SİBER ŞANTAJ ISO İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ STANDARDI UNDERGROUND ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES (AD RMS) İLE BİLGİ GÜVENLİĞİ

Transkript

1 2013 SİBER ŞANTAJ ISO İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ STANDARDI UNDERGROUND ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES (AD RMS) İLE BİLGİ GÜVENLİĞİ WATCHGUARD HIZ VE YÜKSEK ERİŞİLEBİLİRLİK VERİ DEPOLAMA SİSTEMLERİ (2) Ağustos 2013 beyazşapka 1

2 Seminerlerimizden Kareler 2 beyazşapka Ağustos 2013

3 Değerli abonemiz, İçindekiler 04 >> Siber Şantaj Serkan Akcan 06 >> ISO İş Sürekliliği Yönetim Sistemi Standardı Ali Dinçkan 10 >> Underground İrfan Kotman 12 >> Active Directory Rights Management Services (AD RMS) ile Bilgi Güvenliği Muammer Benzeş 16 >> WatchGuard Hız ve Yüksek Erişilebilirlik Ozan Özkara 20 >> Veri Depolama Sistemleri (2) Tarkan Çiçek 2012 Sonunda yeni yıl için bilgi güvenliği konusunda yürüttüğümüz faaliyetleri genişleteceğimizi söylemiştik ve sözümüzü tuttuk. Kısaca 2013 yılı içerisinde bugüne kadar yaptığımız etkinlikleri hatırlatmak istiyoruz. 21 Mart Perşembe günü sponsoru olduğumuz IDC IT Security Roadshow İstanbul konferansına katıldık. Standımızda katılımcılara yeni nesil SIEM, IPS, Anomaly Detection ve Database Security çözümlerini detaylıca tanıtma imkânı bulduk. 7 9 Nisan tarihleri arasında ise sponsoru olduğumuz IDC CIO Summit 2013 konferansı için Antalya da Rixos Sungate Beldibi otelindeydik. IDC CIO Summit konferansında CIO ların dikkatini bilgi güvenliği konusuna çekmek için bir anket düzenledik ve sonuçlarını konferans sırasında katılımcılara dağıttık. İlginizi çekeceğini düşündüğümüz anket sonuçları ile ilgili yazıyı Mayıs sayımızdaki Serkan Akcan ın yazısında bulabilirsiniz. 25 Nisan Perşembe günü seminerlerimizin daimi mekânı Point Hotel de McAfee Enterprise Security Manager (SIEM) seminerimizi gerçekleştirdik. Seminerimize katılan yaklaşık 30 misafirimiz canlı sistemler üzerinde yeni nesil SIEM çözümlerimizi inceleme imkânı buldu. Mayıs ayında faaliyetlerimiz devam etti. 16 Mayıs Perşembe günü Ortaköy Feriye Lokantasında yapılan IDC Bulut Bilişim ve Veri Merkezi Konferansına sponsor olarak katılım gösterdik. 21 Mayıs Salı günü Point Hotel de McAfee Network Security Platform seminerimizde müşterilerimize Network IPS pazarında yaşanan devrimi sunduk. 29 Mayıs Çarşamba günü yine Point Hotel de büyük sistemler ve büyük verinin yedekleme işlemlerini kolaylaştıran Actifio ürün seminerimizde müşterilerimizi konuk ettik ve yaz dönemi sebebiyle faaliyetlerimizi sonlandırdık. Müşterilerimiz için faaliyetlerimiz sonlansa da Nebula için koşturma devam etti Haziran arasında İspanya Marbella da McAfee EMEA Partner Summit 13 konferansına katıldık. EMEA (Avrupa, Ortadoğu, Africa) bölgesindeki yaklaşık 90 McAfee iş ortağının katıldığı iki günün ardından sadece 10 özel iş ortağının katıldığı yuvarlak masa toplantılarına katıldık ve müşterilerimizin beklentilerini üst düzey yöneticilere ilettik. Bu kadar yoğun bir çalışma temposu, Ramazan ayı ve bayramın yaklaşıyor olması nedeniyle