SANS 20 Kritik Siber Guvenlik Kontrolü

SANS
20 KRİTİK
SİBER GÜVENLİK
KONTROLÜ
Kuruluşunuzda ihtiyaç duyacağınız kritik
siber güvenlik kontrolleri ve hedefler
SPARTA BİLİŞİM | www.sparta.com.tr

Bu dokümanda SANS Institute tarafından yayınlanmış
olan 20 Kritik Siber Güvenlik Kontrolü maddeler
halinde açıklanmış ve her bir maddenin ardından
hedeflenen noktanın ne olduğu ayrıca belirtilmiştir.

SANS INSTITUTE
SANS Enstitüsü (resmi adıyla Escal Institute of Advanced Technologies)
1989 yılında kurulmuş ve bilgi güvenliği, siber güvenlik eğitimi ve
sertifikaları konusunda uzmanlaşmış, kar amacı gütmeyen özel bir
şirkettir. SANS ismi SysAdmin, Audit, Network and Security yani
SysAdmin, Denetim, Ağ ve Güvenlik kelimelerinin kısaltmasıdır.

SANS 20 KRİTİK SİBER GÜVENLİK KONTROLÜ
SANS 20 kritik güvenlik kontrolü günümüzün en yaygın ve
tehlikeli saldırılarını durdurmak için uygulanabilir siber güvenlik
önerilerinden oluşan bir siber savunma eylemleri kümesidir.
Bu kontrollerin temel yararı; hızlı geri dönüş elde edilebilecek
sonuçlara sahip, az sayıda eyleme öncelik verilmesi ve
odaklanmasıdır.
Kontroller etkilidir çünkü önde gelen tehdit raporlarında
vurgulanan ve çok geniş bir toplulukta taranmış en yaygın
saldırılar üzerinden ilerlenerek belirlenmiştir.

1. Yetkili ve Yetkisiz
Cihaz Envanteri Çıkartılması

İlk kontrol noktası olan «Yetkili ve Yetkisiz
Cihaz Envanteri Çıkartılması» siber
saldırılara karşı en basit korunma
mekanizması olmakla birlikte, kuruluşlar
için zor bir süreç olabilmektedir.

Bu madde ile önerilen; ağda yer alan cihazların
tümünün ve hangi cihazın kime ait olduğunun
belirlenmesi ve yetkisiz cihazların ağa dahil
olmasını engellemek için, izin verilen cihazların bir
listesinin oluşturulmasıdır.

Kuruluşlar yalnızca cihazların doğru bir
envanterini çıkartmakla kalmayıp aynı zamanda
bilinmeyen cihazları da tespit edebilmeli ve
mevcut cihazlarda gerçekleşen değişiklikleri de
izleyebilmelidir.

HEDEF

•Ağda yer alan tüm donanımları aktif olarak
yönetebilmek (envanterini çıkartmak, takip
etmek ve doğrulamak),
•Yalnızca izin verilmiş olan cihazların ağa erişim
sağladığından emin olmak,
•İzin verilmeyen ve yönetilmeyen
cihazların tespit edilerek ağa erişim
sağlayamayacağından emin olmak hedeflenir.

Donanım envanterinin mutlaka periyodik olarak
çıkartılması gereklidir. Böylece sisteme sonradan
dahil olan ya da yetkisiz erişim sağlamaya çalışan
cihazlar fark edilebilecektir.

2. Yetkili ve Yetkisiz
Yazılım Envanteri Çıkartılması

İlk kontrol noktasına benzer şekilde,
kuruluş ağında kapsamlı bir envanter
çalışması yapılması önerilir ancak bu defa
çalışma ağdaki yazılımlar için yapılacaktır.

Kuruluşlar sistemlerinde yer alan,
yüklenmiş tüm yazılımları ve bu yazılımları
kimin yüklediğini ve yazılımların hangi
fonksiyonları gerçekleştirdiğini bilmelidir.

Yetkili yazılımların doğru bir envanterini
çıkartarak bir whitelist (beyaz liste) ve
yetkisiz yazılımlar için bir blacklist (kara
liste) oluşturulabilecektir.

Bu sayede kuruluşların potansiyel siber
güvenlik olaylarına daha doğru ve hızlı bir
yanıt vermesi mümkün olacaktır.

