Günümüzde ağ güvenliğinin sağlanması konusundaki yeni yaklaşımlardan biri de sıfır güven (zero trust) modelidir. Bu model eski Forrester analisti John Kindervag tarafından 2010 yılında geliştirilmiştir. Sıfır Güven, kuruluşların çevreleri içindeki veya dışındaki hiçbir şeye otomatik olarak güvenmemesi ve bunun yerine erişim izni vermeden önce sistemlerine bağlanmaya çalışan her şeyi doğrulaması gerektiği inancına odaklanan bir güvenlik kavramıdır .
Sıfır güven modeline göre ağınızdaki hiçbir kullanıcıya, hiçbir ağ cihazına, hiç bir yazılıma güvenmemeniz gerekir. Bu makalede bu modeli tanımaya, veri ihlallerinin zirve yaptığı günümüzde dertlerimize derman olup olmayacağını öğrenmeye ve gerçekçi bir model olup olmadığını irdelemeye çalışacağız.
Sıfır güven modeline göre öncelikle ağımızdaki her varlığın görünürlüğünü sağlamak gerekir. Fakat daha ağında hangi cihazların çalıştığını, hangi servislerin bulunduğunu bilmeyen bunun için bir envanter tutmayan kurumların bulunduğunu düşünürsek işimizin ne kadar zor olduğunu kabul edin. Bununla beraber ağdaki kullanıcıların ne gibi yetkileri var, kim nereye ne kadar yetkiyle erişebiliyor, kim nereye ne zaman erişti ne yaptı gibi bunların takibini yapan çok iyi korelasyonlarla donatılmış bir SIEM çözümünü kaç firma kullanabiliyor?
Sıfır güven modeli öncelikle verilerin güvenliğine odaklanır. Verileri sadece temel güvenlik önlemleri ile koruma altına almakla kalmaz ek güvenlik katmanları ile güvenlik seviyesini en üst düzeye çıkarmaya çalışır. Verilerin sınıflandırılıp nerede depolandığından, bunlara kimlerin ulaşabildiğinin tespitine kadar izlenmesi gereken birçok etken vardır.
Veri ihlallerinin bir kısmı kasten veya ihmal ile ağın içinden gerçekleşse bile öncelikle ağın dışındaki tehdit aktörlerini hep ağın dışında tutmaya çalışmak ve bunun için yeni nesil güvenlik duvarları ile ağı segmentlere ayırmak ve bu segmentlere erişimi sıkı bir şekilde denetlemek ve izlemek gerekir.
Klasik ve klişe bir laf olacak ama siber güvenlikte en zayıf halka insandır ve Arthur Conan Doyle’a ithaf edilen bir söze göre “Biz zincir en zayıf halkası kadar güçlüdür.” Bu nedenle kullanıcıların ağ kaynaklarına erişimini mümkün oldukça kısıtlamak ve zorlaştırmak gerekir. ISO 27001 almaya hazırlanan bir firmada, bilgi işlem yöneticisiyle çalışanların karmaşık ve belirli aralıklarla parola değiştirme zorunluluğu getirilmesinden dolayı tartıştıklarını görmüştüm. Kullanıcılara güvenmeyin ve elinizden geldiğince kuralları tavizsiz uygulayın. Standart bir kullanıcıya yasak olan şey insan kaynakları müdürüne de yasak olmalı. Hatta siz bilgi işlem yöneticilerine de. Sonra kullanıcılardan bunlar kendine Müslüman bizim ziyaret edeceğimiz siteleri kısıtlarken kendilerine her şey serbest şikayetini duyarsınız.
İş ortaklarınıza da güvenmeyin. Yaşanan veri ihlallerinin büyük çoğunluğu siz ağınızı ne kadar güvenli hale getirirseniz getirin bir iş ortağına verdiğiniz erişim veya onun servisi üzerinden kaynaklanmaktadır. 2 yıl önce yaşanan bir veri ihlalinde online bileti firması kendisine müşteri destek hizmetleri sunan bir firmanın zararlı yazılım içeren ürünü üzerinden ihlale maruz kalmıştı.
Ağınızdaki şeylere (things) de güvenmeyin. IoT ile birlikte artık her şeyin ağa bağlanabildiği bir dönemi yaşıyoruz. İlerleyen yıllarda kapı kolundan çay bardağına kadar ağa bağlanan cihazların sayısını bilemediğimiz günler gelecek. Ağımızdaki her bir cihaz tehdit aktörleri için bir giriş kapısıdır. Ve yine bellenimini güncellemediğiniz her IOT cihazı saldırı atak yüzeyini arttıracaktır.
Yapay zeka ve otomasyon her ne kadar günümüzün popüler başlıklarından olsa da yapay zeka ve otomasyona da güvenmeyin. Gerekli tüm güvenlik politikalarını uygulayıp bunların takip ve yönetimini yapay zeka içeren otomasyon sistemine devretmek başta iyi bir fikir gibi görünse de gerekli kontrollerin yapılmaması ağınızı tehlikeye atacaktır.