Beyaz Şapka Ağustos sayısını tamamlayıp bastırmamız ve dağıtmamız biraz gecikti. Gecikme için özür diler ve gösterdiğiniz anlayış için teşekkür ederiz Sonuna doğru faaliyetlerimizin kalitesini arttırarak devam ettirmeye çalışacağız. Güzel ve büyük sürprizler için hazırlanıyoruz. Bizi web sitemizden ve sosyal medya araçlarımızdan takip etmenizi öneririz. Beyaz Şapka Nebula Bilişim tarafından üç ayda bir yayınlanan ve Nebula Bilişim müşterilerine ücretsiz dağıtılan bir broşürdür. Beyaz Şapka Nebula Bilişim in tescilli markasıdır ve her hakkı saklıdır Güvenli Günler! Beyaz Şapka Ekibi Ağustos 2013 beyazşapka 3

4 Serkan AKCAN Siber Şantaj DDoS atakları artık Türkiye de de bir şantaj aracı olarak kullanılmaya başlandı. Bu yazıyı okuyun ve önleminizi alın. 8 Temmuz 2013 Pazartesi günün sabahında bir eposta aldık. Beyaz Şapka abonelerimizden biri olan Şirket A nın bilgi işlem yöneticisi, DDoS ataklarının önlenmesi içerikli bir toplantı talep ettiğini bildiriyordu. Hemen telefonla kendilerine ulaştığımızda durumun acil olduğunu anladık ve öğleden sonra da Şirket A ya toplantıya gittik. Toplantı sırasında Şirket A nın sistemine yaklaşık 12Gbit boyutunda bir DDoS atağının geldiğini öğrendik. Finans piyasasında faaliyet gösteren Şirket A nın çok büyük bir sistemi yoktu ve 12 Gbit çok büyük sistemlerde bile sıkıntı yaşatabilecek bir boyuttu. Bilgi işlem yöneticisi, DDoS atağı başlamadan önce Satıcı Z şirketiyle üst yönetimden birinin yönlendirmesi ile bir toplantı düzenlediklerini söyledi. Satıcı Z şirketi Avrupa ülkelerinin birinde DDoS ataklarına karşı dirençli ve büyük bir sisteme sahip olduklarını, müşterilerinin trafiklerini bu büyük sisteme yönlendirerek DDoS ataklarından koruduklarını iddia etmiş ve bu hizmetlerini kullanmalarını önermiş. İstedikleri rakam ise yıllık Yanlış okumadınız, tam olarak yıllık yedi yüz bin avro. Bilgi işlem yöneticisi bunun bir tesadüf olamayacağını ve atakların bu şirket tarafından yapıldığını düşündüğünü söyledi. Kendisine geçmişte Türkiye de faaliyet gösteren bazı bilgi güvenliği satıcı ve dağıtıcı şirketlerinin de kendi müşterilerini ziyaret etmeden önce güvenlik taramasına tabi tutup toplantıya bir rapor götürdüğünden bahsettim. Geçmişte bu metodun ne kadar etik dışı olduğu bilinmiyordu ancak şuan herkes bu metodun etik dışı olduğunun farkında dedim. Hatta Türk Ceza Kanununun 224. maddesine göre bir bilişim sisteminin işleyişini engellemenin suç olduğunu, bir ila beş yıl arasında hapis cezasının öngörüldüğünü söyledim. Dolayısı ile Satıcı Z nin DDoS koruma hizmetlerini tanıtmasının hemen ardından büyük çaplı bir DDoS atağı yemesinin büyük bir ihtimalle tesadüf olabileceğini düşündüğümü söyledim. Sonra da bir DDoS atağından hangi yöntemlerle korunabileceğini uzun uzun anlattım ve müşteriden ayrıldım. Sadece iki gün sonra, 10 Temmuz 2013 Çarşamba günü Şirket B ile başka bir toplantı yaptım. Şirket B finans sektöründe faaliyet gösteren, Şirket A ya göre daha büyük bir sisteme sahip ve daha tanınmış bir şirketti. Şirket B aynı zamanda bizden satın aldığı iki bilgi güvenliği ürününü kullanıyordu. Bir DDoS