Cisco'dan Jamey Heary: Hassas bilgilerle çalışan, şifreli WiFi, VPN ve şifreli uygulamalar kullanan kuruluşlar

18 Ekim'de (October 18th)Cisco Connect 2017'ye(Cisco Connect 2017) davet edildik . Bu etkinlikte güvenlik uzmanı (security expert) Jamey Heary ile tanıştık . Global Güvenlik Mimarisi Ekibini(Global Security Architecture Team) yönettiği Cisco Systems'da Seçkin Sistem (Systems)Mühendisidir(Systems Engineer) . Jamey , Cisco'nun(Cisco) en büyük müşterilerinin çoğu için güvenilir bir güvenlik danışmanı ve mimardır . (security advisor and architect)Aynı zamanda bir kitap yazarı(book author) ve eski bir Network World blog yazarıdır .(Network World blogger) . Onunla modern kurumsal güvenlik, işletmeleri ve kuruluşları etkileyen önemli güvenlik sorunları ve tüm kablosuz ağları ve istemcileri etkileyen en son güvenlik açıkları ( KRACK ) hakkında konuştuk. İşte söylemek zorunda olduğu şey:

Hedef kitlemiz hem son kullanıcılardan hem de iş kullanıcılarından oluşmaktadır. Başlamak ve kendinizi biraz tanıtmak için, Cisco'daki(Cisco) işinizi kurumsal olmayan bir şekilde nasıl tanımlarsınız?

Benim tutkum güvenlik. Her gün yapmaya çalıştığım şey, müşterilerime ve son kullanıcılarıma mimariyi öğretmek. Örneğin, bir güvenlik ürününden(security product) ve diğer ürünlerle (bizim veya üçüncü şahıslardan) nasıl bütünleştiğinden bahsediyorum. Bu nedenle sistem mimarisini (system architecture)güvenlik açısından(security perspective) ele alıyorum .

Jamey Heary, Cisco

Bir güvenlik uzmanı(security expert) olarak edindiğiniz deneyime göre, modern işletmeye yönelik en önemli güvenlik tehditleri nelerdir?

En büyükleri sosyal mühendislik ve fidye yazılımlarıdır(engineering and ransomware) . İkincisi pek çok şirkette yıkıma yol açıyor ve içinde çok fazla para olduğu için daha da kötüleşecek. Muhtemelen kötü amaçlı yazılım yaratıcılarının nasıl yapılacağını buldukları en kazançlı şeydir.

"Kötü adamların" odak noktasının son kullanıcı olduğunu gördük. Şu anda en zayıf halka o. Bir endüstri olarak insanları eğitmeye çalıştık, medya kendinizi nasıl daha iyi koruyabileceğinize dair kelime yayma konusunda iyi bir iş çıkardı, ancak yine de, birisine hedefli bir e-posta göndermek ve almalarını sağlamak oldukça önemsiz. istediğiniz bir eylem: bir bağlantıya tıklayın, bir ek açın, ne isterseniz.

Diğer tehdit çevrimiçi ödemelerdir. Şirketlerin çevrimiçi ödeme alma yöntemlerinde iyileştirmeler görmeye devam edeceğiz, ancak endüstri çevrimiçi ödeme almanın daha güvenli yollarını uygulayana kadar, bu alan çok büyük bir risk faktörü(risk factor) olacak .

Güvenlik söz konusu olduğunda, insanlar en zayıf halkadır ve aynı zamanda saldırıların ana odak noktasıdır. Sosyal mühendislik önde gelen güvenlik tehditlerinden biri olduğuna göre bu sorunla nasıl başa çıkabiliriz?

Uygulayabileceğimiz birçok teknoloji var. Bir kişi için yapabileceğiniz çok şey var, özellikle de bazı insanların diğerlerinden daha fazla yardımcı olma eğiliminde olduğu bir sektörde. Örneğin, sağlık sektöründe(healthcare industry) insanlar sadece başkalarına yardım etmek isterler. Bu yüzden onlara kötü niyetli bir e-posta gönderirsiniz ve bir polis departmanı(police department) olarak diğer sektörlerdeki insanlara kıyasla, gönderdiğiniz şeye tıklamaları daha olasıdır .

