Neden güvenlik önemlidir ? Güvenlik uygulamarına başlamadan ya da güvenliğin tanımını yapmadan önce kendimize bu soruyu sormamız lazım. Nedenini bilmediğimiz birşeyi uygulamaya çalışmamız şevkimizi biraz kırabilir.
Güvenlik temel olarak şirketimizin (ya da kendimize ait) önemli niteliklerini korumak için uygulanan bir dizi işlemlerdir. Bu bahsettiğim nitelikler şirketimizin günlük bazdaki işlevlerini sağlıklı bir şekilde yürümesini sağlayan ekipmanlardır. Bu ekipmanlar donanım gibi fiziksel ekipmanlar olabileceği gibi yazılım bazında ya da bilgi bazında fiziksel olmayan ekipmanlar da olabilir. Ve bu nitelikleri istemli ya da istem dışı gelebilcek zararlardan koruyabilmek çok önemlidir. Çünkü sistemin güvenliği : sistemin ulasılabiliriğini , kararlılığını ve en önemlisi gizliliğini birerbir etkileyen birşeydir.
Bu saydığım üç kavramı olumsuz etkileyecek hareketlere "Threat" diyoruz. Ve daha önce de bahsettiğim üzere bu threatler dışarıdan gelen saldırılar olmak zorunda değiller. Sistemde bi kullanıcının yanlışlıkla yaptıgı ters bir işlemin threat olarak sayılabileceği gibi doğal afetler de birer threat tir.
Başlıca Threat’ler
Doğal dizasterler
İnsan yapımı dizasterler
Direkt saldırılar
Direkt olmayan saldırılar
ve tabiiki Kazalar
Threatler güçlerini sistemdeki açıklardan alırlar. Daha terimsel konusmak gerekirse bu açıklara vulnerabilities dememiz gerekir. Bu güvenlik açıkları bir çok sebepten dolayı ortaya çıkabilir. Sistemin tasarımındaki veya kurulumundaki zayıflıklar bu açıklara neden olan en buyuk etkenlerdir. Sisteminizde açıklarınız olduğu sürece de saldırılara maruz kalacaksınızdır. Aslında daha doğru bir cümle kurmak gerekir bu konumda çünkü sisteminizde açıklarınız olmasa bile daima saldırılara maruz kalacaksınızdır. Yukarıdaki Threat türlerinde bahsettiğim üzere saldırı denilince illa sistemimize saldıran bir hacker aklınıza gelmesin. Direkt olmayan saldırılar dediğimiz saldırılar da mevcut. En basitinden şirketinizdeki bilgisayarlara virüs bulaşması. Bunlar hedeflenmiş saldırılar değildir. Ancak saldırı olarak nitelendirilir. Çünkü virüs girmişse sisteme bu sistemin açığından kaynaklanan bir sorundur. Sistemin açığını kullanarak sisteme zarar veren herşeyi saldırı olarak nitelendirmemiz çok da yanlış olmaz. Hazır saldırıdan bahsetmişken birde saldırı türlerine değinmek isterim. Saldırılar temel olarak 3 ana kategoride toplanırlar. Intrusion dediğimiz sisteme izinsiz giriş (sisteme tecavüz). Destruction dediğimiz sisteme zarar gerek maddi gerek manevi zarar verme. Ve son olarak Theft dediğimiz hırsızlıktır. Hırsızlık dediğimizde aklınıza sadece bilgi hırsızlığı gelmesin şirketinize birinin girip önemli bir cihazınızı fiziksel olarak çalıp götürmesi de Theft kategorisi altına giren saldırı metodudur.
