Kurumsal Siber Güvenliğin Sağlanması Adımları ve Bir Güvenlik Mimarisi Önerisi

0
1001
views
Kurumsal siber güvenlik süreçleri bir kurumun belirli bir süre içinde(düzenli ya da düzensiz) siber güvenlik anlamında yapacağı işler bütünüdür. Bu yazıda kurumsal siber güvenliğin sağlanması için uygulanabilecek adımlar belirtilerek, bir güvenlik mimarisi önerisi sunuculacaktır.

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

Kurumsal Siber Güvenliğin Sağlanması

Kurumsal siber güvenlik süreçleri bir kurumun belirli bir süre içinde (düzenli ya da düzensiz) siber güvenlik anlamında yapacağı işler bütünüdür. Siber güvenlik süreçleri olmadan kurumsal güvenliğin bir saldırgana karşı uzun süre dayanması muhtemel değildir. Bu nedenle; siber güvenlik süreçleri, başarılı bir kurumsal siber güvenliğe ulaşmak için kritik öneme sahiptir.

Bilgi güvenliği birimleri, tüm siber güvenlik süreçlerinden ve tüm bilgi sistemlerinin güvenliğinden tek başına sorumlu değildir. İlgili tüm ekiplerin (paydaşların) güvenlik kontrollerinin çalışır durumda olmalarını, uygun şekilde işlemelerini ve kurumsal güvenlik hedeflerini yerine getirmelerini sağlamada rol almaları gerekir.

Güvenlik süreçleri belirlenirken öncelikle uygulanacak kontroller belirlenmelidir. Uygulanacak kontroller de Siber Güvenlik Risk Yönetim Süreci sonucu kurumun yaptığı işler, bu işlerde kullandığı BT envanteri, bu envantere yönelik tehditler ve zaafiyetler değerlendirilerek tehditleri en aza indirmek için uygulanacak kontrollerin belirlenmesi ile ortaya çıkar.

Kontroller belirlendikten sonra, bunların uygulanması için kimin, neden, nerede, ne zaman, ne yapacağı ve bunun için ne kadar kaynak gerektiğini içeren bir iş listesi oluşturulur. Bu listenin tamamı aslında bize bir kurumun işletmesi gereken siber güvenlik süreçlerini verir.

Güvenlik süreçlerinin işlemlerinin önceliklerinin belirlenmesi işe etkisi, tehdit ve zaafiyetler değerlendirilerek yapılır. Riskli alanlar önceliklendirilerek planlama yapılır.

Güvenlik süreçleri işletilmesi belirtilen kontrollerin uygulanmasından ibarettir. Kontrollerden bazıları kurum içinde zaafiyet yönetimi gibi kapsamlı süreçlerin oluşturulması şeklinde olabilirken bazıları aylık bir gözden geçirmeden ibaret olabilir. Kontrollerin uygulama sıklığı; otomatik, istenildiğinde, sürekli, günlük, aylık, yıllık, sadece 1 defa olabilir.

Siber güvenlik süreçlerinin planlanması ve gerekli operasyonların ortaya çıkarılması için sırasıyla aşağıdaki 5 adım uygulanır.

  • Sistem sınıflandırması ve gruplandırması
  • Gruplandırılan sistem ile ilgili kontrollerin seçilmesi (Scoping)
  • Kontrollerin kurum içinde uygulanabilir hale getirilmesi (Tailoring)
  • Kontrollerin uygulanması için gerekli görevlerin belirlenmesi ve atanması
  • Kontrollerin uygulamasının kontrolü.

 

A) Sistem/Varlık Gruplandırması

Bilişim sistemlerinin kurumların yaptığı işlere daha az dahil olduğu dönemlerde bir kurumda bir ya da birkaç sunucu ve kullanıcı bilgisayarı varken, kurumsal güvenliği sağlamak o birkaç bilgisayarın güvenliğini sağlamaktan ibaretti. Siber güvenlik operasyonu da bahsedilen birkaç bilgisayarı ve üzerindeki uygulamaları korumak adına uygulanması gereken birkaç kontrolden oluşuyordu.

Günümüzde ise, siber güvenlik, binlerce istemci, binlerce sunucu, birçok çeşitli cihazın güvenliği kurumların dış dünyaya bağlantısı inanılmaz bir şekilde artmış durumdayken sağlanmalıdır. 10.000 sunucuya sahip bir kurumda tüm sunucuları tek tek alarak bunlara ilişkin tehdit ve zaafiyet değerlendirmesi yapmak, sonrasında tehditleri önleyecek kontrolleri oluşturmak operasyonel olarak imkansız bir kaynak gerektirir. Bu sebeple kontrollerin; aynı tehditten etkilenen sunucuların, istemcilerin, iletişim altyapısının ve diğer envanter bileşenlerinin birlikte olduğu soyutlanmış bir üst varlık üzerinde uygulanması gerekir.

