Microsoft Tehdit Analizi Pod Yayını’ndaki uzmanlardan doğrudan içgörüler edinin. Şimdi dinleyin.
CISO Insider: Sayı 3
CISO Insider serisindeki üçüncü sayımıza hoş geldiniz. Adım Rob Lefferts ve Microsoft Defender ve Sentinel mühendislik ekiplerini yönetiyorum. Bu seriyi bir yıl kadar önce, aranızdan bazılarıyla yaptığımız tartışmalarımızda ve siber güvenliğin ön saflarında çalışırken elde ettiğimiz tecrübe ve yaptığımız araştırmalarda elde ettiğimiz içgörüleri paylaşmak için başlattık.
İlk iki sayımızda, fidye yazılımı gibi yaygınlaşan tehditlerden ve güvenlik liderlerinin, bir yandan bu alanda çalışan kişi sayısının yetersizliği ile boğuşurken bir yandan bu tehditlere etkin şekilde yanıt verebilmek için otomasyon ve beceri kazandırma fırsatlarından nasıl yararlandığından söz etmiştik. Mevcut ekonomik belirsizlik ortamında verimli çalışması daha da zorlaşan CISO’ların birçoğu, bulut tabanlı çözümlerle bütünleşik yönetilen güvenlik hizmetlerinin kullanımını iyileştirmeye çalışıyor. Bu sayımızda da kurumlar, şirket içi sistemlerden IoT cihazlarına, dijital varlıklarındaki her şeyle birlikte giderek daha bulut merkezli bir modele geçerken ortaya çıkan güvenlik önceliklerini inceleyeceğiz.
Genel bulut; güçlü temel güvenlik artı uygun maliyet artı ölçeklenebilir programlama ile üçlü bir kazan-kazan sistemi sunarak bütçelerin giderek kısıldığı bir dönemde temel bir kaynak haline geliyor. Ancak bu üçlü oyunla birlikte genel bulut ve özel bulutlar ile şirket içi sistemler arasındaki bağlantı noktalarında oluşan “boşluklara dikkat etme” gereksinimi de doğuyor. Burada güvenlik liderlerinin; ağdaki cihazlar, uç noktalar, uygulamalar, bulutlar ve yönetilen hizmetler arasındaki liminal alanlarda güvenliği nasıl yönettiğine bakacağız. Son olarak da bu güvenlik zorluğunun zirve noktasını temsil eden iki teknolojiyi, IoT ve OT’yi inceleyeceğiz. Biri yeni, diğeri eski olup her ikisi de yeterli yerleşik güvenliğe sahip olmadan ağa dahil edilen ve iki zıt noktada bulunan bu teknolojilerin birbirine yakınlaşması, saldırılara açık, gözenekli bir kenar meydana getiriyor.
Sayı 3’te, bu üç bulut merkezli güvenlik önceliğini inceleyeceğiz:
Bulut güvenlidir ama siz bulut ortamınızı güvenli şekilde yönetebiliyor musunuz?
Kurumlar, ekonomik kısıtlara ve bu alanda çalışan kişi sayısının yetersizliğine karşı verimli çözümler aradığından buluta geçiş giderek artıyor. CISO’lar, temel güvenlik konusunda genel bulut hizmetlerine güveniyor olsa da bulut, ancak müşterinin genel bulut ile özel alt yapı arasındaki arabirimi yönetebilme becerisi kadar güvenlidir. Biz de güvenlik liderlerinin, güçlü bir bulut güvenliği stratejisi ile örneğin, bulut duruş yönetimi ve bulut yerel uygulama koruma platformu (CNAPP) gibi araçlarla bulut uygulamaları ve iş yüklerini güvence altına alarak bu açığı nasıl kapattığını inceleyeceğiz.
Kapsamlı bir güvenlik duruşu, görünürlükle başlar ve önceliklendirilmiş risk yönetimiyle sona erer.
Buluta geçişin artmasıyla birlikte hizmet, uç nokta, uygulama ve cihazların sayısı da artmaya başladı. CISO’lar, kritik bulut bağlantı noktalarını yönetecek bir stratejiye ek olarak, büyüyen dijital ayak izleri üzerinde daha fazla görünürlüğe ve koordinasyona yani kapsamlı bir duruş yönetimine de ihtiyaçları olduğunu fark ediyor. Biz de güvenlik liderlerinin, yaklaşımlarını, sadece saldırılara engel olmakla sınırlı bırakmayıp (ki işe yaradığı sürece hala en iyi savunma budur) varlıkların envanterinin çıkarılması ve iş risklerinin modellenmesine ve elbette kimlik ve erişim denetiminin sağlanmasına yardımcı olan kapsamlı duruş yönetimi araçları aracılığıyla riski yönetmeyi de ekleyecek şekilde geliştirmesini inceleyeceğiz.
Fazlasıyla çeşitlilik içeren hiper ağlı IoT & OT ortamını dizginlemek için Sıfır Güven ve hijyenden destek alın.
