Ağ güvenliği, tüm bilgi işlem kaynaklarının kullanılabilirlik, gizlilik ve bütünlük saldırılarına ve hatalarına karşı korunmasını tanımlamak için kullanılan geniş bir terimdir. Bu, kötü amaçlı yazılımdan koruma, güvenlik duvarları, izinsiz giriş algılama, veri kaybı önleme teknolojisi ve diğer korumaları içerir.
Ağ güvenliği, bir ağa eklenen belirli koruyucu kontrolleri içerir. Bu kontroller yıllar içinde çok gelişti. Biz, bir ağı nasıl koruyacağımız hakkında daha fazla şey öğrendikçe siber korsanlar farklı saldırı yöntemleri geliştirmeye devam ettiler. Bu, bu şekilde sürüp gidecek.
Güvenlik için en iyi kontrollerin eklendiğinden emin olmak için öncelikle tehdit ortamını ve ağ güvenlik açıklarını çok iyi anlamanız gerekiyor. Aynı zamanda, doğru tedarikçileri, çözümleri ve yapılandırmaları ağınıza uygulayabilmeniz için ne tür kontroller olduğunu çok iyi bilmeniz gerekiyor.
Tehditler, kaynağın gizliliğini, kullanılabilirliğini veya bütünlüğünü etkileyen olası ihlallerdir. Tehditler, hassas verilerin ifşa edilmesini, verilerin değiştirilmesini ve bir hizmete erişimin reddedilmesine neden olmayı içerebilir.
Tehdit ortamı, tehditler, tehdit aktörleri ve bir saldırının gerçekleşmesine izin veren tehdit vektörü hakkında mevcut bilgilerden oluşur. Tehdit aktörü, mevcut tehditleri kullanarak zarar verme niyetinde olan bir kişi veya bir grup insandır.
Örneğin bir dizüstü bilgisayarın bir hırsız tarafından çalınması durumunda buradaki tehdit aktörü hırsızdır. Tehdit vektörü ise kilitlenmemiş kapı ya da bir masaya doğru bir şekilde kilitlenmemiş dizüstü bilgisayar gibi saldırıya neden olan yoldur.
Bir saldırının gerçekleşebilmesi için faydalanılabilecek bir güvenlik açığı olmalıdır. Güvenlik açığı, tehdit aktörlerinin güvenlik politikalarını ihlal etmek için kullanabileceği bir zayıflık veya kusurdur.
Dizüstü bilgisayar örneğiyle devam edersek, hafif tasarım, taşınabilirlik ve rahatlık birçok müşteri açısından cazip özellikler arasında yer alır. Ancak bu cazip özellikler aynı zamanda dizüstü bilgisayarın çalınması açısından da birer zayıflıktır. Kapı kilitleri veya dizüstü bilgisayar kilitleri tehdit aktörünü yavaşlatır ve çalınma olasılığını azaltır. Yani genel anlamda riski azaltır.
Gizlilik, bütünlük ve kullanılabilirlik (CIA), herhangi bir bilgi güvenliği sürecinin hedefini tanımlayan ana niteliklerdir. Sürece dahil olan birçok strateji ve faaliyet vardır ve her biri şu üç aşamadan birine girer: Önleme, tespit ve müdahale.
Önleme aşamasının temelleri aşağıdaki gibidir ve iyi belgelenmiş politikalarla yürütülür:
Tespit, sistem etkinliğini izleyen ve günlüğe kaydeden yeteneklerin kullanılmasıyla ilgilidir. Olası bir ihlal veya kötü niyetli bir faaliyet durumunda, tespit sistemleri sorumlu taraf veya kişiye haber vermelidir. Tespit süreci, yalnızca zamanında ve planlı bir müdahale ile takip edildiğinde değerlidir.
Müdahale, devam eden bir saldırıyı durdurmayı, bir sistemi en son yamayla güncellemeyi veya bir güvenlik duvarındaki yapılandırmayı değiştirmeyi kapsayan bir olay için iyi planlanmış bir düzeltmedir.
