Hoş Geldiniz [BLOCK_TYPE SECTION/STEP]
Siber Güvenlik: Derinlemesine Savunma'ya hoş geldiniz. [BLOCK_TYPE SECTION/STEP]
Her hafta yeni bir manşet: bir hastanenin sistemleri fidye yazılımı tarafından kilitlendi, milyonlarca şifre kırılmış bir veritabanından sızdırıldı, saldırganlar tek bir ele geçirilmiş şifreyle boru hattını kapattı. [BLOCK_TYPE SECTION/STEP]
Siber güvenlik, kapüşonlu bir hacker olmakla ilgili değildir. Sistemlerin nasıl başarısız olduğunu anlamak ve bir sorun çıktığında (eğer değil, ne zaman) savunmaların ayakta kalmasını sağlamakla ilgili. [BLOCK_TYPE SECTION/STEP]
Bu ders, temel kavramlardan başlayarak tehdit modelleme, ağ savunması, uygulama güvenliği, olay müdahalesi ve sonunda bu bilginin para kazandırdığı meslek yollarına kadar sizi götürecek.
CIA Triad
CIA Üçlüsü
Her güvenlik kararı üç temel ilkeye dayanır. Sektörde buna CIA triad denir: istihbarat teşkilatıyla hiçbir ilgisi yoktur.
Gizlilik (Confidentiality): Verilere yalnızca yetkili kişiler erişebilir. Bir tıbbi kayıt yalnızca hastaya ve doktoruna görünür olmalı, tüm internete değil.
Bütünlük (Integrity): Veriler üzerinde oynanmamıştır. Bankanız bakiyenizin 500 dolar olduğunu söylediğinde, bunun 5.000 dolardan değiştirilmediğinden emin olmanız gerekir.
Kullanılabilirlik: Sistemler ve veriler ihtiyaç duyulduğunda erişilebilir olmalıdır. Bir hastanenin hasta kayıtları, acil bir durumda ağ çökerse işe yaramaz.
Çoğu ihlal bu üç unsurdan en az birini ihlal eder. Fidye yazılımı saldırıları kullanılabilirliği hedef alır. Veri sızıntıları gizliliği hedef alır. Finansal işlemlerdeki ortadaki adam saldırısı bütünlüğü hedef alır.
Gerçek dünya güvenliği, bu üçü arasındaki ödünleşmelerle ilgilidir. Bir kasaya sıkıca kapatılmış bir sistem mükemmel gizliliğe sahiptir ancak sıfır kullanılabilirliğe sahiptir.
Saldırı Vektörleri
Saldırılar Gerçekte Nasıl Gerçekleşir
Hollywood, hacker'ların yeşil kodları bir terminale öfkeyle yazdığını gösterir. Gerçeklik daha az göz alıcıdır. Çoğu ihlal, birkaç yaygın saldırı vektöründen biriyle başlar:
Phishing: Bir insanı sahte bir siteye linke tıklatmak, ek dosya açtırmak veya kimlik bilgilerini girmek için kandırmak. Bu hâlâ en yaygın ilk erişim yöntemidir. Spear phishing, belirli bir kişiyi özelleştirilmiş yemle hedef alır.
Malware: Cihazlara zarar vermek veya yetkisiz erişim sağlamak için tasarlanmış yazılım: ransomware dosyaları şifreleyerek ödeme talep eder, trojanlar kendini meşru yazılımmış gibi gösterir, wormlar ise ağlar üzerinden otomatik olarak yayılır.
Supply Chain Attacks: Güvenilir bir satıcıyı veya yazılım bağımlılığını ele geçirmek. 2020 yılında SolarWinds saldırısı, 18.000 organizasyona (ABD devlet kurumları dahil) dağıtılan düzenli bir yazılım güncellemesine kötü amaçlı kod enjekte etti.
Credential Attacks: Şifreleri brute force ile denemek, credential stuffing (diğer ihlallerden sızdırılan şifreler kullanılarak) veya hiç değiştirilmemiş varsayılan kimlik bilgilerini kullanmak.
