Bilgi Güvenliği - INFOSEC
gönderen erdal yazıcıoğlu | kategori güvenlik | tarih 02.07.2010 12:07:12
Bu günlerde çok popüler olan bu tanım, özellikle Bilgi Sistemleri alanında çalışanların uykularını kaçırmaktadır. Çünkü Bilgi Sistemi denildiğinde sistem yöneticilerin kurumsal yada kişisel olarak algılamada sadece sistem yönetimi değil bu sistem içerisinde bilgi'nin nasıl kullanıldığı da büyük önem arzetmektedir. Bu noktada kurumsal yada kişisel bilgi yönetiminde, biz mühendislerin ve şirket yöneticilerinin gözünden kaçan nokta Bilgi güvenliği'nin şirketlerin bilgi sistemleri güvenliğini garanti etmediğidir. Bu makalede Bilgi Güvenliği Bileşenleri ve Saldırı Tipleri üzerinde konuşuyor olacağız.
Şu an piyasada bulunan Bilgi Güvenlik sistemlerinin hiçbiri biraz önce söylediğim konu üzerinde garanti vermez, veremez. Sebebi ise güvenliğin kişiden başlayarak tüm kurumsala yayılan bir süreç olmasıdır. Bu süreç içerisinde belirlenen, özenle hazırlanmış kişi ve sistem rolleri, bilgi güvenliğini tamamlayacak en önemli unsurlardır. Bilgi Güvenliği(INFOSEC), bilgiye yetkisiz erişimi, düzenlemeyi yada kullanmayı yasaklayan eylemler listesidir
| Bilgi Güvenliği - INFOSEC | |
|---|---|
| COMSEC | İletim halindeki bilginin güvenliğinden meydana gelir. |
| EMSEC | Sistemlerin bir emisyon cihazı kullanılarak erişilmesini engelleyen güvenlik tipidir. |
| COMPUSEC | Bilgisayar sistemleri güvenliğini düzenleyen güvenlik tipidir.. |
| NETSEC | Ağ güvenliğinden sorumlu olan güvenlik türüdür. |
Bilgi Güvenliği Bileşenleri
Antivirüs Sistemleri
Kurumsal ve kişisel bilgi güvenliği uygulamalarının olmazsa olmazıdır. Bilgilere korsan yazılımlar yada kişiler tarafından ulaşılmasını engeleyebilir. Ancak bu programı aşan saldırgana müdahele de bulunamaz.
Erişim Kontrolü
Kurumsal ve kişisel bilgilere ulaşımda, ulaşacak kişilerin izin seviyelerinin ayarlandığı güvenlik sürecidir. Ancak tek başına yeterli değildir. Kaynağa ulaşan saldırganın yetkileri yükseltmesi sonucunda etkisiz kalır.
Güvenlik Duvarları
Güvenlik duvarları iç ağımıza girişleri kontrol eden cihazlardır. Yapıları gereği iç ve dış network arasında sınır güvenliğini sağlarlar. Burada unutulmaması gereken nokta, iyi yapılandırılmış bir güvenlik duvarı, dış dünya için şirket güvenliğini sağlarken, iç ağdan gelecek saldırılara karşı etkisiz kalacaktır. Ayrıca, güvenlik duvarı üzerinde, iç ve dış ağlar için izin verilmiş bağlantılar üzerinde de herhangi müdahele yeteneği olmayacaktır. İç ağın internet üzerinde gezebilmesi için izin verilmiş 80 nolu port bir şirket için her zaman potansiyel güvenik açığı olarak algılanmalıdır.
Diğer bir örnek ise iç ağdan gelebilecek saldırılardır. Kablosuz ağların gelişmesi ile meydana çıkan güvenlik açıkları sayesinde artık saldırganlar kolayca kablosuz ağlara sızarak, iç ağ kullanıcısı olarak hareket etmektedirler. Bu tip açıklar güvenlik uzmanlarının, saldırganları tespit etmesini zorlaştırmakta ve bilgi güvenliğini tehdit etmektedir.
