Siber Güvenliğe Giriş

Bugün daha geniş anlamda siber güvenliğin gerçekte ne olduğunu açıklamaya çalışacağız ve kariyerinizi siber güvenliğe doğru çevirmeye istekliyseniz nasıl uyum sağlayacağınızı anlatmaya çalışacağız.
 

Siber güvenlik; adı üzerinde, siber dünyaya güvenlik sağlamak veya siber dünyayı daha güvenli hale getirmektir diyebiliriz. Buna; elimizdeki akıllı telefondan, kullandığımız dizüstü bilgisayara, bağlı olduğumuz Wi-Fi modeminden, göz atmakta olduğumuz web sitesine kadar tüm çevrimiçi alışverişlerimizi vb. içeren her şey dahildir. Siber Güvenlik yıllardan beri var olan ve içerisine sürekli farklı alt kategoriler ekleyen çok geniş bir domaindir.
 

Her birinin genel resmini iletmesi için ana alt domainleri kısaca açıklayalım. 
 

Security Engineering

Çoğunlukla ağ tasarımı, güvenlik mimarisi tasarımı ve incelemesi, bulut güvenliği, güvenli uygulama geliştirme ve erişim kontrollerini içeren sağlam ve güvenli sistemler geliştirmek için yapılan çalışmalardan oluşur.
 

Ağ tasarımı, yönlendiriciler, anahtarlar ve güvenlik duvarlarının verimli bir şekilde yerleştirilmesi gibi ağların tasarlanmasından oluşur. Ayrıca, çok yönlü veri trafiğini kontrol etmek için farklı ağ cihazlarında güvenlik kontrollerinin uygun şekilde yapılandırılmasını içerir. Ağ oluşturma, bilgi teknolojilerini içeren herhangi bir kuruluşun bel kemiğidir. Bu nedenle, dışarıdan gelen tehdidi azaltmak için güvenliğin doğru ve verimli bir şekilde uygulanması gereken ilk adım budur. 
 

Güvenlik mimarisi, bilgi teknolojilerinin hangi düzeyde ve nasıl kullanıldığına bakılmaksızın her kuruluşun sahip olacağı bir şeydir. Bir organizasyonda uygulanan tüm güvenliğin kuş görünümüdür diyebiliriz. Tüm kontrollerin nerede ve nasıl uygulanması gerektiğini ve bunların genel sistem mimarisiyle nasıl ilişkilendirildiğini içerir. Çoğunlukla bu alanda iyi derecede deneyime sahip güvenlik uzmanları tarafından yapılır.
 

Güvenli uygulama geliştirme, güvenlik mühendisliğinin bir başka önemli alt alanıdır. Güvenli kodlama ve Güvenli Geliştirme Yaşam Döngüsü süreçleri burada devreye girer. Çoğunlukla yeni güvenlik açıkları ve bunların nasıl düzeltilebileceği gibi güvenlikle ilgili son gelişmeler hakkında bilgi sahibi olan geliştiriciler tarafından yapılır.
 

Bir diğer konu ise erişim ve kimlik yönetimidir. Erişim kontrolleri, organizasyondaki farklı kişilere çeşitli haklara izin verme ya da vermeme durumları olarak düşünülebilir. Mesela çalışanlar sadece kendi şirketlerine girme hakkına sahip olabilir ve bir şirketin belirli bir çalışanı, çalışmadığı binadaki çeşitli bloklara erişemeyebilir. Bu sadece fiziksel erişimin kısıtlanmasını değil, aynı zamanda diğer sistemlere erişirken de baz alınmalıdır. Herhangi bir yazılımın yüklenmesi, flash sürücülerin takılması, özel ağlara bağlanılması gibi iş rolüne göre bir kullanıcının işyerinde kendisine atanan masaüstü / dizüstü bilgisayarında belirli işlevleri kısıtlar. Ayrıca yapılabilecek işlemlere izin verme ya da vermeme, görüntüleme, görüntüleyebileceğiniz web siteleri, vb. gibi farklı güvenlik kontrolleri ve bunların uygulanması hakkında bilgi sahibi olmanız gerekir.
 

Güvenlik Operasyonları

Her organizasyonda, herhangi bir siber saldırıyı tespit etmek ve önlemek için her olayı izleyen SOC (Güvenlik Operasyon Merkezi)’ler vardır. Herhangi bir gelişmiş siber saldırıyı önlemek ve ona karşı savunma yapmak, herhangi bir organizasyonda güvenliğin kalbi denilecek seviyede önem arz etmektedir. SOC'ler ve SIEM (Güvenlik Olay ve Kayıt Yönetimi)'ler, herhangi bir güvenlik olayı durumunda sorumlu ekipleri bilgilendirmek ve yönetmekle sorumludur.
 

Esas olarak siber saldırının önlenmesinden başa çıkılmasına ve ortadan kaldırılmasına kadar tüm işlemleri içerir. Ayrıca, siber saldırının nasıl olduğu, neden yapıldığı ve neyin başarılı sonuç alınmasına yol açtığını araştırmanın yanı sıra kimin neden yaptığını ve bundan ne kazandıklarını belirlemek için de dijital adli bilişim konularını içerir. 
 

Güvenlik Operasyonlarının bir parçası olmak için, güvenlik açıkları, olay müdahalesi, algılama ve önleme hakkında kapsamlı bilgiye sahip olmanız gerekir.
 

