Ağınız İçin Güvenlik Kontrol Listesi Nasıl Hazırlanır?
Çoğu Büyük Kuruluş, Siber Güvenlik Mekanizmalarının İşleri Üzerindeki Etkisini İyi Anlamıştır.
Bu etki finans ve bankacılık alanlarında daha kritiktir çünkü çoğu durumda şirketler büyük miktarda özel veri depolar.
Bu nedenle bu alan hackerlar için değerli bir hedef olarak görülüyor. Bu nedenle bu alandaki kurum ve şirketler, kurum ağını en iyi şekilde korumak için detaylı bir siber güvenlik kontrol listesi belirlemelidir.
Ağ güvenlik durumunuzu en son ne zaman kontrol ettiniz? Günümüzde birçok kişi ve kuruluş bu konuda endişe duymaktadır ve endişeleri tamamen haklıdır. Bu sorunu çözmek için ne yapmaları gerekiyor?
Büyük kuruluşlar sistem günlüklerine gider ve ara sıra ağ trafiğini izler. Bu değerlendirme düzeyi, siber güvenlik uzmanlarına değerli bilgiler sağlar, ancak neler olup bittiğine dair doğru bir resim veremez. Ağınızın güvenliğinin mevcut durumunu ölçmek istiyorsanız, “güvenlik açığı testi” veya “güvenlik değerlendirmesi” olarak bilinen derinlemesine bir güvenlik denetimi gerçekleştirmelisiniz.
Ağ güvenliği denetimleri resmi değildir. İşletim sistemi, uygulama ve veritabanı düzeylerinde BT kontrol denetimleri.
Bir ağ güvenliği denetim kontrol listesi hazırlamak, bilgisayar korsanı saldırılarıyla başa çıkmak için en iyi uygulamalardan biridir. Aksine, bilgisayar korsanları bunları istismar etmeden önce güvenlik açıklarının tespit edilmesini umarak ağdaki güvenlik açıklarını keşfetmek için yapılan alıştırmalardır. Bu nedenle başta güvenlik testleri olmak üzere çeşitli güvenlik terimlerini yeterince anlamalısınız. Bir liste birden fazla öğe içermelidir. Örneğin hangi sistemler değerlendirilmeli, bu amaçla hangi araçlar kullanılmalı ve bu değerlendirmelerde kimler yer alacak?
Bir ağ güvenlik denetimi ile ayrıntılı bir kontrol listesi hazırlayın.
Bir ağ güvenliği denetimi, basit ancak pratik ve kullanışlıdır. Bir ağ güvenliği denetim kontrol listesi, temelden karmaşık testlere, raporlamaya vb. kadar değişebilir. Bir güvenlik kontrol listesi hazırlarken, kritik bir ilkeye dikkat ederseniz başarılı olursunuz. İşleri doğru yaptığınızdan emin olmak için güvenlik açıklarını keşfetmek üzere kanıtlanmış bir yöntem kullanmalısınız. Bir ağ veya güvenlik uzmanı olduğunuzu ve ağı ve ekipmanı web altında korumakla görevlendirildiğinizi varsayalım. O halde güvenlik kontrol listesi oluştururken nelere dikkat etmeniz gerektiğini öğrenmek için bu yazımızı sonuna kadar okumanızı öneririz.
1. Yapılacak işin kapsamını tanımlayın
Bir güvenlik kontrol listesi yapmayı planladığınızda, her şeyi düşünmeniz gerekir. Ağ güvenliği denetim süreci, kullanılabilecek araçları, kapsamı, testlerin kim tarafından ve ne zaman yapılması gerektiğini vb. içerir. İlk adımda, aşağıdaki soruların yanıtlarını bulun:
Her şeyi test etmeyi düşünüyor musunuz? Yalnızca dahili sistemleri mi test etmek istiyorsunuz yoksa harici sistemleri mi denemeyi planlıyorsunuz? Harici sistemler, evden şirket ağına bağlanan uzak çalışanların ekipmanlarını ifade eder.
Periyodik testler için hangi araçları kullanıyorsunuz? Bu alandaki standart araçlar Nessus, NetScanTools Pro, Netsparker ve Acunetix Vulnerability Scanner’dır.
