Verizon’un yıllık Veri İhlali Araştırmaları Raporu (DBIR)’nun ondördüncü bölümü Kasım 2020 tarihinde çıktı. DBIR, tüm dünyadaki güvenlik olayları ve veri ihlallerinin detaylı bir analizini sağlayarak kamusal anlamda oldukça fazla hizmet vermekte. İlk bakışta, 2020 istatistikleri 2019 yılı ile kıyaslandığında oldukça iyi gözükmekte.

Örneğin, güvenlik olayları 64.199’dan (2018) 42.068’e (2019) düşmüş ve tek iyi haber yalnızca bu değil. Tüm olaylar içinde teyit edilmiş veri ihlali sayısı 2.260’dan (2018) 1.935’e (2019) düşmüş. İlk bakışta biz de bu durumdan etkilendik, ancak ayrıntılara daha dikkatlice baktığımızda rahatsız edici bazı gerçekler saptadık.

Raporda erişim ayrıcalığının kötüye kullanımı başlıca tehditlerden biri olarak vurgulanmış.

Listelenen istatistikler temelinde işlerin bilişim güvenliği açısından iyi gidiyor gibi görünmesine karşın, aynı şeyi ayrıcalıklı erişim yönetişimi hakkında söyleyemeyiz. Aslına bakılırsa, erişim ayrıcalığının kötüye kullanımından kaynaklanan teyit edilmiş veri ihlali sayısı aslında 172’den (2018) 277’ye (2019) yükselmiş. Kamu, sağlık hizmetleri ve finans sektörleri bu ihlallerin çeşitli mağdurları arasındaki başlıca hedefler olmuş. 

Evet, başlığı doğru okudunuz.  Ve hayır, bu kesinti türünün ilk örneği değil. Ericsson, İsveçli ağ ve telekomünikasyon şirketi süresi dolmuş güvenlik sertifikasıyla müşterilerini büyük hizmet kesintilerine neden olmuş kuruluşların listesine katılmış biri. Uluslararası telekom operatörleri O2 ve SoftBank (sırasıyla İngiltere ve Japonya'da), 6 Aralık'ta bu durumun kurbanı oldular ve bu da dünyadaki on milyonlarca abonesinin bağlantılarını etkileyerek hayal kırıklığına uğrattılar.

Peki, gerçekte ne oldu?

Ericsson, dünyaca ünlü pek çok servis sağlayıcı şebeke altyapısının arkasındaki üretici firmadır. Ericsson’ın O2 ve SoftBank’ın kullandığı bir yazılımdaki hatası 6 Aralık’ta hem İngiltere’de hem de Japonya’daki telekomünikasyon sağlayıcılarının abonelerine servis kesintilerine neden oldu. Sorunu daha ayrıntılı analiz ettikten sonra Ericsson, yazılım arızasının temel nedeninin birçok çekirdek ağ cihazını etkileyen süresi dolmuş bir güvenlik sertifikasının neden olduğunu buldu.

Perşembe günü öğleden sonra saat 1:39 civarında başlayan kesinti, SoftBank ağ aboneleri için yaklaşık beş saat sürdü. O2 aboneleri, 3G şebekesinin tekrar kurulduğu Perşembe günü 05:00 - 9:30 saatleri arasında kesinti yaşadı. Şirket, 4G ağının Cuma günü saat 3:30'da restore edildiğini bildirdi.

Arıza süresinin ne kadar sürdüğü göz önüne alındığında pek çok kaynak, çözümün ilgili sertifikanın etkilenen tüm noktalara yeniden gönderildiğine, ardından her nokta için yazılımın el ile güncelleştirildiğine dikkat etmek gerekir. O2, piyasadaki güvenilirliğini yeniden sağlama girişimi olarak etkilenen tüm müşterilere tazminat verileceğini duyurdu.

Proaktif olmak anahtardır

Güvenlik sertifikası yenileme roket bilimi değildir ancak son derece önemlidir. Yazılım veya web uygulamalarınıza dağıtılan güvenlik sertifikalarının veya SSL sertifikalarının yaşam döngülerinin izlenmesi ve yönetilmesi, hizmetin kesintisiz olarak sürdürülmesini sağlamak açısından büyük önem taşır.

