CIS Nedir

CIS (Center for Internet Security), internet güvenliğini artırmak için siber güvenlik standartları ve en iyi uygulamaları belirleyen bağımsız, kâr amacı gütmeyen bir kuruluştur. Amacı; Kurumların, devletlerin ve bireylerin siber tehditlere karşı korunmasını sağlamak.

CIS Critical Security Controls

CIS Kritik Güvenlik Kontrolleri (CIS Critical Security Controls- CIS Controls), Center for Internet Security (CIS) tarafından oluşturulan siber güvenlik için en iyi uygulamalar listesidir. Şirketler, devlet kurumları ve siber güvenlik uzmanları tarafından bir standart olarak kullanılır. Toplam 18 temel güvenlik kontrolü içerir ve Kuruluşlar, sistemlerini güvence altına almak için CIS Controls’ü adım adım uygular.

Bu güvenlik kontrolleri aşağıdaki gibidir:

1. Inventory and Control of Enterprise Assets
Bir organizasyonun kullandığı tüm cihazları (bilgisayarlar, sunucular, bulut tabanlı varlıklar, mobil cihazlar, IoT cihazları vb.) ve yazılımları kayıt altına almasını ifade eder. Yetkisiz cihazların ağa erişimini engellemek için sürekli izleme yapılmalı ve yalnızca onaylı cihazların bağlantısına izin verilmelidir.

2. Inventory and Control of Software Assets
Organizasyon içinde kullanılan tüm yazılımlar takip edilmeli ve yetkisiz veya zararlı yazılımların yüklenmesini önlemek için gerekli güvenlik politikaları uygulanmalıdır. Ayrıca yazılımların güncel olmasına dikkat edilmelidir. Yazılım envanteri oluşturularak, yalnızca lisanslı, güvenilir ve güncel yazılımların sistemlerde çalışmasına izin verilmelidir.

3. Data Protection
Hassas verilerin tanımlanması, sınıflandırılması ve korunması gereklidir. Bu kapsamda veri şifreleme, veri kaybı önleme (DLP) sistemleri ve erişim kontrolleri uygulanmalıdır. Ayrıca, hassas verilerin yalnızca yetkili kişiler tarafından erişilebilir olması sağlanmalıdır.

4. Secure Configuration of Enterprise Assets
İşletim sistemleri, uygulamalar, ağ cihazları ve güvenlik duvarları gibi altyapılar güvenli şekilde yapılandırılmalıdır. Varsayılan (default) zayıf konfigürasyonlar değiştirilerek gereksiz servisler devre dışı bırakılmalı, güvenlik açıkları kapatılmalıdır.

5. Account Management
Kullanıcı hesaplarının güvenli şekilde yönetilmesi gerekir. Yetkisiz veya kullanılmayan hesaplar düzenli olarak kaldırılmalı, yetkilendirme süreçleri dikkatle uygulanmalıdır. Kullanıcı rollerine göre ayrıcalıklar belirlenmeli ve yalnızca gerekli yetkilere sahip olmaları sağlanmalıdır.

6. Access Control Management
Yetkili erişim süreçleri yönetilmeli ve minimum yetki prensibi uygulanmalıdır. Kullanıcı, yönetici ve servis hesaplarının erişim izinleri belirlenmeli ve sadece gerekli olduğu durumlarda erişime izin verilmelidir. Yetkili hesaplar düzenli olarak gözden geçirilmeli ve yetkisiz erişimler engellenmelidir.

7. Continuous Vulnerability Management
Tüm sistemlerde düzenli olarak güvenlik açıkları taramaları yapılmalı, yazılım yamaları (patch) zamanında uygulanmalıdır. Yeni tehditleri izlemek ve hızlıca önlem almak için güvenlik açıkları sürekli değerlendirilmelidir.

8. Audit Log Management
Güvenlik olaylarını izlemek, saldırıları tespit etmek ve olay sonrası analiz yapabilmek için sistem logları düzenli olarak kaydedilmeli ve analiz edilmelidir. Merkezi log yönetimi (SIEM) kullanılarak güvenlik ihlalleri tespit edilmeli ve müdahale süreçleri geliştirilmelidir.

9. Email and Web Browser Protections
E-posta yoluyla gelen zararlı dosyalar, oltalama saldırıları ve web tarayıcı tehditlerine karşı korunma sağlanmalıdır. Kullanıcıların güvenli olmayan sitelere erişimini engellemek için URL filtreleme, e-posta güvenliği ve zararlı içerik tespiti gibi önlemler alınmalıdır.

10. Malware Defenses
Kötü amaçlı yazılımlara karşı sistemlerin korunması için antivirüs ve EDR (Endpoint Detection & Response) çözümleri uygulanmalıdır. Dosya bütünlüğü izleme sistemleri kullanılmalı ve bilinmeyen zararlı yazılımlar için gelişmiş tehdit algılama mekanizmaları devreye alınmalıdır.

11. Data Recovery
Kritik verilerin kaybolmasını önlemek için düzenli yedekleme süreçleri uygulanmalı ve yedeklerin güvenli bir şekilde saklanması sağlanmalıdır. Yedekleme planları test edilmeli ve ransomware gibi saldırılara karşı yedekleme sistemleri koruma altına alınmalıdır.

12. Network Infrastructure Management
Ağ güvenliğini sağlamak için güvenlik duvarları (firewall), saldırı tespit ve önleme sistemleri (IDS/IPS) ve VPN çözümleri kullanılmalıdır. Ağ trafiği düzenli olarak izlenmeli ve gereksiz açık portlar kapatılmalıdır.

13. Network Monitoring and Defense
Ağ altyapısı sürekli olarak izlenmeli, anormal trafik hareketleri analiz edilmeli ve tehdit istihbaratına dayalı koruma mekanizmaları uygulanmalıdır. SIEM gibi güvenlik izleme sistemleri kullanılarak potansiyel saldırılar tespit edilmeli ve hızlı müdahale edilmelidir.

14. Security Awareness and Skills Training
Çalışanların siber güvenlik konusunda bilinçlendirilmesi için düzenli eğitimler verilmelidir. Sosyal mühendislik saldırılarına karşı farkındalığı artırmak için oltalama simülasyonları ve güvenlik testleri uygulanmalıdır.

15. Service Provider Management
Üçüncü taraf hizmet sağlayıcılarının güvenlik standartlarına uygunluğu değerlendirilmelidir. Organizasyonun dış kaynak kullanımında güvenlik sözleşmeleri yapılmalı ve hizmet sağlayıcıların sistemlere erişimi denetlenmelidir.

16. Application Software Security
Yazılım geliştirme süreçlerinde güvenlik öncelikli hale getirilmelidir. Güvenli kodlama prensipleri uygulanmalı, OWASP standartları takip edilmeli ve sızma testleriyle yazılım güvenliği düzenli olarak kontrol edilmelidir.

17. Incident Response Management
Siber saldırılara karşı organizasyonun hazırlıklı olması için olay müdahale planları oluşturulmalıdır. Olası bir ihlal durumunda hızlı aksiyon almak için belirlenmiş prosedürler uygulanmalı ve tatbikatlar gerçekleştirilmelidir.

18. Penetration Testing
Güvenlik açıklarını belirlemek için düzenli olarak sızma testleri (Pentest) yapılmalıdır. Kırmızı takım (Red Team) aktiviteleri ile organizasyonun savunma mekanizmaları test edilmeli ve saldırgan bakış açısıyla sistem güvenliği değerlendirilmelidir.

Bu kontroller, organizasyonların siber güvenlik seviyelerini artırarak tehditlere karşı daha dirençli hale gelmesini sağlar.