Felaket Senaryosu

Felaket durumlarında olağanüstü durum kurtarma, erişim hakları ve gerekli ilkeler, genellikle güvenlik alanında yeni olan kişiler tarafından gözden kaçan; ancak kritik önem taşıyan konulardır. Verilerimizin ve sistemin güvenliğini her durumda sağlamak ve iş sürekliliğini devam ettirmek zorundayız. Kurumların IT birimlerinden siber güvenlik ekiplerine kadar birçok noktada bu ve benzeri durumlar için önlemler alınarak planlamalar önceden yapılmalıdır. Disaster Recovery adını verdiğimiz verilerin farklı bir lokasyonda hazırada bekletilmesi de felaket durumlarında sistemin işlerliğinin sürdürülebilmesi için kullanılan önlemlerden biridir.

Kesintinin veyahut sistem çökmesinin sebebi ne olursa olsun, iş sürekliliğini sağlamak adına birçok adım atılır. Felaket senaryosu veya disaster recovery adını verdiğimiz konu ise bir kurumun yaşanabilecek en olumsuz senaryolar ile karşılaşılması durumunda devreye girecek olan yedek / kopya sistemler bütünü olarak tanımlanır. Günümüz teknoloji dünyasında bu yapılar genel olarak Cloud Sunucular veya Kiralık Sunucular ile sağlanmaktadır. Elbette ki kritik öneme sahip veriler için, ülke sınırları içerisinde farklı lokasyonlar da bununan kuruma ait sistemler kullanılmaktadır.

Olağanüstü durum kurtarma, erişim hakları ve uygun ilkeler bazı durumlarda gözden kaçan noktalardır. Basit ve hatırlanması kolay olması için, bir sistemin güvenliğini değerlendirme aşamaları “Altı Bölüme” e ayırabiliriz.

Olağanüstü Durum Kurtarma

  • Yamalar
  • Bağlantı Noktaları
  • Koruma
  • Politikalar
  • İncelemek, bulmak
  • Fiziksel erişim

Sistem Yamaları

Bir sistemi yamalamak güvenliğin en temel parçasıdır. Bu nedenle, sistemin güvenliğini değerlendirirken, tüm yamaların rutin olarak işlenmesini yönetmek için bir prosedür olup olmadığını kontrol etmelisiniz. Yazılı bir politika çok önemlidir, ancak bir güvenlik denetimi yaparken bu politikaların gerçekten izlendiğinden emin olmanız günümüz teknoloji dünyasında kritik bir hale gelmiştir.

Bildiğiniz gibi, işletim sistemi ve uygulama satıcıları zaman zaman ürünlerindeki güvenlik kusurlarını keşfeder ve bu kusurları düzeltmek için yamalar yayınlar. Ne yazık ki, yamaların piyasaya sürüldükten sonra 30 gün veya daha uzun bir süre boyunca uygulanmadığı organizasyonları bulmak nadir değildir. Hatta bazı hantal yapılar ve uygulama uyumsuzluğu nedeniyle aylarca bu yamaların yapılamadığını da görmekteyiz.

Bağlantı Noktaları

Tüm iletişim bir port (TCP / UDP) üzerinden gerçekleşir. Bu, birçok virüs saldırısı için de geçerlidir. Genellikle virüs saldırıları, sisteminize erişmek için kullanılmayan bir bağlantı noktası seçilir. 1 ile 1024 arasındaki bağlantı noktalarının iyi bilinen protokoller için atandığını ve kullanıldığını unutmayın. Belirli port numaralarında çalışan virüsleri, Truva atlarını ve diğer tehlikeleri incelemek bu bağlantı noktaları kapalıysa, bu belirli saldırılara karşı savunmasızlığınız önemli ölçüde azalır.

Ne yazık ki, bazı sistem yöneticileri kullanılmayan bağlantı noktalarını kapatma politikası oluşturmaz. Bunun nedeni, birçok yöneticinin güvenlik duvarı belirli trafiği engelliyorsa, o bağlantı noktasını tek tek makinelerde engellemeye gerek olmadığını düşünmesidir. Ancak, bu yaklaşım size katmanlı güvenlik değil, yalnızca çevre güvenliği sağlar. Tek tek makinelerdeki bağlantı noktalarını kapatarak güvenlik duvarı verimini de artıracaktır.