 

A.1) Genel Kontroller

Bazı kontroller tüm ya da bir çok BT envanteri üzerinde koruma sağlarken, bazıları sisteme özel koruma sağlamaktadır. Tüm ya da birçok BT envanteri üzerinde koruma sağlayan kontrolleri “Genel Kontroller” olarak isimlendirebiliriz. Bu kontrollere örnek olarak Sınır güvenliği kontrolleri, Fiziksel güvenlik kontrolleri, İK güvenlik kontrolleri, Güvenlik Farkındalığı kontrolleri,… verebiliriz.

Siber Güvenlik kontrolleri uygulanırken öncelikle genel kontrollerin belirlenmesi gerekir. Genel kontroller belirlendikten sonra bunların uygulanması sağlanır. Bir varlığın güvenliği için uygulanması gereken kontroller içinde genel kontroller de yer alabilir. Burada genel kontrolün çalıştığını garanti etmek gerekir.

Genel kontrolün uygulanmasından, genel kontrol hizmetini veren birim sorumludur. Varlık sahibi, genel kontrol ile ilgili etkinlik takibi yapmaz, sadece varlığın genel ya da özel kontrole sahip olduğunu garanti eder.

 

A.2) Siber Güvenlik Çerçeveleri ve Uygulamaları

Hiçbir siber güvenlik süreci olmayan bir kurumda siber güvenliğinin başına geldiniz ne yapmalısınız? Kafanızda;

  • Oluşturulması gereken süreçler
  • koyulması gereken kurallar
  • kullanılması gereken araçlar
  • işe alınması gereken nitelikli personeller

… var. Bunların hepsinin yazılı olduğu bir doküman olsa keşke. Böylece bu dokümanı referans alarak, hiçbir konu atlamadan her bir süreci tasarlayabilir, kuralları koyabilir, araçları edinebilir, personelin niteliklerini belirleyip işe başlatabilirdik. Bu noktada karşımıza bir çok uluslararası standart çıkıyor. ISO27001, NIST CSF, NIST 800-53, CIS 20, NICE… bunlardan birkaçıdır. Bu tür standartların kullanımı şirket içinde oluşturulacak genel kontrollerin tasarlanması açısından büyük kolaylıklar sağlar. Örneğin;

  • Kurum içinde BT varlık envanterinin oluşturulması belirtiliyor.
  • Donanım, uygulama ve veri envanterlerinin ilişkilendirilmesi vs süreçleri net bir şekilde açıklanıyor
  • Detaylarda hangi kontrollerin yapılacağını da belirtiyor.

Standartta belirtilen süreci oluşturup kontrolleri işletiyorsunuz, işlerliği kontrol ediyorsunuz her şey tıkır tıkır işliyor. Ancak standarttaki kontrolün varlıklar üzerinde işletilmesi gerektiğinde işler karmaşıklaşıyor. Şöyle ki;

  • Hangi kontrol hangi varlık üzerinde işletilecek,
  • Bir sunucuda uyguladığım kontrolü sunucunun parçası olduğu sistemde de uygulayacak mıyız,
  • Karmaşık sistemlerde kontroller nasıl uygulanacak,
  • Binlerce sunucu üzerinde bu kontroller nasıl işletilecek gibi çözülmesi gereken sorunlar ortaya çıkıyor.

… Bu sorunların çözümü standartlarda net bir şekilde anlatılmıyor.

Bu açıdan baktığınızda da karşımıza kocaman bir kontrol yığını çıkıyor. Ayrıca standartlar bir çok sistem için ortak olduğu için de çok net olmayan ifadelerle alınması gereken önlemleri genel bir üslupla anlatıyor.

 

A.3) Öneri Güvenlik Mimarisi

Burada önereceğimiz güvenlik mimarisi uygulaması güvenlik mimarisinin fonksiyon bazında kategorilere ayrılması yerine alt sistem bazında şablon güvenlik mimarileri şeklinde uygulanmasını önermektedir.

Genel kontrollerin korunan varlıkla doğrudan ilişkilendirilmesi gerekmediğinden ve sadece bir kere tasarım gerektirdiğinden genel kontrollerle ilgili süreçler güvenlik mimarisine doğrudan eklenebilir.

