OzzTech - Güvenlik Kaosu Mühendisliğine Başlayın

Güvenlik Kaosu Mühendisliğine Başlayın

Güvenlik Kaosu Mühendisliğine Başlayın

Güvenlik kaosu mühendisliği kısaca güvenlik ekiplerinin bir şirketin sisteminde bulunan güvenlik açıklarını veya zayıflıklarını proaktif olarak keşfetmek için kullanılan yeni bir yöntemdir.

Her ne kadar güvenlik kaosu mühendisliği penetrasyon testi gibi gözükse de aslında aynı değil. Her ikisi de, bir etki yaratmadan önce bir sistem içerisindeki güvenlik açıklarını ve zayıf noktaları bulmayı sağlayan proaktif önlemlerdir. İkisini birbirinden ayıran farklar:

  • Penetrasyon testinde sistemdeki zayıflıklar bir saldırı taklit edilerek ortaya çıkılır.
  • Kaos testinde kasıtlı olarak hata, başarısızlık ve rastgele davranışlar üretilir. Sistemin hepsini doğru bir şekilde algılayıp işleyemediği değerlendirilir.

Üretim aşamasında olan herhangi bir uygulamayı imkan dahilinde sabote temeyi isteyen bir güvenlik ekibi çok fazla tepki alacaktır. Ancak bilinmesi gerekir ki tüm bunlar kontrollü deneylerdir. Ve bu deneyler doğru yapıldığında eskisinden daha güçlü ve güvenli bir IT ortamı yaratacaktır. Sonuç olarak sistemin tasarlandığı şekilde çalıştığına dair güven artar.

Güvenliği test etmek için güvenlik kaosu mühendisliği nasıl kullanılır?

Bir işletmede yapılacak ilk test, personellerin kullandıkları cihazların ve sürecin nasıl çalıştığını öğrenebilmeleri için hazırlık ortamında ya da test ortamında çalıştırılmalıdır. Test edilen ortamda her seferinde yalnızca bir deney yapılmalıdır. Buradaki amaç ise, örneğin bir bağlantı noktası yanlış konfigüre edilmiş olsun. Test sonucunda olayın ne, ne zaman ve hangi noktada olduğu tespit edilir.

Unutmayın ki, kaos mühendisliğinde amaç hiçbir zaman tüm altyapıya karşı karmaşık bir saldırı başlatmak değildir. Çünkü böyle bir durumda beklenmedik olaydan daha farklı bir senaryo yaratarak olayın nerede başladığını anlamayı zorlaştırır. Bu, katılanların gerçek bir saldırının yoğun baskısı altında olmadığı ve pratikten daha fazlasını öğrenebileceğini gösterir. Testlerinize çok fazla değişken eklemeyin. Yoksa ilk hedefe ne olduğuna yönelik görünürlüğü engelleyen kademeli sorunlar olabilir.

Bu çalışmadan etkilenme ihtimali olan ve sistemi tekrar stabil bir duruma getirmesi gereken herkes teste alınır. Örneğin; yazılım mühendisleri, network mühendisleri, müdahale ve güvenlik ekipleri teste dahil edilmelidir. Kod olarak altyapı kullanımı yaygınlaştıkça, çalışanların kodlamayı biraz anlayabilmesi, yazılımın nasıl oluşturulduğunu ve içerdiği karmaşıklıkları daha çabuk kavramalarını sağlar.

Planlama önceden yapılmadan test yapılamaz. Planda, testin nelerden oluşacağını açıkça tanımlayın. Sistemler ve güvenlik kontrolleri beklenildiği gibi çalıştığında ne olacağını ve testin hangi aşamada sonlanacağını açıklayın. Örneğin; Bağlantı noktası yanlış konfigüre edildiğinde,

  • Hangi firewall kurallarının bağlantı noktası üzerinden yetkisiz trafiği yakalaması gerekiyor,
  • Hangi hareketler oluşturulmalıdır
  • Hareketler nerede loglanıp işlenmelidir,
  • Uyarıları kimlerin almalı

Planlama haritası çıkartıp belgeleyin.

Yazılım, ağ ve çözüm planlayıcıları, genel sistemin nasıl çalışması gerektiğine dair farklı modelleri kullandığı için böyle bir çalışma ilginç bir alıştırma örneği sağlar.

Teste başladıktan sonra, beklenen ve beklenmeyen her olayı kaydedin. Böylece ekibin sadece güvenlik kontrolleri tarafından hazırlanan bilgileri kullanarak problemi ne kadar hızlı çözdüğünü görün. Test, beklenmedik problemler veya kararsızlık yaratmaya başladığı zaman sonlandırılır. Eklenen hatalar çözülür.

Test sonlandıktan sonra çıkan sonuçların değerlendirmesini yapın. Sistemin bir sonraki testten geçebilmesi için hangi değişikliklerin yapılması gerektiğini belirleyin.

Örneğin:

  • Örnekler arasında konfigürasyon drifti var mı?
  • Loglama daha fazla içeriğe ihtiyaç duyuyor mu?
  • Sorunun nereden geldiği belli olduğunda uyarı almak iyidir. Diğer test sonuçları, firewall kurallarının artık etkisinin kalmadığını ya da geçerli olmadığını gösterir.
  • Güvenlik kontrolleri, yapmak için tasarlandıkları veya konfigüre edildikleri neleri yapamadılar?

Hatanın olması gerekenden daha uzun sürmesi, personel veya beceri eksikliğinden kaynaklanıyor olabilir. Tüm bu sonuçlar müdahale ekibine güçlü ve zayıf yönleri hakkında bilgi verir.

Test ortamında farklı güvenlik kontrolleri test edilip değerlendirildikten sonra, güvenlik kontrolü doğrulaması üretim ortamına geçer. Bu adımın önemli olmasının nedeni, distributed bir sistemde, ikisi arasında her zaman birkaç konfigürasyon driftleri veya farklılıklar bulunur.

Beklemek yerine olası arızaları test edin

İnsanların modern bir uygulamayı ve destekleyici altyapısının modellemesini yapmak zordur. Her bir olayda penetrasyon testi yapmak imkansız olduğu için aynı araçlara fazladan para harcamak gereksizdir. Bu durumda güvenlik kaosu mühendisliği işletmelerde kritik ve önemli uygulamalarda güveni ve genel güvenliği nasıl arttırabileceğinize dair bir cevap oluşturur.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.