1. Genel bakış
Bu makalede, bir Siber Risk Değerlendirme platformu olan ACSIA CRA platformuna nasıl erişileceğini ve kullanılacağını göreceğiz.
ACSIA CRA, şirketinizin internet üzerindeki konumunu değerlendirmek için çok sayıda pasif kontrol gerçekleştirir. Başka bir deyişle, çok sayıda pasif test yaparak altyapınızın bir siber saldırıya karşı ne kadar zayıf veya güçlü olduğunu değerlendirir ve bu, altyapınıza karşı bir siber saldırı simülasyonu yapmayacağı anlamına gelir. Yani yaptığı şey sadece bazı verileri ve metrikleri toplamak, bunları detaylandırmak ve bir siber saldırı durumunda altyapınızın zayıf mı yoksa güçlü mü olduğunu söylemektir.
2. Giriş yapma ve şirket ekleme
Platforma giriş yapmak için ACSIA CRA destek ekibine bir kullanıcı adı ve şifre talep edilmelidir.
Daha sonra buradan giriş yapabilirsiniz.
Giriş yaptıktan sonra "Add company" butonuna tıklayarak firmanızı ekleyebilirsiniz. Ardından, alanları doldurmanız ve "create company" düğmesine tıklamanız gerekir:
3. Temel Platform Anlayışı
"Genel Bakış / Overview (1)" üzerine tıklarsanız bazı bilgileri görebilirsiniz. Örneğin, ekranın sol üst köşesindeki (2) kırmızı dikdörtgen içinde şirketinizin bilgilerini görebilirsiniz. Ekranın sağ üst köşesinde (3) ise CRA tarafından internette yer alma durumunuza ilişkin olarak size verilen notu görebilirsiniz.
Ayrıca, şunu da görebilirsiniz:
- 114 asset'in %78'i analiz edildi. Bunun nedeni, assetinizin Amazon Web Service (AWS) veya benzeri hizmetlere referans verebilmesidir: bu durumda, taramamız daha ileri gitmez. Ayrıca, Assets ile siber güvenlik perspektifinden değerlendirilebilen, maruz kalınan ve bir kuruluşun saldırı yüzeyini oluşturan unsurları kastediyoruz.
- 59 ana bilgisayarı (host) analiz etmiştir. Ana bilgisayar derken, kuruluş tarafından kaydedilen bir etki alanının DNS'sinde bulunan ve tipik olarak dahili veya harici bir IP adresini tanımlayan herhangi bir bilgiyi kastediyoruz.
- 15 network ağı analiz etmiştir. Network ağı ile BGP'de tek bir blok olarak duyurulan IPv4 veya IPv6 kümesini kastediyoruz, IPv4'te duyurulan minimum ağ /24 (256 IPs) ve IPv6 /48'dir (65536 IPs).
- 4 AS'yi analiz etmiştir. AS ile Otonom Sistemi kastediyoruz: bir iç sağlayıcı ve yönlendirme politikasını tanımlayan bölgesel internet kayıtları tarafından IANA aracılığıyla atanan bir numara ile tanımlanan bir dizi IPv4 veya IPv6 ağı.
- 3 Alan Adını (Domain) analiz etmiştir. Etki Alanı ile, kuruluş tarafından üst düzey bir etki alanına (örneğin .com/.net/.it/.eu) kaydedilen İnternet etki alanını kastediyoruz.
- 14 IP'yi analiz etmiştir. IP ile, bir kuruluşun assetine bağlı IPv4 veya IPv6 İnternet adresini kastediyoruz.
- 16 Websitesini analiz etmiştir. Web sitesi ile, internette 80 numaralı bağlantı noktasına (HTTP) ve 443 numaralı bağlantı noktasına (HTTPS) yanıt veren herhangi bir ana bilgisayarı kastediyoruz.
- 2 E-postayı analiz etmiştir. E-posta ile, genellikle gelen e-posta hizmetleri sağlayan bir etki alanına bağlı herhangi bir posta sunucusunu veya e-posta hizmetini kastediyoruz.
- 1 DNS'yi analiz etmiştir. DNS ile, bir alan adı sunucusunu, kuruluş tarafından kayıtlı bir İnternet alan adına yanıt vermek üzere yapılandırılmış bir hizmeti kastediyoruz; burada, bağlantılı alan adına bağlı bir anımsatıcı ad aracılığıyla erişilebilen kaynakları tanımlayan girişler yapılır.
Aşağı kaydırdığımızda, aşağıdaki gibi bir radar grafiği görebiliriz:
Burada:
- Sol tarafta, risk endeksinin tüm varlıklar arasında nasıl dağıldığını gösteren radar grafiği yer almaktadır. Örneğin, web sitesi ve alan adının en fazla riske sahip olduğunu görebiliriz. Örneğin DSN ve e-posta en az riske sahiptir.
- Sağ tarafta, risk endeksinin aylar içindeki eğilimini görebiliyoruz.
Risk endeksi aşağıdaki gibi okunabilir:
Bunun anlamı şudur ki:
- 0-30 risk endeksine sahip bir asset acil eylem gerektirir.
