Temeli iyi kurun, ihtiyaçlarla sürekli geliştirin
Ağ yönetiminde temel güvenlik uygulamalarını uçtan uça kurgulamak şart olduğu gibi, bu yapıları sürekli, gelişen risklerle birlikte güncellemek şart. Sektöre ve şirketin ihtiyaçlarına göre ek güvenlik uygulamaları da ağ performansını artırmanın anahtarı.
Kurumsal BT’nin, iş ihtiyaçlarının, iş süreçlerinin gelişimi, tek yönlü güvenlik algısının daha geniş bir yapıyı içermesini gerekli kılıyor, bütünleşik güvenlik kavramını hayatımıza sokuyor. Ama bu bütünleşik yapıda tek bir doğru yok, her kuruma ve ihtiyacına göre bir mimari, etkin korumanın da sırrı. Bordotek Teknik Müdürü Ahmet Turan Gültekin’in belirttiği gibi, güvenlik çözümlerinin genel doğruları arasında ‘çözüm mutlaka bütünleşik olmalıdır’ gibi bir ilke yok. Bu sizin risk analizi sonucunda kendinizi mevcut riskleri gidermeye yönelik yeterli bulup bulmamanız ile ilgili. Hatta Gültekin’e göre, bütünleşik olan sistemlerin de çeşitli işletme dezavantajları olabiliyor. Ama bir tarafta da, kurum yapısına uygun mimarilerin olmazsa olmazları var.
Günümüzde ortaya çıkan tehditlerin önemli bir kısmı bütünleşik olarak tanımlanabilir. Bunların engellenebilmesi için de bütünleşik bir bakış açısına ve güvenlik çözümlerine duyulan ihtiyaç gelişiyor.
Symantec Türkiye Kıdemli Teknoloji Danışmanı Aydın Aslantaş, bu kavramda birbirini tamamlayan ve takip eden dört farklı aşamaya işaret etti. ‘Farkındalık’ adı verilen ilk aşamada kritik altyapıların belirlenmesi, bilinçlendirme ve temel eğitimler ile ortaya çıkan riskin değerlendirilerek oluşturulan stratejiyi kapsıyor. ‘Hazırlık’ olarak tanımlanabilecek ikinci aşamada ise iş modelinin bir önceki aşamadaki çıktılarına göre tasarlanması ile baz güvenlik ve istihbarat altyapısının oluşturulması var. Üçüncü aşama, oluşan güvenlik tehditlerine karşı cevabın verilmesi ve olaylara müdahaleyi içeriyor. Son aşama ise izleme, raporlama ve soruşturma adımlarından oluşuyor. Bu aşamalardan herhangi birinin eksik olması ya da atlanması proaktif bir yaklaşımdan uzak siber yaşam döngüsünü ortaya çıkarıyor. Bütünleşik olmayan güvenlik ise ihlallerin daha fazla etki etmesine ve zarar vermesine yol açıyor.
Bütünleşik güvenlik; iç güvenlik ve dış güvenlik unsurlarının belirli bir güvenlik politikası içerisinde birbirlerinden ayrılmadan ele alınması ve yönetilmesi anlayışıdır diyebiliriz. Eset Türkiye Teknik Müdürü Erkan Tuğral, konuya bu şekilde bütünsel yaklaşılmaması durumunda dış güvenlik, iç güvenlik veya güvenlik politikası ayaklarından birinin aksamasının bir sistem olarak güvenliğin aksamasına, hatta bir noktada çökmesine bile sebep olacağı uyarısını yaptı. “Bütünleşik güvenlik kavramı ile hem donanım hem yazılım açısından çözüm oluşturmayı ve mevcut olan tüm tehditlerin engellenmesi hedeflenmiştir” diyen Treo Bilgi Teknolojileri Microsoft Çözümleri Takım Lideri Filiz Babacan, şöyle devam etti:
“Birçok marka tüm tehditleri tek cihazda engelleyebilen “Bütünleşik Güvenlik Sistemleri” (UTM) ürünler çıkartmaya başladı. Bu sayede hem merkezi ve kolay kontrol sağlanmakta hem de güvenlik duvarı ve VPN hizmetinin yanı sıra içerik filtreleme, istenmeyen e-posta filtreleme, saldırı tespit sistemi, casus yazılım engelleme ve antivirüs görevlerini de yerine getirmekte. UTM cihazları aynı zamanda tümleşik yönetim, kontrol, log tutabilme servislerini sağlamakta.”