Bu saldırılar şirketinize dışarıdan yapılabileceği gibi içeriden de yapılabilir. O yuzden saldırı dediğimizde sadece şirket dışındaki kişilerden gelen tehditleri algılamayalım. Bu hiç küçümsenecek bir konu değildir. Dünya istatistiklerine baktığımız zaman şirketlerin maruz kaldığı saldırılara %80 oranın da içeriden olan kişilerin sebep olduğu ya da onlar tarafından gerçekleştirildiği ortaya çıkmıştır. O yüzden deniliyor ya "Eğitim Şart" güvenlik zincirinin en zayıf halkası "İNSAN" dır. Kim ne derse desin. Eğer şirket çalışanlarını yeteri kadar eğitemediyseniz ellerinde tuttukları kullanıcı adları ve şifrelerin baskaları tarafından bilinmesinin ne gibi sonuclara sebep olacagı konusunda yeteri kadar bilgi sahibi olamazlar ve bu insanlar şifrelerini sağa sola kağıtlara not alırlar arkadaslarına söylerler ve büyük bir risk oluştururlar. Ya da aynı şifreyi unutmayayım diye kendi kişisel bilgisayarına kaydetmiştir ve birisi o bilgisayara izinsiz giriş yapıp şans eseri o şifreyi gormus olabilir ve ertesi gün şirketiniz büyük risk altında olmuş olabilir. Bu konu lastik gibi uzadıkça uzatılabilecek bir konu, örnekleri çoğaltmak mümkün. Ama daha fazla örnek vermeden bir soru sormak istiyorum sizlere, madem öyle bu durumda "Güvenlikten kim sorumludur ?".
Aslında bu soruya çok genel bir cevap olarak "HERKES" cevabı verilebilir. Ancak herkesden önce güvenlikten sorumlu olan Üst Yönetim ve Güvenlik Ekibidir. Yönetim birimi güvenlik için protokolleri ve tasarımları gözden gecirir ve yeni tasarımı güvenlik ekibine ulastırır. Güvenlik ekibi ise bu tasarımları sisteme uygular ve tasarımlara uygun policy leri sisteme uygular.
Ama tabii ki bu uğraşların hiç biri bir sistemi asla %100 güvenli yapamaz. Dünyada %100 güvenli hiç bir sistem yoktur. En büyük sistemlerin bile ufacık açıkları sonlarına mal olabiliyor. Bizim hayatımız bile %100 güvende değil.. Bu yazıyı siz okurken Allah korusun kalp kirizi gecirip ölmeyeceğinizi ya da bir doğal afete kurban gitmeyeceğinizi bilemezsiniz. Aynı şey sistemler için de geçerli milyonlarca olasılık var o yuzden güvenliği %100 yapmak mumkun değildir. Zamanında söylenmiş meşhur bir söz vardır. "En güvenli bilgisayar fişi çekik olandır". Ancak daha sonraları ortaya çıkmış büyük üstad Kevin Mitnick, fişi çekik bilgisayarın da güvenli olmadığını "Ben şirkette çalışan birinigidip o bilgisayarın fişini takması için ikna edebilirim" sözleriyle kanıtlamıştır. Bu olay sadece sözde kalmamıştır zamanında Mitnick bu şekilde çok fazla sisteme giriş yapmıştır. Burda olay bambaşka bir konuya Sosyal Muhendislik konusuna giriyor o yuzden fazla uzatmıyorum. Sonuc olarak hiç bir bilgisayar %100 güvende değildir. Ama bizim amacımız bu güvenlilik oranını %99 lar civarında tutmaya çalışmak.
Bu olayı yaparken aklımızda bulundurmamız gereken bir diğer nokta da , bir sistem ne kadar kompleks karmaşık olursa onu güvenli hale getirmemiz o kadar zorlaşır. Ve malesef bir sistemden bahsederken birşeyden kazanırken daima birşeylerden kaybederiz. Güvenlik arttıkça sistem kullanıcı dostu olmaktan çıkar. Buna User Friendlyness diyoruz. Bir sistem ne kadar User Friendly olursa o kadar zayıf oluyor ve ne kadar güvenli olursa sistemi kullanmak o kadar zor oluyor.
