Güvenlik Sıkılaştırma Kılavuzu

Page 1

Güvenlik Sıkılaştırma Kılavuzu

İçindekiler - Amaç - Güvenlik Sıkılaştırma nedir? - Neden güvenlik sıkılaştırma kontrollerinin uygulanması gerekir? - Uluslararası standartlara uyum - Güvenlik Sıkılaştırma kılavuzları - Güvenlik Sıkılaştırma yol haritası nasıl belirlenir? - Güvenlik Sıkılaştırma kontrol listeleri - Güvenlik Sıkılaştırma kaynak dökümanlar - Özet Amaç Bu kılavuzun amacı; kuruluşların ana faliyetlerinin bir parçası olan ağ üzerinde hizmet sağlayan sunucuların güvenliğini sağlama ve sürekliliğinin devam ettirebilmesi için güvenlik sıkılaştırma kontrollerinin önemini tanımlamaktır. Varsayılan işletim sistemleri ve uygulama yapılandırmaları güvenlik amacıyla değil, bir sistemin dağıtımının kolay olması ve kullanım kolaylığı için oluşturulmuştur. Böyle bir sistem, sağlandığı gibi kullanıldığında, tüm altyapınızı saldırılara karşı savunmasız hale getirir. Güvenlik sıkılaştırmaları, kurumsal güvenlik duruşu için temel bir gereksinimdir. Güvenlik ekipleri ile endüstri kriterlerine göre, varsayılan yapılandırmada değişiklik yapılması gerekliliktir. Sistemlerde güvenlik sıkılaştırma kontrolleri; teknoloji uygulamaları, sistemleri, altyapısı, ürün yazılımı ve diğer alanlardaki güvenlik açığını azaltmak için bir dizi araç, teknik ve en iyi uygulamalardan oluşur. Sistemlerin güvenlik sıkılaştırmasının amacı, potansiyel saldırı vektörlerini ortadan kaldırarak ve sistemin güvenlik yüzeyini yoğunlaştırarak saldırı riskini azaltmaktır. Gereksiz programları, hesap işlevlerini, uygulamaları, bağlantı noktalarını, izinleri, erişimi vb. kaldırarak saldırganların ve kötü amaçlı yazılımların Bilgi Teknoloji ekosistemininde yer edinme fırsatlarını daha az bir orana indirgenmesine olanak sağlayacaktır. Güvenlik Sıkılaştırması Nedir? Güvenlik Sıkılaştırması, kuruluşların temel aktivite faliyetlerini etkileyen Bilgi Teknoloji süreçlerinde yapılandırlmış tüm sistemlerin olası güvenlik açıklarını denetlemek, tanımlamak, kapatmak ve kontrol etmek için yöntemsel bir yaklaşımdır. Her sistemin güvenlik gereksinimlerinin temelini belirlemek için bir sıkılaştırma standardı kullanılır. Prensipleri evrensel olmasına rağmen, belirli takımlar ve teknikler; uygulanan sıkılaştırma tipine bağlı olarak değişir. Sistemin güvenlik sıkılaştırması, ilk kurulumdan yapılandırma, bakım ve desteğe, kullanım ömrünün sona ermesine kadar teknolojinin kullanım ömrü boyunca gereklidir. Sistemlerin güvenlik bakış açısı ile sıkılaştırılması uluslararası kabul görmüş PCI DSS gibi bir çok standartın da bir gereği olduğu unutulmamalıdır. Neden Güvenlik Sıkılaştırma Kontrollerinin Uygulanması Gerekir? Tüm sistemlerde sürekli güvenli konfigürasyonlara sahip olmak, bu sistemler için risklerin minimumda tutulmasını sağlamak, güvenlik sıkılaştırma kontrollerinin uygulanmasının temel sebebidir. Sıkılaştırma standardından herhangi bir sapma, bir ihlale hatta veri kayıplarına neden olabilir. Güvenlik sıkılaştırma yöntemleri; gelişmiş sistem işlevselliği, önemli ölçüde geliştirilmiş güvenlik, basitleştirilmiş uyum ve denetlenebilirlik sağlamaktadır. - Gelişmiş sistem işlevselliği: Daha az program ve daha az işlevsellik, işletim sorunları, yanlış yapılandırmalar, uyumsuzluklar ve uzlaşma riski daha az olduğu anlamına gelir. - Önemli ölçüde geliştirilmiş güvenlik: Azalan saldırı yüzeyi, daha düşük veri ihlali, yetkisiz erişim, sistem korsanlığı veya kötü amaçlı yazılım riski anlamına gelir. - Basitleştirilmiş uyum ve denetlenebilirlik: Daha az karmaşık ortamla birleştirilen daha az program ve hesap yönetimi, ortamın denetlenmesi genellikle daha şeffaf ve anlaşılır olacaktır. Neden Güvenlik Sıkılaştırma Kontrollerinin Uygulanması Gerekir? Güçlü Yönler; - Siber saldırılara karşı güçlü bir güvenlik kalkanı oluşturur. - Daha az program kullanımının sağlanması ile işlevsellliği arttırır. - Yetkisiz erişim, veri kaybı ve veri ifşası tehditlerini minimize eder. - İşletim sistemi sorunları ve yanlış yapılandırmaları azaltır. - Sistem hataları sebebi ile gerçekleşebilecek erişilebilirlik kesintilerinin gerçekleşmesini önler. - Sistemlerin karmaşık yapılandırılmasının önüne geçerek sistemlerin daha verimli yönetilmesini ve denetlenebilmesini sağlar. Tehditler; - Güvenlik sıkılaştırmaları takip edilen ve açıkça güvenli olarak belirtilen sistemler; saldırganların öncelikli hedefleri olabilir, siber saldırı atak sayısında artış gözlenebilir.