Beyaz liste ve bütünlük kontrolü yapılması
ve bunların birlikte çalışması, bunların
dışında kalan yazılımların ise sistemde
yaptığı değişikliklerin kaydının alınabiliyor
ve raporlanabiliyor olması gerekir.

•Ağda yer alan tüm yazılımları aktif olarak
yönetebilmek (envanterini çıkartmak, takip etmek
ve doğrulamak),
•Yalnızca izin verilmiş olan yazılımların sisteme
yüklendiğinden ya da sistemde çalıştırılabildiğinden
emin olmak
•İzin verilmeyen ve yönetilmeyen yazılımların ise
tespit edilerek yüklenmesinin ya da çalıştırılmasının
engellendiğinden emin olmak hedeflenir.

Yetkili uygulamaların istemci ve sunucularda
ayrı envanterlerinin çıkartılması ile bu madde
gerçekleştirilebilecektir.

3. Yazılım ve Donanım için
Güvenli Yapılandırma

Yetkili ve yetkisiz yazılım ve donanımların
doğru bir envanteri çıkartıldıktan sonra,
saldırı yüzeyini kontrol etme, en aza
indirme ve ağı koruma altına alma
aşamasına geçilebilir.

Yazılım ve donanımların doğru şekilde
yapılandırılması ile kuruluşların güvenlik duruşu
güçlendirilebilecek, aynı zamanda uygulama ve
işletim sistemlerinin istismar edilmesi
engellenebilecektir.

Varsayılan parola ve hesapların kullanımı, eski
tarihli veya güvenilir olmayan protokoller, açık
portlar, bilinmeyen ya da ilgisiz yazılımlar tespit
edilmesi gereken güvensiz yapılandırmalara örnek
gösterilebilir.

Mobil cihazlar, dizüstü ve masaüstü
bilgisayarlar ve sunuculardaki yazılım ve
donanımların konfigürasyonlarının güvenli
şekilde yapılandırılması gerekmektedir.

Saldırganların savunmasız noktaları istismar
etmelerini engellemek için bir yapılandırma
yöntemi geliştirmek, güvenlik yapılandırmasını
oluşturmak ve yönetmek (izlemek, raporlamak ve
düzeltmek) hedeflenir.

4. Zafiyet Taraması, Zafiyet
Değerlendirmesi ve Düzeltmeler

Siber saldırıların neredeyse tamamı bilinen güvenlik
açıklarından faydalanılarak gerçekleştirilmektedir.
Bu bilgi ışığında kuruluşların düzenli olarak güvenlik
açıklarını taramaları önerilmektedir.

Güvenlik açıklarının değerlendirilmesi ile kuruluşun
kritik bilgi varlıkları tanımlanır ve güvenliği tehdit
eden açıklar ortaya çıkartılarak iyileştirme
çalışmaları yapılabilir.

Kuruluşun güvenlik duruşunu izlemek,
değerlendirmek ve düzeltmek adına çok
önemli bir maddedir.

Kapsamlı bir güvenlik açığı yönetim programı
yürütmek, saldırıları tespit etmek, saldırganlar
için fırsat oluşturabilecek açıkları en aza indirmek
ve risk yönetimine proaktif bir yaklaşım
sergilemek için düzenli olarak güvenlik açığı
değerlendirmelerinin yapılması hedeflenir.

5. Yönetici Yetkilerinin
Kontrollü Kullanımının Sağlanması

Bu kontrol noktasında yönetici yetkilerinin makul
seviyelere çekilmesi hedeflenmektedir.

Yönetici yetkilerinin yalnızca işin etkin bir şekilde
yapılabilmesine yetecek kadar sınırlandırılması
ve sadece bu erişim seviyesine ihtiyaç duyan
kişilerce kullanılabilmesi anlamına gelmektedir.

Yönetici düzeyinde yetkilerin sınırlı sayıda çalışan
ile sınırlandırılması sonucu kuruluşlar çalışanların
hatalarından kaynaklanabilen güvenlik
ihlallerinden etkilenme olasılığını azaltabilecektir.

Siber saldırganların yönetici yetkileri bulunan bir
kullanıcı sayesinde zararlı yazılım içeren bir dosya
veya oltalama saldırısı ile hedef sisteme sızması
ve aynı yetkilerle var olması riski düşürülecektir.

