Kuruluşlara eğer sundukları internete yönelik hizmet nedir şeklinde bir soru yöneltirseniz, size genelde iki şekilde cevap verirler.
- Web veya API hizmetlerinin listesi: Kullanıcıların sunulan hizmetlerle etkileşime girmesini sağlayan bir hizmettir.
- Kullanılan protokollerin ve bağlantı noktalarının listesi: Bilinen ve temel olarak kullanılan konfigürasyon ayarlarından örneğin firewall gibi kolayca alınabilir.
Ancak muhtemelen diğer makineler ve süreçlerin de internete yönelik hizmet kullanıyordur. Bir hizmetin kullanıcıları sadece çalışan veya müşterilerle sınırlı kalmaz. Bir hizmetin başka bir kullanıcıları ise:
- Sistem entegratörleri,
- Üçüncü taraf tedarikçiler,
- Yönetilen hizmet sağlayıcılar,
- Evden çalışanlar,
- Süreç düzenleme araçları örn: development pipelines
olarak sayılabilir.
Bu nedenle, internete yönelik bir hizmet nedir sorusunun cevabını toparlamamız gerekirse: İnternet üzerinden herhangi bir bağlantı noktası, protokol veya hizmet üzerinden erişebildiğiniz herhangi bir hizmet diyebiliriz.
1.Gerçekten internete yönelik bir hizmete ihtiyacınız var mı?
Öncelikle kendinize bu konuda bazı sorular sormalısınız. Bir işinizi halletmek veya işlevlerinizi yürütmek için internete yönelik bir ihtiyacınız hala devam ediyor mu?
- Bu hizmet aracılığıyla haftada sadece bir kez veri kabul ediyorsanız, bu sistemi 24 saat boyunca çalıştırmanız gerçekten gerekli mi?
- Peki hizmetin sürekli çalışması mı gerekiyor?
Kısacası, sürekli açık tutma ihtiyacınız yoksa kapatın.
Aynı şekilde bazı hizmetler, standart olduğu gibi etkinleştirilebilir halde sunulur. Ancak muhtemelen ihtiyaç duymayacağınız özelliklere sahip bağlı bağlantı noktaları sunacaktır. Bu sebple her zaman kullanmadığınız isteğe bağlı değişebilen özellikleri kapatın. Ve internete yönelik işlevleri devre dışı bırakmanızı tavsiye ederiz.
Süresi geçmiş hizmetlerin çoğu unutulma ve patch olmamasından kaynaklı uzlaşmanın ilk yolu olarak kullanılır. Bu durum aslında kaynaklarınız hakkında güvenli bilgi oluşturmanın ve bilgileri korumanın neden önemli olduğunu gösterir.
2. Hizmeti kim kullanıyor?
Bu adım, kullanıcılarınızı ve hizmetle nasıl etkileşim kurduğunu belirler.
- Online hizmetiniz, mutlaka sağlam bir kimlik doğrulama sistemine sahip olmalıdır. Ve yetkilendirme özelleştirilmelidir. Kullanıcılarınız üzerinde çok faktörlü kimlik doğrulama uygulamalısınız. Sadece çok gerekirse anonim erişimi etkinleştirin.
- İnternete yönelik hizmet yönetim veya konfigürasyon imkanı veriyorsa, bunun güvenilir bir cihaz aracılığıyla geldiğinden emin olun.
- Kamu CNI içinde gelişen bir uygulamadır. Ancak sıfır güven sistemini benimsemelisiniz. Böylece kimlik ve erişim kontrolünü sağlayabilme imkanı elde edersiniz.
3. İnternete yönelik hizmeti nasıl çalıştırıyorsunuz?
- İnternete yönelik hizmetinizin planlı veya plansız olaylardan etkilenebileceğini göze almalısınız. Ve buna karşı önlemlerinizi almalısınız. Hizmet saldırıya uğrasa da uğramasa da belli bir aşamadan sonra güncelleme ve bakım yapılması gerekir. Bu da güncelleme ve bakım yapılacağı zaman hizmetin kısa süreliğine kapatılması gerektiğini gösterir.
- Daha büyük bir savunma oluşturmak için açıkta kalan hizmetleri kendi ağları üzerinden ayırabilirsiniz. Aslında bir cloud sağlayıcısı gibi dış hizmet de kullanabilirsiniz. Böylece saldırganın kritik hizmetlerinizi engelleme fırsatını ortadan kaldırabilirsiniz.
4. İnternete yönelik hizmetinizin güvenliğine nasıl güvenirsiniz?
- Güven kazanmak, hizmetin izleme ve destekleyici yeteneklerinin ne kadar gelişmiş olduğuna bağlıdır. Öyle ki internete yönelik herhangi bir hizmet ya kullanıcı etkileşimlerinden ya da diğer sistemlerden gelen etkileşimlerden olsun mutlaka loglama amacıyla sorunları yakalayabilmelidir.
- Saldırganlar halka açık hizmetlerden faydalanmaya çalışır. Bu yüzden neyi logladığınızı ve nasıl çözüm üreteceğinizi önceden bilmelisiniz.
- Genel konfigürasyon hatalarını tespit edebilen harici araçlar aracılığıyla internete yönelik hizmetinizi düzenli olarak değerlendirebilirsiniz.
Uzun lafın kısası internete yönelik bir hizmette kaydea değer bir güven sağlamanın en iyi yolu, savunmanızın ortaya çıkan güvenlik tehditleri ve güvenlik açıklarından yola çıkarak gelişmesini sağlamaktır.
5. Hizmetin güvenliğine derinlemesine savunmayı nasıl eklersiniz?
- Sınır kontrolleri: İzinsiz Giriş Tespit Sistemleri (IDS) ve İzinsiz Giriş Önleme Sistemleri (IPS), durum bilgisi olmayan bir güvenlik duvarından daha çok işe yarayabilir.
- Güvenilmeyen verileri işleme: Bazı durumlarda, harici ve potansiyel olarak güvenilmeyen verilere taviz vermeniz yanında çok büyük bir risk getirir. Bu gerekli bilgilerin akışına izin verir, ancak siber saldırganların hizmete saldırma ihtimalini en aza indirecektir.
- Anti-kalıba dikkat edin.
- Dokümantasyon: Bu adım belki de en önemlilerinden birisi. Yapınıza doğrudan bir savunma kalkanı sağlamasa da, insanların sistemlerinizle hızlanmasına büyük ölçüde yardımcı olur. Okumanın ne kadar erişilebilir ise o kadar iyidir. Çünkü bu sayede karmaşık sistemler bile kolayca sindirilebilir bir şekilde açığa çıkar.