Bilgi Güvenliği ve Bilgi Güvenliği ile ilgili Tanımlar

Merhaba arkadaşlar,

Bu makalemizde Bilgi Güvenliği hakkında bilgiler veriyor olacağım.Siber güvenlik esasında temel olarak internet üzerinde bağlı olan bütün cihazların odak noktası diyebiliriz.Günümüzde internet kullanımı ile birlikte cihaz sayısı arttıkça bu veriyolu üzerinde dolaşan verilerin boyutuda her geçen gün gittikçe büyümektedir.Tabi bu verilerin bazıları çeşitli güvenlik methodları ile birlikte korunmaya çalışır iken,bazıları güvensiz bir şekilde dolaşmaya devam etmektedir.Siber güvenlik denildiğinde IT tarafında fiziksel ve yazılımsal güvenlik ilk akla gelen olsada,alanı itibari ile operasyon güvenliğinden hedef kitlelerin güvenliğine kadar bir çok kavramı bünyesinde barındıran bir terminolojiye sahiptir.Sistem anlamında zafiyetlerin tespit edilmesi ve uygun önlemlerin alınmasını ifade eder iken,normal bireysel kullanıcılar için bu terminoloji bilgi güvenliği (kişisel-kurumsal) korumak demektir.Kurum bazında incelediğimizde bu terminolojinin temelinde kurumun açık ve kapalı (gizli) bilgilerinin devamlılığının yanı sıra özellikle gizli denilebilicek kişisel veya kuruma dair özel verilerin korunması,dışarıdan veya özellikle içeriden gelebilicek kritik saldırıların önüne geçebilmek ve o verilerin bütünlüğü ile birlikte çalışabilirliğinin sağlanmasını başarmak oldukça önem arz etmektedir.Özel veya Kamu sektöründe önemli olan husulardan bir taneside bilgi güvenliği ile ilgili master planların ortaya koyulması ve projelerin hayata geçirilmesi buna uygun stratejilerin belirlenmesi ve korunması için ilgili kurumların çalışma yapmasıda oldukça önemli bir noktadır.

Siber güvenlik bireylerin, kurumların ve hükümetlerin bilgi işlem hedeflerine güvenli, özel ve güvenilir bir şekilde ulaşmalarına olanak veren ortak etkinlikleri ve kaynakları ifade eder.Devletler artık geçmiş dönemlerde olduğu gibi fiziki şartlarda savaş ve kaynak ele geçirmelerinin yerini artık siber savaşlar ile maliyeti düşük,veriye anında ulaşma ve ele geçirme gibi yollara yönelmiş durumdalar.Bu durumda devletlerin artık bilişim politikalarının oluşmaya başladığı şu dönemde,özellikle uluslarası siber savaşların yarattığı yıkıcı tahribatların devletlere hem ekonomik bazda hem siyasi noktada hemde bilişim altyapısına ilişkin oldukça önemli zararlar verebileceğini unutmamak gerekmektedir.Ülkeler bu konuda Bilgi ve İletişim Teknolojileri standartlarını yakalaması devlet ve özel sektörün bu standartlarda gerekli güvenlik ve günümüzün siber tehlikelere karşı gerekli araştırmaları yapabilmesi bu konuda önemli bir basamak olarak düşünülebilir.Bunun yapılabilmesi içinde Bilişim alanında gerekli Ar-Ge kaynağının ayrılması ülkelerin kendi milli yazılımları ve güvenlik cihazlarını kullanabilmesi gibi üretim ve güvenlik odaklı sistemlere yatırım yapmaları gelecekte ülkemizin bu sektördeki ilerleyişinde Özel iştirakler ve kamu güvenliğini sağlaması açısından oldukça önem arz etmektedir.Bilişim Teknolojilerinde en büyük risklerden bir taneside dışa bağımlılığın yüksek olmasıdır.Günümüzde çoğu kurum bilindik uluslarası marka ve ürünler ile çalışıyor olsada kaynak kodlarının kendi milli imkanlar ile geliştirilmemiş olması ve bunun yanında destek verilmesi dolayısı ile verilen paralar ülkemiz için ciddi miktarlar harcandığını ortaya koymaktadır.Özellikle güvenlik ve işletim sistemlerinin yazılımsal ve donanımsal noktalarında process lerin detaylı olarak tam olarak bilinmemesi ve kullanım-yönetim dışında geriye kalan karanlık noktanın Vendorlar tarafından bilinmesi sebebi ile kullanan için ne kadar doğru bir program gibi gözüksede kullandırılan ürünün üreticisi tarafına ne şekilde bilgi yönlendirmesi yaptığı bilinmemektedir.Dolayısı ile kurumsal ürünlerdeki açıkların artık aleni şekilde görülmesi,bunun dışında kolay yönetim denilen olgunun yaygınlaştırılarak bu ürünleri kurumlarında kullanan yöneticilerin sorgulamama alışkanlığını elde ettirilmesi,siber güvenlik alanında açıkların git gide büyümesine yol açmış ve siber saldırıların artık daha rahat ve kolay yapılabilmesine olanak sağlamasına sebebiyet vermiş durumdadır.