Mobilde gelişen riskler
Citrix Türkiye Ağ Ürünleri Satış Yöneticisi Mehmet Tarımcı, temel olarak sayabileceğimiz başlıkları; güvenlik duvarı, antivirüs, atak önleme, web filtreleme ve hatta web uygulamaları güvenlik duvarı gibi unsurlar olarak sıraladı. Tarımcı’ya göre, bu unsurlardan birisinin unutulması, büyük tehdit oluşturabilir. TurkNet Erişim Teknolojileri Ürün Müdürü Murat Coşkunsoy’un da belirttiği gibi, her yeni uygulama ile yeni güvenlik açıkları ortaya çıkıyor. Güvenlik ürünlerinin belirli konularda uzmanlaşmış olması nedeni ile tüm açıkların tek bir ürün ile giderilmesi de mümkün olmuyor. Bu nedenle her türlü tehdit dikkate alınarak farklı güvenlik uygulamaları ile katmanlı bir güvenlik yapısı kurulmalı. Bütünleşik ve yeni nesil tehdit zekâsı önemli. Çünkü Trend Micro Akdeniz Ülkeleri Güvenlik Danışmanı İbrahim Eskiocak’a göre, kullandığımız çok farklı sayıdaki uygulamalar, sosyal medya uygulamaları, mobil cihazların çeşitliliği ve her yerden çalışabilme zorunluluğu gibi unsurlar ağ sınırlarını belirleme olasılığını ortadan kaldırıyor. Bu durum ise, doğal olarak kurumlara güvenlik sorunu doğuruyor ve hedefli saldırılara maruz kalınabiliyor. Zaten günümüzde bir başka çarpıcı nokta ise; mobil kötü niyetli yazılım riski ve bunun kurumları tehdit eder noktaya gelmesi.
Bu açıdan bakıldığında, IBM Türk Bilgi Yönetimi Satış Yöneticisi Zeynep Aydemir’in de belirttiği gibi, bütünleşik güvenlik kavramı pek çok bileşeni içeriyor. Kişi ve kimlik güvenliği çözümleri; veri ve bilgi güvenliği çözümleri, uygulama ve süreç güvenliği çözümleri, altyapı güvenliği (ağ, sunucu ve son kullanıcı) çözümleri ve fiziksel güvenlik çözümleri gibi unsurlar var ve tüm bunların üstünde güvenlik olay ve bilgi yönetimi çözümleri ile denetim ve risk yönetimi çözümleri yer alıyor.
“Bütünleşik güvenlik kavramı; IPS (atak engelleme sistemi), Gateway Antivirüs, Web Security (URL filtering), Uygulama kontrolü gibi güvenlik servislerinin tek bir platform altında toplanması ile oluşuyor” diyen Teknoser Güvenlik Çözümleri Danışmanı Serhat Yediel’e göre, yapının bu kadar başarılı olmasının nedeni bütünleşik güvenlik çözümleri üreten şirketlerin, bu servislerin her biri için ayrı bir kendi iç ekibini ayırmış olmaları. Çünkü her bir güvenlik servisi, başlı başına bir konuyu ele alıp o konuyu özel güvenlik özellikleri sunuyor. Bunların yanında e-posta güvenliği, veri güvenliği, sunucu güvenliği, DLP (veri sızıntısı önleme) sistemleri, veri şifreleme gibi çözümlerin de kullanması gerek. Bu yönüyle “Güvenlik bir bakış açısıdır ve süreç olarak düşünülmesi gerekir” diyen Yediel’in tanımıyla, bu süreç içerisinde sürekli bir politika ile ilerlenerek, tabiri caizse tüm kapıların birer birer kapatılması gerekir. Açık bırakılması zorunlu olan kapılarda da kesinlikle bir denetim ve log’lama sisteminin kullanılması şart.
Gelişmiş saldırı tipleri düşünülmeli
Bütünleşik güvenlik kavramı; fiziksel güvenlik, depolama güvenliği, çevre güvenliği, kimlik ve erişim yönetimi, güvenlik yönetimi, şifreleme ve mobil cihaz yönetim gibi öğelerden oluşuyor. Dataserv Bilgi Güvenliği Satış Müdürü Erdem Mengeş, “Bütünleşik güvenlik kavramlarından biri veya birkaçının eksik olması, kurumların güncel güvenlik tehditlerine karşı korumasız olmasına sebep olur” derken, ilgili risklerin fiziksel güvenliğin yetersiz olması sonucunda sistem odasındaki sunucuların zarar görmesinden, mobil cihazlardan gizli kurumsal verilerin çalınmasına kadar çeşitli sonuçlar doğurabileceğine dikkat çekti. İnfoNet Proje Yöneticisi Çağdaş Ulucan da şu detayları paylaştı:
“Kurum güvenlik politikaları belirlenirken bütünleşik bir yaklaşım gereklidir. IPS, WAF, DLP, antispam, antivirüs gibi güvenlik ürünlerinin konumlandırılması ve yapılandırılmasında artık çok daha geniş bir alanın koruması gereklidir ve yapı gelişmiş saldırı tipleri düşünülerek tasarlanmalı. Güvenliğin ürünler ile sınırlı olmadığı bilinci gelişerek kurum personeli yeni saldırı tehditleri için eğitilmeli.”
Tesan İletişim Genel Müdürü Rüştü Arseven’e göre, bütünleşik güvenlik kavramı ve hele de siber güvenliğin bu kadar önemli olması, beraberinde profesyonel olarak bu konularda çalışan şirketlerin artmasını ve yeni bütünleşik çözümlerin gelişmesini sağlıyor. Çünkü siber güvenliğe dikkat edilmemesi ve bu konuda önlem alınmaması, kurumlara bilgi güvenliği zafiyeti yaşatabiliyor.