Ağ güvenliğindeki kritik kavramları anlamak önemlidir. İyi birisi olarak güvenlik açıklarının ve tehdit aktörlerinin farkında değilseniz, uygulanacak en iyi güvenlik kontrollerini bilemezsiniz. Örneğin sisteme erişmeden önce kullanıcının kimliğinin doğrulanması gerektiğini bilmeniz gerekir. Bu, doğru satıcıyı ve çözümü belirlemenizi sağlayan en temel bilgidir.
Erişim denetimi, hemen hemen herkesin aşina olduğu bir tür güvenlik kontrolüdür. Muhtemelen siz de dahil olmak üzere daha birkaç dakika önce bir bilgisayara giriş yapmak için parola kullanmıştır. Ya da bir ağa, uygulamaya veya dosyaya erişmek için bir parola kullanmış da olabilirsiniz. Ortalama bir kişinin aklında tutması ya da kullanması gereken en az 10 parolası vardır.
Erişim denetimi uygulaması dört bölüme ayrılmıştır: Tanımlama, kimlik doğrulama, yetkilendirme ve hesap (IAAA). Bu işlem, kullanıcı kimliği, kullanıcı adı veya hesap numarası gibi benzersiz bir tanımlayıcı aracılığıyla kullanıcının kimliğini doğrular.
Sistem, kullanıcı tarafından bilinen kullanıcı adı ve parola gibi kimlik bilgilerini doğrulayarak kullanıcının kimliğini doğrular. Kullanıcının kimliği ayrıca kimlik kartı ya da tek kullanımlık bir parola ile de belirlenebilir. Sistem kullanıcının kimliğini doğruladıktan sonra erişim hakkının verilmesi için yetkilendirme aşaması başlar.
Son kısım olan hesap, erişime sahip olanları bir sistemdeki eylemlerinden sorumlu tutmak için kullanıcı etkinliğini izlemeyi gerektirir. Günümüzde parolalar tek seçenek değildir. Tek seferlik parola oluşturma donanımı veya yazılımı, akıllı kartlar ve biyometri dahil olmak üzere birçok seçenek vardır. Herhangi bir ağ kaynağı için doğru seçeneğin seçilmesi dikkatli bir değerlendirme gerektirir.
Ağ segmentasyonu, bir ağı daha küçük mantıksal parçalara bölerek kontrollerin aralarına eklenebilmesidir. Bu, performansı ve güvenliği artırır. Sanal yerel alan ağları (VLAN'lar), hem şirket içinde hem de bulut altyapısı kullanılarak gerçekleştirilen yaygın bir ağ bölümlendirme yöntemidir. Bulut için kullanıldıklarında sanal özel bulutlar (VPC'ler) olarak adlandırılırlar.
Fiziksel bir veri merkezi içindeki geleneksel ağ iletişimi, açıkça tanımlanmış bir çevreye sahipti. Veri merkezinin dış dünyayla bağlantısının olduğu noktaydı. Günümüzde bunları tanımlamak daha zor, ancak yine de aynı teknolojinin büyük bölümünü hala kullanıyoruz.
Buna güvenlik duvarları (FW), izinsiz giriş tespit sistemleri (IDS) ve izinsiz giriş önleme sistemleri (IPS) dahildir. Bir çevre tanımladığınızda, hangi verilerin, sesin ve videonun geçmesine izin verildiğini belirlemek gerekmektedir. Ne tür bir trafiğin akması gerektiğini belirledikten sonra, kontrol mekanizmaları buna göre yapılandırılabilir.
Şifreleme, bir anahtar kullanarak bunları kriptolamaya dönüştürerek, aktarılan veya bekleyen verilerin gizliliğini ve bütünlüğünü sağlıyor. Simetrik ve asimetrik şifreleme, iki temel şifreleme türü olarak öne çıkmaktadır.
Eski Mısırlılar gizlilik amacıyla simetrik şifreleme yöntemini kullandılar. Günümüzde de aynı konsepti çok karmaşık algoritmalarla birlikte kullanıyoruz. Örneğin, bir çevrimiçi bankacılık oturumunu gizli tutmak istiyorsanız, simetrik şifreleme ile şifrelersiniz. Bankacılık web sitesinin gerçekliğinden emin olmak için simetrik şifreleme kullanılır.
Hashing, orijinal mesajı veya verileri kısa bir değere dönüştürerek sabit uzunlukta bir rastgele karakter dizisi oluşturmak için bir algoritma kullanır. Bu, aynı mesajın veya verilerin bütünlüğünü sağlamak için bir anahtar görevi görür.