Bağlı IoT ve OT cihazları sayısında katlanarak devam eden artış, güvenlik sorunları oluşturmaya devam ediyor. Özellikle de buluta özel, üçüncü taraf araçlarla ağ iletişimi için güçlendirilmiş eski ekipmanların karışımından oluşan teknolojileri bir araya getirmenin zorluğu düşünülürse. Dünya genelindeki IoT cihazlarının sayısının 2025 yılında 41.6 milyara ulaşarak siber saldırılarda giriş noktası olarak bu cihazları kullanan saldırganlar için saldırı yüzey alanını artırması bekleniyor. Bu cihazlar, genellikle ağdaki güvenlik açığı noktaları olduklarından hedef alınırlar. BT ağına, güvenlik ekibinden gelen açık yönlendirmeler olmadan geçici statüyle tanıtılıp bağlanmış, üçüncü taraflarca temel güvenlikten yoksun şekilde geliştirilmiş veya özel protokol ve uygunluk gereksinimleri (OT) gibi zorluklar nedeniyle güvenlik ekibi tarafından yetersiz şekilde yönetilmiş olabilirler. Kaç BT liderinin, IoT/OT güvenlik stratejilerini, bu boşluklarla dolu kenarda hareket edebilecek şekilde güncelleştirmekte olduğu hakkında bilgi edinin.
Bulut güvenlidir ama siz bulut ortamınızı güvenli şekilde yönetebiliyor musunuz?
Bütçelerin daraldığı ve sektörde çalışan sayısının yetersiz olduğu bir dönemde bulut birçok avantaj sunuyor: uygun maliyet, sınırsız şekilde ölçeklenebilir kaynaklar, son teknoloji araçlar ve birçok güvenlik liderlerinin şirket içinde elde edemeyeceğini düşündüğü kadar güvenilir veri koruması. CISO’lar, eskiden bulut kaynaklarını, maruz kaldıkları riski azaltmak için uygun maliyetten vazgeçmek gibi bir bedel olarak görürken bugün konuştuğumuz güvenlik liderlerinin büyük bir kısmı, bulutu yeni normal olarak kabul etmiş durumda. Bulut teknolojisinin güçlü temel güvenliğine güveniyorlar. Bir CISO şöyle diyor: “Bulut hizmeti sağlayıcılarının; kimlik ve erişim yönetimi, sistem güvenliği ve fiziksel güvenlik konularında sorunları çözdüklerini düşünüyorum.”
Ama birçok güvenlik liderinin farkında olduğu üzere temel bulut güvenliği, verilerinizin güvende olduğunu garanti etmez. Buluttaki verilerinizin güvenliği; büyük ölçüde bulut hizmetlerinin, şirket içi sistemler ve şirketin kendi teknolojisi ile birlikte uygulanma şekline bağlıdır. Risk, bulut ve geleneksel kurumsal sınırlar, ilkeler ve bulutu güvenceye almak için kullanılan teknoloji arasındaki boşluklardan doğar. Bazı yanlış yapılandırmalar olabilir ve bu da sıklıkla, kurumların ihlale açık hale gelmesine neden olup bu boşlukların tespit edilmesi ve kapatılması yükümlülüğünü de güvenlik ekiplerine bırakır.
“İhlallerin büyük bir kısmı, yanlış yapılandırmadan kaynaklanıyor. Biri, yanlışlıkla bir şeyleri yanlış yapılandırıyor veya bir şeyi değiştirerek verilerin sızmasına neden oluyor.”
Kamu Hizmetleri – Su, 1.390 çalışan
2020 yılında %50 olan yetersiz kimlik, erişim ve ayrıcalık yönetiminden kaynaklanan bulut güvenliği ihlallerinin oranı, 2023 yılında %75’e yükselecek (Bulut güvenliğindeki en büyük risk, yanlış yapılandırma ve güvenlik açıkları: Rapor | CSO Online). Burada esas sorun, bulut güvenliğinin kendisinde değil, erişimi güvenli tutmak için kullanılan ilkeler ve denetimlerde. Bir finansal hizmetler CISO’sunun da ifade ettiği gibi “Bulut güvenliği, doğru kullanıldığı takdirde oldukça iyidir. Bulutun kendisi ve bileşenleri güvenlidir. Ama yapılandırma sizin elinizde: Kodumu düzgün yazıyor muyum? Kurum genelindeki bağlayıcılarımı doğru şekilde ayarlıyor muyum?” Bir başka güvenlik lideri ise durumu şöyle özetliyor: “Hizmetleri tehdit aktörlerine açık hale getiren, bu bulut hizmetlerinin yanlış yapılandırılması.” Bulutun yanlış yapılandırılmasındaki risklerin farkına varan güvenlik lideri sayısı arttıkça bulut güvenliği hakkındaki tartışmalar da “Bulut güvenli mi?” sorusu yerine “Bulutu güvenli şekilde kullanıyor muyum?” sorusu etrafında şekillenmeye başladı.
Bulutu güvenli şekilde kullanmak ne anlama geliyor? Konuştuğum liderlerin birçoğu, bulut güvenliği stratejisine sıfırdan yaklaşarak en başta kimlik ihlalleri ve yanlış yapılandırmalar gibi, kurumu riske açık hale getiren insan hatalarını ele alıyor. Bizim tavsiyemiz de bu yönde: Her bulut güvenliği stratejisinin temelinde kesinlikle kimliklerin güvenliğini sağlamak ve erişimlerini uyarlanabilir şekilde yönetmek yer almalıdır.
