Uygulanan ağ güvenliği türleri, tehdit ortamına dayalı olmalıdır. Buna mevcut tehdit aktörleri, vektörler ve güvenlik açıkları dahildir. Bu unsurlara dayanarak, başarılı bir saldırı olasılığını azaltmak ve etkisini azaltmak için ağ ortamınıza kontroller eklenmelidir.
Bir ağ ortamına eklenen güvenlik, bugün var olan ve aynı zamanda yarın var olacağı tahmin edilen tehdit ortamına dayanmalıdır. Bu, ev, iş veya servis sağlayıcı ağları için geçerlidir.
Etkili ağ güvenliği, bilinen güvenlik açıklarını, bilgisayar korsanlarını veya diğer tehdit aktörlerini ve mevcut saldırı eğilimlerini dikkate alır. Bir ağa düzgün bir şekilde güvenlik eklemek için, işletmenizin açıkta kalan tüm varlıklarını ve bunların nasıl ele geçirilebileceğini anlamanız gerekmektedir.
Tehdit ortamı, tanımlanması ve anlaşılması önemli olan birçok unsuru içerir. Bu, sizi uygun eylemi gerçekleştirme bilgisiyle donatır.
Tehdit aktörleriyle başlayalım. Saldırıları başlatan ve sistemlere giren onlardır. Kötü niyetli aktörler, insanlar veya varlıklardır. Aktörün türüne bağlı olarak çeşitli farklı hedefleri vardır.
Tehdit vektörü, saldırının izlediği yoldur. Bir saldırganın bir binaya fiziksel olarak girmek için birisinden kapıyı açmasını rica etmesi kadar basit bir sosyal mühendislik ürünü olabilir. Aynı zamanda çok karmaşık bir süreç de izleyebilir.
Örneğin, bir saldırının kimlik avı olarak bilinen bir sosyal mühendislik saldırısıyla başlaması oldukça yaygındır. Kullanıcı bu tuzağa düştüğünde sistemine bir yazılım yüklenir ve bu yazılım sisteme bir arka kapı açar. Siber korsan, sisteme erişmek ve ağda gezinmek veya yanal olarak hareket etmek için arka kapıdan yararlanır.
Güvenlik açıkları, teknolojide var olan zayıflıklar veya kusurlardır. Buna güvenlik duvarları, virüsten koruma ve kötü amaçlı yazılımdan koruma gibi güvenlik ürünleri dahildir. Ayrıca sunucular, iş istasyonları, dizüstü bilgisayarlar, kameralar, termostatlar ve buzdolapları gibi normal uç nokta cihazlarını da içerir. Ayrıca, yönlendiriciler ve anahtarlar gibi ağ aygıtlarını içerir. Güvenlik açıklarını üç farklı kategoride incelemek mümkündür:
Mitre gibi siteler ilk iki türün kayıtlarını tutar. İlk ik tür birlikte Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) listesi olarak bilinir. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Ulusal Güvenlik Açığı Veritabanı (NVD) adı verilen bilinen güvenlik açıklarını listeleyen başka bir siteye sahiptir.
Ağınızda güvenlik açığı taramaları çalıştırarak güvenlik açıklarını bulursunuz. Tenable’ın Nessus gibi tarama araçları, keşfedilen yazılımları bilinen güvenlik açıklarının veritabanlarına otomatik olarak bağlar. Güvenlik açığı taramaları, şüpheli güvenlik açıkları hakkında rapor verir, ancak bunların kötüye kullanılabilir olduğunu doğrulamaz. Sonraki adım, bir ağda istismar edilebilir olduklarını doğrulamak ve sistemleri korumak için harekete geçmektir.
Örneğin ağınızda bir Microsoft Windows Server 2019 varsa, güvenlik açığı tarayıcısının bu sunucuyu etkileyebilecek bir sorun olan Zerologon'u keşfetmesi gerekir. Tarayıcı önce bir Windows sunucusu 2019 olduğunu tespit eder ve ardından bilinen güvenlik açıkları için veritabanını arar.
