Saldırı Önleme ve Felaket Kurtarma
Dijital dönüşüm fırtınasına tutulduğumuz bugünlerde, KOBİ’lerin, büyük ölçekli şirketlerin, işletmelerin, kurumların ve kuruluşların sürdürülebilirliği için olmazsa olmaz koşul; siber güvenlik teknolojilerine sahip olmak. Bu teknolojilerin en kilit öneme sahip olanları ise; “Saldırı Önleme ve Felaket Kurtarma.’
Pandemide işletmelerin hayatına birçok yeniliği ve kolaylığı getiren dijital dönüşüm; bilgi güvenliği, büyük veri (Big Data), yapay zeka (Al), Nesnelerin İnterneti (IoT), Endüstriyel Nesnelerin İnterneti (IIoT), Makine Öğrenimi (Machine Learning), Kuantum Teknolojisi, Bulut Bilişim (Cloud Computing), Uç Bilişim (Edge Computing-Sınırda Bilişim), Sis Bilişim (Fog Computing), Giyilebilir Teknolojiler, mobil uygulamalar vs. gibi ilgili tüm teknolojilerin korunması, uzaktan çalışma modelinin güvenle işleyebilmesi, şirketin tüm işlerinin, operasyonlarının devamlılığı, kurumiçi bilgilerinin korunması ve en önemlisi varlığının sürdürülebilirliği noktasında siber güvenlik risklerini de beraberinde getirdi.
Bu teknolojilerle kullanılan verilerin gizliliği, güvenliği, işletmenin sağlıklı işleyebilmesi ve varlığını sürdürülebilmesi için yüksek teknolojili dijital güvenlik (siber güvenlik) çözümleri gerekiyor. Artık siber güvenlik; ihtiyaç değil, gereklilik. Dijitalleşen ve siber güvenlik önlemlerini almayan şirketler, milyon dolarların üzerinde kayıplar yaşıyor ve yok olma tehlikesiyle karşılaşıyor.
Siber güvenlik alanında en kritik önemdeki çözümler ise; ‘Saldırı Önleme ve Felaket Kurtarma.’ Henüz hiçbir tehdit yokken riski önceden öngörüp gerekli önlemleri almak, gerekirse önlemek, siber saldırı gerçekleştirildiğinde ise felaket kurtarma senaryolarına sahip olmak, en önemli konu haline geldi. Günümüzde KOBİ’ler, büyük ölçekli işletmeler, kurumlar, kuruluşlar, siber güvenlik ve özelinde ‘Saldırı Önleme ve Felaket Kurtarma’ teknolojilerine sahip değilse bugünden itibaren gelecekte var olamayacaklar. Siber suç mağduru olmayı beklemek yerine hazırlıklı olmak gerekiyor.
COVID-19’la mücadeleyi destekleyen sektörlere yönelik siber saldırılar iki kat arttı
IBM (NYSE: IBM) Güvenlik İş Birimi’nin yayınladığı 2021 X-Force Tehdit İstihbaratı Endeksi, her gün 130’dan fazla ülkede izlenen, 150 milyardan fazla güvenlik olayından elde edilen içgörüleri ve gözlemleri esas alıyor. IBM Security X-Force, 2020’de saldırganların daha çok hastaneler, tıbbi cihaz ve ilaç üreticileri ve tedarik zincirini destekleyen enerji şirketleri gibi, COVID-19 ile küresel mücadele eden kuruluşları hedeflediğini gözlemledi.
IBM Security X-Force Küresel İstihbarat Lideri Nick Rossmann, rapora göre sağlık hizmetleri, üretim ve enerji sektörlerine yönelik saldırıların önceki yıla kıyasla iki kat arttığını anlattı. Tehdit aktörleri, tıbbi çalışmalarda veya kritik tedarik zincirlerinde aksaklığa yol açarak kapalı kalma süresinin maliyetini karşılayamayacak kuruluşları hedefliyor. 2020’de finans ve sigortacılık sektöründen sonra en fazla saldırıya uğrayan üretim ve enerji sektörlerine yönelik saldırılar bu dönemde arttı. İki sektörün de önemli ölçüde bağımlı olduğu endüstriyel kontrol sistemlerindeki (ICS) güvenlik açıklarının yaklaşık yüzde 50 artması siber saldırı sayısındaki artışta önemli rol oynuyor.
