Devleşen ağın risklerini de görün
Ağ yönetiminde temel güvenlik unsurları; farklı BT uygulamaları ve farklı cihazların kullanımı gibi unsurlarla çeşitlenirken, aynı paralelde gelişen risklere karşı da tetikte olmayı gerektiriyor.
Kurum içi sağlıklı iletişim, veri transferinde kesintisizlik adına ağ yönetimi önemli, ama son yıllarda gerek artan güvenlik riskleri gerekse kullanılan cihazların çeşitlenmesi ağ yönetiminin kapsamını da genişletti. Dataserv Bilgi Güvenliği Satış Müdürü Erdem Mengeş’in de dikkat çektiği gibi, ağ yönetiminde temel güvenlik unsurları; erişim kontrolü ve uç nokta yönetimi. Gözetilmesi gereken daha çok risk faktörü var, iş süreçlerinde kesintisizlik ve bilgi paylaşımı esas olunca, ağ yönetimine de farklı bir gözlükle bakmak şart oluyor. Temel güvenlik unsurlarının ana başlıklarını; ağ güvenliği, uygulama, sunucu güvenliği ve kullanıcı güvenliği olarak sıralamak mümkün. Trend Micro Akdeniz Ülkeleri Güvenlik Danışmanı İbrahim Eskiocak’a göre, bu farklı noktalarda, katmanlı güvenlik politikaları uygulamakla birlikte, birbirini tamamlayan ve bütünleşik olabilen akıllı çözümler kullanmak gerek. “Günümüzde kurumların yüzde 90’ınında aktif zararlı yazılım bulunuyor ve veri güvenliği ihlali oluşturuyor” risk bilgisini paylaşan Eskiocak’a göre, işin daha da kötü tarafı, bu kurumların yüzde 55’i bunun farkında bile değil. Çünkü, günümüzde karşı karşıya kaldığımız ve hızla sayısı artan hedefli-kalıcı saldırılara karşı korunmak için mevcut geleneksel güvenlik çözümleri yeterli değil. Ayrıca, ağ seviyesi katmanında yeni nesil bulut tabanlı tehdit zekâsı ile izleme, analiz ve engelleme yapabilen ve aynı zamanda üç nokta güvenliği, e-posta güvenliği ve internet güvenliği ile bütünleşen savunma sistemi olması gerekiyor. Bunun en temel sebebi, zarar verici ve hedefli saldırıların başlangıcı olan zararlı dosya, internet adresi, istenmeyen dosya ve şüpheli davranışlar gibi tüm tehditlerin bilgisini paylaşarak, ağ, kritik veri ve sistemlerin korunmasını sağlayabilmesi.
Kavi Ağ Teknolojileri Ürün Müdürü Osman Karan’ın da belirttiği gibi, ağ yönetimi, bilişim teknolojileri içerisinde temel kurallarını koruyan ve bir o kadar da teknolojiye hızlı uyum sağlayan bir konu. Yeni şirketlerin bulut bilişim ve mobil iletişim dünyasına geçiş yapmak istemeleri güvenlik tarafında öngöremeyecekleri ciddi sorunlar yaşamasına yol açabilir. Bu nedenle Karan’ın önerisi, şirketlerin ağ yönetimlerinde güvenlik açıklarının yaşanmaması için efektif ve performansa dayalı çözümler yaratması yönünde. Bütün bu olguları topladığımızda, ağ yönetimindeki güncel güvenlik unsurlarından birisi de ağ izleme (network monitoring) başlığı. TurkNet Erişim Teknolojileri Ürün Müdürü Murat Coşkunsoy da şu detayları ve riskleri paylaştı:
“Ağ yönetimini iç ve dış ağ olarak ikiye ayırmak, güvenlik politikaları ve dolayısı ile güvenlik ürünlerini bu kapsamda incelemek gerekir. Temel olarak güvenlik duvarı (firewall) iç-dış ağ ayrımının başladığı nokta. Daha sonra ağ trafiğinin içeriğini inceleyecek olan saldırı tespit ve önleme sistemleri (IPS/IDS), ağ seviyesi antivirüs ve antispam ürünleri, uygulama seviyesinde kontrol, veri sızması önleme sistemleri (DLP) ve URL filtreleme ürünleri konumlandırılmalı. Ayrıca bu sistemlerin log analizlerinin yapılması, akabinde proaktif önleme ve raporlama işlemlerinin yapılması gerekir. Konu güvenlik olduğunda bu önlemlerin alınması dahi yeterli olmayacak. Ortaya çıkabilecek veya yeni fark edilen saldırı yöntemlerine karşı üreticiler açıklarını en kısa sürede kapatmakta, bu gecikme sırasında şirket ağı saldırıya maruz kalabilmekte. Bu nedenle kullanıcıların bilinçlendirilmesi güvenlik hizmetlerinin tamamlayıcı bir unsuru.”