Zayıf Yönler; - Güvenlik sıkılaştırmalarının doğru uygulanabilmesi için teknik bilgi yetkinliği olan çalışanlardan oluşan bir ekip gerekmektedir. - Güvenlik sıkılaştırma kontrollerinin uygulanması ve takibinin yapılması günlük rutin işlerin üzerinde efor gerektirmektedir. Fırsatlar; - Güvenlik sıkılaştırma kontrolleri ile uluslararası standartlarca belirlenmiş en iyi uygulamalara uyumluluk sağlanarak, kuruluşlar belgelendirme hakkı elde edebilir. - Güçlü sistem mimarisi sebebi ile operasyonel süreçlerde verimliliğin artması sağlanır. - Mevcut sistem üzerindeki eksikliklerin tespit edilmesini kolaylaştırarak, risklerin gerçekleşmeden önlenebilmesi sağlanır. Uluslararası Standartlara Uyum Bilgi Teknolojileri süreçlerinde sistem kontrolleri, ve güvenlik önlemlerinin takip edilmesinin önemi bir çok uluslarası kuruluş tarafından en iyi uygulamalar kapsamında kılavuzlar ve standartlar ile tanımlanmıştır. - NIST (The National Institute of Standards and Technology) teknik liderlik ve altyapı güçlendirme standartları sağlayarak Amerika ekonomisi ve kamu refahını teşvik eden, standartları belirleyen bir kurum olup, siber güvenlik için önceliklendirilmiş, esnek, performans/maliyet odaklı, küçük büyük tüm organizasyonların kullanabileceği bir çerçeve oluşturmak için çalışmalar yapmaktadır. NIST, çalışmalar sonucunda elde ettiği veriler ile optimal güvenlik çerçevelerini kılavuzlar halinde hazırlayarak tavsiye niteliğinde paylaşımlar yapmaktadır. Tüm kurumların rehber olarak kullanabileceği ve faydalanabileceği nitelikte güvenlik sıkılaştırmaları kapsamında “NIST SP 800-123, Guide to General Server Security” kılavuzunu yayınlamıştır. NIST tarafından belirlenmiş süreçler ve kontrollerin büyük çoğunluğu mevcut PCI DSS ve ISO/IEC 27001 gibi standartlar ya da COBIT gibi çerçevelerde kapsanmakta ve uygulanmaktadır. PCI DSS ( Payment Card Industry Data Security Standard): Ödeme Kartları Endüstrisi Veri Güvenliği Standartlarıdır. Ödemenin tüm aşamalarında rol alan kuruluşların PCI DSS ile uyum sertifikasına sahip olmaları gereklidir. Yalnızca ödeme hizmeti sağlayan şirketler değil, finans kuruluşları, üye iş yerleri, kart bilgileri saklayan, işleyen ve aktaran tüm kurumların kuruluşların PCI DSS’ a uyması bir zorunluluktur. Güvenlik sıkılaştırma esasları, PCI DSS Standartı içerisinde de ele alınmaktadır. PCI-DSS standardının Gereksinim 2.2, büyük sunucu ortamlarını yöneten pek çok kuruluş için, temel hatlarını güçlendiren sunucular üzerinde güvenlik sıkılaştırmalarının uygulanması ve yönetilmesi gerekliliğini ifade etmektedir. ISO/IEC 27001 ISMS (Information Security Management System): Bilgi Güvenliği Yönetim sistemi Standardı, Uluslararası Standardizasyon Örgütü ile Uluslararası Elektroteknik Komisyonu tarafından kurulan Birleşik Teknik Komite’ye bağlı bir alt organizasyon tarafından oluşturulmuş – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler başlığına sahip denetlenebilir ve beglendirilebilirdir. Bilgi güvenliği yönetiminde, “ISO 27002 Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri” standardı işletmeler içerisinde bilgi güvenliği yönetiminin planlanmasını, gerçekleştirilmesini, sürdürülebilirliğini ve sürekli iyileştirilmesini sağlamak için genel prensipleri belirler. ISO 27002 “12. İşletim Güvenliği” ve “14. Sistem edinimi, geliştirme ve bakım” kontrol maddeleri içerisinde güvenli sistem mimarisi oluşturmak için genel prensipler tanımlanmıştır. COBIT (Control Objectives for Information and Related Technology): Bilgi Teknolojileri yönetiminde ulaşılması gereken hedefleri ortaya koyan bir yönetim çerçevesi oluşturur. Süreç değil, yapılması gereken kontrol esaslarını belirmektedir. Kontrol esaslarının uygulanma yöntemlerinin detaylarına değinmemektedir. Yukarıda bahsedilen farklı kuruluşlar tarafından oluşturulmuş ve uluslarası geçerliliği olan çerçeve ve standartlar ile; güvenli bir sistem mimari oluşturmak için genel prensipler ve kontrol esasları tanımlanmaktadır. En iyi uygulamalar kapsamında kuruluşların güvenlik olgunluk gelişim sürecinde sahip olması gereken prensipler belirlenmiştir, bu prensiplerin elde edilebilmesi ve uygulanabilmesi için gerekli tanımlar ise güvenlik sıkılaştırmaları kapsamında hazırlanmış kılavuzlar içerisinde yer almaktadır. Güvenlik Sıkılaştırma Kılavuzları - Her güvenlik sıkılaştırma kılavuzu aşağıdakilerle ilgili ancak bunlarla sınırlı olmayan gereksinimleri içerebilir: - Fiziksel güvenlik - güvenli ve kontrollü konumlar etrafında ortam denetimlerini ayarlama - İşletim sistemleri - yamaların dağıtıldığından ve ürün yazılımına erişimin kilitlenmesi - Uygulamalar - yazılım yükleme ve varsayılan yapılandırmalarla ilgili kurallar oluşturma - Güvenlik cihazları - antivirüsün konumlandırıldığından ve tüm uç nokta korumalarının uygun şekilde raporlandığından emin olunması - Ağlar ve hizmetler - Gereksiz hizmetleri (ör. Telnet, ftp) kaldırmak ve güvenli protokolleri (ör. Ssh, sftp) etkinleştirme - Sistem denetimi ve izleme - olayların izlenebilirliği ve izlenmesi - Erişim kontrolü - varsayılan hesapların yeniden adlandırılmasını veya devre dışı bırakılmasını sağlama - Veri şifreleme - kullanılacak şifreleme yöntemleri (ör. SHA-256) - Düzeltme eki ve güncelleştirmeler - düzeltme eklerinin ve güncelleştirmelerin başarıyla dağıtılması - Sistem yedekleme - yedeklemelerin doğru yapılandırılması

