İş dünyasında eski bir atasözü vardır: Bir şeyi ölçmüyorsanız, onu yönetemezsiniz. Bu günlerde, bilgi teknolojisi (BT) ve bilgi güvenliği uzmanları, özellikle yapılandırma değerlendirmeleri söz konusu olduğunda, bunu çok iyi biliyorlar.
Ağ performansı sürekli izleme gerektirir. Siber tehditler, tanımlama ve düzeltme gerektirir. Sistemlerin uygulama sonrasında güvenli bir şekilde yapılandırılması ve ardından bu şekilde kaldıklarından emin olmak için sık sık değerlendirilmesi gerekir. Dahası, siber tehdit aktörleri (CTA’lar) sürekli olarak kötü yapılandırılmış veya savunmasız sistemler arar. Yüzlerce kuruluş MOVEit ile ilgili veri ihlalleri konusunda deneyimli olduğundan, CTA’lar sürekli olarak bu zayıflıklardan yararlanmaya çalışmak için yeni yollar arıyor – buna tedarik zincirinizi yağmalamak da dahil. Ne de olsa, bir sistem güvensiz bırakıldığında, bu genellikle diğerlerinin de uzantı nedeniyle güvenli olmadığı anlamına gelir.
Devam eden yapılandırma değerlendirmelerine duyulan ihtiyaç
Yapılandırma güvenlik açıklarını belirlemek, güçlü bir siber güvenlik programının temel unsurlarından biridir. Uygun olmayan yapılandırmalar kuruluşunuzu riske atabilir. Konfigürasyon değerlendirmesi gerekli olsa da, yürütülmesi zor olabilir. Birincisi, sistemler çok nadiren kutudan çıkar çıkmaz güvenli bir şekilde yapılandırılmış olarak gelir. Güçlendirmeniz gereken çok sayıda sistem muhtemelen çok fazladır ve yapılandırma gerektiren ayarların hacmi gözünüzü korkutabilir. Ekipleriniz son teslim tarihlerini veya günlük iş ihtiyaçlarını karşılamaya çalışırken, personeliniz temel sağlamlaştırma olmadan sistemleri üretime alabilir. Yükseltmeler ve diğer değişiklikler, zaman içinde yeni güvenlik açıkları oluşturarak yapılandırma kaymasına neden olabilir.
BT ekipleriniz için sistem yapılandırması, uygulama sırasında büyük bir odak noktası olabilir. Buna rağmen, siber tehditlere karşı etkili koruma sürekli dikkat gerektirir. CTA’lara yönelik saldırı fırsatlarını azaltmak için düzenli yapılandırma değerlendirmelerini kullanabilirsiniz.
Güvenli yapılandırmalar oluşturma
Değerlendirme, sistem güçlendirmede önemli bir adımdır. Mevcut ortamınızın sektördeki en iyi uygulamalarla nasıl eşleştiğini anlamak için yapılandırmalarınızı CIS Karşılaştırmalarındaki önerilerle karşılaştırın. CIS Kıyaslamaları, hedef sistemlerinizi sağlamlaştırmak için kullanabileceğiniz, mutabakatla geliştirilmiş, en iyi uygulama güvenli yapılandırma yönergeleridir. Bu yazı yazıldığı sırada 100’den fazla CIS Benchmark mevcuttur; 25’ten fazla satıcı ürün ailesini kapsarlar. PDF sürümleri size ücretsiz olarak indirilebilir.
Her bir CIS Benchmark, basit bir dille, her bir tavsiyenin güvenlik avantajını ve güvenli yapılandırma için atılması gereken adımları açıklar. Her CIS Kıyaslaması, uygulanabilir olduğunda CIS Kritik Güvenlik Kontrolleri (CIS Kontrolleri) ile de eşleşerek, üst düzey bir bakış açısıyla eyleme geçirilebilir bir iyileştirme planı geliştirmeyi mümkün kılar. Birlikte ele alındığında, CIS Benchmarks’ın güvenlik önerileri, sertleştirme sistemlerinde varsayımları ortadan kaldıran kanıtlanmış adımlar sağlar. Sonuç olarak, ortamlarınızdaki yapılandırma güvenlik açıklarını değerlendirme ve düzeltme konusunda zamandan ve emekten tasarruf edebilirsiniz.
Ölçeklendirme yapılandırma değerlendirmeleri
Güvenli yapılandırma için istediğiniz son durumu bilmek, resmin yalnızca bir parçasıdır. Sistem yapılandırmasını ölçekte değerlendirmek de önemlidir. Sistem konfigürasyonlarınızın CIS Benchmarks ile nasıl uyumlu olduğunu anlamak için CIS Konfigürasyon Değerlendirme Aracını (CIS-CAT) kullanabilirsiniz. Karşılık gelen Kıyaslama’nın yüzlerce önerisine karşı bir hedef sistemin yapılandırma ayarlarına karşı tarama yapar. Bu otomatik değerlendirmeler, güvenlik açıklarını düzeltmeniz bir yana, geniş ölçekte güvenli yapılandırma uygulamalarınızı hızlandırmanıza yardımcı olur.
CIS-CAT Pro’daki videomuzu izleyin.
CIS SecureSuite Üyelerinin kullanımına sunulan CIS-CAT Pro’nun iki bileşeni vardır: kullanımı kolay CIS-CAT Pro Assessor v4 GUI ve CIS-CAT Dashboard. CIS-CAT Pro Assessor v4, otomatik yapılandırma değerlendirmeleri ve uzak uç noktalar için 80’den fazla CIS Kıyaslamasını destekler. CIS-CAT Pro Dashboard, CIS-CAT Pro Assessor için eşlik eden bir uygulamadır; değerlendirme sonuçlarınızı görselleştirmenize ve yakın zamandaki uygunluğunuzu izlemenize yardımcı olur, böylece sağlamlaştırma çabalarınızı ileriye dönük planlayabilirsiniz.
Güvenlik yapılandırması değerlendirmesi sonuçlarını analiz etmek, iyileştirme planlama çabalarınız için kritik öneme sahiptir. Bu nedenle CIS-CAT Pro Assessor, HTML raporunda yapılandırma değerlendirme kanıtını içerir. Kanıtlar, uç noktanızın durumuna ilişkin derinlemesine bir görüş sağlar ve iyileştirme planlamasına yardımcı olur. CIS-CAT’in nasıl çalıştığını deneyimlemek için ücretsiz yapılandırma değerlendirme aracımız CIS-CAT Lite’ı deneyebilirsiniz. Ücretsiz sürüm yalnızca HTML raporları üretir ve CIS Benchmark değerlendirmelerinin bir alt kümesini destekler.
CIS SecureSuite ile Geniş Ölçekte Değerlendirin
CIS-CAT Pro Assessor ve CIS-CAT Pro Dashboard, CIS SecureSuite Üyeliğine dahildir. CIS-CAT Pro’ya ek olarak CIS SecureSuite Üyeliği, tam formatlı CIS Kıyaslamaları ve daha fazlasını içeren avantajlara, araçlara ve kaynaklara erişim sağlar. Bu, CIS Benchmarks ile güvenli bir şekilde başlamanızı ve güvende kalmanızı daha da kolaylaştırır.
CIS-CAT Pro demosuna göz atmak ister misiniz? Bir Web Semineri için kaydolun.