Bu tarama, NIST'de Zerologon adında uygunsuz ayrıcalıklara izin veren bir CVE bulmalıdır. Bu CVE, 10 üzerinden 10 olan bir Ortak Güvenlik Açığı Önem Puanına (CVSS) sahiptir; bu, olabileceği kadar kötü olduğu ve derhal ele alınması gerektiği anlamına gelir. CVE sayfasında önerilere, çözümlere ve araçlara bağlantılar bulunur. Ayrıca, bir saldırı hakkında daha fazla bilgi sağlayan Ortak Zayıflık Numaralandırması (CWE) sayfasına da işaret eder.
Bir işletmenin bir ağı güvenlik açıkları açısından test etmek için kullanabileceği birçok farklı araç ve metodoloji vardır. Bir yöntem, penetrasyon testi veya pen testi olarak da bilinen işletmeye yönelik bir saldırıyı simüle etmektir. İşletmeler bu amaçla etik siber korsanlar kullanır.
Etik siber korsanlar bir ağa saldırdığında, o ağa özgü güvenlik açıkları bulurlar. Bu bilgisayar korsanlarını etik yapan şey, bir sisteme saldırma iznine sahip olmalarıdır. CVE'lerde listelenen güvenlik açıklarının ağda bulunduğunu kanıtlayabilirler veya yanlış yapılandırmayı veya bilinmeyen güvenlik açıklarını ortaya çıkarabilirler.
Penetrasyon testi yapmanın bir yolu kırmızı ve mavi ekipler kullanmaktır. Kırmızı ekip, gerçek siber korsan araçlarını kullanır ve mevcut ağ savunmalarını ihlal etmeye çalışır. Mavi ekip, aktif saldırıya yanıt vermek için mevcut olay müdahale planlarını veya taktik kitaplarını kullanan bir olay müdahale takımıdır.
Bu iki ekip bir penetrasyon testinde birlikte çalıştığında, standart bir pen testinden daha fazla fayda elde edilir. Kırmızı ekip güvenlik açıklarını ortaya çıkarır ve mavi ekip müdahale alıştırması yapar. Ağlar gerçek siber korsanlar tarafından saldırıya uğrayacaktır, bu nedenle olay müdahale ekibinin hazır olması önemlidir. Bu nedenle pratik yapmak kritik önem taşır.
Ağ güvenliğinin amacı, her şeyden önce saldırıları önlemektir. Bir saldırı gerçekleştiğinde, ilk adım bu saldırıyı tespit etmektir. Saldırı öğrenildiğinde müdahale etmek çok önemlidir. Hasarı önceliklendirin ve değerlendirin, kapsamı anlayın ve güvenlik açıklarını veya saldırıyı yürütmek için kullanılan yolu yamalayın. Bu işleme genel olarak önleme, algılama ve yanıt verme (PDR) olarak adlandırılır.
Önleme, sistemlerin güçlendirilmesini ve güvenlik kontrolleriyle savunulmasını gerektirir. Bir sistemin güçlendirilmesi aşağıdakileri içerir:
Tespit esas olarak günlükler aracılığıyla yapılır. İzinsiz giriş tespit sistemleri (IDS) gibi sistemler, trafiği izler ve şüpheli etkinlikleri kaydeder. Sistem etkinliği günlüğe kaydeder ve bunu bir sistem günlüğü sunucusuna gönderir. Bir güvenlik bilgisi olay yöneticisi (SIEM), güvenlik personelini tehlike belirtileri (IoC) konusunda uyaran günlükleri ilişkilendirir ve ayrıştırır. Güvenlik departmanı veya olay müdahale ekibi daha sonra bunun gerçek bir tehlike olup olmadığını kanıtlamak için harekete geçer ve tekrar olmasını önlemek için ortamı düzeltir.
Müdahale, bir sisteme bir yama indirmek kadar basit olabilir, ancak aynı zamanda çok fazla çalışma gerektirebilir. Neyin yanlış yapılandırıldığını anlamak için güvenlik duvarları, izinsiz giriş önleme sistemleri (IPS), yönlendiriciler ve diğer tüm ağ ve güvenlik yazılımları ve aygıtlarındaki mevcut yapılandırmaları analiz etmek gerekebilir.
Müdahale, ağa yeni veya farklı güvenlik araçları eklemek de olabilir. Bu, bir iş planı oluşturmayı içeren kapsamlı bir süreç olabilir.
İlgili Makaleler
İlgili Araştırmalar