İşin felsefesini bırak pratik tavsiyelerde bulun dediğinizi duyar gibiyim. Başlayalım öyleyse.
- Neyiniz var öğrenin. Bilmediğiniz, sayamadığınız, ölçemediğiniz şeyin güvenliğini sağlayamazsınız. Bu nedenle ağ cihazlarından servislere oradan kullanıcılara kadar elinizin altındaki tüm varlıkların iyi bir envanterini çıkarıp kayıt altına alın.
- Ağa erişimi sıkı güvenlik politikalarıyla sağlayın. Bunu ücretli bir NAC (Network Access Control) ile sağlayabileceğiniz gibi açık kaynak çözümlere de yönelebilirsiniz.
- Her şeyi loglayın. İyi güvenlik politikalarına sahip olmak sizi kurtarmaz, sonuçta bir veri ihlali olduğu zaman bunun nasıl gerçekleştiğini tespit etmeniz gerekir. Bunun için çok iyi korelasyonlarla donatılmış bir SIEM-SOAR çözümü kullanın. Yine bu konuda ücretli ücretsiz birçok çözüm bulabilirsiniz. Orta ölçekli işletmeler için Security Onion ücretsiz açık kaynak bir çözüm olarak karşımıza çıkmaktadır.
- Kullanıcıları ve sahip oldukları rolleri iyi belirleyin. Yine iyi yapılandırılmış bir etki alanı yöneticiyle bunu sağlayabilirsiniz.
- Verileri sınıflandırın ve erişimi sınırlandırın. Kurumunuz içindeki verileri sınıflara ayırdıktan sonra hassas ve önemli olarak belirlediğiniz verilere kimlerin erişebileceğini sıkı güvenlik politikalarıyla belirleyin.
- Çok faktörlü kimlik doğrulamayı (MFA) mutlaka etkinleştirin. Ağınızın içinden veya dışından kim erişimek isterse istesin çok faktörlü kimlik doğrulamayı geçemeyen ağa giriş yapamasın. Çok faktörlü kimlik doğrulama içinde piyasada ücretli ücretsiz birçok çözüm bulabilirsiniz.
- RDP’yi kapat yeğen. Rahmetli Ramiz Dayının tavsiyesine uyarak uzaktan erişim için RDP bağlantısını hiçbir şekilde kullanmayın. Bazı arkadaşlar RDP portunu 3389’dan farklı bir porta taşıyınca güvende olduklarını sanıyor. Yok öyle bir dünya. Bkz. Sızma Sanatı, Kevin Mitnick.
- VPN kullan kullandırt. Tamam RDP kullanmayacağız ne yapacağız derseniz. Uzaktan erişim ve çeşitli lokasyonların iletişimi için mutlaka VPN kullanın. Tabi ki bu VPN yapılandırmalarını sıfır güven modeline göre inşa etmelisiniz. Örneğin VPN bağlantısında kullanıcı adı ve parola ile giriş yapan kullanıcı MFA ile de doğrulanmalı ki VPN kullanıcı bilgileri ele geçirilmiş biri yüzünden ağınız ihlale uğramasın. VPN için bir güvenlik duvarına verecek paramız yok diyorsanız ücretsiz o kadar çok çözüm var ki inanın biri işinizi görecektir.
- Her şeyi sıkılaştırın(hardening). Ağınızdaki ağ cihazlarından ağ servislerine kadar ne varsa hepsi için iyi bir sıkılaştırma politikası uygulayın. Kullandığınız ağ cihazlarının üreticilerinin sitelerinde bu konuda örnek yapılandırmalar bulabilirsiniz.
- Birçok servis ve hizmeti buluta taşıyın. Kendi içinizde sıfır gün modelini uygulamak çok zor ve maliyetli olacaktır. Servis ve hizmetlerinizi buluta taşıyarak güvenlik işini bulut firmalarına emanet etmiş olursunuz. Ama bu konuda çok dikkatli olmak lazım. El elin eşeğini türkü çağırarak ararmış.
- Tatbikat yapın. Bir tehdit aktörü aldığınız tüm önlemlere rağmen önemli verilerin olduğu ağ kesimlerine sızabiliyor mu bununla ilgili testler yapın. Klasik anlamda sızma testlerinden ziyade senaryo bazlı olay canlandırma temelli sızma testleri gerçekleştirin.
Sözlerimizi yine klasik ve klişe bir lafla bitirelim. %100 güvenlik hiçbir zaman mümkün değildir. Bunun bilincinde olarak yaşanan veri ihlallerini dünyanın sonu gelmiş gibi düşünmemek ve buna göre davranmak gerekir. Tabi alınması gereken tüm tedbirleri aldıktan sonra…
Bu Yazı Arka Kapı Dergisinin 12. Sayısında Yayınlanmıştır.
Bir yanıt bırakın