atağı yediklerinden bahsettiler ve DDoS ataklarına karşı neler yapılması gerektiğini sordular. DDoS atağının yarattığı trafik boyutu 12Gbit in biraz üzerindeydi. DDoS ataklarının türlerini, yöntemlerini ve nasıl engellenebileceğini anlatırken aklıma Şirket A nın hikâyesi geldi ve dönüp kendilerine DDoS atağından hemen önce veya hemen sonra Satıcı Z adlı bir şirketin gelip gelmediğini sordum. Toplantıdaki kişiler şaşkınlıkla bana bakıyordu. Hikâye aynıydı! Satıcı Z üst yönetimden birinin aracılığı ile bilgi işlem ekibiyle bir toplantı ayarlamış ve DDoS koruma hizmetlerinden bahsetmişti. Şirket B konuya çok ilgi göstermediği için Satıcı Z herhangi bir fiyat telaffuz etmemişti. Toplantının hemen ardından da ataklar başlamıştı. Şirket B personeline Şirket A nın adını vermeden hikâyesini anlattım. Bunun bir tesadüf olamayacağını söyleyip savcılığa başvurmalarını önerdim, DDoS konusunda nelerin yapılması gerektiğini anlattım ve müşteri ofisinden ayrıldım. Hikâye bitmedi. Bir gün sonra Şirket B personeli beni aradı ve yarım saat önce tekrar DDoS atağı yemeye başladıklarını bildirdi. Benden Şirket A yı arayarak onlara da bugün içerisinde bir atak yapılıp yapılmadığını öğrenmemi rica ettiler. Sorabileceğimi ve hatta izin verirlerse kontak bilgilerini Şirket A nın personeline iletebileceğimi söyledim ve gerekli izni aldım. Şirket A yı aradığımda sabah saatlerinde atağın başladığını ve yaklaşık bir saat önce durduğunu öğrendim. Ne büyük tesadüf! Şirket A nın da onayı ile karşılıklı kontak bilgilerini dayanışma göstermeleri için paylaştım ve her iki şirkete de konuyu savcılığa veya kolluk kuvvetlerine iletmelerini önerdim. Olayları analiz ettiğimizde durumun sadece bir tesadüften ibaret olduğunu düşünmek pek mümkün değil. Aslında benzer şantaj hikâyeleri gördüm. Web sitesi üzerinden zayıflama(!) ürünleri satan birçok şirket var. Bu ürünlerin çoğu tamamen yalandan ibaret olduğu için kar marjları çok yüksek. Bu şirketler pazar paylarını korumak için birbirlerinin web sitelerine DDoS atakları düzenliyorlar. Üstelik DDoS atağı yapanlar kimliklerini gizlemiyor ve açıkça ilgili ürünler satıştan kaldırılana kadar ataklara devam edeceklerini söylüyorlardı. Bu açık tehdide karşı koyamayanlar ürünleri satıştan kaldırıyorlardı. Bu gibi web sitelerine hosting hizmeti veren birkaç bilişim şirketi bizi arayarak aynı hikâyeleri anlatıp duruyorlardı. DDoS temelli olmayan şantajlar da gördük. Bir marketler zincirinin SQL Database ini hack edip tamamını şifreleyen internet korsanları avro karşılığında şifreyi açabileceklerini söylemişler. Veri tabanının yedeği olmadığından bilgi işlem müdürünün eli kolu bağlanmış. İnternetten bilgi güvenliği şirketleri yazarak arama yapan market sahibi bizi bulmuş ve aramıştı. Para göndermeyin ve hukuk yollarına başvurun dedik ancak daha sonra avro parayı gönderdiklerini ve beklediğimiz üzere veri tabanlarını geri alamadıklarını öğrendik. Şantaj tehdidine boyun eğmeyin Sonuç itibarı ile yurtdışında örneklerini sıkça duyduğumuz şantaj hikâyelerini artık ülkemizde de görmeye başladık. Artık şirketlerin bilgisayar sistemleri şantaj ve çıkar amaçlı saldırılara maruz kalıyor. Bazıları direk para talep ediyor, bazıları bunu bir hizmetmiş gibi sunuyor. 4 beyazşapka Ağustos 2013

