BİLGİ GÜVENLİĞİ SEKTÖRÜNDE NEBULA FARKI KALİTE VE EHLİYET SANAL SİSTEMLERDE YEDEKLEME VE REPLİKASYON UNDERGROUND SIEM ÇÖZÜMÜNÜZÜ DEĞİŞTİRMENİN ZAMANI

Transkript

1 2012 BİLGİ GÜVENLİĞİ SEKTÖRÜNDE NEBULA FARKI KALİTE VE EHLİYET SANAL SİSTEMLERDE YEDEKLEME VE REPLİKASYON UNDERGROUND SIEM ÇÖZÜMÜNÜZÜ DEĞİŞTİRMENİN ZAMANI GELDİ Mİ? TOKENIZATION NEDİR? Ağustos 2012 beyazşapka 1

2 Seminerlerimizden Kareler 2 beyazşapka Ağustos 2012

3 Değerli abonemiz, İçindekiler 04 >> Bilgi güvenliği Sektöründe Nebula Farkı Serkan Akcan Öncelikle Beyaz Şapka ya gösterdiğiniz ilgi için teşekkür ederiz Yılının Şubat ayında yayına başlayan Beyaz Şapka 13 sayı yayınlanmış ve adetin üzerinde dergi Türkiye nin dörtbir köşesine ücretsiz dağıtılmıştı. Dolu dolu kırk sayfaya ulaşan Beyaz Şapka birçok sponsorun desteğiyle yaşamını sürdürmüştü. Hem projenin hayalimizden daha çok büyümesi hem de sponsorluklarda yaşadığımız zorluklar nedeniyle Beyaz Şapka dergisini 2009 Şubat sayısıyla sona erdirmiştik. 06 >> Kalite ve Ehliyet Erkan Şen 08 >> Veeam: Sanal Sistem Yedekleme ve Replikasyon Çözümü Tarkan Çiçek 10 >> Underground İrfan Kotman 12 >> SIEM (Güvenlik, olay ve log yönetimi) çözümünüzü değiştirme zamanı geldi mi? Birant Akarslan 16 >> Avecto Yetki / Ayrıcalık Yönetim Sistemi Erkan Şen 18 >> Platform bağımsız veri şifrelemeye yeni bir bakış Tokenization Mehmet Gülyurt Beyaz Şapka nın sektörde bıraktığı büyük itibar; her toplantımızda, her seminerimizde ve katıldığımız her konferansta sektör çalışanlarının Beyaz Şapka nın tekrar çıkmasını istediklerini bildirmesi nedenleriyle Beyaz Şapka ya Mayıs 2012 sayısı ile tekrar hayat verdik. İlk sayımızın dağıtımının ardından yine onlarca teşekkür mesajı ve telefonu aldık. İlginize tekrar tekrar teşekkür ederiz. Yenilenen Beyaz Şapka daki küçük değişiklikleri tekrar sizlere hatırlatmak istiyoruz. Beyaz Şapka hazırlayanları ve okuyucuları yormamak için artık kırk sayfa çıkmayacak ve sayfaları sektörün tamamına açık olmayacak. Öngördüğümüz sayfa sayısı arası. Bu sayfalar Nebula Bilişimin kendisine, Beyaz Şapka ya destek veren iş ortaklarına ve Nebula Bilişim müşterilerine açık olacak. Yayınlamak istediğiniz makaleleriniz için lütfen bizimle temasa geçin. Ayrıca sektörde önemli gördüğümüz konuları uzmanların kaleminden aktarmaya da devam edeceğiz. Beyaz Şapka artık sadece Nebula Bilişim CRM sistemine kayıt edilmiş ve Beyaz Şapka abonesi olarak işaretlenmiş kişilere otomatik olarak gönderilecek. Nebula ile bir ilişkisi olmayanlar için Beyaz Şapka nın PDF sürümünü web sitemizden ve mobil sistemlerden dağıtmak üzere çalışmalarımızı sürdürüyoruz. Çalışmalarımız tamamlandığında Nebula Bilişim in kurumsal web sitesinden duyurusunu yapacağız. Beyaz Şapka nın kendine ait bir web sitesi de bulunmayacak. Nebula Bilişim kurumsal web sitesinin içinde bir bölüm olarak yayın yapılacak. Beyaz Şapka nın PDF sürümü ve çeşitli video sunumları bu sayfalardan izlenebilecek. Mevcut videoları hemen şimdi izleyebilirsiniz: Beyaz Şapka Nebula Bilişim tarafından üç ayda bir yayınlanır ve Nebula Bilişim müşterilerine ücretsiz dağıtılan bir broşürdür. Beyaz Şapka Nebula Bilişim in tescilli markasıdır ve her hakkı saklıdır. Tekrar yayına başlamamımızın ardından aynı heyecanı abonelerimiz ve yazarlarımızda görmek bizlere mutluluk verdi. Umarız ki Beyaz Şapka yeni dönemde beklentilerinize cevap verir. Lütfen Beyaz Şapka ya katkıda bulunmak ve fikirlerinizi iletmek için bize yazın. Güvenli Günler! Beyaz Şapka Ekibi Ağustos 2012 beyazşapka 3

4 Serkan AKCAN Bilgi güvenliği sektöründe Nebula farkı Nebula markası bilgi güvenliği sektöründe en iyi bilinen ve güvenilen markaların başında geliyor. Bizi bu noktaya getiren gizli olmayan formülümüzü merak mı ediyorsunuz? 2005 yılının Ocak ayında kurulan Nebula Bilişim şüphesiz bilgi güvenliği sektörünün en önemli oyuncularından biri. Hatta birçok anlamda lokomotifi. Yedi yılı aşkındır vermiş olduğumuz destek sözleşmesi hizmetlerden mutlu olmayan bir müşteri ile karşılaşmadım. Hatta Nebula ile hiç çalışmamış kişilerin bile sektörden öğrendikleri kadarıyla Nebula ya güven duyduğunu defalarca gözlemledim. Bir şirketin sahip olmak isteyeceği itibarın en güçlüsünü her gün Nebula da defalarca yaşıyoruz. Bu yıl McAfee Solution Partner of the Year Emerging Market ödülünü 2010 yılından sonra ikinci kez alarak itibarımızı daha da güçlendirdik. Bu ödül Emerging Market adı verilen ve gelişen pazarlarda yer alan 90 ülkeyi barındıran bir coğrafyada sadece tek bir şirkete veriliyor. Diğer yandan destek sözleşmeli müşterilerimiz çerçevesinde yaptığımız müşteri memnuniyeti anketimizde aldığımız sonuç %100 memnuniyet. Tüm bunlar için Nebula ailesine ve müşterilerimize teşekkür ederim. Bu başarının ve yüksek müşteri memnuniyetinin kaynağı süper zeki olmamız veya üstün yeteneklere sahip olmamız değil. Başarının kaynağı kurmuş olduğumuz sistem. Bu sistemi 4 adımda kısaca anlatmaya çalışacağım. 1. Bilgi Güvenliği Sorumluluğu Bilgi güvenliği diğer pazarlara benzemez. Bilgi güvenliği ticareti sadece bir grup malı satmak değildir. Bilgi güvenliği alanında çalışanlar kendi şirketlerinin, müşterilerinin, çalışanlarının, çevrenin, stok ambarının, bilgi işlem odasının, cep telefonlarının ve saymakla bitmeyecek kadar çok alanın güvenliğini düşünmek zorundalar. Bu sorumluluk bilgi güvenliği sektörünü klasik bir mal ticaretinden çıkartıyor. Çalıştığımız bu özel sektör bize bazı sorumluluklar da yüklüyor. Müşterimiz olsun veya olmasın bizi arayan, eposta gönderen, ihtiyacı olan veya olmayan herkese bilgi güvenliği konusunda yardımcı olmaya çalışıyoruz. Şu an okumakta olduğunuz Beyaz Şapka projesi, web sitemizde bulunan hack videoları ve sokak röportajları bütün bu iletişim sürecinin bir parçası. Ulaşabildiğimiz herkese bilgi güvenliği konusunda verebildiğimiz kadar çok bilgi vermeye çalışıyoruz. Tüm bu emek ve masrafın tek amacı bilgi güvenliği bilincini arttırmak. Bu çalışmalar Nebula olarak duyduğumuz bilgi güvenliği sorumluluğunun meyveleridir. 2. Kurumsallaşma Kurumsallaşmamış bir şirketin başarıya ulaşamayacağını biliyoruz. Şirketimizi kurumsallaştırabilmek adına birçok faaliyet yürütüyoruz. ISO 9001 Kalite Yönetim Sistemi ve ISO Bilgi Güvenliği Yönetim Sistemi belgeleri kurumsallaşma adına attığımız önemli adımlar. Bu belgeler her personelimize kurumsal kültürü aşılıyor ve oturmuş 4 beyazşapka Ağustos 2012

