SİBER SALDIRILAR & GÜVENLİK İYİLEŞTİRME STRATEJİSİ

tarih:

 



Genel Bakış

Hedefli siber saldırılar, dış saldırganların veri çalmasına odaklanır. Bu tür saldırılar, etkilenen kuruluşların rekabet avantajını ve itibarını zedeleyebilir, bir ülkenin ekonomik refahını tehdit edebilir, kamuoyunu etkileyebilir ve özel bilgilerin açığa çıkması nedeniyle vatandaşlara zarar verebilir. Ayrıca, bu tür saldırılara yanıt vermek, sınırlı mali ve insan kaynaklarını gereksiz yere tüketebilir.

Kuruluşlar, varlıklarının çeşitli tehditlere karşı korunması gereken düzeyi belirlemek amacıyla, güvenlik riski değerlendirmesi yaparken elektronik olarak depolanan hassas verilerin türünü ve konumunu belirlemelidir. Bu yayının amacı doğrultusunda, "hassas veriler" korunması gereken sınıflandırılmamış veya sınıflandırılmış bilgileri ifade eder. Genellikle bu koruma, verilerin gizliliğine odaklanır, ancak veri bütünlüğü ve kullanılabilirliği de önemlidir ve sıkça göz ardı edilir. Hassas veriler, hükümet bakanlıklarının raporları, stratejik planlama belgeleri, iş teklifleri, ihale belgeleri, toplantı tutanakları, mali raporlar, yasal belgeler ve fikri mülkiyet varlıkları gibi çeşitli konumlarda bulunabilir.

Hedefli Siber Saldırının Aşamaları

Hiçbir güvenlik iyileştirme stratejisi seti, hedefli tüm siber saldırıları tamamen önleyemez. Ancak, kuruluşlar yine de hedefli siber saldırıların üç ana aşamasına yönelik güvenlik stratejilerini uygulamalıdır.

Aşama 1: Kötü Amaçlı Yazılım Teslimi ve Yürütülmesi

  • Saldırganlar, hedef kullanıcıları belirlemek için keşif yapar ve genellikle kötü niyetli içerik barındıran bir web sitesine yönlendiren bir bağlantı veya kötü amaçlı e-posta eki içeren bir "spear phishing" e-postası gönderir. Bu e-posta ekleri yürütülebilir programlar, kötü amaçlı makrolar içeren Microsoft Office belgeleri veya komut dosyaları olabilir.
  • Saldırganlar, meşru bir web sitesini tehlikeye atarak kullanıcıyı bu siteyi ziyaret etmeye de zorlayabilir.
  • Kötü amaçlı yazılım, kullanıcının bilgisayarında çalıştırılır ve genellikle her yeniden başlatıldığında veya oturum açıldığında otomatik olarak yürütülecek şekilde yapılandırılır. Bu yazılım, saldırganların kontrol ettiği 'komut ve kontrol' altyapısıyla iletişim kurarak ek kötü amaçlı yazılım indirir ve saldırganların bilgisayarı uzaktan kontrol etmesine olanak tanır.

Aşama 2: Ağ Yayılımı

  • Saldırganlar, ağda yayılmak ve hassas verilere erişmek için güvenliği ihlal edilmiş hesap bilgilerini veya sistemdeki diğer güvenlik açıklarını kullanabilir. Özellikle birden fazla bilgisayar aynı yerel yönetici parolasını paylaşıyorsa, ağ yayılımı hızla gerçekleşebilir. Bu yayılma sırasında sıkça erişilen veriler arasında Microsoft Office dosyaları, e-posta dosyaları ve veritabanlarındaki bilgiler yer alır.
  • Güçlü bir parola politikası ve çok faktörlü kimlik doğrulama gibi güvenlik önlemleri, saldırganların ilerlemesini zorlaştırabilir.

Aşama 3: Veri Hırsızlığı

  • Saldırganlar, hassas verileri sıkıştırmak ve şifrelemek için genellikle zip, RAR gibi arşiv dosyalarını kullanır.
  • Bu veriler, kuruluşun güvenlik duvarları tarafından izin verilen ağ protokolleri üzerinden sızdırılır.
  • Özellikle çok faktörlü kimlik doğrulamanın olmadığı durumlarda, saldırganlar sanal özel ağ (VPN) veya diğer uzaktan erişim hesap bilgilerini ele geçirebilir ve bu şifreli bağlantıyı verileri sızdırmak için kullanabilir.

En Muhtemel Hedefler

  • Üst düzey yöneticiler ve onların yönetici asistanları
  • Yardım masası personeli, sistem ve ağ yöneticileri
  • Hassas verilere erişimi olan kullanıcılar
  • Uzaktan erişim yetkisi olan kullanıcılar
  • İstenmeyen e-postalarla etkileşime giren kullanıcılar, bilgi edinme talepleriyle ilgilenenler, medya ve halkla ilişkiler personeli, insan kaynakları ekipleri, finans ekipleri gibi.

Fidye Yazılımları ve Yıkıcı Amaçlı Dış Saldırganlar

Fidye yazılımı, belirli bir süre içinde parasal bir fidye ödenene kadar verileri şifreleyerek erişimi engeller. Bu yazılım, erişilebilir yedeklemeleri silebilir, diğer bilgisayarlara yayılabilir ve yerel sabit sürücüler, ağ sürücüleri ve USB sürücüler gibi tüm erişilebilir verileri şifreleyebilir. Bazı fidye yazılımı türleri, bilgisayarların çalışmasını da engelleyebilir.

Saldırganlar, hedefli kimlik avı e-postaları göndererek, web sitelerindeki güvenlik açıklarını kullanarak veya kaba kuvvet saldırılarıyla uzaktan erişim sağlayarak bu tür saldırıları gerçekleştirebilir. Fidye ödenmesi etik açıdan tartışmalıdır ve şifrelenmiş dosyaların geri alınmasını garanti etmez.

Kötü Niyetli İçeriden Gelen Tehditler

Kötü niyetli kişiler, maddi kazanç, ideoloji, ego veya intikam gibi motivasyonlarla hareket ederek verileri çalabilir, silebilir veya bilgisayarların çalışmasını engelleyebilir. İçeriden gelen bu tehdit, genellikle zaten bir hesaba ve verilere erişimi olan kişilerden gelir, bu nedenle kötü amaçlı yazılım kullanmaya gerek kalmaz. Ancak, çıkarılabilir depolama ortamları kullanarak verileri sızdırmaları mümkündür.

