Bu bölüm, bir kuruluşun kötü amaçlı yazılım olaylarını önlemesine yönelik öneriler sunmaktadır. Önlemenin dört temel unsuru, politika, farkındalık, güvenlik açığı azaltma ve tehdit azaltmadır. Kötü amaçlı yazılım önleme politikalarının oluşturulması, önleyici kontrollerin uygulanması için sağlam bir temel sağlar. Tüm kullanıcılar için genel kötü amaçlı yazılım farkındalık programları düzenlenmeli, ayrıca BT personeli gibi doğrudan bu faaliyetlerle ilgilenen kişilere özel eğitim verilmelidir. Bu, insan hatalarından kaynaklanan olayların sayısını azaltmak açısından kritik öneme sahiptir.
Güvenlik açığının azaltılması için yapılan çalışmalar, bazı saldırı vektörlerini ortadan kaldırabilir. Ayrıca, virüsten koruma yazılımı ve güvenlik duvarları gibi tehdit azaltma teknik ve araçlarının bir kombinasyonunu kullanmak, sistemlerin ve ağların saldırıya uğramasını önlemeye yardımcı olabilir. Bölüm 3.1 ila 3.4, bu alanların her birini ayrıntılı olarak ele almakta ve kuruluşların kötü amaçlı yazılımlara karşı etkili bir katmanlı savunma stratejisi oluşturması için rehberlik sunmaktadır.
Kötü amaçlı yazılım önleme stratejisi oluştururken, kuruluşların mevcut ve gelecekte en olası saldırı vektörlerine dikkat etmesi gerekir. Ayrıca, sistemlerinin kontrol düzeyini (örneğin, yönetilen veya yönetilmeyen ortam) göz önünde bulundurarak, farklı önleyici yaklaşımların etkinliğini değerlendirmelidirler. Mevcut kaynaklar arasında virüsten koruma yazılımları ve yama yönetimi programları yer almakta olup, bunlar da kötü amaçlı yazılım önleme çabalarına dahil edilmelidir.
Ancak, kuruluşlar ne kadar önlem alırlarsa alsınlar, olayların yine de gerçekleşebileceğini (örneğin, yeni tehdit türleri veya insan hatası nedeniyle) bilmelidirler. Bu nedenle, Bölüm 4’te açıklandığı üzere, kötü amaçlı yazılım kaynaklı zararları sınırlamak ve veri ile hizmetleri hızlıca geri yüklemek için güçlü bir olay müdahale yeteneği oluşturmak esastır.
2.1 Politika
Kuruluşlar, politikalarının kötü amaçlı yazılım olaylarını önlemeye yönelik olduğundan emin olmalıdır. Bu politika beyanları, kullanıcı ve BT personelinin farkındalığını artırma, güvenlik açığı azaltma ve tehdit azaltma gibi kötü amaçlı yazılım önleme çabalarının temelini oluşturmalıdır (bu konular sırasıyla Bölüm 3.2 ila 3.4'te açıklanmıştır). Bir kuruluş, kötü amaçlı yazılım önleme ile ilgili hususları politikalarında açıkça belirtmezse, bu faaliyetleri kuruluş genelinde tutarlı ve etkili bir şekilde yürütmesi zor olacaktır.
Kötü amaçlı yazılım önlemeye yönelik politikalar, esneklik sağlamak ve sık güncelleme ihtiyacını azaltmak amacıyla genel tutulmalıdır. Ancak, politikanın amacı ve kapsamı da net bir şekilde tanımlanmalıdır. Bazı kuruluşlar ayrı bir kötü amaçlı yazılım politikası oluştururken, birçok kötü amaçlı yazılım önleme konusu, kabul edilebilir kullanım politikaları gibi diğer politikaların kapsamına girebilir. Bu durumda, ayrı bir kötü amaçlı yazılım politikası, diğer politikalardaki bazı içerikleri tekrarlayabilir.
Kötü amaçlı yazılım önleme politikaları, kuruluşun kontrolündeki sistemleri kullananlar kadar, kuruluş dışındaki sistemleri kullananları da (örneğin, yüklenicilerin bilgisayarları, çalışanların kişisel bilgisayarları, iş ortaklarının cihazları, mobil cihazlar) kapsamalıdır. Özellikle uzaktan çalışanlarla ilgili hükümler içermelidir. Kötü amaçlı yazılım önleme politikalarının yaygın başlıkları şunlardır:
Etkili bir farkındalık programı, bir kuruluşun BT sistemlerinin ve bilgilerinin güvenli kullanımına yönelik uygun davranış kurallarını açıklamalıdır. Bu programlar, kullanıcılara kötü amaçlı yazılım olaylarının önlenmesine ilişkin rehberlik sağlamalı ve bu sayede kötü amaçlı yazılım olaylarının sıklığını ve ciddiyetini azaltmaya yardımcı olmalıdır. Tüm kullanıcılar, kötü amaçlı yazılımın sistemlere nasıl girdiği, onları nasıl etkilediği ve yayılma yolları hakkında bilgi sahibi olmalıdır. Ayrıca, kötü amaçlı yazılımın oluşturduğu riskler, yalnızca teknik kontrollerin tüm olayları önleyemeyeceği ve kullanıcıların bu olayların önlenmesindeki kritik rolü farkındalık programlarında vurgulanmalıdır.