Güvenlik sıkılaştırma kılavuzları bahsi geçen gereksinimler doğrultusunda optimal güvenliği sağlamak ve güvenli bir sistem mimari oluşturmak için düzenlenmiştir. Güvenlik sıkılaştırma standartlarının hepsinin aynı zamanda uygulanması mümkün olmayabilir bu gibi durumlarda kuruluşlar güvenlik sıkılaştırma yönetimi için yol haritası belirlemelidir. Güvenlik Sıkılaştırması Yol Haritası Güvenlik Sıkılaştırması Yol Haritası ; Mevcut teknoloji riskleri, sahip olunan kaynaklar ve düzeltme yapma önceliği doğrultusunda oluşturulur. Yol haritası oluşum adımları her bir kuruluşun takip edebileceği temel adımlardır fakat, her bir kuruluş için risk, kaynak ve öncelik değerlerinin farklı olması sebebi ile uygulanacak güvenlik aksiyonlarının değişkenlik gösterebileceği unutulmamalıdır. Yol haritası sonucunda elde edilen veriler ile öncelikle daha riskli belirlenen sistemler için güvenlik sıkılaştırma standartlarındaki kontrol maddeleri uygulanmalıdır. Yol haritası oluşturmak için takip edilecek kontrol adımları aşağıda yer almaktadır.

