11 Haziran 2014

Ağ Güvenliği ve Risk Analizi

Güvenlik bir ürün değil, süreçtir (Bruce Schneier)

Bilgilerinizin ve ağınızın güvenliği için bir cihaz veya bir hizmet satın almak ve tüm sorununuzu çözmesini beklemek maalesef gerçekçi ve uygulanabilir değil.

Çünkü bilgileriniz ve ağınız sürekli gelişen, kendini yenileyen, yaşayan varlıklar. Bu varlıkları korumak için yaşam döngülerini periyodik olarak takip etmeli ve ihtiyaçlarını tespit etmeliyiz. Bu tespitlerde ortaya çıkan bulguları değerlendirerek, gerekli tedavileri, iyileştirmeleri elbette bütçemiz çerçevesinde gerçekleştirmeli, kurumumuzun amaçlarına yönelik kuruma özgü önlemleri almalı ve tüm bu süreçleri kurumsal ekibimizin tamamında uygulayabilmeliyiz.

Tıpkı vücudumuzun sağlığı gibi bilgi ve ağ güvenliğinin de sağlığı, sağlıklı çalışırlığı belirli periyodlarda gözden geçirilmeli.

Periyodik kontroller ile desteklenen sistemlerin daha güvenli, sağlıklı ve dolayısıyla verimli çalışması söz konusudur.





Nereden başlayacağız?

Güvenlik, pek çok bileşene sahip bir yapı, bir sistemdir. Güvenlik sisteminiz ihtiyacınız doğrultusunda uzmanlar tarafından yapılan tespite ve bütçenize göre dizayn edilir.

Bu sistemin çok küçük bir bölümünü oluştursa da ihtiyaç duyulan pek çok bileşenden akla gelen ilk çözüm hem fiyat hem de uygulama yaygınlığı açısında güvenlik duvarlarıdır.






Dış dünya ile aranıza bir güvenlik duvarı (Firewall) konumlandırdınız. Bu duvar güvenlik ilgili tüm ihtiyaçlarınızı çözemeyecek fakat yine de internete karşı tamamen korunmasız olmanızı önleyecektir.

Peki en temel yapı olan bu duvar (firewall) sağlıklı durumda mı, duvarınız zafiyet içeriyor mu?








Almış olduğunuz önlemler gelişen teknoloji, değişen ihtiyaçlar ve kullanım alışkanlıkları doğrultusunda zafiyet (zayıflık, eksiklik) içerebilir.

Bu durumu kontrol etmez isek korunduğumuzu düşünürken oysa risklere açık şekilde sistemimizi kullanmaya devam ediyoruz demektir. 


Kurumunuzda kullanılması gereken güvenlik çözümlerinin neler olduğunu, ihtiyaçları tespit etmek, yatırımınızı doğru yapmak amacıyla risk analizi gerçekleştirilmesi önerilir.

Risk Analizi

Çeşitli uzmanlık seviyelerinde gerçekleştirilebilen bu kontrol (test) süreçlerinde ilk adım "Zafiyet Taraması" dır. 

Zafiyet taraması

Ağ yapısı ve ağ bileşenleri üzerinde "bilinen" güvenlik zafiyetlerinin taranması ve raporlanmasından oluşmaktadır.

Bu tarama sonucunda ağınızın güvenlik bakış açısıyla ilk resmi çekilmiş olur. Bu resim ağa yapılabilecek ilk saldırının ne şekilde gerçekleşebileceğinin haritasını çıkartmayı sağlar.

Zayıf noktanın tespiti ile gerekli önlemlerin alınması üzerine çalışmalara başlanır.

Bu tip risk analizi çalışmaları uluslararası standartlar kapsamında pek çok firmada artık rutin olarak gerçekleştirilmekte, hatta pek çok kalite standardına göre 3'er aylık periyodlarda tekrarlanmak zorundadır.


Herhangi bir zayıf nokta bulunamaz ise?

Bu durumda işletmenin şikayetleri, sorunları ve/veya güvenlik ihtiyacı doğrultusunda araştırmalar, analiz sürdürülebilir.

Sızma Testi

Zafiyet testinden bir sonraki aşama olan "Sızma Testi"nde saldırgan gibi düşünerek, saldırganın bilgiye erişme, ağa sızma işlemi simüle edilir. 

Bulunan zafiyetler ya da uzman tarafından tahmin edilen açıklıklar irdelenerek izinsiz erişimin nasıl yapılacağı gözden geçirilir ve uygulanır. 

Bu esnada izlenilen yol ve kullanılan metot raporlanır. Bu kimi zaman çok kapsamlı uzun süren bir çalışma olabilir, kimi zaman da ihtiyaç ve bütçe doğrultusunda kısıtlı zaman aralağında gerçekleştirilir.

Sızma testinin gerçekleştirilmesi gereken ideal süresi için öncelikle uzman kişilerce ağ keşfinin yapılması ve bu keşif sonucunda firma ile birlikte bütçe doğrultusunda bir süre kararlaştırılması gerekir.

Daha fazla bilgi edinmek ya da sorularınıza yanıt bulmak için bilgi [ at ] isr.com.tr adresinden bizimle iletişime geçebilirsiniz.

Popüler Yayınlar