Bunun en güzel örneği Mavi Marmara olayından sonra İsrail ürünü olan bir firewall markasının cihazlarının bir anda firewall cihazına müdahale ederek âdeta sansür uygulamasıdır. Bu cihazlar Mavi Marmara ile ilgili haber yapan sitelerin tamamını “hacker” ve “porno” kategorisine alarak erişimi engellemiştir.Kısa süren bu kesinti beli bir çoğumuz için normal gelebilir ama ülkenin kamu kuruluşlarının bir çoğunun bu cihazları kullanması (alternatif yerli üretim bir firewall) cihazının olmaması dolayısı ile dışa bağımlılıkta bizlere sadece arayüz yönetme imkanı veren geliştirilmesine yada içerisine müdahaleye olanak tanımayan bir ürüne uzaktan hangi ve ne şekilde bu firmanın müdahalede bulunduğunu anlamamızıda güçleştiren bir husus olarak örnek vermek isterim.Tabiki bu uygulamanın o kadar kolay olmadığınıda anlamamız gerekiyor.Sektördeki devlerin verdiği ve sunduğu fırsatlardan daha uygun daha ekonomik ve maliyeti düşük ama kalitesi yüksek uygulamaların sunulması ve bunların devlet teşviki ile yapılmasıda bu konuda oldukça önem arzetmektedir.Bununla alakalı olarak ilk adım milli yerli işletim sistemimiz olan Pardus ile başlanılması ve bununla alakalı devlet destekli çalışmaların yapılmasıda konu ile alakalı güzel bir örnek olabilir.Bazı  güvenlik ürünlerinin üreticileri yayınladıkları raporlarda siber saldırılar konusunda %150 gibi çok ciddi artışların dünya genelinde giderek yükseldiği belirtiyor.Bu saldırıların en yoğunlaştığı bölgelerin başında ise ülkemizin bulunduğu lokasyondaki ülkeler gelmekte.

Özellikle Kamu Kurum ve Kuruluşlarına ypılan saldırıların yanı sıra Bankacılık ve diğer alanlarda faliyet gösteren kurumlarada artan bir şekilde siber saldırıların devam etmeside ciddi bir endişe kaynağı oluşturmakta.Türkiye 2017 senesi itibari ile Bankacılık ve kamu tarafında 10.000 den fazla aldığı saldırı ile Avrupa bölgesinde en fazla saldırı alan ülkeler arasında yer alırken bunların akabinde Almanya ve Fransa gibi ülkeler gelmekte.Bunun yanında küresel ölçekte siber suçlarda gün geçtikçe dahada fazla yaygınlaştığını görüyoruz.ilerleyen dönemlerde siber suçların yarattığı maliyetin 6 trilyon dolara ulaşması beklenmekte.Bunun yanında önümüzdeki 10 sene içerisinde veri kullanımı ve teknolojinin dahada odak noktası olacağını düşünürsek belki bu güvenlik zafiyetlerinin şimdiki güvenlik zafiyetlerinden  daha fazla hatta 2 veya 3 katı olabileceğini hesaplamak zor değil diye düşünmekteyim.

Siber saldırıların daha fazla artış göstermesi onu engelleyecek sistemlere yapılan yatırımlarında bir o kadar fazlalaşmasına sebep olmakta.Bunun yanında artık normal kullanıcıların değil bütün adminlerin ve uygulama sorumlularında esnek hareket etmesini engelleyen bir süreç olarak karşımıza çıktığını görüyoruz.Tanımlamaların ve genel açıklamaların sonucuna gelicek olursak.Son dönemlerde Siber savaşların giderek artan bir şekilde devam etmesi ve küresel boyut itibari ile yaygınlaşması ülkemiz ve ilgili kamu kuruluşları açısından büyük riskler teşkil etmektedir.İlerleyen yıllarda Siber Güvenlik ile alakalı gerek kamu gerek özel sektörün bu konuda eylem planlarını hazırlaması kullanılan sistemlerde dışa bağımlılığın azalması ve Bilişim sektöründe yetiştirilen bireylerin sistematik şekilde değil düşünerek ve anlayarak sorunları analiz edebilicek noktaya getirilmesi ile ilgili kapsamlı eğitimlerin verilmesi,Bilişim dünyasının olmazsa olmaz kullanıcı profili ile ilgili eylem planlamalarının onların bilinçlenmesinin sağlanmasıda ulusal milli güvenliğimiz ve bilişim güvenliğimiz için oldukça gerekli ve önemli bir husus olduğunu ortaya koymaktadır.Bu konuda öncelikle siber güvenliğin tanımından başlayarak bu saldırılara karşı ne şekilde kendimizi koruyabiliriz bunlara kitabımda değineceğim.Penetrasyon testleri hiç bir basamak atlamadan yapılması gereken bir işlemler bütünüdür.Her bilgi her konu dikkatlice titizlik ile takip edilmesi ve uygulanması sisteminizin güvenliği için oldukça önemli bir durumdur.

