Şirketler ağ güvenliğini sağlamak için neler yapmalı?

Sürekli değişen güvenlik tehditleri, müşterileri, bir güvenlik olayı veya ihlali açısından riske atıyor. Artık sadece çalışanların bilgisayarlarını koruma dönemi sona ermiş durumda, ağa bağlanan tüm cihazları -işistasyonları, sunucular, sanal makineler ve tabii ki çalışanların mobil cihazlarını- korumak şart.

Sınırlı bütçeler, kaynaklar ve uzmanlık, bu tehditleri takip etmeyi gittikçe daha da zorlaştırmaktadır. Araştırmalara göre, şirketlerin yüzde 52’si yakın zamanda “Kendi Cihazını Getir” uygulamasının daha da yaygınlaşacağı kanısında. Buna karşılık yarısından çoğunun, bu uygulamanın neden olacağı riskler konusunda yeterli bilgisi bile bulunmuyor.
Arbor Networks Güneydoğu Avrupa Bölge Müdürü Ivan Straneiro, şirketlerin ağ güvenliğini sağlamaları için şu öneride bulundu: “Öncelikle kendi ağlarının içerisindeki görünürlüğü ve ağ analizini yapabilmeleri gerekmektedir. Buna ek olarak servis sağlayıcılarından alacakları koruma ve engelleme hizmetleriyle birleştiğinde kapsamlı bir ağ koruması sağlanılabilir.”
“Tüm cihazları korumak şart”
Kaspersky Lab Türkiye Genel Müdürü Sertan Selçuk, “Şirketler klasik siber saldırılar dışındaki tehditlere de yeterince hazırlıklı değil. Mesela çalışanların iş ve özel yaşamında aynı cihazı kullanmaları (BYOD) ve kurumsal verilere özel cihazlarıyla da erişim sağlamaları, artık daha merkezi bir korumaya ihtiyaç doğuruyor” dedi ve şunları ekledi: “IDC 2012-2016 Uçtan Uça Güvenlik Tahminleri’ne göre, şirketler ağ güvenliklerini garanti altına alabilmek için çoklu güvenlik araçlarına ve merkezi güvenlik politikalarına önümüzdeki dönemde daha çok ihtiyaç duyacak. Artık sadece çalışanların bilgisayarlarını koruma dönemi sona ermiş durumda, aynı zamanda işistasyonları, sunucular, sanal makineler ve tabii ki çalışanların mobil cihazlarını da korumak şart. Kişisel cihazların işle ilgili kullanımlarının kontrol edilebilmesi adına, bütünleşik bir kurumsal güvenlik politikasının uygulanması ve uygun güvenlik çözümlerinin kullanılması gerekiyor.”
“Şirketler de artık en az karşısındaki saldırganlar kadar akıllı olmalı. Bunun için de riskleri önceden tahmin edip herhangi bir saldırı yaşamadan tüm önlemleri almak zorunda” diyen Labris Genel Müdür Yardımcısı Baran Erdoğan, “Eskiye göre en büyük fark ise artık teknoloji ile gelen ürünlerin de bu konuda yeterli olmayıp insana karşı insan zekâsının mutlaka oyunun içinde tutulmasının gerekliliği. Yine DOS ve DDoS saldırılarından örnek verecek olursak DDoS alanında sadece bir ürün kullanmanın yanında ki bu ürün çok gelişmiş bir teknolojiye sahip olmalıdır, o ürünü en etkin şekilde kullanacak aklı ve bilgi birikimini de her zaman, özellikle saldırı anında, bünyede bulundurmak gerekiyor.”
Microsoft Ortadoğu ve Afrika Kamu – Özel İşbirliği Projeleri Direktörü Buğra Karabey, “Son dönem yaygınlaşan Bring Your Own Device – BYOD (Kendi cihazını getir) eğilimiyle birlikte, şirketlerin kendi ağları ve BT bileşenleri üzerindeki kontrolleri giderek zorlaşmaya başladı. BT yöneticilerinin farklı platformları, farklı işletim sistemlerini bir arada kontrol etmesi ve bilgi güvenliği bağlamında yönetmesi ciddi ölçüde güçleşiyor” dedi.
Karabey, Windows XP kullanıcılarını da uyarıda bulundu: “Yine yazılım güncelleme konusunda kurumlarda zafiyetler gözlemlenmekte. Aylar önce yaması çıkmış açıkların kurumlarda bilgi güvenliği olaylarına sebep verdiğini üzülerek gözlemlemekteyiz. Buna paralel olarak da hala birçok kurumda kullanılan Windows XP sistemi hakkında bir uyarı yapmak yerinde olacak. Malum bu işletim sistemi ile ilgili destek önümüzdeki sene Mart ayı sonunda bitecek. Bu sistemi kullanan kurum ve kuruluşların hızlı bir şekilde güncel Microsoft işletim sistemlerine geçmeleri, hem operasyonlarında kesinti olmadan bu yükseltmenin gerçekleşmesini hem de güvenlik bağlamında sağlam bir noktada olmalarını mümkün kılacak.”
Prolink Satış Öncesi Sistem Mühendisi Aydın Can Fındıkçı, temelde siber saldırılara karşı güvenliği sağlayabilmek için kurumların ve şirketlerin üç önemli noktayı göz önünde bulundurması gerektiğini belirtti: “Öncelikli olarak yönetimsel anlamda siber güvenlik önlemlerini içeren prensip ve politikalar benimsenmesi, bu politikaların doğru ve tutarlı bir şekilde uygulanması sağlanmalıdır.