Güvenlik sertifikalarının yenilenmesi, özellikle yüzlerce sunucuda binlerce SSL sertifikası bulunan büyük kuruluşlarda BT yöneticileri için büyük bir sorumluluktur. Kuruluşunuzdaki tüm aktif SSL sertifikalarını manuel olarak bulmak, kullanımlarını takip etmek ve tek bir tane bile kaçırmadan süresi dolmak üzere olan sertifikaları yenilemek zorunda olduğunuzu hayal edin. Sertifikaları manuel olarak yönetmek son derece yıldırıcı ve hataya açık.

Çözüm

Sertifika yenilemeye gelince, proaktif olmalısınız. Herkes hata yapar ancak iş söz konusu olduğunda bir gözetimin tüm çabalarınızı boşa harcayacağına izin veremezsiniz. ManageEngine olarak işinizi kolaylaştırmaya odaklanan çeşitli BT yönetim yazılımları hazırlayarak BT'ye proaktif bir yaklaşım benimsemenize yardımcı oluruz.

Web tabanlı SSH anahtarı ve SSL sertifika yönetimi çözümümüz Key Manager Plus, BT yöneticilerinin SSH ve SSL ortamlarında tam görünürlük kazanmalarına yardımcı oluyor. Onlara merkezi kontrol sağlar ve bir kuruluşun ağındaki tüm sertifikalar için satın alma ve dağıtımdan yenileme, kullanım ve sona erme izlemesine kadar yaşam döngüsü yönetimini otomatikleştirir.

Ücretsiz demo deneyimi için bizimle iletişime geçebilirsiniz. İletişime geçmek için lütfen tıklayınız.

Dağıtılmış bir iş gücünün yani evden çalışmaya geçişin yeni normali, siber tehdit ortamında ilerlemelere yol açtı. Küresel kuruluşlar fidye yazılımı saldırılarında yüzde 148 artış görüldü ve bunların çoğu finans ve sağlık sektörlerini hedefliyor. Amerika Birleşik Devletleri'ndeki COVID-19 sağlık bilgileri veya seçimler gibi popüler ilgi alanlarının küresel etkisi e-postalar ve güvenli olmayan cihazlar yoluyla kimlik avı saldırılarının önünü açar.

Siber saldırıları önlemek savaşın yarısıdır. Bir siber saldırının etkisine hazırlık yapmak diğer yarısıdır ve bir kuruluşun siber dirençli olmasını sağlayan şeydir. Kapsamlı bir Siber Güvenlik Olayı Müdahale Planı (Cybersecurity Incident Response Plan, CIRP) bir kuruluşun bir siber saldırıdan kaynaklanan zararları azaltmasına ve kontrol etmesine yardımcı olur.

İşletme çapında bir CIRP, organizasyondaki üç ayağı güçlendirmeye odaklanır: insanlar, süreç ve teknoloji.

Bir güvenlik olayı müdahale ekibi sadece BT departmanından değil aynı zamanda İK, Hukuk ve Halkla İlişkiler gibi yardımcı departmanlardan da oluşur. Ekibin yapılandırılmış bir dizi rolü ve sorumluluğu olmalıdır ve mevcut siber tehdit ortamına ilişkin farkındalığı artırmak için çalışanlara düzenli eğitim oturumları düzenlemelidir.

Kuruluşlar, kapsamlı bir siber güvenlik stratejisi geliştirmek için genellikle bazı araçlar kullanır. Bununla birlikte birlikte çalışabilirliği engelleyen ve dolayısıyla siber güvenlik sistemlerinin verimliliğini azaltan bağlantısız sistemler riski ortaya çıkmaktadır. Bilgi güvenliği yöneticilerinin (CISO'lar) güvenlik sistemlerinde görünürlüğü iyileştirmek için doğru siber güvenlik araçlarının kullanımını sağlamaları ve tehdit önleme, algılama ve yanıtlamada en iyi uygulamaları benimsemeleri gerekir.