5 kurallar çerçevesinde hizmet sürekliliği yaratmamıza olanak sağlıyor. ISO 9001 Kalite Yönetim Sistemi gereği yarattığımız kalite el kitabının beş maddesi şöyle: Her şeyden önce Bilgi Güvenliği Doğru, gelişmiş ve güvenilir teknolojileri müşterilerimiz adına sürekli araştırmak ve uygulamak Koşulsuz müşteri memnuniyeti Müşterilerimize kolay erişebilecekleri hizmetleri geliştirmek Müşterilerimizin en hızlı çalışan iş ortağı olmak Bilgi güvenliğini kendimiz veya müşterilerimiz için doğru biçimde ve zamanında sağlayamazsak verdiğimiz hizmeti istediğimiz kalitede sunamamış olarak kabul ediyoruz. Bu felsefeye paralel olarak da ISO Bilgi Güvenliği Yönetim Sistemi belgesini şirketimize kazandırdık. Kendi iş süreçlerimiz ISO denetimi altında. Standartların yanısıra kullandığımız Nebula Yardım Masası ve nebulacrm yazılımları tüm iş süreçlerimizi elektronik ortamda tutarak bilgi güvenliği hizmetlerimizi kayıt altında tutuyoruz. Kurumsal bir süreci doğru biçimde yürütebilmek için yaptığı işin tüm detaylarını çok iyi bilen, sorumluluk sahibi ve işini severek yapan bir ekibe ihtiyaç var. Bütün müşterilerimiz onaylayacaktır ki kurduğumuz ekip yüksek sorumluluk duygusuna sahip ve bilgi güvenliği konusuna çok iyi derecede hakim. Yıllardır aynı ürünlere destek veriyor olmak şirketimize 100 den fazla ürün sertifikası kazandırdı. Buna paralel olarak Certified Ethical Hacker ve ISO Lead Auditor gibi sertifikalara sahip olan Nebula ekibi bilgi güvenliği konusuna teknik olarak son derece hakim olduğu gibi yönetimsel konularda da müşterilerimize kılavuz olabilecek düzeyde birikime sahip. 3. Ürün Portföyü Teknik hizmet başarımızın kaynağı iyi bir ürün portföyü ile çalışmak. Satışını yapıp desteğini vereceğimiz ürünleri çok detaylı testler yaparak belirliyoruz. Yurtdışında yapılmış testleri göz önünde bulundurarak ancak onları baz almadan, Türkiye şartlarında ürünleri testlere tabi tutuyoruz. Ürünlerin performansı, dayanıklılığı, Türkiye desteği ve bağımsız test raporları gibi birçok kriteri göz önünde bulundurarak ürünü seçiyoruz. Bazı alanlarda mümkün olmasa da genel olarak her alanda tek bir ürün seçiyoruz. Bu ürünler üzerinde yaptığımız teknik çalışmaların ardından öncelikle ürünün kullanıcısı oluyoruz. Bugün itibarı ile şirketimizde NIPS, HIPS, Vulnerability Manager, Firewall (birkaç çeşit), Database Security, Integrity Control, Web Application Security, Certificate Based Authentication (CBA), SSLVPN, SIEM gibi onlarca ürün aktif olarak çalışıyor. Yine bugün itibarı ile birkaç ürünü satışa çıkarmadan önceki testlerimizi yapmak amacıyla şirketimizde çalışır halde tutuyoruz. Ürünleri önce ve sürekli olarak kendimiz de kullandığımız için teknik ekibimizin ürün üzerindeki bilgi ve tecrübesi kıyaslanmayacak kadar yüksek oluyor. Ürün ve teknolojilerin tüm detaylarına hakim olmayı istediğimizden kaynaklı ticari riski göze alarak destek vermediğimiz ürünlerin satışını da yapmıyoruz. Bu taleple gelen müşterilerimizi satın almak istedikleri ürünlerin yetkili satıcılarına yönlendiriyoruz. 4. Gelişmiş Sürekli Destek Biz sadece sorun çıktığında çözmek üzerine kurulan bir destek hizmeti vermek istemiyoruz. Destek sürecimizin tamamı önleyici hizmetleri kapsıyor. Önleyici olabilmek için periyodik kontrol çalışmaları yapmak gerekir. Destek ekibimiz bakım anlaşması sahibi müşterimizde bulunan bilgi güvenliği teknolojilerini müşterinin ihtiyaç duyduğu periyotlarda gözden geçirme çalışmasına tabi tutuyor. Bu çalışmalarda ürünlerin konfigürasyonları ve logları kontrol ediliyor. Güvenlik sistemlerinin ne kadar hafıza ve disk kapasitesi kullandığı, dat veya imza güncellemelerini hangi periyotlarda yaptığı, ürün bir Database kullanıyorsa ek bir bakıma ihtiyaç bulunup bulunmadığı, ürün üzerine yüklenmesi gereken bir yama veya yükseltme paketinin bulunup bulunmadığı bu çalışmalarda ortaya çıkıyor ve müşterimize raporlanıyor. Yama yükleme veya sürüm güncelleme işlemleri ise yine teknik ekibimiz ve müşterimizin personelinin katıldığı bir teknik çalışma grubu tarafından gerçekleştiriliyor. Bu sayede hızla gelişen bilgi güvenliği ürünlerine eklenmiş yeni güvenlik özelliklerini her müşterimize detaylıca anlatma ve sistemlerinde bu özellikleri aktif etme şansı yaratıyoruz. Müşterilerimizin ürünlerinin tamamı güvenilir son sürümde ve ihtiyaç duyabilecekleri tüm teknik özellikler ayarlanmış şekilde çalışıyorlar. Büyük sistemlerde büyük sürüm geçişlerinden önce ön eğitimler ve demo ürünü kurulumları ile müşteri personelinin yeni sürüme geçişini kolaylaştıran çalışmalar yürütüyoruz. Yapılan önleyici çalışmalar sayesinde ürün ve teknolojiler en iyi konfigürasyon ve en iyi performans ile hizmet ediyor. Ayrıca olası arızaları önceden görüp müdahale ederek iş kesintisine sebep olmadan bakımların yapılması sağlanıyor. Bu sebeplerden dolayı müşterilerimizin bize bildirdiği arıza çağrı sayıları oldukça azdır. Birçok problem ortaya çıkmadan önce farkedilip önlendiği için bize bildirilen problemler genelde günlük işler veya disk arızası gibi beklenmeyen donanım problemleri oluyor. Bu kadar iyi tasarlanmış bir destek hizmetine sahip müşterilerimiz de ISO 9001 gereği yaptığımız müşteri memnuniyeti anketimizde %100 müşteri memnuniyeti sonucu üreterek bizleri gururlandırıyor. Son Söz Bilgi güvenliğinin özel bir alan olduğunu anlatmaya çalışmıştım. Bu özel olanda gerçekten özel emekler harcamadan başarılı olmak mümkün değil. Müşterimiz olun veya olmayın, bıkmak usanmak bilmeden yaptığımız çalışmaların detaylarını öğrenmek için bizi arayın ve aldığınız bilgi güvenliği hizmetlerinde benzerlerini talep edin. «Ağustos 2012 beyazşapka 5

