Siber güvenlik çerçeveleri, kuruluşların siber güvenlik duruşlarını yönetmelerine ve iyileştirmelerine yardımcı olmak için tasarlanmış yapılandırılmış kılavuzlar, en iyi uygulamalar ve standartlardır. Siber güvenlik karmaşık görünse de durum genellikle böyle değildir. Aynısı çerçeveler için de geçerlidir, birçoğu derinlemesine incelendiğinde oldukça anlaşılır hale gelir. Peki bunları nasıl anlayabilir ve kendi avantajınıza kullanabilirsiniz? ESET’ten siber güvenlik uzmanı Dušan Kaštan, konuya bakış açısını ve değerli tavsiyelerini paylaştı.
Siber güvenlik çerçeveleri nedir ve nasıl basitleştirilir?
İnsanlar güvenlik çerçevelerini düşündüklerinde genellikle karmaşıklıklarından korkarlar. Sizin bu konudaki görüşünüz nedir?
Belki de sorunlardan biri, çevrimiçi bilgi aradığınızda çok sayıda kaynak arasında gezinmenin ve yararlı tavsiyeler bulmanın zor olabilmesidir. Karşılaşabileceğiniz pek çok makale çerçeveleri özetlemeye çalışıyor ancak bunlar güvenilir değil ve eski verileri yenileriyle karıştırıyor. Ya da işin tamamen farklı kısımlarına odaklanan çerçeveleri bir araya getirip okuyucuya “Şimdi seç” diyorlar. Ancak bir kuruluşun tüm bu çerçeveleri aynı anda kullanması büyük olasılıkla fayda sağlayacaktır.
Çeşitli güvenlik çerçevelerinin amacı aynıdır; işinizi korumak. Ancak genellikle bu amaca farklı adımlarla ulaşmaya çalışırlar. Sonuç olarak, şirketinizi korumak için tek bir çerçeveye güvenmemelisiniz. İdeal olan üç veya dört tanesini gözden geçirin ve işletmenizi birden fazla açıdan korumak için bunları kullanın.
Peki, bir şirket sahibi olsaydım, çerçeveleri nasıl belirlemeliydim?
Başlamanın en kolay ve pratik yolu, kendi evinizi küçük bir şirket olarak hayal etmek ve çerçeveyi orada uygulamaya çalışmaktır. Bu sadece işletme sahiplerinin değil herkesin yapabileceği bir şeydir. Bu, çerçeveleri gerçekten anlamanıza, kapsamlarını görmenize ve etkilerini hissetmenize yardımcı olabilir.
Şirketlerinin BT’sini dışarıdan temin edenler gibi bazı işletme sahipleri için bu oldukça zor ve belki de gereksiz değil mi?
Tam tersine. Şirketinizin BT’si için dış kaynak veya bir MSP kullanıyor olsanız bile çerçeveleri anlamak önemlidir. Bir MSP’den bazı hizmetler satın almak istediğinizi ancak bu hizmetlerin ne olduğunu veya neleri içerdiğini bile bilmediğinizi düşünün. Ya da çeşitli hizmetler arasında seçim yapmanız gerekiyor ancak aralarındaki farkın ne olduğu hakkında hiçbir fikriniz yok. Bu hiç mantıklı değil, değil mi? Çerçeveleri kendi başınıza test etmek her işletme sahibi ve aslında şirketi için faydalı olabilir.
Siber güvenlik çerçeveleri gerçek hayattaki durumlara ve yaygın tehditlere dayanmaktadır. Ve teknoloji son derece dinamik bir alan olduğu için zaman içinde değişirler. Bu nedenle her zaman yayımlanma tarihine dikkat etmeli ve güncel olan çerçeveleri kullanmalısınız.
Güvenlik çerçeveleri uygularken atılacak pratik adımlar
“Ev” testi için en uygun çerçeve hangisidir?
