SANS 20 KRİTİK SİBER GÜVENLİK KONTROLÜ

Sparta Bilişim olarak SANS 20 Kritik Siber Güvenlik Kontrolüne uygun siber güvenlik denetimleri gerçekleştiriyoruz.
SANS tarafından hazırlanmış ve dünyada kabul gören bu kritik siber güvenlik noktalarının açıklamaları ve hedefleri bu yazıda yer almaktadır.
Her ölçekte kuruluşun bu başlıklar doğrultusunda gerekli güvenlik tedbirlerini alması siber güvenlik seviyelerine ciddi derecede olumlu katkı sağlayacaktır.

SANS 20 KRİTİK SİBER GÜVENLİK KONTROLÜ SANS Enstitüsü tarafından kuruluş güvenlik tedbirlerinin değerlendirilmesi ve iyileştirilmesi amacıyla geliştirilmiş bir dizi kontrollerdir.

Bu kontroller kuruluşun güncel siber saldırılara karşı savunma becerilerini ortaya koyarken, siber güvenlik iyileştirme ve yatırımları için bir yol haritası oluşturulmasına yardımcı olur.

Bu dokümanda maddeler halinde kritik siber güvenlik kontrol noktaları ve hedeflerine yer verilmiştir.

1. Yetkili ve Yetkisiz Cihaz Envanteri Çıkartılması

İlk kontrol noktası siber saldırılara karşı en basit korunma mekanizması olmakla birlikte kuruluşlar için zor bir süreç olabilmektedir. Bu madde ile önerilen; ağda yer alan cihazların tümünün ve hangi cihazın kime ait olduğunun belirlenmesi ve yetkisiz cihazların ağa dahil olmasını engellemek için izin verilen cihazların bir listesinin oluşturulmasıdır.

Kuruluşlar yalnızca cihazların doğru bir envanterini çıkartmakla kalmayıp aynı zamanda bilinmeyen cihazları da tespit edebilmeli ve mevcut cihazlarda gerçekleşen değişiklikleri de izleyebilmelidir.

Ağda yer alan tüm donanımları aktif olarak yönetebilmek (envanterini çıkarmak, takip etmek ve doğrulamak) ve böylece yalnızca izin verilmiş olan cihazların ağa erişim sağladığından emin olup, izin verilmeyen ve yönetilmeyen cihazların da tespit edilerek ağa erişim sağlayamayacağından emin olmak hedeflenir. Donanım envanterinin mutlaka periyodik olarak çıkartılması gereklidir. Böylece sisteme sonradan dahil olan ya da yetkisiz erişim sağlamaya çalışan cihazlar fark edilebilecektir.

2. Yetkili ve Yetkisiz Yazılım Envanteri Çıkartılması

İlk kontrol noktasına benzer şekilde, kuruluş ağında kapsamlı bir envanter çalışması yapılması önerilir ancak bu defa çalışma ağdaki yazılımlar için yapılacaktır.

Kuruluşlar sistemlerinde yer alan, yüklenmiş tüm yazılımları ve bu yazılımları kimin yüklediğini ve yazılımların hangi fonksiyonları gerçekleştirdiğini bilmelidir. Yetkili yazılımların doğru bir envanterini çıkartarak bir whitelist (beyaz liste) ve yetkisiz yazılımlar için bir blacklist (kara liste) oluşturulabilecektir. Bu sayede kuruluşların potansiyel siber güvenlik olaylarına daha doğru ve hızlı bir yanıt vermesi mümkün olacaktır.

Beyaz liste ve bütünlük kontrolü yapılması ve bunların birlikte çalışması, bunların dışında kalan yazılımların ise sistemde yaptığı değişikliklerin kaydının alınabiliyor ve raporlanabiliyor olması gerekir.

Ağda yer alan tüm yazılımları aktif olarak yönetebilmek (envanterini çıkartmak, takip etmek ve doğrulamak) ve böylece yalnızca izin verilmiş olan yazılımların sisteme yüklendiğinden ya da sistemde çalıştırılabildiğinden, izin verilmeyen ve yönetilmeyen yazılımların ise tespit edilerek yüklenmesinin ya da çalıştırılmasının engellendiğinden emin olmak hedeflenir.