5 Kurumlar açısından üzücü olan güvenlik duvarı, atak engelleme sistemi ve hatta web uygulama güvenlik duvarı gibi önemli teknolojilere yatırım yapılmış olmasına rağmen atakları engelleyememek. Hata Nerede? Hata yok, eksik var. En kötü IPS ürününü satın almak hiç IPS almamaktan daha iyidir. Ancak en iyi IPS ürününü alıp ince ayarlarını yapmadan ve test etmeden çalıştırmak hiç IPS kullanmamaktan çok da farklı değil. Bilgi güvenliği tuhaf ve anlatması çok zor bir alandır. Bu işi tutkuyla yaptığımız için konuyu abarttığımızı düşünmenizi istemem. O yüzden net olarak anlatmaya çalışacağım. Bilgi güvenliği tamamıyla ayrıntılardan ibarettir. Ürünleri ve teknolojileri çok çok iyi bilmeyi gerektirir. Ürün ve teknolojilerle birlikte atak türlerini ve yöntemlerini de iyi bilmeyi gerektirir. Bilgi güvenliği birkaç saat veya birkaç gün çalışmayla sağlanabilen ve sonra oluruna bırakılan bir konu değildir. Bilgi güvenliği hiçbir zaman olgunlaşmayacak bir meyve gibidir. Asla aylarca yıllarca uğraştık ama sonunda bilgi güvenliğini sağladık diyemeyiz. Hiçbir zaman %100 güvenlik yoktur ve asla olmayacaktır. Bilgi güvenliği bir risk yönetimi işidir. Bilgi güvenliğine konu olan ürün ve teknolojiler bir eşgüdüm halinde yürütülmelidir. Basit ataklara maruz kalan sistemlerin karakteristik özelliği bilgi güvenliği felsefesine sahip olmayan, sadece ticareten bu işi yapan bilişim şirketlerinden satın aldıkları bir dolu ürüne sahip olmaları. Harcanan büyük paralar ve nerdeyse sıfır sonuç. Şantaj amaçlı ataklar karşısında ne yapmalıyız? Kesinlikle hiç kimseye para ödemeyin. Ödeyeceğiniz paraları asla geri alamayacaksınız. Üstelik şantaj yapanlar para kazanmaya devam ettikçe kendilerine başka kurbanlar seçeceklerdir. Dolaylı olarak şantajcıları desteklemiş olmayın. Çalıştığınız bilgi güvenliği firmasından yardım alın ve konuyu savcılığa veya kolluk kuvvetlerine taşıyın. Bu kişilerin bir kez polis merkezine çağrılmaları bile şantajdan vazgeçmelerine neden olabilir. Zaman kaybetmeden bilgi güvenliği iyileştirme sürecinizi başlatın. Size hazır bir reçete sunayım. Bilgi güvenliği iyileştirme süreci 1. Bir iş ortağı seçin Şüphesiz kurum personelinizin oldukça iyi bir bilgi birikimi ve tecrübesi var. Ancak personelin iyi bir bilgi birikimine sahip olması yeterli değil. Sürekli gelişmeyi sağlamak için bilgi güvenliği konusunda bir felsefesi olan iş ortağı seçin. Bu iş ortaklığını halkla ilişkiler konusunda çalıştığınız ajanslar veya muhasebe denetimi için çalıştığınız mali müşavirler gibi düşünün. Uzun soluklu kurumsal ilişkiler hem bilgi güvenliği şirketini hem müşterisini sürekli besler. Ülkemizde maalesef çok sayıda bilgi güvenliği felsefesine sahip bilişim şirketi bulunmuyor ama yine de bir elin parmakları kadar şirket sayılabilir. Gururla söyleyebilirim ki Nebula bu konuda her zaman bir adım öndedir. 