Sistemlerin sıkılaştırılması, teknoloji uygulamaları, sistem ve ağ altyapısı, ürün yazılımı ve diğer alanlardaki güvenlik zafiyetlerini azaltmak için bir dizi araç, yöntem ve uygulamalardan meydana gelen süreçtir. Sistemlerin sıkılaştırılmasının hedefi, potansiyel güvenlik açıklarını, tehdit oluşturan unsurları ortadan kaldırarak, sistemin saldırı alanını daraltarak güvenlik riskini minimuma indirmektir.

Kullanılmayan uygulamaları, gereksiz programları, hesap işlevlerini, erişim yetkilerini, bağlantı noktalarını vs kaldırarak saldırganların ve kötü niyetli yazılımların BT altyapısına zarar verme ihtimalini düşürebilirsiniz.

Sistemlerin sıkılaştırılması, kurumunuzdaki olası güvenlik açıklarını tanımlamak, kontrol etmek ve kapatmak için yöntemsel bir yaklaşım gerektirir.  Çeşitli sistem sıkılaştırma yöntemlerine verilen bazı örnekler aşağıdaki gibidir:

• Uygulama sıkılaştırma

• Ağ sıkılaştırma
• İşletim sistemi sıkılaştırma
• Veritabanı sıkılaştırma
• Sunucu sıkılaştırma

Sistem sıkılaştırma ilkeleri evrensel olmasına karşın, uygulanan tekniklere ve araçlara göre değişiklikler gösterebilir. Sistemin sıkılaştırılması, ilk kurulumdan kullanım ömrünü doldurana kadar sürekli olarak beslenmesi gereken bir süreç ve yöntemdir.

Ayrıca sistemlerin sıkılaştırılması GDPR, KVKK, PCI DSS ve HIPAA gibi yasal uyumlulukların da bir gereğidir.

“Saldırı Yüzeyini” Azaltmak için Sistemlerin Sıkılaştırılması

“Saldırı yüzeyi”, bilgisayar korsanlarının istismar edebileceği tüm potansiyel açıkların ve kusurların birleşimidir. Bu güvenlik açıkları çeşitli şekillerde ortaya çıkabilir:

• Varsayılan ve sabit düzene girmiş şifreler
• Düz metin dosyalarında saklanan şifreler ve kimlik bilgileri

• Şifrelenmemiş ağ trafiği veya beklemedeki veriler
• Kötü yapılandırılmış BIOS, güvenlik duvarları, bağlantı noktaları, sunucular, anahtarlar, yönlendiriciler veya altyapının diğer bölümleri
• İşlenmemiş yazılım ve ürün yazılımı güvenlik açıkları

• Ayrıcalıklı yetkilendirme noksanlığı

Sistem Sıkılaştırması için Adımlar

Uygulanması gereken sistem sıkılaştırma türü, kurumun sahip olduğu teknoloji altyapısındaki açıklara, kaynaklara ve düzenleme sırasına bağlıdır.

Mevcut sistemlerin denetlenmesi: Kurumunuz mevcut sistem ve ağ altyapısını kapsamlı bir şekilde kontrol edin. Sistemdeki açıkları bulmak ve düzeltmelere öncelik sıralaması vermek için sızma testi, yapılandırma yönetimi, güvenlik açığı taraması ve diğer güvenlik denetim araçlarını kullanın.  NIST, Microsoft, CIS, DISA vb sektörel standartları göz önüne alınarak sistem sıkılaştırma değerlendirmelerinin yapılması uygun olacaktır.

Sistemlerin sıkılaştırılması için bir strateji oluşturulması: Mevcut sisteminizi bir bütün olarak aynı anda sıkılaştırmak gibi bir zorunluluk yoktur. Bunun yerine teknolojik altyapınızda belirlenen güvenlik açıklarına bağlı olarak bir strateji ve plan oluşturun. Risk değeri yüksek olandan düşük olana doğru aşamalı bir yaklaşım türü uygulanabilir.

Güvenlik açıklarını hemen düzeltme: Otomatik ve detaylı bir güvenlik zaafiyeti tanımlama ve yama sisteminizin mevcut olması kurumunuz olası saldırılara karşı koruyacaktır.