Yetkili uygulamaların istemci ve sunucularda ayrı envanterlerinin çıkartılması ile bu madde gerçekleştirilebilecektir.

3. Yazılım ve Donanım için Güvenli Yapılandırma

Yetkili ve yetkisiz yazılım ve donanımların doğru bir envanteri çıkartıldıktan sonra, saldırı yüzeyini kontrol etme, en aza indirme ve ağı koruma altına alma aşamasına geçilebilir. Yazılım ve donanımların doğru şekilde yapılandırılması ile kuruluşların güvenlik duruşu güçlendirilebilecek, aynı zamanda uygulama ve işletim sistemlerinin istismar edilmesi engellenebilecektir. Varsayılan parola ve hesapların kullanımı, eski tarihli veya güvenilir olmayan protokoller, açık portlar, bilinmeyen ya da ilgisiz yazılımlar tespit edilmesi gereken güvensiz yapılandırmalara örnek gösterilebilir.

Mobil cihazlar, dizüstü ve masaüstü bilgisayarlar ve sunuculardaki yazılım ve donanımların konfigürasyonlarının güvenli şekilde yapılandırılması gerekmektedir. Saldırganların savunmasız noktaları istismar etmelerini engellemek için bir yapılandırma yöntemi geliştirmek, güvenlik yapılandırmasını oluşturmak ve yönetmek (izlemek, raporlamak ve düzeltmek) hedeflenir.

4. Zafiyet Taraması, Zafiyet Değerlendirmesi ve Düzeltmeler

Siber saldırıların neredeyse tamamı bilinen güvenlik açıklarından faydalanılarak gerçekleştirilmektedir. Bu bilgi ışığında kuruluşların düzenli olarak güvenlik açıklarını taramaları önerilmektedir. Güvenlik açıklarının değerlendirilmesi ile kuruluşun kritik bilgi varlıkları tanımlanır ve güvenliği tehdit eden açıklar ortaya çıkartılarak iyileştirme çalışmaları yapılabilir.

Kuruluşun güvenlik duruşunu izlemek, değerlendirmek ve düzeltmek adına çok önemli bir maddedir. Kapsamlı bir güvenlik açığı yönetim programı yürütmek, saldırıları tespit etmek, saldırganlar için fırsat oluşturabilecek açıkları en aza indirmek ve risk yönetimine proaktif bir yaklaşım sergilemek için düzenli olarak güvenlik açığı değerlendirmelerinin yapılması hedeflenir.

5. Yönetici Yetkilerinin Kontrollü Kullanımının Sağlanması

Bu kontrol noktasında yönetici yetkilerinin makul seviyelere çekilmesi hedeflenmektedir. Yönetici yetkilerinin yalnızca işin etkin bir şekilde yapılabilmesine yetecek kadar sınırlandırılması ve yalnız bu erişim seviyesine ihtiyaç duyan kişilerce kullanılabilmesi anlamına gelmektedir. Yönetici düzeyinde yetkilerin sınırlı sayıda çalışan ile sınırlandırılması sonucu kuruluşlar çalışanların hatalarından kaynaklanabilen güvenlik ihlallerinden etkilenme olasılığını azaltabilecektir. Siber saldırganların yönetici yetkileri bulunan bir kullanıcı sayesinde zararlı yazılım içeren bir dosya veya oltalama saldırısı ile hedef sisteme sızması ve aynı yetkilerle var olması riski düşürülecektir.

Kuruluştaki bilgisayarlarda, ağlarda ve uygulamalarda yönetici ayrıcalıklarının kullanımını, atanmasını ve yapılandırılmasını izlemek, kontrol etmek, önlemek ve düzeltmek hedeflenir.