Yani bu sorunumuz var, ancak teknolojiyi kullanabiliriz. Yapabileceğimiz şeylerden biri, herhangi bir son kullanıcının kullanabileceği saldırı yüzeyini büyük ölçüde azaltabilen segmentasyondur. (attack surface)Buna " sıfır güven(zero trust) " diyoruz : bir kullanıcı şirket ağına(company network) bağlandığında , ağ kullanıcının kim olduğunu, kuruluştaki rolünün ne olduğunu, kullanıcının hangi uygulamalara erişmesi gerektiğini anlar, kullanıcının makinesini anlar ve makinenin güvenlik(security posture) durumu nedir, çok detaylı bir düzeyde. Örneğin, kullanıcının sahip olduğu bir uygulamanın yaygınlığı gibi şeyleri bile söyleyebilir. Yaygınlık , etkili bulduğumuz bir şey ve (Prevalence)dünyada(world use) başka kaç kişinin kullandığı anlamına geliyor.Bu uygulama, belirli bir kuruluşta kaç tane. Cisco'da(Cisco) bu analizi hashing yoluyla yapıyoruz : Bir uygulamanın hash'ini alıyoruz ve milyonlarca uç noktamız var ve onlar geri gelip "bu uygulamadaki yaygınlık %0,0001" diyecekler. Prevalence , bir uygulamanın dünyada ve ardından kuruluşunuzda ne kadar kullanıldığını hesaplar. Bu önlemlerin her ikisi de bir şeyin çok şüpheli olup olmadığını ve daha yakından bakmayı hak edip etmediğini anlamada çok iyi olabilir.

Network World'de (Network World)Mobil Cihaz Yönetimi(Mobile Device Management) ( MDM ) sistemleri hakkında ilginç bir dizi makaleniz var . Ancak son yıllarda bu konunun daha az tartışıldığı görülmektedir. Sektörün bu tür sistemlere ilgisi yavaşlıyor mu? Sizin bakış açınızdan neler oluyor?

Çok az şey oldu, bunlardan biri MDM sistemlerinin piyasada oldukça doymuş hale gelmesi. Neredeyse(Almost) tüm büyük müşterilerimin yerinde böyle bir sistem var. Olan bir diğer şey ise, gizlilik düzenlemelerinin ve kullanıcıların gizlilik zihniyetinin(privacy mindset) , birçok kişinin artık kişisel cihazlarını (akıllı telefon, tablet vb.) kuruluşlarına vermemesi ve bir MDM yazılımının(MDM software) yüklenmesine izin vermesi gibi değişti. Yani bir rekabetimiz var: kurum, kendini güvenceye alabilmek için çalışanları tarafından kullanılan cihazlara tam erişime sahip olmak istiyor ve çalışanlar bu yaklaşıma karşı çok dirençli hale geldi. İki taraf arasında sürekli bir savaş var. yaygınlığının arttığını gördük.MDM sistemleri, (MDM)şirket kültürü ve değerlerine(company culture and values) ve her kuruluşun çalışanlarına nasıl davranmak istediğine bağlı olarak şirketten şirkete değişir .

Bu, Kendi Cihazını (Device)Getir(Bring) ( BYOD ) gibi programların çalışmasını etkiler mi?

Evet, tamamen öyle. Olan şey, çoğunlukla, kurumsal ağda kendi cihazlarını kullanan kişilerin, onları çok kontrollü bir alanda kullanmasıdır. Yine(Again) , segmentasyon devreye giriyor. Kendi cihazımı şirket ağına getirirsem, belki internete, bazı dahili kurumsal web sunucularına(web server) erişebilirim , ancak hiçbir şekilde veritabanı sunucularına, şirketimin kritik uygulamalarına veya şirketimin kritik uygulamalarına erişemeyeceğim. kritik veriler, o cihazdan. Bu, Cisco'da(Cisco) programlı olarak yaptığımız bir şeydir, böylece kullanıcı şirket ağında(company network) ihtiyaç duyduğu yere gider , ancak şirketin kullanıcının gitmesini istemediği yerlere değil, kişisel bir cihazdan gider.