Siber Güvenlik Kavramlarına Genel Bakış

Günümüzde hacker kavramı genellikle siber suçları işleyen kişiler olarak tanımlanmaktadır.Esasen bu bir yönden doğru bir tanımdan yanlış bir kavramdır.Hacker var olan bir sistemin değiştirilmesine veya manipule edilmesine olanak sağlayan kişi olduğunu söyleyebiliriz.Tabi kavramlarda ne kadar kötü bir algı olsada günümüzde siber güvenlik uzmanlarıda birer hacker altyapısında yetişmiş uzmanlar olarak görebiliriz.

Genel kavramları biraz açıklamak gerekirse,Hacker herhangi bir sistem zafiyetini kullanarak o sisteme giren kişidir.Yanlız burda sisteme girmesi demek ilgili kişinin kötü niyetli olması otomatiğine bağlanamaz.Bu kısımda bilgi güvenliği veya beyaz şapkalı tabir ettiğimiz kişilerde girebilir ve sistemin korunmasına yardımcı olabilir.Gelin hacker türleri ve neler yapabildiklerini biraz anlatalım.

Öncelikle Hacker tanımı global bir statüyü temsil eder.Bu statüde kişilerin farkındalığı bilgi ve birikimleri ile ayrılmaktadır.

Bilgi Güvenliği Uzmanı: Sistem ve uygulamaların analiz, tasarım ve proje yönetimi konularında görev yapan kişidir. Kurumun kullandığı veya depoladığı bilgilerden hangilerinin gizli olduğunun belirlenmesine destek olur. Bilgiye ulaşabilen tüm kişiler için erişim yöntemleri ve prosedürlerini belirler.

Pentest Uzmanı:Penetrasyon test uzmanları hem yazılımsal hemde sistemsel test uzmanlığı olarak 2 ye ayrılmaktadır.Genellikle anlaşma yaptıkları kurumlarda (web sitesi,güvenlik,sistemsel) açıkları tespit etmek için çalışan uzmanlardır.Bu uzmanlar gerek scriptler yazarak gerek modellemeler etrafında raporlama yaparak ilgili sistem açıkları ve sonuçlarını hedef aldıkları sistem üzerinde denerler ve raporlayarak oluşabilicek riskleri çalışma yaptıkları kurum ile paylaşırlar.

Beyaz Şapkalı Uzmanlar:Bizim bu kitapta ilgilendiğimiz hususun temelini oluşturan uzman kişilerdir.Bu alandaki hackerlar edindikleri bilgileri kötü amaçla kullanmazlar.Onların görevi kendi sistemleri veya danışmanlık verdikleri/vermedikleri kurumların açıklarını tespit ederek ilgili kurumların uyarılması ve güvenlik zafiyetlerinin giderilmesi için çalışan kesimdir.Genellikle siyah taraftan geçen kişilerin yanı sıra uzman bir yerde eğitim alıp gerekli donanımları edinen kişilerden oluştur.

Gri Şapkalı Uzmanlar:Bu uzmanlar aslında biraz ilginç bir alanda duruyorlar.Gri şapkalı uzmanları sistemlerdeki açıkları bularak kimileri bu açıkları kendisi kapatırken kimileri bu açığı kullanabiliyor.Aslında ne tam iyiniyet nede tam kötü niyetin olduğu kişilerin belirli olmadığı bir alan diyebilirim.

Hacktivistler:Bu alandaki kişiler sosyal aktivisitler olarakta tanımlayabiliriz.Amaçları toplumsal olaylarda kendilerini ortaya çıkararak anonim olarak bu olayların yaşandığı lokasyonlardaki kamu kurum ve kuruluşları,özel sektör veya farklı kesimlerde kendilerine uymayan politikaları protesto etmek için sistemlere saldıran topluluklardır.Bunların en ünlüsü de “anonymous” denilen hacktivist grubudur.