Farkındalık programları, evden çalışanlar veya seyahat eden personelin otel, kafe gibi dış mekanlarda karşılaşabileceği farklı risk ortamlarını da kapsamalıdır. Ayrıca, kuruluşun kötü amaçlı yazılım önleme politikaları ve prosedürleri ile genel olarak önerilen uygulamalar da programda yer almalıdır. Bu uygulamalara şu örnekler verilebilir:
- Bilinmeyen ya da şüpheli e-posta ve eklerini açmamak.
- Şüpheli web tarayıcısı açılır pencerelerine tıklamamak.
- Kötü amaçlı içerik barındırma ihtimali yüksek web sitelerini ziyaret etmemek.
- Kötü amaçlı yazılım riski taşıyan dosya uzantılarına (örn. .bat, .exe, .vbs) sahip dosyaları açmamak.
- Güvenlik kontrol mekanizmalarını devre dışı bırakmamak (örn. antivirüs yazılımı, casus yazılım algılama araçları).
- Yönetici düzeyinde hesapları yalnızca gerektiğinde kullanmak.
- Güvenilmeyen kaynaklardan yazılım indirmemek veya çalıştırmamak.
Kullanıcılara ayrıca, kötü amaçlı yazılım olaylarının nasıl tespit edileceği, şüpheli olayların nasıl raporlanacağı ve bu tür durumlarda atılması gereken adımlar konusunda da bilgi verilmelidir. Büyük kötü amaçlı yazılım olaylarının bildirim yöntemleri kullanıcılarla paylaşılmalı ve bu bildirimlerin doğrulanması için bir süreç oluşturulmalıdır. Kullanıcılar ayrıca, bir olay sırasında geçici olarak alınabilecek önlemler (örneğin, virüslü sistemlerin ağ bağlantısının kesilmesi, belirli e-posta eklerinin engellenmesi) konusunda bilgilendirilmelidir.
Farkındalık etkinlikleri aynı zamanda, kullanıcıların sosyal mühendislik ve kimlik avı saldırılarından nasıl korunacaklarını öğretmelidir. Bu bağlamda aşağıdaki tavsiyeler verilebilir:
- Mali ya da kişisel bilgilerin e-posta yoluyla istenmesine yanıt vermemek. Bu tür bilgileri yalnızca kurumun bilinen web sitesine veya telefonla doğrulandıktan sonra girmek.
- Şifre, PIN ya da diğer erişim bilgilerini istenmeyen e-postalar veya açılır pencereler aracılığıyla paylaşmamak.
- Beklenmedik e-posta eklerini, gönderenle iletişime geçerek (e-posta dışındaki bir yöntemle) doğrulamak.
- Şüpheli ya da istenmeyen e-postalara yanıt vermemek; çünkü bu tür bir yanıt, e-posta adresinin aktif kullanımda olduğunu doğrulayabilir ve daha fazla saldırıya neden olabilir.
Kötü amaçlı yazılım olaylarının sıklığını ve etkisini azaltmak için kullanıcı farkındalık programları önemlidir; ancak bu programlar, Bölüm 3.3 ve 3.4'te açıklanan güvenlik açığı azaltma ve tehdit azaltma teknik kontrollerinin yerini almamalıdır. Farkındalık programları, teknik kontrolleri tamamlayıcı bir koruma olarak düşünülmelidir.
BT personeli için farkındalık programı, kullanıcıların farkındalık programlarının bir uzantısı olmalı ve özellikle güvenlik, sistem ve ağ yöneticilerine yönelik özel eğitimler içermelidir. Tüm BT personeli, kötü amaçlı yazılım önleme konusunda temel farkındalığa sahip olmalı ve kendi görev alanlarına göre özel eğitimler almalıdır. Ayrıca, bazı BT personeli (güvenlik veya olay müdahale ekipleri) sürekli olarak yeni tehditlerle ilgili güncellemeleri takip etmeli, riskleri değerlendirmeli ve gerekli durumlarda diğer BT personelini bilgilendirmelidir. 2.3 Güvenlik Açığı Azaltma
Kötü amaçlı yazılımlar, genellikle işletim sistemlerindeki, hizmetlerdeki ve uygulamalardaki güvenlik açıklarından faydalanarak sistemlere sızar. Bu nedenle, güvenlik açıklarının azaltılması, özellikle bir güvenlik açığı duyurulduktan kısa süre sonra ya da henüz geniş çapta kabul edilmeden önce kötü amaçlı yazılım olaylarının önlenmesinde hayati öneme sahiptir. Bir güvenlik açığı, genellikle yazılıma yama uygulanarak ya da yazılımın yeniden yapılandırılması (örneğin, güvenlik açığı içeren bir hizmetin devre dışı bırakılması) gibi yöntemlerle hafifletilebilir.
Güvenlik açığı azaltma işleminin zorlukları ve sürekli yeni güvenlik açıklarının keşfedilmesi nedeniyle, kuruluşların güvenlik açığı azaltma için belgelenmiş politika, süreç ve prosedürlere sahip olması gereklidir. Ayrıca, kuruluşlar bir güvenlik açığı yönetim programı oluşturarak bu çabalara yardımcı olmayı düşünmelidir. Bu program, güvenlik açıklarını sürekli olarak değerlendirme, yeni güvenlik açıkları ve kötü amaçlı yazılım tehditleri hakkında bilgi toplama ve öncelik belirleme süreçlerini içermelidir. Yazılım satıcıları ve olay müdahale ekiplerinden gelen bilgileri değerlendirmek, uygun azaltma yöntemlerini belirlemek ve ilgili taraflara dağıtmak için bir mekanizma oluşturulmalıdır. Ayrıca, güvenlik açığı azaltma çalışmalarının ilerlemesini izlemek için bir yöntemin belirlenmesi gerekmektedir.
