ISO 27001 Bilgi güvenliği yönetiminde tespit ve önleme

• Siber saldırılar çok uzun süre tespit edilemiyor
• Yeni ISO/IEC 27001:2022 - Anahtar deği̇şi̇kli̇kler
• Tespit ve önleme için üç yeni kontrol
• Teknik özet
• Revizyon, sertifikasyonunuz için ne anlama geliyor?
• DQS uzmanlığı ile son teknoloji ürünü BGYS

Siber saldırılar çok uzun süre tespit edilemiyor

Bilgi ve verilerin 21. yüzyıl iş dünyasındaki üstün değeri, şirketleri ve kuruluşları giderek daha fazla bilgi güvenliğine odaklanmaya ve dijital varlıklarının sistematik olarak korunmasına yatırım yapmaya zorluyor. Neden mi? Dinamik tehdit ortamlarında, saldırganlar taktikleri giderek daha sofistike ve çok katmanlı hale geliyor. Bu da etkilenen şirketlerin imajına ve itibarına ciddi zararlar veriyor ve dünya çapında yıllık milyarlarca dolarlık ekonomik kayıplara neden oluyor.

Uzmanlar artık siber saldırılara karşı tam bir koruma sağlanamayacağı konusunda hemfikirdir - bunun tek nedeni belirsizliğin insan faktörüdür. Bu durum, potansiyel ve gerçek saldırıların erken tespitini, kurumsal ağlardaki yanal vektörlerini sınırlamak ve tehlikeye atılabilecek sistem sayısını mümkün olduğunca düşük tutmak için daha da önemli hale getiriyor. Ancak bu alanda hala yapılması gereken çok şey var: IBM'in "2022 veri ihlalinin maliyeti" çalışmasının bir parçası olarak yapılan araştırma, 2022'de bir saldırıyı tespit etmenin ve kontrol altına almanın ortalama 277 gün sürdüğünü gösteriyor.

Yeni ISO 27001:2022

ISO, bilgi güvenliği yönetim sistemleri için çağdaş, standartlaştırılmış bir çerçeve ile şirketlere ve kuruluşlara yardımcı olmak için 25 Ekim 2022 tarihinde yeni bilgi güvenliği yönetim sistemi standardı ISO 27001:2022'yi yayınlamıştır. Ek A, bilgi güvenliği risklerini ele almak için şirkete özgü olarak kullanılabilecek kontroller/tedbirler sağlar.

Mevcut versiyondaki Ek A'da yer alan önlemlerin uygulanması, Şubat ayında güncellenmiş olan ISO 27002:2022'nin aynı şekilde yapılandırılmış uygulama kılavuzu ile desteklenmektedir. Stratejik saldırı önleme ve daha hızlı tespit için genel kontroller yeni dahil edilmiştir.

Tespit ve önleme için üç yeni kontrol

ISO 27001:2022 Ek A'da yer alan 93 önlem, güncelleme kapsamında dört başlık altında yeniden düzenlenmiştir

• Organizasyonel önlemler,
• Kişisel önlemler,
• Fiziksel önlemler ve
• Teknolojik önlemler.

Yeni getirilen on bir bilgi güvenliği kontrolünden üçü siber saldırıların önlenmesi ve zamanında tespit edilmesiyle ilgilidir. Bu üç kontrol şunlardır:

• 5.7 Tehdit istihbaratı (organizasyonel)
• 8.16 İzleme faaliyetleri (teknolojik)
• 8.23 Web filtreleme (teknolojik)

Aşağıda bu 3 yeni kontrole daha yakından bakacağız.

Tehdit istihbaratı

Organizasyonel kontrol 5.7 ilgili tehditler hakkında sistematik bilgi toplama ve analizi ile ilgilenir. Bu tedbirin amacı, kuruluşların kendi tehdit durumlarının farkında olmalarını sağlamak ve böylece daha sonra riski azaltmak için uygun önlemleri alabilmelerini sağlamaktır. Tehdit verileri üç açıdan yapılandırılmış bir şekilde analiz edilmelidir: Stratejik, taktiksel ve operasyonel.

Stratejik tehdit analizi, saldırı türleri ve aktörler gibi değişen tehdit ortamları hakkında içgörü sağlar, örneğin devlet güdümlü aktörler, siber suçlular, sözleşmeli saldırganlar, hacktivistler. Ulusal ve uluslararası devlet kurumları (BSI - Alman Federal Bilgi Güvenliği Ofisi, enisa - Avrupa Birliği Siber Güvenlik Ajansı, ABD İç Güvenlik Bakanlığı veya NIST - Ulusal Standartlar ve Teknoloji Enstitüsü gibi), kar amacı gütmeyen kuruluşlar ve ilgili forumlar, tüm sektörler ve kritik altyapılar için iyi araştırılmış tehdit istihbaratı sağlar.