1. Adım Mevcut sistemlerinizi denetleyin: Mevcut teknolojiniz üzerinde kapsamlı bir denetim yapın. Sistemdeki hataları bulmak ve düzeltmelere öncelik vermek için sızma testi, güvenlik açığı taraması, yapılandırma yönetimi ve diğer güvenlik denetim araçlarını kullanabilirsiniz.

3. Adım Güvenlik açıklarını hemen düzeltme: Otomatik ve kapsamlı bir güvenlik açığı tanımlama ve yama sisteminizin bulunmasına özen gösterin.

5. Adım Sunucu Güvenliği denetleme : Tüm sunucuları güvenli bir veri merkezine koyun; sunucuları internete veya harici ağlara bağlamadan önce daima güvenlik kontrollerinin gözden geçirin; bir sunucuya gereksiz yazılım yüklemekten kaçının; sunucuları uygun şekilde ayırın; süper kullanıcı ve yönetimsel paylaşımların gerektiği gibi ayarlandığından ve hakların ve erişimin en az ayrıcalık ilkesi doğrultusunda sınırlı olduğundan emin olun.

7. Adım Veritabanı Yönetimi denetleme: Ayrıcalıklı erişimi denetleyerek kullanıcıların veritabanında yapabileceklerinde yönetici kısıtlamaları oluşturun. Uygulamaları ve kullanıcıları doğrulamak için kimlik doğrulama yöntemi belirleyin. Veritabanı bilgilerini şifrelemek, güvenli parolalar uygulamak; rol tabanlı erişim kontrolü ayrıcalıklarını tanıtmak; kullanılmayan hesapları kaldırmak; veritabanı yönetiminde dikkat edilmesi gereken kontrol noktalarıdır.

2. Adım Sistemlerin sıkılaştırılması için bir strateji oluşturun: Tüm sistemlerinizinde aynı anda güvenlik kontrollerinin uygulanmasına gerek yoktur. Bunun yerine, teknoloji ekosisteminizde belirlenen risklere dayalı bir strateji planı oluşturun ve en büyük kusurları gidermek için aşamalı bir yaklaşım kullanın.

4. Adım Ağ Güvenliği denetleme: Güvenlik duvarınızın doğru yapılandırıldığından ve tüm kuralların düzenli olarak takip edildiğinde emin olun. - Güvenli uzaktan erişim noktaları belirlemek; - Kullanılmayan veya gereksiz açık ağ bağlantı noktalarını engellemek; - Gereksiz protokolleri ve hizmetleri devre dışı bırakmak ve kaldırmak; - Erişim listelerini belirlemek ve uygulamak; - Ağ trafiğini şifreleme kontrol adımlarını gözden geçirmek.

6. Adım Uygulama Güvenliği denetleme: İhtiyaç olmayan bileşenlerin veya işlevlerin kaldırılması için kontrol adımları uygulayın. Kullanıcı rollerine ve bağlama göre uygulamalara erişim kısıtlaması ile (uygulama kontrolü gibi); tüm örnek dosyaları ve varsayılan parolaları kaldırın. Uygulamaların sıkılaştırılması, diğer uygulama ve sistemlerle entegrasyonların denetlenmesini ve gereksiz entegrasyon bileşenlerinin ve ayrıcalıklarının kaldırılmasını veya azaltılmasını da içerdiğinden emin olun.

8. Adım

9. Adım

İşletim sistemi Yönetimi denetleme: İşletim sistemi güncellemelerini, hizmet paketlerini ve yamaları otomatik olarak uygulandığının ve ya yönetiminin takip edildiğinin kontrollerinin yapın; gereksiz sürücüleri, dosya paylaşımını, kitaplıkları, yazılımı, hizmetleri ve işlevselliği kaldırıldığının; yerel depolamanın şifrelenediğinin; kayıt defteri ve diğer sistem izinlerini sıkılaştırıldığının; tüm etkinlikleri, hataların ve uyarıların günlüğe kaydedildiğinin; ayrıcalıklı kullanıcı denetimlerinin uygulandığından emin olun.