Güvenlik politikanız yoksa kurban olabilirsiniz
Citrix Türkiye Ağ Ürünleri Satış Yöneticisi Mehmet Tarımcı, ağ yönetimini bir ülkenin güvenlik yönetimine benzetti: İzin verilen kişilerin, sadece izin verilen yerlerde dolaşmasına izin verilmesi, yani aynı kurumsal ağda erişim hakları tanımlamak gibi. Bir diğer başlık da, Tarımcı’nın dikkat çektiği gibi, sizin sınırlarınız dahilinden, başka sınırlara çıkacak insanların kayıt altına alınması. Aynı kendi ağınızdan yapılan işlemlerin kaydını tutmanız gibi. Bütün bu unsurların beraber düşünülmesi gerektiğinin altını çizen Tarımcı hatırlatmadan geçmedi: “Üzerinde çok durulmayan bir nokta, sizin ağınızın zayıf halkası olabilir ve istemediğiniz sonuçlar doğurabilir. En çok üzerinden çalışılan nokta ise kendi sınırlarınıza yapılan ziyaretler. Bu ziyaretçileri her zaman kendilerine ayrılmış bölgede tutmak isteriz ve oradan bir açık bularak kendi ağımıza sızmalarını engellemeye çalışırız. Kendi ağınıza girdiğinizde ise evinize girmiş bir hırsız kadar özgür olacaklardır.”
Teknoser Güvenlik Çözümleri Danışmanı Serhat Yediel, ağ yönetiminde temel güvenlik unsurlarını şöyle sıraladı: Ağ kullanıcılarının yetkilendirilmesi ve denetlenmesi, veri aktarımı sırasında trafiğin şifrelenmesi, güvenlik politikalarının belirlenip uygulanması, anlık saldırı analizi ve engelleme ile sıfırıncı gün ataklarına karşı anlık koruma sağlama, tüm bu logların kayıt altında tutulup, korelasyon ile tüm risklerin analizi ve buna bağlı olarak iyileştirme çalışmaları. Artık tüm altyapılar kurulurken, daha tasarım aşamasında her yerden, her ortamdan, herkesin erişilebileceği şekilde oluşturuluyor. Yediel de, dolayısıyla ilk mimariyi oluştururken bu başlıkların göz önünde bulundurulması gerektiğinin altını çizdi. Bu denetimlerin yapılmaması, beraberinde bilinmeyen bir ortamda takip edilemeyen bir dizi güvenlik riskini beraberinde getirir. Yediel, acı gerçeği de söylemeden geçmedi: “En önemlisi de güvenlik politikanız yoksa bunların hiçbirinden haberdar olmayacaksınız demektir.”
Ağ yönetimini etkin tutabilmek için sadece taşıyıcı seviyede çalışan cihazların yönetimi değil, bu cihazlara bağlanan sistemlerinin de aynı ekosisteme dahil edilmeleri gerek. Symantec Türkiye Kıdemli Teknoloji Danışmanı Aydın Aslantaş, günümüzde sanal, fiziksel ve bulut dünyasında bulunan sistemlerin daha da melez hale gelmesi ile güvenliğin en önemli konu olduğuna dikkat çekti. Aktif sistemlerin ürettikleri verilerin, melez dünyada yer alan diğer sistemlerin ürettiği veriler ile ilişkilendirilerek daha hızlı aksiyon alınmasını sağlayan, akıllı bir karar destek sistemine sahip ve sıfırıncı gün tehditlerine karşın daha proaktif bir yaklaşım sunan sistemler günümüzün en önemli konusu. Üreticiler için dağıtık yapıların olması ve kritik altyapıların farklı parkurlarda bulunması nedeni ile yönetim süreçlerinin içindeki güvenlik gereksinimleri daha da artarken Aslantaş ekledi: “Ayrıca düzenlemelere uyum ve karbon salınımının azaltılmasına yönelik verimlilik çözümleri de bu konuda tetikleyici olacak.”
İşte bu nedenle, Tesan İletişim Genel Müdürü Rüştü Arseven’in de belirttiği gibi, siber güvenliği geniş bir bakış açısı ile komple ele almak gerekir. Sadece güvenlik duvarı ile koruma sağlayıp, e-posta veya internetten gelebilecek tehditlere karşı önlem almamak, büyük zafiyetler ve zararlara yol açabilir. Bundan dolayı yeni geliştirilen, yeni nesil güvenlik sistemleri ile (NGFW) ağ yapıları her türlü güncel tehditte karşı koruma altına alınmalı.
