Siber Güvenlik ve Bilgi Güvenliği-4: Saldırı Tespit ve Önleme Sistemleri
“Siber Güvenlik ve Bilgi Güvenliği” konularının detaylandırılacağı yazı dizisinin dördüncü ve son bölümüdür. (Önceki bölümler için bknz. Siber Güvenlik ve Bilgi Güvenliği-1, Siber Güvenlik ve Bilgi Güvenliği-2 ve Siber Güvenlik ve Bilgi Güvenliği-3: Siber Güvenliği Tehdit Eden Saldırı Vektörleri)
Saldırı tespit ve önleme sistemleri, bilgisayar ağlarında çeşitli türdeki siber saldırıları ve yetkisiz faaliyetleri tespit etmek ve önlemek için tasarlanmış güvenlik çözümleridir. Bu sistemler, ağ trafiğini analiz etmek, kötü niyetli girişimleri ve davranışları belirlemek ve tehditleri engellemek için teknolojiler, algoritmalar ve kuralların bir kombinasyonunu kullanır. Kurumlar genellikle bahsi geçecek sistemlerin kombinasyonlarını kullanarak çeşitli türdeki siber tehditlere karşı kapsamlı bir savunma sağlarlar.
Yaygın olarak kullanılan tespit ve önleme sistemleri bu bölümde detaylandırılacaktır.
1 Ağ Erişim Kontrolü (NAC)
Ağ erişim kontrolü, ağa bağlanmak isteyen cihazların izinlerini kontrol ederek, cihazları ağa kabul eden veya etmeyen bir ağ teknolojisidir. Büyük kurumsal ağların varlığı, yetkisiz erişimlerle mücadeleyi zorlaştırmaktadır. Yetkisiz erişimleri önlemek için çeşitli yöntemlere ihtiyaç duyulmaktadır. Ağ erişim kontrolü, bilgisayar korsanlarına ve zararlı yazılım içeren cihazlara karşı koruyucu bir önlem olarak hizmet vermektedir. Erişim kontrolü, bir kullanıcının sistemdeki kaynaklara erişim taleplerini yöneterek, yasal kullanıcıların izin verilen eylemleri gerçekleştirmesiyle ilgilidir. Erişim kontrolleri için genellikle 802.1x adı verilen bir protokol kullanılmaktadır. Bu protokol, ağdaki cihazlara hangi yetkilendirmelerle erişim izni verileceğine karar vermektedir. Yetkisiz erişim durumunda, cihazın bağlı olduğu port kapatılarak cihazın ağa erişimi engellenmektedir (Korkusuz, 2020).
2 Güvenlik Duvarları (Firewall)
Güvenlik duvarı, özel bir ağa gelen veya özel bir ağdan çıkan trafiği izleyen ve belirlenen güvenlik politikalarıyla izinsiz trafiği engelleyen bir ağ güvenlik cihazıdır. Güvenlik duvarları, ağ güvenliğinin temel ve köklü bir parçasıdır ve günümüz ağ güvenliği teknolojilerinin temelini oluşturur. Bilgisayar korsanlarına ve zararlı içerik taşıyan trafiğe karşı koruma sağlayarak ağın güvenliğini sağlar. Güvenlik duvarı, trafiği önceden belirlenen kurallara göre analiz eder ve saldırıları önlemek için filtreleme işlemi yapar, böylece bilgi alışverişi yapılan bağlantı noktalarını korur. Güvenlik duvarının gerçekleştirmesi gereken en önemli işlev, ağ trafiğini yönetmek ve denetlemektir. Genellikle bağlantıları izleyerek paket inceleme sonuçlarına ve gözlemlenen bağlantılara dayanarak bağlantıları filtreleyerek bu işlemi gerçekleştirir (Korkusuz, 2020).
Trafiğin filtrelenmesi için iki yaklaşım bulunmaktadır. Siyah liste yaklaşımında, tüm trafiğe erişim izni verilerek trafiğin analiz edilmesi sağlanır ve analiz sonucunda zararlı olabilecek trafiğin engellenir. Bu yaklaşımda, başlangıçta tüm trafiğe izin verilmesi güvenlik riski oluşturabilir. Belirli analizler ve imzalar kullanılarak trafiğin filtrelenmesi, beyaz liste yaklaşımına göre daha fazla bilgi gerektirir. Beyaz liste yaklaşımında ise, tüm trafiğe varsayılan olarak engel konulur ve güvenli trafiğe erişim sağlamak için beyaz liste oluşturulur. Bu yaklaşımda, siyah liste yaklaşımına göre başlangıçta daha düşük bir güvenlik riski vardır, ancak erişim sağlanması gereken trafiğin engellenme riski bulunur. Beyaz liste yaklaşımı, siyah liste yaklaşımına göre daha kolay ve daha az kaynak gerektirir (Korkusuz, 2020).