Hala ikilemde olanlar için şu bilgi faydalı olabilir: McAfee, açığa çıkan kayıtların yüzde 70'ine denk gelen 5,4 milyar kaydın, yanlış yapılandırılmış hizmetler ve portallar nedeniyle ele geçirildiğini bildirdi. Erişimi, kimlik denetimleri vasıtasıyla yönetmek ve güçlü bir güvenlik hijyeni sağlamak, eksikleri kapatmakta oldukça etkili olabilir. McAfee, benzer şekilde, açığa çıkan kayıtların yüzde 70'ine denk gelen 5,4 milyar kaydın, yanlış yapılandırılmış hizmetler ve portallar nedeniyle ele geçirildiğini bildirdi. Erişimi, kimlik denetimleri vasıtasıyla yönetmek ve güçlü bir güvenlik hijyeni sağlamak, eksikleri kapatmakta oldukça etkili olabilir.
Sağlam bir bulut güvenliği stratejisi şu en iyi deneyimlerden oluşur:
1. Uçtan uca bir bulutta yerel uygulama koruması platformu (CNAPP) stratejisi uygulayın: Güvenliği yönetirken parçalı araçlar kullanmak, korumada kör noktalara ve daha yüksek maliyetlere neden olabilir. Koddan buluta kadar her yerde güvenliği sağlamanıza olanak tanıyan hepsi bir arada bir platforma sahip olmak, buluttaki toplam saldırı yüzeyini azaltmak ve tehdit korumasını otomatikleştirmek için oldukça önemlidir. CNAPP stratejisi, şu en iyi deneyimlerden oluşur:
a. Güvenliğe en baştan, DevOps aşamasından itibaren öncelik verin. Bulut uygulamaları geliştirme telaşında güvenlik göz ardı edilebiliyor. Geliştiriciler, iş sorunlarını hızlıca çözme arzusunda olduklarından bulut güvenliği becerisinden yoksun olabiliyorlar. Bunun sonucunda da doğru veri yetkilendirme kuralları olmadan birçok uygulama oluşturulabiliyor. Bulut uygulamaları bu hızla geliştirilirken kurumların bunları takip edebilmesi genellikle mümkün olmadığı için de API’ler, korsanların bir numaralı hedefi haline geldi. Gartner, “API dağınıklığını” büyüyen bir sorun olarak nitelendirip 2025 yılında, kurumsal API’lerin ancak yarısından azının yönetilebileceğini öngörüyor (Gartner). Bu nedenle mümkün olan en kısa sürede bir DevSecOps stratejisi benimsemek, kritik öneme sahip.
b. Bulut güvenlik duruşunu güçlendirin ve yanlış yapılandırmaları düzeltin. Bulut ihlallerinin en yaygın nedeni yanlış yapılandırmalardır. Cloud Security Alliance’ın , güvenlik gruplarının en sık yaptığı yapılandırma hataları araştırmasına göz atın. Depolama kaynaklarının, dış kişilere açık olacak şekilde bırakılması, en sık karşılaştığımız endişe olsa da CISO’lar, ihmal edilen başka alanlardan da söz ediyor: devre dışı bırakılmış izleme ve günlük kaydı, gereksiz verilen izinler, korumasız yedeklemeler vb. Şifreleme, kötü yönetime karşı önemli bir korumadır ve fidye yazılımı riskini azaltmada kritik öneme sahiptir. Bulut güvenlik duruşu yönetimi araçları da bulut kaynaklarını, ihlal gerçekleşmeden önce açığa çıkma ve yanlış yapılandırma risklerine karşı izleyerek ikinci bir savunma hattı oluşturur. Böylece saldırı yüzeyini proaktif olarak azaltabilirsiniz.
c. Olayların algılanması, analizi ve bunlara yanıt verilmesi süreçlerini otomatikleştirin. Yanlış yapılandırmaların tespit edilmesi ve düzeltilmesi harika olsa da savunma hattını geçen saldırıları algılayacak araç ve süreçlere sahip olduğumuzdan da emin olmamız gerekir. Bu noktada da tehdit algılama ve yanıt yönetimi araçları devreye giriyor.
d. Veri erişiminizi doğru şekilde yönetin. Çok faktörlü kimlik doğrulaması, çoklu oturum açma, rol tabanlı erişim denetimi, izin yönetimi ve sertifikasyonlar; bulut güvenliğinin en büyük iki riskini yönetebilmenize yardımcı olur: kullanıcı ve yanlış yapılandırılmış dijital varlıklar. En düşük ayrıcalıklı erişim, bulut altyapısı yetkilendirme yönetimindeki (CIEM) en iyi deneyimlerden biridir. Bazı liderler, aktif güvenlik denetimi yapabilmek için kimlik erişim yönetimi veya yetkilendirme yönetimi çözümlerine güveniyor. Finansal hizmetler sektöründeki bir lider, bulut erişimi güvenlik aracısını (CASB), kurumun SaaS hizmetlerini yönetmek ve kullanıcılarının ve verilerinin denetimini sağlayabilmek için “temel dayanak” olarak gördüğünü paylaşıyor. CASB, kullanıcılar ve bulut uygulamaları arasında görünürlük sağlayan ve ilkeler yardımıyla idari eylemleri güçlendiren bir aracı görevi görür. verilerinin denetimini sağlayabilmek için “temel dayanak” olarak gördüğünü paylaşıyor. CASB, kullanıcılar ve bulut uygulamaları arasında görünürlük sağlayan ve ilkeler yardımıyla idari eylemleri güçlendiren bir aracı görevi görür.