4S Ürün Teknolojileri Danışmanı Mehmet Özpolat, bu tablo karşısında ağ güvenliğinin bütünleşik yaklaşılması gereken bir konu olduğuna dikkat çekti. Sıralamadaki ana başlıklardan herhangi birinin uygulanmaması ya da eksik uygulanması da Özpolat’a göre, ileride telafi edilemez ciddi güvenlik problemleri oluşturur. Hatta eksik oluşturulmuş güvenlik katmanları zaman zaman kuruma gereğinden fazla özgüven oluşturur. Bu yanılsama da, güvenilir olduğu düşünülen ağı saldırılara ya da veri çalınmasına daha da açık hale getirir.
Riskinizi bilerek hareket edin
“Güvenlik ve kullanılabilirlik arasında her zaman bir ters ilişki olduğundan, güvenlik unsurları yeteri kadar ama kullanılabilirliği engellemeyecek kadar olmalı” diyen Bordotek Teknik Müdürü Ahmet Turan Gültekin’e göre, bankada işlem yaparken, banka personelinin sırf banka sistemlerindeki karmaşık güvenlik unsurlarını aşmasını bekleyemeyiz, yani çözümler hayatın akışına ters olmamalı. Bu nedenle bilgiler için sınıflandırma ve her sınıf için ayrı güvenlik tedbiri uygulamasına gidilmesi önemli. Gültekin bunu, genel, gizli, çok gizli gibi sınıflandırmalar yapılıp her bir sınıflandırma için sınıfın niteliklerine uygun güvenlik mekanizmasının oluşturulması şeklinde örnekledi. Bilginin kritiklik derecesi arttıkça, karmaşık güvenlik tedbirlerine olan kullanıcı direnci azalacağından, Gültekin’e göre, pratikte uygulamada bir sorun olmaz. “Sınıf bazlı güvenlik tedbirlerini ağda uygularken dikkat edilmesi gereken en önemli nokta sınıflar arası veri transferi” hatırlatmasını da yapan Gültekin, şunları söyledi:
“Sınıflar arası veri transfer politikaları çok net şekilde belirlenmeli veya sınıflar arası veri geçişlerine müsaade edilmemeli. Risklerinizin ne olduğunu bilip, göze aldığınız sürece büyük bir sorunla karşılaşmasınız. Bütünleşik yaklaşım ise tamamen risk algı ve tepkinizle ilgili.”
İşin bir de insan kaynağı tarafı var. Itway VAD Güvenlik Danışmanı ve Satış Mühendisi Serkan Canbaz’ın da dikkat çektiği gibi, yanlış konumlandırılmış bir ağ yöneticisi, ilgili ağ cihazının yapılandırılma şekli, aslında hepsi günün sonunda bir bütünü oluşturup bize geneli gösteren bir manzara sunuyor. Oysa günümüzde ağ ve güvenlik cihazlarına çok ciddi yatırımlar yapılıyor. Dolayısıyla yapılan yatırımların tam manasıyla yerini bulabilmesi için ilgili ekibin bu yatırımları destekleyecek nitelikte olması şart. “Konunun teknoloji ayağında ise ihtiyaçlar sürekli değişmeye devam ediyor. Artık sık sık yeni nesil güvenlik cihazlarından, yeni nesil güvenlik zafiyetlerinden bahsetmek durumunda kalıyoruz” diyen Canbaz, önemli bir gerekliliğe dikkat çekti. Buna göre, günümüzde kullandığımız ağ güvenlik yazılımlarının yeni nesil zafiyetleri anlamlandırabilecek yetenekte olması ve taşınan içeriğin ilgili tehditlerden ayıklanması için en alt katmandan en üst katmana kadar ayrıntılı analiz yapılabilmesi gerek. Çünkü günün sonunda mevcut yapıda neler olup bittiğini anlamlandıramadığımız sürece neyi nasıl koruyacağımızı da bilemiyoruz.
Ağ yönetiminde temel güvenlik unsurları; öncelikle güvenlik mimarisinin doğru kurulmasından geçiyor. Securist İş Geliştirme Koordinatörü Erhan Görmen’in de dikkat çektiği gibi, mimarinin doğru kurulması demek, gerekli cihazların alınıp ağa bağlanması demek değil. Bu cihazların yapılandırılması mimarinin temel taşını oluşturur. Bu adımdan sonraki en önemli konu ise, ağ bileşenlerinin ve servislerinin elektronik açıklıklarının belirlenmesi ve kapatılması. “Riski azaltmanın tek yolu, güvenlik açıkları yönetim sistemi kullanılması” önerisini yapan Görmen, ancak bundan sonra tam anlamıyla bir güvenlikten söz edilebileceği kanısında.
