KamutNet ağına dahil olmak isteyen kamu kurumlarının uymaları gereken asgari güvenlik kriterleri

1. Kamu Kurumların Uyması
Gereken Asgari Güvenlik….
(Aza kanaat etmeyen çoğu
bulamaz)
Garnizon Bilgi Güvenligi Ltd. Sti.
www.garnizon.com.tr
Alper Basaran
alper@garnizon.com.tr

2. • Alper Başaran
– Charles de Gaulle Fransız Lisesi
– Bankacılık ve Finans (Bilkent Üniversitesi)
– MBA: İşletme Yüksek Lisans (Atılım Üniversitesi)
– CEH: Certified Ethical Hacker
– LPT: Licensed Penetration Tester
– ISO 27001 Baş Denetçi
– GPEN: Certified Penetration Tester
www.alperbasaran.com
www.garnizon.com.tr

4. www.garnizon.com.tr 4

5. Nedir?
• 23 madde
• Anahtar kelime “asgari”
www.garnizon.com.tr 5

6. Asgari Güvenlik Gereksinimleri
1. Bilgi Güvenliği Yönetim Sistemi (BGYS)
kurularak tüm süreçler ile ilgili siber güvenlik
politikaları ve prosedürleri oluşturulmalı (ISO
27001 standardına uyumlu hale getirilmeli)
www.garnizon.com.tr 6

7. Asgari Güvenlik Gereksinimleri
2. Kurum çalışanlarının farkındalığının
arttırılması amacıyla tüm çalışanlara siber
güvenlik farkındalığı ile ilgili bilgilendirme,
eğitimler verilmeli
www.garnizon.com.tr 7

8. Asgari Güvenlik Gereksinimleri
3. Kurum içerisinde ilgili süreçlerden sorumlu
yetkin bir ekip oluşturulmalı
www.garnizon.com.tr 8

9. “Yetkin” Ekip?
• Sorun:
– Tek işimiz bu değil
– 1 hafta - 10 günlük eğitimle uzman olunmaz
• Çözüm:
– Sürekli eğitim
– Önemli/işinize yarayacak konularda eğitim
www.garnizon.com.tr 9

10. Asgari Güvenlik Gereksinimleri
4. Kurum kontrolünde, sunucu ve istemci (client)
ağlarında internet üzerinden ve yerel ağ
içerisinden düzenli zafiyet taramaları yapılarak
var olan zafiyetler tespit edilip gerekli
önlemlerin alınması için çalışmalar yapılmalı
www.garnizon.com.tr 10

11. Zafiyet Taramaları
• OpenVAS – Nessus
• Nikto, WPScan, vb.
• Öneriler
• Takip
www.garnizon.com.tr 11

12. Zafiyet Yönetimi
Envanter çıkart
Zafiyet/tehditleri
sürekli izle
Yama/güncellemeleri
önceliklendir
Yama/güncellemeleri
test et
Yama/güncellemeleri
uygula
Sonucu kontrol et
www.alperbasaran.com

13. Asgari Güvenlik Gereksinimleri
5. KamuNet Ağı için kurum içi envanter ve
topoloji oluşturulmalı ve güncel tutulmalı
www.garnizon.com.tr 13

14. Asgari Güvenlik Gereksinimleri
6. Kuruma ait kritik sistemler üzerinde
sızma/penetrasyon testleri yapılıp tespit edilen
açıklıkların giderilmesi için çalışmalar yapılmalı
www.garnizon.com.tr 14

15. Asgari Güvenlik Gereksinimleri
7. Kritik sistemlere ait loglar sürekli gözden
geçirilerek bir anomali olup olmadığı incelenmeli
www.garnizon.com.tr 15

16. Log Meselesi
www.garnizon.com.tr 16

17. Log Ayarları
Kategori Düşük Etkili Sistem Orta Etkili Sistem Yüksek Etkili Sistem
Log ne kadar
tutulacak
1-2 hafta 1-3 ay 3-12 ay
SIEM’e log ne kadarda
1 gönderilmeli
3-24 saatte 1 15-60 dakikada 1 En az 5 dakikada 1
Loglar hangi sıklıkla
analiz edilmeli
1-7 günde 1 12-24 saatte 1 Günde en az 6 kez
Log dosyası
bütünlüğü kontrolü
yapılmalı mı
İsteğe bağlı Evet Evet
Loglar / log transferi
şifrelenmeli mi
İsteğe bağlı İsteğe bağlı Evet

18. Asgari Güvenlik Gereksinimleri
8. Süreçlerin (27001 Bilgi Güvenliği,
sızma/penetrasyon testleri vb) yeterince
uygulanıp uygulanmadığının kontrolü için
düzenli aralıklar ile denetimler gerçekleştirilmeli
www.garnizon.com.tr 18

19. Asgari Güvenlik Gereksinimleri
9. Maksimum güvenlikli ideal çözümün
sağlanabilmesi için kurum içerisinde sunucu ve
istemci (client) ağları ayrılmalı
www.garnizon.com.tr 19

20. Asgari Güvenlik Gereksinimleri
10. Sunucu ve istemci (client) ağlarının birbirine
erişiminde mutlaka FW, IPS, içerik filtreleme ve
antivirüs gibi fonksiyonların bir arada olduğu
UTM vb. ya da bu fonksiyonların ayrı ayrı olduğu
cihazlar kullanılarak bir güvenlik katmanı
oluşturulmalı
www.garnizon.com.tr 20