2. Kurumsal bir güvenlik politikasına sahip olun En azından ISO Bilgi Güvenliği Yönetim Sistemi (BGYS) standardını uygulayın. Seçtiğiniz bilgi güvenliği iş ortağınız bu konuda size yardımcı olacaktır. BGYS kurumsal güvenlik çıtanızı yükseltir ve bilgi güvenliğinin yönetim seviyesinde ciddileşmesini sağlar. Ancak asla yeterli değildir. Daha kapsamlı bir fikir sahibi olmak için Beyaz Şapka nın 2012 Mayıs sayısında yer alan yazımı inceleyebilirsiniz İş ortağınızın tercihlerini önemseyin Bilgi güvenliği ürün ve hizmet sağlayıcınız olan iş ortağınız çeşitli kanallardan beslenir. Nebula yı örnek vererek açıklamaya çalışayım. Nebula nın arkasında 20 yıla yakın bir bilişim tecrübesi bulunuyor. Bunun 10 yıldan fazlası sadece bilgi güvenliği alanında. Bu süre boyunca sayısız müşteri, hack hikâyesi, penetrasyon testi ve teknoloji ile karşılaşan ekibin önemli derecede bir birikimi var. Bu birikim ürün seçimine de yansıyor ve üreticinin vizyonu ve tecrübesi Nebula ya yansıyor. Bizim ürün seçimlerimiz ticari amaçlardan uzak tamamen teknik nedenlerden seçilmiş ürünlerdir. Olabildiğince iş ortağınızın önerdiği ve desteklediği teknolojileri kullanın. 4. Entegre çözümlere odaklanın İş ortağınız çözüm portföyünü büyük ihtimalle mantıksal olarak birbirlerini destekleyen ürün ve teknolojilerden oluşturmuştur. Bilgi güvenliğine tek tek ürün olarak bakmak yerine biz çözüm zinciri olarak bakın. Teknolojik entegrasyonlar toplam kaliteyi inanılmaz biçimde arttırır. Bundan asla mahrum kalmamamız gerekir. 5. Rutin gözde geçirme çalışmaları düzenleyin Tanımlanmış periyotlarda güvenlik sisteminizi ve sunduğunuz servisleri gözden geçirme çalışmalarına tabi tutun. Bu çalışmalarda eksikler ortaya çıkartılacak ve problemler büyümeden önlenecektir. Nebula olarak haftada bir, iki haftada bir veya ayda bir gibi çeşitli periyotlarda bu çalışmaları 8 yıldır çeşitli müşterilerimizde yürütüyoruz ve bilgi güvenliği konusundaki katkısını her gün görüyor ve yaşıyoruz. 6. Penetrasyon testlerini önemseyin Kapsamlı penetrasyon testi yılda bir kez yaptırılmalıdır. Bu konu hemen hemen her regülasyonda zorunlu tutulmuştur. Bizim önerimiz bir yıl seçtiğiniz bilgi güvenliği iş ortağınız ile bu testi yapmanızdır. İş ortağınız sisteminizi daha iyi tanıdığı için daha iyi bir test süreci üretme şansına sahiptir. Ancak ikinci yıl başka bir penetrasyon testi ekibiyle çalışın. Bu strateji iş ortağınızın yaptığı işin kalitesini test etmek için ve motivasyonunu yüksek tutmak için şarttır. 7. Test ve tatbikatlar düzenleyin Penetrasyon testleri çok önemlidir ancak asla yeterli değildir. Yılda sadece bir kez yapılan testin çok büyük katkılar üretmesi beklenemez. Ayda bir düzenlenecek test ve tatbikatlar bilgi güvenliği çıtasını sürekli yükseltecektir. Ayda bir veya iki günü bu işe ayırmak yeterli. Örneğin iş ortağınızla hemen bu ay DoS/DDoS üzerine çalışın. Testleri yapın ve sonuçlara göre mevcut ürünlerinizdeki ince ayarları düzenleyin. Ancak bu sayede DoS/DDoS ataklarına olan direncinizi görebilir ve güçlendirebilirsiniz. Bir sonraki ay veri tabanı güvenliğine ve bir sonraki ay kablosuz ağ güvenliğine odaklanın. Her ay bir konuyu seçin ve üzerinde bir veya iki günlük çalışmalar yapın. Emin olun sadece birkaç ay sonra ve mevcut yatırımlarınızla çok daha güvenli bir sisteme sahip olacaksınız. Ağustos 2013 beyazşapka 5