3 Hizmet Dışı Bırakma Saldırıları (DDoS) Önleme
DDoS önleme sistemleri, ağları ve sistemleri DDoS saldırılarına karşı korumak için tasarlanmıştır. DDoS saldırıları, hedeflenen ağı veya sistemi büyük miktarda zararlı trafikle yoğunlaştırarak, meşru kullanıcılara erişimi engeller. DDoS önleme sistemleri, DDoS saldırılarını tespit etmek ve engellemek için çeşitli teknikler kullanır.
DDoS önleme sistemlerinde yaygın olarak kullanılan bazı yöntemler şunlardır:
· Trafik İzleme ve Analizi: Bu sistemler, ağ trafiğini izler ve gerçek zamanlı olarak analiz ederek DDoS saldırısıyla ilişkilendirilebilecek anormal veya şüpheli hareketleri belirler.
· Hız Sınırlama ve Trafik Şekillendirme: DDoS önleme sistemleri, gelen trafiği kabul edilebilir sınırlar içinde tutmak için hız sınırları uygulayabilir. Trafik şekillendirme teknikleri, ağ trafiğinin akışını önceliklendirir ve kontrol eder. Böylece tıkanıklığı önler ve DDoS saldırısının etkisini azaltır.
· Zararlı IP Filtreleme: Bilinen zararlı IP adreslerinden gelen trafiği engeller. Böylece bilinen saldırganlardan ve bot ağlarından gelen trafiğin engellenmesi sağlanır.
· Anomalileri Tespit Etme: DDoS önleme sistemleri, DDoS saldırısı olabileceğini gösterebilecek olağandışı trafik davranışlarını belirlemek için anormallik tespit algoritmalarını kullanır. Bu, anormal trafik hacmi, olağandışı trafik desenleri veya tipik olmayan talep hızları içerebilir.
· Trafik Filtreleme ve Temizleme: Zararlı trafiği ayıklar ve yasal trafiği ayrıştırır. Bu genellikle, ağ paketlerinin içeriğini analiz eden derin paket inceleme teknikleri aracılığıyla yapılır ve zararlı trafik tespit edilerek engellenir.
· Yük Dengeleme: Gelen ağ trafiğini birden çok sunucu veya kaynak arasında dağıtarak yük dengelemesi, tek bir hedefi aşırı yükleme riskini önler ve sistemlerin genel dayanıklılığını ve erişilebilirliğini artırır.
· Bulut Tabanlı Koruma: Bazı DDoS önleme sistemleri, saldırıları engellemek veya hafifletmek için bulut tabanlı hizmetlerden yararlanır. Büyük miktarda gelen trafiği yönetebilen ve yasal trafiği hedef sisteme iletmek için zararlı istekleri filtreleyebilen bir bulut hizmet sağlayıcısı üzerinden yeniden yönlendirilir.
4 Web Uygulamaları Güvenlik Duvarı (WAF)
Web uygulaması güvenlik duvarı (WAF), web uygulamalarını ve uygulama sunucuları kötü niyetli saldırılardan koruyarak veri ihlallerini önlemeyi amaçlayan bir güvenlik cihazıdır. WAF, web sitesi sunucularına yönelen giriş trafiğini izleyerek web uygulamalarını siber zafiyetlere karşı korur. Kurumlar, web uygulamalarının yüksek düzeyde güvenli olmasını istemektedir. Ancak, siber suçlular, web uygulamalarının en büyük tehditlerinden biri olan potansiyel güvenlik açıklarını belirlemek için gittikçe karmaşık teknikler kullanmaktadır. Bu bağlamda, WAF, saldırıları engelleme ve önleme amacıyla web trafiğini inceleyen bir güvenlik duvarı türüdür (Başeskioğlu, 2021).
Web uygulamalarına yönelik tehditler ve veri ihlalleri önemli bir konudur. Kurumlar, uygulamalarını hızla piyasaya sürmek istedikleri için zaman baskısı altında kalmakta ve bu da genellikle geliştirme sorunlarına ve güvenlik açıklarına neden olmaktadır. Bu nedenle, WAF, işletmelerin hassas ve gizli verilerini korumalarına yardımcı olan kritik bir araçtır. Öte yandan, web uygulamaları ve kodları giderek karmaşık hale geldikçe, web trafiğindeki sorunları analiz edebilen, keşfedebilen ve azaltabilen bir sisteme daha fazla bağımlılık duyulmaktadır. WAF, kötü niyetli trafiği engelleyerek web uygulamalarını filtreleyip izler. Ayrıca yetkisiz verilerin web uygulamasından sızmasını da engeller (Başeskioğlu, 2021).