6. Logların Tutulması ve Analizi

Loglar; yaşanması muhtemel bir güvenlik ihlalinde olay tespiti ve müdahalesi için bilgi sağlayabilecek en önemli bileşenlerdir. Güvenlik loglarını izlemeyen ve analiz etmeyen kuruluşların muhtemel bir saldırıyı tespit etmesi, anlaması veya bu saldırıdan kurtulması çok zordur. Kuruluşlarda logların tamamını incelemek için gerekli zaman veya uzmanlığa sahip yeterli personel bulunmaz ve bu nedenle de sistemlerine olası izinsiz girişler veya ihlaller sürekli olarak takip edilemez.

Bu kontrol noktası ile olası bir saldırının tespit edilmesine, anlaşılmasına veya saldırı sonrası durumun düzeltilmesine yardımcı olabilecek logların toplanması, yönetilmesi ve analiz edilmesi hedeflenmektedir.

7. E-posta ve Web Tarayıcı Korumaları

Siber saldırıların birçoğu web tarayıcıları ve e-postalar aracılığıyla gerçekleştirilmektedir. Tarayıcı ve e-postalar siber saldırganların kuruluş personelleri ile doğrudan temas kurabildikleri 3 noktadan 2’sini teşkil eder. Saldırı yüzeyini küçültmek ve siber saldırganların insan davranışlarını manipüle ettiği oltalama (phishing) gibi sosyal mühendislik saldırılarının zararlarını en aza indirmek için web tarayıcıların ve e-posta sistemlerinin korunması önerilir.

Yalnızca tam olarak desteklenen, güncellenmiş ve onaylanan e-posta istemcileri ve web tarayıcılarının kullanımına izin verilerek, kuruluş çalışanlarının zararlı yazılım, veri kaybı ve diğer birçok siber saldırının kurbanı haline gelmesinin önüne geçilebilir.

Saldırı yüzeyini ve saldırganların, web tarayıcıları ve e-posta sistemleriyle etkileşimleri yoluyla insan davranışlarını manipüle etme çabalarını en aza indirmek hedeflenir.

8. Zararlı Yazılımlara Karşı Tedbirler

Zararlı yazılımlar en sık karşılaşılan siber saldırı türdür. Bu maddede e-posta ekleri, web sayfaları, son kullanıcı cihazları, bulut hizmetleri ve bunlara benzer noktalardan gelebilecek zararlı yazılımlara karşı korunma sağlanmaya çalışılır. Antivirüs, anti-spyware, firewall ve saldırı tespit kabiliyetleri gibi zararlı yazılım engelleme çözümleri ile fidye yazılımı gibi zararlı yazılımların çoğunun önüne
geçilebilmektedir.

Zararlı yazılımların sisteme yüklenmesini, sistemde yayılmasını ve birden fazla noktada çalışmasını engellemek ya da kontrol altına almak aynı zamanda daha hızlı ve etkin bir müdahale süreci için otomasyondan faydalanmak hedeflenir.

9. Ağda Yer Alan Portların Kısıtlanması ve Kontrolü

Günümüzde siber saldırganlar gelişmiş yöntemler ile sürekli olarak istismar edebilecekleri ağları tarıyor ve saldırı alanlarını genişletmeye çalışıyor. Ağlarda bulunan portların (mail server, web server, DNS server gibi) doğru kurulum ve kontrolü ile saldırganların faydalanabileceği güvenlik açıklarının sayısı azaltılabilmektedir.

Kuruluş çalışanları için varsayılan ağ servislerinin kısıtlanması ile, saldırganların varsayılan kullanıcı adı ve parolalar ile sızma teşebbüsleri engellenebilir.

Saldırganların kullanabileceği güvenlik açıklarını en aza indirmek için ağ bağlantılı cihazlardaki port, protokol ve hizmet kullanımının takip edilmesi, kontrol edilmesi ve gerekli görülen düzeltmelerin yapılması hedeflenir.