6 Erkan Şen Kalite ve Ehliyet Bilgi güvenliği dendiğinde akla ilk olarak donanım ve yazılımlar geliyor. Ama işin doğası gereği ilk ve en önemli bileşenler olan; kalifiye insan gücü ve hizmet kalitesi göz ardı ediliyor. Son dönemde orta ve küçük ölçekli kurumların sistemlerine sızarak verileri şifrelemek ve orijinal verileri güvenli silme uygulamalarına tabii tutarak, şantaj yoluyla para sızdırmak moda haline geldi. Aslında önemsiz gibi gözükse de bu günümüz yaklaşımlarındaki eksiklikleri göstermesi adına oldukça önemli bir konu. Hukuki açıdan bir çok suç öğesini içinde barındıran eylemler Sızma işlemini yapan kötü niyetli kişiler veriyi geri getirme işlemi için açıkça şantaj yöntemleri kullanıyor ve kurumlardan para sızdırmaya çalışıyor. Bu artık o kadar aşikârı bir şekilde yapılıyor ki kötü niyetli kişi daha önce sistemlerine sızdığı ve aynı şantaj yöntemleriyle para sızdırdığı kurumları referans olarak gösterebiliyor. Yine ilginçtir ki bu kurumlar da bir şekilde referans olarak yaşadıkları olayı doğruluyor ve kötü niyetli kişinin söylemlerinde iyi niyetli ve dürüst olduğunu belirtmekte beis görmüyorlar. Burada bilişim suçlarının yanında, şantaj, kişisel verilerin korunması ve mahremiyeti gibi birçok konuda kanun dışı hareket edilmiş oluyor. kaynaklardan gelindiği ya da ne gibi işlemler yapılıp, sisteme zarar verildiğiyle ilgili kayıtlar sunulamıyordu. Dolayısıyla da adli makamlar yapılacak suç duyurusunda ellerindeki bir metin dosyasından başka bir şeye sahip olamıyorlardı. (Aslında her zaman alternatifler vardır. Ama olması gereken işi basitçe çözebilmek.) Bu işin birazda görünen tarafıydı. Çünkü sızma işlemini gerçekleştiren kişi eposta adresini sisteme bırakmıştı ve kendisi ile iletişim kurulabiliyordu. Buradan izlenebilir, yakalanabilir ve belki de zarar verdiği tüm sistemler geri çevirilebilirdi. Daha basit ve kolay bir çözüm Çok basit zaaflar var İşin ilginç yanı bunu yapan kişilerin bu işte ne kadar profesyonel gözükseler de çok basit açıklardan yararlanarak bu işlemleri gerçekleştiriyor olmaları. Yani aslında karşımızda kötü niyetli olarak duran kişiler öyle filmlerde izlediğimiz gibi gecesini gündüzüne katıp, ekranlarında akan 1 ve 0 ları gözleriyle çözüp sistemlere sızan kişiler değiller. Son dönemde bizzat incelediğim iki olayda kötü niyetli kişi yada kişiler sadece güvenlik duvarındaki bir yanlış konfigürasyon ve işletim sistemi üzerinde eksik olan bir güncellemeden faydalanarak, kullanıcı adı ve parola ihtiyacı olmaksızın sisteme sızmış, verileri şifrelemiş ve orijinallerini silmişti. Suç duyurusu ve kolluk kuvvetlerinin müdahalesi Yine bu son iki örnekte de güvenlik duvarı cihazları yanlış ayarlanmış, iletişim trafiği kayıt altına alınmamış veya hiç bir şekilde yedeklenmemişti. Bundan dolayı kolluk kuvvetleri ve adli makamlara ne olayın oluştuğu zaman bilgisi ne de hangi Ancak yukarıda söylediğimiz yöntem günler, haftalar hatta aylar alabilecek bir süreç ve bilişim verilerinden bahsediyorsak saatler bile önem arz ediyor ve sisteminizin tamamen durmasına yol açabiliyor. Bir hastaneyseniz hasta kayıtlarınızın kaybolduğunu ya da bir bankaysanız sisteminizin saatler boyunca çalışamadığını düşünebiliyor musunuz? Bu nedenle daha basit ve etkili bir yol olan kötü sonuç ortaya çıkmadan önlem almak en kolay yol olarak gözüküyor. 6 beyazşapka Ağustos 2012

7 Bu sayıda bilgi güvenliği başlığı altında kalite ve ehliyet konusuna değinmek istememim ana sebebi tam olarak bu aslında. Donanım ve yazılımlar sisteminizi korumaz Bilgi teknolojileri yatırımlarınız daha en başından doğru bir plan çerçevesinde oluşturulmadıysalar ya da doğru şekilde ayarlanmadıysalar, yani işi ehil kişilerle yürütmediyseniz: Donanım ve yazılımlar sisteminizi korumaz! Düşünün! En lüksünden bir ev yaptırmış, içini en güzel eşyalarla döşemiş ve yaptığınız onca masrafın yanında adı bile edilmeyecek olan bir çatı koymamışsınız. Evinizi ilk yağmurda su basması kaçınılmazdır. İşte burada Amerikayı yeniden keşfetmeye gerek yok. Zira bu tarz işlerin bir standardı vardır. Piyasada işinin gerçekten ehli olan bir sürü şirket, danışman, mühendis ve teknisyen var. (Maalesef bunların yanında bu işi çarşıda, pazarda limon satmak gibi algılayanlarda var.) ortaktır. Unumuz, şekerimiz, yağımız var ama helva yapamıyoruz! Yaşanılan örneklere geri dönersek. Her iki örnekte de; Sunucular, İstemciler, İnternet bağlantısı, Güvenlik duvarı, AntiVirus yazılımı, Yedekleme sistemi gibi bileşenler mevcuttu. Ancak her iki sistemde de baz olarak gerekli donanım ve yazılımlar olmasına rağmen düzgün ayarlanmadıkları, düzenli olarak kontrol edilmedikleri ve yeterli testlerden geçirilmedikleri için atıl yatırım gibi kalmışlardı. Aslında bilgi gevenliği bileşenleri basit çözümlerdir. Örneğin aktif ve düzgün ayarlanmış, rutin kontrolleri yapılmış bir yedekleme sistemi bilgi güvenliğinin en önemli ve faydalı bileşenlerinden biridir. Bir güvenlik duvarınızın olması eğer düzgün ayarlanmadıysa güvende olduğunuz anlamına gelmez. Güvenlik duvarlarında kavram basittir. Erişim yetkilerini tanımlarsınız ve gereksiz ya da riskli olan tüm iletişimi kesersiniz. Ayrıca artık yeni güvenlik duvarı teknolojileri bir çok ekstra teknolojiyi de barındırıyor ve bu teknolojiler bir çok açığı kapatmakta faydalı olabiliyor. Ancak yeniden altını çizmek gerekiyor; eğer güvenlik duvarınız doğru şekilde ayarlanmadıysa size sağlayacağı hiçbir katma değer yoktur. En üste yazılmış her yerden > her yere > her servis için gibi bir kuralla güvenliğin sağlanılması düşünülemez. Sisteminizde güncel olmayan bir antivirus yazılımı barındırmanız da pek bir şey ifade etmez. Basit çözüm Bir BT alt yapısında olması gerekenleri saymaya başladığınızda listenin mutlaka bir sonu olmalıdır. Ayrıca liste kurumlara, ihtiyaçlara göre şekillenen esnek bir yapıda kurulmalıdır. Örneğin bir sunucu ve bir kaç istemciden oluşması beklenen bir sistemle yüzlerce sunucu ve binlerce istemciden oluşacak bir sistemin ihtiyaçları ayrı şeyler değildir. Büyük sistemler ile küçük sistemler birbirlerine çok fazla benzerlik gösterir. Hatta küçük sistemler büyük sistemlerin bir tür minyatürüdür de denilebilir. Bu açıdan bir çok ihtiyaç Kaliteli hizmet ve kalifiye insan gücü bir çok sorunu daha oluşmadan ortadan kaldırır Örnekler çoğaltılabilir. Ancak burada anlatmak istediğim hala her alanda olduğu gibi kaliteli hizmet ve kalifiye insan gücünün tüm sektörlerde en önemli bileşen olduğudur. Yaptığınız yatırımların geri dönüşünü görmenin en kolay yöntemi işi ehline teslim etmektir. Ehlinin elinden çıkmış, düzenli olarak denetimlerden ve testlerden geçmiş iş başınızı ağrıtmayacaktır. Güvenli günler. «Ağustos 2012 beyazşapka 7