Birçok güvenlik açığını azaltmak için tek bir önlem yeterli olmayacağından, kuruluşların bu sorunlara katmanlı savunma yaklaşımıyla yaklaşması önerilmektedir. Bu bağlamda, yama yönetimi, en az ayrıcalık ve ana bilgisayar sağlamlaştırma gibi üç genel güvenlik açığı azaltma tekniği 3.3.1 ile 3.3.3 arasında açıklanmaktadır. Bunun yanı sıra, kötü amaçlı yazılımların güvenlik açıklarını suistimal etme fırsatlarını azaltmak için tehdit azaltma önlemleri de alınmalıdır.
Virüsten koruma yazılımı gibi güvenlik araçları, kötü amaçlı yazılımların sistemdeki hedeflerine ulaşmadan önce onları tespit edebilir ve durdurabilir. Tehdit azaltma, özellikle kullanıcıları yanıltarak kötü amaçlı yazılımları çalıştırmaya yönelik saldırılara karşı önemlidir. Ayrıca, yeni bir güvenlik açığının tehdit oluşturduğu ve henüz bir yama bulunmadığı durumlarda da tehdit azaltma önlemleri kritik hale gelir. Örneğin, büyük bir yeni tehdit söz konusu olduğunda, kabul edilebilir bir güvenlik açığı azaltma seçeneği olmayabilir. Bu tür durumlar için tehdit azaltma stratejileri büyük önem taşır. Bölüm 3.4, tehdit azaltma için yararlı olabilecek güvenlik araçlarına odaklanacaktır. 2.3.1 Yama Yönetimi
Yama yönetimi, işletim sistemleri ve uygulamalardaki bilinen güvenlik açıklarını azaltmanın en yaygın yoludur. Bu süreç, yamaların kritiklik derecesinin ve uygulanıp uygulanmamasının etkilerinin değerlendirilmesi, yamaların test edilmesi, kontrollü bir şekilde dağıtılması ve sürecin belgelenmesini içerir. Özellikle yeni bir güvenlik açığının keşfi ile bu açığı hedefleyen kötü amaçlı yazılımların yayılmaya başlaması arasındaki süre giderek azaldığı için, kuruluşların yamaları hızlı bir şekilde dağıtması gerekmektedir. Ancak yamaların test edilmesi haftalar alabilir ve yamaların hızla dağıtılması her zaman mümkün ya da güvenli olmayabilir. Bu gibi durumlarda, yama uygulamaktansa alternatif güvenlik açığı veya tehdit azaltma teknikleri kullanılabilir. Yine de, yamalar uygulamak kötü amaçlı yazılım olaylarının önlenmesinde en etkili yöntemlerden biridir.
2.3.2 En Az Ayrıcalık
En az ayrıcalık ilkesi, sistemlerdeki kullanıcılara, işlemlere ve ana bilgisayarlara yalnızca gerekli minimum hakların verilmesi anlamına gelir. Bu ilke, kötü amaçlı yazılım olaylarının önlenmesine yardımcı olabilir çünkü kötü amaçlı yazılımlar genellikle sistemlerde yönetici ayrıcalıkları elde etmek ister. Bir olay meydana geldiğinde, en az ayrıcalık önceden uygulanmışsa, kötü amaçlı yazılımın verebileceği zarar en aza indirilebilir. En az ayrıcalık ilkesi, genellikle sunucularda ve ağ cihazlarında uygulanır, ancak masaüstü ve dizüstü bilgisayarlarda da kullanılabilir. Bu ilkenin uygulanması kaynak yoğun olabilir ve yönetilmeyen ortamlarda uygulanması daha zordur.
2.3.3 Diğer Ana Bilgisayar Sertleştirme Önlemleri
Ana bilgisayarların güvenliğini artırmak için yama yönetimi ve en az ayrıcalık ilkelerinin yanı sıra, başka sertleştirme önlemleri de alınabilir. Bu önlemler şunları içerir:
- Gereksiz hizmetlerin devre dışı bırakılması veya kaldırılması (özellikle ağ hizmetleri)
- Güvensiz dosya paylaşımının engellenmesi
- Varsayılan kullanıcı adı ve şifrelerin değiştirilmesi
- Ağ hizmetlerine erişimden önce kimlik doğrulama gerektirilmesi
- Otomatik olarak çalışan dosyaların ve komut dosyalarının yürütülmesinin devre dışı bırakılması
Kuruluşlar ayrıca sistemlerin güvenliğini sağlamak için yapılandırma kılavuzları ve kontrol listeleri kullanmayı düşünmelidir. Bu tür kılavuzlar, güvenlik açıklarını azaltan yapılandırmalar için öneriler sunar. Ayrıca, periyodik güvenlik açığı değerlendirmeleri yapmak, sistemlerde kalan güvenlik açıklarını belirlemek ve olası sorunları çözmek için önemlidir. Sistem bakım faaliyetleri sırasında bazı güvenlik açıklarını tekrar ortaya çıkarabilecek işlemler yapılabilir, bu yüzden bu değerlendirmeler sürekli olarak tekrarlanmalıdır. 2.4 Tehdit Azaltma
Güvenlik açığı azaltma çabalarına ek olarak, kuruluşların kötü amaçlı yazılımları hedeflerini etkilemeden önce tespit etmek ve durdurmak için tehdit azaltma yöntemlerine de odaklanması gerekmektedir. Bu bölümde, tehdit azaltmada kullanılan çeşitli güvenlik araçları ele alınmaktadır. Bunlar arasında virüsten koruma yazılımı, casus yazılım algılama ve kaldırma yardımcı programları, izinsiz giriş önleme sistemleri (IPS) ve güvenlik duvarları ile yönlendiriciler bulunmaktadır. Bu araçlar, kötü amaçlı yazılımların ve saldırı vektörlerinin belirlenmesi ve durdurulması için çeşitli yöntemler kullanır. Ayrıca, bu araçların uygulanması, yapılandırılması ve bakımına dair rehberlik, eksiklikleri ve birbirlerini nasıl tamamladıklarına ilişkin bilgiler de sunulmaktadır. Bununla birlikte, istemci ve sunucu uygulama ayarlarının tehdit azaltmaya katkısı da tartışılmaktadır.