Herkesin radarındaki en sıcak güvenlik sorunu , (security issue)WPA2 şifreleme(WPA2 encryption) şemasını kullanan tüm ağ istemcilerini ve ekipmanını etkileyen " KRACK " ( Anahtar Yeniden Yükleme Saldırısı ) sorunudur. (Key Reinstallation AttaCK)Cisco , müşterilerine bu sorunla ilgili yardımcı olmak için ne yapıyor?

Yıllardır güvendiğimiz şeylerden birinin artık kırılabilir olması büyük bir sürpriz. Bize SSL(SSL) , SSH ile ilgili sorunları ve temelde inandığımız her şeyi hatırlatıyor . Hepsi güvenimize "değersiz" hale geldi.

Bu sorun için on güvenlik açığı belirledik. Bu on kişiden dokuzu müşteri tabanlı, bu yüzden müşteriyi düzeltmemiz gerekiyor. Bunlardan biri ağ ile ilgili. Bunun için Cisco yamaları yayınlayacak. Sorunlar erişim noktasına(access point) özeldir ve yönlendiricileri ve anahtarları düzeltmemiz gerekmez.

Apple'ın(Apple) , istemci cihazlarının yakında tamamen yamalanacak şekilde düzeltmelerini beta kodunda(beta code) aldığını görmek beni çok mutlu etti . Windows'un(Windows) zaten bir yama hazır(patch ready) , vs. var. Cisco için yol basittir: erişim noktalarımızdaki bir güvenlik açığı ve yamaları ve düzeltmeleri yayınlayacağız.

Her şey düzelene kadar müşterilerinize kendilerini korumak için ne yapmalarını önerirsiniz?

Bazı durumlarda herhangi bir şey yapmanıza gerek yoktur, çünkü bazen şifreleme içinde şifreleme kullanılır. Örneğin bankamın web sitesine girdiğimde iletişim güvenliği için TLS veya SSL(TLS or SSL) kullanıyor ve bu sorundan etkilenmez. Yani, Starbucks'taki(Starbucks) gibi geniş bir WiFi'den(WiFi) geçiyor olsam bile , o kadar önemli değil. WPA2 ile ilgili bu sorunun daha çok devreye girdiği yer, gizlilik tarafındadır(privacy side) . Örneğin, bir web sitesine gidersem ve başkalarının bunu bilmesini istemezsem, WPA2 artık etkili olmadığı için şimdi öğrenecekler.

Kendinizi güvenceye almak için yapabileceğiniz bir şey VPN bağlantıları kurmaktır. Kablosuza bağlanabilirsiniz, ancak sonraki yapmanız gereken VPN'nizi açmaktır(VPN) . VPN gayet iyi çünkü WiFi üzerinden geçen şifreli bir tünel oluşturuyor . VPN şifrelemesi(VPN encryption) de saldırıya uğrayana kadar çalışacak ve yeni bir çözüm bulmanız gerekiyor. 🙂

Tüketici pazarında(consumer market) , bazı güvenlik satıcıları, VPN'yi(VPN) antivirüs ve toplam güvenlik paketleriyle donatıyor. Ayrıca tüketicileri artık bir güvenlik duvarına ve bir antivirüse sahip olmanın yeterli olmadığı, ayrıca bir VPN'e(VPN) ihtiyacınız olduğu konusunda eğitmeye başlıyorlar . Cisco'nun(Cisco) kurumsal güvenlikle ilgili yaklaşımı nedir ? Ayrıca VPN'yi(VPN) gerekli bir koruma katmanı(protection layer) olarak aktif olarak tanıtıyor musunuz ?

