Klasik ağ güvenliği kavramı değişiyor

Farklı platformlar ve cihazların kullanımı arttıkça, geleneksel ağ güvenliği kavramı da köklü bir değişim geçiriyor. Daha doğrusu ‘ağ güvenliği’ kavramı tek başına yeterli olmaktan uzak kalıyor. Bu gerçeğe dikkat çeken Websense Akdeniz Afrika Bölgesel Satış Direktörü Hüsamettin Başkaya’ya göre, artık daha geniş ve tüm yapıları içinde toplayan akıllı, bütünleşik bir konumlandırma ve yönetim ihtiyacı ön planda. Bu yapıyı ‘Artık sınırları olmayan bir güvenlik yaklaşımı ile olaylara bakmak zorundayız” sözleriyle tanımlayan Başkaya, şu uyarıyı da ekledi: “Klasik güvenlik katmanlarımız bize yanlış bir güvenlik imajı vermemeli. Çünkü günümüzde, eskisinden çok daha geniş bir alanı bütünleşik olarak korumak ve kurumsal güvenlik politikalarımızı uygulamak zorundayız.”
Ağ güvenliğine bu bakış açısı değişimi önemli bir gereklilik. Ama işin temeli de, şirketin kendini ve yapısını, ihtiyaç ve önceliklerini çok iyi tanımasından geçiyor. Kaspersky Lab Kıdemli Güvenlik Araştırmacısı David Jacoby, bu tabloda şirketlerin ağlarını kuvvetlendirmeden önce kendilerine sormaları gereken bazı sorular olduğunu hatırlattı. İlk soru ‘İşletmemiz için en kötü senaryo nedir?’ Jacoby ikinci soruyu da, ‘Şirketimiz çalışanları neyi korumaya çalıştığımızın farkındalar mı?’ şeklinde sorarak, kurumsal fikir birliğinin önemine dikkat çekti. Jacoby’nin, her şirketin kendine sorması gereken üçüncü sorusu ise ‘Kendi tehlikelerimizin ve güvenlik açıklarımızın farkında mıyız? Hangi alanlarda daha zayıf olduğumuzu biliyor muyuz?’ Bu kurumsal özeleştiri sorusu da dahil söz konusu üç sorunun ve yanıtlarının önemine dikkat çeken Jacoby, yanıtların önemine şu sözlerle vurgu yaptı:
“Güvenlik uzmanlarına, BT güvenliği ile ilgili alanlarda çalışırken bütün şirketlerin düşünmesi gereken konular listesi hakkında hep sorular sorulur. Ancak problem şu ki, BT güvenliği çok değişken ve şirketler farklı tehlikelerle karşı karşıya. Güvenlik açığı, güvenlik açığına karşı yazılım yönetimi ile kolayca çözülebilir, ama bazı konuları neden yaptığınızı bilmiyorsanız, başarısız olursunuz.”
Kurumsal bazda yanıt verilmesi gereken bu soruların ardından, Ametis İş Geliştirme Müdürü Ömer Kartal’a göre, en kritik nokta; güncel kalabilmek ve ağ yapısına göre gerekli donanımsal ve yazılımsal yatırımların yapılması. Kartal bu vurgusunu şöyle örnekledi:
“Kaynaklara erişim noktasında, Vasco çözümleri gibi güçlü kimlik doğrulama çözümlerinin kullanılması, kurum içi saldırılara karşı Network Access Control gibi kaynakların yönetimi çözümlerinin kullanılması kritik noktalar. Netclarity bu anlamda yönetimi kolay, maliyeti düşük, yeni nesil çözüm olarak ön plana çıkıyor.”
Mobilite ve kendi cihazını getir (Bring Your Own Device-BYO) mantığı, Eset Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu’ya göre, farklı güvenlik senaryolarını düşünmeyi gerekli kılıyor. Doğru atılması halinde ideale yakın bir güvenlik sağlayacak adımları Akkoyunlu şöyle sıraladı:
“Ağ güvenliğini sağlamadaki en önemli noktaları; kurum güvenlik politikalarının doğru bir şekilde belirlenmesi, bu politikalar ışığında güvenlik duvarı, IPS, WAF, antivirüs, antispam gibi güvenlik donanım ve yazılımlarının konumlandırılması ve konfigüre edilmesi, güvenlik operasyonlarında yer alacak kurum personelinin eğitilmesi ve son olarak, bilgi sistemlerini kullanıcı olarak kullanan tüm insan kaynağının bilinçlendirilmesi olarak sıralayabiliriz.

