Ağ Güvenliği Türleri Nelerdir?

Uygulanan ağ güvenliği türleri, tehdit ortamına dayalı olmalıdır. Buna mevcut tehdit aktörleri, vektörler ve güvenlik açıkları dahildir. Bu unsurlara dayanarak, başarılı bir saldırı olasılığını azaltmak ve etkisini azaltmak için ağ ortamınıza kontroller eklenmelidir.

Ağ güvenliği türleri

Bir ağ ortamına eklenen güvenlik, bugün var olan ve aynı zamanda yarın var olacağı tahmin edilen tehdit ortamına dayanmalıdır. Bu, ev, iş veya servis sağlayıcı ağları için geçerlidir.

Etkili ağ güvenliği, bilinen güvenlik açıklarını, bilgisayar korsanlarını veya diğer tehdit aktörlerini ve mevcut saldırı eğilimlerini dikkate alır. Bir ağa düzgün bir şekilde güvenlik eklemek için, işletmenizin açıkta kalan tüm varlıklarını ve bunların nasıl ele geçirilebileceğini anlamanız gerekmektedir.

Tehdit Ortamı

Tehdit ortamı, tanımlanması ve anlaşılması önemli olan birçok unsuru içerir. Bu, sizi uygun eylemi gerçekleştirme bilgisiyle donatır.

Tehdit aktörleriyle başlayalım. Saldırıları başlatan ve sistemlere giren onlardır. Kötü niyetli aktörler, insanlar veya varlıklardır. Aktörün türüne bağlı olarak çeşitli farklı hedefleri vardır.

  • Siber teröristler, bir ülkeye zarar vermek için ülke açısından kritik öneme sahip varlıklara saldırır. Örneğin, bir ülkenin elektrik şebekesine saldırabilirler.
  • Devlet destekli aktörler hükümetleri adına saldırır. Ülkelerinin gündemini ilerletmek için diğer ülkelerin hükümetlerine saldırıda bulunurlar.
  • Organize suç veya siber suçluların amacı para kazanmaktır. Bunu bir iş veya gelir kaynağı olarak görmektedirler. İşletmelerden fiziksel olarak değil, sanal olarak hırsızlık yapan suçlulardır.
  • Hacktivistler ise mesaj vermek amacıyla saldırıda bulunurlar. Şirketelere mantıksal saldırılarda bulunan aktivistlerdir.
  • “Script Kiddies” ise başkalarının araçlarını kullanarak saldıran kişilere verilen addır. Bu araçlar olmadan saldırı yapabilecek bilgi birikimleri yoktur.
  • Köstebekler ise işletmede çalışan ve işverenlerine zarar verme niyetinde olan kişilerdir.

Tehdit vektörleri

Tehdit vektörü, saldırının izlediği yoldur. Bir saldırganın bir binaya fiziksel olarak girmek için birisinden kapıyı açmasını rica etmesi kadar basit bir sosyal mühendislik ürünü olabilir. Aynı zamanda çok karmaşık bir süreç de izleyebilir.

Örneğin, bir saldırının kimlik avı olarak bilinen bir sosyal mühendislik saldırısıyla başlaması oldukça yaygındır. Kullanıcı bu tuzağa düştüğünde sistemine bir yazılım yüklenir ve bu yazılım sisteme bir arka kapı açar. Siber korsan, sisteme erişmek ve ağda gezinmek veya yanal olarak hareket etmek için arka kapıdan yararlanır.

Güvenlik Açıkları

Güvenlik açıkları, teknolojide var olan zayıflıklar veya kusurlardır. Buna güvenlik duvarları, virüsten koruma ve kötü amaçlı yazılımdan koruma gibi güvenlik ürünleri dahildir. Ayrıca sunucular, iş istasyonları, dizüstü bilgisayarlar, kameralar, termostatlar ve buzdolapları gibi normal uç nokta cihazlarını da içerir. Ayrıca, yönlendiriciler ve anahtarlar gibi ağ aygıtlarını içerir. Güvenlik açıklarını üç farklı kategoride incelemek mümkündür:

  1. Bildiğimiz ve düzeltmesi ya da yaması olan güvenlik açıkları. (n-days)
  2. Bildiğimiz, ancak düzeltmesi ya da yaması olmayan güvenlik açıkları. (n-days)
  3. Henüz bilmediğimiz güvenlik açıkları. (0-days)

 

Mitre gibi siteler ilk iki türün kayıtlarını tutar. İlk ik tür birlikte Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) listesi olarak bilinir. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Ulusal Güvenlik Açığı Veritabanı (NVD) adı verilen bilinen güvenlik açıklarını listeleyen başka bir siteye sahiptir.

Ağınızda güvenlik açığı taramaları çalıştırarak güvenlik açıklarını bulursunuz. Tenable’ın Nessus gibi tarama araçları, keşfedilen yazılımları bilinen güvenlik açıklarının veritabanlarına otomatik olarak bağlar. Güvenlik açığı taramaları, şüpheli güvenlik açıkları hakkında rapor verir, ancak bunların kötüye kullanılabilir olduğunu doğrulamaz. Sonraki adım, bir ağda istismar edilebilir olduklarını doğrulamak ve sistemleri korumak için harekete geçmektir.