Script Kiddie:Esasında bu gruba lamer de denilebilir.Bu tarz kişiler piyasada bulunan yazılmış exploit programları ve çeşitli araçlar ile sisteme sızmaya çalışan teknik altyapısı çok fazla olmayan kişilerin gerçekleştirdikleri eylemlerden oluşur.

Genel olarak bu işleri yapanların neler ile uğraştıklarını az biraz tanımlama fırsatı bulduk şimdi diğer konumuz olan Penetrasyon ortamına hazırlık aşamasına geçebiliriz.Tabiki bundan önce sızma testleri ile alakalı ufak bilgiler vermek isterim.

Bilgi Güvenliği Standartlarına Genel Bakış

Bilgi güvenliği noktasında esasında bilgi güvenliği uzmanlarının tercih ettiği iki tip yaklaşım tercih edilmektedir.Bunlardan bir tanesi offansif yaklaşım bir taneside defensive yaklaşımdır.Genelde tercih edilen ve daha verimli olan offansif yaklaşımın içeriğine bakmak gerekirse sızma testlerinde kullanılan araçlar ile beraber güvenlik zafiyetlerinin taranması ve bununla alakalı olarak raporlama yapılması daha mantıklı bir yaklaşımdır.Salt offansif yaklaşımın yanı sıra defensif yaklaşımında tek başına ele alınamayacağı düşünüldüğünde her ikisininde birlikte korelasyon sonucunda ortaya çıkan yaklaşımın en sağlıklı yaklaşım olacağını düşünebiliriz.Tabi bu testleri kurumsal veya bireysel ortamdalarda objektif olarak test edilmesi ve raporlanmasıda oldukça önemli bir husustur.Kurum içerisinde yetkinliğiniz dahilinde ne kadar güvenliğe dikkat ederseniz edin birşeylerin bazı şeylerin dikkaten kaçma ihtimali her zaman vardır ve dış dünyada saldırganların sayısı ve bilgi becerisi her zaman sizden iyidir.Özellikle kurumunuz içerisinde çalışan veya bir şekilde güvenlik sistemlerine bağlı olan güvenlik firmaları yerine kendi güvenliğinizi bu konudaki bağımsız uzmanlara veya sadece bu hususa aşina olan kuruluşlara test ettirmek kurumunuzun yararına olacaktır.Sızma testlerini yaptırdıktan sonraki süreçlerde sisteminizin güvenliği hakkında detaylı bir rapor oluşturulması önemlidir.Kritik güvenlik zafiyetlerinin hangi alanlarda olduğu bunların ne şekilde yamalanacağı.

Bunun dışında kuruluşunuzda olan güvenlik mimarisinin uçtan uça güvenlik protokolunu desteklediğine dikkat etmek oldukça önemli bir durumdur.Kurumların en büyük zafiyeti güvenlik adı altında birbirinden farklı entegre çalışmayan güvenlik cihazları ve güvenliği sağladığına inanmasıdır.Halbuki birbiri ile entegre olmayan cihazların güvenlik zafiyetine neden olması kaçınılmaz bir durumdur.O yüzden entegre bir güvenlik sistemi ile kullanıcıdan başlayarak  sistemin en dip noktasına kadar birbirine entegreli bir güvenlik ağı kurulması kurumlar için oldukça önemli bir husustur.

Güvenlik ve Acil durum eylem planında genelde ülkemizde ve küresel açpta belirli başlı standartlar mevcut durumdadır.Bu planlamalara göre olabilicek saldırılar ve krizlere engel olmak amacı ile zorunlu standartlar mevcut durumdadır.Bunun içerisinde bulunan güvenlik penetrasyon testleride maliyetli ama önemli bir iştir.

Penetrasyon testlerinde bazı genel kavramlar mevcut durumdadır.Bunlardan kısaca bahsetmek gerekirse;

Pentest:Uzun ismi penetrasyon testi olan bu sistemin temel amacı hedef olarak belirlenen sistemlere her türlü yoldan denemeler yapılarak sızılmaya çalışılmasıdır.Penetrasyon testinde hedef sistem içerisine girmekten ziyade sistem içerisinde kendisine gerekli yetkileri alarak üst sistemleri hedef almasıdır.