Bulut için Microsoft Defender ’ın sunduğu gibi bir bulutta yerel uygulama koruması platformu, sadece birden fazla buluta yayılmış kaynaklar için görünürlük sağlamakla kalmaz, aynı zamanda SIEM’inizle bütünleşik olarak tehditleri izleyip uyarıları olaylarla ilişkilendirerek ortamınızın tüm katmanlarında koruma da sağlar. Bu da araştırma yapmanızı kolaylaştırır ve SOC ekiplerinizin, tüm platformlardaki uyarıları takip edebilmesine yardımcı olur.
Kimlik ve yanlış yapılandırma açıklarının kapatılması gibi önleyici tedbirler, saldırılara yanıt vermek için sağlam araçlarla birlikte kullanıldığında kurumsal ağlardan bulut hizmetlerine tüm bulut ortamını korumada önemli bir mesafe kat edilmiş olur.
Kapsamlı bir güvenlik duruşu, görünürlükle başlar ve önceliklendirilmiş risk yönetimiyle sona erer.
Bulut merkezli BT’ye geçiş, kurumların sadece uygulama açıklarına değil, aynı zamanda ağa bağlı cihaz, uygulama, uç nokta gibi varlıklara ve açığa çıkan bulut iş yüklerine de maruz kalmasına neden olur. Güvenlik liderleri, bu sınırları olmayan ortamdaki duruşlarını, görünürlük sağlayan ve yanıtları önceliklendirebilen teknolojiler vasıtasıyla yönetiyor. Bu araçlar, kurumların,kurum ağının içinde ve dışındaki yönetilen ve yönetilmeyen cihazları da içine alacak şekilde tüm saldırı yüzeyini kapsayan bir envanter çıkarabilmesine yardımcı olur. CISO’lar bu kaynakları kullanarak her varlığın güvenlik duruşunu ve iş için üstlendiği rolü değerlendirerek önceliklendirilmiş bir risk modeli geliştirebilirler.
Güvenlik liderleriyle yaptığımız görüşmelerde, sınıra dayalı güvenlikten, sınırsız bir ekosistemi benimseyen güvenlik duruşuna dayalı bir yaklaşıma geçiş yapılmaya başladığını görüyoruz.
Bir CISO’nun dediği gibi: “Benim için duruş, kimlik demek... Biz bunu eski, sınırdan ibaret olan geleneksel duruşla aynı şekilde görmüyor, uç noktaya kadar ilerletiyoruz.” (Kamu Hizmetleri – Su, 1.390 çalışan). “Kimlik, yeni sınırımız oldu,” diyor bir FinTech CISO’su ve soruyor: “Dışarı ve içeri kavramlarının olmadığı bu yeni modelde kimlik ne anlama geliyor?” (FinTech, 15.000 çalışan).
Bu gözenekli ortam göz önüne alındığında CISO’lar, kapsamlı duruş yönetiminin aciliyetini anlıyor ancak birçoğu, bu vizyonu uygulamaya sokacak kaynaklara ve dijital olgunluğa sahip olduklarından emin değil. Neyse ki birçok kurum için, sektörce kanıtlanmış (ve bugünün ihtiyaçlarına göre güncellenmiş) çerçeveler ve güvenlik alanındaki yeniliklerin birlikte kullanımıyla kapsamlı bir duruş yönetimi elde etmek zor değil.
Siber altyapınızda varlık envanteri yapmanıza olanak tanıyan araçlar edinin. Ardından bunlardan hangilerinin kritik olduğuna, hangilerinin kurum için en büyük riski taşıdığına bakın ve bu cihazların potansiyel güvenlik açıklarını anlamaya çalışarak bunun kabul edilebilir olup olmadığına karar verin: Yama mı yapmalıyım, izole mi etmeliyim?
Ken Malcolmson, Güvenlik Danışmanı, Microsoft
Güvenlik liderlerinin, açık uçlu, bulut merkezli bir ortamda duruşlarını yönetmek için kullandığı bazı en iyi deneyimler ve araçlar:
1. Varlık envanteri çıkararak kapsamlı bir görünürlük elde edin.
Bütüncül duruş yönetiminin ilk adımı görünürlüktür. CISO’lar, “İlk olarak sahip olduğumuz her şeyi biliyor muyuz ki? Görünürlüğümüz var mı ki yönetime geçiyoruz?” diye soruyor. Riskli varlıklar envanteri; bu dijital altyapıda depolanmış veri ve IP varlıklarının yanı sıra ağ ve uygulamalar, veritabanları, sunucular, bulut varlıkları, IoT varlıkları gibi varlıkları içerir. Microsoft 365 veya Azure gibi birçok platformda başlamanıza yardımcı olacak yerleşik varlık envanter araçları bulunur.