- 90-100 risk endeksine sahip bir asset eylem gerektirmez.
Risk endeksinin her taramada değiştiğini ve bunun satın aldığınız lisansa bağlı olduğunu unutmayın. Ayrıca, isterseniz yeniden kontrol isteyebilirsiniz.
Yeniden kontrol edilmesini şu şekilde isteyebilirsiniz:
Ayrıca, Actions --> Generate reports seçeneğine tıklayarak eksiksiz bir rapor alabilirsiniz:
Daha sonra, aşağı kaydırırsak, riske maruz kalma ile ilgili daha fazla ayrıntı görebiliriz:
Örneğin, yukarıdaki grafik en yüksek riske maruz kalan assetin web sitesi olduğunu göstermektedir çünkü geniş bir kırmızı banda sahiptir (ve bu bize burada daha geniş bir saldırı bandına sahip olduğumuzu söyler).
Aşağı kaydırırsak, çeşitli varlıkların bağımlılıklarını görebiliriz; yani assetlerin kendileriyle nasıl ilişkili olduğunu anlayabiliriz:
Daha sonra, Assets (1) üzerine tıklarsak, taranan tüm assetlerin ayrıntılı bir listesini görebiliriz. Liste, en kötü risk endeksine sahip varlıktan en iyi risk endeksine sahip olana doğru sıralanır, böylece nereye müdahale edeceğimizi görebiliriz:
Ardından, Go to Asset (2) seçeneğine tıklarsak assetin detaylarını görebiliriz:
4. Olaylar ve bildirim kılavuzu
23.06.001 sürümünden başlayarak, şirketlerinizdeki güvenlik konularında güncel kalmanızı sağlayan yeni bir bildirim sistemi kurduk. Sistem iki bölümden oluşur: bildirim yapılandırması ve beslemeniz.
4.1 Bildirim Yapılandırması
Platformun bildirim sisteminin yapılandırılması, bildirim kanallarını ve konu başlıklarını ayarlamanıza olanak tanır.
Topics
Konular, kullanıcının bildirim almak istediği konuları temsil eder. Varsayılan olarak, kullanıcı "Platform Haberleri" ve "Dünya Haberleri" konularının yanı sıra teknik erişim haklarına sahip olduğu tüm aboneliklere abone olur. Bu konuların her biri etkinleştirilebilir veya devre dışı bırakılabilir. Etkinleştirilirse, bildirim almak için istenen önem düzeyi ayarlanabilir.
Önem seviyeleri:
● "Exclusively alert notification"
● "Warning and alert notification"
● "Info, warning, and alert notification"
Bu konulara ek olarak, bir kullanıcı belirli şirketler için farklı bir bildirim seviyesi yapılandırabilir. Bu, "Actions -> Edit Notifications" menüsü aracılığıyla doğrudan şirketin sayfasında ayarlanabilir ve daha sonra değiştirilebilir veya söz konusu şirket için varsayılan abonelik düzeyine sıfırlanabilir.
"Subscription" konusu, o aboneliğe ait şirketler için varsayılan ayar olarak ayarlanmalıdır.
Channels
Her kullanıcının yapılandırma için kullanabileceği iki kanalı vardır: "Feed" ve "Email". "Feed" kanalı
platformun kontrol panelinde görüntülenir (aşağıdaki açıklamaya bakın). "Email" kanalı platform oturumu için kullanılan e-posta ile otomatik olarak yapılandırılır ve değiştirilemez. Bu kanalların her biri etkinleştirilebilir veya devre dışı bırakılabilir. Etkinleştirilirse, bildirim almak için istenen önem düzeyi ayarlanabilir.
Şiddet seviyeleri:
● "Exclusively alert notification"
● "Warning and alert notification"
● "Info, warning, and alert notification"
Oluşturulan olaylar ve işlem örneği
Platform, ayarlarına göre kullanıcılara gönderilebilecek olayları otomatik olarak oluşturur.
Örneğin:
● Bir şirketin notu 84'ten 78'e değiştirilerek yeniden hesaplanır.
● "Uyarı" önem derecesine sahip bir olay oluşturulur.
● Şirket aboneliğine erişimi olan her kullanıcı bildirimi almaya hak kazanır. Konu için ayarlanan önem düzeyi kontrol edilir ve olayın önem düzeyine eşit veya daha düşükse bildirim saklanır; aksi takdirde atılır.
● Bildirimi alması gereken her kullanıcı için, kanallar için ayarlanan önem düzeyleri doğrulanır. Olayın önem düzeyine eşit veya daha düşükse, bildirim gönderilir; aksi takdirde, o kanal için atılır.
Feeds
Platform içindeki dahili beslemenin arayüzüne, kontrol panelinin sağ üst köşesinde bulunan zil simgesi aracılığıyla erişilebilir. Zil simgesi ayrıca son 7 gün içinde okunmamış bildirimlerin sayısını da gösterir. Her bildirim açıldığında otomatik olarak okundu olarak işaretlenir. Bildirimler içinde daha kolay gezinmek ve arama yapmak için çeşitli filtreler ve eylemler mevcuttur.