Siber güvenlik alanında sürekli gelişen bir kavram olan mikro segmentasyon, günümüzün karmaşık tehditlerine karşı güçlü bir savunma stratejisi sunar. Mikro segmentasyon, veri merkezinizdeki uygulamaları ve iş yüklerini daha küçük, izole edilmiş bölümlere ayırarak ağınızın güvenliğini sağlamaya yardımcı olur. Bu strateji, saldırganların hareket etmesini ve yayılmasını zorlaştırarak olası hasarı sınırlar.
Siber suçluların taktikleri sürekli olarak gelişiyor ve daha sofistike hale geliyor. Gelişmiş kalıcı tehditler (APT), fidye yazılımları ve sıfır gün açıkları gibi saldırılar, geleneksel güvenlik önlemlerini aşabilir ve yıkıcı sonuçlar doğurabilir. Bu saldırganlar, hassas verileri çalmak, sistemleri ele geçirmek veya fidye talep etmek için ağlarınıza sızmaya çalışırlar.
Mikro segmentasyon, tehditlere karşı güçlü bir savunma sağlar:
Saldırı Yüzeyini Azaltır: Mikro segmentasyon, ağınızı daha küçük bölümlere ayırarak saldırı yüzeyini azaltır. Her bölüm, kendi güvenlik duvarı ve erişim kontrolleriyle korunur, bu da saldırganların yayılmasını zorlaştırır.
Hassas Verileri Korur: Kritik verileri birbirinden yalıtarak ve erişimi kısıtlayarak, hassas verilerinizin güvenliğini sağlar. Saldırganlar, verilere ulaşmak için daha fazla engel aşmak zorunda kalır, bu da olası bir ihlalin etkilerini azaltır.
Sızma Sonrası Tehlikeyi Azaltır: Mikro segmentasyon, bir saldırgan ağınıza sızmayı başarsa bile, yayılmasını ve yanal hareket etmesini engeller. Bu, ihlalin etkisini sınırlar ve güvenlik ekiplerinin tehdidi tespit edip yanıt vermesi için zaman kazandırır.
Esnek Güvenlik Sağlar: Mikro segmentasyon dinamik ve uyarlanabilirdir. Ağınız değiştiğinde veya yeni tehditler ortaya çıktığında, güvenlik politikalarını hızlı bir şekilde ayarlayabilir ve uyarlayabilirsiniz.
Mikro segmentasyonun etkili bir şekilde uygulanması, dikkatli planlama ve tasarım gerektirir:
Ağ Haritalandırma: Ağınızı, uygulamalarınızı ve veri akışlarını anlamak için kapsamlı bir haritalandırma yapılır. Böylece ağınızda yüksek görünürlük sağlanır.
Kritik Varlıkları Belirleme: Hassas verileri, kritik uygulamaları ve olası hedefleri belirlemek, mikro segmentasyon stratejinizin odak noktasıdır.
Güvenlik Politikalarını Tanımlama: Her bölüm için uygun güvenlik politikaları, kurallar ve erişim kontrolleri tanımlanır. Bu, trafiği yönetmek ve olası tehditleri engellemek için esnek ve uyarlanabilir olmalıdır.
Sürekli İzleme: Mikro segmentasyon sürekli olarak izlenir ve güncel tutulur. Ağınız değiştiğinde veya yeni tehditler ortaya çıktığında ayarlamalar yapılır.
Sonuç olarak Mikro segmentasyon, günümüzün karmaşık siber tehditlerine karşı güçlü bir savunma stratejisidir. Ağınızı daha küçük, yönetilebilir bölümlere ayırmak, saldırganların hareket etmesini zorlaştırır ve hassas verilerinizi korur. Akıllı ve uyarlanabilir bir mikro segmentasyon stratejisi, siber güvenlik duruşunuzu önemli ölçüde güçlendirecektir.
Sıkılaştırma (Hardening), bir sistem veya yazılımın güvenliğini artırmak için yapılan bir dizi işlemdir. Bu işlemler genellikle potansiyel güvenlik açıklarını kapatmayı, saldırıları önlemeyi ve sistemi korumayı amaçlar. Sistem sıkılaştırma, ağ sıkılaştırma, yazılım sıkılaştırma gibi farklı alanlarda uygulanabilir.