Tehdit İstihbaratı

Tehdit istihbaratının ne olduğunu açıklamadan önce, herhangi bir kuruluşa yönelik iki ortak tehdidi açıklamak gerekir. Bunlar içeriden ve dışarıdan gelen tehditlerdir. Yabancıların tehdidi esas olarak internet üzerindeki tehdittir. Bu tehdit, trafik akışının kısıtlanması ve internete dönük kaynakların kritik kaynaklardan yalıtılmasıyla azaltılabilir. İçeriden gelen tehdit, çoğunlukla, hayal kırıklığına uğramış çalışanlar gibi içeriden birinin işi olabilir. Bunu bilinçli bir şekilde yapıyor olabilirler ya da tamamen habersiz olabilirler. Her iki durumda da, etki çok fazladır.
 

Bu tehditleri kontrol altında tutmak için tehdit istihbaratı devreye giriyor. Herhangi bir saldırının gerçekleşmesini önlemek için çeşitli mevcut tehditlerden (içeride ve dışarıda) toplanan verilerin analizidir. Bu alanda çalışan kişiler siber tehdit analistleridir.
 

Risk Değerlendirmesi  & Ofansif Güvenlik

Bu konuyu direkt olarak bir örnekle açıklayalım.
 

Ünlü bir e-ticaret sitesi olan www.myzon.com gibi rastgele bir web sitesi olduğunu düşünün. Her zaman bir şeyleri bozmakla ilgilenen bir grup insan vardır, bunlara da "Breakers" diyelim. Özel bir günde MyZon, web sitesinde her türlü cazip teklifi içeren büyük bir çevrimiçi alışveriş etkinliğine ev sahipliği yaptığını düşünelim. Bu etkinlik için ise MyZon’un ciddi miktarda reklamları nedeniyle “Breakers” grubunun dikkatini çektiğini ve bu web sitesinde büyük ve başarılı bir saldırı başlatmak için denenmedik yol bırakmadığını varsayalım. Aynı zamanda, MyZon şirketinin içerisinde "Fixers" adlı başka bir grup insan vardır. Bu kişiler ise, web sitesinin bir tür saldırıya maruz kaldığını görürler ve sitenin hiçbir son kullanıcısını etkilemeyecek şekilde devam ettirmek için ellerinden geleni yaparlar.
 

Burada “Breakers” kırmızı takım ve “Fixers” ise mavi takım olarak adresleyebiliriz.
 

Bir organizasyonun kendisinde, kaynaklarının hiçbir şekilde etkilenmemesi için düzenli olarak değerlendirmeler yapan kırmızı ekipler ve mavi ekipler vardır. Kırmızı ekip, gerçek bilgisayar korsanlarının rolünü üstleniyor ve kırmızı ekibe karşı savunma mekanizmaları geliştiren mavi ekip, organizasyonun kaynaklarını iyileştirmeye ve daha güvenli hale getirmeye çalışıyor.
 

Kırmızı ve mavi takım oluşturmanın yanı sıra, kara kutu, beyaz kutu, gri kutu vb. gibi çeşitli sızma testleri ile diğer güvenlik açığı değerlendirmeleri yapılır.
 

Bu alanda çeşitli riskler kritikliklerine göre değerlendirilir ve düzeltilir.
 

“Breakers” ya da sızma testi uzmanları, kendilerini en önemli nitelikleri olan bilgisayar korsanlarının yerine koyabilenlerdir. Bir “Breakers” ya da sızma testi uzmanı olmak için kodlama becerilerine sahip olmanız gerekir (en azından uygulamanın akışını yorumlayabilmeli, kodlayabilmelisiniz) ve en son ortaya çıkarılan güvenlik açıkları ile kendinizi güncel tutmalısınız ve ayrıca mevcut güvenlik açıklarının diğer çeşitli yollarını idrak edebilmelisiniz.
 

Ek olarak siber saldırıların önlenmesi için güvenlik açığı yönetimi yapılır. Bilinen tüm güvenlik açıklarından yararlanılmasını önlemek için kullanılan tüm ürün veya kaynakların yamalanmasını sağlar.
 

Yönetişim

Temelde kuralları, idareyi, denetimi vb. konuları belirleyen ve kontrol eden hükümete benzer. Ancak, bu alt alanlardan çok azı bilgi güvenliği konusunda önceden deneyim ve bu alanda minimum düzeyde bilgi gerektirir. Önceden bilgi teknolojisi deneyimi olmayan kişilerin de girebileceği yerdir. Örneğin, siber hukuk, avukatların siber güvenlik ve siber suç hakkında bilgi edinmek için fazladan bir adım atabilecekleri bir alan olabilir.
 

Yönetişim temel olarak denetim, kurallar, politikalar ve prosedürler, uygunluklar vb. gibi konuları içerir. Tüm standartlar ve kontrol listeleri buranın kapsamındadır. Burada çalışan kişiler, kuruluşlarının ve çalışanlarının ISO, OWASP vb. gibi tanınmış kuruluşlar tarafından belirlenen tüm endüstri standartlarını takip edip etmediklerini kontrol etmekten sorumludurlar.
 

Genel olarak anlatılanlar bu devasa siber güvenlik okyanusundan sadece bir damladır. Her alt domain, başlı başına geniş bir deryadır ve sunabileceği çok fazla miktarda bilgi vardır.

İyi öğrenmeler :)