Taktik tehdit istihbaratı ve bunun değerlendirilmesi saldırganların yöntemleri, araçları ve teknolojilerinin değerlendirilmesini sağlar.

Belirli tehditlerin operasyonel değerlendirmesi, teknik göstergeler de dahil olmak üzere belirli saldırılar hakkında ayrıntılı bilgi sağlar, örneğin şu anda 2022'de fidye yazılımı ve türevleri tarafından yapılan siber saldırılardaki aşırı artış.

Tehdit analizi aşağıdaki şekillerde destek sağlayabilir:

• Tehdit verilerini risk yönetimi sürecine entegre etmek için prosedürel olarak,
• Teknik olarak önleyici ve tespit edici, örneğin güvenlik duvarı kurallarını, saldırı tespit sistemlerini (IDS), kötü amaçlı yazılımdan koruma çözümlerini güncelleyerek,
• Bilgi güvenliğine yönelik özel test prosedürleri ve test teknikleri için girdi bilgileri ile.

Tehdit durumunun belirlenmesi ve analiz edilmesi için 5.7 numaralı organizasyonel kontrolden gelen veri kalitesi, aşağıda tartışılan ve ISO/IEC 27002 için de yeni olan izleme faaliyetleri (8.16) ve web filtreleme (8.23) için iki teknik kontrolü doğrudan etkiler.

İzleme faaliyetleri

Faaliyetlerin teknik olarak izlenmesine ilişkin tespit edici ve düzeltici bilgi güvenliği kontrolü 8.16, tehditlerin önlenmesine yönelik bir yöntem olarak anormallik tespitine odaklanır. Ağlar, sistemler ve uygulamalar, veri çıkışı, protokoller, mesajlar vb. gibi beklenen kalıplara göre davranır. Bu beklenen kalıplardan herhangi bir değişiklik veya sapma bir anormallik olarak tespit edilir.

Bu olağandışı davranışı tespit etmek için, ilgili faaliyetler iş ve bilgi güvenliği gerekliliklerine uygun olarak izlenmeli ve diğer şeylerin yanı sıra herhangi bir anormallik mevcut tehdit verileriyle karşılaştırılmalıdır (bkz. yukarıda, gereklilik 5.7). Aşağıdaki hususlar izleme sistemiyle ilgilidir:

• Gelen ve giden ağ, sistem ve uygulama trafiği,
• Sistemlere, sunuculara, ağ ekipmanlarına, izleme sistemlerine, kritik uygulamalara vb. erişim
• İdari veya kritik görev düzeyindeki sistem ve ağ yapılandırma dosyaları;
• Güvenlik aracı günlükleri [örneğin, antivirüs, saldırı tespit sistemleri (IDS), saldırı önleme sistemi (IPS), web filtreleri, güvenlik duvarları, veri sızıntısı önleme],
• Sistem ve ağ etkinlikleriyle ilgili olay günlükleri,
• Bir sistemdeki çalıştırılabilir kodun bütünlük ve yetkiye sahip olduğunun doğrulanması,
• Kaynak kullanımı, örneğin işlemci gücü, disk kapasitesi, bellek kullanımı, bant genişlikleri.

Faaliyetlerin işlevsel bir şekilde izlenebilmesi için temel gereklilikler temiz ve şeffaf bir şekilde yapılandırılmış bir BT/OT altyapısı ve düzgün işleyen BT/OT ağlarıdır. Bu temel duruma aykırı herhangi bir değişiklik, işlevselliğe yönelik potansiyel bir tehdit ve dolayısıyla bir anomali olarak algılanır. Bir altyapının karmaşıklığına bağlı olarak, ilgili satıcı çözümlerine rağmen bu önlemi uygulamak büyük bir zorluktur. Anomali tespiti için sistemlerin önemi, kritik altyapı olarak adlandırılan altyapıların operatörleri için ISO 27002:2022'nin 8.16 gerekliliği ile neredeyse eş zamanlı olarak kabul edilmiştir. Bu nedenle, ilgili yasal düzenlemelerin ulusal kapsamında, bunların saldırı tespiti için sözde sistemleri son tarihlerle etkin bir şekilde uygulama zorunluluğu vardır.