Sistem sıkılaştırma, güvenlik duvarları, güvenlik yazılımları, güvenlik yamaları gibi önlemler alarak sistemi korumayı amaçlar. Ağ sıkılaştırma ise ağ cihazlarını, ağ protokollerini ve ağ trafiğini korumayı hedefler. Yazılım sıkılaştırma ise yazılım kodlarını, veritabanlarını, uygulama güvenliğini sağlamayı amaçlar.
Sıkılaştırma işlemleri genellikle güvenlik uzmanları veya sistem yöneticileri tarafından gerçekleştirilir. Bu işlemler genellikle güvenlik standartlarına uygunluğu sağlamak için yapılır ve sürekli olarak güncellenir.
MFA (Multi Factor Authentication), kullanıcıların hesaplarına giriş yaparken birden fazla doğrulama yöntemi kullanmalarını gerektiren bir güvenlik önlemidir. Bu yöntem genellikle şifre, SMS doğrulama kodu, biyometrik veri (parmak izi, yüz tanıma vb.) veya bir güvenlik anahtarı gibi farklı faktörleri içerir.
MFA’nın amacı, hesapların kötü niyetli kişilerin erişimine karşı daha güvenli hale getirmektir. Çünkü sadece şifre kullanarak hesaba erişmeye çalışan bir saldırgan, ek doğrulama adımlarını geçemez.
Personel özlük bilgileri, Ar-Ge raporları, finansal raporlar ve analizler, müşteri bilgileri, bütçe ve fiyatlandırma bilgileri gibi kurumlar için kritik öneme sahip verilerin sınıflandırılması, erişim sağlayacak kullanıcıların kısıtlanması, depolanması ve dışarıya sızdırılmaması bir o kadar önemli bir konudur.
Bu alanda kullanılan Veri Kaybı/Sızıntısı Önleme – Data Loss Prevention (DLP) çözümleri, kurumların hassas verilerinin şirket içinde nasıl yer değiştirdiğini gözleyen, hassas verilerin kaybedilmemesini, dışarıya sızdırılmamasını, kötüye kullanılmamasını ya da yetkisiz kullanıcılar tarafından erişilmemesini sağlayan çözümlerdir. Önceden tanımlanmış politikalar ile kullanıcılara kritik veriler üzerinde neler yapabileceği (yazdırma, kopyalama, paylaşma, görüntüleme vb) gibi yetkiler tanımlanarak hassas ve kritik verilerin yönetimi kontrol altına alınır. Ayrıca etkili bir denetim imkanı sağlanır. Yetkisiz kişiler tarafından erişilmek istenen veriler için uyarı ve raporlama imkanı sağlanır.
DLP ayrıca HIPAA, PCI-DSS veya KVKK gibi yasal uyumluluklar için organizasyonlara raporlama imkanı da verir. Bu haliyle DLP, kurumlar için zorunluluk haline gelmiştir.
Veri kaybı/sızıntısı önleme (Data Loss Prevention (DLP)) 3 ana kullanım amacı vardır:
- Kişisel Bilgilerin Korunması: Firmalar kişisel kimlik bilgileri – Personally Identifiable Information (PII), sağlık bilgileri – Protected Health Information (PHI) ya da Kredi kartı bilgilerni – Payment Card Information (PCI) tutuyorsa bu bilgilerin korunması kritiktir. Özellikle KVKK, HIPAA gibi uyumluluk mevzuatları bu konuda önemli yaptırımlar getirir. DLP, bu hassas veriler için tanımlama, sınıflandırma ve etiketleme yaparak verinin izlenmesini ve belirtilen regulasyon mevzuatına göre raporlanmasını sağlar.
- Veri Koruması: Kurumların finansal raporları, fiyatlandırma, ar-ge vb ticari bilgilerinin de korunması gerekir. Bu bilgilerin çalınması ve/veya sızdırılması büyük zararlara sebep olabilir. DLP ile bu tip verilerin de sınıflandırılması ve politikalarla korunması sağlanarak veri güvenliği sağlanmış olur.
