“Gerçek ağ güvenliği için çift tabanlı koruma şart”

Veri trafiğinin son yıllarda hiç olmadığı kadar yüksek bir noktaya ulaşmasıyla birlikte siber saldırganların metotları da değişim göstermeye başladı. Daha önceleri sadece kendilerine kazanç sağlamak adına son kullanıcıyı hedef alan saldırganlar, günümüzde şirketlerin kritik ve önemli bilgilerini ele geçirerek çok daha büyük kazançlar peşinde koşuyorlar. Bu duruma karşı şirketler sistemlerini ve ağlarını sağlam temeller üzerine oturtmak isterken, zaman zaman bu noktada sorunlar yaşıyorlar. Konuya bu açıdan yaklaşan Arbor Networks Türkiye Ülke Müdürü Serhat Atlı, bu konuda çok fazla değişkenin olduğunu ifade ediyor. Ölçek ve kapasiteden, hizmet ve performansa kadar pek çok nokta olduğunu söyleyen Atlı, şirket olarak odak noktalarının DDoS saldırıları gibi tehditlere karşı ağı korumak olduğunun altını çiziyor. Gizlenmiş uygulama katmanı saldırılarına karşı yerinde koruma, geniş hacimli saldırılara karşı da bulut tabanlı koruma gerektiğini savunan Atlı, bu iki koruma yönteminin şirketler için olmazsa olmaz olduğunu vurguluyor. Atlı sözlerine şöyle devam ediyor:
“Ağın geleceği sanaldır. Yazılım Tanımlı Ağ Sistemi (SDN), taşıma ağındaki iletimin, hizmet/uygulama ilkelerinin ve öncelik tanımlarının merkezi olarak bağlanımı ve kontrolünde yeni bir yaklaşımdır. Ağ İşlevlerinin Sanallaştırılması (NFV) kavramı, hizmet ve uygulamaların ulaştırılmasında taşıma ağına güvenen uzmanlaşmış ağ işlevlerinin hizmet zincirine dahil edilmesini, organize edilmesini ve sanallaştırılmasını ifade eder.
SDN ve NFV kavramlarına olan ilgi, telekomünikasyon ve hizmet sağlayıcı alanlarında bulut bilişimi ve sanallaştırılma gibi BT yeniliklerinin artan etkilerini yansıtır. Şirketler ve İSS'ler gibi ağ operatörleri bu yükselen iki teknolojiyi donanım masraflarını düşürmek ve kontrol ile iletimi birbirinden ayırmak için, yazılımı temeldeki fiziksel altyapıdan soyutlama yöntemi olarak görmektedir.
Nihai hedef ağı basitleştirip “düzleştirmek” ve ağ süreçlerini hizmet faaliyetleriyle daha dinamik bir şekilde birleştirmeye imkan vermektir; başka bir deyişle sanallaştırılmış bir kaynak havuzundan hizmetleri daha çevik bir şekilde dağıtabilmek için bir yapı oluşturmaktır. Bu azimli teknik hedefler ve iş hedeflerinin ışığında, SDN ve NFV hem işleyişi olanaklı kılan hem de bunları kesintiye uğratan önemli hususları beraberinde getirir. Geleneksel mimarilerin artan bir şekilde zorlanmasıyla, SDN ve NFV teknolojileri, ağları daha açık, öngörülebilir, esnek, kullanıcı ile hizmet dostu ve işletme maliyeti daha düşük hale getirme sözünü tutabilir. Ancak, bunlar ağları neredeyse kesinlikle büyük ölçeklerde daha zor entegre edilir, yönetilir, desteklenir ve güvenli hale getirilebilir kılacaktır. Bu durum da operasyonel varsayımlarda ve ideal uygulama yöntemlerinde radikal değişiklikler getirecektir.”

Tehdit türleri artıyor
İki tür ana tehdit vardır; birincisi, kullanılabilirliği doğrudan hedef alan, çevrimiçi hizmetleri meşru kullanıcılar için kullanılamaz hale getirmeye çalışan saldırılar. İkincisi de kullanıcı bilgilerini, fikri mülkiyetleri, finansal bilgileri, şirket sırları vb gibi bilgi hırsızlığını amaçlayan içeri sızma saldırıları. Haber başlıklarında da görüldüğü üzere bu tür sızmaları önlemek çok zordur. Bu tehditler hedef seçimini çok iyi yapar ve saldırganlar da iyi hazırlanmış ve son derece sabırlıdır. Ağ içerisinde bir yıl veya da uzun süreyle tespit edilmeden pusuya yatar ve saldırmak için doğru zamanı beklerler. Gelişmiş tehditler, hedefli saldırılar veya Gelişmiş Kalıcı Tehditler olarak da bilinen bu saldırılar modern iş dünyasına karşı en büyük tehdittir.
Gelişmiş tehditler: değerli varlıkları çalmak veya yok etmek amacıyla ağa sızan bir dizi planlı saldırı. Bunlar, neler olup bittiğinin hızlıca anlaşılabilmesi için farklı bir düşünce yapısını ve birtakım eylemleri gerektirirler. Bunlar, ilgili göstergelerin hızlıca ortaya çıkarılması ve öncelikli hale getirilmelerinin yanında, az önce ne olduğuna, nerede olduğuna ve kim(ler) tarafından yapıldığına dair tatmin edici bir görünümün de oluşturulmasıyla ilgilidir.
Az önce neler olduğuna dair parçaların birleştirilmesi, saldırı yolunun ateşe verilmesinden ziyade “Gri” alana odaklanmaktır: gösterge ortaya çıkmadan önce ve ortaya çıktığında ne olduğuna dair doğru ve tam bir resim oluşturmak için parçaların ve ayak izlerinin bir araya getirilmesidir. Bu da göstergenin bir suça dair iyi bir ipucu olup olmadığının belirlenmesi için akıllı, güçlü bir görsel yetenek ve bir dedektiflik kabiliyeti gerektirir.
 
Müşteriler bir gösterge gördüklerinde…
·         Gösterge tespit edilmeden önce ne olduğunu görebilmek için nereye bakılacağını bilmek?
·         Bir ağ hizmetine veya varlığına odaklanan organize çabaların ilk olarak nerede başladıklarını görmek için geri gitmek?
·         Bundan sonra ne yapılacağını bilmek? Ekibiniz, faaliyete dair ilk işaretlerden itibaren saldırganlarla sunucular arasındaki iletişim takibine nereden başlayacak?
·         Buradan itibaren, takımınız şüpheli iletişimlerde izi sürülen sunucu veya varlığa dair resmi nasıl oluşturacak? Ne olduğunu görebiliyor ve hukuk departmanınıza veya IR olay çözüm ekibinize sunmak üzere doğru bir resmi oluşturabiliyor musunuz?