Siber Güvenlik Olay Müdahale Planları ve kuruluşların bir siber saldırıya hazırlanmak için doğru eğitim, süreç ve teknolojilerle nasıl strateji oluşturup bunlarla nasıl çalışabileceği hakkında beş ilginç makaleyi aşağıda bulabilirsiniz.

1.  Koronavirüs Pandemisi Sırasında Siber Güvenlik Zorlukları ve Olaylara Müdahale Hazırlığı

 Pandemi sırasında uzak araçların hızlı ve plansız bir şekilde benimsenmesi, kuruluşlarda siber güvenlik açıklarının artmasına neden oldu. Güvenli olmayan Wi-Fi ağlarının ve yamalanmamış VPN'lerin kullanımı riski artırır. Bu madde, kuruluşların kapsamlı bir olay müdahale planını uygulamaya koymadan önce dikkate almaları gereken temel noktaları tartışmaktadır. Kullanılabilirliği yüksek ve esnek bir savaş odası elde etmek için iletişimi ve kaynakların fazlalığını sağlamaya büyük önem verilmektedir. Bu noktada verilebilecek tavsiyeler şunlardır;

• Alternatif iletişim kanalları oluşturun
• Anahtar çalışanlara ulaşılamaması durumu için plan yapın
• Anahtar müdahale planlarını test edin
• Masaüstü egzersizleri yaparak uzak bir çalışma ortamında çalışırken ve iletişim zor olduğunda bozulan temel müdahale süreçlerini belirleyerek alıştırmalar yapın
• VPN zaafiyet taramaları yapın
• Administrator yetkili hesap gereksinimlerini düzenleyin ve yapabiliyorsanız en aza indirin
• CISA uzmanlarının rehberliğinden faydalanın

2.  Pandemide Etkili Uzaktan Olay Müdahalesi Uygulama

Dünya çapındaki sokağa çıkma yasakları Dijital Adli Tıp ve Olay Müdahale ekipleri için BT sistemlerine fiziksel erişimi kısıtladı. Bulut tabanlı Uç Nokta Algılama ve Müdahale araçlarının kullanılması uzaktan araştırmayı kolaylaştırır ve kritik uç noktalar için görünürlük sağlar. Tespit edildiğinde de bu araçlar tehdidin karantinaya alınmasına yardımcı olur. COVID-19 zamanlarımızda fiziksel erişim olmadan tehditleri temizlemek zordur. Çözüm, etkilenen sistemleri yeniden görüntülemeyi ve nihayetinde uzaktan onarımları gerçekleştirmek için de araçlar kullanmayı içerir. Bu noktada SIEM uygulamaları, Endpoint Detection and Response araçları, Privilege Access Management uygulamaları ve telekonferans uygulamaları bunlara örnek olarak verilebilir.

3.  Etkili bir siber olay müdahale planının özellikleri nelerdir?

Bir olay müdahale planının oluşturulması, düzenli olarak test edilmelidir İş gücünün içgüdüsel olarak kas hafızasına dahil edilmesi için işgücünün sürekli eğitimini içermelidir. Bu başlık, bir siber tehdit olayı sırasında kaostan düzene ulaşmaya yardımcı olan etkili bir siber olay müdahale planının yedi özelliğini gözler önüne seriyor;

• Eyleme geçirilebilir bir müdahale akışı sağlayın

Herhangi bir kimse bir müdahalenin somut adımlarla kronolojik olarak nasıl ilerlemesi gerektiğini izleyebilmelidir. Bir akış şemasının ve kontrol listelerinin dahil edilmesi bunlar için netlik sağlayabilir ve bir güvenlik ihlalinin sıcaklığında ki yanlış adımları önleyebilir

• Olay sınıflandırmasını açıkça tanımlayın

Olayları uygun şekilde sınıflandırmak için açık kriterler dahil edilmelidir. Düşük ve orta düzeydeki olaylar genellikle operasyonel BT ekiplerince ele alınabilirken daha yüksek önem derecesine sahip olaylar genellikle daha geniş beceri setleri, ek kaynak tahsisi, daha canlı yönetimi gerektirmektedir. Bu sebepler ile ya seviye-2 / seviye-3 destek ya da üçüncü-parti firma desteği gerektirir.