Akıllı Kartlar
Yetkilendirme sırasında kullanılan iki yoldan bahsedebiliriz. Bunlardan ilki, bildiğiniz birşey, ikincisi ise sahip olduğunuz birşey dir.
Sistemlerimize ulaşmada kullandığımız kullanıcı adı ve şifreler bildiğimiz bir şeydir. Ancak insanoğlu bildiği şeyleri unutabildiğinden, bir yerlere yazma gereği yada not etmek gereği hissetmiştir. Bildiğiniz birşey güvenlik uygulamalarında tek başına kullanılmamalıdırlar.
İlk noktada çıkan güvenlik zaafiyetlerinden dolayı, akıllı kartlar, yani sahip olduğumuz bir şey, kullanılmaya başlanmıştır. Ancak kartların çalınma olasılığı ve çalışanların yeterli önemi göstermemesi diğer bir güvenlik açığını beraberinde getirmiştir.
Biometric Uygulamalar
Biometrik yetkilendirme tipleri aşağıdaki gibidir.
- Parmak izi
- Retina/İris – Göz taraması
- Palm çıktıları
- Avuç içi tarama
- Yüz okuma
- Ses tarama
Sızma Tespit - Inttrusion Detection
Bazı sızma tespit programları henüz sızma olmadan sızmayı engeleme yeteneklerine sahiptirler. Hatta piyasadaki yeni ürünler Sızma Engelleme Sistemi – Intrusion Prevention System olarak adlandırılmaktadır. Bu sistemlere örnek olarak tel örgülere çekilmiş hareket algılayıcı fiber optik kabloları verebiliriz.
Poliçe Yönetimi
Kişisel görüşüme göre en iyi güvenlik uygulamalarından biri Poliçe yönetimidir. Güvenliğin en zayıf halkasının insan olduğunu düşünürsek, yazılan poliçe ve kurallar sayesinden çalışanların hangi seviye güvenlik kurallarına uymak zorunda oldukları belirleyebiliriz. Ancak tek başına şirket güvenliğini sağlamaz.
Güvenlik taramaları
Belirlenmiş zamanlarda sistemlerin güvenlik taramalarının gerçekleştirilmesi gerekir. Bu sayede güvenlik açıkları tespit edilir ve kapatılır. Özellikle üretici firmaların çıkardığı yamaların takip edilmesi ve sistemlere yüklenmesi hayati önem taşır.
Bilgi Şifreleme
Bilgi şifreleme bilgi transferleri sırasında dikkat edilmesi gereken en önemli noktalardan birisidir. Özellikle yüksek önem derecesine sahip belgelerin 3.cü kişiler tarafından dinlenememesi, okunamamasını sağlar. Bugün birçok kurumsal şirket depolama esnasında da şifreleme tekniğini kullanmaktadır. Şifreleme tekniğine örnek olarak web sunucularındaki SSL şifreleme tekniği verilebilir.
Fiziksel Güvenlik
Fiziksel güvenlik, çalışanların güvenli bir şekilde veri kaynağına ulaşımını sağlayan mekanizmadır. Örnek olarak özel güvenlik elemanlarının bir şirketi koruması, o şirkette çalışanların rahatça işlerini yapmalarını gösterebiliriz.
Yukarıda kısaca bilgisini vermeye çalıştığım bilgi güvenliği ve bileşenleri, sadece iş yaşantımızda değil kişisel bilgi güvenliğimizi koruma noktasında da çok yüksek öneme sahiptir.
Saldırı Tipleri
Günümüzün tüm kurumsal şirketlerinin bilgi ve bilgisayar sistemleri hergün küçük yada büyük birçok saldırıya maruz kalmaktadır. Bu saldırlar karşısında korunabilmek için ilk olarak saldırı tiplerini anlamamız gerekmektedir. Bu saldırıların bazıları bilerek bazıları ile kullanıcıların yanlış kullanım sonrası kaza ile meydana gelen saldırılardır. Dört çeşit saldırı tipinden bahsedebiliriz. Bazı saldırı tiplerinin tam karşılığı olmadığından Türkçe karşılığı bir anlam ifade etmeyebilir. Ancak sonraki bölümlerde detaylı olarak anlatılmıştır.