Sıfırıncı Gün İstismarları: Yazılım satıcısının henüz bilmediği bir güvenlik açığını hedef alan saldırı. Bu saldırılar nadir görülmekle birlikte, mevcut bir yama olmadığı için yıkıcı sonuçlar doğurabilir.
Tehdit Aktörleri ve MITRE
Saldırıların Arkasında Kim Var?
Tüm saldırganlar aynı değildir. Güvenlik uzmanları onları motivasyon ve yeteneklerine göre kategorize eder:
Script Kiddies: Önceden hazırlanmış araçları kullanan düşük becerili saldırganlar. Gerçek zarar verebilirler ancak sofistike değillerdir.
Hacktivistler: Siyasi veya sosyal olarak motive olmuşlardır. Bir mesaj vermek için web sitelerini tahrif ederler, veri sızdırırlar veya hizmet reddi saldırıları başlatırlar.
Siber Suçlular: Kâr odaklıdırlar. Fidye yazılımı çeteleri, dolandırıcılık grupları ve veri simsarları. Bu, internete uyarlanmış organize suçtur.
Ulus-Devlet Aktörleri (APT'ler): Hükümetler tarafından desteklenen Advanced Persistent Threats (İleri Düzey Sürekli Tehditler). Büyük bütçeleri, özel araçları ve yıllarla ölçülen sabırları vardır. Espiyonaj, altyapı sabotajı ve fikri mülkiyet hırsızlığı düşünün.
İçeriden Gelenler: Meşru erişimleri olan çalışanlar veya yükleniciler, bu erişimi kötü niyetle veya ihmal yoluyla kötüye kullanırlar.
MITRE ATT&CK Çerçevesi
MITRE ATT&CK, gerçek dünya saldırgan tekniklerini aşamalara göre kataloglayan herkese açık bir bilgi tabanıdır: ilk erişim, çalıştırma, kalıcılık, ayrıcalık yükseltme, yatay hareket, sızdırma ve daha fazlası. Savunmacılar, saldırganların her aşamada ne yaptığını anlamak ve buna göre tespitler oluşturmak için bunu kullanır.
Güvenlik Duvarları, VPN'ler ve IDS/IPS
Ağ Savunma Katmanları
Ağ güvenliği, ağınıza giren, ağınızdan çıkan ve ağınız içinde hareket eden trafiği kontrol etmekle ilgilidir. Bunu tek bir cihaz tek başına yapmaz: savunma derinliği, birden fazla kontrolün katmanlandırılması anlamına gelir.
Güvenlik Duvarları: İlk savunma hattı. Bir güvenlik duvarı, ağ trafiğini inceler ve kurallara göre izin verir veya engeller. Temel bir güvenlik duvarı, IP adresi ve port numarasına göre filtreleme yapır. Yeni nesil güvenlik duvarı (NGFW), trafiğin gerçek içeriğini inceler ve belirli uygulamaları tanımlayabilir.
VPN'ler (Sanal Özel Ağlar): İki nokta arasında trafiği şifreleyerek, halka açık internet gibi güvenilmeyen bir ağ üzerinden güvenli bir tünel oluşturur. Uzaktan çalışanlar, VPN'leri sanki ofiste çalışıyormuş gibi şirket içi kaynaklara erişmek için kullanır.
IDS/IPS (Saldırı Tespit/Önleme Sistemleri): Bir IDS, trafiği izler ve şüpheli bir şey gördüğünde uyarı verir. Bir IPS aynı şeyi yapar ancak trafiği otomatik olarak engelleyebilir. IDS'yi bir güvenlik kamerası, IPS'yi ise kapıyı kilitleyebilecek bir güvenlik görevlisi olan bir güvenlik kamerası olarak düşünebilirsiniz.
Ağ Segmentasyonu: Bir ağın izole edilmiş bölgelere ayrılması, böylece bir alandaki ihlalin diğer alanlara kolayca yayılmaması. Pazarlama departmanında bir iş istasyonunun finans departmanındaki veritabanı sunucularına ulaşamaması.
Zero Trust ve DNS Güvenliği
Zero Trust Mimarisi
Geleneksel ağ güvenliği, kale ve hendek modelini izlerdi: güçlü çevre savunmaları, ancak bir kez içeri girdiğinizde, güvenilirdiniz. Bu, bir saldırganın çevre savunmasını aştığında veya çevrenin ortadan kalkmasıyla (herkes evden çalıştığında) felaketle sonuçlanır.