2.4.1 Antivirüs Yazılımı
Virüsten koruma yazılımı, kötü amaçlı yazılımların tespiti ve durdurulmasında en yaygın kullanılan araçlardan biridir. Antivirüs yazılımı, işletim sistemleri ve uygulamalar için bir zorunluluk haline gelmiştir. Birçok antivirüs yazılımı markası benzer koruma sağlar ve genellikle şu özelliklere sahiptir:
- Başlangıç dosyaları ve önyükleme kayıtları gibi kritik sistem bileşenlerini tarar.
- Sistemlerdeki gerçek zamanlı aktiviteleri izleyerek şüpheli etkinlikleri tespit eder. Örneğin, e-posta eklerini virüslere karşı tarar.
- Erişimde tarama yaparak dosyalar indirilirken, açılırken veya yürütülürken gerçek zamanlı taramalar gerçekleştirir.
- Yaygın uygulamaların davranışlarını izleyerek şüpheli aktiviteleri tespit eder.
- Sabit sürücüleri ve diğer depolama ortamlarını düzenli olarak tarar. Kullanıcılar gerektiğinde manuel tarama başlatabilir.
- Virüsler, solucanlar, Truva atları ve karma tehditlerin yanı sıra, tuş vuruşu kaydedicileri ve arka kapılar gibi saldırı araçlarını tanır.
- Casus yazılımları tespit etmek ve kaldırmak için de destek sunar.
- Virüslü dosyaları dezenfekte edebilir veya karantinaya alabilir.
2.4.1.1 Antivirüs Yazılımı Algılama Doğruluğu
Antivirüs yazılımları, öncelikle bilinen kötü amaçlı yazılım örneklerinin belirli özelliklerini arayarak algılama yapar. Bu özellikler "imza" olarak adlandırılır ve genellikle bilinen tehditleri tespit etmek için etkilidir. Ancak, tamamen yeni kötü amaçlı yazılımları tanımlamakta imzalar yetersiz kalabilir. Bu durumu çözmek için, antivirüs yazılımı satıcıları, bilinmeyen tehditleri tespit etmek amacıyla buluşsal teknikler kullanır. Bu teknikler, dosyaların çeşitli özelliklerini analiz eder ve anormal davranışları simüle eder. Ancak bu teknikler bazen yanlış pozitif sonuçlar verebilir, yani zararsız içerikleri kötü amaçlı olarak algılayabilir.
Yanlış pozitifler kullanıcıları rahatsız edebileceği için, antivirüs yazılımlarında buluşsal teknikler genellikle orta veya düşük seviyede kullanılır. Bu da bazen yeni tehditlerin kaçırılmasına, yani yanlış negatiflere neden olabilir. Virüsten koruma yazılımı, imzalar güncel olduğunda bilinen tehditleri yüksek doğrulukla tespit eder. Bu nedenle, antivirüs yazılımları düzenli olarak imza ve yazılım güncellemeleriyle güncel tutulmalıdır.
2.4.1.2 Antivirüs Yazılımının Yerleştirilmesi ve Yönetimi
Antivirüs yazılımı, kötü amaçlı yazılım olaylarının önlenmesi için kritik öneme sahiptir. NIST, kuruluşların, tüm sistemlerine tatmin edici bir antivirüs yazılımı kurmalarını şiddetle tavsiye etmektedir. İşletim sistemi kurulumundan hemen sonra antivirüs yazılımı yüklenmeli ve en son imzalar ve yazılım yamalarıyla güncellenmelidir. Bu, bilinen güvenlik açıklarını ortadan kaldırmak için gereklidir. Yükleme sonrasında, sistem tam bir taramadan geçirilmelidir.
Yönetilen Ortamlar
Merkezi olarak yönetilen antivirüs yazılımı kullanımı, antivirüs imzalarının güncellenmesi, test edilmesi ve yayılması gibi görevlerin antivirüs yöneticileri tarafından düzenli olarak kontrol edilmesini sağlar. Kullanıcılar, antivirüs yazılımını devre dışı bırakamaz veya kritik ayarları değiştiremez. Yöneticiler, merkezi yönetim yazılımı aracılığıyla yazılımın yapılandırmasını ve işlevselliğini düzenli olarak denetlemelidir. Bu, kuruluştaki tüm sistemlerin antivirüs yazılımını uygun şekilde kullanmasını sağlar.
