Saldırı Yüzeyi Nedir?
Saldırı yüzeyi, yetkisiz bir kullanıcının bir sisteme erişebileceği ve veri ihlaline sebep olabileceği tüm olası noktalar veya saldırı vektörleri, kısaca saldırganlara açık olan tüm alanlardır.
Saldırı Yüzeyi Analizi Nasıl Gerçekleştirilir?
Saldırı yüzeyi analizi, bir sistemin hangi bölümlerinin güvenlik açıkları açısından gözden geçirilmesi ve test edilmesi gerektiğini haritalamakla ilgilidir. Saldırı yüzeyi analizinin amacı, bir uygulamadaki/sistemdeki risk alanlarını anlamak, geliştiricilerin ve güvenlik uzmanlarının uygulamanın/sistemin hangi bölümlerinin saldırıya açık olduğu konusunda bilinçlendirilmesi, risk yaratabilecek alanları en aza indirmenin yollarını bulmak ve saldırı yüzeyinin ne zaman ve nasıl değiştiğini, bunun risk perspektifinden ne anlama geldiğini analiz etmektir.
Dijital izler, dijital varlıklar, kullanılan teknolojiler, versiyonlar gizli anahtarlar ve uygulama yolları saldırı yüzeyi ve risklerini artırır. Söz konusu dijital varlıklar ve izlerin fazla olması, saldırı yüzeyinin genişlemesi ve bu da tehdit faktörlerinin artması anlamına gelmektedir.
KVKK Açısından Saldırı Yüzeyinin Önemi Nedir?
7 Nisan 2016 tarihinde 29677 sayılı resmî gazetede yayımlanarak yürürlüğe giren KVKK’nın (Kişisel Verilerin Korunması Kanunu) amacı temel insan haklarından biri olan özel hayatın gizliliğini korumaktır. Kişisel verileri işleyen firmaların yükümlülükleri ve uymaları gereken kuralların genel hatları bu kanun ile çizilmiş ve yayımlanan rehberler ile de yoruma sebebiyet verilmeden, uygulamada açıklık sağlanması amacıyla hususlar detaylandırılmıştır.
KVKK Kişisel Veri Güvenliği Rehberi’nin Teknik ve İdari Tedbirler ile ilgili olan bölümü incelendiğinde çerçeveninin siber saldırıların önlenmesi ve olası ihlallerin önüne geçebilmek adına alınacak önlemlerin sürekliliğinin sağlanarak kontrollerinin gerçekleştirilmesi etrafında çizildiğini söyleyebiliriz.
Koruma katmanında gerekli uygulamaların önlem olarak yeterli olmayacağı, bunların güncel tutulması ve olası saldırılara karşı zaafiyet oluşturabilecek noktaların, saldırı yüzeyinin düzenli kontrol edilmesi hususları ile ilgili KVKK Teknik ve İdari Tebdirler Rehberi’nin 3.1. Siber Güvenliğin Sağlanması Maddesi;
“Kişisel veri güvenliğinin sağlanması için tek bir siber güvenlik ürünü kullanımı ile tam güvenliğin sağlanabileceği görüşü her zaman doğru değildir. Çünkü tehditler her geçen gün boyut ve nitelik değiştirerek etki alanlarını genişletmektedirler.
Bu kapsamda tavsiye edilen yaklaşım, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen birtakım tedbirlerin uygulanmasıdır.”
demektedir.
Rehberin 3.2. Kişisel Veri Güvenliğinin Takibi Maddesinde de;
“d) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması,”
denilmektedir. Yukarıda da bahsedilen saldırı yüzeyini oluşturan dijital izler, dijital varlıklar, kullanılan teknolojiler, versiyonlar, gizli anahtarlar ve uygulama yolları 3.2 de bahsedilen “sistem ve servislerin” büyük bir kısmını oluşturmaktadır.
4.1. Teknik Tedbirler Özet Tablosu’nda veri sorumluları tarafından alınabilecek teknik tedbirler gösterilmiştir.
KVKK Teknik Tedbirler
- Yetki Matrisi
- Yetki Kontrol
- Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ Güvenliği
- Uygulama Güvenliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarları
- Güncel Anti-Virüs Sistemleri
- Silme, Yok Etme veya Anonim Hale Getirme
- Anahtar Yönetimi
Saldırı yüzeyinin, süreci otomatize eden araçlar ve düzenli yaptırılan sızma testleri yardımıyla haritalanması, takibinin sağlanması ve raporlanması demek, tabloda yer alan maddelerin büyük bir kısmı için teknik tedbirlerin alınmış olması demektir.
Özetle; olası tüm saldırıların veri ihlaline sebebiyet verme ihtimali düşünüldüğünde, saldırı yüzeyinin tespiti, KVKK kapsamında alınması gereken teknik tedbirlerin önemli bir kısmına dokunmaktadır.
Saldırı Yüzeyini Azaltmak için Neler Yapılabilir?
- Sıfır Güven Politikaları Uygulayın
ZTNA, yalnızca doğru kişilerin doğru kaynaklara doğru zamanda doğru düzeyde erişmesini sağlar. Bu, kuruluşların tüm altyapısını güçlendirir ve yalnızca yetkili kişilerin ağlara erişebileceğini garanti ederek giriş noktalarının sayısını azaltır.
- Karmaşıklığı Ortadan Kaldırın
Gereksiz karmaşıklık, siber suçluların kurumsal verilere yetkisiz erişim elde etmelerini sağlayan kötü yönetim ve politika hatalarına neden olabilir. Kuruluşlar, gereksiz veya kullanılmayan yazılım ve cihazları devre dışı bırakmalı ve ağlarını basitleştirmek için kullanılan uç nokta sayısını azaltmalıdır.
Örneğin, karmaşık sistemler kullanıcıların kullanmadıkları kaynaklara erişmelerine neden olabilir ve bu da bir bilgisayar korsanının kullanabileceği saldırı yüzeyini genişletir.
- Güvenlik Açıklarını Düzenli Olarak Tarayın
Düzenli ağ taramaları ve analizleri, kuruluşların olası sorunları hızlı bir şekilde tespit etmelerini sağlar. Bu nedenle, bulut ve şirket içi ağlarla ilgili sorunları önlemek ve yalnızca onaylanmış cihazların bunlara erişebilmesini sağlamak için tüm saldırı yüzeyi tespitine hakim olmak hayati önem taşır. Tam bir tarama yalnızca güvenlik açıklarını tanımlamakla kalmamalı, aynı zamanda uç noktalardan nasıl yararlanılabileceğini de göstermelidir.
- Ağı Segmentlere Ayırın
Ağ segmentasyonu, kuruluşların saldırganları bir takım setlerle engelleyerek saldırı yüzeylerinin boyutunu en aza indirmelerine olanak tanır. Bunlar, güvenlik duvarları gibi araçları ve ağı daha küçük birimlere bölen mikrosegmentasyon gibi stratejileri içerir.
- Çalışanları Eğitin
Çalışanlar, siber saldırılara karşı ilk savunma hattıdır. Onlara düzenli siber güvenlik farkındalığı eğitimi vermek, en iyi uygulamaları anlamalarına, kimlik avı e-postaları ve sosyal mühendislik yoluyla bir saldırının belirgin işaretlerini tespit etmelerine yardımcı olacaktır.