Güvenlik İyileştirme Stratejilerini Uygularken Kapsayıcı Hususlar

Uygulama ve Ağ Aktivitelerinin Kontrolü:
Güvenlik iyileştirme stratejilerinin ana teması, yalnızca onaylanmış uygulamalara veya ağ iletişimine izin verme kavramına dayanmaktadır. Bu durumda, uygulama yürütme veya ağ iletişimi gibi faaliyetler varsayılan olarak reddedilir ve yalnızca sistem yöneticileri veya ağ yöneticileri tarafından iş gereksinimlerini karşılamak üzere açıkça onaylanmış etkinliklere izin verilir. Geleneksel olarak, uygulama veya ağ iletişimini kötü niyetli olduğu bilinen unsurlara karşı engellemeye yönelik yaklaşım, sınırlı güvenlik sağlayan, oldukça reaktif bir yöntemdir.

Satıcılar, uygulamaların, ağ iletişiminin, bilgisayar davranışlarının veya ilgili günlüklerin kötü amaçlı etkinlik belirtileri gösterip göstermediğini belirlemek için giderek artan bir şekilde alternatif yaklaşımlar sunuyorlar. Örnek olarak, sadece uzlaşma göstergelerinden daha fazlasını içeren tehdit istihbaratından yararlanma, büyük veri analitiği, buluşsal yöntemler, makine öğrenimi, yapay zeka ve matematik/istatistik yöntemleri sayılabilir. Bu alternatif yaklaşımlar, kullanıcıların ve bilgisayarların normal davranışlarının doğru bir şekilde temel alınabileceğini ve bu sayede yanlış pozitiflerden kaçınılabileceğini varsayar. Kuruluşlar, bu tür satıcı ürünlerini satın almadan önce bu yaklaşımların değerini eleştirel bir şekilde değerlendirmelidir; çünkü bu değer, her satıcının uygulamasına bağlı olarak değişebilir.

Ağ Tabanlı Güvenlik İyileştirme Stratejilerinin Etkinliği:
BT altyapısındaki gelişmeler nedeniyle ağ tabanlı güvenlik iyileştirme stratejilerinin etkinliği azalmaya devam ediyor. Örneğin, bulut bilişim hizmetleri gibi harici bilgisayar altyapılarının yanı sıra çalışanlar tarafından kullanılan mobil bilgi işlem cihazlarının artan kullanımı nedeniyle ağ çevresi giderek zayıflıyor. Ayrıca, ağ tabanlı saldırı tespit/önleme sistemi ve ağ trafiğini yakalama gibi ağ tabanlı güvenlik iyileştirme stratejilerini uygulamak için ağ trafiğini tek bir noktada toplamak veya yönlendirmek giderek zorlaşıyor. Bu gelişmeler, aynı zamanda kurumsal bilgisayarların doğrudan internet bağlantısını reddetme stratejisini uygulama becerisini de etkiliyor.

Siber Sigorta:
Siber sigorta, güvenlik iyileştirme stratejilerini uygulayarak siber güvenlik korumasına yatırım yapmanın yerini tutmaz. Ancak, siber sigorta, kurumları siber sigorta primlerinin maliyetini azaltmak için bu stratejileri uygulamaya teşvik edebilir.


Kötü amaçlı yazılım teslimini ve yürütülmesini önlemek için güvenlik iyileştirme stratejileri

Uygulama Kontrolü

Strateji: .exe, DLL, komut dosyaları (ör. Windows Komut Dosyası Ana Bilgisayarı, PowerShell ve HTML Uygulamaları) ve yükleyiciler gibi onaylanmamış veya kötü amaçlı programların yürütülmesini engellemek için uygulama kontrolü kullanın.

Gerekçe: Doğru yapılandırılmış bir uygulama kontrolü, yazılımın nasıl sunulduğuna (web sitesi, e-posta eki, çıkarılabilir depolama ortamı) bakılmaksızın, istenmeyen yazılımların yürütülmesini engellemeye yardımcı olur. Özellikle Active Directory, e-posta sunucuları gibi kritik sunucularda uygulama kontrolü uygulamak, kötü amaçlı yazılımların çalışmasını önlemeye yardımcı olabilir.

Uygulama Kılavuzu:

  • Uygulama kontrolü, bir kullanıcının bilgisayarına yeni yazılım yüklemesini engellemek veya ağ trafiğini izlemekten daha ileri bir düzeyde olmalıdır.
  • Uygulama kontrolü, belirli dizinlerde yürütmeyi engellemek için yapılandırılabilir ve onaylanmamış programların çalışmasını engelleyebilir. Kullanıcı profili dizinleri gibi kritik dizinlerde yürütmeyi engellemek, basit kötü amaçlı yazılımları durdurabilir.
  • Kullanıcıların, onaylanmamış komut dosyalarını çalıştırmasını önlemek için belirli komut dosyası uzantılarıyla ilişkili dosya türleri sınırlandırılabilir.
  • Windows Komut Dosyası Ana Bilgisayarı (cscript.exe, wscript.exe), PowerShell (powershell.exe) ve benzeri komut dosyası yürütme motorlarını devre dışı bırakın veya yalnızca onaylanmış komut dosyalarına izin verin.

Dağıtım Stratejisi:

  • Uygulama kontrolünü aşamalı olarak dağıtın. Örneğin, önce üst düzey yöneticilerin bilgisayarlarında test edin ve uygulamayı daha sonra genişletin.
  • Kuruluşun bilgisayarlarda hangi yazılımların yüklü olduğunu izleyin ve uygulama kontrolünü etkili bir şekilde uygulamak için standart bir işletim ortamı kullanın.

Yama Yönetimi

Strateji: Özellikle Adobe Flash, web tarayıcıları, Microsoft Office, Java, PDF görüntüleyiciler ve internet üzerinden erişilebilen sunucu yazılımları için güvenlik yamaları uygulayın. Güvenlik açıkları tespit edildikten sonraki 48 saat içinde yamalar uygulayın.

Gerekçe: Yazılımlardaki güvenlik açıkları, saldırganların kötü amaçlı kod yürütmesine olanak tanır ve bu da kuruluş için ciddi sonuçlara yol açabilir.

