratuvarında Simüle Edilen WIBattack Şeması [12]

Parolaların en az 8-12 karakterden oluşması, basit olmaması ve kesinlikle kişisel bilgiler (isim ve soy isim, doğum tarihi vb.) ile alakalı olmamalıdır. Sosyal mühendislik ile çalışanların kişisel bilgileri çok kolay tespit edilebilir. Uzun belirlenen parolaların unutulmaması için dijital ortamlara güvenlik önlemi almadan kaydetmek veya yedeklemek de problem oluşturduğu için parolalarınızı cloud sistemleri kullanarak muhafaza etmek mümkündür.

4.4 İletişim Güvenliği

Dünya genelinde popüler olup tercih edilen iletişim uygulamalarının güvenlikleri hakkında şirketler her ne kadar açıklama yapmış olsa da günümüze kadar bu uygulamalardan bilgilerin sızdırılabildiği gözlemlenmektir. Kullanılan iletişim uygulamalarının, dışarıda bulunan sunucular aracılığı ile haberleşmesi, gelen ve giden mesajların şifrelenmesinin önüne geçiyor. En sağlıklı iletişim kanalı, şirket ağları içerisinde bulunan sunuculara kurulacak olan şifreli iletişim kanallarıdır. Sunucu güvenliği sağlandığı sürece, iletişim uygulamasındaki sohbetlere, belgelere, görüntülere vb. erişim imkanı vermeyecektir. Şifreli iletişim sistemini buradan inceleyebilirsiniz.

4.5 Verilerin Güvenliği

Gerçekleşebilecek birçok saldırıya karşı alınan önlemlere rağmen yine de tedbirli olmak gerekmektedir. Şirket verilerinin düzenli olarak cloud (bulut) sunucularına yedeklenmesi gerekmektedir. Saldırganların fiziksel veya sanal olarak şirket bilgilerine erişmesi ve sizin bu bilgilere ulaşmasını engelleme çalışması içerisinde olduğunu düşünerek bilgilerin, belgelerin ve dahi parolaların bulut sistemlerinde yedeklenmesi, veri izolasyon sürecinin bir parçasıdır.

5. SONUÇ

Uzaktan çalışma modelleri genel itibariyle “acil” durumlarda kullanılmaktadır. Acil durumlarda kullanılması gereken bu modelin güvenliği söz konusu olduğundan, acil durumlardan önce planlaması yapılmalıdır. Aksi takdirde AR-GE süreci kısa sürede sağlıklı bir şekilde sürdürülemeyeceğinden ilerleyen süreçlerde daha büyük kayıplara sebep olabilir.

Günümüzde COVID-19 virüsüyle mücadele kapsamında sosyal izolasyon uygulanmaktadır. Sosyal izolasyon uygulaması neticesinde şirketler uzaktan çalışma modellerine geçmek durumunda kalmışlardır. Bu aşamada veri izolasyonlarının da şirketler açısında önemi fazladır, şayet yaşanabilecek veri kayıplarında sosyal izolasyondan dolayı fiziksel müdahalelerde geç kalınabilir. BT yatırımlarının uzun vadeli yapılacağı ve veri izolasyonunu sağlıklı bir şekilde yürütülebileceği unutulmamalıdır. Local network dahilinde uygulanan güvenlik tedbirlerinin daha sıkı bir şekilde gözden geçirilerek, uzaktan çalışma modellerinde uygulanması çerçevesinde kullanılan güvenlik ürünlerinin her biri birbirini tamamlamaktadır.

Kamu kurumları ve özel sektör firmaları tarafından uzaktan çalışma modelleri uygulanmaya başlanan Türkiye’ de COVID-19 ile mücadele esnasında özellikle sağlık kuruluşlarının odak noktaları değiştiği için dijital ortamlarda güvenlik zafiyetlerinin oluşmaması için çeşitli siber güvenlik ve teknoloji firmaları tarafından ücretsiz bir şekilde destek verilmektedir.


Yunus Emre ÇOBAN 29.03.2020