İş uygulamaları bir BT altyapısı üzerinde çalışır bu BT altyapısı da daha alt sistemlere ayrılır. Alt sistemlerin güvenlik mimarisi ve bu sistemler üzerinde uygulanacak kontrol kümeleri belirlenerek tüm BT için güvenlik mimarisi oluşturulmuş olur. Bu güvenlik Mimarisi, Open Security Architecture [i] güvenlik mimarisinden faydalanılarak önerilmiştir.

 

İlgili mimari de yazılım ile alakalı “Design Patterns” (Tasarım Örüntüleri) konusundan esinlendiğini belirtmiştir. Yazılımda problemlerin bir çoğunun benzer olduğu, çözüm için de belli bir tasarım örüntüsü kullanılabileceğinden yola çıkılmıştır. Güvenlikte de öyle değil mi?

 

A.4) Bileşenler ve Sistemlerin Güvenliği

BT sistemleri bir iş fonksiyonunu yerine getirmek için var. Bir sistem de birbiri ile etkileşimli birçok sistemden meydana geliyor. Donanım detayına inmezsek, bir sistemin en alt ayrımına kadar indiğimizde de karşımızda bir uygulama, sunucu ve ağ bağlantısı çıkıyor. Sistemin bileşenleri olan sunucuların, uygulamaların ve ağların güvenliği sağlandığında sistemin güvenliği de – genel itibari ile – sağlanmış olacaktır.

BT sistemleri ve temel bileşenleri genelde birbirinin aynısıdır. Bir temel bileşenin güvenliği için sisteme ilişkin tehditleri, bu tehditleri en aza indirecek gerekli kontrolleri ve bu kontrollerin kim tarafından, ne zaman, hangi araçlarla, nasıl uygulanacağını belirlediğim zaman bu bileşen için şablon güvenlik mimarisini oluşturmuş oluyorum. Artık bu bileşeni içeren tüm sistemlerde bu şablon güvenlik mimarisini kullanabilirim. Bir sistemi oluşturan tüm bileşenler için şablon güvenlik mimarisini oluşturduğumda da sistemin şablon güvenlik mimarisini oluşturmuş olurum. Benzer sistemler için kullanabilirim. Şablon güvenlik mimarisinin İhtiyaca göre özelleştirilebilen, tekrar kullanılabilen, kontrol çakışmasının önüne geçen şekilde tasarlanması önemlidir.

Yukarıda bahsedilen genel kontroller için de birden fazla süreçte kullanılacaksa şablon mimariler belirlenebilir. Örneğin; Güvenli Yazılım Geliştirme Mimarisi, web yazılımı ya da gömülü yazılım için benzer kontroller işletilebilir.

 

A.5) Şablon Güvenlik Mimarisi

Ortak iş etkisi ve tehditlerin etrafında gruplanmış varlık öğelerini, aktörlerini ve kontrolleri ifade eder. Varlıklar ve kontroller tek tek ele alınmak yerine; iş etkisi ve tehditlere göre daha üst seviyede soyutlanarak gruplanır. Şablon güvenlik mimarileri birbirini içerecek şekilde oluşturulabilir. Tüm şablon güvenlik mimarileri de birleşerek kurumsal güvenlik mimarisini oluşturur.

Şablon Güvenlik Mimarisi, bilgisayarlar ve bunlarla ilişkili ağlar dahil olmak üzere bir BT sistemleri kapsar. Bu Sistemler benzer risk profillerine sahiptir ve bir güvenlik olayı sonrası oluşan ortak bir iş etkisini paylaşırlar. Bir BT organizasyonu, igili iş etkisinin incelenmesinin yanısıra, gizlilik, bütünlük veya erişilebilirlik açısından bir istismar veya kesintinin güvenlik etkisini analiz ederek bir şablon güvenlik mimarisi tanımlar.

Şablon güvenlik mimarisi sayesinde güvenliği yönetmek için mantıksal şablonlar oluşturularak, tekrar kullanılabilen araçlar oluşturulur.

Şablon Güvenlik Mimarisini belirlemek için;

İş etki -> Gruplandırılmış varlıklar -> Güvenlik açıkları / tehditler -> Şablon Güvenlik Mimarisi

adımları izlenir.