10. Veri Kurtarma Kapasitesi

Fidye yazılımı saldırıları büyük küçük demeden tüm işletmeler için ciddi bir tehdit oluşturuyor ve bu saldırıların giderek artan sayıdaki kurbanları saldırıların ardından olağan faaliyetlerini sürdürebilmek için kritik verilerini geri almakta zorlanıyor. Bu kontrol noktasında ihlal edilen, değiştirilen veya silinen verilerin kurtarılabilmesi için öneriler yer alır. Kritik veriler için düzenli olarak veri yedekleme yapılması ve yedekleme prosedürüne ilgili sistemlerin dahil edilmesi ile kuruluşlar bir güvenlik ihlali yaşadığında daha hızlı aksiyon alabilecek ve kuruluşun veri koruma uygunluk gereksinimlerini karşılayabilecektir.

İhlale uğrayan verilerin zamanında kurtarılabilmesi için kritik bilgilerin doğrulanmış bir metodoloji ile doğru şekilde yedeklenmesi için süreçlerin ve araçların belirlenmesi hedeflenir.

11. Ağ Cihazlarının Güvenli Konfigürasyonunun Yapılması

Çok sayıda kuruluş güvenlik yerine kullanım kolaylığını tercih ederek üretici veya satıcılar tarafından sağlanan ağ altyapısı cihazlarının varsayılan yapılandırmalarını kullanmaya devam eder. Bu kontrol noktasında, saldırganların yararlanabileceği güvenlik açıklarının sayısını en aza indirmek için uygun yapılandırma yönetimi ve kontrol süreçleri dahil tüm ağ aygıtları için güvenli yapılandırma uygulanması önerilir. Özellikle açık portlar ve hizmetlerin, varsayılan kullanıcı adı ve parolaların ya da ilgisiz ancak cihazlar üzerinde ön yükleme ile gelmiş yazılımların belirlenmesi kuruluşun güvenlik duruşunda negatif etkiye sahip olacağından incelenmelidir.

İyi bir konfigürasyon yönetimi ve değişim kontrol süreci kullanarak ağ altyapısında bulunan cihazların güvenlik konfigürasyonlarının kurulması, uygulanması ve etkin bir şekilde yönetilmesi (izleme, raporlama ve düzeltmeler ile) hedeflenir.

12. Sınır Savunması – Boundary Defense

DMZ sistemleri, iş istasyonları ve dizüstü bilgisayarlar gibi internet üzerinden istismar edilebilecek sistemlerin yarattığı tehlikeler ele alınır. Siber saldırganların iç ortama erişimini engellemek için trafik akışının kontrolü, güvenlik duvarları, proxyler, DMZ çevre ağları ve izinsiz giriş tespit ve önleme (IDS/IPS) çözümleri gibi endpoint ürünlerinin kullanılması önerilir.

Güvenlik açısından zararlı olabilecek verilere odaklanarak farklı seviyelerde bilgi aktarımı yapan ağların akışını tespit etme, log izleme, izinsiz giriş tespit ve gerekli görülen noktalarda düzeltmeler yapma hedeflenir.

13. Veri Koruma

Kuruluşların birçoğu için verileri en kritik varlıklarıdır ve aynı zamanda siber suçlular için en kolay hedeftir. Özellikle günümüzde kullanılan bulut sistemleri ortamında bulutta bulunan verilerin korunması öncelik haline gelmiştir. Uygun veri koruma tekniklerine olan ihtiyaç belirlenir ve verilerin sürekli korunması için çeşitli yöntemler önerilir. Veri şifreleme, veri kaybı önleme (DLP) ve bütünlük koruma stratejilerinin bir kombinasyonunu benimseyen kuruluşlar, veri ihlali ve
sızması risklerini sınırlandırabilmektedir.

Veri sızıntılarını önlemek veya ihlale uğrayan verilerin etkilerini azaltmak ve hassas bilgilerin gizlilik ve bütünlüğünü sağlayabilmek için kullanılan işlem ve araçların iyileştirilmesi hedeflenir.