8 Tarkan Çiçek Veeam: Sanal Sistem Yedekleme ve Replikasyon Çözümü Bilgi güvenliğinde vazgeçilmez aşamalardan biri de bilginin yedeklenmesi ve güvenli bir uzaklıkta kopyasının saklanmasıdır. Dünyanın bugün için en hızlı gelişen sanallaştırılmış ortam veri güvenliği ve yönetimi yazılımı olan Veeam Software yedekleme ve replikasyon işlevlerini bir arada sunuyor. DEDUPLICATION & COMPRESSION (Tekilleştirme ve Sıkıştırma) özellikleri ile disk alan kullanımını en azda, performansını en yüksekte tutmayı, U AIR (Evrensel Uygulama Öğesi Kurtarma) Exchange (tek bir e posta), SQL (tek bir tablo ya da girdi) ve ActiveDirectory de tek bir objeyi dahi geri dönebilmeyi, SUREBACKUP alınan yedeklerin kurtarılabilirliğinin her yedekten sonra test edilebilmesini, Instant VM Recovery (Anında Vm Kurtarma) Bütün bir sanal makinayı dakikalar içinde mevcut yedekten çalıştırmayı, On Demand Sandbox (isteğe bağlı korumalı alan) yedeklenmiş sanal makinayı mevcut ağ da sorun yaratmadan korumalı bir ağ içinde yedeklendiği disk üzerinden ayağa kaldırmayı sağlar. Tekilleştirme ve Sıkıştırma: Temelde yedeklenecek verinin bloklara bölünerek sınıflandırılmasına ve bu sınıflandırma doğrultusunda aynı olan blokların tekrar işlenmesi yerine referans verilerek kullanılması ilkesidir. Tekilleştirme işlemi iki şekilde yapılabilmektedir; 1.) Inline (işlem sırasında): Yedeklenen verinin diske yazılmadan evvel bloklarına ayrılıp benzer blokların yazılmaması şeklinde işlemektedir. Bu şekilde disk kullanımı çok daha az (tekilleştirilmiş alan kadar) olur. Fakat yedekleme sunucusundaki bellek ve işlemci kullanımı üst seviyelerde olmaktadır. Bu nedenle de inline işlem yapan uygulamaların çalışacağı sunucuların çok çekirdekli ve yüksek miktarda belleğe sahip olması gerekir. 2.) Post Processing (sonradan işleme): Yedek verisinin tekilleştirilmeden doğruca diske yazılması ve yedekleme işlemi bittikten sonra işleme tabi tutularak tekilleştirilmesidir. Bu işlem yedeklenen verinin ham halinden daha çok disk alanı kullanımı gerektirdiğinden, disk alanı planlamasının iyi yapılmış olması gerekir. Yedekleme zaman aralığı diske yazma hızına doğrudan etki ettiğinden hızlı diskler kullanılması gerekir. Yedekleme sırasında sunucu belleğini ve işlemcisini fazlaca yormaz. Fakat şart olmamakla beraber post process in hızlı sonuçlanabilmesi için çok çekirdekli işlemci ve yüksek bellek kullanımı gerekir. Veeam sıkıştırma ve inline tekilleştirme teknolojilerini kullanması nedeniyle yedeklenene bilginin disk üzerinde daha az yer tutmasını, yedekleme zaman aralığının daralmasını ve daha ucuz disklerin yedekleme amacıyla kullanılabilmesini sağlar. Veeam tekilleştirme ve sıkıştırma işlemleri sırasında sanal disk üzerindeki kullanılmayan değeri sıfır olan bit li alanları ve Windows swap dosyalarını işlemez. Veeam in tekilleştirme 8 beyazşapka Ağustos 2012

9 özelliği üç farklı modda kullanılabilir. Bunlar kullanılacak disk tipine ve yedekleme sunucusunun gücüne göre kullanıcı tarafından seçilebilir. 1.) Lokal depolama hedefi; SAN veya DAS disk ile kullanılmadı önerilir. Bu tip tekilleştirme 1024KB bloklar baz alınarak yapılır. Büyük bloklar işlendiğinden yedekleme işlemi çok hızlı olmakla beraber tekilleştirme oranı düşük olur ve diske yazılan veri miktarı çok olur. 2.) LAN depolama hedefi; NAS veya iscsi disk kullanımında önerilir. Bu tip tekilleştirme 512KB bloklar baz alınarak yapılır. Daha küçük bloklar işlendiğinden tekilleştirme oranı artarken diske yazılan bilgi miktarı azalır. 3.) WAN depolama hedefi; Uzak ofis yedeklerinin wan üzerinden alınmasının hedeflendiği durumlarda önerilir. Bu tip tekilleştirme 256KB bloklar baz alınarak yapılır. En yüksek tekilleştirme oranı ve en düşük bilgi yazma miktarı bu seçenekle elde edilir. Blok büyüklüğünün düşmesi işlemci kullanımını aynı oranda arttırdığından bu seçenekleri tercih ederken yedekleme/proxy sunucusunun işlemci ve bellek gücü de dikkate alınmalıdır. SureBackup: Normal yedekleme sistemlerinde en problematik ve sıkıntılı işlem olan yedeklerin geri dönülerek sağlamasının yapılması işlemi Veeam yazılımının SureBackup özelliği ile çok basit hale geliyor. Bu özelliği ile Veeam yedeklediği sistemleri yedeklemenin ardından korumalı bir sanal ağ üzerinde ayağa üzerinde çalışan SQL, Exchange ve ActiveDirectory ye ait yedeklerden gerektiğinde komple dosyayı/sistemi dönmek yerine tek bir öğenin (tek bir eposta, tek bir Sql kaydı, tek bir AD objesi, vb) geri dönüşü gerçekleştirilebilir. Bunun yapılabiliyor olması için ilgili VM üzerinde çalışan uygulama versiyonun VSS desteğinin olması ve Vmware tools kurulu olması gerekir. Bu şekilde Veeam Vm yedeğini alırken VSS yazıcıları ile uygulamanın tutarlı bir yedeğini almakta ve gereğinde bu tutarlı yedekten istenilen öğeyi dönebilmektedir. Instant Restore: Yedeklenmiş olan sunucunun orijinal yerine komple dönülmesi yerine yedeklenmiş olduğu alandan çalıştırılması işlemidir. İşlem Veeam sunucunun kendisini kaldırarak sanal makina, işletim sistemi ve uygulamanın çalışmasını kontrol ederek raporlayabilmektedir. Yani istenirse alınan yedeğin her gün test edilerek raporlanması tamamen otomatik olarak Veeam SureBackup özelliği ile gerçekleştirilebilir. U AIR (Evrensel Uygulama Öğesi Kurtarma): Granüler geri dönüş olarak da bilinir. Veeam yazılımında Windows sunucular NFS disk olarak ESX/ESXi sunucuya tanımlaması ve almış olduğu yedeği sanal disk olarak mount etmesi, ardından da power on yapması şeklinde gerçekleşir. Bu sırada depolama ünitesi tamamen devre dışı olsa bile aldığınız yedeği dönmeniz gerekmediğinden sorunsuzca sanal makinanızı (vm) ayağa kaldırıp son yedeklediğiniz yerden işinize devam edebilirsiniz. Sorun giderildikten sonra eğer lisans müsaade ediyorsa sanal makina Storage vmotion kullanılarak hiç kapatılmadan da gerçek depolama ortamına taşınabilir. Replikasyon gelecek sayıda...«ağustos 2012 beyazşapka 9

10 İrfan Kotman Underground Bu sayımızda Erkan Şen in Kalite ve Ehliyet isimli yazısında bahsettiği gibi son dönemlerde küçük ve orta ölçekli kurumların sistemlerini tehdit eden, sistemlere sızılarak verilerin şifrelenmesi ve orijinal dosyaların güvenli silinmesi ile ilgili küçük bir örnek gerçekleştireceğiz. Önemli verileri şifreleme yolu ile firmalardan para sızdırmayı amaçlayan kişiler kısaca aşağıdaki adımları takip ederek amaçlarına ulaşmaktadır. 1. Sızma işlemi yapılacak sistem ile ilgili bilgi toplanması ve sisteme giriş kapılarının belirlenmesi sağlıyoruz. Shell Reverse isteği sonrasında sisteme ulaşmak için çıkan seçeneklerden enable RDP (Module > Windows > Manage > Enable RDP) modülünü seçiyoruz. 2. Tespit edilen sistemler üzerinde açıklık ve sızma testlerinin yapılması 3. Elde edilen açıklıklar üzerinden sisteme sızma işleminin gerçekleştirilmesi 4. Sisteme başarı ile ulaştıktan sonra şifreleme programları kullanılarak verilerin şifrelenmesi 5. Güvenli silme programları ile verilerin geri dönülemez şekilde silinmesi Enable RDP özelliğini kullanarak sunucu üzerinde test isimli ve test şifresini sahip bir kullanıcı oluşturuyoruz. 6. Sistem üzerinde delil oluşturabilecek logların silinmesi 7. Sisteme kendileri için en güvenli şekilde para ulaşmasını sağlayacak bilgilerin bırakılması. Yazımız sırasında yukarıda bulunan 7 adım içerisinden 3,4 ve 5. adımları anlatan küçük bir örnek gerçekleştireceğiniz. Elde Edilen Açıklık Üzerinden Sisteme Uzak Erişim Gerçekleştirilmesi Sızma testimiz sırasında biraz önce bahsettiğimiz ilk iki adım sırasında ( Bilgi edinme ve zafiyet taraması) testleri sırasında Windows 2003 sunucu üzerinde elde ettiğimiz MS Vulnerability in Server Service Could Allow Remote Code Execution açığını kullanacağız. Sızma işlemini için en bilinen exploit yazılımlarından biri ile gerçekleştireceğiz ve sistem üzerinde gerekli hakları kendimize sağlayacağız. Artık sistem elimizde! Test kullanıcımız ile uzak erişim yaparak admin hakları ile bağlanabiliyoruz. Dosyaların Şifrelenmesi Sisteme uzak erişim sağlandıktan sonraki sistem üzerindeki dosyaların şifrelenmesi aşamasına geçiyoruz. Sistem üzerinde belirlenen dosyaların şifrelenmesi için birden fazla yöntem kullanılabilir. Şifreleme için Java, C ++, Visual Basic gibi İlk olarak MS Vulnerability in Server Service Could Allow Remote Code Execution açığını program üzerinden seçiyoruz ve yapabileceklerimiz inceliyoruz. Elimizdeki sızma yöntemleri arasından Shell Reverse TCP kullanılarak sisteme sızma testlerimizi gerçekleştirecek ortamı 10 beyazşapka Ağustos 2012