Rapordan öne çıkan başlıklar şöyle:
Siber suçlular Linux tabanlı kötü amaçlı yazılım kullanımını artırıyor.
Dijital salgın en fazla taklit edilen tanınmış markalar üzerinden yayılıyor.
Fidye yazılım grupları nakit girdilerini artırıyor.
Açık kaynaklı kötü amaçlı yazılımlara yapılan yatırım bulut ortamlarını tehdit ediyor.
Siber suçlular, tanınmış markaları taklit ediyor.
Fidye yazılımları 2020’de en yaygın saldırı türü oldu.
Siber saldırılarda 2 kat artış
Fortinet’in FortiGuard Labs Küresel Tehdit Raporu: 2020’nin ikinci yarısında siber saldırılar en üst seviyeye çıktı: FortiGuard Labs verilerine göre 2020’nin ikinci yarısında siber saldırganlar, uzaktan çalışanları ya da eğitim alanları ve dijital tedarik zincirini hedef aldı. Fidye yazılımının hareketliliğinde ilk yarıya kıyasla yedi kata varan bir artış gözlemlendi. Ayrıca Microsoft platformları en çok başvurulan saldırı hedefi olarak öne çıkıyor. FortiGuard Labs Küresel Tehdit Raporu’na göre; fidye yazılımlarının baskın tehlikesi devam ediyor, saldırganlar online aktiviteleri hedef alıyor, evden çalışanlar hala hedef alınıyor, listenin ilk sırasında IoT cihazlarını hedef alan saldırılar var. Tehdit aktörleri dünya sahnesine çıkıyor. Zafiyet istismarları azalıyor. FortiGuard Labs Güvenlik Yaklaşımları ve Global Tehdit Ortaklığı Başkanı Derek Manky, siber suçlularla savaşmak için entegre bir strateji ve kapsamlı farkındalık gerektiğine dikkat çekiyor.
Felaket kurtarma nedir? nasıl ve hangi durumlarda yapılır?
Felaket Kurtarma (Disaster Recovery), “Merkezdeki verinin ortak bir yerde yedeklenmesi ve yedeklenen verinin ‘Felaket Kurtarma’ merkezine kopyalanması” olarak tanımlanıyor. Felaket Kurtarma, verimli depolamayı verinin oluşması esnasında gerçekleştiriyor. Bir başka tanıma göre; “Kişisel hata ve doğal afetlerden kaynaklanan durumlarda, kurumların teknoloji altyapısını kurtarma ve devamlılığını sağlamak için kullanılan süreç, yöntemler ve teknolojiler.”
Bir diğer tanım ise şöyle; “İnsan yapımı veya doğal bir felaket durumunda sistemlerin eski durumundaki gibi çalışır hale getirilmesi için fiziksel ve sanal sunucuların, depolama cihazlarının, network altyapısının analiz edilmesi ve bu doğrultuda önlemlerin alınması.” Felaket Kurtarma; “iş sürekliliğinin sağlanması amacıyla geri dönülemeyecek sonuçları olan birçok afete karşı (doğal afetler, siber saldırılar vs.) işletmenin verilerini birden çok veri merkezinde tutma yöntemi, kritik iş uygulamalarının kesintisiz çalışması veya en kısa zamanda geri döndürülebilmesi amacıyla tüm sistem ve bilgilerin farklı lokasyonda bir veri merkezinde kopyalanması hizmeti” olarak da niteleniyor.