14. Kontrollü Erişim

Kuruluşların çoğunda kritik ve hassas veriler için erişim seviyelerinin sınırlandırılması yeterli seviyede değildir. Kuruluş çalışanlarının kuruluşa ait finansal, operasyonel veya insan kaynakları ile ilgili veriler gibi en hassas bilgilere kolaylıkla erişim sağlayabildiği durumlara rastlanmaktadır. Kuruluşlar ağ segmentasyonu, şifreli iletişim ve diğer erişim denetimi türleri ile siber saldırganların hassas verilere erişimini ve kötü niyetli faaliyetlerde bulunmasını engelleyebilir. Kontrollü erişim ile kuruluş çalışanlarının işlerini yapmak için gereken verilerin dışında bilgilere erişiminin engellenmesi önerilmektedir.

Onaylı bir sınıflandırma yapılarak hangi çalışanların, hangi bilgisayarların ve hangi uygulamaların kritik verilere erişme gereksinimi olduğunun ve hangi haklara sahip olacağının resmi olarak belirlenmesi, kritik verilere güvenli erişimin izlenmesi, kontrol edilmesi ve gerekli düzeltmelerin yapılması için gerekli süreçler ve araçların belirlenmesi hedeflenir.

15. Kablosuz Ağa Erişimin Kontrolü

Siber saldırganların kuruluş ağlarına sızmasının en kolay yollarından bir tanesi da kablosuz ağlardır. Bu kontrol noktası ile kuruluşların izinsiz giriş, veri hırsızlığı ve zararlı yazılımlara karşı korunması için kablosuz erişim kontrolünün etkili bir şekilde yapılması önerilir.

Kuruluşlar, kullanılmakta olan kablosuz cihazlar için yetkili yapılandırmalar ve güvenlik profilleri uygulayarak kablosuz ağ güvenliğini büyük ölçüde artırabilir. Bunun için yetkisiz cihazlara erişim engeli uygulanması, hedefli ağ taramalarının reddinin sağlanması ve yetkili ve yetkisiz ağ erişim noktalarının belirlenmesi gereklidir.

Kablosuz ağlarının, erişim noktalarının ve kablosuz istemci sistemlerinin güvenlik kullanımını izlemek, kontrol etmek, gerekli önlemleri almak ve düzeltmeleri gerçekleştirmek hedeflenir.

16. Hesap İzleme ve Kontrolü

Kuruluşlarda yaşanan işe giriş-çıkışlar nedeniyle tüm eski çalışanlara ait kullanıcı hesaplarının kapatılması zaman zaman unutulabilmektedir. Bu durum nedeniyle eski kullanıcı hesaplarının siber saldırganlar tarafından kendi çıkarlarına yönelik olarak kullanıldığı durumlara rastlanabilmektedir. Kullanıcı hesaplarının izlenmesi ve kontrolü, siber saldırganların etkin olmayan sistem veya uygulama hesaplarından faydalanma ihtimalinin azaltılması için önemli bir
strateji olarak belirtilir. Kullanıcı hesapları sürekli izlenerek, ilgisiz veya etkin olmayan hesaplar kaldırılabilecek ve siber saldırganların veya eski çalışanların kritik kurumsal verilere erişimi engellenebilecektir.

Sistem ve uygulama hesaplarının yaşam döngüsünün aktif şekilde yönetilmesi (hesap açma, kullanma, beklemeye alma veya silme) ile siber saldırganların bunlardan faydalanma fırsatlarını en aza indirmek hedeflenir.

17. Güvenlik Becerilerinin Değerlendirilmesi ve Gerekli Görülen, Uygun Eğitimlerin Verilmesi

Kuruluş siber güvenliği için en büyük riskin çalışanlardan kaynaklandığı bilinmektedir. Bu kontrol noktası ile kuruluş çalışanlarının şirket ağındaki eylemlerinin potansiyel etkileri üzerine eğitimler düzenlenmesi, siber güvenlik becerilerinin değerlendirilmesi ve siber güvenlik farkındalık eğitimleri verilmesi önerilmektedir.