6 Ali Dinçkan ISO İş Sürekliliği Yönetim Sistemi Standardı Yaşamak için oksijen, su ve besin yeterli; ya işletmeler için? Acil durumlarda yaşamımızı sürdürebilmek için vücudumuza oksijen, su ve besin almamız yeterlidir. Bu temel ihtiyaçları gidermemiz bizim ayakta ve hayatta kalmamızı sağlar. İşletmeniz için oksijen, su ve besin nedir? Bu sorunun yanıtını iş sürekliliği yönetim sistemi çalışmaları içerisinde gerçekleştirilen iş etki analizi vermektedir. İş Sürekliliği Yönetim Sistemi (İSYS), kurumun kritik ürün ve hizmetlerinin devamı amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı işletmenin olağan üstü bir durum karşısında gerekecek müdahale kapasitesini oluşturmaktır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsamaktadır. İSYS nin belgelendirmesi için ISO 22301:2012 Sosyal Güvenlik İş Sürekliliği Yönetim Sistemleri Gereksinimler standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir İSYS yi kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır. ISO22301 ve ISO22313 standartları İSYS konusunda en temel başvuru kaynaklarıdır. Bu iki standart da doğrudan İş Sürekliliği İş Sürekliliği yönetimi konusunda en yaygın olarak kullanılan standart, ISO 22313:2012 İş Sürekliliği Yönetimi İçin Uygulama Prensipleri standardıdır. Bu standart, işletmeler içerisinde iş sürekliliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO 22313:2012 rehber edinilerek kurulan konusunu ele alırlar. Teknik ve teknoloji bağımlı standartlar değildirler. Belli bir ürün veya bilgi teknolojisi ile ilgilenmezler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte serbesttirler. Teknik tarafta ise ITIL, ISO 27031, BS25777 gibi standartlar ISO in uygulamasında kullanılmaktadır. 6 beyazşapka Ağustos 2013

7 Üst Seviye ISO Uygulama Adımları Üst Yönetime Farkındalığı İSYS nin ihtiyaca yanıt verir biçimde kurulması ve devam ettirilebilmesi için üst yönetim desteği çok büyük önem arz etmektedir. Bu sebeple iş sürekliliği konusunda üst yönetimin farkındalığının arttırılması için bir bilgilendirme sunumu gerçekleştirilmelidir. Bu sunuma iş sürekliliğinden sorumlu yönetim kurulu üyesi, İSYS projesinin sponsoru, iş sürekliliği yönetişim komitesinin üyeleri, birim yöneticileri ve birim yöneticilerinin raporladıkları yönetim kademelerinden temsilciler katılmalıdır. İSYS Kapsamının Belirlenmesi İSYS nin kapsamı kurumun belli bir kısmı olabileceği gibi, kurumun bütünü de olabilir. Ancak, her iki durumda da, kurumun İSYS kapsamını ve sınırlarını eksiksiz ve doğru bir biçimde tanımlaması gerekmektedir. İSYS kapsamı, üst yönetimin niyeti, ilgili tarafların ihtiyaçları ve kurumun iş sürekliliği hedefleri dikkate alınarak belirlenir. ISO ve ISO standartlarının bu konuda belli bir yönlendirmesi veya zorlaması söz konusu değildir. Kapsam belirlenirken İSYS dışında bırakılan süreçler ve diğer kurumlarla olan etkileşimleri de dikkate almak gereklidir. Kapsam dışında bırakılanların hangi sebeplerle dışarıda bırakıldıklarını