11 programlar üzerinde hazırlanmış küçük (5 ile 10 satır arası) küçük kodlar kullanılabileceği gibi, ücretli yada ücretsiz şifreleme yazılımları kullanılabilir. Biz şifreleme için, Erkan Bey in yazısında belirttiği vakalardan birinde kullanılan ve internetten ücretsiz indirebilen ve kurulum gerektirmeyen Bu tip vakalarda güvenli silme işlemi sonrasında kötü niyetli kişiler sırası ile sistem loglarının silinmesi, paranın aktarılması ile ilgili notların sisteme bırakılması işlemleri gerçekleştirilmektedir. Eğer bu şekilde bir vaka başınıza geldi ise, elinizde şifrelenmiş dosyaları geri döndürecek bir yedekleme sisteminiz yoksa ve adli makamlara yeterli delilleri sunamıyor iseniz, olayın çözümü siz ile şantajı gerçekleştiren kişi arasındaki iletişime kalmaktadır. Bu tip bir atağın gerçekleşmesinin önüne geçilmesi yaklaşık 300 KB lık küçük bir program kullanacağız. Şifreleme için kullanacağımız program AES 128 bit key tipinde şifreleme gerçekleştirmektedir. Bu kadar basit bir programla yapılan şifreleme hakkında küçük bir bilgi verirsek; programı indirdiğimiz site içerisinde program ile yapılan şifreleme sırasında verilen şifrenin (passphrase) unutulması durumda ne yapılmalı sorusuna şu cevap verilmiştir. Sadece 5 hanenin altında olması durumunda özel programlar sürekli kombinasyonlar deneyerek (brute force) şifrelerin bulunma ihtimalinin küçükte olsa olduğu fakat 5 hanenin üzerinde ise kesinlikle şifrenin kırılamayacağı bilgisi verilmektedir. Programın kullanımı oldukça basittir. Şifreleme için programımızı çalıştırarak ilgili dosyayı seçip, encypt dememiz yeterli olmaktadır. Şifrelenmiş Dosyaların Güvenli Silinmesi Dosyaların şifrelenmiş kopyalarını oluşturduktan sonra, asıllarının geri dönülmesinin engellenmesi için örnek bir güvenli silme uygulaması ile orijinal dosyalarımızı yine ücretsiz bir güvenli silme aracı ile siliyoruz. Sisteminizde bulunan sunucular üzerindeki yamaların düzenli olarak geçilmiş olması ve sunucular üzerinde antivirüs ve atak engelleyici programlarını bulunması ve düzgün olarak ayarlanması, Bir güvenlik duvarınızın bulunması ve üzerinde bulunan kuralların düzgün olarak ayarlanması. Güvenlik duvarı üzerinde gereksiz port ve kuralların bulunmaması ve özellikle her yerden > her yere > her servis için gibi güvenlik duvarını tamamen devre dışı bırakan kuralların kesinlikle yazılmaması, Sistem üzerinde aktif bir yedekleme sisteminin bulunması, yedeklerin düzenli periyotlar ile alınması ve geri dönüş testlerinin düzenli gerçekleştirilmesi, Sistem üzerinde bulunan cihazlarının loğlarının düzgün bir şekilde alınması ve ortak bir noktada toplanmasının sağlanması olarak özetlenebilir. Sizin de gördüğünüz gibi sistemlere sızılması ve para sızdırmak üzere kötü niyetli kişilerin sistemlerinizde zararlı kodlar çalıştırılması sanıldığı kadar zor değil. Unutmayın; Basit önlemler sonradan söylenecek keşkelerin önüne geçer. «Ağustos 2012 beyazşapka 11

12 Birant Akarslan SIEM (Güvenlik, olay ve log yönetimi) çözümünüzü değiştirme zamanı geldi mi? Zamanı geldi mi? Teslim bayrağını çektiniz mi? Mevcut SIEM çözümünüz yaptığınız yüksek miktardaki yatırıma rağmen ihtiyaçlarınızı karşılamakta yetersiz kalıyor mu? Eğer mevcut kullandığınız ürün ya da aldığınız hizmetin işinizi görüp görmediğini sorguluyorsanız yalnız değilsiniz. Büyük ihtimalle SIEM çözümünüzü yönetirken, ölçeklendirirken ve işe yarar sonuçlar elde etmek isterken zorluklarla karşılaştınız. SIEM/Log Yönetimi çözümlerinin yeni uygulama modelleri (Web 2.0 vb.) ve bulut altyapısı ile 12 beyazşapka Ağustos 2012

13 birlikte gerçekleşen ani evrimini düşündüğünüzde merak edilen konulardan biri de ihtiyaçları karşılayacak daha iyi, daha kolay yönetilir ve daha ucuz bir çözüm olup olmadığı. Üretim ortamlarında yaklaşık on yıldan fazla bir süredir faaliyet gösteren SIEM/Log Yönetimi çözümlerinin artık olgunlaştığı düşünülebilir. Vakaların toplanması, ilişkilendirilmesi, alarmların üretilmesi ve denetim kurumlarının uyumluluk kurallarına uygunluğun sağlanması SIEM/Log Yönetimi çözümlerinden beklenen ana unsurlar olup çoğu çözüm bu ihtiyaçları karşılamaktadır. Günümüzde ise görünüm tamamen değişmekte, kurumlar, gelişmiş ve hedefli ataklar ile karşı karşıya kalmakta, mobil cihazlar, bulut ortamları, sanallaştırma gibi farklı eğilimlere uyum sağlamaya çalışmakta ve ticari önceliklerini yeni müşteri elde etme, operasyonel verimlilik ve maliyet tasarrufu etrafında modellemektedirler. Yapılan araştırmalar, karşılaşılan en önemli sorunların aşağıdaki gibi olduğunu ortaya koymuştur: Büyük miktarlardaki güvenlik verileri İçerik ve kullanıcı farkındalığı Dinamik bağlam (context) Çözüm özelleştirme Ticari değer SIEM/Log Yönetimi çözümlerinin, özellikle tehditlerin ortadan kaldırılması, yeni eğilimlerin kısa zamanda uygulanabilir hale gelmesi ve ticari önceliklere uyum sağlanabilmesi için, daha etkin güvenlik ve risk yönetim stratejilerinin oluşturulmalarına yardımcı olabilmeleri gerekmektedir. Bunun sağlanması, ancak yukarıda bahsi geçen başlıkların çözülmesiyle mümkündür. 1. Büyük miktarlardaki güvenlik verileri Büyük miktarlardaki güvenlik verileri, kullanabildiğiniz sürece eşsiz derecede değerli olabilirler. Eski tip SIEM/ Log Yönetimi çözümleri, ne bu kadar geniş sayıdaki uç nokta, ağ, ve veri kaynağı ile entegre olma ne de bu kadar yüksek orandaki olayı işleme ve bu kadar uzun süre saklama amacıyla tasarlanmışlardır. Sonuç olarak, temel manada ağ merkezli olaylar gözönünde bulundurularak tasarlanan ilişkisel veritabanları ve SIEM/Log Yönetimi çözümlerinin benzer kusurları, günümüz ortamlarının ihtiyaçlarını karşılayamamaktadırlar. Özellikle daha etkin ve kullanılabilir olmak amacıyla sürat, genişleyebilme ve ölçeklendirilebilme özelliklerinden yoksundurlar. Çoğu platform, artan sayıdaki kaynaktan veri toplamaya devam etmekle birlikte iki alanda sınıfta kalmaktadırlar. Bunlardan birincisi, ağ ve sunucuların içinde bulunduğu hayal dünyasından çıkamayıp uygulama varlıklarının derinlemesine gözlemlenmesini sağlayamamalarıdır. İkincisi ise çoğu platformun fazladan normalizasyon yapmasıdır. Normalizasyon, ölçeklendirmenin önündeki zorunlu bir engel olduğundan, toplanan veriden faydalı sonuçların elde edilmesi bu yüzden sağlanamamaktadır. Bu, zayıf ilişkilendirme ve anlamlandırma ile biraraya geldiğinde, analiz ve raporlama için kısıtlı değere sahip veriler elde edilmektedir. Örneğin, business analytics konusunda ayrıntılı bilgiye ulaşmak istiyorsanız, bu ticari sistemler için, syslog raporlarında bahsi geçmeyen, uygulama, dosya sistemi ve veritabanı bilgilerini sağlayan yeni ajanlara ihtiyaç duyarsınız. Bahsi geçen verinin formatı, standart dışı olup bir uygulamaya ait olayın ya da SQL sorgusunun önemli kısımları, uygulamanın ne yaptığı ve bunu neden yaptığı, uygulama bağlamında tercüme edilebilmelidir. Tipik bir veri normalizasyonu sonucunda bu olaylar sıradan gözükse bile eğer ki orijinal işlemin içine bakıp mevcut sorguyu analiz edebilen bir SIEM/Log Yönetimi çözümüne sahipseniz sorgunun içindeki kötü niyetli bir SQL injection atağının farkına varabilirsiniz. Büyük miktardaki veri hem daha fazla kaynaktan veri toplama seçeneğini hem de toplanan verinin ticari süreç bağlamında daha verimli biçimde işlenmesi gerekliliğini beraberinde getirmektedir. 2. İçerik ve kullanıcı farkındalığı SIEM/Log Yönetimi çözümleri piyasaya ilk çıktıklarında güvenli ağ geçitleri (firewall) ve atak tespit sistemleri (IDS) üzerinde oluşan olayları ilişkilendiren ve belki sonrasında bazı zaafiyet değerlendirme verilerini de bu olaylara ekleyen basit araçlardı. Bu kaynaklar her ne kadar büyük önem arzetse de uygulama, veri içeriği ve kimlik bilgileriyle zenginleştirilmeleri gerekmektedir. Bu bilgiler olmadan olayları anlamak ve gerekli aksiyonu almak için ihtiyaç duyulan delillere ulaşmak mümkün değildir. Özellikle kimin, Ağustos 2012 beyazşapka 13