Bütüncül duruş yönetiminin ilk adımı görünürlüktür. CISO’lar, “İlk olarak sahip olduğumuz her şeyi biliyor muyuz ki? Görünürlüğümüz var mı ki yönetime geçiyoruz?” diye soruyor. Riskli varlıklar envanteri; bu dijital altyapıda depolanmış veri ve IP varlıklarının yanı sıra ağ ve uygulamalar, veritabanları, sunucular, bulut varlıkları, IoT varlıkları gibi varlıkları içerir. Microsoft 365 veya Azure gibi birçok platformda başlamanıza yardımcı olacak yerleşik varlık envanter araçları bulunur.
2. Güvenlik açıklarını değerlendirin ve riski analiz edin.
Kapsamlı bir varlık envanteri çıkaran kurumlar, hem içerideki güvenlik açıkları hem de dışarıdan gelecek tehditlere karşı riski analiz edebilirler. Bu adım, büyük ölçüde şartlara bağlıdır ve her kurum için değişiklik gösterir. Güvenilir bir risk değerlendirmesi yapılabilmesi için güvenlik, BT ve veri ekipleri arasında güçlü bir işbirliği olması gerekir. Bu çok işlevli ekip, analizlerinde otomatik risk puanlama ve önceliklendirme araçlarından faydalanır. Microsoft Entra ID, Microsoft Defender XDR ve Microsoft 365 ile bütünleşik olan risk önceliklendirme araçları gibi. Otomatik risk puanlama ve önceliklendirme teknolojileri, açıkların kapatılması için uzman rehberlik ve etkili tehdit yanıtları için bağlamsal bilgi sunma konusunda da yardımcı olabilir.
Kapsamlı bir varlık envanteri çıkaran kurumlar, hem içerideki güvenlik açıkları hem de dışarıdan gelecek tehditlere karşı riski analiz edebilirler. Bu adım, büyük ölçüde şartlara bağlıdır ve her kurum için değişiklik gösterir. Güvenilir bir risk değerlendirmesi yapılabilmesi için güvenlik, BT ve veri ekipleri arasında güçlü bir işbirliği olması gerekir. Bu çok işlevli ekip, analizlerinde otomatik risk puanlama ve önceliklendirme araçlarından faydalanır. Microsoft Entra ID, Microsoft Defender XDR ve Microsoft 365 ile bütünleşik olan risk önceliklendirme araçları gibi. Otomatik risk puanlama ve önceliklendirme teknolojileri, açıkların kapatılması için uzman rehberlik ve etkili tehdit yanıtları için bağlamsal bilgi sunma konusunda da yardımcı olabilir.
3. İş risk modeliyle riski ve güvenlik ihtiyaçlarını önceliklendirin.
Teknik ekipler risk ortamını net şekilde anlayabildikleri için iş ihtiyaçları ile ilgili güvenlik müdahalelerini önceliklendirme konusunda iş lideriyle birlikte çalışabilir. “Bu bilgi ne kadar hassas ve açığa çıkması halinde nasıl bir etkisi olur?” ya da “Bu sistemler, görevler açısından ne kadar kritik? Çalışmama sürelerinin işimize nasıl bir etkisi olur?” gibi sorular sorarak her varlığın görevini, iş için taşıdığı değeri ve ele geçirilmesi halinde iş için ne gibi bir risk teşkil edeceğini değerlendirin. Microsoft, iş risk modeline uygun şekilde kapsamlı bir tanımlama ve güvenlik açığı önceliklendirmesi yapmanıza destek olacak Microsoft Güvenlik Puanı, Microsoft Uyumluluk Puanı, Azure Güvenlik Puanı, Microsoft Defender Harici Saldırı Yüzeyi Yönetimi ve Microsoft Defender Güvenlik Açığı Yönetimi gibi araçlar sunar.
Teknik ekipler risk ortamını net şekilde anlayabildikleri için iş ihtiyaçları ile ilgili güvenlik müdahalelerini önceliklendirme konusunda iş lideriyle birlikte çalışabilir. “Bu bilgi ne kadar hassas ve açığa çıkması halinde nasıl bir etkisi olur?” ya da “Bu sistemler, görevler açısından ne kadar kritik? Çalışmama sürelerinin işimize nasıl bir etkisi olur?” gibi sorular sorarak her varlığın görevini, iş için taşıdığı değeri ve ele geçirilmesi halinde iş için ne gibi bir risk teşkil edeceğini değerlendirin. Microsoft, iş risk modeline uygun şekilde kapsamlı bir tanımlama ve güvenlik açığı önceliklendirmesi yapmanıza destek olacak Microsoft Güvenlik Puanı, Microsoft Uyumluluk Puanı, Azure Güvenlik Puanı, Microsoft Defender Harici Saldırı Yüzeyi Yönetimi ve Microsoft Defender Güvenlik Açığı Yönetimi gibi araçlar sunar.