Zero Trust modeli tersine çevirir: asla güvenme, her zaman doğrula. Her istek: ister ağın içinden ister dışından gelsin: kimlik doğrulaması, yetkilendirme ve şifreleme yapılmalıdır. Temel ilkeler:
- Açıkça doğrula: Kimlik, konum, cihaz durumu, hizmet veya iş yükü, veri sınıflandırması gibi tüm mevcut verilere göre kimlik doğrulaması ve yetkilendirme yap.
- En az ayrıcalık erişimi: Kullanıcılara ve sistemlere yalnızca ihtiyaç duydukları minimum izinleri, yalnızca ihtiyaç duydukları süre kadar ver.
- İhlal varsay: Sistemleri, bir saldırganın zaten içeride olduğu varsayımıyla tasarla. Herhangi bir ihlalin etki alanını minimize et.
DNS Güvenliği
DNS, alan adlarını IP adreslerine çevirir. Saldırganlar bunu birkaç şekilde istismar eder: DNS spoofing, kullanıcıları kötü amaçlı sitelere yönlendirir; DNS tunneling, veri sızdırmayı DNS sorguları içine gizler; ve domain hijacking, meşru bir alan adını ele geçirir. DNSSEC, DNS yanıtlarına kriptografik imzalar ekleyerek kurcalamayı önler.
Enjeksiyon Saldırıları
Uygulamalar Saldırı Yüzeyi Haline Geldiğinde
Ağ savunmaları mükemmel olabilir, ancak uygulamanın kendisi güvenlik açıklarına sahipse, saldırganlar doğrudan ön kapıdan içeri girer.
SQL Enjeksiyonu: Saldırgan, bir giriş alanına kötü amaçlı SQL kodu ekler. Uygulama, kullanıcı girdisini birleştirerek veritabanı sorguları oluşturuyorsa, saldırgan tüm veritabanını okuyabilir, değiştirebilir veya silebilir. Örnek: bir giriş formuna ' OR 1=1 -- girilmesi, kimlik doğrulamasını tamamen atlatabilir.
Siteler Arası Betik Çalıştırma (XSS): Saldırgan, diğer kullanıcıların görüntüleyeceği bir web sayfasına kötü amaçlı JavaScript kodu enjekte eder. Kurban sayfayı yüklediğinde, betik onların tarayıcısında çalışır ve oturum çerezlerini çalabilir, onları kimlik avı sitelerine yönlendirebilir或修改他们看到的页面内容。
OWASP Top 10: Open Web Application Security Project, web uygulamaları için en kritik güvenlik risklerinin düzenli olarak güncellenen bir listesini yayınlar. Injection ve XSS, on yılı aşkın süredir listede yer almaktadır. Diğer girişler arasında kırık erişim kontrolü, güvenlik yanlış yapılandırması ve güvensiz tasarım bulunmaktadır.
Injection saldırılarının çözümü yalnızca girdi filtreleme değildir: parametreli sorgular (hazırlanmış ifadeler olarak da bilinir) kullanılır. SQL string'lerini kullanıcı girdisiyle oluşturmak yerine, girdiyi ayrı bir parametre olarak geçirirsiniz; veritabanı bu girdiyi hiçbir zaman kod olarak değil, veri olarak ele alır.
Authentication and Secure Development
Authentication Done Right
Authentication, kendinizi iddia ettiğiniz kişi olduğunuzu ispatlamaktır. Authorization, ne yapmanıza izin verildiğini belirlemektir. Bu iki kavramı karıştırmak, güvenlik açıklarının yaygın bir kaynağıdır.
Çok Faktörlü Kimlik Doğrulama (MFA): İki veya daha fazla faktör gerektirir: bildiğiniz bir şey (parola), sahip olduğunuz bir şey (telefon veya donanım anahtarı), olduğunuz bir şey (parmak izi). MFA, çalınan parolanın tek başına yeterli olmadığı için kimlik bilgisi temelli saldırıların büyük çoğunluğunu engeller.