Uygulama Kılavuzu:

  • Yamaların dağıtımında risk yönetimi yaklaşımlarını benimseyin. Örneğin, yamaların işlevselliği bozup bozmadığını test etmek için aşamalı dağıtım yapın.
  • Yüksek ayrıcalıklı yazılımlardaki güvenlik açıklarını öncelikli olarak yamalayın.
  • Dağıtılan yamaların kurulduğunu ve çalıştığını doğrulamak için otomatik bir mekanizma kullanın.

En Son Sürümü Kullanma:

  • Güvenlik açıkları için artık desteklenmeyen yazılımları kullanmayın.
  • Güvenilmeyen verilerle etkileşime giren yazılımlarda en son sürümleri kullanın.

Microsoft Office Makro Ayarlarını Yapılandırma

Güvenlik İyileştirme Stratejisi: İnternetten gelen makroları engellemek için Microsoft Office makro ayarlarını yapılandırın ve yalnızca 'güvenilir konumlarda' sınırlı yazma erişimine sahip veya güvenilir bir sertifikayla dijital olarak imzalanmış makrolara izin verin.

Gerekçe: Bu strateji, temel e-posta içerik filtreleme ve uygulama denetiminden kaçınan kötü amaçlı kod çalıştırma girişimlerine karşı Microsoft Office makrolarını kullanan saldırganlara karşı koruma sağlar.

Uygulama Kılavuzu:

  • Makro Güvenliği Yapılandırması: Microsoft Office’in makro güvenlik özelliğini etkinleştirin. Kullanıcıların bu güvenlik özelliğini atlatmasını önlemek için Microsoft Windows Ek Yöneticisi’ni yapılandırın.
  • Güvenilir Konumlar ve Sertifikalar: Makroları yalnızca güvenilir olarak incelenmiş ve tercihen dijital olarak imzalanmış "güvenilir konumlar" dizinlerinde çalıştırılacak şekilde yapılandırın. Saldırganlar güvenilir bir sertifika yetkilisinden alınmış sertifikayı kötü amaçlı makrolar için kullanabilir, bu yüzden sertifika doğruluğunu dikkatle kontrol edin.
  • Grup İlkesi Kullanımı: Kullanıcıların makro güvenlik ayarlarını değiştirmelerini önlemek için Grup İlkesi aracılığıyla bu ayarları zorunlu kılın.


Kullanıcı Uygulaması Sertleştirme

Güvenlik İyileştirme Stratejisi: Web tarayıcılarını, Flash’ı (mümkünse kaldırın), reklamları ve internette güvenilmeyen Java kodunu engelleyecek şekilde yapılandırın. Ayrıca, Microsoft Office (örn. OLE), web tarayıcıları ve PDF görüntüleyicilerdeki gereksiz özellikleri devre dışı bırakın.

Gerekçe: Bu strateji, kullanıcı bilgisayarlarının saldırı yüzeyini küçültür ve uygulama denetiminden kaçmak için kötü amaçlı içerik kullanan saldırganların etkisini azaltır.

Uygulama Kılavuzu:

  • Web Tarayıcıları ve Eklentiler: Adobe Flash, ActiveX, Java, Silverlight ve QuickTime gibi eklentileri engelleyin. Belirli iş amaçları için bu tür işlevsellik gerektiren güvenilir web sitelerine izin verin.
  • Flash ve Java Kullanımı: Flash’ı mümkünse kaldırın. Java’yı kullanmak zorundaysanız, tarayıcıda Java içeriğini devre dışı bırakın ve sadece onaylı Java uygulamalarına izin verin.
  • Microsoft Office ve PDF Görüntüleyiciler: Gereksiz OLE paketlerini devre dışı bırakın. Microsoft Office Dosya Doğrulaması ve Korumalı Görünüm özelliklerini yapılandırın.


Bir Sanal Alanda Çalıştırılan E-posta ve Web İçeriğinin Otomatik Dinamik Analizi

Güvenlik İyileştirme Stratejisi: E-posta ve web içeriğinin otomatik dinamik analizi yapılırken, şüpheli davranışlar tespit edilirse (örneğin ağ trafiği, yeni veya değiştirilmiş dosyalar veya diğer sistem yapılandırma değişiklikleri) engellenir.

Gerekçe: Dinamik analiz, imza tabanlı algılamalardan ziyade davranışa dayalı algılamayı kullanarak, henüz tanımlanmamış kötü amaçlı yazılımları algılar ve bunlara karşı koruma sağlar.

Uygulama Kılavuzu:

  • Analiz Özellikleri: SSL/TLS ile şifrelenmiş e-posta ve web içeriğini şifreleyebilen ve analiz edebilen ürünleri tercih edin. E-postaları kullanıcıya teslim etmeden önce analiz edin ve kötü niyetli içeriği hızlıca engelleyin veya karantinaya alın.
  • Kaçınma Teknikleri: Gelişen kaçınma tekniklerine karşı düzenli olarak güncellenen uygulamaları kullanın. Eski veya kolayca atlatılabilen tekniklerden kaçının.


E-posta İçerik Filtreleme
Güvenlik İyileştirme Stratejisi
E-posta içerik filtreleme uygulayarak yalnızca onaylanmış ek türlerine (arşivler ve iç içe arşivler dahil) izin verin. Köprüleri, PDF ve Microsoft Office eklerini analiz edin/temizleyin. Microsoft Office makrolarını karantinaya alın.

Gerekçe
E-posta içeriği filtreleme, kötü niyetli e-postalar aracılığıyla kullanıcı bilgisayarlarının güvenliğini ihlal edilmesini önlemeye yardımcı olur. Yalnızca işle ilgili onaylanmış ek türlerine izin vermek, .lnk kısayol dosyaları, PowerShell ve JScript dosyaları gibi saldırganlar tarafından sıklıkla kullanılan kötü amaçlı dosya türlerini engellemeye çalışmaktan daha etkilidir.