Kurum, şablon güvenlik mimarilerini seçerken “en uygun” sayıda şablon güvenlik mimarisini belirlemek önemlidir. Az sayıda şablon güvenlik mimarisine sahip olmak, kurumun güvenlik politikasını ve mühendisliğini basitleştirirken; çok sayıda şablon güvenlik mimarisine sahip olmak, güvenlik kontrollerinin kurumun tümünde uygulanması konusunda daha etkin kontrol sağlar. Bu faktörlerin dengelenmesi ve şablon güvenlik mimarilerinin seçilmesi sırasında aşağıdaki durumlar göz önünde bulundurulur:

  • Sistemlerin gizlilik, bütünlük ve erişilebilirlik kontrolleri ile ilgili şablon güvenlik mimarilerinin iyi bir şekilde eşleştirilmesi gerekir.
  • Şablon güvenlik mimarilerinin güvenlik seviyesi, şablon güvenlik mimarisindeki bir alt sistem ile tutarlı olmalıdır.
  • Güvenlik kontrolleri, Şablon Güvenlik Mimarisi içindeki tüm sistemlere eşit oranda uygulanır. Farklı kontrollerin uygulanması gereken sistemler varsa bunlar için yeni bir şablon güvenlik mimarisi oluşturulmalıdır.
  • Güvenlik kontrollerini şablon güvenlik mimarisindeki tüm sistemler için uygulamak pratik ve kabul edilebilir olmalıdır.
  • Güvenlik kontrollerinin operasyonel yükü, şablon güvenlik mimarisindeki tüm bilgisayarlar için kabul edilebilir olmalıdır.
  • Daha fazla esneklik ve daha az kontrol ihtiyacı varsa veya daha düşük maliyetli operasyon için daha düşük güvenlik seviyesi ihtiyacı varsa, aynı soyutlanan varlık grubu için yeni bir Şablon Güvenlik Mimarisi oluşturulabilir.

 

Örnek Şablon Güvenlik Mimarileri aşağıdaki gibidir.

  • İstemci Güvenlik Mimarisi
  • Sunucu Güvenlik Mimarisi
  • Ağ İletişimi Güvenlik Mimarisi
  • Ortak Klasör Güvenlik Mimarisi
  • Veritabanı Güvenlik Mimarisi
  • Tedarikçi Güvenlik Mimarisi
  • 3.Parti İstemci Güvenlik Mimarisi
  • Uygulama Geliştirme Güvenlik Mimarisi
  • Web Servis Güvenlik Mimarisi
    • Sunucu Güvenlik Mimarisi
    • Ağ İletişimi Güvenlik Mimarisi
    • Uygulama Geliştirme Güvenlik Mimarisi
  • Uzak Bağlantı Güvenlik Mimarisi
    • 3.Parti İstemci Güvenlik Mimarisi
    • Ağ İletişimi Güvenlik Mimarisi
    • İstemci Güvenlik Mimarisi
  • Web Uygulama Güvenlik Mimarisi
    • Sunucu Güvenlik Mimarisi
    • Ağ İletişimi Güvenlik Mimarisi
    • Uygulama Geliştirme Güvenlik Mimarisi
  • İnternet Bankacılığı Güvenlik Mimarisi
    • Web Uygulama Güvenlik Mimarisi
    • Mobil Uygulama Güvenlik Mimarisi

Yukarıdaki örnekleri incelersek, şirket portali bir web uygulamasıdır. Web uygulaması; güvenli sunucular üzerinde çalışmalıdır, güvenli bir ağ üzerinden iletişim kurmalıdır, web uygulamasını güvenli kodlama yaparak geliştirilmelidir. Portalin güvenliğini sağlamak için sunucu, ağ ve uygulama geliştirme süreçlerinin güvenliği sağlanmalıdır. Aynı şekilde internet bankacılığının güvenliği de alt güvenlik şablonları ile sağlanabilir.

Bu şekilde oluşturulacak şablonlar ulusal ve uluslararası siber güvenlik uzmanlarının katkısıyla iyileştirilerek daha etkin kullanımı sağlanabilir.

 

B) Güvenlik Kontrollerini Seçimi (Scoping)

Şablon Güvenlik Mimarilerini belirledikten sonra iş etkisiyle ilgili varlıklar, tehditler ve saldırı yöntemleri ele alınarak Şablon Güvenlik Mimarisi ihtiyaçlarına göre güvenlik kontrolleri seçilir. Siber Saldırı Yaşam Döngüsü‘ndeki her adım tek tek ele alınarak döngüdeki adımın gerçekleşmesinin önüne geçmek için önleyici, tespit edici ve telafi edici kontroller uygulanır. [ii]

 

Kontroller belirlenirken;

  • Olası saldırı yaşam döngüsü adımı senaryoları belirlenir.
  • Saldırganın senaryo adımını gerçekleştirmesini engelleyecek kontroller belirlenir.
  • İlgili kontrolü kimin, ne zaman, nasıl uygulayacağı belirlenir.
  • Kontrol şablon güvenlik mimarisine eklenir.