kurumun sağlam gerekçelerle açıklayabilmesi gerekmektedir. İSYS Politikası Bu politika, hedefleri ortaya koyan, kuruma yön veren ve harekete geçiren, hangi ürün ve servislerin değerlendirmeye alınacağına ilişkin yönetim kapsamını ve kriterini belirleyen bir çerçeve sunar. İSYS politikasının amacını bulması için yönetim politika içeriğindeki maddelerin uygulamaya geçirileceğine ilişkin kararlılığını çalışanlara hissettirmelidir. Roller ve Sorumluluklar İş sürekliliği yönetim sisteminin olay öncesi hazırlıklarının eksiksiz yerine getirilebilmesi ve olay sırasında beklenen seviyede müdahale gerçekleştirilerek ön görülen sürelerde kurtarma sağlanabilmesi için görev alan herkesin yönetim sistemini sahiplenmesi gereklidir. Bu kapsamda İSYS rol ve sorumlulukları tanımlanmalı ve dokümante edilmelidir. Rollerin sahiplenilmesi için performans göstergelerinin hazırlanması, eğitim programları vb. çalışmalar İSYS nin bir parçası olarak hazırlanmalı ve işletilmelidir. Mayıs 2013 beyazşapka 7

8 İSYS standartları kapsamında İSYS nin kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla Uygula Kontrol et Önlem al) modeli kullanılmaktadır. PUKÖ modeli İş Sürekliliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak alır ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak İş Sürekliliği sonuçlarını üretir. İlerleyen bölümlerde İş Sürekliliği Yönetim Sistemini ISO standardına göre kurmak isteyen kurumlar için örnek bir çalışma programı ve açıklamaları sunulmuştur. İş Etki Analizi ve Risk Değerlendirmesi İş etki analizi ve risk değerlendirmesi kurulacak iş sürekliliği yönetim sisteminin temelini teşkil etmektedir. İş etki analizi ve Risk değerlendirme çalışması, işletmenizin kritik iş süreçlerinde kesintiye neden olabilecek risklerin tespit edilmesi, seviyelendirilmesi ve raporlamasından oluşur. İş kesintisine sebep olabilecek riskler birimler ile yapılacak toplantılarda ele alınır. Katılımcılar geçmişte yaşanan kesintileri ve bunların sebeplerini düşünerek risk çalışmasına girdi sağlarlar. Bu bilgilere ek olarak çalışanların güvenliği için tehditlerin belirlenmesi ve binaların fiziksel güvenliği, yangın, deprem ve diğer fiziksel durumları ile ilgili raporlar, iş güvenliği ve sağlığı ile ilgili çalışmalar, iç denetim bulguları, dış denetim bulguları, bilgi güvenliği riskleri, veri merkezi değerlendirme raporları vb. risk kaynaklarından faydalanılarak iş sürekliliği riskleri belirlenir. İş Sürekliliği Stratejilerinin Belirlenmesi İş sürekliliği stratejilerini belirleme çalışması, iş etki analizinde belirlenen ve yönetim tarafından onaylanmış süreklilik ihtiyaçlarının işletmenizde nasıl uygulanacağının belirlenmesini içermektedir. İş etki analizinde belirlenmiş hedeflenen kurtarma sürelerinin tutturulabilmesi için amaca uygun, önceden tanımlı ve dokümante edilmiş olay tepki yapısına ihtiyaç vardır. risk değerlendirilmesinde kullanılacak metodolojiler iyi sektör uygulamaları incelenerek kuruma özel olarak hazırlanmalıdır. Metodolojiler yönetim tarafından onaylandıktan sonra analiz çalışmalarına başlanmalıdır. Analiz çalışmaları birimlerin