Yakın zamanda yapılan bir Siber Güvenlik İhlalleri Araştırması, Birleşik Krallık’taki işletmelerin yaklaşık %22’sinin ve hayır kurumlarının %14’ünün son 12 ayda siber suçlara maruz kaldığını ve bunun da siber koruma önlemlerinin uygulandığını ortaya çıkardı.
Bu, kuruluşların hassasiyet düzeylerine göre birden fazla siber koruma katmanını ve belirli veri türleri için farklı güvenlik önlemleri biçimlerini dikkate alma ihtiyacının altını çiziyor. Bu yaklaşım olmadan, sağlam bir siber korumanın sağlanması kesin olmaktan uzaktır.
Ancak hava boşluğu şeklinde daha ‘radikal’ bir çözüm var; bilgisayarı izole eden ve herhangi bir harici bağlantı kurmasını engelleyen bir güvenlik önlemi. Buradaki amaç yetkisiz erişimleri veya siber saldırıları önlemektir çünkü erişim yoksa hackleme de yoktur.
Ancak pratik açıdan hava boşluğu aslında neyi kapsıyor? Gerçek fiziksel hava boşluğu, uygulamalar ve veriler ağ bağlantısından izole edildiğinde ve tamamen çevrimdışı var olduğunda meydana gelir. Amaç basittir: Sistemleri yetkisiz erişime, fidye yazılımı gibi siber saldırılara ve veri ihlallerine karşı korumak.
Bu durumlarda, fiziksel olarak hava boşluğu olan bir sisteme veri aktarmanın tek yolu, USB flash sürücü veya diğer çıkarılabilir ortamlar gibi manuel yöntemlerdir. Bu yaklaşım, siber tehditlere yönelik saldırı yüzeyini önemli ölçüde azalttığı için oldukça güvenli kabul ediliyor.
Bununla birlikte, hava boşluğu farklı insanlar için farklı anlamlar ifade etmeye başladı; bazıları terimi ‘mantıksal’ veya ‘sanal’ bir önek ekleyerek nitelendiriyor. Bu bağlamda hava boşluğu, verilerin buluta yedeklenmesi gibi ek teknolojilerin kullanımına bağlıdır. Buradaki sorun aslında hiçbir hava boşluğunun mevcut olmamasıdır çünkü tanım gereği kullanıcı ile bulut hizmeti arasında bir düzeyde bir bağlantı olması gerekir.
Örneğin mantıksal bir hava boşluğu, sistemler veya ağlar arasında bir ayrım veya izolasyon oluşturmak için yazılım ve konfigürasyon stratejilerini kullanır. Bu, fiziksel bağlantıyı ortadan kaldırmaz ancak yalıtılmış sistemler ile daha geniş ağ veya internet arasındaki erişimi kontrol etmek ve sınırlamak için güvenlik duvarları, sanal LAN’lar (VLAN’lar) ve diğer ağ bölümlendirme teknikleri gibi teknolojileri kullanır.
Mantıksal hava boşlukları, bir ağın ayrılmış bölümleri arasındaki yetkisiz erişim veya veri sızıntısı riskini azaltabilirken, sistemlerin fiziksel olarak bağlı kalması, güvenliğin fiziksel hava boşluğu kadar sağlam olmadığı anlamına gelir. Mantıksal hava boşluğunun göreceli rahatlığı (fiziksel versiyonla karşılaştırıldığında), potansiyel olarak mantıksal kontrolleri atlayabilecek karmaşık siber saldırılara karşı artan güvenlik açığı pahasına da gelir.
Her durumda, internete kısa bir bağlantı bile önemli riskler doğurabilir. Hava boşluklu bir sistem, örneğin yama sırasında geçici olarak bağlanırsa, bu durum, bir saldırganın, sistem yeniden bağlanana kadar hareketsiz kalabilecek kötü amaçlı yazılım yerleştirme olasılığını ortaya çıkarır.
Hava aralığı, şirket içi, bulut veya çevrimdışı seçeneklerin herhangi bir kombinasyonu da dahil olmak üzere 2 farklı depolama türünde yedek kopyaların tutulduğu 3 veri kopyasının oluşturulduğu 3-2-1 kuralını uygulayan kuruluşlar için özellikle önemlidir. Süreci tamamlamak için 1 yedek kopya, genel bulut sunucusu gibi tesis dışı bir konumda saklanır. Hava boşluğu, verilere erişimi daha da sınırlandırmak amacıyla değişmez kopyaların saklanacağı bir konum sağlayarak 3-2-1 kuralını güçlendirebilir.
Açıkçası, hava boşluğunun her yerde kullanılması tamamen pratik değildir; çoğu çağdaş teknolojinin çevrimiçi olması gerekir, aksi takdirde işlevsel gereksinimleri veya kullanıcı beklentilerini karşılamazlardı. Ayrıca hava boşluklu sistemler, veri aktarımını ve iletişim işlevselliğini sınırlandıracak şekilde tasarlandıkları için doğası gereği esnek değildir. Bazı durumlarda bu, bazı garip ve verimsiz operasyonel verimsizliklere neden olabilir.
Ve herhangi bir BT mimarisinde olduğu gibi, güvenlik açıklarına yol açabilecek veya hava boşluğunun sağladığı izolasyonu tamamen aşabilecek insan hatası veya kötü niyetli içeriden öğrenilen riskler her zaman vardır. Hava boşluklu sistemler manuel güncellemeler ve bakım gerektirir; bu da zahmetli ve zaman alıcı olabilir; ayrıca bu süreçlerin gerektirdiği göreceli karmaşıklık, uygunsuz yapılandırma riskini veya kritik güncellemelerin uygulanmasında gecikme riskini artırarak sistemleri riske karşı savunmasız bırakır.
Fiziksel hava boşluğuna alternatifler mevcuttur ve bazı askeri veya kritik altyapı ağlarında olduğu gibi, tek yönlü veri aktarımının uygulandığı bir veri diyotunun kullanımını içerir. Bu, alıcı ağın güvenliği ihlal edilse bile, kötü amaçlı verileri veya komutları hava boşluklu sistemlere geri gönderememesini sağlar.
Ancak ideal olarak, çok katmanlı bir yaklaşım sunmak için hava boşluğu diğer güvenlik teknolojileri ve süreçleriyle birlikte kullanılmalıdır. Bunu yaparak kuruluşlar, kaçınılmaz olarak karşılaşacakları çok çeşitli siber güvenlik ve veri koruma zorluklarına karşı maksimum düzeyde esneklik sağlamak için daha geniş bir sıfır güven yaklaşımının parçası olarak uygun koruma düzeyini uygulayabilirler.