Kuruluştaki bilgisayarlarda, ağlarda ve
uygulamalarda yönetici ayrıcalıklarının
kullanımını, atanmasını ve yapılandırılmasını
izlemek, kontrol etmek, önlemek ve
düzeltmek hedeflenir.

6. Logların Tutulması ve Analizi

Loglar; yaşanması muhtemel bir güvenlik
ihlalinde olay tespiti ve müdahalesi için bilgi
sağlayabilecek en önemli bileşenlerdir.

Güvenlik loglarını izlemeyen ve analiz
etmeyen kuruluşların muhtemel bir saldırıyı
tespit etmesi, anlaması veya bu saldırıdan
kurtulması çok zordur.

Kuruluşlarda logların tamamını incelemek
için gerekli zaman veya uzmanlığa sahip
yeterli personel bulunmaz ve bu nedenle de
sistemlerine olası izinsiz girişler veya ihlaller
sürekli olarak takip edilemez.

Bu kontrol noktası ile olası bir saldırının tespit
edilmesine, anlaşılmasına veya saldırı sonrası
durumun düzeltilmesine yardımcı olabilecek
logların toplanması, yönetilmesi ve analiz
edilmesi hedeflenmektedir.

7. E-posta ve Web Tarayıcı Korumaları

Siber saldırıların birçoğu web tarayıcıları ve e-
postalar aracılığıyla gerçekleştirilmektedir.
Tarayıcı ve e-postalar siber saldırganların
kuruluş personelleri ile doğrudan temas
kurabildikleri 3 noktadan 2’sini teşkil eder.

Saldırı yüzeyini küçültmek ve siber
saldırganların insan davranışlarını manipüle
ettiği oltalama (phishing) gibi sosyal
mühendislik saldırılarının zararlarını en aza
indirmek için web tarayıcıların ve e-posta
sistemlerinin korunması önerilir.

Yalnızca tam olarak desteklenen,
güncellenmiş ve onaylanan e-posta
istemcileri ve web tarayıcılarının kullanımına
izin verilerek, kuruluş çalışanlarının zararlı
yazılım, veri kaybı ve diğer birçok siber
saldırının kurbanı haline gelmesinin önüne
geçilebilir.

Saldırı yüzeyini ve saldırganların, web
tarayıcıları ve e-posta sistemleriyle
etkileşimleri yoluyla insan davranışlarını
manipüle etme çabalarını en aza indirmek
hedeflenir.

8. Zararlı Yazılımlara Karşı Tedbirler

Zararlı yazılımlar en sık karşılaşılan siber
saldırı türdür.
Bu maddede e-posta ekleri, web sayfaları,
son kullanıcı cihazları, bulut hizmetleri ve
bunlara benzer noktalardan gelebilecek
zararlı yazılımlara karşı korunma sağlanmaya
çalışılır.

Antivirüs, anti-spyware, firewall ve saldırı
tespit kabiliyetleri gibi zararlı yazılım
engelleme çözümleri ile fidye yazılımı gibi
zararlı yazılımların çoğunun önüne
geçilebilmektedir.

Zararlı yazılımların sisteme yüklenmesini,
sistemde yayılmasını ve birden fazla noktada
çalışmasını engellemek ya da kontrol altına
almak aynı zamanda daha hızlı ve etkin bir
müdahale süreci için otomasyondan
faydalanmak hedeflenir.

9. Ağda Yer Alan Portların Kısıtlanması ve
Kontrolü

Günümüzde siber saldırganlar gelişmiş
yöntemler ile sürekli olarak istismar
edebilecekleri ağları tarıyor ve saldırı
alanlarını genişletmeye çalışıyor.

Ağlarda bulunan portların (mail server, web
server, DNS server gibi) doğru kurulum ve
kontrolü ile saldırganların faydalanabileceği
güvenlik açıklarının sayısı azaltılabilmektedir.

Kuruluş çalışanları için varsayılan ağ
servislerinin kısıtlanması ile, saldırganların
varsayılan kullanıcı adı ve parolalar ile sızma
teşebbüsleri engellenebilir.