Yönetilmeyen Ortamlar
Yönetilmeyen ortamlarda, antivirüs yazılımının uygulanması ve sürdürülmesi tutarsız olabilir. Bu nedenle, farkındalık artırıcı faaliyetler ve kullanıcıların düzenli olarak imza güncellemelerini teşvik eden hatırlatıcılar önemlidir. Ayrıca, sistem yöneticilerine adım adım güncelleme talimatları verilmelidir. Otomatik imza güncellemeleri, en azından günlük olarak kontrol edilmelidir.
Yedekleme ve Çoklu Ürün Kullanımı
Antivirüs sunucularının yedekli ve yeterli kapasiteye sahip olması gereklidir. Birden fazla işletim sistemi platformu kullanmak, antivirüs sunucularına yönelik olası saldırıları azaltabilir. Kuruluşlar ayrıca, e-posta sunucuları gibi kritik sistemler için birden fazla antivirüs ürünü kullanmayı düşünebilir. Bu, yeni tehditlerin daha etkili tespit edilmesine yardımcı olabilir. Ancak, aynı sistemde birden fazla antivirüs yazılımı çalıştırmak uyumsuzluklara yol açabilir. Bu nedenle, farklı ürünler ayrı sistemlere kurulmalıdır.
2.4.1.3 Antivirüs Yazılımının Eksiklikleri
Antivirüs yazılımı, tüm kötü amaçlı yazılım olaylarını önleyemez. Özellikle önceden bilinmeyen tehditleri durdurmada başarısız olabilir. Yeni bir tehdit algılandığında, yeni imzaların oluşturulması ve dağıtılması birkaç saat sürebilir, bu da saldırganlara sistemleri etkilemek için bir fırsat penceresi sunar. İmza güncellemeleri, antivirüs sunucularını zorlayabilir ve tüm sistemlere zamanında ulaşmayabilir.
Antivirüs yazılımları ayrıca, farklı ağ protokolleri ve çıkarılabilir medya aracılığıyla kötü amaçlı yazılımların yayılmasını her zaman izleyemeyebilir. Bu nedenle, hem ana bilgisayar tabanlı hem de ağ tabanlı antivirüs taraması kullanılmalıdır. Harici sistemlerden kaynaklanabilecek tehditler de dikkate alınmalı, bu sistemlerin kötü amaçlı yazılım yaymasını önlemek için ek önlemler alınmalıdır. 2.4.2 Casus Yazılım Algılama ve Kaldırma Yardımcı Programları
Casus yazılım algılama ve kaldırma yardımcı programları, sistemlerdeki casus yazılım türlerini tespit edip bu yazılımları karantinaya alma veya kaldırma işlevi görür. Virüsten koruma yazılımlarının aksine, bu programlar yalnızca kötü amaçlı yazılımları değil, kötü amaçlı yazılım niteliğinde olmayan casus yazılımları da tanıma konusunda uzmanlaşmıştır. Günümüzde, casus yazılım algılama araçları, bazı antivirüs yazılımlarından daha gelişmiş casus yazılım işleme yeteneklerine sahiptir.
Casus yazılımlar yalnızca gizliliği ihlal etmekle kalmaz, aynı zamanda sistem performansını olumsuz etkileyebilir. Bu nedenle, casus yazılımların tespit edilip kaldırılması sistem kararlılığı açısından da büyük önem taşır. Casus yazılım algılama araçları genellikle şu özellikleri sunar:
- Web tarayıcıları ve e-posta istemcileri gibi casus yazılım yerleştirilme olasılığı yüksek uygulamaları izleme
- Bilinen casus yazılımları tespit etmek için düzenli tarama
- Çeşitli casus yazılım türlerini tanımlama ve dosyalarını karantinaya alma
- Ağ sürücülerini, Windows kabuk ayarlarını ve başlangıçta yüklenen süreçleri izleme
- Casus yazılım yükleme yöntemlerini önleme
Kuruluşlar, casus yazılım tehditlerini önlemek için bu yardımcı programları düzenli olarak kullanmalıdır. Casus yazılım algılama araçları, genellikle virüsten koruma yazılımlarındaki gibi imza tabanlı çalışır ve yazılımın güncel tutulması tehditlerin tespiti açısından kritik önem taşır. Kuruluşlar, birden fazla casus yazılım algılama ve kaldırma aracı kullanarak tespit yeteneklerini artırabilirler.
2.4.3 Saldırı Önleme Sistemleri
Ağ tabanlı izinsiz giriş önleme sistemleri (IPS), şüpheli ağ etkinliklerini belirlemek ve durdurmak için paket koklama ve trafik analizi yapar. Bu ürünler genellikle ağ güvenlik duvarları gibi çalışır ve ağ trafiğini filtreler. IPS sistemleri, ağlar üzerinden gerçekleşen saldırıların hedefe ulaşmadan tespit edilmesine olanak tanır.
IPS ürünleri, saldırı imzaları ve ağ protokolü analizlerinin bir kombinasyonunu kullanır. Bu ürünler, kötü amaçlı yazılımlar ve diğer tehditleri algılamada etkilidir ve özel saldırı imzalarıyla büyük tehditlere karşı hızla yanıt verebilirler. Özellikle DDoS saldırılarına karşı geliştirilmiş IPS sistemleri, anormal ağ trafiğini algılayıp durdurabilir.
IPS sistemleri, yüksek hacimli trafik oluşturan kötü amaçlı yazılım tehditlerini ağ çevresinde durdurabilir. Ayrıca, ana bilgisayar tabanlı IPS yazılımları, dosya değişikliklerini ve ağ trafiğini izleyerek bilinen ve bilinmeyen saldırılara karşı ek koruma sağlayabilir. Bu yazılımlar, virüsten koruma yazılımlarını tamamlayarak kuruluşun tehdit algılama yeteneklerini artırır ve iş yükünü paylaşarak sistem performansını korur.