* Felaket Kurtarma Planı yapılırken risklerin, tehditlerin belirlenmesi ve bu risklerle karşılaşıldığında yaşanacak durumlar tespit ediliyor, yazılım, donanım sistemlerinin kurum için önemi derecelendiriliyor. İlk kurtarılması gereken sistemler, herhangi bir felaket durumunda hangi sistemin ne kadar kapalı kalacağı belirleniyor. Felaket Kurtarma Merkezi oluşturulurken gerekli donanım ve bağlantıların neler olduğuna karar verilir. Kurumun teknik altyapısına uygun Felaket Kurtarma Planı teknolojisi seçilir. İç network ve dış network ağlarına gelebilecek tüm zararlara yönelik önlemler alınır. Zararlı uygulamaların ve virüslerin kurum network ağına girmesi engellenir. Olası felaket senaryolarına uygun felaket kurtarma planları yapılır.
* Kaynakça: https://www.teknotel.com/blog/felaket-kurtarma-plani-nasil-hazirlanmali/
Saldırı önleme nedir, nasıl ve hangi durumlarda yapılır?
Saldırı Önleme Sistemi (IPS-Intrusion Prevention System-Saldırı Engelleme Sistemi), “güvenlik açığı ihlallerini tespit etmek ve önlemek için ağ trafiği akışlarını inceleyen bir ağ güvenliği-tehdit önleme teknolojisi” diye tanımlanıyor. Bir başka tanıma göre; “ağlara ve/veya sistemlere karşı yapılan kötü niyetli aktiviteleri arayan cihaz ya da yazılımlara verilen isim.” Bir diğer tanım ise şöyle: “Ağ trafiği içerisindeki zararlı haraketleri veya zararlı bağlantıların tespitiyle birlikte önlenmesi için kullanılan güvenlik sistemleridir, zararlı bağlantıların veya hareketlerin ağ trafiği üzerinde durdurulmasını ve önlenmesini amaçlar.”
* Saldırı Tespit Sistemleri (Intrusion Detection Systems-IDS) ile Saldırı Önleme Sistemleri (Intrusion Prevention Systems-IPS) arasındaki temel fark; saldırı tespit sistemlerinin, saldırıları sadece tespit edip raporlamasına karşılık saldırı engelleme sistemlerinin, yapılan saldırıları önleme yeteneğine sahip olmasıdır. IDS, saldırıları tespit etmeyi amaçlarken; IPS saldırıyı durdurma, önleme üzerine kurgulanmıştır. Saldırı tespit ve önleme sistemleri olan IPS ve IDS ürünleri bir arada kullanılırsa Intrusion Detection and Prevention Systems (IDPS) olarak tanımlanıyor. Gelişmiş sistemlerde IPS ve IDS sistemleri bütünleşik olarak kullanılıyor. IDS ile korumak istenilen kurum ağına saldırı gerçekleştirildiği anlaşılabilir, IPS ile saldırıyı yapan kaynağın sisteme tekrar erişmesi engellenebilir.
IPS genel olarak web geçitlerine konumlandırılarak trafiği bölmeden çalışırlar. Gelen ve giden ağ trafiği üzerindeki tüm paketlerin içeriğini okuyarak hangi paketin zararlı olduğu veya zararsız olduğunu tespit edebilirler. Donanım tabanlı IPS ürünlerinin en önemli özelliği sistemi yavaşlatmadan çalışabilmeleridir. Bu işlev sırasında üretici firmanın yeni nesil saldırılara karşı geliştirdiği veritabanını indirerek kendilerini güncel halde tutarlar. IDS ürünlerine ek olarak zararlı trafiğin ağ içerisine girmesini engelleme yaparak tam bir koruma sağlarlar.
*Kaynakça: https://berqnet.com/blog/ips-ve-ids-nedir
* Felaket kurtarma sürecinde hangi analizler yapılır?
• Servis analizi
• Risk analizi
• Topoloji Analizi
*Kaynakça: https://berqnet.com/blog/ips-ve-ids-nedir
* Saldırı önleme sürecinde hangi analizler yapılır?