• Net iletişim kanalları oluşturun

Yanlış iletişi, zaten zor olan bir durumu daha da zor hale getirebilir. Olay müdahale planları operasyonel ekiplerin, ilgili bilgileri diğer ekiplere ve paydaşlara iletmesi gerektiğini açıkça ortaya koymalıdır. Teams Whatsapp gibi mesajlaşma/haberleşme uygulamaları aracılığıyla açık iletişim kanallarının kurulması bir ağ tehlikesi durumunda iletişim kanallarına erişiminizi de koruyacaktır. Bu özellikle işgücünüzün geniş bir alana yayıldığı dönemlerde önemlidir.

• Rolleri ve sorumlulukları atayın ve tanımlayın

Resmileştirilmiş rolleri ve sorumlulukları açıkça belirtin. Bu atama temel teknik güvenlik ekibinin ötesine geçmeli ve bir siber saldırıya veya veri ihlaline müdahale etmeye dahil olan tüm paydaşları kapsamalıdır. Atama hukuk, pazarlama, halkla ilişkiler, üretim operasyonları ve insan kaynakları ekiplerinden gelenleri içerebilir.

• Üçüncü-partilerden destek almayı da düşünün

 Bunlar kolluk kuvvetleri veya düzenleyici kurumlar, sigorta sağlayıcıları, bilgi güvenliği konusunda uzman hukuk danışmanlarını, halkla ilişkiler kaynakları ve siber güvenlik şirketlerini içerebilir.

• Uygun olan yerlere oyun kitapları ekleyin

En yaygın olayları veya kuruluşunuzun karşılaştığı kritik risklerle ilişkili olabilecekleri belirleyin. Bu belirli risklerle ilgili, müdahale yoluyla işletmeye rehberlik etmek için eyleme geçirilebilir oyun kitapları hazırlayın. Bu oyun kitapları beklenmedik olayları hesaba katmak için yeterince esnek kalırken, ana müdahale akışında bulunanlardan daha kuralcı adımlar içerebilir (ör. Bir perakendeci sızdırılan ödeme bilgileri için bir başucu kitabına sahip olmak isteyebilir).

• Diğer planlamaları hesaba katın

Olay müdahale planları diğer organizasyonel planlamaya dayanır ve bunları besler. Başarılı planlar, kriz yönetimi planlarına ek olarak ilgili BT odaklı iş sürekliliği ve felaket kurtarma planlarına referans vermeli ve bunlara bağlanmalıdır.

4.Siber güvenlikte yapay zeka, makine öğrenimi ve otomasyon: Şimdi tam zamanı

Siber saldırılardaki artış, büyük bir siber güvenlik beceri boşluğu yaşandığında ortaya çıkıyor. Yapay zeka, makine öğrenimi ve otomasyon, kuruluşların siber tehditlere hızla yanıt vermesi için yetenekler sağlar. Bu başlık tehdit önleme, tespit ve müdahale çözümleri arasında sınırlı kaynaklara ve bütçelere öncelik verme konusunda CISO'ların karşılaştığı ikilemi tartışmaktadır.

Genel zorluk ortamı;

"Zor Seçimler Yapmak: CISO'lar Artan Tehditleri ve Sınırlı Kaynakları Nasıl Yönetiyor" başlıklı anketimizin sonuçları, CISO'ların şu anda bütçelerinin %36'sını müdahaleye ve %33'ünü önlemeye ayırdığını gösteriyor. Bununla birlikte güvenlik ihtiyaçları değiştikçe birçok CISO etkinliğini azaltmadan ve bütçeyi etkilemeden bu atakları uzaklaştırmaya çalışıyor. Bugünün siber saldırılarının hızıyla eşleştirilmesinin önündeki zorluklardan biri, CISO'ların personel ve bütçe kaynaklarının sınırlı olmasıdır. Bu engellerin üstesinden gelmek ve etkili siber güvenlik için gerekli algılama ve yanıt hızlarına ulaşmak için CISO'lar yapay zeka, makine öğrenimi ve otomasyondan yararlanmalıdır. Bu teknolojiler tehditleri ilişkilendirerek müdahaleyi makine hızında koordine ederek boşlukların kapatılmasına yardımcı olacaktır.