2. Çalışanlara güvenlik konularının eğitimi
İstatistikler, kullanıcıların güvenlik alanında yeterli bilgiye sahip olmadan daha fazla üretkenlik elde etmek ve işleri daha hızlı halletmek için çeşitli araçlara yöneldiğini gösteriyor. Güvenlik uzmanları tarafından test edilmemiş ancak çalışanlar tarafından kullanılan cihazlar, ağın penetrasyon oranını artırmakta ve güvenlik uzmanlarının uyguladığı tüm önlemleri hacker saldırılarına karşı etkisiz hale getirmektedir. Bu bağlamda, çoğu durumda çalışanlar profesyonel olmayan eylemlerde bulunur. Örneğin, şifrelerini monitörlerine yapıştırılan kağıda yazarlar. Organizasyonda güvenlik odaklı bir zihniyet ve kültür oluşturmak, insan hatası riskini ortadan kaldırmanın en iyi yoludur.
3. Çalışanlar için sürekli bir eğitim programına sahip olmak
Siber güvenlik, organizasyonun ilgilendiği en kritik kategori olmalıdır. Kuruluşun tüm insan kaynakları, güvenlik risklerinin ve bir güvenlik ihlali durumunda meydana gelen olayların tamamen farkında olmalıdır.
Çalışanlar, siber saldırılar konusunda eğitim ve iki faktörlü kimlik doğrulama ve parola yönetimi gibi en iyi güvenlik uygulamaları hakkında bilgi almalıdır. Bu durumda, bilgisayar korsanları, saldırıya uğrarsa hesaplarını hızlı bir şekilde hackleyemez.
4. Bilgi teknolojisi süreçlerinin karmaşıklığını izleme
İş süreçlerinde veya yeni hizmetlerde bir değişiklik tanımlandığında, bilgi güvenliği uzmanlarının son değişiklikleri izleyebilmesi için tüm olayların belgelenmesi gerekir. Genel bir kural olarak, kontrol listesini hazırlarken entegre bir tehdit yönetim sisteminin bu izleme sürecinin çoğunu otomatik hale getirebileceğini not etmeniz önerilir.
5. Verilere ve uygulamalara erişimi kısıtlayın
Bilgiye erişim sadece gerekli niteliklere sahip kişilere emanet edilmelidir. Daha doğrusu, çalışanların işlerine göre kaynaklara erişmek için gerekli izinlere sahip olmaları gerekir. Bu politika, donanım ekipmanına fiziksel erişim için de izlenmelidir.
6. Veri kullanım kontrollerini uygulama
Web’e veri yüklemek, yetkisiz adreslere e-posta göndermek veya harici sürücüleri kopyalamak gibi güvenli olmayan eylemler engellenmelidir.
7. Katı şifre politikaları oluşturun
Parola politikaları, parolaların kısa aralıklarla değiştirilmesi gerektiğini açıkça belirtmelidir. Ayrıca, çalışanların hiçbir yerde yazılı olmayan şifreler kullanmasını sağlayın. Bu, verilerinizin güvenliğini sağlamanın en kolay yoludur. Müşteri bilgilerinin ifşaya tabi yerlerde saklanmaması gerektiğini daima unutmayın. Bu da şirketin itibarını tehlikeye atıyor.
8. Donanım ve yazılım varlıklarının bir envanterini oluşturma
Bir siber güvenlik kontrol listesi hazırlarken kritik noktalardan biri, kuruluşun tüm varlıklarının tam bir listesini yapmaktır. Bu, varlıkları en doğru şekilde kontrol etmenize yardımcı olur çünkü kuruluştaki yatırımları bilmeden ayrıntılı bir güvenlik kontrol listesi hazırlayamazsınız. Bir şirketin güvenlik açıklarını azaltmak, ağa bağlı tüm cihazların eksiksiz bir görünümüyle başlar.
Tüm varlıklar denetlendikten sonra, bu listeyi güncellemek ve her satın alma işlemini korumak için hangi yetenekleri ve araçları kullanmamız gerektiğini belirlemek için ayrıntılı bir plana ihtiyacımız var. Başka bir deyişle, şirketteki tüm cihazların doğru bir hesabına sahip olmamız ve bu listenin bir şey eklendiğinde düzenli olarak güncellenmesini sağlamamız gerekiyor. Bu, bilgisayar korsanlarından başarılı bir saldırı şansını ortadan kaldırır.
9. Ağa bağlı cihazların belgeleri
Ağa bağlanabilen tüm cihazlar kayıtlı ve güvenli olmalıdır. Buna dizüstü bilgisayarlar, cep telefonları, anahtarlar, erişim noktaları, tekrarlayıcılar, köprüler, hub’lar ve çalışanların kişisel cihazları dahildir. Ağa bağlanabilen yazılım ve donanımı tanımlamak için araçlar kullanmak daha iyidir.