Siber atakların yaşam döngüleri incelenerek doğru yatırımlarla çok katmanlı bir güvenlik altyapısı oluşturulmalıdır. Son olarak kullanıcıların eğitimlerle bilinçlendirilerek risk faktörü olmaları olasılığının minimuma indirilmesi ve ayrıca BT güvenlik sistemlerinin yönetilmesinden sorumlu olan personelin teknik eğitimlerle yeteneklerinin üst seviyede tutulması sağlanmalıdır. Bu temel üç prensip için, doğru uygulama ve süreklilik önem arz etmektedir. Fiziksel sorunlar, donanımsal veya yazılımsal hatalar ile insan faktörü göz önünde bulundurulduğunda yüzde 100 güvenlik sağlamak mümkün görünmemektedir. Ancak riskleri en aza indirmek ve güvenli sayılabilecek bir seviyede tutmak için yapılması gereken, doğru tehdit analizleriyle doğru yatırımlar yapmaktır.”
Öncelikle olası tehditler tespit edilmeli
“Güvenlik olaylarının kök nedeni bilgisizliktir. Öncelikle bilgi seviyesi artırılmalıdır” diyen Securist Genel Müdürü Erhan Görmen, bunun sonucunda kurumlarda hem iş yapışta dikkatin artacağını, hem de teknolojik açıklıklar kapatılabilir hale geleceğini belirtti ve ekledi: “Tabii açıklıkları kapatmak için öncelikle ne olduklarını belirlemek gerekmektedir. Bu da zor bir iş olarak kabul edildiğinden kurum yöneticileri deve kuşu misali kafalarını kuma gömebiliyorlar. Ancak diğer taraftan deneyim elde etmek, bir sistemi iyileştirmek, bir fikir geliştirmek, kısacası para kazanmak da kolay değildir. O zaman zorluklardan kaçmanın anlamı yok demektir. Zaten işe girişildiğinde mutlaka bu işi kolaylaştırıcı bir araç olduğu görülecektir. Sözgelimi teknik denetimleri bir araç ile sık bir periyoda oturttuğunuz takdirde yanlış yapılandırma, çalışmayan yazılımlar, çalışmayan insanlar gibi birçok sorunu görmeye ve çözmek için adım atmaya başlamışsınız demektir.”
Symantec Bölge Satış Yöneticisi Aydın Aslantaş ise, “Saldırı ve sızma yerleri neresi olursa olsun, bu süreçteki en kritik adım, şirketlerin bilişim stratejilerinin bilgi odaklı şekillendirilmesi olacaktır. İlgili stratejiler paralelinde ilk adım olarak ise bilginin sınıflandırılarak, çalışanların hangi bilgilere nasıl ulaşabilecekleri, bu bilgileri kimlerle ve hangi yöntemlerle paylaşabileceklerinin belirlenmesi ile beraber denetlenmesi gerekiyor. Ağ geçinden, uç noktalara ve hatta veri merkezilerine kadar etkili bir koruma sağlamanın ilk adımı bu” dedi.
Yöntemleri güncel tutmak önemli
Teknoser Network ve Güvenlik Teknolojileri Danışmanı Engin Şeref, ağ güvenliğini sağlamak için yöntemlere değindi: “Kurumların yerel ağları ile dış ağlar arası güvenli erişimleri sağlayabilmeleri için güvenlik duvarları kullanmaları gerekmektedir. Ancak güvenlik duvarları teknolojisi genel olarak port/servis tabanlı olması sebebiyle günümüzde yeterli güvenlik seviyesini sağlayamıyor. Erişimine izin verdiğimiz bağlantı noktası ve servislerden akan trafiğin meşru olup olmadığını kontrol edebilmek için de bu sefer devreye IPS dediğimiz saldırı önleme sistemleri giriyor. Ancak IPS’ler genel olarak tak-çalıştır cihazlar değil. Her gün kontrol etmeniz, gelişen ve evrimleşen yeni atak tiplerine karşı ayarlarını güncel tutmanız gereken bir sistem.”