Gereksiz hesapları ve ayrıcalıkları yönetimleri ortadan kaldırın: BT altyapınızdaki gereksiz hesapları (artık hesaplar ve kullanılmayan hesaplar gibi) ve ayrıcalıklı geniş yetkileri olan hesapları kaldırarak her bir kullanıcı hesabı için en az ayrıcalığın sağlanacağı şekilde hesap yönetimi kontrollerini uygulayın.

Takip edilen her bir adım sonucunda, kuruluşlar bilgi teknolojileri ekosistemlerinde daha önce farkedemedikleri ve ya takip edemedikleri güvenlik açıklıklarını tespit edebilmiş olacaklardır. Güvenlik sıkılaştırma yol haritası sonucunda, her bir kuruluş özelinde risk değerlendirmesi yapılarak riskli görülen alan üzerinde sıkılaştırma kontrollerinin uygulanması için bir aksiyon planının oluşturulması gerekir. Güvenlik Sıkılaştırması için takip edebileceğimiz kontrol listeleri oluşturmak ve kontrol listelerini periyodik olarak takip edebilmek; güvenli bir yapı oluşturmanın temel taşı olduğu unutulmamalıdır. Sunucular İçin Güvenlik Sıkılaştırma Kontrol Listesi Sunucu sıkılaştırma, en basit tanımıyla, uygulanabilir ve etkili araçlar kullanarak sunucunun korumasını artırma işlemidir. Sunucuların başlangıç noktasında konfigurasyon süreçlerinde güvenlik bakış açısı ile yapılandırma en önemli temeldir. Temeli güvenlik bakış açısı ile yaplandırılmış sunucuların düzenli olarak yönetilmesi ve periyodik takibinin yapılması; güvenli bir yaşam döngüsü oluşturacaktır. Çoğu işletim sisteminin varsayılan yapılandırması, birincil odak noktası olarak güvenlikle tasarlanmamıştır. Bunun yerine, varsayılan kurulumlar daha çok kullanılabilirlik, iletişim ve işlevselliğe odaklanır. Sunucularınızı korumak için kuruluşunuzdaki tüm sunucular için sağlam sunucu sıkılaştırma politikaları oluşturmalısınız. Sunucu sertleştirme kontrol listesi geliştirmek, sunucunuzu ve ağ güvenliğinizi artırmak ve devamlılığını takip edebilmek için önemlidir. Aşağıda, sunucu düzeyinde gerçekleştirilmesi gereken yüksek düzey sıkılaştırma kontrollerinin bir listesini bulabilirsiniz.