2.4.4 Güvenlik Duvarları ve Yönlendiriciler
Güvenlik duvarları ve yönlendiriciler, ağ trafiğini inceleyerek belirli kurallar çerçevesinde izin verip reddeden ağ tabanlı cihazlardır. Yönlendiriciler genellikle temel özelliklere odaklanan erişim kontrol listeleri (ACL) kullanırken, güvenlik duvarları daha gelişmiş yetenekler sunar. İki ana güvenlik duvarı türü vardır: ağ güvenlik duvarları ve ana bilgisayar tabanlı güvenlik duvarları. Ağ güvenlik duvarları, bir ağdan diğerine geçiş yapacak trafik türlerini kısıtlamak için kullanılırken, ana bilgisayar tabanlı güvenlik duvarları, belirli bir ana bilgisayar üzerinde çalışan ve sadece o ana bilgisayar için ağ etkinliğini kontrol eden yazılımlardır. Her iki tür güvenlik duvarı da kötü amaçlı yazılım olaylarını önlemede faydalıdır.
2.4.4.1 Ağ Güvenlik Duvarları
Kuruluşlar, dış tehditlere karşı koruma sağlamak için genellikle bir veya daha fazla ağ güvenlik duvarı kullanır. Bu duvarlar, ağ trafiğini, belirli bir ağ veya uygulama protokolünü ve iletişimin kaynağını ve hedefini belirten kurallarla karşılaştırarak çalışır. Örneğin, bir kural, e-postanın kuruluşun e-posta sunucusuna ulaşmasına izin verebilir. Ağ güvenlik duvarları, belirli bir hizmeti hedefleyen ağ hizmeti solucanlarını durdurmada etkili olabilir. Hem gelen hem de giden trafiği kısıtlayabilen bu duvarlar, belirli solucan enfeksiyonlarının dış sistemlere yayılmasını da engelleyebilir.
Kötü amaçlı yazılım olaylarını önlemek amacıyla, kuruluşların varsayılan olarak reddet kural kümelerini uygulaması önemlidir. Bu sayede, açıkça izin verilmeyen tüm gelen ve giden trafik reddedilir. Ayrıca, dış sistemlerin kuruluşun ağlarına gönderebileceği trafik türlerine katı sınırlar koymak da önemlidir. Ağ güvenlik duvarları, çıkış ve giriş filtrelemesi gerçekleştirerek, yanlış IP adreslerinden gelen paketleri engelleyebilir. Kuruluşlar, kural kümelerini düzenli olarak gözden geçirerek, her kuralı doğrulamalı ve izin verilen veya verilmesi gerekmeyen etkinlikleri belirlemelidir.
Güvenlik duvarı yazılımları genellikle ek yazılımlar çalıştırabilir. Örneğin, birçok güvenlik duvarı, belirli iletişim türlerinde saldırıları aramak için izinsiz giriş önleme veya virüsten koruma yazılımı kullanır. Bazı güvenlik duvarları proxy işlevi görebilir; bu, istemciden gelen isteğin hedefe yönlendirilmesini sağlar. NAT (Ağ Adresi Çevirisi) işlevi de genellikle kullanılır; bu, dahili ağ adreslerinin genel adreslerle eşlenmesini sağlar ve böylece harici ana bilgisayarların doğrudan dahili sistemlere bağlanmasını önler.
Kuruluşlar, ağ güvenlik duvarlarına güvenerek büyük kötü amaçlı yazılım tehditlerine karşı önlem almalıdır. Güvenlik duvarı kuralları, belirli IP adreslerine dayanan kötü amaçlı yazılımları durdurmak için hızla eklenebilir veya değiştirilebilir.
2.4.4.2 Ana Bilgisayar Tabanlı Güvenlik Duvarları
Ana bilgisayar tabanlı güvenlik duvarları, bireysel ana bilgisayarların ağ etkinliğini kısıtlayarak virüs bulaşmasını önleyebilir. Genellikle ağ güvenlik duvarlarıyla benzer kural kümeleri kullanırlar. Masaüstü ve dizüstü bilgisayarlar için bazı ana bilgisayar tabanlı güvenlik duvarları, uygulama listelerine dayalı olarak etkinliği kontrol eder. Kötü amaçlı yazılım olaylarını önlemek için gelen trafik için varsayılan olarak reddedilen kural kümeleri kullanılmalıdır.
Kurallar dışında kalan her türlü aktivite ya otomatik olarak reddedilir ya da kullanıcıdan karar alınarak işlenir. Ana bilgisayar tabanlı güvenlik duvarları, virüsten koruma yazılımı, izinsiz giriş önleme yazılımı gibi yeteneklerle entegre edilmiştir. Bu sayede, kötü amaçlı yazılım bulaşmalarının yayılmasını durdurmada etkili olabilirler. Örneğin, antivirüs özellikleri ile gelen ve giden e-postalar izlenebilir, şüpheli bir etkinlik algılanırsa e-posta hizmetleri geçici olarak kapatılabilir.
Ana bilgisayar tabanlı güvenlik duvarları, ağ bağlantılı ancak diğer ağ tabanlı güvenlik kontrolleri tarafından korunmayan sistemler için kritik öneme sahiptir. Bu tür sistemler, Internet'ten doğrudan erişilebiliyorsa, ana bilgisayar tabanlı güvenlik duvarları ile korunmalıdır.
