Yaklaşık son beş yıldır, iyi bir güvenlik için farklı katmanların bir arada çalışmasının iyi ve yeterli bir çözüm olduğunu konuşuyoruz. Özellikle virüs ve benzeri kötü niyetli (kötücül) yazılımlar için Internet girişinde, e-posta sunucusunun önündeki kontrollerle başlayıp, daha sonra iç sunucuların üzerindeki antivirüs yazılımlarına güveniyoruz. Kullanıcı bilgisayarı üzerindeki güvenlik ürünleri de (basit bir antivirüs ya da daha kapsamlı bir son kullanıcı güvenlik yazılımı olabilir) bir taraftan kullanıcıyı korurken, diğer yandan da kurumumuzun diğer kaynaklarını korumaya yardımcı oluyor.
Çok katmanlı güvenliğin amacı, bir katmanın (bir ürünün) kaçırdığı bir saldırıyı, diğer katmanın yakalamasını sağlamak. Peki neden? Yaptığımız Security Checkup’larda da görüyoruz. En yeni ürünler, güvenlik duvarları, saldırı tespit sistemleri bile, bazen eski saldırı yöntemlerini engellemekte başarısız oluyorlar. Çok katmanlı güvenlik, kurumun nihai güvenlik seviyesine katma değer getiriyor.
Öte yandan saldırganlar ve virüs yazarları da boş durmuyorlar. Karşılarındaki güvenlik yaklaşımını her geçen gün daha iyi öğrenip yeni saldırı yöntemleri geliştiriyorlar. Günümüzde hala zaman zaman virüs vb. zararlı yazılımlardan başımızın ağrımasının, işlerimizin aksamasının temel nedeni bu. Güvenlik düzenimize ne kadar çok koruma katmanı yerleştirirsek yerleştirelim, hala başarılı olan kötücül yazılımlar oluyor.
Ne yapacağız?
Katmanlı güvenlik sağlamaya, güncellemeye devam etmemiz gerekiyor. Saldırıların büyük çoğunluğunu bu yapı engelliyor ve günlük güvenlik operasyonunu rahatlatıyor. Bunun üzerine yapılması gereken en önemli ek ise şu:
Sadece koruma amacının yanında, kayıtlarımızdaki anormal durumları dinleyecek yapıları kurgulamamız gerekiyor. (İngilizce denetim terminolojisi ile preventive kontrollerin yanında detective kontrolleri de etkin bir şekilde devreye almamız gerekiyor.)
Sistemlerimizde oluşan kayıtlardaki (log) anormallikleri takip etmek gerçekten önemli. Son dönemde yaşadığımız ve savaşmak zorunda kaldığımız bir iki projede, daha sonra kayıtları incelediğimizde anormalliklerin uzun zaman önce başladığını, ancak önem verilmediği için problemler krize dönüşene kadar farkına varılmadığını ortaya çıkardık.
Tüm güvenlik uzmanlarının paylaştığı gibi, yüzde yüz güvenlik mümkün değil. Ancak temel ve kritik iş süreçlerinin etkilenmesini engelleyecek yapıları kurup işletmek mümkün ve bu bizlerin sorumluluğu.
Murat Lostar