Şeref şunları ekledi: “Uzak ofislerin, iş ortaklarının ve mobil çalışan kullanıcıların şirket kaynaklarına şifrelenmiş bir kaynaktan güvenli olarak erişimlerinin sağlanabilmesi amaçlı olarak da VPN kullanılması gerekiyor. Bu sayede kuruma ait bilgilerin internet üzerinden kontrolsüz olarak erişilmesinin önüne geçmiş oluyoruz. Kurum kullanıcılarının, internet sitelerine ve bu sitelerdeki uygulamalara kurumun güvenliğini tehlikeye düşürmeyecek ve kurum politikalarına uygun şekilde erişimlerinin sağlanması amacıyla da URL filtreleme ve uygulama kontrol sistemlerinin kullanılması ihtiyacı bulunuyor.”
Trend Micro Akdeniz Bölgesi Kıdemli Satış Mühendisi ve Güvenlik Danışmanı Murat Songür, ağ güvenliğinin önemine şu sözlerle dikkat çekti: “Ağ güvenliği, kurumsal yapılar için siber güvenlik konusunda atılacak adımlardan bir tanesi; belki de en temeli. Ağ güvenliğinin sağlanması ile ilgili yıllardır geliştirilmiş güvenlik duvarı, saldırı tespit ve önleme sistemi gibi pek çok bileşen mevcut. Yıllar içerisinde bu teknolojiler de çok ileri noktalara geldiler. Kurumlar muhakkak bu konuda güncel donanım ve yazılım yatırımı yapmalı ve bu yatırımını uzman kaynaklardan aldıkları danışmanlık hizmetleri ile perçinlemeli. Sonuçta tüm güvenlik yapıları gibi, ağ güvenliği de “tak, çalıştır, bırak” mantığı ile işleyen mekanizmalar değil. Ağ güvenliği ile ilgili politikaların aktif bir şekilde takip edilmesi ve güncellenmesi gerekiyor. Ancak asıl dikkat edilmesi gereken nokta, ağ güvenliği kavramının siber güvenlik bütününde sadece giriş seviyesi bir çözüm bileşeni olması. Tüm kurumların “bilgi güvenliği” kavramını hedeflemeleri gerekiyor.”
Önce risk değerlendirmesi yapılmalı
Websense Satış Mühendisi CEMEA Müdürü Ferdinando Mancini ise risk değerlendirilmesinin gerekliliğinden söz etti: “Öncelikle, şirketteki gerçek risk boşluğunun ne olduğunu anlamak için risk değerlendirmesi yapılması gerekiyor. Websense, güvenlik durumuyla ilgili detaylı raporlar yaratmak için trafiği ve veri iletişimini görüntülemede farklı yollar kullanıyor. Saldırılar, koruma katmanlarının en zayıf halkasının peşine düşüyor. Bu sebeple güvenlik altyapısının zayıf yönlerini tespit etmek büyük önem taşıyor.
Bu aşamanın ardından şirketler, verilerini korumak için gerekli adımı atmaya başlayabilir. Ancak burada dikkat edilmesi gereken nokta şu; farklı kanallar için en iyi güvenlik önlemleri alınırken, bu çözümlerin birbirleriyle konuşmadığını unutmamalı. Bu kısım da saldırganlar için tüm sisteme sızmayı sağlayacak zayıf nokta olabiliyor. Güvenlik önlemleri alınırken daha geniş kapsamlı bütünleşik ekosistemler göz önüne alınarak, gelişmiş tehditlere karşı en üst düzeyde koruma sağlayan web güvenliği, e-posta güvenliği ve veri güvenliği çözümlerinin bir arada çalışabilmesine dikkat edilmeli.”