Unutmamamız gerekir ki güvenlik bir süreçtir. Bir işlevler zinciridir. Bir ürün ya da elle tutulur bir malzeme değildir. Bu işlevleri gerceklestirmek ve surekliliğini sağlamak da çok önemlidir. Bütün kullanıcı hareketlerini kontrol altında tutmak, izinli girişlerin ve izinsiz girişlerin kayıtlarını tutmak ve daima kontrol etmek çok önemlidir. Güvenlik süreci CIA dediğimiz 3 temel bazdan olusan bir zincirdir. Yukarıda bu üçünden aslında bahsetmiştim ancak türkçelerini yazmıştım. CIA , Confidentiality – Integrity – Availablity kelimelerinin baş harflerinden oluşur. Bu üç unsur birbirlerine baglıdır. Kafamızda bir üçgen canlandıralım. Güvenlik üçgeni. Üçgenin her bir köşesinde sırasıyla C , I ve A harflerini gözümüzün önüne getirelim. Dolayısı ile her bir harf diğer 2 harfle doğrudan baglantılıdır. Birindeki aksama diğerlerini çok rahat bir şekilde etkiler.
Bütün bu işlemlerin tabanında yatan bir diğer kavram ise Accountability dir. Bu kelimenin anlamına sözlükten bakarsanız "Sorumluluk" oldugunu göreceksiniz. Ancak bilişim camiasında bu kelimenin tam türkçesi "izlenilebilirlik"tir. Sisteminiz izlenilebilir değilse sistemdeki hareketleri işlemleri kontrol etmeniz mumkun olmayacaktır. O yuzden önce sistemimizin Accountability’sini sağlayıp ondan sonra CIA hakkında konusmalıyız.
İzlenilebilirlik temel olarak 5 adımda sağlanır, bunlar :
1-)Identification (Teşhis) : Bu adımda sisteme giren kişiyi teşhis ederiz. Bu en basit olarak "Kullanıcı Adı" ile sağlarız. Sistemdeki her kullanıcının bir kullanıcı adı yada no su olması gereklidir.
2-)Authentication ( Doğrulama) : Bu adım sisteme giriş yapmaya çalışan kullanıcının, sisteme o kişinin gercekten kendisi oldugunu kanıtladığı adımdır. Bu adımda giriş yapmaya çalışan kullanıcı sisteme "şifre" sini iletir. Şifre ile kullanıcı adı birbiri ile uyuşuyorsa doğrulanmış olur.
3-)Authorization (Yetkilendirme): Kullanıcı sistem tarafından doğrulandıktan sonra bu adımda o kullanıcının sahip oldugu yetkiler kendisine sistem tarafından tahsis edilir. Bu esnada bu yetkiler sistem tarafından ACL denilen Access Control List (Erişim Kontrol Listesi) ‘lerden temin edilir ve kullanıcıya verilir.
4-)Auditing ( Denetim ) : Bütün aktivitelerin hareketlerin izlendiği safhadır.Hangi kullanıcı hangi işlemi yapmış. Nereye girmiş neyi silmiş hani ayarı değiştirmiş bunların denetlenip kayıt altına alındıgı safhadır.
5-)Accountability ( izlenilebilirlik ) : Evet yanlış okumadınız izlenilebilirlik. İzlenilebilirlik temasının son elemanı yine izlenilebilirliğin kendisidir. Yani bu safhada ilk 4 safhada elde edilen bilgiler bir araya getirilmiş ve yorumlanmış olur. ve İzlenilebilirliğin kendisi ortaya çıkmış olur.
Bu şekilde sağlanmış olan bir güvenlik uygulaması , sadece musade edilen kişilerin sisteme giriş yaptıgından emin olmamıza ve giren kişilerin sistemde neler yaptıgından haberdar olmamıza yarar.
Sanırım güvenliğin ne oldugundan kabaca bu kadar bahsetmek yeterlidir. Güvenlik konusunda daha detaylı bilgilerle baska belgelerle tekrar karşınızda olmak dileğiyle.
Not : Bu yazımı Doğu Akdeniz Universitesi’nde kendisinden Information Systems Security dersi aldığım Cem Yağlı hocama ithaf etmek istiyorum.
Saygılarla
belgesi-2370
