AĞ.03 — Atak Önleme Sistemleri Standartları
Açıklama
Şirketin Atak Önleme Sistemlerinin (IPS) altyapısı için geçerli olan minimum standartlar bu doküman içerisinde tanımlanmıştır.
Standartlar
Kurulum ve Devreye Alma
- Son sürüm yerine, üreticiden kararlı ve güvenli olarak çalıştığının onayı alınan yazılım versiyonu tercih edilir.
- Cihaz “inline” mimaride konumlandırılır.
- Bypass mekanizması olan bir IPS kullanılmıyor ise, bypass-switch kullanılır.
- Sisteme erişim sağlayacak kişi sayısı birden fazla ise AAA (Authentication, Authorization, Accounting) entegrasyonu yapılır.
- Cihaz üzerinde HTTPS veya SSH yöntemi ile erişim belirli IP'lerden olacak şekilde sınırlandırılır. Telnet, HTTP, FTP gibi güvensiz erişim yöntemleri ve gereksiz servisler kapatılır.
- Saat ve takvim merkezi zaman sunucusu (NTP) üzerinden otomatik olarak senkronize edilir.
- Sistem kurulumdan sonra, şirketin ihtiyacına yönelik olarak belli bir süre öğrenme modunda çalıştırılır.
- Gereksiz imzalar söz konusu ise (SAP sunucusu olmayan bir altyapı için SAP imzalarının aktif olması gibi) bu imzalar kapatılır.
İşletim ve Bakım
- Cihaza ait topoloji güncel tutulur.
- IPS sistemlerinin imza veri tabanları güncel tutulur.
- Cihaz konfigürasyonunun haftalık bazda yedeği alınır.
- Yeni oluşabilecek tehditlere karşı, sistemin yazılım güncellemeleri periyodik olarak takip edilir, incelendikten sonra uygulanır.
- Sistemin olay logları ilgili yöntemlerce (Syslog, SIEM vb.) düzenli olarak alınır.
- Sistem bypass mekanizması ile çalışıyorsa, sistem yılda bir kez test edilir.
- Sistem konfigürasyonunda yapılan her tür ek, açıklaması ile birlikte tanımlanır.
- En az yılda bir kez olmak üzere, sistemde tanımlı olan imzalar analiz edilerek gereksiz olan imzalar plan dâhilinde kontrollü olarak kapatılır.
- Performans değerleri (CPU, RAM vb.), trafik yoğunluğu ve atak durumlarının sürekli olarak izlenmesine yönelik planlama yapılır.
- E-posta, SNMP trap ve benzeri yöntemler ile çevrimiçi alarm mekanizması aktif edilir ve IPS alarmları düzenli olarak kontrol edilir.
- Atak önleme sistemlerinin sızma testleri kapsamında denetlenmesi sağlanır.
İyi Uygulama Örnekleri
- Yapının büyüme potansiyeli söz konusu ise; sonrasında cihaz değişikliği yerine başlangıçta stack desteği olan bir donanım tercih edilmelidir.
- IPS cihazları; sadece internete açık olan segmentleri değil, iç ağdaki diğer segmentleri de takip edecek şekilde konfigüre edilmelidir.
- Kabloların fiziksel problemlerden etkilenmemesi için “port-channel” özelliği olan cihaz tercih edilebilir.