• İmza tabanlı sistem
• İmzasız tespit motorları
• Tehdit istihbaratı
• Uygulama kontrolü
• APT (Sıfırıncı gün atakları önleme) Sistemi
• SIEM
**Saldırı önleme sürecinde IDS metodolojileri ise şöyle:
• İmza tabanlı tespit
• Anomali tabanlı tespit
• Durumlu protokol analizi
Kaynakça:*https://www.barikat.com.tr/teknolojiler/saldiri-tespit-ve-onleme-sistemi
**https://www.cyberinlab.com/ips-ve-ids/
Saldırı önleme ve felaket kurtarma sürecinde kullanılan teknolojiler
• Yapay Zeka
• Bulut Teknolojileri
• Bulut Güvenliği Çözümleri
• Siber Güvenlik Yazılımları
• Ağ Güvenlik Yazılımları
• Ağ Saldırı Tespit Sistemi (NIDS-Network Instrusion Detection System)
• Ağ Üzerindeki Tehditleri İzleme ve Önleme Sistemi (NIPS Network-Based Intrusion Prevention System)
• Bilgisayar Tabanlı Saldırı Tespit Sistemi (HIDS-Host Intrusion Detection Systems)
• Ana Bilgisayar Tabanlı Saldırı / Sızıntı Önleme Sistemleri (HIPS- Host Intrusion Prevention System)
• Kablosuz Saldırı Önleme Sistemleri (WIPS)
• Saldırı Tespit Sistemi (IDS-Instrusion Detection System)
• Saldırı Önleme Sistemi (IPS-Intrusion Prevention System)
• Saldırı Tespit ve Önleme Sistemleri (IDPS)
• Tehdit İstihbaratı
• Gelişmiş Kalıcı Tehdit (APT-Advanced Persistent Threat) Önleme
• Ağ Güvenliği
• Loglama
• Güvenlik Bilgileri ve Olay Yönetimi (SIEM-Security Information and Event Management)
• SOAR (Güvenlik Orkestrasyon, Otomasyon ve Olaylara Müdahale-Security Orchestration Automation and Responce)
• Akıllı Kart, Akıllı Cihazlar
• Güvenlik Duvarı (Firewall)
• Antivirüs Yazılımları
• Veri Kaybı Önleme Çözümleri (DLP)
• VPN (internete gerçek IP adresini gizleyip farklı bir IP adresi üzerinden bağlanmayı sağlayan ve bağlantıyı şifreleyerek güvenli hale getiren hizmet)
• Siber Güvenlik Sızma Testi ve Raporlama, Kurumsal Penetrasyon (Sızma) Testi
• Ağ Analizi
• İmza Tabanlı Tespit
• Anomali Tabanlı Tespit
• Ağ Davranış Analizi (NBA)
• Durum Protokolü Analiz Tespiti
• Atak Önleme Sistemi
• Uç / Son Nokta / Kullanıcı Güvenliği çözümleri
• Uygulama Güvenliği (Application Security)
• Kimlik ve Erişim Yönetimi (IAM)
• Güvenlik Yönetimi Çözümleri
• Risk ve İş Etki Analizleri
• Planlı ve Plansız DR Testleri
• Geri Dönüş (Failback) Operasyonu Planı
• Kurumsal Analiz
• Platform Bağımsız Felaket Kurtarma çözümleri
• İş Sürekliliği Çözümleri
• Uygulama Tabanlı Felaket Kurtarma Çözümleri
• Sunucu Çözümleri
• Veri Depolama Çözümleri
• Yedekleme Çözümleri
• Sanallaştırma Çözümleri
• NAC (Network Access Control-Ağ Erişim Kontrolü)
• Sunucu ve Veri Depolama
• Sanallaştırma
• Veri Yedekleme ve Kurtarma
• Veri Koruma Teknolojileri
• WAF (Web Uygulama Güvenlik Duvarı), Web Güvenliği Çözümleri
• Altyapı ve Sınır Teknolojileri
• Güvenli E-Posta Ağ Geçidi
• Network Güvenliği Görünümü ve Analizi (Network Security Visibility And Analytics-NTA)
• Oturum İzleme (Session Monitoring)
• Oturum Kaydı (Session Recording)
• Sıfırıncı Gün (Zeroday) Atak Önleme Yazılımları
• Mobil Cihaz Yönetimi (MDM-Mobile Device Management), Mobil Güvenlik Çözümleri (Enterprise Mobile Security)
• Tek Kullanımlık Parola (OTP-One Time Password), İki Faktörle Kimlik Doğrulama (2FA)
• Ayrıcalıklı Hesap Yönetimi (PAM-Privileged Access Management)
• Hacklenmiş Veri Kurtarma Çözümleri
• Ağ Erişim Kontrolü (NAC-Network Access Control)
• Kimlik Erişim Yönetimi
• Kimlik Doğrulama Çözümleri
• Biyometrik Kimlik Doğrulama
• Kripto Çözümleri
• Web / İçerik Filtreleme
• Spam Filtresi
• WiFi Güvenliği
• BT Varlık Belgeleri / Şifre Yönetimi
• Ağ İzleme Aracısı
• Veri Kaybı Önleme / Veri Sızıntısı Engelleme (DLP-Data Loss Prevention)
İşletmeler siber saldırılar için hangi önlemleri almalıdır?