14 Birant Akarslan neyi, ne zaman, nasıl ve nerede yaptığını tespit edebilmek ve bu eylemin ne süreyle, başka kimler ve neler tarafından gerçekleştirildiğini bilebilmek için SIEM/Log Yönetimi çözümleri, mevcut altyapıya ek olarak dizüstü bilgisayarlar, akıllı telefonlar, vb. kaynaklardan bilgi alabilmeli, LDAP ürünleri, Active Directory, kimlik yönetim sistemleri ile bütünleşik çalışabilmeli ve durumsal farkındalık için veri kaybı önleme sistemleri (DLP), veritabanı aktivite gözlemleme (Database Activity Monitoring) çözümlerine entegre edilebilmelidirler. Loglar hala günümüzdeki SIEM çözümlerinin temelini oluştursa da günümüzde dinamik bağlam bilgisine ehemmiyetle ihtiyaç duyulmaktadır. Dinamik bağlam bilgisine örnek olarak McAfee nin Küresel İstihbarat sistemi olan McAfee Global Threat Intelligence (McAfee GTI ) ve McAfee Risk Advisor ürünleri verilebilir. McAfee GTI, atak önleme sistemleri, firewall lar, web gateway ler, gateway ler, antivirüs sistemleri, host IPS ler ve üçüncü parti ürünlerden aldığı gerçek zamanlı bilgileri konsolide edip tekrar kurumlarla paylaşmaktadır. Risk Advisor 3. Dinamik Bağlam SIEM/Log Yönetimi çözümlerinin ilk uygulama alanları adından da anlaşılabileceği üzere logların toplanması, depolanması ve birkaç alarm eşliğinde sorgulanmasıydı. çözümü ise kuruma özel gerçekleştirilen ataklar, zaaflar ve uygulanan karşı önlemlere göre kurumun risk seviyesini ölçmektedir. Bu tip teknolojiler ile SIEM çözümlerinin entegrasyonu, en üst seviye önceliklerin belirlenmesi, 14 beyazşapka Ağustos 2012

15 önlemlerin bu sırada alınması ve operasyonel maliyetlerin düşürülmesi açısından büyük önem arzetmektedir. Böylece hem içerideki hem dışarıdaki tehditlerin davranış biçimi anlaşılacak, olayların tanımlanma ve cevap verilme süreleri en aza indirgenecektir. 4. Çözüm Özelleştirme İlk nesil SIEM/Log Yönetimi çözümleri sabit mimarilere sahip olup temel bir kaç özellikten yoksunlardı. Örneğin kurumda halihazırda mevcut olan verinin desteklenmeyen cihazlarla entegrasyonu mümkün değildi. Diğer yandan yeni nesil SIEM çözümleri, bu ihtiyacı karşılayabilmek için aynı oyun hamuru niteliğinde olup istenen ortama uyum sağlamak amacıyla çeşitli şekillerde kullanılabilmektedir. Bu yüzden yeni nesil SIEM çözümleri, kurumlar için stratejik önem arzetmektedir. Ortamda bulunabilecek SCADA sistemleri, endüstriyel kontrol sistemleri (industrial control systems ICS) ve ATM, POS, kiosk, vb. sabit işleve sahip cihazlarla özel entegrasyonların sağlanması, bu ortamların kurumsal BT altyapısıyla bütünleşik halde gözlemlenebilmesine, gerekli ilişkilendirmelerin yapılıp anormalliklerin kolayca tespitine olanak sağlamaktadır. Yenil nesil SIEM çözümleriyle sistem yöneticileri, özelleştirilmiş vaka toplanmasının yanısıra kolayca ihtiyaçlarına özel arayüzler, raporlar, ilişkilendirme kuralları ve alarmlar tanımlayabilirler. 5. Ticari Değer SIEM çözümleri, bir çok stratejik güvenlik inisiyatifinin herhangi bir bileşeni olmasına rağmen yine de büyük önem arzetmektedir. Oldukça fazla sayıdaki güvenlik ve uyumluluk çözümünün sisteme getirdiği maliyet ve entegre olmayan mimari, karmaşıklığı daha da arttırmaktadır. İşte bu yüzden de kurumlardaki BT güvenliği ile ilgili kararlar, stratejik ve ticari önceliklerle uyumlu olmak yerine daha taktiksel bir hal almıştır. Oysa ki BT güvenliği ile ilgili çağrı sayısının azaltılması, tüm genel müdürlük ve şube çalışanlarının takibinin daha az çalışan ile sağlanması, buradaki atıl gücün daha stratejik noktalarda yeniden istihdam edilmesi ve bütünleşik güvenlik yaklaşımının veri merkezi konsolidasyonu, yeni müşterilerin kazanılması, mobil çözüm desteği gibi alanları desteklemesi ancak yeni nesil SIEM çözümleriyle mümkündür. Harekete Geçin - Mevcut SIEM/Log Yönetimi çözümünüz veya manuel bilgi yönetimi süreçleriniz, güvenlik ekibinizin verilen işleri tesliminde ne kadar gecikmeye yol açıyor? - Kurumunuzda BT Güvenliğinin görünürlüğü ile ilgili sorumlu kişiler kimler? Bu kişiler ihtiyaçları olduğu esnada gerekli veriye hemen ulaşabiliyorlar mı? - Kurumunuz dahili ve harici tehditleri tanımlamak için gerekli görünürlüğe sahip mi? - Bir tehdide karşı önlem alma ve cevap verme sürenizi geciktiren üç ana unsur nedir? - Güvenlik verilerinizin toplanması, depolanması ve analizinin önündeki temel engeller nelerdir? Bu sorulara cevap bulabilmek için McAfee nin SIEM çözümlerini muhakkak incelemenizi tavsiye ediyoruz. McAfee nin SIEM çözümleri, genel McAfee güvenlik çerçevesinin bir parçası olup çoğul ürün, hizmet ve üçüncü parti ürünle entegre biçimde çalışmakta; merkezi, verimli ve etkin risk kontrolü sağlamaktadır. McAfee nin bu yaklaşımı sayesinde kurumlar tüm boyut ve segmentlerde güvenlik durumlarını iyileştirmekte, maliyet verimliliği sağlamakta ve güvenlik stratejilerini ticari inisiyatifleriyle eşleştirebilmektedirler. McAfee nin SIEM çözümleriyle ilgili daha fazla bilgi için adresini ziyaret edebilir, bizimle bağlantıya geçebilirsiniz. «Saygılarımla, Birant Akarslan birantakarslan@gmail.com birant_akarslan@mcafee.com Twitter: Facebook: Ağustos 2012 beyazşapka 15