“Her ağın kendine özel konfigürasyonları vardır”

Helyum Bilişim İş Geliştirme Müdürü Sinem Tirkeş’e göre, şirketler kendi ağlarında güvenliği sağlamak için öncelikle gerekli güvenlik çözümlerini kullanmalı ve bunları doğru konfigüre ederek, güncellemeli. Temelde internet ve  ağ üzerinden gelebilecek saldırıları önlemek için muhakkak bir antivirüs çözümü kullanılması gerektiğine işaret eden Tirkeş, ağ güvenliğinde gerekli uygulamaları şöyle sıraladı:
“Ayrıca iç ağı ve kullanıcıları dışarıdan gelecek saldırılara karşı koruyacak, iyi konfigüre edilmiş bir güvenlik duvarı, IDS/IPS’i de sistemlere konumlandırılmalı. Bunun yanında, ağ üzerindeki erişimlerin de yetkiler dahilinde konfigüre edilmesi gerek. Kurumların ihtiyaçları ve yapılarına göre internet, e-posta ve veri kaybı güvenliklerine karşı çözümleri barındırmaları gerekebilir. Fakat kullanılan çözümlerin yeni teknolojilerle bütünleşik olması gerek. Her ağın kendine özel konfigürasyonlara ihtiyacı olduğu unutulmamalı. Gerçek zamanlı tehdit görülebilirliği ve kapsamlı analiz olanağı sağlayan çözümlere yer verilmesi gerek. Bunun yanında, detaylı analiz ve rapor sağlayan çözümler sayesinde tehditlere karşı zamanında önlem alınması da sağlanmalı.”

“Veri kaybı önleme (DLP) teknolojilerini de incelemeli”

Geçmişte çoğu kurumda ‘güvenlik’ denildiği zaman akla ağ güvenliğinin geldiğini, ama günümüzde taşınabilir cihazların yaygınlaşması ile bilginin üretilip paylaşıldığı ortamların da kurum dışına taşındığı gerçeğine dikkat çeken Symantec Güneydoğu Avrupa ve Türkiye, Bölge Teknoloji Müdürü A. Burak Sadıç ekledi: “Bu gelişme ile ağ güvenliği eski önemini kaybetmiş gibi görünse de, kurumların altyapısının korunması başlığı altında dikkat edilmesi gereken en önemli konulardan birisi.” Sadıç’a göre, bu bağlamda güvenlik duvarları, saldırı tespit ve önleme sistemleri ile erişim kontrolü gibi geleneksel teknolojiler yanında, kurumların veri kaybı önleme (DLP) teknolojilerini de incelemelerinde fayda var. Sadıç, “DLP teknolojisi yatırımı yapmayı düşünen kurumların ise bu konuya ağ, istemci ve depolama gibi tüm katmanları kapsayacak bir yaklaşıma sahip olması gerek” dedi ve ekledi: “Klasik güvenlik tabiriyle, bir zincir en zayıf halkası kadar güçlüdür ve ağ güvenliğinde de bu gerçek göz ardı edilmemeli.”

“Personel ve süreçleri de ele almak gerek”

Temel güvenlik ihtiyaçlarının yerine getirilmesinin öncelikli olduğunu söyleyen Labris İş Geliştirme Yöneticisi Ertuğrul Kara, gereksinimleri belirlerken de sadece ağ bileşenleri, donanım ve yazılımlar olarak algılamamak gerektiğine dikkat çekti. Personel ve süreçleri ele almanın da önemli olduğunu hatırlatan Kara, şöyle devam etti:
“Hedeflenen yapının, kurumun sahip olduğu “bilginin gerektirdiği seviyede” güvenli olması gerekli. Güvenlik hedefleri, korunacak materyali temel almadan, bağımsız bir anlayışla belirlenemez. Çünkü tehdidin niteliğini, korunan şey belirler. Yüksek Seviye Güvenlik, kurumda kabul edilebilecek optimum risk seviyesi ile belirlenir. Tehdidi sadece dışarıdan algılar durumda olamayız. Örneğin katı bir politika uygulanmamasından dolayı, içerideki zayıflıkların dış tehditlerden çok daha fazla zarar verebildiği görülmüştür. Bu noktada günümüz tehditlerini düşündüğümüzde, kritik güvenlik noktaları temelden detaya doğru şu şekilde oluşur: Güvenlik duvarı, URL/İçerik filtreleme, antivirüs/antispam, anonim kullanıcıların kimliklendirilmesi, ağ kayıtlarının kanuni şekilde tutulması, merkezi yetkilendirme ve politika uygulama (AD ve benzeri), uzak erişimlerde VPN, saldırı önleme sistemleri ve DDoS siber savaş araçları.”