VPN , kurumsal paketlerimizin bir parçasıdır. Normal koşullarda, şifreli bir tünel içinde VPN'den(VPN) bahsetmiyoruz ve WPA2(tunnel and WPA2) şifreli bir tüneldir. Genellikle, çünkü aşırıya kaçar ve her şeyin yolunda gitmesi için müşteri tarafında(client side) olması gereken bir ek yük vardır. Çoğunlukla, buna değmez. Kanal zaten şifrelenmişse neden tekrar şifrelesin?

Bu durumda, WPA2 güvenlik(WPA2 security) protokolü temelden bozulduğu için pantolonunuz aşağıdayken yakalandığınızda , sorunlar WPA2 ile çözülene kadar (WPA2)VPN'ye(VPN) geri dönebiliriz .

Ama şunu söyledikten sonra, istihbarat alanında(intelligence space) , güvenlik örgütleri Savunma Bakanlığı tipi bir organizasyon gibi ,(Department) bunu yıllardır(Defense type) yapıyorlar. VPN'e(VPN) ve ayrıca kablosuz şifrelemeye güvenirler ve çoğu zaman VPN'lerinin(VPN) ortasındaki uygulamalar da şifrelenir, böylece hepsi farklı şifreleme türleri kullanan üç yönlü bir şifreleme elde edersiniz. Bunu, olması gerektiği gibi "paranoyak" oldukları için yaparlar. :))

Cisco Connect'teki(Cisco Connect) sunumunuzda otomasyonun güvenlik açısından çok önemli olduğundan bahsetmiştiniz. Güvenlikte otomasyon için önerilen yaklaşımınız nedir?

Otomasyon hızla bir gereklilik haline gelecek çünkü biz insanlar, güvenlik ihlallerini ve tehditleri durduracak kadar hızlı hareket edemiyoruz. Bir müşteri, 10 dakika içinde fidye yazılımı ile şifrelenmiş 10.000 makineye sahipti. Buna tepki göstermeniz insani olarak mümkün değil, bu yüzden otomasyona ihtiyacınız var.

Bugünkü yaklaşımımız(approach today) olması gerektiği kadar katı değil, ancak şüpheli bir şey, ihlal gibi görünen bir davranış gördüğümüzde, güvenlik sistemlerimiz ağa o cihazı veya o kullanıcıyı karantinaya almasını söylüyor. Bu araf değil; yine de bazı şeyler yapabilirsiniz: yine de internete gidebilir veya yama yönetimi(patch management) sunucularından veri alabilirsiniz. Tamamen izole değilsin. Gelecekte, bu felsefeyi değiştirmemiz ve şunu söylememiz gerekebilir: karantinaya alındıktan sonra, herhangi bir erişiminiz yok çünkü kuruluşunuz için çok tehlikelisiniz.

Cisco , güvenlik ürünleri portföyünde otomasyonu nasıl kullanıyor?

Bazı alanlarda çok fazla otomasyon kullanıyoruz. Örneğin, tehdit araştırma grubumuz (threat research group)Cisco Talos'ta(Cisco Talos) , tüm güvenlik widget'larımızdan telemetri verileri ve diğer kaynaklardan tonlarca başka veri alıyoruz. Talos grubu(Talos group) , her gün milyonlarca kaydı sıralamak için makine öğrenimi(machine learning) ve yapay zeka kullanır . Tüm güvenlik ürünlerimizin zaman içindeki etkinliğine bakarsanız, tüm üçüncü taraf etkinlik testlerinde bu şaşırtıcıdır.

DDOS saldırılarının kullanımı yavaşlıyor mu?

Ne yazık ki, bir saldırı yöntemi olarak (attack method)DDOS canlı ve iyi durumda ve daha da kötüye gidiyor. DDOS saldırılarının belirli şirket türlerini hedef alma eğiliminde olduğunu tespit ettik . Bu tür saldırılar hem bir tuzak hem de birincil saldırı silahı(attack weapon) olarak kullanılır . Ayrıca iki tür DDOS saldırısı vardır: hacimsel ve uygulama(volumetric and app) tabanlı. Birilerini alt etmek için ne kadar veri üretebileceklerine dair en son sayılara bakarsanız, hacimsel kontrolden çıktı. Saçma.