Uygulama Kılavuzu

  • Parola korumalı arşiv dosyalarını (örneğin, zip veya RAR) engelleyin/karantinaya alın. Kaynak tükenmesi nedeniyle hizmet reddini önlemek için arşiv dosyalarını kontrollü bir şekilde inceleyin.
  • Kuruluşun etki alanına sahip olan ancak kuruluş tarafından onaylanmamış e-posta sunucularından kaynaklanan gelen e-postaları reddedin.
  • Onaylanmış işle ilgili ek türlerini temizlemek için bir 'İçeriği Devre Dışı Bırakma ve Yeniden Yapılandırma' yazılımı kullanın.
  • Tercihen PDF ve Microsoft Office eklerini arşivleyin ve birkaç ay boyunca kötü amaçlı yazılımlara karşı yeniden tarayın.
  • Anonim internet kullanıcılarına ücretsiz e-posta adresleri sağlayan web posta sağlayıcılarından gelen e-postalardaki ekleri karantinaya alın ve köprüleri devre dışı bırakın.

Kötü Amaçlı E-posta Güvenlik İyileştirme Stratejileri Yayını

Web İçeriği Filtreleme
Güvenlik İyileştirme Stratejisi
Web içeriği filtreleme uygulayarak yalnızca onaylanmış web içerik türlerine ve iyi itibar derecesine sahip web sitelerine izin verin. Kötü amaçlı etki alanlarına, IP adreslerine, reklamlara, anonimlik ağlarına ve ücretsiz etki alanlarına erişimi engelleyin.

Gerekçe
Etkili bir web içeriği filtresi, erişilen kötü amaçlı yazılımların güvenlik riskini azaltır ve saldırganların kötü amaçlı yazılımlarıyla iletişim kurmasını zorlaştırır. Onaylanmış web içeriği türlerinin bir listesinin tanımlanması, yaygın kötü amaçlı yazılım dağıtım tekniklerini ortadan kaldırır.

Uygulama Kılavuzu

  • Tercihen, varsayılan olarak tüm yürütülebilir içeriği engelleyin ve iş gerekçesi varsa seçilen kullanıcılara belirli yürütülebilir içerik erişimi sağlayacak bir süreç kullanın.
  • 'Kategorize edilmemiş' veya ticari amaçlar için gerekli olmayan web sitelerine erişimi engelleyin.
  • İdeal olarak, meşru amaçlar için bu tür işlevsellik gerektiren onaylı web siteleri dışında Flash, ActiveX ve Java'yı engelleyin.
  • HTTPS trafiğini kötü amaçlı içerik için denetleyen bir çözüm uygulayın.
  • Web içeriği filtresinin Microsoft Office dosyalarını inceleme yeteneği varsa, makro içeriyorsa bu tür dosyaları karantinaya alın.
  • Kötü amaçlı reklamcılığı engellemek için ağ geçidinde ve web tarayıcı yazılımında web içeriği filtrelemeyi kullanın.
  • Tor, Tor2web ve I2P gibi anonimlik ağlarına giden ağ bağlantılarını engelleyerek kötü amaçlı yazılımların bu ağları komut ve kontrol ile veri hırsızlığı için kullanmasını azaltın.
  • Dinamik etki alanlarına erişimi engelleyin ve IP adreslerine göre erişimi zorlaştırarak siber güvenlik olaylarını tespit edin.

Kurumsal Bilgisayarların Doğrudan İnternet Bağlantısını Reddetme
Güvenlik İyileştirme Stratejisi
Kurumsal bilgisayarların doğrudan internet bağlantısını reddedin. Giden web bağlantıları için bölünmüş bir DNS sunucusu, bir e-posta sunucusu ve kimliği doğrulanmış bir web proxy sunucusu kullanımını zorunlu kılmak için bir ağ geçidi güvenlik duvarı kullanın.

Gerekçe
Bir ağ geçidi güvenlik duvarı, harici rakiplerin savunmasız ağ hizmetlerini çalıştıran kurumsal bilgisayarlara erişimini sınırlar ve gelen ve giden ağ trafiği için bir günlük kaydı ve engelleme noktası işlevi görür.

Uygulama Kılavuzu

  • Güvenlik duvarını yalnızca iş işlevselliği için gerekli olan onaylı ağ bağlantı noktalarına ve protokollere izin verecek şekilde yapılandırın.
  • Kötü amaçlı içerik için şifreli HTTPS trafiğinin şifresini çözen ve denetleyen bir web proxy'si uygulayın.
  • İnternet ile doğrudan iletişim kurmaya çalışan kötü amaçlı yazılımları tespit etmeye yardımcı olmak için, bilgisayarları yönlendirmesiz bir ağ yakalama aygıtıyla yapılandırın.
  • Sunucuların web sitelerine göz atma ve internetten e-posta erişimi konusunda kısıtlı bir yeteneğe sahip olmasını sağlayın.

İşletim Sistemi Genel İstismar Güvenlik İyileştirme
Güvenlik İyileştirme Stratejisi
İşletim sistemi genel istismar güvenlik iyileştirmeleri uygulayın (örneğin, Veri Yürütme Engellemesi (DEP), Adres Alanı Düzeni Rastgeleleştirme (ASLR) ve Gelişmiş Güvenlik İyileştirme Deneyimi Araç Seti (EMET)).

Gerekçe
Bu teknolojiler, güvenlik açıklarının varlığının ve ayrıntılarının bilinmediği durumlarda bile, sistem genelinde önlemler sağlayarak güvenlik açıklarından yararlanmayı azaltır.

Uygulama Kılavuzu

  • DEP'i tüm işletim sistemi programlarına ve DEP'yi destekleyen diğer yazılım uygulamalarına uygulayın.
  • ASLR'yi tüm işletim sistemi programları ve ASLR'yi destekleyen diğer yazılım uygulamaları için yapılandırın.
  • EMET kurallarını sistem genelinde yapılandırın ve özellikle web tarayıcıları, Microsoft Office ve PDF görüntüleyiciler gibi potansiyel olarak güvenilmeyen içeriklerle etkileşime giren uygulamalar için kuralları belirleyin.
  • Microsoft Windows'un 64 bit sürümünü kullanarak ek güvenlik teknolojilerinden faydalanın.

Sunucu Uygulama Sertleştirme
Güvenlik İyileştirme Stratejisi
Sunucu uygulama sertleştirmesi, özellikle internet üzerinden erişilebilen web uygulamaları ve veritabanları gibi hassas verilere erişen diğer sunucu uygulamalarını hedefler.

Gerekçe
Sunucu uygulama sertleştirmesi, kuruluşun işini kötü niyetli veri erişimi, hırsızlık, ifşa, bozulma ve kayıp gibi düşük güvenlik riskiyle yürütmesine yardımcı olur.