10. Müşterileri ve iş ortaklarını üçüncü taraf ağa bağlamak için konuk ağı
Şirket ofisleri için misafir ağları oluşturmak ve çalışanların ve müşterilerin kuruluşun alt ağına bağlanmasını sağlamak daha iyidir. Bu durumda, müşteriler hassas kurumsal varlıkları görüntüleyemeyecek ve özel bilgilere erişemeyecektir.
11. Kullanıcıların ağa ve ağ altındaki ekipmana nasıl eriştiklerini izleme
Kimlik doğrulama hataları ve yetkisiz erişim günlüğe kaydedilmeli ve ağ, şüpheli etkinlik açısından izlenmelidir. Ayrıca, ağa bağlanan herhangi bir yetkisiz cihaz hakkında ayrıntılı bilgi edinmelidir. Ayrıca, tehlikeli yazılım çalıştıran herhangi bir cihaza erişim web’den hızla kesilir.
12. Güvenlik açıklarının analizi, önceliklendirilmesi ve yönetimi
Siber güvenlik kontrol listesi hazırlarken dikkat etmeniz gereken temel noktalardan biri, riskleri sistematik olarak analiz etmek ve yönetmektir. BT ekipleri, güvenlik açıklarını belirlemek, şüpheli tehditleri belirlemek ve kötü niyetli faaliyetlere gerçek zamanlı olarak yanıt vermek için tam zamanlı siber güvenlik operasyonları gerçekleştirmelidir. Ancak o zaman risklerle başa çıkma yeteneğine sahip olacaksınız. Bu nedenle, riskleri tartmak ve önleyici tedbirler almak esastır.
13. Sürekli analiz
Tam zamanlı bir izleme mekanizması ve sürekli araştırma uygulanmadan, tehditleri mümkün olan en kısa sürede tespit etme şansı kaybedilir. Bu nedenle güvenlik uzmanları, kurumun ağı ile ilgili faaliyetleri sürekli olarak kontrol etmelidir.
14. Güvenlik açıklarını belirleyin ve önceliklendirin
Siber güvenlik kontrol listesi hazırlanırken gözden kaçırılmaması gereken bir diğer nokta da zafiyetlerin tespit edilmesi ve önceliklendirilmesidir. Özellikle kritik olan ve yamalanması gereken güvenlik açıkları. Bu alanda pratik bir çözüm, maruz kalma durumlarını yönetmeye ve bunları yapısal bir şekilde belirleme ve düzeltme becerisine atıfta bulunan risk odaklı yaklaşımdır. Güvenlik açıklarına öncelik verirken, tehdit düzeyi yüksek olanlarla başlamayı ve daha az ciddi olanlara inmeyi unutmayın.
15. Varsayılan ayarlara ve yapılandırmalara dikkat etme ihtiyacı
Siber güvenlik kontrol listenizi hazırlarken mobil cihazlara, iş istasyonlarına ve sunuculara kurulan donanım ve yazılımların güvenli tasarımını göz ardı etmeyin. İstatistikler, yazılım ve donanım ürünleri üreticilerinin, kullanıcı deneyimini ve kullanım kolaylığını göz önünde bulundurarak ürünleri için varsayılan yapılandırmaları dikkate aldıklarını göstermektedir. Basit kontroller, temel ayarlar, eski protokoller, ek yazılımların yüklenmesi ve açık yazılım veya donanım bağlantı noktaları (anahtarlar), bilgisayar korsanlarına kurumsal ağlara girmeleri için yeşil ışık yakar. Bu konuda dikkat edilmesi gereken önemli bir nokta, çalışanların anti-virüs, anti-malware ve otomatik güncellemeleri yükleme gereklilikleri konusunda eğitilmesi gerektiğidir.
16. Denetim raporlarının saklanması, izlenmesi ve analizi
Denetim raporları incelenmeden kurum ağına kimsenin haberi olmadan saldırılar yapılmış olabilir. Daha kesin olmak gerekirse, bilgisayar korsanları güvenlik uzmanlarının görüş alanından uzakta kurumsal ağa girmeyi başardılar. Bu durum, bilgisayar korsanlarının kullanabileceği daha gelişmiş saldırılar ve güvenlik açıklarından yararlanma için olası kapılar olduğunu gösterir. BT ekipleri, bir veri ihlali durumunda bu raporların doğru bilgiler sağlaması için denetim belgelerini dayanıklılık için tutmalıdır.