Kural olarak, ihtiyaç duymadığınız herhangi bir bağlantı noktası kapatmak ve bu bağlantı noktasında iletişim izni vermemektir. Bağlantı noktası genellikle bir hizmetle ilişkilendirilir. Örneğin, bir FTP hizmeti genellikle 21 ve 20 numaralı bağlantı noktalarıyla ilişkilidir. Tek bir makinedeki bir bağlantı noktasını kapatmak için o bağlantı noktasını kullanan hizmeti kapatmanız gerekir. Bu, sunuculardaki ve ayrı iş istasyonlarındaki kullanılmayan hizmetlerin kapatılması gerektiği anlamına gelir.

Hem Windows hem de Linux, belirli bağlantı noktalarını engelleyecek yerleşik güvenlik duvarı özelliğine sahiptir. Bu, tüm istemci makinelerde gerekli olmayan hizmetleri kapatmanın yanı sıra bağlantı noktalarını da kapatmanız gerektiği anlamına gelir. 

Ayrıca ağınızdaki kullanılmayan yönlendirici bağlantı noktalarını da kapatmalısınız. Ağınız daha geniş bir geniş alan ağının (WAN) bir parçasıysa, büyük olasılıkla sizi bu WAN’a bağlayan bir yönlendiriciniz vardır. Her açık port, bir virüs veya davetsiz misafir için olası bir giriş yoludur. Bu nedenle, kapatabileceğiniz her bağlantı noktası, bu tür saldırıların sisteminizi etkilemesi için önem arz eder.

Bir yönlendiricideki bir bağlantı noktasının nasıl kapatılacağı ile ilgili ayrıntılar üreticilere özgüdür. Yönlendiriciniz veya satıcınızla birlikte gelen belgeler, bunu nasıl yapmanız gerektiği konusunda size özel talimatlar sunar. Yönlendiricinize servis veren bir satıcınız varsa, gerekli tüm bağlantı noktalarının bir listesini yapmalı ve satıcının yönlendiricideki diğer tüm bağlantı noktalarını kapatmasını talep edebilirsiniz.

Koruma

Bir sonraki aşama, tüm makul koruyucu yazılım ve cihazların kullanılmasını sağlamaktır. Bu noktada en azından ağınızla dış dünya arasında bir güvenlik duvarına sahip olmak anlamına gelir. Açıkçası, durum bilgisi olan paket denetimi güvenlik duvarları yerine daha gelişmiş güvenlik duvarları tercih edilir. Bir sistemi denetlerken, yalnızca sistemin bir güvenlik duvarına sahip olup olmadığını değil, aynı zamanda ne tür bir güvenlik duvarına sahip olduğunu da bilmelisiniz. Ayrıca sistemlerinize veya bir web sunucusuna saldırı tespit sistemi (IDS) kullanmayı da düşünmelisiniz. 

Bununla birlikte, IDS’ler yakın saldırıları bilmenin tek yoludur ve ücretsiz, açık kaynaklı IDS’ler mevcuttur.  Güvenlik duvarı ve IDS, ağınızın çevresine temel güvenlik sağlar, ancak virüs taramasına da ihtiyacınız vardır. Sunucular da dahil olmak üzere her makinede düzenli olarak güncellenen bir virüs tarayıcı bulunmalıdır. Muhtemelen tüm sistemlerinizde casus yazılım önleme yazılımı düşünmek akıllıca olacaktır. Bu, ağınızdaki kullanıcıların yanlışlıkla ağda casus yazılım çalıştırmasını önleyecektir.

Son olarak, bir proxy sunucusu çok iyi bir fikirdir. Yalnızca dahili IP adreslerinizi maskelemekle kalmaz, çoğu proxy sunucusu kullanıcıların ziyaret ettiği web sitelerini keşfetmenize ve belirli siteler için filtreler koymanıza olanak tanır. Birçok güvenlik uzmanı, proxy sunucusunun güvenlik duvarı kadar önemli olduğunu düşünmektedir.

Ağınızı korumanın yanı sıra, özellikle de ağınızın dışından iletilen verileri de korumalısınız. Tüm harici bağlantılar bir VPN üzerinden yapılmalıdır. Verilerin şifrelenmiş olması, bilgisayar korsanlarının verileri bir paket dinleyicisi aracılığıyla yakalamasını önler. Daha güvenli konumlar için tüm dahili aktarımların da şifrelenmesini isteyebilirsiniz.

Kısacası, ağın korumasını değerlendirirken, aşağıdaki öğelerin var olup olmadığını, düzgün yapılandırılmış ve çalışır durumda olup olmadığını kontrol etmelisiniz.