Hashing algoritmaları aynı zamanda bir iletişimin bütünlüğünü doğrulamanın da bir yoludur. Bir cümleyi okumak kadar basittir. Bunun bu şekilde yazıldığından emin misin? Yanlışlıkla ya da şüpheli bir şekilde değiştirildi mi?
Harflerin veya bitlerin yanlışlıkla değiştirilmediğini kanıtlamak için hashing algoritmaları kullanılır. Hashing ile korunan bir şifreleme, siber korsanının metni kötü niyetli olarak değiştirmediğini bilmenize yardımcı olur. Hashing, parolaları güvenli bir şekilde depolamak, dosyaları izlemek ve iletişim bütünlüğünü sağlamak için yaygın olarak kullanılmaktadır.
İnsanlar, operasyonlar ve teknoloji, savunma ağ güvenliğine katkıda bulunan ana unsurlardır. İşletmenizi tehdit eden riskleri belirleyip değerlendirdikten sonra ağ güvenliği ihtiyaçlarınızı belirleyebilirsiniz. Buna çevre güvenliği için kullanmanız gereken teknoloji türü, güvenlik duvarlarından oluşturulan uyarılara verilen yanıtlar, izinsiz giriş algılama, önleme ve günlükler dahildir. Güvenlik duvarlarıyla başlayalım
Güvenlik duvarları, 25 yılı aşkın bir süredir ağlarda ve uç noktalarda en çok kullanılan geleneksel güvenlik önlemlerinden biridir. Bir güvenlik duvarı için trafik iki kategoriden birine girer: geçmesi istenen trafik ve engellenmesi istenen trafik. Paket filtresi, istenmeyen trafiği filtreleyen ilk güvenlik duvarlarından biriydi.
Satıcılar, güvenlik duvarlarının trafiği analiz etmesi ve otomatik olarak kategorilere ayırması için birçok farklı yol geliştirdi. Bu, farklı güvenlik duvarı varyasyonlarına yol neden olmaktadır. Bunlara örnek olarak ilk paket filtrelerini, yeni nesil güvenlik duvarlarını ve şimdi de bulut nesli güvenlik duvarlarını verebiliriz.
Güvenlik duvarlarından farklı olarak, bir saldırı tespit ve önleme sistemi (IDPS), ağı kötü amaçlı etkinliklere karşı izler, ağ güvenliği olaylarını ve olası tehditleri bildirir ve bunlara müdahale eder. Bir güvenlik duvarı istenen trafiği bulur ve gerisini engeller.
Saldırı tespit sistemi (IDS), olmaması gereken trafiği arar. Siber korsanlardan veya başka kötü niyetli aktörlerden gelen trafiği bulmaya odaklanır. Teknoloji ilerledikçe, birileri iyi bir soru sormuş olmalı: Trafiğin bir siber korsandan geldiğini biliyorsak, neden sadece günlüğe kaydediyoruz? Neden bu trafiği tanımlandığı anda düşürmüyoruz? Bu noktadan itibaren teknoloji izinsiz giriş önleme sistemlerine (IPS'ler) doğru ilerledi.
IPS doğası gereği aktif bir yaklaşımdır. Üzerinden geçen trafiğin bir siber korsandan geldiğini anlayınca harekete geçer ve bu trafiği düşürür. Bu gerçekten akıllıca gözüküyor. Ancak gerçek hayatta sistemleri doğru bir şekilde ayarlamak gerçekten çok karmaşık bir iştir. Doğru bir şekilde ayarlanmazlarsa iyi trafiği engellerken siber korsanları içeri alabilirler. Bu nedenle çoğu işletme, IDS’in yanında günlüklere, bir güvenlik bilgisi olay yöneticisine (SIEM) ve olay müdahale planlarına ve ekiplerine sahiptir.
Bir sanal özel ağ (VPN), ağınızda dolaşan verilerin gizliliğini korur. VPN'nin özünde şifreleme vardır, ancak kimlik doğrulaması da kullanır. Bir VPN’de, özellikle kullanıcıların ofise uzaktan bağlanmaları için dizüstü bilgisayarlarında veya telefonlarında sahip oldukları uygulamalara yönelik üç farklı şifreleme seçeneği vardır. Bunlar şu şekildedir: IPsec, SSL/TLS ve SSH. Bu üç şifreleme protokolü, diğer uygulamalar için de kullanılır.