Uygulama Kılavuzu

  • OWASP kılavuzuna göre web uygulama güvenlik açıklarını (örneğin, SQL enjeksiyonu) ele alın.
  • Kod inceleme, veri doğrulama ve temizleme, kullanıcı ve oturum yönetimi, aktarım ve depolama sırasında verilerin korunması, hata işleme, kullanıcı kimlik doğrulaması, günlük kaydı ve denetimi gibi konulara odaklanın.

İşletim Sistemi Sağlamlaştırma
Güvenlik İyileştirme Stratejisi
Standart İşletim Ortamına (SOE) dayalı işletim sistemi sağlamlaştırması, gereksiz işlevleri devre dışı bırakır ve güvenlik risklerini azaltır.

Gerekçe
Bir SOE yapılandırması, sistem yöneticilerine yapılandırma yönetimini kolaylaştırır, anormal yazılımları tespit etme yeteneği sağlar ve ağ üzerindeki yazılımların güvenliğini artırır.

Uygulama Kılavuzu

  • Gereksiz işlevleri devre dışı bırakın (örneğin, RDP, AutoRun, LanMan, SMB/NetBIOS).
  • DLL arama yolu algoritmasını yapılandırarak kötü amaçlı DLL dosyalarının yüklenmesini azaltın.
  • Kullanıcı bilgisayarlarının kötü amaçlı programları çalışın.

Buluşsal Yöntemler ve İtibar Derecelendirmelerini Kullanan Virüsten Koruma Yazılımı

Güvenlik İyileştirme Stratejisi: Yürütmeden önce bir dosyanın yaygınlığını ve dijital imzasını kontrol etmek için buluşsal yöntemler ve itibar derecelendirmeleri kullanan virüsten koruma yazılımı kullanın. Ayrıca, bilgisayarlara karşı ağ geçitleri için farklı satıcılardan antivirüs yazılımları kullanın. Bu, şüpheli bir dosyanın satıcının kullanıcı tabanı arasında yaygınlığını kontrol etmeyi ve dijital olarak imzalanmış bir dosyanın, geçerli ve iptal edilmemiş bir satıcı sertifikası kullanıp kullanmadığını kontrol etmeyi içerir.

Gerekçe: Antivirüs yazılımı, bilgisayar virüsleri, solucanlar, Truva atları, casus yazılımlar ve reklam yazılımları gibi kötü amaçlı yazılımları tespit etmeye yardımcı olur.

Uygulama Kılavuzu: Yanlış pozitifler nedeniyle kullanıcıları ve olay müdahale ekibini olumsuz etkilemekten kaçınırken, kötü amaçlı yazılımları tanımlama arasında kabul edilebilir bir denge elde etmek için buluşsal davranış analizi yeteneğini yapılandırın. Dosyaları, erişildiklerinde ve zamanlanmış olarak tarayın. Bazı satıcılardan alınan uç nokta koruması veya kötü amaçlı yazılımdan koruma yazılımları, buluşsal yöntemler ve itibar derecelendirme işlevleri içerir.

Çıkarılabilir Depolama Ortamını ve Bağlı Cihazları Kontrol Etme

Güvenlik İyileştirme Stratejisi: Çıkarılabilir depolama ortamını ve bağlı cihazları kontrol edin. Onaylanmamış CD/DVD/USB depolama ortamlarını engelleyin ve onaylanmamış akıllı telefonlar, tabletler ve Bluetooth/WiFi/3G/4G/5G cihazlarıyla bağlantıyı engelleyin.

Gerekçe: Çıkarılabilir depolama ortamının ve bağlı cihazların kontrollü ve hesap verebilir bir şekilde kullanılması, kötü amaçlı yazılım yürütme ve yetkisiz verilere maruz kalma riskini azaltır.

Uygulama Kılavuzu: Çıkarılabilir depolama ortamı kullanırken, özellikle farklı ağlarda veya güvenlik etki alanlarında bulunuyorlarsa, sağlam bir depolama ortamı aktarım politikası izleyin. İdeal olarak, çıkarılabilir depolama ortamı kullanma ihtiyacını ortadan kaldıran alternatif bir veri aktarımı yöntemi oluşturulmalıdır. Ayrıca, bilgisayar BIOS/UEFI ayarlarını yapılandırarak veya üçüncü taraf çözümleri kullanarak, çıkarılabilir depolama ortamına erişimi engellemek ve fiziksel olarak devre dışı bırakmak mümkündür.

Sahte E-postaları Engelleme

Güvenlik İyileştirme Stratejisi: Sahte e-postaları engelleyin. Gelen e-postaları kontrol etmek için Gönderen Politikası Çerçevesi (SPF) veya Gönderen Kimliği'ni kullanın. Kuruluşun alan adını taklit eden e-postaları önlemek için "zor başarısız" SPF TXT ve DMARC DNS kayıtlarını kullanın.

Gerekçe: SPF veya Gönderici Kimliği gibi alternatif uygulamalar, sahte e-postaların teslim edilme olasılığını azaltır.

Uygulama Kılavuzu: Kuruluşun etki alanları ve alt etki alanları için "zor başarısız" SPF TXT DNS kayıtlarını yapılandırın ve var olmayan alt etki alanları için bir joker karakter SPF TXT DNS kaydı kullanın. DMARC DNS kaydını, e-postaların SPF ve/veya DKIM kontrollerinde başarısız olması durumunda reddedilmesini belirtecek şekilde yapılandırın.

Kullanıcı Eğitimi

Güvenlik İyileştirme Stratejisi: Kullanıcıları kimlik avı e-postalarından, zayıf parolalardan, parola yeniden kullanımından ve kurumsal olarak onaylanmamış çıkarılabilir depolama ortamlarından kaçınmaları konusunda eğitin. Kullanıcılar ayrıca potansiyel siber güvenlik olaylarını da bildirmelidir.

Gerekçe: Kullanıcı eğitimi, teknik güvenlik stratejilerini tamamlayabilir ve kullanıcıların şüpheli davranışları fark edip bildirmelerine yardımcı olabilir. Ancak, teknik güvenlik stratejileri, kullanıcı eğitimiyle birlikte uygulanmalıdır.