OAuth 2.0 ve OpenID Connect: Yetkilendirme ve kimlik doğrulama için yetki devri standartları. 'Google ile Giriş Yap' seçeneğine tıklarken, OAuth uygulamaya Google parolanızı görmeden Google üzerinden kimliğinizi doğrulamayı izin verir.
Güvenli Yazılım Geliştirme Yaşam Döngüsü (SDLC)
Güvenlik, geliştirme sonrasında eklenemez. Güvenli SDLC, güvenliği her aşamada entegre eder:
- Tasarım: Tehdit modelleme: ne yanlış gidebilir?
- Geliştirme: Güvenli kodlama standartları, kod incelemesi, statik analiz araçları
- Test: Dinamik analiz, penetrasyon testi, fuzz testi
- Dağıtım: Güçlendirilmiş yapılandırmalar, sır yönetimi
- Bakım: Yama uygulama, güvenlik açığı taraması, bağımlılık güncellemeleri
Olay Müdahale Yaşam Döngüsü
Önleme Başarısız Olduğunda
Hiçbir savunma mükemmel değildir. Bir ihlal meydana geldiğinde, küçük bir olay ile felaket arasındaki fark, ne kadar hızlı ve etkili yanıt verdiğinizdir.
Standart olay müdahale yaşam döngüsü altı aşamadan oluşur:
1. Hazırlık: Takımı oluştur, rolleri tanımla, oyun kitapları oluştur, masa başı tatbikatları yap. Bu, herhangi bir olaydan önce gerçekleşir. Hazırlıksız bir ekip, kimin ne yapacağını anlamak için kritik saatler harcar.
2. Tespit ve Analiz: Bir olayın gerçekleştiğini tespit et ve kapsamını belirle. Bu aşamada SIEM (Güvenlik Bilgileri ve Olay Yönetimi) sistemleri ortam genelinden günlükleri topla ve şüpheli örüntüleri uyar. SOC (Güvenlik Operasyonları Merkezi) analistleri bu uyarıları 24/7 triyaj yapar.
3. Kapsama: Kanamayı durdur. Kısa vadeli kapsama, enfekte olmuş bir makineyi ağdan izole etmek anlamına gelebilir. Long-term containment might mean building a clean parallel environment while you investigate.
4. Eradication: Saldırganın varlığını tamamen kaldırın: kötü amaçlı yazılım, arka kapılar, ele geçirilmiş hesaplar ve kalıcılık mekanizmaları.
5. Recovery: Sistemleri normal çalışmaya geri getirin. Ortamın temiz olduğundan emin olun. Saldırganın hâlâ mevcut olduğuna dair işaretler için yakından izleyin.
6. Lessons Learned: En çok ihmal edilen aşama. Suçlamasız bir post-mortem yapın: ne oldu, nasıl tespit edildi, ne işe yaradı, ne işe yaramadı ve tekrarını önlemek için ne değişiklikler yapılacak.
Olay Müdahale Senaryosu
Senaryo: Sabah 2'de Fidye Yazılımı
On-call güvenlik analistisiniz. Saat 02:14'te SIEM'iniz bir alarm tetikliyor: birden fazla dosya sunucusunda olağandışı şifreleme aktivitesi görülüyor. Dakikalar içinde Avrupa ofisindeki çalışanlar, dosyalarının fidye notlarıyla değiştirildiğini ve 50 Bitcoin talep edildiğini bildiriyor.
Olay müdahale planınız, IR takım liderine eskalasyon yapmanızı ve fidye yazılımı playbook'unu takip etmenizi söylüyor. CEO arıyor. Hukuk, bildirim yükümlülükleri hakkında bilgi istiyor. IT direktörü, yedeklerin temiz olup olmadığını soruyor.
Öğrenilen Dersler
Atlanan Aşama
Acil kriz çözüldükten sonra, öğrenilen dersler aşaması organizasyonun gerçekten iyileşip iyileşmediğini belirler. Suçlamasız bir post-mortem şu soruları sorar:
- İlk erişim vektörü neydi?
- Saldırgan ortamda tespit edilmeden önce ne kadar süre kaldı (dwell time)?
- Hangi kontroller başarısız oldu ve neden?