• Öncelikle ‘Saldırı Önleme ve Felaket Kurtarma’ çözümlerine sahip olunmalı.
• İşletmenin bir ‘Felaket Kurtarma’ senaryosu ve planı olmalı.
• Siber saldırılara karşı çalışanların bilgileri sürekli güncel tutmalı, düzenli eğitim almalı.
• Antivürüs yazılımı yüklemeli.
• Güvenlik duvarı edinilmeli.
• Çalışanların güvenli bir ağ kullanması önemli, şirket için mutlaka bir VPN veya Sanal Özel Ağ kullanılmalı. VPN, çalışanın cihazıyla şirketin sunucusu arasında bir tünel oluşturarak, verileri bilgisayar korsanlarına veya verileri çalmak isteyebilecek diğer kişilere karşı korur ve verileri şifreler.
• İki aşamalı kimlik doğrulama sistemi kullanılmalı.
• Sosyal mühendislik çalışmalarına karşı bilinçlenme ve bilgilendirme eğitimi alınmalı.
• Yamanmamış (kapatılmamış) güvenlik açıkları ciddi risk oluşturur. İnternet sunucu, anti-malware yazılımı, network işletim sistemi ve diğer yazılım ürünleri düzenli güncel tutulmalı. Bilişim uzmanları açıklara karşı çıkan yamaları düzenli uygulamalı.
• Reklam virüsleri, yani bir sayfada virüs içeren reklam ciddi sorunlara yol açabilir. Şirket çapında reklam engelleyiciler veya güvenli web siteleri listeleri bu olasılığı oldukça düşürür.
• Temizlenmemiş eski girdiler; birçok web sitesi eski veri girdilerini temizlemiyor. Veri tabanına yazılacak her kod, başka kodları bozmaya veya güvenlik açığına neden oluyor, bu nedenle eski girdilerin düzenli temizlenmesi ve bunun denetlenmesi çok önemli.
• Güvenli şifrelenmiş web sitesi kullanılmalı. HTTPS kullanan sitelerin bir adım önde olduğu düşünülüyor.
• Gizli olmayan web sitelerinin açığa çıkması, (Google Dorking) kaçınılması kolay bir yöntem, eğer iyi düzenlenmiş bir robots.txt dosyanız varsa istenmeyen indekslemelerden korunabilirsiniz.
• Güvensiz eklentilerden korunmalı, kaynağını bilmediğini ve yasallığından emin olmadığınız tema veya eklenti yüklememelisiniz.
* Kaynakça
https://www.karel.com.tr/blog/isletmelerin-siber-saldirilara-karsi-alabilecegi-8-basit-onlem
Felaket Kurtarma’nın işletmelere sunduğu avantajlar
• İşletmelerin sürdürülebilirliğini sağlar. Siber risklere karşı güvenlik sağlar.
• Şirkete rekabet avantajı sağlar.
• Maliyetleri düşürür, veri, müşteri ve itibar kaybını ve iş süreçlerinin aksatılmasını önler.
• İş ve operasyon sürekliliği, felaket durumunda işletmenin zarar görmeden devamlılığı sağlanır.
• Talep doğrultusunda, istenilen bilgiye 7/24 erişim gerçekleştirilebilir.