- Veri Görünürlüğü: Verinin korunması kadar hareketlerinin de izlenmesi önemlidir. DLP ile verinin nasıl hareket ettiğini görebilir ve izini takip edebilirsiniz. Veri, hangi son kullanıcı, ağ ve bulutta gezinmiş ve kimler veriyle etkileşimde bulunmuş görmek mümkün olur.
Veri güvenliği konusunda yetkili ve ayrıcalıklı kişilerin hesap bilgileri tartışmasız önemli bir konudur. Bu alanda “Privileged Access Management (PAM)”, “Privileged Identity Management (PIM)” , “Identity And Access Management (IAM)” gibi isimlerle karşımıza çıkan Ayrıcalıklı Erişim Yönetimi (PAM), bir BT ortamındaki kullanıcılar, hesaplar, süreçler ve sistemler için “ayrıcalıklı” erişim ve izinlere sahip kişilerin hesaplarını saklamak ve kontrol altında tutmak için yüksek güvenlikli bir ortam oluşturur.
Ayrıcalıklı erişim genellikle bir şirketin siber tehditlerle en çok hedeflenen yönüdür. Çünkü ayrıcalıklı erişimi olan hesaplar, müşteri kimlikleri, finansal bilgiler ve kişisel olarak tanımlanabilen en değerli ve gizli bilgilere erişimi olan hesaplardır. Ayrıcalıklı Erişim Yönetimi (PAM) ile şirketler, verilerini özellikle bu hesapları hedef almış tehditlere karşı koruyabilir. Bunun yanında kullanıcıların belli politikalara göre yetkilendirilmesi, erişim haklarının ve izinlerin sınırlandırılması, hesapların izlenmesi, aktivitelerin tespiti, hesapların tek merkezden yönetilmesi ve kontrol altında tutulmasını gibi birçok fayda sağlanmış olur.
PAM ayrıca güvenli bir parola kasasıdır. Böylece kurumlarda kişilere bağlı parola saklama teknikleri ve getirdiği riskler de ortadan kaldırılmış olur. Ayrıca PAM sayesinde kurumlarda Sarbanes-Oxley, GPDR, NIS, PCI-DSS, HIPAA ve ISO 27001 gibi uyumluluk ve uygunluk standartlarındaki maddelerin birçoğu sağlanmış olunur. İşte bu nedenle PAM kurumlar için çok daha önemli bir hale gelmektedir.
Internetin gelişimi ile beraber web uygulamaları kurumlar için dahili ve harici müşterilerine açılan bir kapı olmuştur. Böylece web’in standardı olan HTTP protokolü artan tehdit ve saldırıların hedefine oturmuştur. Bu sebeple kurumlar için HTTP trafiği ve web uygulamalarının güvenliği kritik bir öneme sahiptir.
Web Application Firewall (WAF) bir web uygulamasına gelen ve giden tüm HTTP trafiğine filtreleme, izleme ve bloklama yaparak web uygulamasını saldırı ve tehditlere karşı korumaktadır. WAF ürünlerinin diğer klasik firewall çözümlerinden farkı, tamamen HTTP/S trafiği üzerinde web uygulamasına ait içeriği filtreleyebilmesi, bu trafik üzerinde politika belirleyebilmesi ve tamamen uygulama katmanı (layer 7) seviyesinde çalışmasıdır. Özellikle cross-site-scripting (XSS), SQL injection, cookie poisoning gibi uygulama katmanı seviyesindeki ataklara karşı web uygulamasını koruma altına alır.
WAF genellikle politika adı verilen bir dizi kural ile çalışır. Bu politikalar kötü amaçlı trafiği filtreleyerek uygulamadaki güvenlik açıklarına karşı korumayı amaçlar. Kısacası HTTP/HTTPS/SOAP/XML/Web Servisleri üzerinde detaylı paket incelemesi yaparak zararlı istekleri bloklamak için kullanılan bir araçtır diyebiliriz.