  • Firewall
  • Antivirüs koruması
  • Casus yazılıma karşı koruma
  • IDS / IPS
  • Proxy sunucusu veya NAT
  • VPN

İlk iki öğenin çoğu ağda karşılandığını unutmayın. Güvenlik duvarı veya virüsten koruma yazılımı olmayan herhangi bir ağ o kadar standart dışıdır ki denetim muhtemelen bu noktada durmalıdır. Aslında, böyle bir kuruluşun güvenlik denetimine bile girmesi pek olası değildir. IDS ve veri şifreleme seçenekleri muhtemelen daha az yaygındır; ancak, tüm sistemler için bunlar dikkate alınmalıdır.

Fiziksel

Ağınızı istenmeyen dijital erişimden korumanın yanı sıra, yeterli fiziksel güvenliğe sahip olduğundan da emin olmalısınız. Kilitli olmayan bir odada gözetimsiz bırakılan en sağlam güvenlikli bilgisayar aslında hiç de güvenli değildir. Odaların bilgisayarlarla kilitlenmesinin yanı sıra dizüstü bilgisayarların, tabletlerin ve diğer mobil bilgisayar cihazlarının kullanımını düzenleyen bazı politika veya prosedürlere sahip olmanız gerekir. Sunucular kilitli ve güvenli bir odada bulunmalı ve mümkün olduğunca az kişiyle bunlara erişebilmelidir. Belgeler ve eski yedek bantlar atılmadan önce imha edilmelidir.

Yönlendiricilere ve anahtarlara fiziksel erişim de sıkı bir şekilde kontrol edilmelidir. Bu, kendi güvenlik personelinize ve ağ yöneticilerinize ek olarak, tüm temizlik personelinin yönlendiricinize veya anahtarınıza erişebileceği ve herhangi birinin kapıyı uzun süre açık bırakabileceği anlamına gelir.

Fiziksel güvenlik konusunda izlemeniz gereken bazı temel kurallar vardır.

  • Sunucu odaları: Sunucuların tutulduğu oda, binanızdaki yangına en fazla dayanıklı oda olmalıdır. Sadece odaya gitmeye ihtiyacı olan personelin bir anahtarı olmalıdır. Ayrıca, her kişinin odaya girdiğinde veya odadan çıkarken oturum açtığı bir sunucu odası günlüğünü de düşünebilirsiniz. Aslında bir odaya kimin girdiğini, ne zaman girdiklerini ve ayrıldıklarını kaydeden elektronik kilitler de vardır. 
  • İş İstasyonları: Tüm iş istasyonlarında kazınmış bir tanımlama işareti bulunmalıdır. Ayrıca bunları rutin olarak envantere koymalısınız.  Sunucuları güvenli hale getirmenin yanı sıra, onları güven altına almak genellikle fiziksel olarak imkansızdır, ancak güvenliklerini geliştirmek için birkaç adım atabilirsiniz.
  • Çeşitli ekipmanlar: Projektörler, CD yazıcılar, dizüstü bilgisayarlar, vb. Kilit ve anahtar altında tutulmalıdır. Birini kullanmak isteyen herhangi bir çalışanın oturumu kapatması gerekir ve uygun çalışma koşulunda olduğunu ve iade edildiğinde tüm parçaların mevcut olup olmadığını kontrol etmelidir.

Bu önlemler tüm kuruluşlar tarafından dikkate alınmalıdır. Bazı kuruluşlar fiziksel güvenliği sağlama konusunda çok daha ileri gitmek zorundadır. Bununla birlikte, çok hassas veya sınıflandırılmış verilerle ilgileniyorsanız, bu önlemlerin bir kısmını veya tamamını dikkate almak isteyebilirsiniz.

  • Tüm sunucu odalarına veya ekipman depolama odalarına biyometrik kilitler. 
  • Bu kilitler bir parmak izi taraması ile tetiklenmesi ve kişinin kimliği ve odaya girdikleri zaman kaydedilmesi.
  • Binaya gelen tüm ziyaretçiler giriş yapar (giriş ve çıkış zamanları) ve her zaman bir çalışan tarafından refakat edilmesi.
  • Tüm çantalar veya en azından bazı çantalar girişlerde rastgele kontrol edilmelidir
  • Tesiste veri kaydedebilecek taşınabilir aygıtlara izin verilmez. Buna USB sürücüler, kameralı telefonlar veya veri kopyalayabilen veya ekran görüntüleri kaydedebilen herhangi bir cihaz da dahildir.
  • Tüm yazdırma işlemleri günlüğe kaydedilir. Kim yazdırdı, yazdırmanın gerçekleştiği saat, belge adı ve belge boyutu.
  • Yazdırmaya benzer şekilde tüm kopyalama günlüğe kaydedilir.

Normalden daha yüksek güvenlik seviyesi gerektiren bir durumdaysanız, bu önlemler dikkate alınabilir.