1

“En az işlevsellik” yaklaşımını uygulamak

4

İki farklı ağ arabirimi kullanmak

7

Güvenli protokoller kullanmak

2

Uygun güvenlik yamalarını takip etmek

5

Güvenli bir uzaktan erişim yönetimi oluşturmak

8

Tüm dosyalar için yedeklerini muhafaza etmek

3

Gerekli olmayan uygulamaları yüklememek

6

Güvenlik duvarı kullanmak

9

Her bir uygulama için tek ve özel kullanıcı hesabı kullanmak

22

DNS Sunucusunu düzenli olarak güncellemek

23

DNS Sunucusunda yetkisiz bölge aktarımlarını engellemek

18

Gerekmedikçe FTP, SMTP, Telnet protokollerini devre dışı bırakmak

24

Sunucularda tüm erişimlerin doğrulandığını kontrol etmek

“Guest” hesabını devre dışı bırakmak ve ismini değiştirmek

19

URLScan yapılandırmak

25

53 numaralı port erişim engellemek

14

Yerel Yönetici hesabını kilitlemeyi etkinleştirmek

20

Kimlik doğrulama yöntemi uygulamak

26

Anonim FTP Hesapları kullanmamak

15

“Administrator” hesap adını değiştirmek

21

WEB sunucusu log kayıtlarını takip etmek

27

Güvenli FTP kullanımında Oturum açma bilgilerini şifrelemek

28

DNS Sunucusu erişim portlarını sınırlandırmak

16

Güçlü ve karmaşık parola parametreleri uygulamak

17

Yönetici ve kullanıcı hesaplarını paylaşmamak

12

Başarısız giriş denemelerini takip etmek

13

10

Web içeriği dizinlerine yazma erişimi vermemek

11

Yönetici hesap paylaşımlarını kaldırmak

Uygulama Güvenlik Sıkılaştırma Kontrol Listesi Uygulama sıkılaştırma, uygulamaları yerel ve Internet tabanlı saldırılara karşı koruma sürecidir. İhtiyaç duyulmayan işlevler veya bileşenler kaldırılarak uygulanması temellidir. Erişimi kısıtlamak ve uygulamanın yamalarla güncel tutulmasını sağlamak kritik noktalardır. Uygulama güvenliğini sağlamak çok önemlidir, çünkü uygulamanın son kullanıcılar tarafından erişilebilir olmasının sağlanması gerekir. Çoğu uygulama, meşru kullanıcı giriş alanında arabellek taşması sorunlarına sahiptir, bu nedenle uygulamayı korumak, saldırıyı önlemenin tek yoludur. Başarılı bir şekilde kanıtlanmış uygulama güvenlik sıkılaştırma kontrol maddelerinden bazıları şunlardır:

1

Üçüncü taraf yazılımlar için satıcı tarafından sağlanan yamaları uygulamak

5

Güvenli olmayan protokoller kullanmamak

9

EOL ( End of Life) Ağ Cihazlarını kullanmamak

2

IIS güvenliğini sağlamak için tüm basit dosyaları kaldırmak

6

Sunucu özel bir Web Sunucusu olmadıkça IIS yüklememek

10

EOS (End of Support) Ağ cihazlarını kullanmamak

3

IIS örnek uygulamasını kaldırmak için sanal ve fiziksel dizinleri kaldırmak

7

SSL Mimarisi kullanmak

11

Kriptografik Kontroller kullanmak

4

Erişim sunucusunun dosya ve dizinleri için uygun izinleri ayarlamak

8

Web uygulaması güvenlik duvarı (WAF) yüklemek ve yapılandırmak

12

Tüm sistemlerde tek oturum açma izni vermek

Veritabanı Güvenlik Sıkılaştırma Kontrol Listesi Veritabanları genellikle kuruluşlardaki en hassas verileri depolamaktadır. Hatalı veri veya veri kaybı, ticari işlemleri olumsuz etkileyebilir. Aynı zamanda veritabanları diğer sistemlere saldırmak için üs olarak kullanılabilir. Bu sebeple, veritabanlarında güvenlik sıkılaştırmalarının düzenli olarak takip edilmesi çok hassas bir konudur. SQL, MSQL, Oracle ve IBM DB2 gibi sektörde tercih edilen bir çok veritabanı sistemi bulunmaktadır. Her bir sistem için üçüncü taraf hizmet firmasından yayınlanmış güvenlik kontrolleri takip edilerek, sistem yöneticileri tarafından kontrollü olarak uygulandığından emin olmak gerekmektedir.

1

TNS Dinleyici Şifresine (şifreli) sahip olmak

2

Uzaktan komut çalıştımalarına engel olmak

5

Kullanılmayan hesapları kaldırmak ve erişimlerini engellemek

6

Parola Politikası tanımlamak ve uygulamak

9

PL / SQL Kod standartlarını tanımlamak ve uygulamak

10

Veritabanı güvenlik denetimlerinin periyodik olarak yapmak

3

Kullanılmayan XML Veritabanlarını kapatmak

4

Oracle Net Manager aracını kullanarak Ağ Trafiğini şifrelemek

7

Rol tabanlı erişim standartları belirlemek

8

Yetkisiz erişimlerin tespiti için periyodik yetki kontrolleri yapmak

11

Anonim hesap oturumlarını devre dışı bırakmak

12

Veritabanı yönetimi için üçüncü taraflardan iletilen güncellemeleri takip etmek

İşletim sistemi Güvenlik Sıkılaştırma Kontrol Listesi İşletim Sistemi güvenlik sıkılaştırma, gerekli olan minimum işlevselliği korurken gerekli olmayan işlevleri devre dışı bırakarak bilgi sistemlerinin siber saldırı yüzeyinin azaltılmasına yardımcı olan işlemdir. Güvenlik sıkılaştırıması yapılmış her bir sistem ,bir amaca hizmet etmelidir. Her bir sistemin bir görevi olmalı ve görevi doğrultusunda çalışabilmesi için en az hakların tanınması gerekliliği unutulmamalıdır. İşletim sistemi açıklıkları, saldırı sistemlerinde çok fazla kullanılmakta ve işletim sistemi açıklıkları ile bir çok Kurumsal Veri saldırganlar tarafından ele geçirilebilmektedir.