Tüm kuruluş çalışanlarının gelişmiş oltalama saldırıları, izinsiz girişler ve veri hırsızlıkları gibi durumlardan korunmasına yardımcı olmak amacıyla gerekli bilgi ve becerileri kazanmaları ve bunları uygulayabilmek için eğitim almaları gerekmektedir. Yalnız mevcut kuruluş çalışanlarının değil, işe yeni başlayan her personelin kuruluş sistemlerine erişimi olmadan önce bu eğitimi alması da önemlidir. Bu aşamada kuruluş çalışanlarına test amaçlı yapılacak olan sosyal
mühendislik testleri ve/veya oltalama saldırıları ile mevcut durumun raporlanması ve gerekli önlemlerin alınması da sağlanabilir.

Kuruluş siber savunmasının desteklenmesi için gereken özel bilgi, beceri ve yeteneklerin belirlenmesi hedeflenmektedir.

18. Uygulama Yazılımlarının Güvenliği

Siber saldırganlar hedeflerini genellikle en kolay ele geçirilebilir olanlardan seçmektedir ve bu hedefler genellikle kurum içi veya edinilmiş uygulama yazılımlarından ortaya çıkar. 18. kontrol noktasında; kodlama hataları, mantık hataları, eski yazılım sürümleri gibi uygulama güvenlik zafiyetlerini önlemek, tespit etmek ve düzeltmek üzere öneriler sunulur. Uygulamalarını yazılım güncellemeleri, yama yönetimi ve güvenlik duvarı dağıtımları (firewall deployment) ile güvence altına alan kuruluşlar, uygulama güvenlik açıklarının saldırganlar tarafından istismar edilmesini engelleyebilecektir. Özellikle kurum içi uygulama geliştiren kuruluşların “Uygulama Geliştirme Yaşam Döngüsü” (Software Development Life Cycle) olarak tanımlanan iş akış modelinin devreye
alınması ve güvenlik parametrelerinin eklenmesi gereklidir.

Güvenlik zafiyetlerinin tespit edilmesi, önlenmesi ve düzeltmeler yapılması için şirket içinde geliştirilen ve edinilen tüm yazılımların güvenlik yaşam döngüsünün yönetilmesi hedeflenir.

19. Olay Müdahalesi ve Yönetimi

Gerçek bir güvenlik ihlali ile karşılaşıldığında uygun şekilde yürütülen olay müdahalesi ve yönetimi mekanizmalarına yönelik ihtiyaç ele alınır. Artan siber saldırıların bir sonucu olarak, kuruluşların, olay tespiti yapabilmesi, bir siber saldırı durumunda doğru tepkileri verebilmesi, verilere ve finansal durumlarına veya itibarlarına büyük zararlar gelmesini önlemek için olayları hafifletme süreçlerini ve prosedürlerini belirlemiş olmaları gerekir.

Saldırıların en hızlı şekilde tespit edilmesi, hasarın etkin bir şekilde belirlenebilmesi, saldırının durdurulması ve saldırganın engellenmesi, ağın ve sistemlerin bütünlüğünün yeniden sağlanması için bir müdahale alt yapısının geliştirilmesi ve uygulanması hedeflenir.

20. Sızma Testi Çalışmaları 

Son kontrol noktası sızma testlerini önermektedir. Modern güvenlik uygulamalarının vazgeçilmez bir parçası haline gelen sızma testleri ile saldırı simülasyonları yapılır ve sızma testi uzmanları sistemdeki zafiyetleri tespit ederek kuruluş riskleri raporlanır. İç ve dış sızma testlerinin düzenli olarak yapılması sonucu, kuruluşlar potansiyel saldırılara ne derece hazır olduğunu görebilecek ve saldırganlar istismar etmeden önce zafiyetlerini giderebilecektir.

Saldırganların bakış açısı, amaçları ve eylemleri simüle edilerek kuruluş savunmasının genel gücünün test edilmesi hedeflenir.

Daha detaylı bilgi ve fiyat teklifi almak için bize 0 312 909 33 02 numaralı telefonumuz veya sparta@sparta.com.tr mail adresimizden bize ulaşabilirsiniz.

Başa dön