Şirket ağına bağlanan tüm cihazlar koruma altında olmalı

ZyXEL Kurumsal Çözümler Ürün Ve İş Geliştirme Müdürü Ömer Faruk  Ersünsal da ağ güvenliği için önerilerde bulundu: “Ziyaret edilen sitelerin güvenliği ile ilgili soru işaretleri varsa, “content scanning” adı verilen içerik tarama yöntemi kullanılabilir. URL filtreleme sistemi, sitenin adını ve kullandığı veri tabanını baz alarak bir sitenin güvenli olup olmadığına karar verir. İçerik tarama sistemi ise içeriği kontrol ederek, internet sitelerinin ağ güvenliği için tehdit oluşturup oluşturmadığına karar vermektedir. Ayrıca çalışanların akıllı telefonlarını kullanarak şirket ağlarına bağlanmaları, tedbir alınmadığında, bilgi güvenliğini tehdit etmektedir. Şirketler UTM Firewall kullanarak yerel ağlarını ve kablosuz iletişim trafiğini de koruma altına almalıdırlar. Mobil araçlar, hassas iletişimin ve bilginin istemeyerek de olsa paylaşılmasına neden olabilir. Mobil kaynaklı virüsler ve kötü yazılım içeren uygulamalar, şirket ağlarını etkileyebilir ve kişisel ya da kurumsal bilginin çalınmasına veya ifşa edilmesine neden olabilir. Bir UTM Firewall yardımıyla gerçek zamanlı olarak iş ile alakalı akıllı telefon trafiği kapsamlı bir şekilde optimize edilebilir. Kurumlar, akıllı telefonların kullandığı birleşik ses ve veri iletişim uygulamalarını da kontrol altına almak zorundadırlar.”