6

Başarılı ve Başarısız oturum açma işlemlerin kaydını tutmak

11

Gereksiz dosya paylaşımı devre dışı bırakmak

7

Denetim izlerini açık tutmak

12

Yönetimsel paylaşımları kaldırmak

3

Administrator Grubu içerisinde çok fazla hesap tanımlamamak

8

Dosya ve Dizin koruması için erişim denetim listelerini kullanmak

13

Ayrıcalıklı erişimleri düzenli bir şekilde kontrol etmek

4

Kullanılmayan hesapları 3 ayda bir silmek

9

Disk şifreleme özelliklerini kullanmak

14

Güçlü ve karmaşık parola poitikaları kullanmak

5

Kullanılmayan tüm Servisleri devre dışı bırakmak

10

Dosya paylaşımlarında erişim denetimi için NTFS ayarları yapılandırmak

1

İşletim sistemlerini güncel tutmak ve yamaları takip etmek

2

Router ve Kablosuz ağ cihazlarında güçlü parolalar kullanmak

Güvenlik Sıkılaştırma Kaynak Dokümanlar Bilgi Teknoloji sistemleri için hedef her zaman maksimum güvenliği sağlamak olmalıdır, hizmet sunumunu optimize etmek için her zaman taviz noktalarının olabileceği de gözardı edilmemelidir. Aynı anda tüm sistemlerde yüksek güvenliğin sağlanması oldukça güçtür. Internet Güvenliği Merkezi (CIS); yapılandırma ayarları için kuralların tanımlı olduğu kılavuzları yayınlamaktadır ve CIS Benchmark kılavuzlarında sistemler için kontrol edilmesi gereken sistem komutları da yer almaktadır. CIS Benchmark bir temel platform yapısı bağlamında içerik sağlar. Başka bir deyişle, öneriler temel bir başlangıç noktasına ​​ dayanır ve Bir çok sistem için versiyon farklılıklarına kadar detaylı incelemeler içerir. Kuruluşlar mevcut sistemlerinin türü ve versiyon bilgisi ile doğru yapılandırma kılavuzunu rehber edinerek, güvenlik sıkılaştırma kontrollerini uygulayabilmektedir. CIS Benchmark kılavuzlarına https://www.cisecurity.org/cis-benchmarks/ adresinden kayıt yaptırarak ulaşabilirsiniz. CIS tarafından yayınlanmamış sistemlerin güvenlik sıkılaştırmaları için kaynaklar; ilgili sistem tedarikçisi tarafından temin edilebilir. Örnek vermek gerekirse; Cisco cihazların güvenlik sıkılaştırma dokümanları ve ya güncelleme komutları, Cisco tarafından yayınlanır ve iş birliği yaptığı firmalar ile paylaşılır. Cisco tarafından güvenlik sıkılaştırma içeriklerine https://www.cisco.com/c/en/us/support/docs/ip/accesslists/13608-21.html https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180416-tsa18-106a adreslerinden ulaşabilirsiniz. Aynı yöntemle, Fortigate ve Ruckus ürünleri için güvenlik sıkılaştırma dokümanlarına firmaların resmi websiteleri üzerinden erişebilirisiniz. Bu kapsamda CIS üzerinde temin edemediğimiz sistem kılavuzları için ilgili tedarikçilerin resmi websiteleri üzerindeki paylaşımlarını takip etmek gerekmektedir. * https://docs.fortinet.com/document/fortigate/5.6.0/hardening-your-fortigate * https://support.ruckuswireless.com/documents/ Güvenlik sıkılaştırma yönetimi için referans doküman seçimi oldukça önemlidir. Öncelik her zaman sıkılaştırma yapılacak sistemler özelinde değerlendirme yapmak olmalıdır. Bu süreçte dikkat edilmesi gereken iki temel ihtiyaç kategorisi vardır; 1- Yönetim bakış açısı oluşturma, 2- Sistemler üzerinde doğru komutları çalıştırarak sistemsel çıktıları kontrol etme Kuruluşlar ihtiyaçlarını belirledikten sonra uygun sıkılaştırma kılavuzunu seçmelidir. 1. Yönetim bakış açısı oluşturma; Güvenlik sıkılaştırma süreçlerinin yönetimsel yaşam döngüsünü anlamlandırmak, ve süreçlerin tasarımını gerçekleştirebilmek için rehberlik edecek dokümantasyon ihtiyacını ifade etmektedir. Güvenlik sıkılaştırma gerekliliklerinin kuruluş içerisinde benimsenmesi, yönetim tasarımının oluşturulması için NIST, PCI – DSS ve ISO 27001 gibi standartlar takip edilebilir. Standartlar, güvenli sistem yapıları için gerekli prensipleri tanımlayarak, kuruluşların yönetim bakışı edinebilmesi için uygulama prensipleri ve kontrol esasları doğrultusunda rehberlik sağlayacaktır. 2. Sistemler üzerinde doğru komutları çalıştırarak sistemsel çıktıları kontrol etme; Güvenlik sıkılaştırmalarının sistem komutları ile teknik kontrollerin gerçekleştirilme ihtiyacını ifade etmektedir. Sistem kontrollerin gerçekleştirilebilmesi için CIS Benchmark dokümanları referans alınabilir. İlgili dokümanlar her bir sistemin versiyon özelinde gerekli güvenlik kontrollerinin sağlanması için sistem kodları ve çıktıların yorumlanması için gerekli teknik bilgileri içermektedir. CIS Doküman içeriklerinin temel bir başlangıç noktasına ​​ dayandığı unutulmamalıdır, Bu sebeple komutların uygulanmadan önce kaynak alınan doküman ile uygulanacak sistemin aynı özelliklere sahip olmasına dikkat edilmesi gerekmektedir. Uygulamalar, canlı sistemlerde yapılmadan önce test edilmelidir. CIS Benchmark dokümantasyonu içerisinde güvenlik sıkılaştırma kontrolleri tanımlanmayan sistemler için, tedarikçiler tarafından paylaşılan kılavuzların referans alınması gerekmektedir. Tedarikçiler tarafından yayınlanan kılavuzlar, ürün bazında özel olarak oluşturulmaktadır. Bu sebeple kullanılan ürünlerin hem teknik hem yönetim bilgilerinin yer aldığı güncel dokümanların ancak ilgili firmalar tarafından temin edilebileceği unutulmamalıdır.