16 Erkan Şen Avecto Yetki/Ayrıcalık Yönetim Sistemi Gereksiz yönetici hakları ve mutlaka yönetici hakkıyla çalışması gereken uygulamalar BT çalışanlarının en büyük problemidir. Bunlar aynı zamanda bilgi güvenliğinde büyük boşluklar oluşturmasının yanında standart denetimlerinde de uyumsuzluk olarak tespit edilmektedir. Windows işletim sistemlerinde bazı uygulamaların yönetici hakkı olmadan düzgün çalışmadığı durumları mutlaka yaşamışsınızdır. Yöneticilerin ve yazılımcıların da kısıtlamalardan hoşlanmadıkları bir gerçek. Ancak birkaç basit uygulama ya da istek için tüm sistemin tam yönetici ayrıcalıklarına sahip kullanıcılarla kullanılması da çok büyük bir güvenlik riski oluşturuyor. Sorun: Ya hepsi ya hiç biri Büyük yapılarda kullanıcıların kendi kullandıkları istemci sistemleri üzerindeki haklarının yönetimi çok zahmetli bir iş olabilir. Her kullanıcıya ayrı haklar tanımlamak gerekebilir. Yönetici hakkı olmayan kullanıcılar kendi sistemlerine basit bir sıkıştırma yazılımı ya da bir yazıcı sürücüsü yüklemek için dahi yönetici haklarına gereksinim duyabilir. Eskiden böyle durumlarda iki yöntem uygulanırdı: bırakılırdı ya da hiç bir yetki verilmez ve en ufak bir iş için dahi BT veya yardım masası çalışanların müdahalesi beklenirdi. Avecto Privilege Guard İşte tam bu noktada BT yöneticileri ve yardım masası çalışanlarının yardımına yeni bir teknoloji yetişiyor: Avecto Priviledge Guard. Standart kullanıcılara detaylı hak tanımları Avecto Privilege Guard ile standart kullanıcı haklarıyla çalışırken; belirlediğiniz işletim sistemi ayarlarının değiştirilmesini, donanım ekleme çıkartma işlemlerinin yapılmasını, sizin belirlediğiniz yerlerden ya da belirlediğiniz uygulama listelerinden basit yazılımların kurulmasını sağlayabilirsiniz. Hem de yönetici hakkı tanımlarına gerek duymadan. Kullanıcılara yerel yönetici hakkı tanımla ki böylece yararlı ya da zararlı her şeyi yapabilsinler. Kullanıcıları standart kullanıcılar olarak tanımla ki böylece en ufak, basit şey için dahi yardım masasını arasınlar. Yani kullanıcılara ya tüm yetkiler verilir ve sistemler risk altında Yönetici ayrıcalıklarının kaldırılması Avecto Privilege Guard ile standart kullanıcılara detaylı ayrıcalık tanımları yapabileceğiniz gibi yöneticilerin elinde bulunan bazı hakları da kaldırabilirsiniz. Örneğin yönetici ayrıcalıklarına sahip bir kullanıcının, sistemde tam yetkili olmasına rağmen, donanımda değişiklikler yapmasını engelleyebilir ya da sistem günlükleri üzerinde işlem yapmasını engelleyebilirsiniz. 16 beyazşapka Ağustos 2012

17 Merkezi yönetim ve raporlama imkanı Ayrıca Avecto Privilege Guard ile bu tanımların tamamını merkezi olarak yönetebilir, kayıt altına alabilir ve raporlayabilirsiniz. Avecto Priviledge Guard, McAfee epo ile entegre bir şekilde çalışabilmekte, ajan yazılımları epo kullanılarak dağıtılabilmekte ve epo raporlama özelliklerinden faydalanabilmektedir. Privilege Guard özellikleri Avecto Privilege Guard, Merkezi hak/ayrıcalık yönetimi Politikaların dijital imzalı olarak dağıtılması Yetki arttırımı ya da azaltımını uygulama bazlı olarak tanımlayabilme Uygulama kontrolü teknolojisi sayesinde uygulama beyaz listeleri oluşturma Birçok uygulama alt yapısı desteği; Çalıştırılabilir dosyalar (.exe v.b.) Denetim Masası bileşenleri (Görüntü, Saat, Dil özellikleri v.b.) MMC ve alt bileşenleri Windows yükleme dosyaları (.msi v.b.) Güvenli dosya sahibi tanımlarına göre Ürün ve dosya özelliklerine göre Çalıştıran uygulamaya göre Uygulamalarda detaylı tanımlar Kullanıcı, gurup, bilgisayar ve zamana göre kurallar tanımlayabilme imkanı Opsiyonel işletim sistemi entegrasyonu ile uygulamaların istendiğinde yetki arttırımı yapabilmesi Kullanıcıya gösterilecek mesajların dillerini özelleştirilme Detaylı yetki tanımları yapabilme imkanı Uygulamaları izleme ve raporlama imkanı gibi çok geniş özellikleri bünyesinde barındırır. Geniş işletim sistemi desteği Avecto Privilege Guard uygulaması sadece yeni işletim sistemlerinde değil neredeyse tüm Windows işletim sistemlerinde çalışabilir. Desteklediği işletim sistemleri arasında (32 bit ve 64 bit): Windows XP Windows Vista Windows 7 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 bulunur. Windows Kullanıcı Erişim Kontrolünden (UAC) farkı Windows un kendi içinde bulunan kullanıcı erişim kontrolü (UAC) uygulaması kurumsal işletmelerde; eski işletim sistemlerinde bulunmaması, merkezi yönetim ve raporlama özelliğinin olmayışı, son kullanıcı mesajlarının özelleştirilememesi, detaylı yetki tanımı yapılamaması ve en önemlisi yetki arttırımlarında mutlaka yönetici parolası gerektirmesiyle yeterli bir çözüm olmaktan uzak kalmaktadır. Komut dosyaları Kayıt defteri ayarları PowerShell dosyaları ActiveX kontrolleri gibi kontroller Hazır Windows ve ActiveX uygulama şablonları İstemci koruması Esnek ve güvenli uygulama kuralları Dosya yoluna göre Komut satırı eşlemesi ile Dosya bütünlük değeri ile (SHA 1) Güvenli dağıtıcı tanımları ile Windows yetki yönetiminde en kolay, en hızlı ve en başarılı çözüm Yukarıda saydığımız birçok özelliği ile Avecto Privilege Guard ürünü Windows işletim sistemlerinde detaylı kullanıcı hakları tanımı yapmak, sistemlerdeki yönetici ayrıcalıkları kaldırmak, sistemlerinin güvenliğini arttırmak ve standartlara uyumda bir adım öne geçmek isteyen işletmeler için en iyi çözüm gibi gözüküyor. Ayrıntılı bilgiler için bizimle iletişime geçebilirsiniz. «Ağustos 2012 beyazşapka 17