Örneğin ağınızda bir Microsoft Windows Server 2019 varsa, güvenlik açığı tarayıcısının bu sunucuyu etkileyebilecek bir sorun olan Zerologon'u keşfetmesi gerekir. Tarayıcı önce bir Windows sunucusu 2019 olduğunu tespit eder ve ardından bilinen güvenlik açıkları için veritabanını arar.

Bu tarama, NIST'de Zerologon adında uygunsuz ayrıcalıklara izin veren bir CVE bulmalıdır. Bu CVE, 10 üzerinden 10 olan bir Ortak Güvenlik Açığı Önem Puanına (CVSS) sahiptir; bu, olabileceği kadar kötü olduğu ve derhal ele alınması gerektiği anlamına gelir. CVE sayfasında önerilere, çözümlere ve araçlara bağlantılar bulunur. Ayrıca, bir saldırı hakkında daha fazla bilgi sağlayan Ortak Zayıflık Numaralandırması (CWE) sayfasına da işaret eder.

Kırmızı ekipler, mavi ekipler

Bir işletmenin bir ağı güvenlik açıkları açısından test etmek için kullanabileceği birçok farklı araç ve metodoloji vardır. Bir yöntem, penetrasyon testi veya pen testi olarak da bilinen işletmeye yönelik bir saldırıyı simüle etmektir. İşletmeler bu amaçla etik siber korsanlar kullanır.

Etik siber korsanlar bir ağa saldırdığında, o ağa özgü güvenlik açıkları bulurlar. Bu bilgisayar korsanlarını etik yapan şey, bir sisteme saldırma iznine sahip olmalarıdır. CVE'lerde listelenen güvenlik açıklarının ağda bulunduğunu kanıtlayabilirler veya yanlış yapılandırmayı veya bilinmeyen güvenlik açıklarını ortaya çıkarabilirler.

Penetrasyon testi yapmanın bir yolu kırmızı ve mavi ekipler kullanmaktır. Kırmızı ekip, gerçek siber korsan araçlarını kullanır ve mevcut ağ savunmalarını ihlal etmeye çalışır. Mavi ekip, aktif saldırıya yanıt vermek için mevcut olay müdahale planlarını veya taktik kitaplarını kullanan bir olay müdahale takımıdır.

Bu iki ekip bir penetrasyon testinde birlikte çalıştığında, standart bir pen testinden daha fazla fayda elde edilir. Kırmızı ekip güvenlik açıklarını ortaya çıkarır ve mavi ekip müdahale alıştırması yapar. Ağlar gerçek siber korsanlar tarafından saldırıya uğrayacaktır, bu nedenle olay müdahale ekibinin hazır olması önemlidir. Bu nedenle pratik yapmak kritik önem taşır.

Önleme, tespit ve müdahale

Ağ güvenliğinin amacı, her şeyden önce saldırıları önlemektir. Bir saldırı gerçekleştiğinde, ilk adım bu saldırıyı tespit etmektir. Saldırı öğrenildiğinde müdahale etmek çok önemlidir. Hasarı önceliklendirin ve değerlendirin, kapsamı anlayın ve güvenlik açıklarını veya saldırıyı yürütmek için kullanılan yolu yamalayın. Bu işleme genel olarak önleme, algılama ve yanıt verme (PDR) olarak adlandırılır.

Önleme

Önleme, sistemlerin güçlendirilmesini ve güvenlik kontrolleriyle savunulmasını gerektirir. Bir sistemin güçlendirilmesi aşağıdakileri içerir:

  • Sistemi yamamak
  • Mümkünse varsayılan hesabı kaldırmak
  • Kaldırılamıyorsa varsayılan parolayı değiştirmek
  • Gereksiz bağlantı noktalarını kapatmak
  • Gereksiz hizmetleri kapamak veya kaldırmak
  • Kötü amaçlı yazılımlardan koruma yazılımı ve güvenlik duvarı gibi kontroller eklemek

Tespit

Tespit esas olarak günlükler aracılığıyla yapılır. İzinsiz giriş tespit sistemleri (IDS) gibi sistemler, trafiği izler ve şüpheli etkinlikleri kaydeder. Sistem etkinliği günlüğe kaydeder ve bunu bir sistem günlüğü sunucusuna gönderir. Bir güvenlik bilgisi olay yöneticisi (SIEM), güvenlik personelini tehlike belirtileri (IoC) konusunda uyaran günlükleri ilişkilendirir ve ayrıştırır. Güvenlik departmanı veya olay müdahale ekibi daha sonra bunun gerçek bir tehlike olup olmadığını kanıtlamak için harekete geçer ve tekrar olmasını önlemek için ortamı düzeltir.

Müdahale

Müdahale, bir sisteme bir yama indirmek kadar basit olabilir, ancak aynı zamanda çok fazla çalışma gerektirebilir. Neyin yanlış yapılandırıldığını anlamak için güvenlik duvarları, izinsiz giriş önleme sistemleri (IPS), yönlendiriciler ve diğer tüm ağ ve güvenlik yazılımları ve aygıtlarındaki mevcut yapılandırmaları analiz etmek gerekebilir.

Müdahale, ağa yeni veya farklı güvenlik araçları eklemek de olabilir. Bu, bir iş planı oluşturmayı içeren kapsamlı bir süreç olabilir.

İlgili Makaleler

İlgili Araştırmalar