Özet Güvenlik Sıkılaştırması, Bilgi Teknolojileri yaşam döngüsünün ilk kurulumdan yapılandırma, bakım ve desteğe, kullanım ömrünün sona ermesine kadar teknolojinin kullanım ömrü boyunca gereklidir ve belirli periyotlar ile takip edilmelidir. Her bir sistem mimarisinde güvenlik sıkılaştırmalarının doğru uygulanabilmesi için bir yol haritası belirlenmelidir. Yol haritası ile tespit edilen eksik ve ya riskli görülen alanlara öncelik vererek uluslararası kuruluşlar tarafından tanımlanmış sıkılaştırma kılavuzları rehberliğinde gerekli aksiyonların alınması gerekmektedir. Sistem sıkılaştırmalarının en temel seviyede iki ilkesi, gereksiz işlevleri kaldırmak ve güvenli yapılandırma ayarlarını uygulamaktır. Sıkılaştırma sürecine öncelikle kılavuz içerisinde paylaşmış olduğumuz; sunucular, uygulama, veritabanı ve işletim sistemleri için en temel seviyede güvenlik sıkılaştırma kontrol listelerini takip ederek başlayabilirsiniz. Bu kontrol listeleri doğrultusunda temel güvenlik şartları sağlanmış olacaktır. Kontrol listelerinin sonrasında ise, gerekli sistem komutlarının yer aldığı sıkılaştırma kılavuzlarının doğru sistemler için uygulanması ve düzenli olarak takip edilmesi sürecin devamlılığı sağlayacaktır. Son olarak; “Güvenlik” temalı bir sistem yapısı oluşturulmak isteniyorsa, en temelden güvenlik kontrollerinin sağlanması gereklidir. Bilindiği üzere, güvenlik ile kullanılabilirlik ters oranatılır. Güvenlik yaklaşımı benimsenecek ise, bir çok kontrol adımı sonrasında “kullanılabilirliğin” azalacağı unutulmamalıdır.

Funda Kör

Kıdemli IT Denetçi Asistanı

fkor@mazarsdenge.com.tr

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.