Sızma testleri, gerçekleştirme yöntemlerine göre 3 farklı gruba ayrılmaktadır. Bunları şu şekilde listeleyebiliriz;

White Box Tekniği:Bu sızma tekniğinde kurum içerisindeki sistem ve güvenlik ekibi ile birlikte kordineli olarak çalışarak.Açık sistem testi uygulanır.Burada kurum zorluk çıkarmadan yetkileri vererek penetrasyon testi yapılır.

Black Box Tekniği:Bu teknikte genelde saldırılıcak kurumdan herhangi bir bilgi alınmaz.Bilgi paylaşımının en az olduğu tekniktir.Kurumla alakalı bilgiler dışarıdan alınarak bu materyaller üzerinden sızma testleri gerçekleştirilir.

Vulnerability Assessment Tekniği:Bu teknik genellikle en çok uygulanan yöntemlerden bir tanesidir.Genel manada güvenlik riskleri belirli bir raporlamada toplanarak,bu raporlama sonucunda security testlerin sistem içerisinde aranarak herhangi bir güvenlik açığının olup olmadığının araştırılmasıdır.Bu konuda kurum içerisinde olmayan ama güvenilir uzman bir firma ile çalışmak oldukça önemlidir.Nedeni ise bu test sonucunda bilinen bütün zafiyetleriniz firma tarafından bilineceğinden ötürü dikkatli olunması içindir.Bunun yanında test anlaşması imzalatak veri güvenliğinin sağlanmasıda oldukça önem arz etmektedir.Bu sızma testinde genelde hazır otomasyona sahip araçlar kullanılabilir.Bunların kullanılmasının sebebide süreç boyunca hızlı bir şekilde testleri gerçekleştirip gerekli aksiyon ve raporlama kısmını kısa sürece tamamlayabilmektir.Peki sızma testlerinde uygulama yöntemleri neler olmalı onlarıda incelemek gerekirse step-by-step bir yöntemle iş akış planını uygulamak bir pentest uygulaması için oldukça önem arzetmektedir.Peki bunları nasıl oluşturmak gerekiyor onları maddeler halinde açıklamak gerekirse;

1.Adım Kurum ve firma tarafında ortak olarak belirlenicek hedefleri tanımlama.Pentestin kapsamının belirlenmesi ve ona uygun bir planlama yapılması.

2.Adım penetrasyon testinin sadece iç sistemlere yönelikmi yoksa uygulamalar veya salt bu hizmetleri çalıştıran sistemleremi bunların tespitinin yapılmasıda oldukça önemlidir.

3.Adım testlerin yapılmasına yardımcı olucak uzman ekibin seçilmesi ve veri gizliliği sözleşmesinin yapılması.Kurum içerisinde gizlilik politikasının oluşturulması.

4.Adım bu penetrasyon testlerinin belirli bir takvime bağlı olarak gerçekleştirilmesi,buna uygun aralıkların seçilmesi ve gerekli hazırlıkların yapılması.

5.Adım yük dengeleme sistemlerinin test edilip edilmeyeceğinin belirlenmesi.

Bu amaç doğrultusunda gerçekleştirilecek sızma testlerinde kavramların belirlenmesi pentest çalışmasının en önemli adımını oluşturmaktadır.Genelde kurumda çalışan sistemciler ile yazılımcıların bakış açısı ile Siber saldırı yapanların bakışı açısından birbirinden farklıdır.Sistem güvenlik uzmanları ve sistem uzmanları tarafından küçük görülen veya önemsenmeyen bir hata sistem açısından siber saldırgan tarafından rahat bir şekilde değerlendirilebilir ve kullanılabilir.Kurum ile alakalı kapsamları belirlemeyi kesinlikle güvenlik testi yapacağınız kurum ile kordineli bir şekilde yürütmeniz önemlidir.Kapsam belirlemek için standart bir formül yoktur. Her firma ve ortam için farklı olabilmektedir. Genellikle sızma testleri genel itibari ile aşağı yukarı aşağıdaki gibi alt bileşenlere ayrılmaktadır.

*Sistem Testleri.

*Web-Program Uygulama Testleri.

*Network Testleri.

*Altyapı Sızma Testleri.

*Son Kullanıcı Testleri.

*Sosyal Mühendislik Yolu İle Bilgi Alma Testleri.

*Mobil Uygulama Testleri.

*Intranet,Extranet Testleri.

*IIS Testleri

*DDOS/BOTNET Testleri

Tabiki bu sızma testlerinde genel olarak ip bilgisine sahip olmakta yeterli olmamaktadır.Her alanın ve uygulamanın penetrasyon testi farklılık gösterir.Örneğin bir DNS in stres testi ile bir Web uygulamasının testleri farklı araçlar ve planlamalar ile yapılmaktadır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!