DDOS saldırılarının hedef aldığı bir tür şirket , genellikle tatil sezonunda(holiday season) ( Kara Cuma(Black Friday) yaklaşıyor!) perakende satış yapan şirketlerdir. DDOS saldırılarının hedefi olan diğer tür şirketler, petrol ve gaz(oil and gas) gibi tartışmalı alanlarda çalışan şirketlerdir . Bu durumda, belirli bir etik ve ahlaki nedeni olan, yaptıklarıyla aynı fikirde olmadıkları için bir kuruluşa veya başka bir kuruluşa DDOS'a(DDOS) karar veren insanlarla ilgileniyoruz . Bu tür insanlar bunu bir amaç için, bir amaç için yapar ve ilgili para için değil.

Kişiler sadece kendi cihazlarını değil, kendi bulut sistemlerini de ( OneDrive(OneDrive) , Google Drive , Dropbox vb.) kuruluşlarına getirirler. Bu da kuruluşlar için başka bir güvenlik riski(security risk) oluşturur. Cisco Cloudlock gibi bir sistem bu sorunla nasıl başa çıkıyor?

Cloudlock iki temel şey yapar: ilk olarak, size kullanılan tüm bulut hizmetlerinin denetimini verir. Tüm web günlüklerinin Cloudlock(Cloudlock) tarafından okunabilmesi için Cloudlock'u(Cloudlock) web ürünlerimizle entegre ediyoruz . Bu size organizasyondaki herkesin nereye gittiğini söyleyecektir. Örneğin, birçok insanın kendi Dropbox'ını(Dropbox) kullandığını biliyorsunuz .

Cloudlock'un(Cloudlock) yaptığı ikinci şey, hepsinin bulut hizmetleriyle iletişim kuran API'lerden(API) yapılmış olmasıdır . Bu şekilde, bir kullanıcı Box üzerinde bir şirket belgesi yayınladıysa , Box hemen(company document) Cloudlock'a yeni bir(Box) belgenin geldiğini(Cloudlock) ve ona bir göz atması gerektiğini söyler. Böylece belgeye bakacağız, kategorilere ayıracağız, belgenin risk profilini(risk profile) ve başkalarıyla paylaşılıp paylaşılmadığını öğreneceğiz. Sonuçlara göre sistem, o belgenin Box(Box) üzerinden paylaşımını durduracak veya izin verecektir.

Cloudlock ile "bu asla şirket dışından kimseyle paylaşılmamalıdır. Paylaşılıyorsa paylaşımı kapatın" gibi kurallar koyabilirsiniz. Ayrıca, her belgenin kritikliğine göre isteğe bağlı olarak şifreleme de yapabilirsiniz. Bu nedenle, son kullanıcı(end user) kritik bir iş belgesini(business document) şifrelemediyse , bunu Box'a (Box)gönderirken Cloudlock(Cloudlock) bu belgenin şifrelenmesini otomatik olarak zorlar.

 

Bu röportaj ve samimi cevapları için Jamey Heary'ye(Jamey Heary) teşekkür ederiz . Temasa geçmek isterseniz, onu Twitter'da(on Twitter) bulabilirsiniz .

Bu makalenin sonunda, aşağıda bulunan yorum seçeneklerini kullanarak tartıştığımız konular hakkındaki görüşlerinizi paylaşın.



Dilara Şen

About the author

Ben profesyonel bir yorumcu ve üretkenlik arttırıcıyım. İnternette video oyunları oynayarak, yeni şeyler keşfetmeyi ve teknoloji ihtiyaçları konusunda insanlara yardım ederek vakit geçirmeyi seviyorum. Xbox ile biraz deneyimim var ve 2009'dan beri müşterilerin sistemlerini güvende tutmalarına yardımcı oluyorum.


Related posts