Saldırganların kullanabileceği güvenlik
açıklarını en aza indirmek için ağ bağlantılı
cihazlardaki port, protokol ve hizmet
kullanımının takip edilmesi, kontrol edilmesi
ve gerekli görülen düzeltmelerin yapılması
hedeflenir.

10. Veri Kurtarma Kapasitesi

Fidye yazılımı saldırıları büyük küçük
demeden tüm işletmeler için ciddi bir tehdit
oluşturuyor ve bu saldırıların giderek artan
sayıdaki kurbanları saldırıların ardından
olağan faaliyetlerini sürdürebilmek için kritik
verilerini geri almakta zorlanıyor.

Bu kontrol noktasında ihlal edilen, değiştirilen
veya silinen verilerin kurtarılabilmesi için
öneriler yer alır.

Kritik veriler için düzenli olarak veri
yedekleme yapılması ve yedekleme
prosedürüne ilgili sistemlerin dahil edilmesi
ile kuruluşlar bir güvenlik ihlali yaşadığında
daha hızlı aksiyon alabilecek ve kuruluşun
veri koruma uygunluk gereksinimlerini
karşılayabilecektir.

İhlale uğrayan verilerin zamanında
kurtarılabilmesi için kritik bilgilerin
doğrulanmış bir metodoloji ile doğru şekilde
yedeklenmesi için süreçlerin ve araçların
belirlenmesi hedeflenir.

11. Ağ Cihazlarının Güvenli
Konfigürasyonunun Yapılması

Çok sayıda kuruluş güvenlik yerine kullanım
kolaylığını tercih ederek üretici veya satıcılar
tarafından sağlanan ağ altyapısı cihazlarının
varsayılan yapılandırmalarını kullanmaya
devam eder.

Bu kontrol noktasında, saldırganların
yararlanabileceği güvenlik açıklarının sayısını
en aza indirmek için uygun yapılandırma
yönetimi ve kontrol süreçleri dahil tüm ağ
aygıtları için güvenli yapılandırma
uygulanması önerilir.

Özellikle açık portlar ve hizmetlerin,
varsayılan kullanıcı adı ve parolaların ya da
ilgisiz ancak cihazlar üzerinde ön yükleme ile
gelmiş yazılımların belirlenmesi kuruluşun
güvenlik duruşunda negatif etkiye sahip
olacağından incelenmelidir.

İyi bir konfigürasyon yönetimi ve değişim
kontrol süreci kullanarak ağ altyapısında
bulunan cihazların güvenlik konfigürasyonlarının
kurulması, uygulanması ve etkin bir şekilde
yönetilmesi (izleme, raporlama ve düzeltmeler
ile) hedeflenir.

12. Sınır Savunması – Boundary Defense

DMZ sistemleri, iş istasyonları ve dizüstü
bilgisayarlar gibi internet üzerinden istismar
edilebilecek sistemlerin yarattığı tehlikeler ele
alınır.

Siber saldırganların iç ortama erişimini
engellemek için trafik akışının kontrolü, güvenlik
duvarları, proxyler, DMZ çevre ağları ve izinsiz
giriş tespit ve önleme (IDS/IPS) çözümleri gibi
endpoint ürünlerinin kullanılması önerilir.

Güvenlik açısından zararlı olabilecek verilere
odaklanarak farklı seviyelerde bilgi aktarımı
yapan ağların akışını tespit etme, log izleme,
izinsiz giriş tespit ve gerekli görülen noktalarda
düzeltmeler yapma hedeflenir.

13. Veri Koruma

Kuruluşların birçoğu için verileri en kritik
varlıklarıdır ve aynı zamanda siber suçlular için
en kolay hedeftir.
Özellikle günümüzde kullanılan bulut sistemleri
ortamında bulutta bulunan verilerin korunması
öncelik haline gelmiştir.

Uygun veri koruma tekniklerine olan ihtiyaç
belirlenir ve verilerin sürekli korunması için
çeşitli yöntemler önerilir.
Veri şifreleme, veri kaybı önleme (DLP) ve
bütünlük koruma stratejilerinin bir
kombinasyonunu benimseyen kuruluşlar, veri
ihlali ve sızması risklerini sınırlandırabilmektedir.