- Access - Erişimin Saldırıları
- Modification – Bilginin değiştirilmesi.
- Denial of Service – Hizmete erişim iptali.
- Repuidation – Redetme, inkar etme anlamına gelen saldırı tipi.
Access - Erişim Saldırıları
Erişimin saldırılarını kısaca yetkisi olmayan kullanıcıların kaynaklara erişimi olarak açıklayabiliriz. Bu saldırı hem bilginin transferi esnasında hem de bilginin depolandığı yerde olabilir. Örnek olarak yetkisi olmayan bir kişinin kripto odasına girmesini verebiliriz.
Snooping
Snoop kelime olarak meraklı kişi anlamına gelir. Saldırgan, bilgiler arasında kendi işine yarayacak bilgi bulana kadar dolaşır, yani dolaşan bilgiyi dinler.
Evasdropping
İki kişi yada iki bilgisayar arasındaki bilgi değişimini dinleme yada izlemeye verilen isimdir. Saldırganın haberleşmeyi yapan iki nokta arasına kendisini konuşlandırması gerekmektedir. Pasif saldırı şeklidir öünkü saldırgan bilgi akışını kesmez. Kendisi üzerinden bilginin akmasına izin verir.
Interception
Durdurma yada kesme anlamına gelir. Evasdropping tipi saldırının tersine aktif bir saldırı tipidir ve saldırgan akan bilgilerini kendi üzerinde toplar ve gitmesi gereken hedefe ulaşmasını engeller.
Erişim saldırıları hem fiziksel hem de elektronik erişim saldıraları olarak gruplandırılabilir.
Fiziksel erişim saldırıları adından da belli olduğu gibi fiziksel olarak bilgi kaynağının bulunduğu bölgeye erişimin olmasını gerektirir. Bunlar arasında;
- Dosya dolapları
- Ofis içerisindeki çekmeceler.
- Masaüstü notları
- Faks cihazlarında unutulan belgeler.
- Yazıcı tepsilerinde unutulan çıktılar.
- Çöp kutuları.
- Arşiv alanları.
Elektronik erişim saldırlarına örnek verecek olursak;
- Masaüstü bilgisayarlar
- Sunucular
- Taşınabilir bilgisayarlar
- Diskler
- CD yada DVD
- Yedekleme uniteleri
Elektronik erişim saldırıları genelde yetkilendirmelerin iyi yapılamadığı sistemler üzerinde gerçekleşmektedir. İyi yapılandırılmış bir sistemde eğer kullanıcı yetkisi olmayan bir kaynağa erişmek istediğinde red edilir ve bu işlem güvenlik uzmanlarının incelemesi için kayıt altına alınır. Bugün bir çok kurumsal şirket bu tür kayıtları izlemek için izleme(Audit) bölümleri kurmaktadırlar. Eğer ileri seviye bir saldırgan ise o zaman erişim seviyesini yükseltmeye çalışır. Bu işlemleri yaparken yapılandırmadaki ve işletim sistemlerindeki açıklardan yararlanır.
Yerel ağdaki elektronik erişimler Sniffer adı verilen trafik dinleyeciler tarafından yapılabilirler. Trafik dinleyiciler, ağda gezen tüm bilgileri kayıt altına alırlar.
Telefon hatlarında ise bu işlem hatta girme yada kancalama adı da verilen dinleme şekli ile yapılır. Ancak bu durumda fiziksel olarak bölgeye erişimin olması gerekir. Mobil cihazlarda ise buna gerek yoktur.
Interception saldırıları, saldırılar içerisinde, bilginin kesilmesi nedeni ile en tehlikesi olarak göze çarpar.