21. Ağların Ayrılması
• Zararlı yazılımların yayılmasını engeller
• Saldırganların yatay hareketlerini yavaşlatır
• Olayların izlenebilmesine imkan verir
– Kim kiminle konuşmuş?
– Nasıl konuşmuş?
– Ne söylemiş? (Belli ölçüde)
www.garnizon.com.tr 21

22. Asgari Güvenlik Gereksinimleri
11. KamuNet ağına dahil olacak kamu kurumları
KamuNet ağından gelebilecek tehditlere karşı
kendilerini korumak için de UTM vb. cihaz
kullanmalı
www.garnizon.com.tr 22

23. Kamunet Ağından Gelenler
• Kamunet üzerinden yapılan bağlantılarda da
mutlaka güvenlik sağlanmalı
– Kimlik doğrulaması
– İnkar edilememezlik
– Kayıt
www.garnizon.com.tr 23

24. Asgari Güvenlik Gereksinimleri
12. Kamu kurumlarının hizmet olarak verdiği,
internete açık servislerinin (webvb.) bulunması
halinde bu servislerden gelen saldırıların
KamuNet ağını olumsuz etkilememesi için DDoS
ataklarını önleyen hizmetlerden faydalanılmalı
www.garnizon.com.tr 24

25. DDoS Meselesi…
• İnternet servis sağlayıcıdan DDoS koruması
alınmalı
• DoS (slowhttp, vb.) saldırılardan
etkilenmediğimizden emin olunmalı
• DoS/DDoS gerçek bir tehditse ek yatırım
yapılabilir
www.garnizon.com.tr 25

26. Asgari Güvenlik Gereksinimleri
13. İstemci (Client) ağı içerisinde Dizin Hizmeti
kullanılmalı ve her bir kullanıcı bilgisayarı Dizin
Hizmeti’ne dahil edilmeli
www.garnizon.com.tr 26

27. Asgari Güvenlik Gereksinimleri
14. Dizin Hizmeti üzerinde kullanıcı
bilgisayarlarının KamuNet ağını olumsuz
etkilememesi için Anti-Virüs sisteminin, işletim
sistemi güncelleme durumları takip edilmeli
www.garnizon.com.tr 27

28. Asgari Güvenlik Gereksinimleri
15. KamuNet ağına dahil olacak her bir cihazda
(bilgisayar, sunucu vb.) virüsler, solucanlar,
truva atları ve casus yazılımlar vb. gibi zarar
verebilecek yazılımları saptama, silme işlevlerini
yapabilecek, sürekli aktif halde çalışan ve
güncellenmesi gereken son kullanıcı güvenlik
yazılımlarını kurulu bulundurmalı
www.garnizon.com.tr 28

29. Asgari Güvenlik Gereksinimleri
16. KamuNet ağını olumsuz etkilememesi için
Dizin Hizmeti üzerinde kullanılabilecek
programlar belirlenmeli ve kullanıcıların kurup
kaldırmaya izinli programlar sınırlandırılmalı
www.garnizon.com.tr 29

30. Asgari Güvenlik Gereksinimleri
17. KamuNet ağını olumsuz etkilememesi için
NAC (Network Access Controller) çözümleri ile
kullanıcıların yapılandırmasının güvenli olup
olmadığı kontrol edilerek kendi ağlarına
alınmaları sağlanmalı
www.garnizon.com.tr 30

31. Asgari Güvenlik Gereksinimleri
18. Kamu kurumları, KamuNET ağında bilgi
görmesi gereken prensibine göre sadece ilgili
kurumlar ile veri paylaşmalı ve ilgisiz kurumların
bilgiye erişimi kısıtlanmalı
www.garnizon.com.tr 31

32. Asgari Güvenlik Gereksinimleri
19. KamuNet ağını olumsuz etkilememesi için
kablosuz erişimi sağlayan modem veya Access
Point’lerin yazılımları güncel tutulmalı, bu
cihazların Dizin Hizmeti ile entegrasyonu
yapılmalı
www.garnizon.com.tr 32

33. Asgari Güvenlik Gereksinimleri
20. Sunucuların bulunduğu sistem odaları güncel
ISO 27001 standardına uygun olmalı, giriş ve
çıkışlar kontrol altında tutulmalı ve
yetkilendirme yapılmalı
www.garnizon.com.tr 33

34. Asgari Güvenlik Gereksinimleri
21. Sunucuların yedekleri buldurulmalı
www.garnizon.com.tr 34

35. Asgari Güvenlik Gereksinimleri
22. Sunucular üzerindeki gereksiz uygulamalar
ve servisler mutlaka kapatılmalı
www.garnizon.com.tr 35

36. Asgari Güvenlik Gereksinimleri
23. Sunucular üzerindeki işletim sistemleri ve
uygulama yazılımları güncel tutulmalıdır
www.garnizon.com.tr 36

37. Asgari Güvenlik Gereksinimleri
www.garnizon.com.tr 37

39. Inceleme Sonrası
• Zayıf FTP parolası ile giriş
• DMZ’deki diğer sistemlere sızma
• Mail sunucusundan spam gönderme
• Sunculardaki bütün dosyaların çalınması
• Arka kapı yazılımlarının yüklenmesi

40. Alper Başaran
alper@garnizon.com.tr
www.alperbasaran.com
T: @basaranalper
Sorular?
www.garnizon.com.tr 40