4. Bir duruş yönetim stratejisi oluşturun.
Varlık envanteri, risk analizi ve iş risk modeli, kapsamlı bir duruş yönetiminin temelini oluşturur. Görünürlük ve içgörüler, güvenlik ekibinin kaynakları neye tahsis edeceğine, ne gibi güçlendirme önlemlerinin uygulanması gerektiğine ve ağın her segmenti için risk ve kullanışlılık arasındaki dengeyi nasıl iyileştireceğine karar vermesine yardımcı olur.
Varlık envanteri, risk analizi ve iş risk modeli, kapsamlı bir duruş yönetiminin temelini oluşturur. Görünürlük ve içgörüler, güvenlik ekibinin kaynakları neye tahsis edeceğine, ne gibi güçlendirme önlemlerinin uygulanması gerektiğine ve ağın her segmenti için risk ve kullanışlılık arasındaki dengeyi nasıl iyileştireceğine karar vermesine yardımcı olur.
Duruş yönetimi çözümleri, kurumların hangi noktalarda duruşlarını iyileştirmeleri gerektiğini anlamalarına yardımcı olacak görünürlük ve güvenlik açığı analizleri sunar. Bu içgörüyle kurumlar da saldırı yüzeylerindeki önemli alanları tanımlayıp önceliklendirebilir.
Fazlasıyla çeşitlilik içeren hiper ağlı IoT ve OT ortamını dizginlemek için Sıfır Güven ve hijyenden destek alın
Bahsettiğimiz iki zorluk, bulut uygulama açığı ve buluta bağlı cihaz sayısının artması, IoT ve OT cihaz ortamlarında bir kusursuz fırtına riskine yol açıyor. Güvenlik liderleri bana, IoT ve OT cihazlarının yapısal olarak taşıdığı artan saldırı yüzey alanı riskine ek olarak yeni IoT ve eski OT stratejilerinin yakınlaşmasını da rasyonalize etmeye çalıştıklarını söylüyor. IoT bulutta yerel olabilir ancak bu cihazlar, sıklıkla işletme çıkarlarını temel güvenliğin önünde tutar. OT ise modern güvenlik olmadan geliştirilmiş, satıcının yönettiği eski bir ekipmandır ve kurumun BT ağına özel amaçlı olarak tanıtılır.
IoT ve OT cihazları, kurumların işyerlerini modernleştirmesine, daha veri odaklı olmasına ve uzaktan yönetim ve otomasyon gibi stratejik geçişlerle personel üzerindeki yükü azaltmasına yardımcı olur. Uluslararası Veri Şirketi (IDC), 2025 yılında 41.6 milyar bağlı IoT cihazı olacağını öngörüyor ki bu da geleneksel BT cihazlarından daha yüksek bir büyüme oranı demek.
Ama bu fırsat, büyük bir riski de beraberinde getiriyor. Aralık 2022’de yayımlanan Siber Sinyaller raporumuz, BT ve İşletimsel Teknolojinin Yakınlaşması, bu teknolojilerin kritik altyapılar için ortaya çıkardığı riskleri inceledi.
Kilit bulguları şöyle listeleyebiliriz:
1. Müşteri OT ağlarındaki en yaygın endüstriyel denetleyicilerin %75'inde yamalanmamış, yüksek önem derecesine sahip güvenlik açıkları mevcuttur.
2. 2020 - 2022 yılları arasında, popüler satıcıların ürettiği sektörel denetim ekipmanlarındaki yüksek önem derecesine sahip güvenlik açıklarında yaşanan ifşa %78 artmıştır.
3. İnternette herkesçe görülebilir durumda olan birçok cihaz, desteklenmeyen yazılımlar çalıştırmaktadır. Örneğin eski bir yazılım olan Boa, hala IoT cihazları ve yazılım geliştirme setlerinde (SDK) yaygın olarak kullanılmaktadır.
IoT cihazları, genellikle dijital varlığın en zayıf halkasıdır. Geleneksel BT cihazlarıyla aynı şekilde yönetilmedikleri, güncelleştirilmedikleri veya yamalanmadıkları için BT ağına sızmaya çalışan saldırganlar için iyi bir ağ geçidi görevi görürler. Erişim sağlandığı takdirde IoT cihazları, uzaktan kod çalıştırılmasına karşı savunmasızdır. Saldırganlar, kontrolü ele geçirip güvenlik açıklarından faydalanarak bir IoT cihazına botnet veya kötü amaçlı yazılım yerleştirebilirler. Bu noktadan sonra cihaz, tüm ağa erişim sunan bir giriş kapısı haline gelebilir.
Birçoğu, kurumun işleyişi için kritik öneme sahip olan İşletimsel Teknoloji cihazları ise daha büyük bir risk oluşturmaktadır. Geçmişte hep çevrimdışı ve kurumsal BT ağından fiziksel olarak yalıtılmış olan OT ağları, giderek BT ve IoT sistemleriyle birleşmeye başlıyor. Kasım 2021’de Ponemon Enstitüsü ile yaptığımız, Kurumsalda IoT/OT Siber Güvenliğinin Durumu, adlı çalışmada OT ağlarının yarıdan fazlasının artık kurumsal BT (işletme) ağlarına bağlı olduğunu görmüştük. Yine benzer bir oranla şirketlerin %56’sının OT ağlarında ise uzaktan erişim gibi senaryolar için internete bağlı olan cihazlar mevcut.
