Yalancı üretici sendromu

Temelde iki tür güvenlik cihazı üreticisi olduğuna inanıyorum; “Bizim ürünümüz olsaydı YÖK hacklenmezdi” diyebilenler ve diyemeyenler J

Bu cümleyi gerçekten bir üreticinin sunumunda aldım ve söyleyen kişinin bilgi güvenliği konularına ne kadar uzak olduğuna hala inanmakta zorluk çekiyorum. Tek bir cihazla her hangi bir koruma sağlanabilseydi o cihaz dışındaki bütün üreticiler çoktan iflas etmiş olurdu. Ancak bu yaklaşım müşterileri kandırmaya yetiyor gibi gözüküyor. Üreticileri bir çeşit bilgi güvenliği danışmanı gibi gören müşteriler bu tür asılsız iddialar ışığında bazı yatırım kararları vermek zorunda kalıyor.
Güvenlik konularından biraz anlayan biri olarak şunu biliyorum ki bilgi güvenliği tek bir ürün veya olay olarak ele alınamaz. Bilgi sızmasına yol açacak basit bir saldırıyı ele alırsak karşımıza şu aşamalar çıkacaktır;
  1. Phishing maili
  2. Zararlı yazılımı barındıran sayfanın kullanıcı tarafından ziyaret edilmesi veya zararlı yazılımı içeren eposta ekinin açılması
  3. Zararlı yazılımın yüklenmesi ve dışarıyla iletişime geçmesi
  4. Kullanıcının bilgisayarının ele geçirilmesi
  5. Ağdaki diğer bilgisayarlara ve/veya sunuculara sızılması
  6. Bu bilgisayarlardan veya sunuculardan elde edilen bilgilerin sızdırılması
En basit haliyle 6 aşaması olan bir saldırıyı tek bir noktaya konumlandırdıkları bir cihazla nasıl önleyebileceklerini anlatmak isteyen üreticileri her zaman heyecanla dinlemeye hazırım.
Siber güvenlik olaylarının veya siber saldırıların tek bir olay değil, olaylar dizisi olduğunu anlayacak kadar bilinçli olan üreticiler de var tabii, Allah hepimizi böyle üreticilerle karşılaştırsın J

Bilgi güvenliği yatırımlarını değerlendirirken bu siber saldırıların tek bir olaydan ibaret olmadığını hatırlamak ve her aşamaya mümkün olduğunca hizmet edecek şekilde yatırım yapmak önemlidir.
Firewall örneği

Müşteri tarafında gördüğüm çoğu firewall dışarıdan içeriye doğru istenmeyen trafiği önleyecek şekilde konumlandırılmaktadır. Bu noktada önerim içeriden dışarıya doğru da yapılabilecek trafiği engelleyecek kuralların mutlaka yazılmasıdır.

Diyelim ki ağızı kalabalık bir üretici sizi IPS’e ihtiyacınız olduğu konusunda ikna etti. Kuracağınız bu ikinci savunma hattı aslında ilkinden farklı bir amaca hizmet ediyor olmayacaktır, dışarıdan içeriye gelen saldırıları engelleyecektir.
Bu durumda 2 birim yatırım yapıp kendimizi sadece dışarıdan gelen saldırılara karşı korumuş olacağız. “Bunun nesi kötü?” diye soranlara hemen anlatayım. Bir saldırgan bu iki savunma hattını atlatıp içeri sızarsa içerideki davranışlarını tespit edecek bir yatırımınız ne yazık ki yok.

Bir önceki yazımda da ele aldığım “saldırı sırası” bu senaryoda da karşılıksız kalmaktadır.
Yalancı üretici sendromu

Bir hastalık olsa adına “Yalancı Üretici Sendromu” diyebileceğimiz, güvenlik yatırımlarını üreticilerin sizi korkuttuğu doğrultuda yapma alışkanlığına karşı önerebileceğim en basit reçete kağıt ve kalemdir.
Önünüze bir kağıt alıp aşağıdaki şekilde; saldırı öncesi, saldırı sırası ve saldırı sonrası başlıklarıyla 3 eşit sütuna bölebilirsiniz;
"Basit iyidir"


Mevcut güvenlik yatırımlarınızı uygun sütuna yerleştirince ortaya çıkan tablo size paranızı nereye harcadığınızı ve hangi alanlarda eksik kaldığınızı açıkça gösterecektir.

 Saldırı sırasında ne yapacağız?

"Log çözümümüz var ya la amcamın oğlu" (Bkz. işler güçler)
 
Forensic çözümleri saldırı sonrası için önemli bilgiler verebilir.
 
Olay sonrası müdahale uzmanlık ve görece daha fazla yatırım gerektirse bile en azında birilerinin ağınıza sızdığını anlayabilmenizi sağlayacak bir olay ve log gözlemleme yatırımı düşünülmelidir. Log toplayacak çözümün akla gelen her olayın logunu toplamak yerine gerekli uyarıları iletebilecek şekilde konumlandırılması önemlidir. Örneğin “192.10.2.23 IP’li makine RDP yapıyor” benzeri loglar saldırı sırasında bize gerekli uyarıları verecek loglara örnek olabilir.
DUNE benzeri strateji oyunlarını hatırlayın. Elimizde bir miktar para/cevher olurdu ve bunlarla hangi tür binaları yapacağımıza ve nasıl askerler yetiştireceğimize karar verirdik. Büyüdük ve artık bu kararları network düzeyinde vermemiz gerektiği günlere geldik. Kısaca; bütün paranızı asker yapmaya harcamayın, birazıyla da cevher çıkartın :)

 

Comments