Zafiyetlerin giderilmesi büyük önem taşıyor

Outpost24 Türkiye Müdürü İhsan Ümit Süray ağ güvenliği ile ilgili yapılması gerekenleri şu sözlerle anlattı: “Bilgi işlem güvenliğinde zafiyet taraması ile IP’lerin güvenlik açıklarının bulunması ilk adım olarak görülür. Bu taramalar kurum içinden veya dışından yapılabilinir. Daha sonra bu zafiyetlerin giderilmesi gerekir. Zafiyetlerin giderilmesinde başarı oranı zafiyetlerin önem sırasına göre sıralanabilmesi, giderilmesi için gereken işlemlerin zafiyet taraması yazılımı tarafından açıklıkla belirtilmiş olması, yazılımın gösterdiği zafiyetlerin hakikaten zafiyet olması, zafiyetlerin işi yapacak kişilere otomatik gönderilip yapılan işlerin yazılım içinden takibine bağlıdır. Yazılımların türüne göre yazılımların kurum içinden ve dışından güvenlik açıkları açısından taranması da ek bir katma değer yaratacaktır. Tarama yapan yazılım, hedef sistemi, ‘bir haklayıcı geçerli bir kullanıcı adı ve şifresiyle sisteme girdiğinde hedef sistemde nerelere ulaşabilir’ diye de tarayabilmelidir. Sızma testinin ise yapılan çalışmaların doğrulanması açısından son güvenlik kademesi olarak kullanılması daha fazla fayda getirecektir.”

Uzman ekiple çalışılmalı

Itway VAD Türkiye Müdürü Korman Akman, ağ güvenliğini 3 ana parçanın eksiksiz olarak birbirini tamamlaması şeklinde özetledi: “Şirketler, ağ güvenliği oluşturabilmek için ilk olarak kadrolarında konusunda uzman bir ekip bulundurması gerekiyor. Konusunda uzman çalışan ihtiyacını doğru adreslemiş ve bu konuda gerekli yatırımı yapmış olan bir şirketin kurum bilgilerini eksiksiz koruyabilmesi için doğru bir güvenlik politikası oluşturması ve oluşturmuş olduğu bu politikayı çeşitli teknolojik cihazlar/yazılımlar ile tam olarak desteklemesi gerekiyor. Bu 3 ana bileşenden herhangi birinin eksik kalması, ilgili kurumun kendi ağ/bilgi güvenliğini tam olarak sağlayamadığı anlamına geliyor.”

Güvenlik operasyon merkezleri kurulmalı

“Ağ güvenliği, kullanılacak yazılım ve donanımlar kadar, doğru iş için doğru sistemin seçilmesi, mevcut yapının sürekli takibi ve uzman kişiler tarafından daha önceden belirlenmiş politika, prosedür ve standartlara göre yönetilmesi ve doğru planlama ile sağlanabilir” diyen Biznet Bilişim Güvenlik Testleri Yöneticisi Deniz Çevik, bu bağlamda günümüzde ağ güvenliğini sağlamak için güvenlik operasyon merkezlerinin kurulması ve yetkin bir ekip ile yönetilmesi eğilimi kabul görmeye başladığını belirtti.

Uygulama güvenliğine de önem verilmeli

4S Güvenlik Grup Yöneticisi Evren Bilgiç de tüm temel ağ ve sistem güvenliği önlemlerini alıp uygulama güvenliğine önem verilmediği durumda uygulamalar içerisinde unutulmuş ya da yanlış kodlamadan kaynaklanan bir zafiyetin tüm sistem güvenliğini ne denli tehlikeye atacağını hatırlattı. Bilgiç, bu amaçla kurumların güvenli uygulama geliştirme yöntemlerine adaptasyonu konusunda çalışmalar yürütmesini önerdi.

Risklerden kaçının

IBM Türk Güvenlik Ürünleri Satış Müdürü Pelin Konakçı ağ güvenliğini sağlamak için şu önerilerde bulundu: “Güvenlik olayı veya ihlaliyle ilişkili risk ve maliyetlerden kaçının. İş açısından kritik altyapının kesintisiz ve kullanılabilir olmasını sağlayın. Ağ trafiğinin yapısıyla ilgili kritik düzeyde görünürlük elde edin. İş açısından kritik olmayan ağ kullanımını kaldırarak bant genişliğinin azaltılması ve güvenliğin artırılması yoluyla maliyet tasarrufu sağlanabilir. Güvenlik yuva katmanıyla (SSL) şifrelenmiş trafiğe ilişkin görünürlük aracılığıyla güvenlik korumasının artırılmasını öneriyoruz.”