IPSec, ISO’nun OSI modelinin 3. katmanında çalıştığı için hemen hemen her senaryoda kullanılabilen bir şifreleme protokolüdür. Katman 3, doğru ağ hedefine veri, ses veya video alan ağ katmanıdır. Dolayısıyla, IPSec eklerseniz, verileriniz hedefe şifreli ve gizli bir biçimde ulaştırılır. VPN'ler dışında yaygın bir kullanım, iş yerleri arasında siteden siteye bağlantı içindir.
TLS (Transport Layer Security) ise SSL’nin yükseltilmiş halidir. Sahipliği 1999'da Netscape'den International Engineering Task Force'a (IETF) devredilmeseydi, SSL 4.0 olarak adlandırılacaktı. TLS, VPN'ler için olduğu kadar herhangi bir web tabanlı bağlantı için de bir şifreleme seçeneği sunar. Bu bağlantılar, bir bankaya, Amazon'a veya tarayıcınızın köşesinde kilit bulunan başka bir siteye tarayıcı tabanlı bir bağlantı olabilir.
SSH, öncelikle bir bilgisayardan diğerine uzak bağlantılar için kullanılır. Ağ yöneticileri tarafından sunuculara, yönlendiricilere ve anahtarlara yönetimsel amaçlarla bağlanmak için yaygın olarak kullanılmaktadır. Bu bağlantılar yapılandırma ve izleme içindir.
Şirketinizin kontrollü bir şekilde müşterilerle paylaşmak istediği içerik, kitap, kılavuz ve benzeri içerikler varsa çözüm dijital hak yönetimidir (DRM). Günümüzde bilgisayarı olan çoğu kişi DRM yazılımına aşinadır.
Netflix veya Amazon prime videolarını izliyorsanız veya Spotify veya iTunes'da müzik dinliyorsanız, DRM'yi muhakkak kullanmışsınızdır. Kindle’daki bir kitabı rasgele bir kişiyle paylaşamazsınız. Kindle uygulamasının DRM yazılımı kitabın haklarına bağlı olarak genellikle buna izin vermez.
Şirketiniz, kullanıcıların kredi kartı numarası gibi hassas bilgiler içeren bir e-postayı şirket dışından birine göndermesinden endişeleniyorsa, kullanılması gereken çözüm veri sızıntısını önlemedir (DLP).
DLP araçları, işletmeden çıkmaması gereken, sızıntı olabilecek trafiği izler ve bu iletimi durdurur. En azından altında yatan fikir budur. DLP'yi düzgün bir şekilde yapılandırmak çok zordur, ancak şirketinizi kazara meydana gelebilecek veri sızıntılarından korumak için araştırmaya değer bir yöntemdir.
Tüm işletmelerde mutlaka kullanılması gereken en önemli kontrol izlemedir. Saldırıları, tehditleri, ihlalleri, bilgisayar korsanlarını ve diğerlerini izlemek önemlidir. Söz konusu güvenlik olduğunda, işletmenizin saldırıya uğrayacağını ve kullanıcıların hata yapacağını varsaymak en iyisidir. Ardından saldırıları izleyin ve yanıt vermeye hazır olun. Ortalama bir işletme için en büyük sorunlardan biri, saldırıya uğradıklarını dahi bilmemeleridir.
Cihazların olayları kaydetmesi gerekir, böylece ağınızda ne olduğunu ve neler olduğunu bilirsiniz. Olaylar kaydedildikten sonra, analiz için merkezi bir sistem günlüğü sunucusuna gönderilmelidir.
Analiz aracına Güvenlik Bilgileri Olay Yöneticisi (SIEM) adı verilir. Görevi, olayları ilişkilendirmek ve ihlal göstergelerini bulmaktır. Bir ihlal göstergesi varsa birisi olayı gözden geçirmeli ve bir saldırıyı durdurmak veya bir saldırıdan sonra sistemleri onarmak ve geri yüklemek için önlem alınması gerekip gerekmediğini belirlemelidir.