İHTİYAÇLAR GÜN GEÇTİKÇE ARTIYOR
Bütünleşik güvenlik kavramı; güvenlik duvarı, saldırı tespit sistemi (IPS), içerik filtreleme, uygulama kontrolü, DLP, SSL/IPSEC VPN, antivirüs, antibot, antimalware, antispam gibi kavramların hepsinin birbiri ile bütünleşik tek bir merkez üzerinden yapılandırılması ve izlenmesi anlamına geliyor. Itway VAD Güvenlik Danışmanı ve Satış Mühendisi Serkan Canbaz’ın belirttiği gibi, yetenekli bir ağ güvenlik cihazının aktif edilmesi, ağ yöneticilerine kendi ağları üzerinden geçen trafik tipleri ile ilgili farkındalık oluşturulmasını sağlıyor. “Günümüzde, yeni nesil saldırılar güvenlik sistemlerini by-pass ediyor” diyen Canbaz, şunları söyledi:
“Şirketler artık ‘zero day’ ve APT saldırıları gibi, daha önce görülmemiş saldırılarla karşılaşıyorlar. Bu saldırıları en son çıkan güvenlik sistemleri dahi önleyemeyebiliyor. Bu nedenle, mevcut trafiğimizi mümkün olduğunca iyi anlamlandırabilecek, bilinen ve bilinmeyen tehditler açısından ilgili trafiği inceleyebilecek cihazlara ve ekiplere ihtiyacımız gün geçtikçe daha da fazla artıyor. Kurumumuz için oluşabilecek mevcut tehdit olasılığını azaltabilecek cihazları doğru yapılandırabilmemiz, kolay izlememiz, kurum bilgilerimizin, müşteri bilgilerimizin en güvenilir şekilde korunması, değiştirilmemesi ve erişilebilir kalması adına bizler için hayati önem taşıyor.”
İÇ AĞ GÜVENLİĞİNİ UNUTMAYIN
“Bütünleşik güvenlik kavramları için antivirüs, antispam, içerik filtreleme, web güvenliği ve güvenlik duvarı unsurları diyebiliriz” diyen Kavi Ağ Teknolojileri Ürün Müdürü Osman Karan’a göre, bu unsurların yanı sıra şirketlerin ikinci plana attığı, fakat aslında önemle durulması gereken bir diğer unsur iç ağ güvenliği. Bu durumların es geçilmesi veya dikkate alınmaması durumunda ciddi güvenlik açıkları meydana gelebiliyor. Karan’ın önerisi, bu noktada kurumlar ve bireylerin, güncelleştirme ve yapılandırma yönetimlerine çözümler üretmesi ve ağ yönetimleri ile bütünleştirmesi.
BAĞLANTILI İŞLEMLERLE KOLAYLIK VE GÜVEN
Prolink Sistem Mühendisi Sefer Kayar’ın belirttiği gibi, ağ güvenliği denilince ilk olarak akla güvenlik duvarı gelir. Güvenlik duvarları ağları tehditlerden büyük ölçüde korur. Ama ağın güvenliği sadece güvenlik duvarları ile sağlanamaz. “Ağdaki bütün unsurlar güvenliğin sağlanması için bütünleşik koruma sağlamalıdır” diyen Kayar’a göre, kullanıcı bilgisayarları üzerindeki güvenlik yazılımları, ağdaki anahtarlardaki, yönlendiricilerdeki güvenlik servisleri birbirleri ile bütünleşik çalışarak kapsamlı koruma sağlarlar. Örneğin, bütünleşik sistemler sayesinde kimlik doğrulama ile ağa dahil olan kullanıcının, ağ erişim kontrolü ile uygun ağa ve sonrasında gerekli kaynaklara erişimi ve ağ geçidi üzerinden uygun politikalarla geçişine izin verilmesi gibi işlemlerin hepsi birbiri ile bağlantılı olarak otomatik şekilde sağlanır.
ANA GÜVENLİK YAPISINI UNUTMAYIN
Bütünleşik güvenlik kavramı temelde, güvenlik duvarı, IPS, antivirüs, VPN, içerik filtreleme, antispam ve antimalware gibi bileşenlerden oluşur. “Bunların yanı sıra, DHCP, DNS, aktif dizin, Radius, trafik şekillendirme yönetimi, yük dengeleme gibi özellikler de bulunabilmekte” diyen Securist İş Geliştirme Koordinatörü Erhan Görmen’in de belirttiği gibi, ancak bunların tamamını tek bir kutuda bulabilmek neredeyse imkansız. Böyle bir ürün, genellikle performans sorununu da beraberinde getirir. Görmen’e göre, temel bileşenler açısından eksik bir bileşen, ciddi sorunlara yol açabilir. Yani esas koruma faktörleri ‘olmazsa olmaz’. Ancak diğer özelliklerin olmaması, aslında sistemin performansı açısından iyi bile olabilir. Bu ihtiyaçların başka ürünlerle karşılanması, sistemdeki özellikle donanımsal hata olması durumunda risk oluşma olasılığını da düşürür.