18 Mehmet Gülyurt Platform bağımsız veri şifrelemeye yeni bir bakış Tokenization Bilgi güvenliği yolculuğunda farklı tipte verilerin korumasını sağlayıp aynı zamanda uyumluluk kapsamınızı daraltarak maliyet ve yönetim yükünüzü azaltmanız mümkün. Kurumlar karmaşık bilgi tipleri ve yapıları önem kazandıkça şifreleme ve bu bilgilerin güvenliğini arttıracak çözümler arayışına girmektedir. Bilgilerin yer aldığı platformlar bağımsızlaştıkça ve bilgi tipleri değiştikçe ihtiyaç duyulan güvenlik önlemleri karmaşıklaşmaktadır. Örneğin şifrelenerek korunan bilgilerde git gide zorlaşan en büyük unsur, verilerin platform bağımlı bir şekilde şifrelenmesi ve şifrelenirken kullanılan anahtarların yönetimdir. Tokenization bilginin korunmasında alternatif bir çözüm sunmaktadır. Tokenization temel olarak kritik bilgilerinizi saklamış olduğunuz sistemde yer alan bilgilerin yerine vekil olarak atanmış bilgiler ile yer değiştirmesi mantığına dayanır. Tokenization düzgün bir şekilde uygulandığında ödeme bilgilerin güvenliğini sağlamaya, risk ve maliyetleri azaltmada yardımcı olmaktadır. Tokenization da kritik bilginin yerini (Örn: Kredi Kartı Numarası, hesap numarası vs.) alan token tekil ve rastgele bir değer olup, kurallara uygun bir şekilde atanan token değerinden yola çıkarak orjinal veriye erişim mümkün değildir. Tokenization uygulanan yani sembolleştirilmiş rastgele bilgiler artık kritik bilgi içermediği için sistemler arasında serbestçe dolaşabilir. Kısaca en temel seviyede tokenization yani sembolleştirmeyi tanımlarsak, kritik bilginizi önemsiz ve kritik olmayan anlamsız numaralar ile yer değiştirmektir. PCI DSS e göre kritik olan bilgilerden birisi olan PAN (Primary Account Number) yani banka kartı ya da kredi kartınız üzerinde yer alan banka kart numaranızdır. Tokenization banka kartı numarası bilgilerini koruyabileceği gibi TC Kimlik No, doğum tarihi, pasaport numarası, medikal kayıtlar gibi kişisel bilgilerinizin yer aldığı birçok verinin korunmasında kullanılabilmektedir. Tokenization temel olarak iki büyük faydası bulunmaktadır. Bunlardan birincisi PCI kapsamına giren sistem ekipmanı sayısını azaltması ikincisi ise doğal olarak bu ekipmanlara PCI DSS kapsamında yapılması gereken masrafların ve yatırımların ortadan kaldırılması. Payment Card Industry Data Security Standartı (PCI DSS) bilgi güvenliği yönetimi, politika, prosedür, ağ mimarisi, yazılım tasarımı gibi bir çok alanda değerler içeren çok yönlü bir bilgi güvenliği standardıdır. Ödeme kartı bilgisi saklayan, işleyen ya da transfer eden tüm kuruluşlar bu standardın konusunu oluştururlar. PCI temel olarak 12 gereksinimden oluşur. (Aşağıdaki tabloda görüldüğü gibi) Fakat PCI bilgi güvenliği standardı sadece bu 12 gereksinimden ibarete değildir, bu 12 gereksinimin alt gereksinimleri ve alt gereksinimlerinde alt gereksinimleri bulunmaktadır. Bunlarla beraber sorumlu olduğunuz gereksinim sayısı 280 e ulaşabilmektedir. Tokenization haricinde kurumların PCI kapsamını daraltabilen başka bir teknoloji bulunmamaktadır. Dolayısıyla Tokenization konseptinin 5 ve üzeri farklı sunucuda bulunan kredi kartları bilgisi için uygulanması daha mantıklı olmaktadır. Tokenization ın uygulanmadığı sistemlerde kredi kartı ya da kritik bilgilerin yer aldığı ya da geçtiği uygulamalar ve sunucular PCI DSS kapsamına girmektedir. Tokenization servisinin uygulanmış olduğu sistemlerde ise kapsama giren sunucular artık sadece kritik bilgiyi Tokenization Servisine aktaran uygulamanız ve gelen kart bilgilerinin token haline çevrildikten sonra encrypted bir şekilde saklanıldığı Token Vault alanıdır. 18 beyazşapka Ağustos 2012

19 Token Oluşturma 5. Kullanacağınız çözümünüz to ken üretiminde donanım tabanlı bir rastgele numara üreteci mi kullanıyor? 6. Yanıtınız hayır ise ne türde bir işlem ile bunu çözüyorsunuz? (Hash, sequnce number vs.) PCI isteklerini karşılıyor mu? 7. Çözümünüz tek kullanımlık tokenları destekliyor mu? 8. Çözümünüz çok kullanımlı tokenları destekliyor mu? Tokenization Çözümünü Kullanmadan Önce Yanıtlamanız Gereken 17 Soru: Hazırlık 1. Sisteminizde yer alan kredi kartı bilgilerini ya da kritik bilgilerinin varlığını belirlediniz mi? Emin olmak için bir uygulama ile tarama yaptınız mı? 2. Token bilgilerine erişecek olan kullanıcıların tanımı belli mi? 9. Tokenların ömrü nedir? Nasıl belirlendi? Yeniden yapılandırıla bilir mi? 10. Çözümünüz sayısallaştırılmış kritik bilgilerimi tokenize edebiliyor? Hangi dosya tipleri uyumlu? Çözümünüz yapısal ortamda bulunan bilgileri ( Msword, pdf) sembolleştirebiliyor mu? Bunun için nasıl bir çözüm sunuyor 11. Sunulan ya da kullanılan çözümünüzün çalışan sisteme olan etkisi nedir? Gecikmeye sebep veriyor mu? Token İşlemleri 12. Tokenization ödeme sisteminiz de hangi adımda devreye giriyor, nasıl çalışıyor? Sunduğu hangi olanaklar ile PCI DSS kapsamınızı azaltabiliyor? 13. Uygulama mevcut POS ortamınız ile uyumlu bir şekilde çalışabiliyor mu? 14. Uygulama mevcut ödeme sistemi ortamınız ile uyumlu bir şekilde çalışabiliyor mu? Aynı zamanda token ile kredi kartı bilgilerine ulaşacak olan kullanıcılar tanımlandı mı? 3. Tokenization uygulamasından etkilenecek POS, ödeme sistemi gibi uygulamalarınızı belirlediniz mi? 4. Mevcut PCI kapsamınızı belgelediniz mi? 15. Uygulama mevcut back office ve diğer sistemleriniz ile uyumlu bir şekilde çalışabiliyor mu? 16. Detokenization işlemi yapıldığında kullandığınız çözüm mevcut sistemleriniz ile uyumlu çalışabiliyor mu? 17. Çözümünüz gerçekte ne kadarlık bir PCI kapsamına giren sistemi azaltıyor? QSA bu çözüm için onay veriyor mu? «Ağustos 2012 beyazşapka 19

20 Metin Eser Tekstil Bankası A.Ş. Ekip Lideri Nebula Bilişim ile ilk tanışmamız 2007 yılına dayanıyor. O dönemde problem yaşadığımız bir konuda birlikte çalışıp projeyi başarılı bir şekilde hayata geçirdikten sonra network ve güvenlik alanlarında birçok projede daha beraber çalışma kararı aldık yılı başından itibaren de güvenlik sistemlerimiz konusunda Nebula Bilişim firmasından danışmanlık ve destek hizmetleri alarak çalışmaya devam etmekteyiz. Güvenlik sistemlerimizin periyodik kontrolleri ile tüm update ve upgrade işlemlerini Nebula nın tecrübeli ve eğitimli destek ekibiyle birlikte yapıyoruz. Ayrıca Nebula Bilişim bilgi güvenliği konusuna son derece hakim olan satış uzmanları ve proje yöneticileri gelecekte yapacağımız yatırımlar için bize ışık tutuyor ve karar vermemize yardımcı oluyor. Gülşah Tamkan Prolink Ürün Müdürü Prolink te SafeNet ürün müdürü olarak çalışıyorum. Yaptığım işin en önemli parçası çözümünüzü pazara tanıtırken sürekli işbirliği içerisinde olacağınız ve etkileşim halinde bulunabileceğiniz doğru iş ortaklarını seçebilmek ve çalışabilmek. Bu anlamda hangi iş ortaklarını geliştirebilirim ve kimlere gidebilirim diye plan yaparken kanalda uzun yıllardır çalışan ve tecrübesine sonsuz güvendiğim satış birimindeki arkadaşım Nebula nın güçlü bir teknik kadrosunun olduğunu ve ürünü tam anlamıyla inceledikten sonra deneyimli ekibi ile pek çok projeyi birlikte başarı ile yönetebileceğimizi belirtti. Nebula ile yaptığımız ilk toplantıya satış ve teknik gruptan arkadaşlarımla ile gitmiştik. Sunduğumuz çözüm önerisi sonrasında hangi müşterilerinde ne şekilde ürün konumlandırabileceklerini anlattılar. Çeşitli zamanlarda bizlerle son derece profesyonel etkinlikler düzenlediler. Müşterilerini sürekli bilgilendirdiler ve sonunda güzel başarılara beraber imza attık. Nebula tüm ekibiyle işini her yönden takip eden; müşteri memnuniyeti, doğruluk ve çalışana saygı ilkelerine özen gösteren önemli iş ortaklarımızdan. Kendileriyle uzun soluklu, omuz omuza çalışmaktan çok mutluyum ve bunun için kendilerine teşekkür ediyorum. SPONSORLARIMIZ Beyaz Şapka ya katk lar ndan dolay tüm sponsorlar m za ve yazarlar m za teşekkür ederiz. Yay nlanan yaz lar n ve görsellerin tüm sorumlulu u yazarlar na aittir. Lütfen her konuda fikrinizi yaz n. info@nebulabilisim.com.tr