Eşsiz zorluklar;

Özellikle devlet kurumları, BT sistemlerinin yaşı ve karmaşıklığı ile hükümetin bütçe döngüsünün zorlukları dahil olmak üzere, kamu sektörüne özgü bir dizi zorlukla ilgilenir. Devlet kurumları için BT ekipleri yalnızca fikri mülkiyeti veya kredi kartı numaralarını korumakla kalmaz. Ayrıca vatandaşların hassas verilerini ve ulusal güvenlik sırlarını korumakla görevlidirler. Bu sebeple silo sistemlerinin tipik hükümet yapısı, daha geniş ve daha ayrıntılı ağ görünürlüğü ve daha hızlı ve otomatik yanıt sağlayabilen birleşik bir platformla değiştirilmelidir.

Yapay zeka ve otomasyon nasıl yardımcı olabilir?;

Birleşik bir platform çalışması yapmanın anahtarı yapay zeka ve otomasyon teknolojileridir. Kuruluşlar manuel tespit ve müdahale ile artan tehdit hacmine ayak uyduramadıkları için bu boşlukları doldurmak için AI / Machine Learning ve otomasyondan yararlanmaları gerekir. Yapay zeka odaklı çözümler anormal davranışları tespit etmek için normal davranışın nasıl olduğunu öğrenebilir. Örneğin birçok çalışan genellikle belirli bir tür veriye erişir veya yalnızca belirli zamanlarda oturum açar. Bir çalışanın hesabı bu normal parametrelerin dışında etkinlik göstermeye başlarsa AI / Machine Learning tabanlı bir çözüm bu anormallikleri tespit edebilir ve güvenli olduğu belirlenene kadar etkilenen cihazı veya kullanıcı hesabını inceleyebilir veya karantinaya alabilir. Bu sayede atak anında hafifletici bir önlem otomatik olarak alınmış olur.

Cihaza kötü amaçlı yazılım bulaşmışsa veya kötü niyetli davranıyorsa bu yapay zeka tabanlı araç da otomatik yanıtlar verebilir. Bu taktiksel görevleri yapay zeka odaklı çözümlerin sorumluluğu haline getirmek güvenlik ekiplerinin daha stratejik sorunlar üzerinde çalışmasını, tehdit zekası geliştirmesini veya daha zor görevlere odaklanmasını sağlar.

5. Fidye Yazılımı Olayına Müdahale Planınız Geleceğe Yönelik mi?

Kuruluşlar fidye yazılımı saldırılarının farklı olduğu ve diğer siber tehditlerden daha fazla etki yarattığı gerçeğini gözden kaçırıyor olabilir. Bir siber saldırıyı takiben BT ekiplerinin genellikle zahmetli manuel çabaları olacaktır. Bu da büyük fidye taleplerine teslim olup olmayacağını değerlendirirken kuruluşlar tarafından dikkate alınmalıdır. BT altyapısının boyutu onarım ve hasarı yumuşatma sürecinin karmaşıklığına katkıda bulunur. Bu başlık operasyonları hızlı ve ucuz bir şekilde eski haline getirmek için olay müdahale planında hayata geçirilmesi gereken süreçlerin önemini özetlemektedir.

İşletme çapında CIRP 'ye sahip kuruluşlar iş kesintilerine karşı daha az hassastır. Siber güvenlikteki sürekli iyileştirme siber saldırıya özgü olay müdahale planlarını düzenli olarak gözden geçirmeyi, doğru araçları kullanmayı ve yanıtlarını verimli bir şekilde yönetmeleri için işgücünü eğitmeyi içermelidir. Bir CIRP geliştirmeye yardımcı olan teknolojilerden birkaçı arasında; Güvenlik Bilgileri ve Olay Yönetimi (SIEM), Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR), Birleşik Uç Nokta Yönetimi (UEM) ve Kullanıcı ve Varlık Davranışı Analitiği (UEBA) bulunur.

Bu çözümler için ManageEngine ‘in ürünlerini inceleyebilirsiniz.  Henüz ManageEngine ürünlerini test etme şansı bulamadıysanız bu linkten demo talebinde bulunabilir ve birlikte demo çalışması yapabiliriz.