 

C) Kontrollerin Kurum İçinde Uygulanabilir Hale Getirilmesi (Tailoring)

C.1) Kontrollerin Özelleştirilmesi

Kontrollerin kurumun elindeki imkanlara, maruz kalabileceği risklere ve risk iştahına göre uygulanması gerekir. Örneğin kurum dışına atılan epostalar için içeriğin kontrol edilmesi elle de yapılabilir; ürün de tedarik edilerek otomatik de yapılabilir. Buradaki uygulama kurumdan kuruma değişir. E-posta sayısı, aktarılacak kaynak vs. değiştiğinden kontroller de özelleştirilmelidir. Diğer bir örnek de güvenli bir kampüs içinde çalışan firmaların fiziksel kontrolleri daha gevşek olabilir.

Bilgi güvenliği ekipleri, kurumun mevcut yeteneklerine göre yönetim ve sistem sahibi ve iş birimi ekiplerle uygulanabilir kontrolleri belirlemeli ve gerekirse seçilen kontrolleri kuruma uygun hale getirerek uygulanmalarını sağlamalıdır.

Bazı kontrollerin uygulanması için kurumun bazı yetenekleri edinmesi gerekebilir.

 

C.2) Kontroller ve Yetenekler

Kurumlar seçilen kontrolleri uygulamak için bir takım yeteneklere ihtiyaç duyarlar.

Kurumun imkanlarına ve sahip olunan/olunabilecek teknolojiye ve kaynağa göre kontrol seçimi yapılır.

Kontroller ve ilgili yetenekler eşleştirilerek bir kontrolün hangi yeteneklerle sağlanabileceği ortaya çıkarılır.

Mevcut yeteneklerin kullanılması için gerekli süreç ve prosedürler oluşturur. Sahip olunmayan ama kontrolün ihtiyaç duyduğu yetenekler için satın alma, iç tedarik vb yollarla yeteneğin kazanılması sağlanır.

Yetenekler teknolojiyle ya da manuel olarak sağlanabilir.

Teknoloji ile sağlanan yetenekler için bir teknoloji seçimi yapılması ve yetenekler ile ilişkilendirilmesi gerekir.

 

D) Kontrollerin Uygulanması için Gerekli Görevlerin Belirlenmesi ve Atanması

Kontroller seçilip, kuruma uygun hale getirilmesinden sonra uygulama aşamasına geçilmelidir. Kontrolleri uygulamak sistemden sorumlu ekibin görevidir. Bilgi güvenliği ekibinin görevi; kontrollerin uygulanması için yol göstermek, uygulanıp uygulanmadığını belirlemek ve bunu üst yönetime bildirmektir.

Örneğin;

  • Yama sürecinde bilgi güvenliği ekibi,  ilgili sistem ile ilgili açıklığın mevcut olduğunu sistemi yöneten ekiplere bildirir. Yamayı geçmek ilgili sistemi yöneten ekibin sorumluluğundadır.
  • Sistemler üzerinde gereksiz kullanıcı bulunmaması gerektiğini bilgi güvenliği ekibi politikalarda belirtir. Yönettiği sistemdeki kullanıcılarda ilgili sistemi yöneten ekip sorumludur. Gereksiz yetkileri almalıdır.

Kontrollerin seçiminden sonra neler yapılacağı ne zaman yapılacağı ekiplere bildirilir.

 

E) Kontrollerin Uygulamasının Kontrolü

Kontrolün kontrolü mü olurmuş demeyelim. Kontrollerin uygulanmaya devam ettiği rutin şekilde öncelikle bilgi güvenliği ekipleri; iç denetim ve dış denetim ekiplerince kontrol edilmelidir.

Kontrolsüz kontrol kontrol değildir.!

 

 

Kaynaklar:

[i] http://www.opensecurityarchitecture.org/cms/
[ii] https://www.siberportal.org/blue-team/securing-information/bilgi-guvenligi-bakisi-ile-guvenlik-kontrollerinin-siniflandirilmasi/
https://www.siberportal.org/blue-team/governance/bilgi-guvenligi-bakis-acisi-ile-kurumsal-guvenlik-mimarisi/

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.