Web filtreleme

İnternet hem bir nimet hem de bir lanettir. Şüpheli web sitelerine erişim, kötü niyetli içerik ve kötü amaçlı yazılımlar için bir geçit olmaya devam etmektedir. Bilgi güvenliği kontrolü 8.23 Web filtrelemesi, bir kuruluşun kendi sistemlerini kötü amaçlı yazılım saldırılarından koruma ve yetkisiz web kaynaklarına erişimi önleme amacına sahiptir. Kuruluşlar bu amaçla istenmeyen veya uygunsuz web sitelerine ve web tabanlı uygulamalara zorunlu erişim kısıtlamaları da dahil olmak üzere çevrimiçi kaynakların güvenli ve uygun kullanımı için kurallar oluşturmalıdır. Aşağıdaki web sitesi türlerine erişim kuruluş tarafından engellenmelidir:

• Yükleme özelliği olan web siteleri - meşru, işle ilgili nedenler için gerekli olmadığı sürece,
• Bilinen ve hatta şüphelenilen kötü amaçlı web siteleri,
• Komuta ve kontrol sunucuları,
• Tehdit verilerinden bu şekilde tanımlanan kötü amaçlı web siteleri (ayrıca bkz. tedbir 5.7),
• Yasadışı içeriğe sahip web siteleri.

Web filtreleme önlemi yalnızca çevrimiçi kaynakların güvenli ve uygun kullanımı konusunda yeterince bilinçli olan eğitimli personel ile gerçekten işe yarar.

Teknik sonuç

Burada açıklanan yeni tespit ve önleme kontrolleri organize siber suçlara karşı savunmada kilit bir rol oynamaktadır ve haklı olarak ISO 27001 ve ISO 27002'nin mevcut versiyonlarında kendilerine yer bulmuşlardır. Mevcut tehdit bilgilerinin sürekli güncellenmesi ve analizi, kendi BT altyapılarında kapsamlı faaliyet izleme ve şüpheli web sitelerine karşı kendi sistemlerini güvence altına alma yoluyla şirketler, tehlikeli kötü amaçlı yazılımların sızmasına karşı korumalarını sürdürülebilir bir şekilde güçlendirmektedir. Ayrıca kendilerini uygun müdahale önlemlerini erken bir aşamada başlatabilecek bir konuma getiriyorlar.

Şirketler ve kuruluşlar, gelecekteki sertifikasyon denetimlerinin gerekliliklerini karşılamak için sunulan üç kontrolü/önlemi uygun şekilde uygulamalı ve bunları tutarlı bir şekilde bilgi güvenliği yönetim sistemlerine entegre etmelidir. DQS, tarafsız denetimler ve sertifikasyonlar alanında 35 yılı aşkın kapsamlı uzmanlığa sahiptir ve ISO 27001:2022 uyarınca bilgi güvenliği yönetim sisteminizin değişim yönetiminde size destek olmaktan mutluluk duyar.

Revizyon, mevcut sertifikanız için ne anlama geliyor?

ISO 27001'in yeni ve geliştirilmiş versiyonu 25 Ekim 2022 tarihinde yayınlanmıştır. Ve aşağıda geçiş süreci için önemli tarihler listelenmiştir:

Eski ISO 27001:2013'e göre ilk/yeniden belgelendirme denetimleri için son tarih

• 30 Nisan 2024'ten itibaren DQS ilk belgelendirme ve yeniden belgelendirme denetimlerini yalnızca yeni ISO 27001:2022'ye istinaden gerçekleştirecek

Mevcut tüm sertifikaların yeni ISO 27001:2022'ye geçişi

• 31 Ekim 2022'den başlayarak 3 yıl geçiş periyodu kabul edilir
• ISO/IEC 27001:2013 veya DIN EN ISO/IEC 27001:2017 sertifikaları 31 Ekim 2025'e kadar geçerli olacak ve bu tarihte geri çekilecektir.

DQS uzmanlığı ile son teknoloji Bilgi Güvenliği Yönetim Sistemi

ISO 27001'in yeni versiyonuna geçmek için kuruluşların hala biraz zamanı var. Eski standarda dayalı mevcut sertifikalar 31.10.2025 tarihinde geçerliliğini yitirecektir. Bununla birlikte, değişen ISO 27001 bilgi güvenliği yönetim sistemi gerekliliklerini erken bir aşamada ele almanız, uygun değişiklik süreçlerini başlatmanız ve bunları buna göre uygulamanız tavsiye edilir.

Otuz yılı aşkın deneyime sahip denetim ve belgelendirme uzmanları olarak, yeni standardın uygulanmasında size destek oluyoruz. Çok sayıda deneyimli denetçimizden en önemli değişiklikler ve bunların kuruluşunuz için önemi hakkında bilgi edinin ve uzmanlığımıza güvenin. Birlikte, iyileştirme potansiyelinizi belirler, yeni versiyona geçişinizde ve sonrasında yönetim sisteminizin sürdürülebilirliğinde size destek oluruz.