2.4.4.3 Yönlendiriciler
Yönlendiriciler, güvenlik duvarlarının gerçekleştirdiği giriş ve çıkış filtreleme gibi temel kontrolleri yapar. Genellikle kuruluşların ağlarının Internet'e bağlandığı yerlerde kullanılır. İnternet sınır yönlendiricileri, kuruluşun ana güvenlik duvarlarının önüne yerleştirilerek ağ etkinliği üzerinde kontrol sağlar. Güvenlik duvarı yükünü azaltarak, bazı İnternet tabanlı solucanların güvenlik duvarına erişimini engelleyebilir.
Büyük bir solucan olayı sırasında, gelen etkinliği engellemek için yönlendiricilerin yeniden yapılandırılması gerekebilir. Ayrıca, dahili ağlardaki yönlendiriciler, belirli hizmetlerin ağlar arasında geçişini engelleyerek virüslü ana bilgisayarların kötü amaçlı yazılımları yaymasını önleyebilir. Kuruluşlar, solucan enfeksiyonlarını kontrol altına almak için gerektiğinde yönlendirici ACL'lerini hızlıca değiştirmeye hazır olmalıdır.
2.4.5 Uygulama Ayarları
Birçok kötü amaçlı yazılım türü, e-posta istemcileri, web tarayıcıları ve kelime işlemciler gibi yaygın uygulamaların sağladığı özelliklerden yararlanmaktadır. Uygulamalar genellikle varsayılan olarak güvenlikten ziyade işlevselliğe odaklanacak şekilde yapılandırıldığından, kuruluşlar, potansiyel uygulama saldırı vektörlerini sınırlamak için gereksiz özellikleri ve yetenekleri devre dışı bırakmayı düşünmelidir. Kuruluşlar ayrıca, kötü amaçlı yazılımların yayılmasında yaygın olarak kullanılan uygulamaları (örneğin, web tarayıcıları ve e-posta istemcileri) belirlemeli ve bunları içerik filtreleme ve diğer kötü niyetli etkinlikleri durdurmak için yapılandırmalıdır. Aşağıda, kötü amaçlı yazılım olaylarını önlemede dikkate alınması gereken bazı uygulama ayarları yer almaktadır:
Şüpheli E-posta Eklerini Engelleme: E-posta sunucuları, şüpheli dosya uzantılarına sahip ekleri tanımlayıp engelleyerek olayları önleyebilir. Örneğin, .pif, .vbs gibi uzantılar sıklıkla kötü amaçlı yazılımlarla ilişkilendirilir. Bu tür engellemeler, bilinmeyen tehditleri durdurabilir ancak meşru etkinlikleri de etkileyebilir.
Spam Filtreleme: İstenmeyen postalar, kimlik avı ve casus yazılım dağıtımı için kullanılabilir. Spam filtreleme yazılımları, kullanıcıların karşılaştığı spam miktarını azaltarak kötü amaçlı yazılım olaylarının sayısını da düşürebilir.
Web Sitesi İçeriğini Filtreleme: Web içeriği filtreleme yazılımları, kimlik avı siteleri gibi düşmanca içeriklere erişimi engelleyebilir ve istenmeyen dosya türlerini durdurabilir.
Mobil Kod Yürütmeyi Sınırlandırma: Web tarayıcıları, yalnızca gerekli mobil kod biçimlerine izin verecek şekilde yapılandırılabilir. Bu ayar, bazı kötü amaçlı mobil kodları durdurabilir.
Web Tarayıcı Çerezlerini Kısıtlama: Kullanıcıların yalnızca birinci taraf çerezlerini kabul etmesine izin vererek, izleme çerezlerinin sayısını azaltabilir.
Web Tarayıcı Açılır Penceresini Engelleme: Açılır pencereler, kullanıcıları kimlik avı sitelerine yönlendirmek için kullanılabilir. Çoğu web tarayıcısı bu pencereleri engelleyebilir.
Web Tarayıcılarında Yazılım Kurulumunun Önlenmesi: Kullanıcılardan yazılım yüklemelerini onaylamalarını istemek, casus yazılımların yüklenmesini engelleyebilir.
E-posta Görüntülerinin Otomatik Yüklenmesini Önleme: E-postalarda bulunan grafikleri otomatik olarak yüklememek, kullanıcıların etkinliklerinin izlenmesini zorlaştırır.
Dosya İlişkilendirmelerini Değiştirme: Kötü amaçlı yazılımlar tarafından sıkça kullanılan dosya türlerinin otomatik olarak açılmasını engellemek, güvenliği artırabilir.
Makro Kullanımını Kısıtlama: Makro virüslerinin yayılmasını önlemek için yalnızca güvenilir konumlardan makrolara izin veren güvenlik özellikleri kullanılmalıdır.
E-postanın Açık Aktarılmasını Önleme: Açık geçişe izin veren e-posta sunucuları, toplu posta solucanlarının yayılmasını kolaylaştırabilir. Bu tür sunucuların yapılandırılması, tehditleri azaltabilir.
Bu uygulama ayarları, kötü amaçlı yazılım olaylarının sıklığını azaltmada etkili olabilir; ancak uygun ayarları seçmek zordur. Daha güvenli bir yapılandırma, genellikle işlevsellikte bir azalmaya neden olabilir. Örneğin, Java desteğinin devre dışı bırakılması, Java tabanlı uygulamaların çalışmasını engelleyebilir. Dolayısıyla, kuruluşlar her bir ayarın sonuçlarını dikkatlice değerlendirmelidir.