“Geçtiğimiz yıl içinde gördüğümüz saldırıların neredeyse tümü, BT ağına, OT ortamından faydalanarak yapılan ilk erişimlerle başlamıştı.”
David Atch, Microsoft Tehdit Analizi, IoT/OT Güvenlik Araştırma Başkanı
OT bağlantısı, kurumları bir saldırı halinde önemli bir kesinti ve çalışamama süresi riskine maruz bırakır. OT, genellikle işletmenin merkezinde yer alır ve saldırganlara, önemli bir zarara yol açmak için kullanabilecekleri cazip bir hedef sunar. Cihazların kendileri de sıklıkla, tasarımları gereği güvensiz olan, modern güvenlik uygulamalarından uzak, artık terk edilmiş ya da eski olan ekipmanlar içerdiği ve standart BT izleme araçları için görünür olmalarına engel olacak özel protokollere sahip olabildikleri için kolay hedefler olabilir. Saldırganlar, internete açık sistemleri keşfederek, çalışanların oturum açma kimlik bilgileri aracılığıyla erişim sağlayarak veya üçüncü taraf tedarikçilere ve yüklenicilere verilen erişimi istismar ederek bu teknolojilerden yararlanmaya çalışır. İzlenmeyen ICS protokolleri, OT’ye özgü saldırılarda yaygın kullanılan giriş noktalarından biridir (Microsoft Dijital Savunma Raporu 2022).
Güvenlik liderleri, farklı cihazların BT ağına farklı şekillerde bağlandığı bu karmaşıklık içinde IoT ve OT güvenliğini yönetmenin benzersiz zorluğunun üstesinden gelmek için şu en iyi deneyimleri uyguluyor:
1. Kapsamlı cihaz görünürlüğü elde edin.
Bir ağda sahip olduğunuz tüm varlıkları, her şeyin birbirine nasıl bağlı olduğunu ve her bağlantı noktasındaki iş riski ve korunma düzeyini anlamak, etkili bir IoT/OT yönetimi temeli için oldukça önemlidir. IoT ve OT farkındalığı olan bir ağ algılama ve yanıt (NDR) çözümü ve Microsoft Sentinel gibi bir SIEM de ağınızdaki IoT/OT cihazları için daha derin bir görünürlük sağlayıp bunları, yabancı ana bilgisayarlarla iletişim gibi anormal davranışlara karşı izlemenize yardımcı olabilir. (OT’de açığa çıkan ICS protokollerini yönetme hakkında daha fazla bilgi için bkz. “IOT Cihazlarının Benzersiz Güvenlik Riski” Microsoft Güvenlik).
Bir ağda sahip olduğunuz tüm varlıkları, her şeyin birbirine nasıl bağlı olduğunu ve her bağlantı noktasındaki iş riski ve korunma düzeyini anlamak, etkili bir IoT/OT yönetimi temeli için oldukça önemlidir. IoT ve OT farkındalığı olan bir ağ algılama ve yanıt (NDR) çözümü ve Microsoft Sentinel gibi bir SIEM de ağınızdaki IoT/OT cihazları için daha derin bir görünürlük sağlayıp bunları, yabancı ana bilgisayarlarla iletişim gibi anormal davranışlara karşı izlemenize yardımcı olabilir. (OT’de açığa çıkan ICS protokollerini yönetme hakkında daha fazla bilgi için bkz. “IOT Cihazlarının Benzersiz Güvenlik Riski” Microsoft Güvenlik).
2. Ağları segmentlere ayırın ve Sıfır Güven prensiplerini benimseyin.
Mümkün olan her durumda, saldırı anında yatay hareketi engellemek için ağları segmentlere ayırın. IoT cihazları ve OT ağları, kurumsal BT ağından güvenlik duvarı vasıtasıyla yalıtılmış veya bağlantısı kesilmiş olmalıdır. Bununla birlikte OT ve BT’nizin yakınlaştığını varsaymak ve saldırı yüzeyi boyunca Sıfır Güven protokollerini uygulamak da önemlidir. Ağı segmentlere ayırmak, giderek daha da zor hale geliyor. Örneğin sağlık, kamu hizmetleri ve üretim gibi düzenlemeye tabi kurumlar için OT-BT bağlantısı, iş fonksiyonunun temelini oluşturur. Mammogram makineler veya akıllı MRI’ların, elektronik sağlık kaydı (EHR) sistemlerine bağlantısını veya akıllı üretim hatlarını ya da su artıma tesislerinin uzaktan izleme gereksinimini düşünün. Böyle durumlarda Sıfır Güven kritik öneme sahiptir.