Modification - Değiştirme Saldırıları
Bilgiyi değiştirme saldırılarında saldırgan izni olmadığı halde belge yada veri üzerinde değişiklik yapar. Bu saldırı belge yada bilginin olduğu herhangi bir yerde gerçekleşebilir. Bu saldırı tipini alt bölümlere ayıracak olursak, aşağıdaki listeyi elde etmiş oluruz.
- Değişiklik yapmak
- Bilgi yada belgeye ekleme yapmak.
- Bilgi yada belgeyi silmek.
Bu tip saldırılarda aynı erişim saldırılarında olduğunu gibi iki kategoride toplanabilirler. Ancak bu tip saldırada kağıt üzerindeki belgelerin tespit edilmeden değiştirilebilmesi çok zordur.
Elektronik ortamda bulunan belge yada bilgilerin değiştirilmesi için saldırganın;
- Gerekli izinlere sahip olması gerekir. Yoksa izinleri yükseltme yoluna gidecektir.
- Bilgisayar sistemindeki açıklar üzerinde bilgi sahip olması gerekir.
Değişim saldırılarında transfer halindeki belgelerin değiştirilmesi imkansız olduğundan ilk olarak veri akışının kesilmesi gerekir. Bunun içinilk olarak interception saldırısı yapılır. Interception saldırısı yapıldıktan sonra bilgi yada belge üzerinde gerekli değişiklik yapılır ve hedefe gönderilir.
DDoS Saldırıları
Internet ortamında sıkça duyduğumuz bu saldırı tipi kullanıcıların bilgi yada belge kaynaklarına ulaşmasını engelleyen saldırı tipidir. Şu internet üzerinde en yaygın olan saldırı tipidir. DDos saldırıları değişik tiplerde yapılabilir.
- Denial of Access to Information – Bilgiye ulaşımı engeller.
- Denial of Access to Application – Bir programa ulaşımı engeller.
- Denial of Access to System – Hedef sistemlere ulaşımı engeller.
- Denial of Access to Communication – İki yada daha fazla nokta arasındaki haberleşmeyi engeller.
Yukarıda sıraladığımız saldırıların hepsi değişik şekillerde yapılabilir. Elektronik DoS saldırılarında bilgiye erişim engelleneceği gibi tüm yedeklere erişimde silinerek engellenebilir.
DoS saldırına en iyi örnek veri transferini sağlayan kabloyu kesmek olarak gösterilebilir. Ancak günümüz ağlarının gelişmiş olması ve yedekli hatlar ile destekleniyor olması bu saldırının vereceği zararı minimum seviyede tutabilimektedir.
DoS saldırılarının en popüler olanı çok büyük hacimlerdeki trafiğin kurban sistemlere gönderilmesidir. Saldırıya maruz kalan sitelerin gelen isteklere cevap vermeye çalışırken, kulanıcı isteklerine cevap verfemeyecek ve devre dışı kalacaklardır. 2002 yılında gerçekleştirilen üst seviye DNS sunucuları olan root server saldırıları bu tip saldırıya en iyi örnektir.
Kazı sırasında kesilmiş bir fiber optik kablo bile DoS saldırısı olarak değerledirilmeli ve çözüme kavuşturulmalıdır.
Repudiation - Red, İnkar Etmek
Bu tip saldırılar ulaşılmak istenilen bilgi hakkından yanlış yada hiç bir bilgi vermemek olarak da tanımlanabilir.
Masquerading: Başka bir kişi gibi davranarak bilgi vermek. Aynı ağ üzerinde olan iki makiden birinin, diğer makine IP adresini alarak, o makineymiş gibi davranması örnek olarak gösterilebilir.
Red Etmek: Kayıt altına alınmış bir olayı red etmek. Şirket kredi kartı ile yapılmış bir alışverişin, alışverişi yapan kişi tarafına rededilmesi örnek olarak gösterilebilir.
Kolay gelsin