GCA Siber Güvenlik Araç Kiti başlamak için iyi bir yerdir. Güvenlik çerçeveleri dünyasına attığınız ilk adımlarda size yardımcı olabilir. Bireysel ya da küçük bir şirket olmanıza göre farklı araç setleri arasından seçim yapabilirsiniz. Her araç seti siber güvenliğin şifreleme, parola güvenliği, yedekleme ve daha fazlası gibi çeşitli yönlerini açıklar. Ardından, tüm bu olası güvenlik açıklarını teker teker ele almanız için size rehberlik eder. Bunlardan herhangi birini atlarsanız, savunmasız kalırsınız. Ve bu yaygın bir sorundur.
Örneğin, BT uzmanları genellikle kimlik avı hakkında bilgi sahibidir, bu nedenle bu konuda kendilerine yardımcı olabilecek yazılımları indirirler; ancak siber güvenliğin şifreleme gibi çok karmaşık buldukları ve uğraşmak istemedikleri kısımları da vardır. Çözümleri bunları atlamak oluyor ki bu da sonuçta açıkta kalmaları anlamına geliyor. Siber güvenlik çerçeveleri BT uzmanlarının daha sistematik olmalarına ve temel adımlardan hiçbirini gözden kaçırmamalarına yardımcı olabilir.
Çerçeveler söz konusu olduğunda nereden başlarsınız?
CIS’ın takip edebileceğiniz iyi bir rehberi var. Bu çerçeve özellikle KOBİ’ler için yararlıdır ancak daha büyük işletmeler bile kullanımından faydalanabilir. İlkinden başlayarak ve ilerledikçe daha karmaşık hale gelerek uygulayabileceğiniz birkaç katmana sahiptir. Ana kural, ilk katmanın tüm noktalarını yerine getirerek ikinciye, ardından üçüncüye geçmek ve bu şekilde devam etmektir. Küçük işletmeler için belki sadece ilk katman gerekli olabilir ancak daha büyük işletmeler ikinci veya üçüncü katmana geçebilir ve geçmelidir.
Peki ya NIST çerçevesi?
Bu biraz daha teorik bir konu. Aynı zamanda daha kapsamlıdır. İncelendiğinde NIST, CIS çerçevesinde tanımlanmayan risk değerlendirmesini kapsıyor. Öte yandan, CIS kadar öğretici değildir. CIS size ne yapmanız gerektiğini söylerken NIST güvenliğinizin bir yönüne işaret ediyor ve size “İşte kapsamanız gereken şeyler” diyor. CIS çerçevesini NIST ile birleştirirsek çok faydalı bir kombinasyon elde ederiz. NIST size güvenliğini sağlamanız gereken pek çok farklı varlık hakkında bilgi verirken CIS sizin adım adım rehberiniz olabilir.
Faydalı bağlantılar:
CIS çerçevesi hakkında daha fazla bilgi almak için buraya tıklayın. Farklı katmanları görmek ve CIS çerçevesinin adım adım nasıl uygulanacağını öğrenmek için buraya tıklayın. Farklı katmanları görmek ve CIS çerçevesinin adım adım nasıl uygulanacağını öğrenmek için buraya tıklayın. CIS çerçevesi hakkında en sık sorulan sorulara göz atmak için buraya tıklayın. NIST çerçevesi, faydaları ve uygulama olanakları hakkında daha fazla bilgi almak için buraya tıklayın. |
Temellere geri dönelim. Güvenlik çerçeveleri uygulamak gerçekte nasıl görünür?
Yapmanız gereken tek şey çerçeveler tarafından açıklanan adımları takip etmektir. Örneğin, CIS çerçevesi detaylı bir varlık envanteri ile başlanmasını tavsiye etmektedir. Bundan sonra CIS çerçevesine göre ikinci adım yazılım envanteridir. Bu, kendinize şu soruları sormanız gerektiği anlamına gelir: Şirketimiz hangi yazılımları kullanıyor? Her bir yazılımın kaç örneği var? Cihazlarımızda yakın zamanda güncellenmemiş, kullanılmayan uygulamalar var mı? Bir cihazdaki her bir güvenlik açığı potansiyel olarak tüm şirket için bir güvenlik açığı olabilir, bu nedenle potansiyel olarak güvensiz tüm uygulamaları kademeli olarak ortadan kaldırmalısınız.