Uygulama Kılavuzu: Kullanıcıları sahte sitelere girişten, parolaları paylaşmaktan, zayıf parolalar kullanmaktan, çıkarılabilir depolama ortamları ve onaylanmamış harici BT hizmetlerinden kaçınmaları konusunda eğitin. Ayrıca, kullanıcıların siber güvenlik politikalarını anlamalarını ve uygulamalarını sağlamak için eğitim düzenleyin.



Güncel İmzalara Sahip Antivirüs Yazılımı

Güvenlik İyileştirme Stratejisi: Yeni kötü amaçlı yazılımlar için hızla imzalar ekleyen bir satıcıdan, güncel imzalara sahip virüsten koruma yazılımı kullanın. Bilgisayarlara karşı ağ geçitleri için farklı satıcılardan antivirüs yazılımları tercih edin.

Gerekçe: Antivirüs yazılımları, bilgisayar virüsleri, solucanlar, Truva atları, casus yazılımlar ve reklam yazılımları gibi kötü amaçlı yazılımları tespit etmeye yardımcı olur. Ancak, imza tabanlı virüsten koruma yazılımları, yeni ve hedeflenmiş kötü amaçlı yazılımlar konusunda reaktif bir yaklaşım sergileyebilir ve henüz bilinmeyen tehditlere karşı koruma sağlamakta zorlanabilir.

Uygulama Kılavuzu: Dosyaları, erişildiklerinde ve zamanlanmış olarak tarayın. Böylece, güncel tehditlere karşı hızlı ve etkili bir koruma sağlanabilir.

E-posta Sunucuları Arasında TLS Şifrelemesi

Güvenlik İyileştirme Stratejisi: Meşru e-postaların ele geçirilmesini ve ardından sosyal mühendislik saldırıları için kullanılmasını önlemek amacıyla e-posta sunucuları arasında TLS (Transport Layer Security) şifrelemesi uygulayın. E-posta trafiğinin şifresi çözüldükten sonra içerik taraması gerçekleştirin.

Gerekçe: Hem gönderen hem de alıcı e-posta sunucularında TLS şifrelemesi kullanmak, e-posta trafiğinin aktarım sırasında ele geçirilmesini ve sosyal mühendislik saldırılarında kullanılmasını önlemeye yardımcı olur.

Uygulama Kılavuzu: E-posta trafiğinin şifresi çözüldükten sonra içerik taraması gerçekleştirin. Bu, e-postaların içeriğinin güvenliğini artırır ve potansiyel tehditleri tespit etmenize yardımcı olur.



Siber Güvenlik Olaylarının Kapsamını Sınırlamak İçin Güvenlik İyileştirme Stratejileri

Yönetici Ayrıcalıklarını Kısıtlama

Güvenlik İyileştirme Stratejisi: Yönetici ayrıcalıklarını, kullanıcı görevlerine dayalı olarak işletim sistemleri ve uygulamalarla sınırlayın. Kullanıcılara yönetici ayrıcalıkları verilmesi gereksinimini doğrulayın ve bu gereksinimi en az yılda bir, tercihen aylık olarak yeniden doğrulayın.

E-posta okuma, web'de gezinme ve anında mesajlaşma gibi idari olmayan veya riskli faaliyetler için ayrı bir ayrıcalıksız hesap ve tercihen ayrı bir fiziksel bilgisayar kullanılması önerilir. Teknik kontroller, tüm ayrıcalıklı kullanıcı hesaplarının bu tür etkinlikleri gerçekleştirmesini engelleyecektir.

Gerekçe: Kullanıcıların (ve dolayısıyla kullanıcı adına çalışan kötü amaçlı yazılımların) yönetici ayrıcalıkları yerine düşük ayrıcalıklara sahip olması durumunda, bir uzlaşmanın sonuçları azalır.

Uygulama Kılavuzu: Bu güvenlik iyileştirme stratejisi aşağıdaki kullanıcılar için geçerlidir:

  • Microsoft Windows dışındaki işletim sistemlerinde etki alanı veya yerel sistem yönetici ayrıcalıklarına ve eşdeğer yönetici ayrıcalıklarına sahip kullanıcılar
  • Yükseltilmiş işletim sistemi ayrıcalıklarına sahip kullanıcılar
  • Veritabanı gibi uygulamalara ayrıcalıklı erişimi olan kullanıcılar
  • Satıcıların uzaktan erişim gerçekleştirmesine izin veren yönetici hesapları

Daha Fazla Bilgi: İdari Ayrıcalıkların Kısıtlanması yayınında daha fazla rehberlik mevcuttur.

Yama İşletim Sistemleri

Güvenlik İyileştirme Stratejisi: Güvenlik açığı belirlendikten sonraki 48 saat içinde 'aşırı risk' güvenlik açıklarına maruz kalan bilgisayarları (ağ cihazları dahil) yamalayın veya hafifletin. ACSC, ilgili güvenlik açıklarının ciddiyetine ve potansiyel iş etkisine dayalı olarak yamaları uygulamaya yönelik bir risk yönetimi yaklaşımını kolaylaştırmak için bir kılavuz geliştirmiştir.

Genellikle sömürü önleme yetenekleri gibi ek güvenlik teknolojilerini içerdiğinden, işletim sistemlerinin en son sürümünü kullanın. Güvenlik açıkları için yamalarla artık satıcı tarafından desteklenmeyen işletim sistemi sürümlerini kullanmayın.

Gerekçe: Kuruluş tarafından kullanılan işletim sistemlerindeki 'aşırı risk' güvenlik açıkları, rakiplerin ayrıcalıklarını yükseltmek gibi kuruluş için önemli sonuçlara yol açabilecek eylemler gerçekleştirmesini sağlayabilir.

Uygulama Kılavuzu: Güvenlik iyileştirme stratejisi 'Yama uygulamaları' için sağlanan uygulama kılavuzuna bakın. Yönlendiriciler, anahtarlar ve güvenlik duvarları gibi ağ cihazları ve özellikle internet erişimi olan cihazlar dahil olmak üzere ürün yazılımı yamaları uygulayın. 64 bit sürüm ek güvenlik teknolojileri içerdiğinden, 32 bit sürüm yerine Microsoft Windows'un 64 bit sürümünü kullanın.