- Hangi kontroller işe yaradı?
- Tekrarı önleyecek hangi somut, ölçülebilir değişiklikler yapılmalı?
Suçsuz kelimesi önemlidir. İnsanlar cezalandırılma korkusu yaşarsa, hatalarını gizler. Hatalar gizlenirse, organizasyon hiçbir zaman öğrenemez. Amaç sistemleri düzeltmek, bireyleri cezalandırmak değildir.
Son yıllarda fidye yazılımı saldırıları için ortalama kalma süresi azalmış olsa da, diğer saldırı türlerinde saldırganlar genellikle haftalarca veya aylarca tespit edilmeden kalır. Tespit hızı, güvenlik operasyonlarında en önemli metriklerden biridir.
Siber Güvenlikte Kariyer Yolları
Bu Bilginin Gittiği Yer
Siber güvenlikte küresel çapta yüz binlerce açık pozisyonla birlikte büyük bir yetenek açığı var. Alan, farklı kişiliklere ve beceri setlerine göre birden fazla kariyer yolu sunuyor:
SOC Analisti: İlk savunma hattı. SOC analistleri vardiyalı olarak uyarıları izler, olayları triyaj yapar ve tehditleri üst mercilere iletir. Siber güvenliğe giriş için en yaygın yoldur. Vardiyalı çalışma ve yüksek uyarı yorgunluğu beklenir, ancak hızlı şekilde derin pratik bilgi edinmenizi sağlar.
Penetration Tester (Pentester): Kuruluşlara izin alarak sızma testi yaparsınız. Saldırganlar yapmadan önce güvenlik açıklarını bulursunuz. Ağ, web uygulamaları ve işletim sistemleri konusunda derin teknik beceriler gerektirir. Yaratıcı problem çözme yeteneği önemlidir.
Güvenlik Mühendisi: Savunma altyapısını tasarlar ve kurur: güvenlik duvarları, SIEM sistemleri, kimlik platformları, şifreleme sistemleri. Bu, inşaatçı rolüdür. DevOps ve bulut mühendisliği ile güçlü bir örtüşme vardır.
Dijital Adli Bilişim ve Olay Müdahalesi (DFIR): Araştırmacılar. Bir ihlal gerçekleştiğinde, DFIR profesyonelleri ne olduğunu, nasıl olduğunu ve zamanını yeniden yapılandırır. Detaylara titiz dikkat ve legal süreçlere ile delil yönetimine alışkınlık gerektirir.
Sertifikalar
Sertifikalar zorunlu değildir, ancak kapıları açar:
- CompTIA Security+: Sektör standardı giriş seviyesi sertifika. Temel güvenlik kavramlarını kapsar. İyi bir başlangıç noktası.
- OSCP (Offensive Security Certified Professional): Uygulamalı sızma testi sertifikası. Bir laboratuvarda birden fazla makineye sızmak için 24 saatiniz vardır. Yüksek saygınlığa sahip ve gerçekten zor.
- CISSP (Certified Information Systems Security Professional): Güvenlik stratejisi,风险 yönetimi ve yönetim konularını kapsar. Beş yıl deneyim gerektirir. Üst düzey ve kepi yönetim rolleri için yaygın olarak مطلوب.
Güvenlik Zihniyeti
Sonuç
Bu derste çok fazla konuyu ele aldınız: CIA üçlüsü, tehdit aktörleri ve saldırı vektörleri, ağ savunması ve sıfır güven, uygulama güvenliği ve enjeksiyon saldırıları, tespit aşamasından ders çıkarılmasına kadar olay müdahalesi ve tüm bunları işe koyan kariyer yolları.
Savunmada derinlik ilkesinin temel prensibi, tek bir kontrolün yeterli olmamasıdır. Güvenlik duvarlarını segmentasyonla, segmentasyonu izlemeyle, izlemeyi olay müdahalesiyle ve bunların tamamını başarısız olduğunda ne yapılması gerektiğini bilen eğitimli insanlarla katmanlarsınız.
Saldırganların yalnızca bir boşluk bulması gerekir. Savunmacıların hepsini kapatması gerekir. Bu asimetri, bu alanı hem zorlayıcı hem de önemli kılan şeydir.