Uluslararası bazı standartlar WAF kullanımını önemle tavsiye etmektedir. Bunların başında WAF kullanımını zorunlu tutan PCI Veri Güvenliği standartı geliyor. Kurumların karşılaştığı web saldırılarından korunmak için bazı kurumlar kaynak kod analizi yaptırma yolunu seçerler. Fakat kaynak kod analizinde sadece incelenen kodun güvenliği denetleneceği için tam koruma sağlamayacaktır. WAF ise önüne konulduğu sisteme gelen her türlü saldırıyı farkedip önleyebileceği için kısa vadede daha pratik çözümler sunmaktadır.
Günümüzde mobil iletişim teknolojilerinin gelişmesiyle beraber kurumların çalışanlarına mobil cihazlar kullandırması ya da kurum çalışanlarının kendi mobil cihazlarını işyerine getirmeleri büyük ölçüde artmıştır. Bu durum esasen kurumsal bilginin son kullanıcının mobil cihazlarında çeşitli tehlikelere maruz bırakılması, veri sızıntısı, kontrolsüz mobil cihazların tüm kurumsal ağı tehlikeye sokması ve bu cihazların gerektiğinde yönetilmek istenmesi konularını gündeme getirdi.
Çalışanların kendi mobil cihazlar kullanmaları (BYOD) ve bunun kendine özgü riskleri sebebiyle çalışanların dizüstü bilgisayarlarını, akıllı telefonlarını, tabletlerini ve diğer cihazlarını izlemek, yönetmek ve güvenlik altına almak mobil cihaz yönetimi (MDM) çözümlerini gerekli kılmıştır. Ek olarak MDM çözümleri ile kurumlar çalışanlarının kullandığı mobil cihazlardan gelebilecek tehdit ve riskleri minimize etme şansı bulmaktadır.
MDM çözümleri ile kurumlar aşağıdaki temel işlevlere sahip olabilmektedir:
- Donanım Envanteri
- Uygulama Envanteri
- İşletim Sistemi Yapılandırma Yönetimi
- Mobil Uygulama Dağıtımı, Güncellenmesi ve Kaldırılması
- Mobil Uygulama Yapılandırması ve Politika Yönetimi
- Sorun Giderme için Uzaktan Görüntüleme ve Kontrol
- Uzaktan Silme
E-posta güvenliği, bir e-posta hizmetinin veya hesabının erişimini ve içeriğini korumak için kullanılan toplu önlemleri ifade eder. E-posta güvenliği sayesinde hem kullanıcı hem de kurumlar kendilerini virüs, spam, kimlik ve veri hırsızlığı, dolandırıcılık, fidye yazılımları gibi birçok tehditten koruyabilmektedir. Özellikle fidye yazılımları (ransomware) ve şifre çalma (phishing) tarafında artan tehditler sebebiyle e-mail güvenliği ayrı bir öneme sahiptir.
Sadece e-maildeki bir linke tıklayarak sisteminize bir virüsün bulaşmasını sağlayabilir ve değerli dosyaların şifrelenmesi, hassas bilgilerin çalınması ve sisteme erişim kısıtlaması yaşanabilir. Bu nedenle e-postaları güvence altına almak herkes ve her kurum için hayati bir rol oynamaktadır.
İhlallerin %95’inin insan hatasından kaynaklandığı düşünüldüğünde e-mail güvenliği bir o kadar daha önemli hale gelmiştir. Çünkü e-mail hizmeti kişi odaklı bir hizmettir. Çünkü günümüzde bilgisayar korsanları yazılım ya da donanımlardaki teknik hatalardan ziyade insan hatalarından yararlanma eğilimindedir. Bu yüzdende günümüzde E-Posta Güvenliği kurumların olmazsa olmaz alması gereken güvenlik önemlerinin başında gelmektedir.
Web güvenliği kullanıcıların belirli URL’leri veya web sitelerini görüntülemesini engelleyen bir teknolojidir. Web filtreleri farklı şekillerde yapılır ve bireysel, aile veya kurumsal kullanım için çeşitli çözümler sunar.