Daha Fazla Bilgi: Güvenlik Açıklarını Değerlendirme ve Yama Uygulamaları yayınında daha fazla rehberlik mevcuttur. Microsoft'un yama yönetimi uygulamalarını geliştirmeye yönelik kılavuzu Güvenlik iyileştirmek için tek bir şey yaparsanız siber güvenlik riskiniz... b günlük gönderisinde mevcuttur.

Çok Faktörlü Kimlik Doğrulama

Güvenlik İyileştirme Stratejisi: Özellikle VPN'ler, RDP, SSH ve diğer uzaktan erişim yetenekleri için ve ayrıcalıklı bir eylem gerçekleştirdiklerinde (sistem yönetimi dahil) veya hassas veriler havuzuna eriştiklerinde tüm kullanıcılar için çok faktörlü kimlik doğrulama kullanın. Çok faktörlü kimlik doğrulama, kullanıcıların aşağıdaki üç mekanizmadan en az ikisini kullanarak kimliklerini doğrulamasını içerir:

  • Parola veya PIN gibi kullanıcının bildiği bir şey
  • Fiziksel belirteç veya yazılım tabanlı sertifika gibi kullanıcının sahip olduğu bir şey
  • Parmak izi veya iris gibi kullanıcının olduğu bir şey

Gerekçe: Doğru şekilde uygulandığında, çok faktörlü kimlik doğrulama, saldırganların çalınan kullanıcı kimlik bilgilerini kullanarak kuruluşa karşı daha fazla kötü amaçlı faaliyetleri kolaylaştırmasını önemli ölçüde zorlaştırabilir.

Uygulama Kılavuzu: Farklı çok faktörlü kimlik doğrulama mekanizmaları, değişen güvenlik seviyeleri sağlar. Örnekler:

  • Bilgisayara fiziksel olarak bağlı olmayan, zamana dayalı bir değere sahip fiziksel olarak ayrı bir belirteç, yüksek güvenlik sağlar.
  • Akıllı kart, kullanımına ve uygulamasına bağlı olarak daha az güvenli olabilir.
  • İşletim sistemi tarafından saklanan yazılım tabanlı bir sertifika, daha az güvenli bir seçenektir.
  • Dosya olarak saklanan yazılım tabanlı bir sertifika, daha da az güvenli olabilir.

Daha Fazla Bilgi: Çok faktörlü kimlik doğrulama hakkında daha fazla rehberlik Çok Faktörlü Kimlik Doğrulamayı Uygulama yayınında mevcuttur.

Yerel Yönetici Hesaplarını Devre Dışı Bırakma

Güvenlik İyileştirme Stratejisi: Yerel yönetici hesaplarını devre dışı bırakın veya birkaç bilgisayar tarafından paylaşılan güvenliği ihlal edilmiş yerel yönetici kimlik bilgilerini kullanarak rakiplerin kuruluşun ağında kolayca yayılmasını önlemek için her bilgisayarın yerel yönetici hesabı için rastgele ve benzersiz parolalar atayın.

Gerekçe: Yerel yönetici hesaplarını devre dışı bırakmak veya rastgele benzersiz parolalar atamak, rakiplerin kuruluşun ağı boyunca yayılmasını önlemeye yardımcı olur.

Uygulama Kılavuzu: Active Directory kimlik doğrulama sunucusu gibi sunucularda yerel yönetici hesabını devre dışı bırakmanın mümkün olmadığı durumlarda, yerel yönetici hesabının güçlü bir parolaya sahip olduğundan emin olun. Microsoft'un 'Yerel Yönetici Parola Çözümü' (LAPS) adlı ücretsiz aracı, her Microsoft Windows bilgisayarındaki yerel yönetici hesabının parolasını düzenli aralıklarla rastgele bir değere değiştirmeyi sağlar.

Daha Fazla Bilgi: LAPS aracı hakkında daha fazla bilgi Microsoft'tan edinilebilir.

Ağ Segmentasyonu

Güvenlik İyileştirme Stratejisi: Bilgisayarlar arasındaki trafiği engelleyin. Düşük güvenlikli cihazları (örneğin, BYOD ve IoT) kısıtlayın. Kullanıcı görevlerine göre ağ sürücülerine ve veri havuzlarına erişimi kısıtlayın.

Gerekçe: Ağ segmentasyonu, rakiplerin kuruluşun ağı boyunca yayılmasını önlemeye yardımcı olur. Doğru uygulandığında, rakiplerin önemli verilere erişmesini önemli ölçüde zorlaştırabilir.

Uygulama Kılavuzu: Erişimi, gerekli bağlantıya, kullanıcı iş rolüne, iş işlevine, güvenlik sınırlarına ve verilerin önem derecesine göre kısıtlayın. Ağ erişimini kısıtlamaya yardımcı olabilecek ağ kontrolleri arasında anahtarlar, sanal LAN'lar, enklavlar, veri diyotları, güvenlik duvarları, yönlendiriciler ve Ağ Erişim Kontrolü bulunur.

Daha Fazla Bilgi: Ağ segmentasyonu hakkında daha fazla rehberlik Ağ Bölümleme ve Ayrıştırma Uygulaması yayınında mevcuttur.

Kimlik Doğrulama Bilgilerini Koruma

Güvenlik İyileştirme Stratejisi: CPassword değerlerini kaldırın (MS14-025). WDigest'i (KB2871997) yapılandırın. Windows Defender Kimlik Bilgisi Korumasını kullanın. Varsayılan parolaları değiştirin ve uzun, karmaşık parolalar gerektirir.

Gerekçe: Parolalar benzersiz, karmaşık, uzun ve kriptografik olarak güçlü bir algoritmaya sahip olduğunda, saldırganların parola karmalarını elde etmesi ve kuruluşun ağı boyunca yayılması daha zor olur.

Uygulama Kılavuzu: Microsoft yaması MS14-025'in uygulandığından emin olun ve mevcut kayıtlı parolaları manuel olarak silin.

Verileri ve Sistem Kullanılabilirliğini Kurtarma

  1. Düzenli Yedeklemeler:

    • Yeni veya değiştirilmiş önemli veriler, yazılım ve yapılandırma ayarlarının düzenli olarak yedeklerini alın. Yedekleme yeteneğini ilk kez uyguladığınızda, yıllık olarak ve BT altyapısındaki değişikliklerde geri yükleme sürecini test edin.