Bu oldukça faydalı.
Evet, demek istediğim de tam olarak bu. Pek çok çalışan bir güvenlik çerçevesini takip etme ihtiyacı hissetmiyor ve hatta işletme sahipleri bile siber güvenliğin yalnızca BT ekiplerinin odaklanması gereken bir konu olduğuna inanıyor. Çerçeveler hem daha geniş hem de çok daha küçük ölçekte faydalı olabilir. Siber güvenlik çerçeveleri, bilinmeyen akıllı bir kişi tarafından yazılmış kurallarla dolu bir kağıt parçası değildir. Sizin yararınız için vardır ve aksi takdirde gözden kaçırabileceğiniz güvenlik açıklarından kaçınmanıza yardımcı olurlar. Önemli olan bunları nasıl etkili bir şekilde kullanacağınızı öğrenmektir.
Siber güvenlikte yaygın yanılgılar ve gözden kaçan güvenlik açıkları
Şirketlerin sıklıkla gözden kaçırdığı bazı siber güvenlik açıkları nelerdir?
Bu soruya kesin bir yanıt verebilmem için çok büyük miktarda veriye erişmem gerekir ki buna sahip değilim. Ancak siber suçlular tarafından en çok hangi varlıkların hedef alındığına ilişkin bilgileri paylaşabilirim. Hedef alınan bu varlıklar ile gözden kaçan güvenlik açıkları arasında net bir bağlantı olduğu görülüyor. Siber suçlular en kolay giriş noktaları olarak algıladıkları şeylere odaklanırlar. Ancak cevaba ulaşmak için birçok saldırı mobil cihazları hedef alıyor. Zayıf parolalar ve şifreleme eksikliği de genellikle bir sorundur. Son olarak, şirketlerin en temel uygulamalardan birinde de başarısız olduklarına inanıyorum: Sistemlerinde hangi cihazlara sahip olduklarına dair mükemmel bir genel bakışa sahip olmak.
ESET PROTECT, bağlı aygıtlardan aygıtın RAM’i, depolama alanı ve işlemcisiyle ilgili ayrıntılar gibi donanım envanteri ayrıntılarını alma özelliğine sahiptir. Hatta bağlı cihazların donanım envanteri ayrıntılarına göre özel dinamik gruplar oluşturabilirsiniz.
Sizce çerçeveler veya genel olarak siber güvenlikle ilgili bazı yaygın yanlış kanılar nelerdir?
Çalışanlar genellikle siber güvenliği çok karmaşık tehditlerle ilişkilendirir. Ancak en yaygın ve dolayısıyla en tehlikeli tehditler genellikle oldukça basittir. Örneğin, çalışanlar birisinin telefonlarını hackleyebileceğini ve verilerine ulaşabileceğini varsayar. Gerçekte, bilgisayar korsanlarının birisinin kamuya açık bir yerde kimlik bilgilerini girmesini beklemesi ve ardından gözetimsiz bırakıldığında cihazı çalması çok daha olağandır. Şirketler siber güvenliğin ve genel olarak güvenliğin temellerine daha fazla dikkat etselerdi bu sorun kolayca önlenebilirdi. Akla gelen bir başka yaygın yanlış kanı da var.
Hangisi?
Şirketler, özellikle de küçük olanlar, genellikle şunu merak eder: “Neden bilgisayar korsanları için ilginç bir hedef olayım ki? Şüphesiz, onların kızartacak daha büyük balıkları vardır.” Ne yazık ki bu inanç bazen şirketlerin siber güvenliği ihmal etmesine yol açıyor. Ancak gerçek şu ki tüm saldırılar özellikle şirketleri hedef almıyor. Birçok siber suçlu, Hizmet Olarak Fidye Yazılımı ve benzeri yöntemleri kullanarak gelişigüzel saldırmaktadır. Paradoksal olarak, bu dikkat eksikliği küçük işletmeleri siber suçlular için mükemmel hedefler haline getirmektedir. Bu nedenle, küçük işletmeler bile siber güvenliğe öncelik vermelidir ve çerçevelerin uygulanması savunmalarını önemli ölçüde artırabilir.