WAF ayrıca saldırganların web uygulamalarındaki açıklıkları kullanmasını engellemek amacıyla açıklıkları tarar. Bir açık keşfedildiğinde, otomatik olarak saldırganın bu açığı kullanmasını engeller ve hızla düzeltmeye yönelik çalışmalara odaklanır. WAF araçlarının her zaman güncel tutulması, güvenlik açıklarını tespit edebilmesi ve önceden bilinmeyen tehditleri engelleyebilmesi için önemlidir. WAF, olağan trafiği tanıyabilme özelliği sayesinde bir kuruluşun güvenlik zafiyetlerini keşfetmek için de kullanılabilir. Mevcut açıklıkları tespit edip düzeltebilir ve kuruluşların web uygulamaları üzerinde güvenlik testleri gerçekleştirebilir (Başeskioğlu, 2021).
Şekil 2’da WAF tarafından bloklanan şüpheli bir isteğe dair özet rapor görülmektedir. Belirlenen veri uzunluğunu aşan istek anomali yaratmış ve WAF tarafından kesilmiştir.
5 Güvenlik Bilgileri ve Olay Yönetimi (SIEM)
Güvenlik Bilgileri ve Olay Yönetimi (SIEM), bir işletmenin güvenlikle ilgili tüm olayları izlemek ve analiz etmek için kullanılan bir güvenlik yazılımıdır. SIEM, kullanıcılar, sunucular, ağ cihazları ve güvenlik duvarları tarafından oluşturulan günlük olay verilerini toplayarak işletmenin altyapısındaki güvenlik durumunu değerlendirir. Güvenlik Bilgi Yönetimi (SIM) veya Güvenlik Olayı Yönetimi (SEM) olarak da bilinen bu terimler genellikle birbirinin yerine kullanılır. Güvenlik Bilgileri Yönetimi (SIM), günlük verilerinin toplanması, depolanması, uyumluluğun sağlanması ve analizi üzerine odaklanır. Güvenlik Olayı Yönetimi (SEM) ise gerçek zamanlı izleme, uyarılar, tehdit algılama ve güvenlik olaylarının takibi konularında önceliklidir. Son yıllarda SIEM, SIM ve SEM terimleri birleştirilerek güvenlik olaylarının yönetiminden analizine, eyleme geçirilmesine ve raporlanmasına kadar her aşamayı kapsayan genel bir terim haline gelmiştir (SIEM (Güvenlik Bilgileri ve Olay Yönetimi) Nedir? Bulut Bilişim Ortamında Güvenliğin Önemi, Anonim, 2021).
SIEM, tüm veri kaynaklarından gelen olay günlüklerini ve günlük verilerini toplayarak çalışır. Kullanıcılar, sunucular, ağ cihazları, IP adresleri, uygulamalar ve güvenlik duvarları gibi unsurların ürettiği olay günlükleri, tek bir merkezi sistemde birleştirilir, tanımlanır ve kategorilere ayrılır. Olay günlükleri, tüm etkinliklerin, hataların, bilgi mesajlarının ve uyarıların bir kaydını temsil eder. Başarısız oturum açma denemelerinden kötü amaçlı yazılım etkinliklerine kadar her türlü olayı içerebilir ve işletmenin altyapısında tam bir gözlem sağlayarak olayları, kullanıcı etkinliğini ve olası tehditleri tespit etmeyi mümkün kılar (SIEM (Güvenlik Bilgileri ve Olay Yönetimi) Nedir? Bulut Bilişim Ortamında Güvenliğin Önemi, Anonim, 2021).
6 Güvenli E-Posta Ağ Geçidi (SMG)
Güvenli e-posta ağ geçidi, kurumu istenmeyen zararlı içeriklerden korumak ve hedef alıcılara ulaşmasını engellemek için kullanılan sistemlerdir. Zararlı, istenmeyen içerikli mailler; kurum politikasını ihlal eden, zararlı yazılım barındıran, istenmeyen bilgi mailleri olabilmektedir. Bu sistemler birden fazla modüllerden oluşabilmektedir. Zararlı yazılım filtreleme, e-postaların içerisinde bulunan zararlı yazılımları tespit edip zararlı maillerin alıcılara ulaşmasını engellemektedir. Zararlı maillerin alıcılara ulaşma riskini azaltmak için e-posta güvenlik ağ geçitlerinin üzerinde bulunan anti virüs imza veri tabanlarının güncel olması ve her mailin incelenmesi gerekmektedir (Korkusuz, 2021).