Veri sızıntılarını önlemek veya ihlale uğrayan
verilerin etkilerini azaltmak ve hassas bilgilerin
gizlilik ve bütünlüğünü sağlayabilmek için
kullanılan işlem ve araçların iyileştirilmesi
hedeflenir.

14. Kontrollü Erişim

Kuruluşların çoğunda kritik ve hassas veriler için
erişim seviyelerinin sınırlandırılması yeterli
seviyede değildir.
Kuruluş çalışanlarının kuruluşa ait finansal,
operasyonel veya insan kaynakları ile ilgili
veriler gibi en hassas bilgilere kolaylıkla erişim
sağlayabildiği durumlara rastlanmaktadır.

Kuruluşlar ağ segmentasyonu, şifreli iletişim ve
diğer erişim denetimi türleri ile siber
saldırganların hassas verilere erişimini ve kötü
niyetli faaliyetlerde bulunmasını engelleyebilir.
Kontrollü erişim ile kuruluş çalışanlarının işlerini
yapmak için gereken verilerin dışında bilgilere
erişiminin engellenmesi önerilmektedir.

Onaylı bir sınıflandırma yapılarak hangi
çalışanların, hangi bilgisayarların ve hangi
uygulamaların kritik verilere erişme gereksinimi
olduğunun ve hangi haklara sahip olacağının
resmi olarak belirlenmesi, kritik verilere güvenli
erişimin izlenmesi, kontrol edilmesi ve gerekli
düzeltmelerin yapılması için gerekli süreçler ve
araçların belirlenmesi hedeflenir.

15. Kablosuz Ağa Erişimin Kontrolü

Siber saldırganların kuruluş ağlarına sızmasının
en kolay yollarından bir tanesi da kablosuz
ağlardır.
Bu kontrol noktası ile kuruluşların izinsiz giriş,
veri hırsızlığı ve zararlı yazılımlara karşı
korunması için kablosuz erişim kontrolünün
etkili bir şekilde yapılması önerilir.

Kuruluşlar, kullanılmakta olan kablosuz cihazlar
için yetkili yapılandırmalar ve güvenlik profilleri
uygulayarak kablosuz ağ güvenliğini büyük
ölçüde artırabilir.

Bunun için yetkisiz cihazlara erişim engeli
uygulanması, hedefli ağ taramalarının reddinin
sağlanması ve yetkili ve yetkisiz ağ erişim
noktalarının belirlenmesi gereklidir.

Kablosuz ağlarının, erişim noktalarının ve
kablosuz istemci sistemlerinin güvenlik
kullanımını izlemek, kontrol etmek, gerekli
önlemleri almak ve düzeltmeleri
gerçekleştirmek hedeflenir.

16. Hesap İzleme ve Kontrolü

Kuruluşlarda yaşanan işe giriş-çıkışlar nedeniyle
tüm eski çalışanlara ait kullanıcı hesaplarının
kapatılması zaman zaman unutulabilmektedir.
Bu durum nedeniyle eski kullanıcı hesaplarının
siber saldırganlar tarafından kendi çıkarlarına
yönelik olarak kullanıldığı durumlara
rastlanabilmektedir.

Kullanıcı hesaplarının izlenmesi ve kontrolü,
siber saldırganların etkin olmayan sistem veya
uygulama hesaplarından faydalanma ihtimalinin
azaltılması için önemli bir strateji olarak
belirtilir.

Kullanıcı hesapları sürekli izlenerek, ilgisiz veya
etkin olmayan hesaplar kaldırılabilecek ve siber
saldırganların veya eski çalışanların kritik
kurumsal verilere erişimi engellenebilecektir.

Sistem ve uygulama hesaplarının yaşam
döngüsünün aktif şekilde yönetilmesi (hesap
açma, kullanma, beklemeye alma veya silme) ile
siber saldırganların bunlardan faydalanma
fırsatlarını en aza indirmek hedeflenir.

17. Güvenlik Becerilerinin
Değerlendirilmesi ve Gerekli Görülen,
Uygun Eğitimlerin Verilmesi

Kuruluş siber güvenliği için en büyük riskin
çalışanlardan kaynaklandığı bilinmektedir.
Bu kontrol noktası ile kuruluş çalışanlarının
şirket ağındaki eylemlerinin potansiyel etkileri
üzerine eğitimler düzenlenmesi, siber güvenlik
becerilerinin değerlendirilmesi ve siber güvenlik
farkındalık eğitimleri verilmesi önerilmektedir.

