Cumartesi, Aralık 7, 2024
Ana SayfaYazılarSiber GüvenlikSun Tzu'nun Stratejik Bilgeliğini Siber Güvenlikte Yorumlamak

Sun Tzu’nun Stratejik Bilgeliğini Siber Güvenlikte Yorumlamak

Sun Tzu, MÖ 6. yüzyılda doğduğu düşünülen bir stratejist ve yazardır. İnsanlığa bıraktığı ‘Savaş Sanatı’ isimli savaş strateji kitabı, iş dünyası da dahil olmak üzere birçok alanda yorumlanıp uygulanmaktadır. Bu yazıda, kitaptan aldığım bazı bölümleri siber güvenlik açısından yorumlayarak anlatmaya çalışacağım.

“Askeri konuşlanış suyun duruşu gibidir, su yüksekten aşağı doğru akar, askeri konuşlanış da güçlü tarafından sakınıp zayıf tarafına saldırmaktır.

Siber dünyada da saldırganlar, bir kurumun en zayıf noktasını hedef alır. Bu, bir eksik yapılandırma veya güncellenmemiş eski bir sunucu olabilir. Bu nedenle, kurumda kullanılan ürünler iyi bilinmeli ve zafiyet kontrolleri düzenli olarak yapılmalıdır. Güncellemeler takip edilmeli ve yeni ortaya çıkabilecek zafiyetlere karşı hazırlıklı olunmalıdır.

Ancak sadece ürün bazlı düşünmemek gerekir; siber tehditlere karşı yeterince bilgilendirilmeyen çalışanlar da birer zafiyet kaynağı olabilir. Kurumun güvenliği için yapılan tüm harcamalar, bir çalışanın dalgınlığı yüzünden etkisiz hale gelebilir. Bu nedenle çalışanların kimlik avı (phishing) saldırılarına ve dışardan gelebilecek diğer tehditlere karşı eğitilmesi gereklidir. Amaç, zayıf noktaları en aza indirmek olmalıdır.

“Düşmanı ve kendini tanı ve tehlikesiz zafer kazan, göğü ve yeri tanı ve her savaştan zaferle çık.”

Burada, istihbaratın öneminden bahsedilmektedir. Öncelikle kendi kurumumuzu tanımalı ve buna yönelik istihbarat çalışmaları gerçekleştirmeliyiz. Örneğin, kurumunuz Türkiye’de hizmet veriyorsa MuddyWater APT grubu, Hindistan’da hizmet veriyorsa SideCopy APT grubu sizin için tehdit oluşturabilir. Bu doğrultuda çalışmalar yürüterek düşman hakkında bilgi edinebilir ve IOC çalışmaları yapabilirsiniz.

Kurumunuzda kullanılan hizmet veya ürünlere göre istihbarat çalışmaları yürütmeniz gerekecektir ya da sektörünüze göre bazı ransomware grupları sizin için yüksek risk teşkil edebilir. Bu durumu çeşitlendirmek mümkün olsa da burada asıl amaç, kendimizi iyi tanıyarak bu doğrultuda etkili istihbarat çalışmaları yürütmektir. Aynı şekilde, risk değerlendirme süreçlerinin düzenli olarak yapılması ve tehdit aktörleriyle ilgili veri toplanması, güçlü bir savunma oluşturmanın temel taşlarıdır.

“Harp, bir hileden ibarettir.”

“Harp, bir hileden ibarettir” sözü, savaşta karşıdakini yanıltma ve aldatma gibi stratejik manevraların önemine dikkat çeker. Bir tehdit aktörü gözüyle baktığımızda, sistemlere sızmak için karşı tarafı yanıltarak bir kimlik avı (phishing) saldırısı düzenleyebilir ya da zararlı yazılımı, legal ve temiz dosyaların içine gizleyerek sisteme sızmaya çalışabilir. (Örnek bir saldırı türü) Yani sadece savunma yapmak yeterli değildir; aynı zamanda saldırganın kullanabileceği hileli teknik ve taktiklere karşı da hazırlıklı olmak gerekir.

Bu stratejiyi güvenlik tarafında da kullanabiliriz. Honeypot gibi yanıltıcı sistemler kullanarak bu kez hileyi saldırgana karşı biz kullanabiliriz. Ek olarak, penetration testlerini uygulayarak, kurumun güvenliğini test edebilir ve olası açıkları saldırganlardan önce keşfedebiliriz. Bu teknikler, saldırganların kuruma zarar vermeden önce hangi zafiyetleri kullanabileceğini anlamaya yardımcı olur ve kurumun savunma stratejilerini güçlendirir.

“Bir savaşı kazanan kumandan, harpten önce karargâhında bir sürü hesap yapar. Bir savaşı kaybeden kumandansa, evvelce çok az hesap yapar.”

Bu söz, siber güvenlik açısından stratejik planlamanın ve önceden yapılan hazırlıkların önemini vurgulamaktadır. Bir savaşı kazanan kumandan, savaştan önce tüm senaryoları hesaplayıp planlarını yaparken, başarısız olan ise yeterince hazırlık yapmamıştır. Siber güvenlikte de benzer şekilde, kurumların yönetici pozisyonundaki kişiler riskleri doğru bir şekilde değerlendirmeli, risk yönetimi ve olay müdahale planları gibi süreçleri titizlikle uygulamalı ve potansiyel tehditlere karşı hazırlıklı olmalıdır.

Yöneticilerin, kurumun karşılaşabileceği risklere karşı gerekli önlemleri alması, yedekleme politikalarını düzenli olarak gözden geçirmesi ve olası bir veri kaybı durumunda hızlıca toparlanabilmesi için sağlam bir strateji geliştirmesi gerekir. Bunun yanında, güvenlik açıklarının tespiti ve ortadan kaldırılması da kritik öneme sahiptir. Kurumda kullanılan yazılım ve donanımların güncel tutulması, zafiyet yönetiminin sürekli olarak yapılması, ortaya çıkan yeni saldırı tekniklerine karşı hazırlıklı olunmasını sağlar.

Saldırıya olabildiğince hazır olmak en önemlisidir. Sun Tzu’nun da dediği gibi “Hazırlıklı olup hazırlıksız olanı bekleyen kazanır.” Kurumun hem teknik hem de insan kaynaklı zafiyetlerini en aza indirmek, savaş öncesinde yapılan bu hesaplamalar gibidir. Saldırganların beklenmedik bir hamlesine karşı hazırlıksız yakalanmamak için tüm olasılıklar göz önünde bulundurulmalı ve strateji buna göre kurulmalıdır.

Kitaptan çıkardığım çıkarımlar ve yorumlarım bu şekildeydi. Yorumlar kişiye göre değişiklik gösterebilmektedir. Yorumlarım bu şekildeydi. Umarım bilgilendirici bir yazı olmuştur.

Referanslar:

Sun Tzu – Savaş Sanatı – link

https://1000kitap.com/kitap/savas-sanati–255944/alintilar

İLGİLİ PAYLAŞIMLAR

En Popüler Yazılar

Son Gönderiler