Prolink Sistem Mühendisi Sefer Kayar’ın belirttiği gibi, ağ yönetimindeki temel amaçlardan biri ağdaki trafiğin sağlıklı ve güvenli bir şekilde gerçekleşmesini sağlamak. Bu kapsamda ağa erişim noktalarında kontrolün sağlanması ve uçtan uca, trafiğin geçtiği noktalarda güvenlik servislerinin yapılandırılması şart. Kontrollü ve güvenli bir ağ, birbirinden ayrı erişim ve geçiş noktalarının bütünleşik olarak çalışması ile sağlanabilir. Ağa giriş yapan kullanıcıların kontrolü ve her bir kullanıcıya ayrı ayrı izinlerin verilmesi ve bu izinlerin trafiğin geçtiği her noktada aynı şekilde uygulanması birbiri ile bütünleşik sistemler ile sağlanabilir. Kayar’a göre, bütünleşik olmayan sistemlerin yönetimi ve kontrolü zor olduğu gibi, ayrıca güvenlik açığı potansiyeli de yüksektir.
BÜTÜNSEL YAKLAŞIM ŞART
Temel güvenlik unsurlarını dış güvenlik ve son yıllardaki bilgi sızdırma olayları ile iyice önem kazanan iç güvenlik şeklinde ikiye ayıran Eset Türkiye Teknik Müdürü Erkan Tuğral’a göre, bu iki kavramın nasıl çalıştırılacağını belirleyen kapsamlı bir güvenlik politikasını da bu unsurların ayrılmaz bir parçası olarak ekleyebiliriz. Bir güvenlik duvarı, IPS cihazı, antivirüs, uygulama güvenlik duvarı, DDoS önleme cihazı gibi unsurları konumlandırırken ve yapılandırırken nasıl dışarıdan içeriye gelen tehditler göz önünde bulunduruluyorsa; DLP, kişisel güvenlik duvarı, veri ve disk şifreleme uygulamaları gibi güvenlik araçlarının yapılandırmasında da iç tehdit unsurunu göz önüne almak ve bunlara uygun politikalar oluşturmak da şart.
GELİŞEN RİSKLERE KARŞI BÜTÜNLEŞİK KORUMA
Economic Intelligence Unit tarafından geçtiğimiz yıl yürütülen araştırmaya katılan dünya genelindeki çeşitli sektörlerden üst düzey yöneticiler, karşı karşıya oldukları BT risklerinin en ciddi endişeleri olduğunu belirttiler. IBM Türk Bilgi Yönetimi Satış Yöneticisi Zeynep Aydemir, bu risklerin veri hırsızlıklarından, bulut, mobil ve sosyal medyaya dek çeşitli ortam ve alanlarda yükselen teknolojilerin artan kullanımıyla ortaya çıkan tehditleri kapsadığını belirtti. Aydemir’e göre, güvenlik açıkları karşısında birden çok ve birbirinden bağımsız çözüme yönelmek ve bu çözümleri yönetmek hem zor hem masraflı. Bu konjonktürde kurumların, bütünleşik ve uçtan uça bir güvenlik çözümüne sahip olmaları artık bir tercihten çok, bir mecburiyet haline geldi.
KOBİ’LERİN FARKINDALIĞI ARTIRILMALI
İnfoNet İş Geliştirme ve Danışmanlık Birim Yöneticisi Gürsel Arıcı’ya göre, büyük ve orta büyüklükteki şirketlerin güvenlik kavramına bakışı, bu alanda ciddi bir farkındalık olduğunu gösteriyor. Kurumların değişen tehdit unsurlarına karşı yaklaşımları ve yapılan yatırımlar geçmiş senelere oranla ciddi oranda arttı. Ancak KOBİ ve küçük şirketlerin güvenlik farkındalığını artırabilmek için, Arıcı’ya göre, bilgi teknolojileri personelinin eğitimi, farkındalık sağlanması ve ikna edilmesi gerek. Arıcı bu gereklilikten yola çıkarak, “Maalesef ülkemizde güvenlik seviyesinin hala olması gereken düzeyin altında olduğunu söyleyebiliriz” yorumunu ekledi.
TEHDİT HER YERDEN GELEBİLİR
Ağ yönetiminde temel güvenlik unsurları dediğimizde, tüm ağdaki veri akışını OSI katmanlarına göre her seviyede koruyan bir yapıdan bahsetmek ve bu anlamda hem donanımsal hem yazılımsal çözümleri incelemek gerek. Treo Bilgi Teknolojileri Microsoft Çözümleri Takım Lideri Filiz Babacan’a göre, günümüzde ağ yönetiminde güvenlik dediğimizde hem LAN hem de WAN üzerinde, kablolu ve kablosuz teknolojilerin güvenliğini sağlamak temel hedefimiz olmalı. Bir şirketin sadece kablosuz ağının güvenliğine önem vermesi ya da sadece WAN üzerindeki güvenliğe dikkat etmesi yetersiz olacak ve Babacan’ın dikkat çektiği gibi, şirketin birçok güvenlik sorunu ve veri hırsızlığı ile karşı karşıya kalmasına neden olur.