Bilgisayar korsanları tarafından kurum ağlarına sızıp verileri çalmak, bozmak, kurumu itibar kaybına uğratmak için zararlı içerikli mailler sıklıkla kullanılmaktadır. Maillerin hedeflerinin insan olduğu, insanı aldatmanın da sistemi aldatmaya göre daha kolay olduğu bilindiğinden dolayı zararlı içerikli maillerin hedef olan son kullanıcıya iletilmesinin engellenmesi gerekmektedir. Bu nedenle e-posta güvenlik ağ geçidi kullanımı oldukça önemli bir konudur (Korkusuz, 2021).
7 Vekil Sunucu (Proxy)
Bir vekil sunucusu, bilgisayar veya akıllı telefon gibi istemci cihaz ile internet arasında bir aracı sunucu olarak çalışmaktadır. Bir istemci cihaz belirli bir kaynağa veya web sitesine erişim isteği gönderdiğinde, istek önce vekil sunucusuna gönderilir. Vekil sunucusu isteği değerlendirir ve istemci adına hedef sunucuya iletilir. Bir vekil sunucusunun temel amacı, performansı artırmak, güvenliği iyileştirmek ve anonimlik sağlamak gibi çeşitli işlevleri sunmaktır.
Vekil sunucuları sık erişilen web sayfalarını ve kaynakları önbelleğe alabilir, yerel bir kopya saklayabilir. Aynı içerik için yapılan sonraki isteklerde, vekil sunucusu orijinal sunucudan almak yerine önbelleğe alınmış sürümü sunabilir. Bu, bant genişliği kullanımını azaltır ve istemciler için yanıt süresini hızlandırır.
Vekil sunucuları, istemci cihazlar ve internet arasında bir tampon görevi görerek ek bir güvenlik katmanı sağlar. Zararlı veya yetkisiz istekleri filtreleyebilir ve engelleyebilir, böylece istemciye veya hedef sunucuya ulaşmalarını önler. Vekil sunucuları ayrıca güvenlik politikalarını uygulayabilir, belirli web sitelerine erişimi sınırlayabilir veya içerik filtreleme gerçekleştirebilir.
Vekil sunucuları, istemcinin IP adresini ve diğer kimlik bilgilerini gizleyerek bir düzeyde anonimlik sağlar. Vekil sunucu üzerinden giden istemci istekleri, vekil sunucusunun IP adresinden internete erişir, bu da gizliliği ve kimliği korumaya yardımcı olur.
Vekil sunucuları, belirli kaynaklara veya web sitelerine erişimi kontrol etmek için kullanılabilir. Kurumlar genellikle vekil sunucularını internet kullanım politikalarını uygulamak, belirli web site kategorilerine erişimi sınırlamak (örneğin sosyal medya veya yetişkin içerik) veya bant genişliği kullanımını sınırlamak için kullanır.
Özetle, vekil sunucular performans iyileştirmek, güvenlik seviyesini artırmak, gizlilik sağlamak ve erişim kontrol politikalarını belirlemek için kullanılmaktadır.
Önceki yazılar da dahil olmak üzere, genel bir özetle; kurumlar siber güvenliğini ve bilgi güvenliğini önceliklendirerek, kritik varlıklarını koruyabilir, itibarlarını koruyabilir ve paydaşların güvenini sağlayabilirler. Bu çalışmada detaylandırılan kavramlar, kurumların siber güvenlik uygulamalarını geliştirmeleri ve giderek dijitalleşen bir dünyada siber tehditlere karşı dirençlerini sağlamlaştırmaları için bir temel olarak hizmet edebilir.
Faydalı olması dileğiyle.
Kaynaklar:
Akdeniz, Ö. (2023) Kurumlarda Siber Güvenlik ve Bilgi Güvenliği. Yüksek Lisans Bitirme Projesi. İstanbul Arel Üniversitesi, İşletme Ana Bilim Dalı.
Korkusuz, A. (2020). Kurumlarda Siber Güvenlik ve Siber Riskler. Yüksek Lisans Tezi. İstanbul: Bahçeşehir Üniversitesi İşletme.
Meeting Security Goals with Firewall Topologies (2023) https://www.ccexpert.us/network-design-2/meeting-security-goals-with-firewall-topologies.html (23 Mayıs 2023).
Başeskioğlu, M.Ö. (2021). Siber Güvenlik, Bilgisayar Ağları, Kimlik Avı, Kötü Amaçlı Yazılım, Fidye Yazılımı, Sosyal Mühendislik Biçiminde Korsanlıktan Korunmaya Yönelik İncelemeler ve Bir Uygulama. Yüksek Lisans Tezi. Yalova: Yalova Üniversitesi Adli Bilişim Anabilim Dalı.
SIEM (Güvenlik Bilgileri ve Olay Yönetimi) Nedir? Bulut Bilişim Ortamında Güvenliğin Önemi (2021) https://bulutistan.com/blog/siem-nedir/ (24 Mayıs 2023).