Web güvenliği, interneti güvenle kullanmakla ilgilenen herkes için saldırıları veya veri kaybını önlemeye yardımcı olacak mükemmel bir araç olabilir. Çalışanların web aktivitelerini izlemek ve filtrelemek BT politikalarının etkin bir şekilde uygulanmasına yardımcı olur. Web filtreleri sayesinde kullanıcılar, bilgisayarlarında kötü amaçlı kod yürütecek sitelere girmekten korunmuş olur. Böylece kurumlar gelişmiş tehditleri durdurma, veri hırsızlığını engelleme, web erişiminde kontrol ve görünürlük elde ederler.
Web Filtrelemeyi kullanan en büyük üç grup şunlardır:
Ebeveynler – çocuklarının istenmeyen veya uygunsuz buldukları içeriğe erişmesini önlemek,
İşletmeler – Çalışanların işleriyle ilgili olmayan web sitelerine erişmesini engellemek,
Okullar – Saldırgan ve dikkat dağıtıcı içeriği engellemek ve kötü amaçlı yazılım bulaşmasına karşı korunmak
Okullar veya kütüphaneler gibi internet erişimi sunan kuruluşlar için CIPA (Child Internet Protection Act), açık alan internet hizmeti veren işletmeler için 5651 Sayılı Kanun ve kurumlar için mecbur olan KVKK (Kişisel Verileri Koruma Kanunu) gibi mevzuatlar bir filtreleme çözümü uygulanmasını zorunlu kılmıştır.
Security Incident and Event Management (SIEM) sağlam bir güvenlik yönetim sistemi tanımlamak için Security Information Management (SIM) ve Security Event Management (SEM) işlevlerini birleştiren bir güvenlik yönetimi yaklaşımıdır. SIM ağdaki güvenlik cihazlarından günlük log, olay ve akışların toplanmasını otomatikleştirmeye odaklanırken, SEM ise tamamen gerçek zamanlı izleme ve alarmlarla ilgilidir.
Özet olarak SIEM çözümleri, cihaz ve uygulamaların ürettiği olay verilerinin gerçek zamanlı olarak toplanmasını ve analiz edilmesini sağlayarak olaylar arasındaki ilişkiyi hesaplar ve kötü niyetli davranışların iç yüzünü ve yapısını ortaya çıkarmaya yardımcı olur.
Günümüzde tehditler ve saldırılar her geçen gün artmaktadır. Peki ağ üzerindeki cihaz (Firewall, Server, IPS, Router, Switch, Workstation vb) ve uygulamaların (DB, e-mail, web vb) ürettiği binlerce milyonlarca olay verisi (log) içinde hangileri saldırı ya da bir tehdit oluşturmaktadır? Kurumda ne olup bitmektedir? Bu olay verilerini gerçek zamanlı olarak analiz etmek mümkün müdür? İşte SIEM çözümleri bu noktada devreye girmektedir ve bugünkü Security Operation Center (SOC) yapısının temelinde SIEM vardır.
SIEM çözümünün kalbi kolerasyon (ilişkilendirme) yeteneğidir. Burada belirlenen kurallara göre alarm oluşturulması, görselleştirilmesi ve güvenlik standartlarının uygunluğunun kontrol edilmesi mümkün olacaktır. Ayrıca olay verilerin saklanması sayesinde adli soruşturmalar için analiz yapmak mümkün olacaktır. Mevzuatlar (GDPR,KVKK,ISO27001,v.b) ve kurumsal standartlara uyumluluk gereksinimleri de SIEM sistemini gerekli kılmaktadır.
SIEM başarıyla uygulandığında kuruluşlara aşağıdaki işlevleri konusunda yardımcı olur:
- Bilinen ve bilinmeyen potansiyel tehditleri ortaya çıkarır,
- Yetkili kullanıcıların faaliyetlerini ve çeşitli kaynaklara ayrıcalıklı erişimini izler,
- Düzenli raporlar oluşturur,
- Olay yanıtını yedekler (IR)