Kuruluşlar, istemci uygulamalarının ayarlarını uygularken, merkezi bir kontrol sağlamak genellikle mümkündür; ancak bu, kullanıcı düzeyinde daha zordur. Kullanıcıların güvenlik ve işlevsellik gereksinimlerine yanıt verebilmesi için ayarların nasıl uygulanacağını, sürdürüleceğini ve kontrol edileceğini düşünmeleri gerekir.
Ayrıca, ana bilgisayar tabanlı güvenlik duvarlarının kullanılması, istemci uygulama ayarlarıyla birlikte etkili bir savunma oluşturabilir. Bu tür güvenlik duvarları, web tarayıcısı açılır pencerelerini engelleyebilir ve istenmeyen içeriği filtreleyebilir. Ancak, ana bilgisayar tabanlı güvenlik duvarı özellikleri tüm uygulama ayarlarını kapsamayabilir, bu nedenle her iki yöntemin bir arada kullanılması en iyi sonucu verebilir.
Son olarak, uygulama ayarlarının hızlı bir şekilde değiştirilmesi, yeni tehditlerin durdurulmasında faydalı olabilir. Örneğin, henüz algılanmamış bir e-posta tabanlı tehdidi durdurmak için e-posta sunucusu ayarları yeniden yapılandırılabilir. Kuruluşlar, kötü amaçlı yazılımlar için acil durum planları oluşturarak, bu tür ayarların nasıl uygulanacağını önceden düşünmelidir.
2.5 Özet
Kuruluşlar, mevcut ve gelecekteki olası saldırı vektörlerine dayanarak kötü amaçlı yazılım olaylarını önlemeye yönelik bir strateji geliştirmeli ve uygulamalıdır. Bu süreçte, çevresel koşullara uygun önleyici yöntemler seçmek önemlidir; bir yönetilen ortamda etkili olan bir teknik, yönetilmeyen bir ortamda işe yaramayabilir. Kötü amaçlı yazılım olaylarını önlemek için etkili bir yaklaşım, politika değerlendirmelerini, kullanıcılar ve BT personeli için farkındalık programlarını, güvenlik açığı ve tehdit azaltma çabalarını içermelidir.
Politika ve Farkındalık Programları
Kuruluşlar, kötü amaçlı yazılım olaylarının önlenmesine yönelik politikalarının destekleyici olmasını sağlamalıdır. Kötü amaçlı yazılım önleme politikaları, genellikle şu üç ana kategoriye ayrılır:
- Sistemlerin Kabul Edilebilir Kullanımının Belirtilmesi: Kullanıcıların sistemleri nasıl kullanacağına dair kuralların net bir şekilde belirlenmesi.
- Güvenlik Açıklarının Azaltılması: Bilgisayar sistemlerindeki güvenlik açıklarının minimize edilmesi.
- Tehditlerin Azaltılması: Potansiyel tehditlere karşı önlemler alınması.
Bu politikalar, hem kuruluş tarafından kontrol edilen sistemler hem de uzaktan çalışanların kullandığı sistemlerle ilgili hususları içermelidir. Kullanıcılar, kötü amaçlı yazılımların yayılma yolları, riskler ve olayları önlemedeki önemi hakkında bilgilendirilmelidir. Ayrıca, BT personeli için de farkındalık faaliyetleri yürütülmeli ve belirli görevler için eğitimler verilmelidir.
Güvenlik Açığı Azaltma
Kuruluşlar, kötü amaçlı yazılımların işletim sistemi ve uygulama güvenlik açıklarını istismar etmesini önlemek için güvenlik açığı azaltmaya yönelik belgelenmiş politika ve süreçlere sahip olmalıdır. Yama yönetimi ve en az ayrıcalık ilkesi gibi tekniklerin kombinasyonu, güvenlik açıklarının etkili bir şekilde azaltılmasına yardımcı olabilir. Ancak, yama yönetimi karmaşık bir süreçtir ve yeni bir güvenlik açığı ortaya çıkmadan önce hemen uygulanması gerekebilir. Ayrıca, güvenli olmayan dosya paylaşımlarının ortadan kaldırılması ve gereksiz hizmetlerin devre dışı bırakılması gibi önlemler de düşünülmelidir.
Tehdit Azaltma Çalışmaları
Güvenlik açığı azaltmanın yanı sıra, kuruluşlar kötü amaçlı yazılımları tespit etmek ve durdurmak için tehdit azaltma çalışmaları yapmalıdır. Aşağıdaki teknik kontroller, tehdit azaltmada özellikle yararlıdır:
- Virüsten Koruma Yazılımları: Kötü amaçlı yazılım tehditlerini azaltmak için yaygın olarak kullanılan bir tekniktir ve güncel tutulması gereklidir.
- Ağ Tabanlı IPS'ler: Kötü amaçlı yazılım algılama yetenekleri sunan ve belirli tehditleri durdurmak için özelleştirilebilen sistemlerdir.
- Ana Bilgisayar Tabanlı Güvenlik Duvarları: Kötü amaçlı yazılım olaylarının uygulama güvenlik açıklarından yararlanmasını engelleyen özellikler sunar.
Kuruluşlar, işlevselliği tehlikeye atmadan güvenliği artırmak için uygulama ayarlarını da yapılandırabilir.