OzzTech - İnternete Yönelik Hizmet Nedir?

İnternete Yönelik Hizmet Nedir?

İnternete Yönelik Hizmet Nedir?

Kuruluşlara eğer sundukları internete yönelik hizmet nedir şeklinde bir soru yöneltirseniz, size genelde iki şekilde cevap verirler.

  1. Web veya API hizmetlerinin listesi: Kullanıcıların sunulan hizmetlerle etkileşime girmesini sağlayan bir hizmettir.
  2. Kullanılan protokollerin ve bağlantı noktalarının listesi: Bilinen ve temel olarak kullanılan konfigürasyon ayarlarından örneğin firewall gibi kolayca alınabilir.

Ancak muhtemelen diğer makineler ve süreçlerin de internete yönelik hizmet kullanıyordur. Bir hizmetin kullanıcıları sadece çalışan veya müşterilerle sınırlı kalmaz. Bir hizmetin başka bir kullanıcıları ise:

  • Sistem entegratörleri,
  • Üçüncü taraf tedarikçiler,
  • Yönetilen hizmet sağlayıcılar,
  • Evden çalışanlar,
  • Süreç düzenleme araçları örn: development pipelines

olarak sayılabilir.

Bu nedenle, internete yönelik bir hizmet nedir sorusunun cevabını toparlamamız gerekirse: İnternet üzerinden herhangi bir bağlantı noktası, protokol veya hizmet üzerinden erişebildiğiniz herhangi bir hizmet diyebiliriz.

1.Gerçekten internete yönelik bir hizmete ihtiyacınız var mı?

Öncelikle kendinize bu konuda bazı sorular sormalısınız. Bir işinizi halletmek veya işlevlerinizi yürütmek için internete yönelik bir ihtiyacınız hala devam ediyor mu?

  • Bu hizmet aracılığıyla haftada sadece bir kez veri kabul ediyorsanız, bu sistemi 24 saat boyunca çalıştırmanız gerçekten gerekli mi?
  • Peki hizmetin sürekli çalışması mı gerekiyor? 

Kısacası, sürekli açık tutma ihtiyacınız yoksa kapatın. 

Aynı şekilde bazı hizmetler, standart olduğu gibi etkinleştirilebilir halde sunulur. Ancak muhtemelen ihtiyaç duymayacağınız özelliklere sahip bağlı bağlantı noktaları sunacaktır. Bu sebple her zaman kullanmadığınız isteğe bağlı değişebilen özellikleri kapatın. Ve internete yönelik işlevleri devre dışı bırakmanızı tavsiye ederiz.

Süresi geçmiş hizmetlerin çoğu unutulma ve patch olmamasından kaynaklı uzlaşmanın ilk yolu olarak kullanılır. Bu durum aslında kaynaklarınız hakkında güvenli bilgi oluşturmanın ve bilgileri korumanın neden önemli olduğunu gösterir.

2. Hizmeti kim kullanıyor?

Bu adım, kullanıcılarınızı ve hizmetle nasıl etkileşim kurduğunu belirler.

  • Online hizmetiniz, mutlaka sağlam bir kimlik doğrulama sistemine sahip olmalıdır. Ve yetkilendirme özelleştirilmelidir. Kullanıcılarınız üzerinde çok faktörlü kimlik doğrulama uygulamalısınız. Sadece çok gerekirse anonim erişimi etkinleştirin.
  • İnternete yönelik hizmet yönetim veya konfigürasyon imkanı veriyorsa, bunun güvenilir bir cihaz aracılığıyla geldiğinden emin olun.
  • Kamu CNI içinde gelişen bir uygulamadır. Ancak sıfır güven sistemini benimsemelisiniz. Böylece kimlik ve erişim kontrolünü sağlayabilme imkanı elde edersiniz.

3. İnternete yönelik hizmeti nasıl çalıştırıyorsunuz?

  • İnternete yönelik hizmetinizin planlı veya plansız olaylardan etkilenebileceğini göze almalısınız. Ve buna karşı önlemlerinizi almalısınız. Hizmet saldırıya uğrasa da uğramasa da belli bir aşamadan sonra güncelleme ve bakım yapılması gerekir. Bu da güncelleme ve bakım yapılacağı zaman hizmetin kısa süreliğine kapatılması gerektiğini gösterir.
  • Daha büyük bir savunma oluşturmak için açıkta kalan hizmetleri kendi ağları üzerinden ayırabilirsiniz. Aslında bir cloud sağlayıcısı gibi dış hizmet de kullanabilirsiniz. Böylece saldırganın kritik hizmetlerinizi engelleme fırsatını ortadan kaldırabilirsiniz.

4. İnternete yönelik hizmetinizin güvenliğine nasıl güvenirsiniz?

  • Güven kazanmak, hizmetin izleme ve destekleyici yeteneklerinin ne kadar gelişmiş olduğuna bağlıdır. Öyle ki internete yönelik herhangi bir hizmet ya kullanıcı etkileşimlerinden ya da diğer sistemlerden gelen etkileşimlerden olsun mutlaka loglama amacıyla sorunları yakalayabilmelidir.
  • Saldırganlar halka açık hizmetlerden faydalanmaya çalışır. Bu yüzden neyi logladığınızı ve nasıl çözüm üreteceğinizi önceden bilmelisiniz.
  • Genel konfigürasyon hatalarını tespit edebilen harici araçlar aracılığıyla internete yönelik hizmetinizi düzenli olarak değerlendirebilirsiniz.

Uzun lafın kısası internete yönelik bir hizmette kaydea değer bir güven sağlamanın en iyi yolu, savunmanızın ortaya çıkan güvenlik tehditleri ve güvenlik açıklarından yola çıkarak gelişmesini sağlamaktır. 

5. Hizmetin güvenliğine derinlemesine savunmayı nasıl eklersiniz?

  • Sınır kontrolleri: İzinsiz Giriş Tespit Sistemleri (IDS) ve İzinsiz Giriş Önleme Sistemleri (IPS), durum bilgisi olmayan bir güvenlik duvarından daha çok işe yarayabilir.
  • Güvenilmeyen verileri işleme: Bazı durumlarda, harici ve potansiyel olarak güvenilmeyen verilere taviz vermeniz yanında çok büyük bir risk getirir. Bu gerekli bilgilerin akışına izin verir, ancak siber saldırganların hizmete saldırma ihtimalini en aza indirecektir.
  • Anti-kalıba dikkat edin
  • Dokümantasyon: Bu adım belki de en önemlilerinden birisi. Yapınıza doğrudan bir savunma kalkanı sağlamasa da, insanların sistemlerinizle hızlanmasına büyük ölçüde yardımcı olur. Okumanın ne kadar erişilebilir ise o kadar iyidir. Çünkü bu sayede  karmaşık sistemler bile kolayca sindirilebilir bir şekilde açığa çıkar.

İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.