    Gerekçe:

    • Yakın zamanda yapılan bir veri yedeklemesi ve kanıtlanmış veri geri yükleme işlemi, verilerin şifrelenmesi, bozulması, fidye yazılımları veya diğer yıkıcı kötü amaçlı yazılımlar tarafından silinmesi gibi bir dizi tehditten korur. Ayrıca, içeriden gelen kötü niyetli kişiler, kullanıcı hataları veya donanım arızaları gibi sorunları da kapsar.

    Uygulama Kılavuzu:

    • Kullanıcıları, yerel depolama ortamlarında (sabit diskler veya USB bellekler gibi) veri depolamaktan kaçınmaları konusunda bilgilendirin ve bunun yerine yedeklenen kurumsal dosya sunucularını ve onaylanmış bulut depolama hizmetlerini kullanmalarını teşvik edin.
    • Fidye yazılımları ve kötü amaçlı yazılımlar, kolayca erişilebilen yedeklemeleri şifreleyebilir veya bozabilir, bu yüzden yedekleri çevrimdışı veya ağdan bağlantısı kesilmiş bir ortamda saklayın.
    • Yedeklemeler düzenli olarak yapılmalı ve çevrimiçi olarak saklanıyorsa, çok faktörlü kimlik doğrulama gerektirmelidir.
    • Yedeklerin kapsamlı olduğunu ve verilerin başarıyla geri yüklenebileceğini test edin. Şüpheli dosya değişiklikleri tespit edildiğinde, otomatik uyarı sistemleri kurun.
    • Yedekleri en az üç ay süreyle saklayın ve siber güvenlik olayı tespit edilene kadar hasarsız kopyalarının mevcut olduğundan emin olun.

İş Sürekliliği ve Felaket Kurtarma Planları:

  1. Güvenlik İyileştirme Stratejisi:

    • Çevrimdışı olarak saklanan bir elektronik kopya ile basılı ve yazılı olarak test edilen iş sürekliliği ve felaket kurtarma planları hazırlayın. Öncelikli olarak kurtarılması gereken sistemlere ve verilere odaklanın.

    Gerekçe:

    • Etkili iş sürekliliği ve felaket kurtarma planları, kuruluşların operasyonlarını sürdürmelerine ve kritik hizmetleri sağlamaya devam etmelerine yardımcı olur.

    Uygulama Kılavuzu:

    • Olay müdahale personelinin etkisiz hale gelmesini önlemek için kurtarma süreçlerini ve eşiklerini belgeleyin.

Sistem Kurtarma Yetenekleri:

  1. Güvenlik İyileştirme Stratejisi:

    • Anlık yedekleme, sanallaştırma, uzaktan işletim sistemi ve uygulama yükleme, kurumsal mobilite ve yerinde satıcı destek sözleşmeleri gibi sistem kurtarma yeteneklerini kullanın.

    Gerekçe:

    • Sistem kurtarma yetenekleri, kötü amaçlı yazılımlar ve kötü niyetli kişilerin neden olduğu sorunları azaltır, ayrıca donanım arızaları gibi diğer riskleri de minimize eder.

    Uygulama Kılavuzu:

    • Anlık yedeklerle sanallaştırma, dış kaynaklı bulut hizmetleri kullanımı ve hızlı ağ üzerinden işletim sistemi yükleme gibi sistem kurtarma çözümleri uygulayın.
    • Kurumsal mobilite çözümleri, ofis dışındaki bilgisayarlara erişim sağlar.
    • Sözleşmeli yerinde satıcı desteği ile ağ cihazlarını ve diğer donanımları onarın.

İçerideki Kötü Niyetli Kişileri Önlemeye Özel Güvenlik İyileştirme Stratejisi

Personel Yönetimi:

  1. Güvenlik İyileştirme Stratejisi:

    • Personel yönetimi, özellikle ayrıcalıklı erişime sahip kullanıcılar için devam eden inceleme, ayrılan kullanıcıların tüm hesaplarının (özellikle uzaktan erişim hesaplarının) derhal devre dışı bırakılması ve kullanıcıların güvenlik yükümlülükleri ve cezaları hakkında bilgilendirilmesini içerir.

    Gerekçe:

    • Etkili personel yönetimi, çalışanların kötü niyetli davranışlar geliştirmelerini veya bu davranışları fark edilmeden gerçekleştirmelerini önlemeye yardımcı olur. İçerideki kötü niyetli kişiler, çeşitli motivasyonlarla (para, zorlama, ideoloji, ego, heyecan) müşteri bilgilerini veya fikri mülkiyetleri çalabilir. Ayrıca, intikam veya hoşnutsuzluk nedeniyle verilerin yok edilmesi veya sistemlerin engellenmesi gibi zararlara neden olabilirler.

    Uygulama Kılavuzu:

    • İşe alım öncesi tarama ve devam eden inceleme süreçleri uygulayın. Bu süreçler, çalışanların önceki istihdam ve eğitimlerinin doğrulanmasını ve en azından ayrıcalıklı erişime sahip çalışanlar için sabıka geçmişi kontrolünü içermelidir.
    • Ayrılan çalışanların hesaplarını derhal devre dışı bırakın ve mobil bilgi işlem cihazlarını temizlemelerini veya iade etmelerini talep edin. Güvenlik yükümlülüklerini ve ihlaller için cezaları hatırlatın.
    • Ayrılan çalışanlardan, kimlik geçişleri, anahtarlar ve diğer kurumsal erişim öğelerini iade etmelerini isteyin.
    • Çalışanları, parolalarını paylaşmamaları veya başka bir şekilde ifşa etmemeleri konusunda eğitin. Bilgisayarlarından uzakta olduklarında ekranlarını kilitlemelerini sağlayın.
    • Kurumsal yöneticiler ve yönetim, adil ücret ve liyakata dayalı kariyer ilerleme fırsatları sunarak çalışanların kötü niyetli içeriden kişiler olma motivasyonlarını azaltabilir.
    • Çok gizli verilere erişimi olan kuruluşlar için, kalifiye personelin psikolojik değerlendirmesi yapılmalıdır. Bu değerlendirme, çalışanların karakter zayıflıklarını ve potansiyel manipülasyon alanlarını keşfetmeye yardımcı olabilir.
    • Çalışanları, diğer çalışanların olağandışı davranışlarını ve kendi önemli yaşam değişikliklerini (finansal, ilişki, sağlık sorunları) personel güvenlik ekibine bildirmeye teşvik edin.