Ağ sıkılaştırma: Güvenlik duvarınızın doğru yapılandırıldığından, düzenli olarak takip edildiğinden, gereksiz erişim izinlerinin olmadığından, kullanılmayan protokol ve hizmetlerin kapalı olduğundan, kullanılmayan ve gereksiz olduğu düşünülen ağ bağlantı noktalarının kapalı olduğundan emin olun. Ağ trafiği için erişim kontrol listeleri uygulamak, trafiği şifrelemek gibi işlemler ağınızı güvenlik açıklarına karşı daha güçlü kılacaktır.

Sunucu sıkılaştırma: Mevcut sunucuları güvenli bir veri merkezinde barındırmak, bu sunucuların internete ya da dış ağlara bağlanmadan önce daima sıkı tutmak, ihtiyaç duyulmayan gereksiz programları ve yazılımları yüklemekten kaçınmak, kullanıcı bazlı erişim ilkeleri uygulamak, erişimleri en az ayrıcalığa göre yetkilendirmek, yönetimsel paylaşımların doğru şekilde yapılandırmak sunucularınızı daha sıkı hale getirecektir.

Uygulama sıkılaştırma: Gereksiz bileşenleri veya işlevleri kaldırın; kullanıcı rollerine ve etkinliklerine göre uygulamalara erişim yetkisini verin (uygulama kontrolü gibi); tüm örnek dosyaları kaldırın ve varsayılan şifreleri değiştirin. Parola yönetim uygulamaları aracılığıyla uygulama parola değiştirme süresi, uzunluk, karakter sayısı ve çeşitleri gibi paralo yönetimini geliştirin.  Uygulamaların sıkılaştırılması, diğer uygulama ve sistemlerle entegrasyonlarının kontrol edilmesini ve gereksiz entegrasyon araçlarının ve ayrıcalıklarının kaldırılmasını veya minimuma indirgenmesini içerir.

Veritabanı Sıkılaştırma: Kullanıcıların ayrıcalıklı erişim yetkilerini denetleyerek veritabanın da yapabilecekleri gibi yönetici kısıtlamaları oluşturun; uygulamaları ve kullanıcıları doğrulamak için düğüm kontrolünü açın; veritabanı datalarını şifrelemek- hem transit hem de dinlenme; güvenli şifreler kullanmak, rol tabanlı erişim yetkileri tanımlamak; kullanılmayan hesapları kaldırmak veritabanlarına istenmeyen erişimleri engellemeye yardımcı olacaktır.

İşletim sistemi sıkılaştırma: İşletim sistemlerinin güncellenmesi, eski versiyondaki güvenlik zafiyetlerinin ve hatalarının giderilmesi gibi birçok bileşeni beraberinde getirmesi sebebiyle işletim sistemi güncel tutulmalı. Gereksiz sürücüleri, kitaplıkları, yazılımları, dosya paylaşımlarını ve hizmetleri kaldırmalı. Depolama alanlarına parolalar koyulmalı; kayıt defteri ve diğer sistem izinleri sıkılaştırılmalı. Tüm bunlara ek olarak tüm etkinlikler, hatalar, olaylar loglanmalı ve düzenli olarak kontrol edilmelidir.

Kullanılmayan hesaplar ve gereksiz ayrıcalıklar mutlaka kaldırılmalı.

Sistem Sıkılaştırmanın Yararları

Sistemlerin sıkılaştırılması sürekli çaba gerektirir ve bu çabanın verimini gösterir.

Gelişmiş sistem işlevselliği: Daha az işlevsellik, program, yazılım, işletim problemi, yanlış yapılandırmalar, uyumsuzluklar, uygulamalar güvenlik açıklarını minimuma indirir.

Önemli ölçüde geliştirilmiş güvenlik: Güvenlik açığı yaratma ihtimali olan noktaların azalması, daha düşük veri ihlali ihtimali, yetkisiz erişimlerin engellenmesi, siber saldırganlara ve kötü niyetli yazılımlara karşı daha etkin bir savunma hattı oluşturur.

Basitleştirilmiş uyum ve denetlenebilirlik: Sistem ve altyapının daha sade ve yalın hale gelmesiyle birlikte ortamların, programların, uygulamaların vs. denetlenmesini ve takibini daha şeffaf ve anlaşılır hale getirir.

Tecron uzman kadrosu ve güçlü iş ortakları ile birlikte doğru yöntemlerin belirlenmesinden ve ihtiyaç duyulan tüm süreçlerin uygulanmasına kadar size destek olacaktır.