Mümkün olan her durumda, saldırı anında yatay hareketi engellemek için ağları segmentlere ayırın. IoT cihazları ve OT ağları, kurumsal BT ağından güvenlik duvarı vasıtasıyla yalıtılmış veya bağlantısı kesilmiş olmalıdır. Bununla birlikte OT ve BT’nizin yakınlaştığını varsaymak ve saldırı yüzeyi boyunca Sıfır Güven protokollerini uygulamak da önemlidir. Ağı segmentlere ayırmak, giderek daha da zor hale geliyor. Örneğin sağlık, kamu hizmetleri ve üretim gibi düzenlemeye tabi kurumlar için OT-BT bağlantısı, iş fonksiyonunun temelini oluşturur. Mammogram makineler veya akıllı MRI’ların, elektronik sağlık kaydı (EHR) sistemlerine bağlantısını veya akıllı üretim hatlarını ya da su artıma tesislerinin uzaktan izleme gereksinimini düşünün. Böyle durumlarda Sıfır Güven kritik öneme sahiptir.
3. IoT/OT güvenlik yönetiminde hijyen sağlayın.
Güvenlik ekipleri bazı basit hijyen uygulamalarıyla açıkları kapatabilir:
Güvenlik ekipleri bazı basit hijyen uygulamalarıyla açıkları kapatabilir:
- Gereksiz internet bağlantılarını ve açık bağlantı noktalarını ortadan kaldırmak, uzaktan erişimi kısıtlamak veya reddetmek ve VPN hizmetlerini kullanmak
- Yamalar uygulayarak ve varsayılan parolaları ve bağlantı noktalarını değiştirerek cihaz güvenliğini sağlamak
- ICS protokollerinin doğrudan internete açık olmadığından emin olmak
Bu düzeyde bir içgörü ve yönetime nasıl ulaşılacağını gösteren eyleme geçirilebilir rehberlik için bkz. "IoT/OT Cihazlarının Benzersiz Riski," Microsoft Security Insider.
Eyleme dönüştürülebilir içgörüler
1. Tanıdık olmayan ana bilgisayarlarla iletişim gibi anormal veya yetkisiz davranışlara karşı cihazları izlemek ve ağınızdaki IoT/OT cihazları üzerinde daha derin bir görünürlük elde etmek için bir IoT/OT uyumlu ağ algılama ve yanıt (NDR) çözümü ve bir güvenlik bilgileri ve olay yönetimi (SIEM)/güvenlik düzenleme ve yanıt (SOAR) çözümü kullanın
2. Uç nokta algılama ve yanıt (EDR) çözümleriyle izleme yaparak mühendislik istasyonlarını koruyun
3. Gereksiz internet bağlantılarını ve açık bağlantı noktalarını ortadan kaldırarak, bağlantı noktalarını engellemek vasıtasıyla uzaktan erişimi kısıtlayarak, uzaktan erişimi reddederek ve VPN hizmetlerini kullanarak saldırı yüzeyini azaltın
4. ICS protokollerinin doğrudan internete açık olmadığından emin olun
5. Saldırganın yatay hareket etme ve ilk izinsiz girişten sonra varlıkları tehlikeye atma kabiliyetini sınırlamak için ağları bölümlere ayırın. IoT cihazları ve OT ağları, güvenlik duvarları aracılığıyla kurumsal BT ağlarından izole edilmelidir
6. Yamalar uygulayarak, varsayılan parolaları ve bağlantı noktalarını değiştirerek cihazların sağlam olduğundan emin olun
7. OT ve BT’nizin yakınlaştığını varsayın ve saldırı yüzeyinizde Sıfır Güven protokollerini uygulayın
8. Daha fazla görünürlük ve ekip bütünleşmesini teşvik ederek OT ve BT arasında kurumsal uyumu sağlayın
9. Her zaman temel tehdit analizine dayalı en iyi IoT/OT güvenlik uygulamalarını takip edin
Artan tehditler ve daha az kaynakla daha fazla şey yapma baskısı ile boğuşan güvenlik liderleri, dijital varlıklarını modernleştirmeye çalışırken bulut, modern güvenlik stratejisinin temeli olarak görülmeye başlıyor. Gördüğümüz gibi bulut merkezli bir yaklaşımın avantajları, risklerine fazlasıyla ağır basıyor. Özellikle de bulut ortamlarını sağlam bir bulut güvenlik stratejisi, kapsamlı bir duruş yönetimi ve IoT/OT kenarındaki açıkları kapatacak özel taktikler kullanarak yönetmek için en iyi deneyimleri benimseyen kurumlarda.
Daha fazla güvenlik analizi ve içgörü için bir sonraki sayımıza göz atın. CISO Insider’ı okuduğunuz için teşekkürler!
Bu düzeyde bir içgörü ve yönetime nasıl ulaşılacağını gösteren eyleme geçirilebilir rehberlik için bkz. "IoT/OT Cihazlarının Benzersiz Riski," Microsoft Security Insider.
Atıfta bulunulan tüm Microsoft araştırmalarında, gizliliğin korunması ve analitik titizliğin sağlanması için hem nicel hem de nitel çalışmalar için güvenlik uzmanlarıyla bağımsız araştırma firmaları aracılığıyla iletişim kurulur. Bu belgede yer alan alıntılar ve bulgular, aksi belirtilmedikçe, Microsoft araştırma çalışmalarının bir sonucudur.
Microsoft’u takip edin