17. Güvenlik risklerinin raporları, izlenmesi ve analizi
Şirketler, titiz denetimler olmaksızın bir siber saldırının etkinliğini doğru bir şekilde değerlendirmek için zaman alıcı ve pahalı bir dizi dijital adli tıp önlemine başvurmak zorunda kalıyor. Bazı durumlarda, raporların hazırlanması ve saklanması mahkemeler tarafından kabul edilebilir ve şirketlerin temel güvenlik ilkelerini doğru bir şekilde uyguladıklarını göstermelerine yardımcı olur.
18. Ağlardaki zayıflıkları belirlemek için ayrıntılı değerlendirmeler yapmak
Güvenlik uzmanları, BT güvenliğinin durumunu ve kuruluşun riskini anlamak için yönetilen güvenlik açığı değerlendirme hizmetlerini kullanabilir. Şirketler ayrıntılı günlükler tuttuklarında, hangi güvenlik olayının olduğunu ve kullanıcıları bilgilendirmek için en iyi zamanı anlamak için bunlara bakabilirler. Raporların doğru bir şekilde değerlendirilmesi, gelecekte benzer saldırıların önlenmesine yardımcı olacaktır.
19. Şantiye dışı veri yedekleme
Fidye yazılımı saldırılarında, verileri çalan veya kilitleyen bilgisayar korsanları, kurbanların yalnızca fidye ödedikten sonra verilere yeniden erişmesine izin verir. Böyle bir sorunla karşılaşmamak için en iyi çözüm, hassas verilerin bir yedek kopyasını hazırlamaktır. Veri yedeklemenin bir diğer avantajı da, doğal afet veya sistem arızası sırasında verilerin geri yüklenebilmesidir. Verileri yedekleyerek, kötü amaçlı yazılım bulaşmamış bir kopya kullanılarak sunucunun kapalı kalma süresi azaltılabilir. Bu alandaki hayati ilke, bilgilerin her zaman yeni bir versiyonunun hazırlanması için yedekleme işleminin düzenli olması gerektiğidir. Yedeklemelere ek olarak, verileri ve uygulamaları hızlı bir şekilde geri yüklemek için bir olağanüstü durum kurtarma planı düşünmelisiniz. Bulut, yedeklemeleri depolamak için iyi bir seçenektir.
20. Olaylara ve olaylara hızlı müdahale planının hazırlanması
Müşterileri bir güvenlik ihlali hakkında bilgilendirmek maliyetli bir süreçtir. Şirket bir siber saldırıdan sorumlu tutulmazsa, şirketin itibarının zedelenmesi ve sorunu çözmek için harcanan sayısız saat, irili ufaklı şirketler için felaket olabilir. Bu nedenle, güvenlik ihlalleri için bir olay müdahale planına sahip olmak ve beklenmedik durumların üstesinden gelmek çok önemlidir.
son söz
Güvenlik uzmanlarına genellikle bir ağ güvenlik denetimi yürütmenin en zor yanının ne olduğu sorulur. Bazıları para ve iç destekle ilgili konuları ele alıyor; diğerleri, uygun bir güvenlik değerlendirmesinin önündeki engeller olarak bilgi eksikliğine sahiptir. Ancak, ağ güvenlik denetiminin önündeki en büyük engel iki basit şeydir: isteklilik ve disiplin. İşinize, müşterilerinize ve iş ortaklarınıza yakışanı yapmaya istekli ve bunu tutarlı bir şekilde yapmalısınız.
Kaynaklar sınırlı olsa bile güvenlik değerlendirmeleri yapabilir veya dış kaynak kullanabilirsiniz. Bu alanda kısıtlı bir bütçeniz varsa ve ücretsiz araçlar kullanmanız gerekiyorsa endişelenmenize gerek yok.
Uzun vadeli hedefinizin bunu profesyonelce yapmak ve mevcut en iyi araçları kullanmak olduğundan emin olun.
Bu amaçla, bir denetim sırasında yasalara uygunluğu göstermek için veri koruma araçlarını ve politikalarını doğru tanımladığınızdan ve takip ettiğinizden emin olmalısınız.
Bu amaçla, verileri korumak ve şirketin uyarlanabilirliğini sağlamak için dış ortaklarla yazılı anlaşmalar yapmak için bir çalışanı işe almak mümkündür. Ayrıca, gerektiğinde uygun makamlara yanıt vermek için tüm veri güvenliği ihlallerini belgelemek en iyisi olacaktır.