Yalnız mevcut kuruluş çalışanlarının değil, işe
yeni başlayan her personelin kuruluş
sistemlerine erişimi olmadan önce bu eğitimi
alması da önemlidir.

Bu aşamada kuruluş çalışanlarına test amaçlı
yapılacak olan sosyal mühendislik testleri
ve/veya oltalama saldırıları ile mevcut durumun
raporlanması ve gerekli önlemlerin alınması da
sağlanabilir.

Kuruluş siber savunmasının desteklenmesi için
gereken özel bilgi, beceri ve yeteneklerin
belirlenmesi hedeflenmektedir.

18. Uygulama Yazılımlarının Güvenliği

Siber saldırganlar genellikle en kolay ele
geçirilebilir hedefleri seçmektedir ve bu
hedefler genellikle kurum içi veya edinilmiş
uygulama yazılımlarından ortaya çıkar.

18. kontrol noktasında; kodlama hataları,
mantık hataları, eski yazılım sürümleri gibi
uygulama güvenlik zafiyetlerini önlemek, tespit
etmek ve düzeltmek üzere öneriler sunulur.

Uygulamalarını yazılım güncellemeleri, yama
yönetimi ve güvenlik duvarı dağıtımları (firewall
deployment) ile güvence altına alan kuruluşlar,
uygulama güvenlik açıklarının saldırganlar
tarafından kolayca istismar edilmesini
engelleyebilecektir.

Özellikle kurum içi uygulama geliştiren
kuruluşların “Uygulama Geliştirme Yaşam
Döngüsü” (Software Development Life Cycle)
olarak tanımlanan iş akış modelinin devreye
alınması ve güvenlik parametrelerinin
eklenmesi gereklidir.

Güvenlik zafiyetlerinin tespit edilmesi,
önlenmesi ve düzeltmeler yapılması için şirket
içinde geliştirilen ve edinilen tüm yazılımların
güvenlik yaşam döngüsünün yönetilmesi
hedeflenir.

19. Olay Müdahalesi ve Yönetimi

Gerçek bir güvenlik ihlali ile karşılaşıldığında
uygun şekilde yürütülen olay müdahalesi ve
yönetimi mekanizmalarına yönelik ihtiyaç ele
alınır.

Artan siber saldırıların bir sonucu olarak
kuruluşların; olay tespiti yapabilmesi, bir siber
saldırı durumunda doğru tepkileri verebilmesi,
verilere ve finansal durumlarına veya
itibarlarına büyük zararlar gelmesini önlemek
için olayları hafifletme süreçlerini ve
prosedürlerini belirlemiş olmaları gerekir.

Saldırıların en hızlı şekilde tespit edilmesi,
hasarın etkin bir şekilde belirlenebilmesi,
saldırının durdurulması ve saldırganın
engellenmesi, ağın ve sistemlerin bütünlüğünün
yeniden sağlanması için bir müdahale alt
yapısının geliştirilmesi ve uygulanması
hedeflenir.

20. Sızma Testi Çalışmaları

Son kontrol noktası sızma testlerinin yapılmasını
önermektedir.
Modern güvenlik uygulamalarının vazgeçilmez
bir parçası haline gelen sızma testleri ile saldırı
simülasyonları yapılır ve sızma testi uzmanları
sistemdeki zafiyetleri tespit ederek kuruluş
riskleri raporlanır.

İç ve dış sızma testlerinin düzenli olarak
yapılması sonucu, kuruluşlar potansiyel
saldırılara ne derece hazır olduğunu görebilecek
ve saldırganlar istismar etmeden önce
zafiyetlerini giderebilecektir.

Saldırganların bakış açısı, amaçları ve eylemleri
simüle edilerek kuruluş savunmasının genel
gücünün test edilmesi hedeflenir.

SANS 20 Kritik Siber Guvenlik Kontrolü

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to SANS 20 Kritik Siber Guvenlik Kontrolü

Similar to SANS 20 Kritik Siber Guvenlik Kontrolü (20)

More from Sparta Bilişim

More from Sparta Bilişim (13)

SANS 20 Kritik Siber Guvenlik Kontrolü