İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), yayımladığı blog yazısında sızma testi (pen test) uzmanlarına kuruluşların hangi önlemleri alarak saldırganların işini zorlaştırabileceğini sordu. Pen testçilerin yanıtları, güvenlik ekiplerinin sistemlerini daha dirençli hale getirmesine yardımcı olacak kritik ipuçları içeriyor. Güvenli tasarım ilkeleri, ağ segmentasyonu ve etkili log yönetimi, listede öne çıkan başlıklar oldu.
Pen testçilere göre en önemli adım, sistemleri baştan güvenli tasarlamak. Bu, geliştirme sürecinde tehdit modellemesi yapmayı, ayrıcalıklı kullanıcılar için kimlik avına dayanıklı çok faktörlü kimlik doğrulama zorunluluğu getirmeyi, varsayılan şifreleri değiştirmeyi, girdi verilerini erken doğrulamayı ve hataları güvenli şekilde ele almayı içeriyor. Ayrıca kimlik bilgilerini güvenli saklamak ve hassas verileri hem depoda hem de aktarım sırasında korumak da kritik.
Ağ segmentasyonu, pen testçilerin en sevmediği önlemlerden biri. VLAN’lar, güvenlik duvarları veya farklı ağ bölgeleri için ayrı hesaplar kullanarak yüksek seviyeli ağ tasarımıyla segmentasyon sağlanabilir. Özellikle OT sistemlerinin BT ağlarından ayrılması, yanal hareketi engelleyerek erişilebilirlik kaybını önler. NCSC, güvenli OT bağlantısı için maruz kalan bağlantıların en aza indirilmesi, erişim yollarının standartlaştırılması ve ayrıcalıklı erişim iş istasyonları (PAW) kullanılmasını öneriyor.
Sonuç ve Değerlendirme
Son olarak, kaliteli log kaydı, izleme ve olay inceleme süreçleri, hem pen testçilerin hem de kötü niyetli hackerların işini zorlaştırır. NCSC, en iyi loglama altyapısının bile doğru verilerin toplanması ve bu verilere uygun şekilde yanıt verilmesi olmadan işe yaramayacağını vurguluyor. Uyarıların düzgün incelenmesi, olay müdahale planlarının oluşturulması ve ekiplerle düzenli olarak test edilmesi gerekiyor.