iş sürekliliği koordinatörleri ile süreç sahipleri tarafından birlikte yapılmalıdır. İş etki analizi çalışması, işletmenizin anahtar ürün ve hizmetlerin paydaşlara sunulmasını sağlayan iş süreçlerinin belirlenmesi ile başlar. İlgili iş süreçlerine ait genel bilgiler, hangi anahtar ürün ve hizmeti desteklediği, olası kesintinin yasal, operasyonel, finansal ve itibar etkileri ile sürecin devam ettirilebilmesi için gerekli kaynaklar (insan kaynakları, teknoloji kaynakları, bilgi kaynakları ve tesisler) belirlenir. Tespit edilen etki değerlerine dayanılarak her süreç için hedeflenen kurtarma zamanı (RTO) ve maksimum tolerans gösterilebilir kesinti süresi (MTPD) belirlenir. Belirlenen süreler kurtarma önceliği çalışması sırasında kullanılır. Her bir kritik iş sürecinin hedeflenen kurtarma süresi içerisinde nasıl ayağa kaldırılacağı detaylı olarak incelenir, alınması gereken aksiyonlar çıkarılır ve olay tepki yapısı dokümante edilir. Belirlenmiş iş sürekliliği stratejileri üst yönetime sunulur ve yönetim onayı sonrasında iş sürekliliği planlarının geliştirilmesine başlanır. İş Sürekliliği ve Acil Durum Planları İş sürekliliği stratejilerinin belirlenmesinin ardından iş sürekliliği ve olay tepki planları hazırlanır. Planların oluşturulmasından önce planda referans verilecek prosedürler ve alt planlar 8 beyazşapka Mayıs 2013

9 belirlenerek ilgili çalışanların gerekli dokümantasyonu geliştirilir. Bu aşamada aynı zamanda kurtarma organizasyonu belirlenir ve iş sürekliliği planlarının içinde belirtilir. İş sürekliliği planlarında en az aşağıdaki bilgiler bulunmalıdır. kapsamında senelik tatbikat programı hazırlama zorunluluğu bulunmaktadır. a) İş sürekliliği planın kapsamı ve amacı b) İş sürekliliği organizasyonu c) Kritik süreçler, İEA çalışmaları ve servisler e) Planın hangi şartlarda ve nasıl aktive edileceği f) Detaylı kurtarma prosedürlerine referanslar g) Plan tatbikatına dair hususlar h) Kriz durumu haberleşme ihtiyaçlarının tespit edilmesi ve plana dâhil edilmesi i) Acil durumların nasıl yönetileceği ve acil durum bildirimin nasıl yapılacağı j) İş sürekliliği planın bakım ve güncellenmesinin nasıl gerçekleştirileceği Eğitim ve Farkındalık İş sürekliliği kültürünün benimsenmesi, yönetim sistemi kapsamında görev alan personelin kendi görevlerini öğrenmesi, acil durumlarda nasıl hareket edileceğinin çalışanların tamamı tarafından öğrenilmesi temel amaçtır. Senelik eğitim programı hazırlanmalı ve eğitim programı üst yönetim, acil durum yönetim ekibi, kurtarma takımları ve son kullanıcıları içermelidir. Eğitimler sınıf eğitimi olabileceği gibi e öğrenme tekniği ile de verilebilir. Tatbikatlar ve Testler Bu adımın amacı iş sürekliliği yönetim sistemi kapsamında hazırlanmış planların etkinliğini ölçmek ve işletmenizin gerçek felaket durumları için hazırlıklı olmasını sağlamaktır. Yapılan çalışmaların hedeflenen kurtarma zamanlarını karşılaması hedeflenmektedir. Tatbikatlar için işletmenize özel tatbikat yönetim süreci hazırlanmalıdır. Tatbikat yönetim süreci İç denetim İş sürekliliği yönetim sisteminin hayata geçirilmesinin bir parçası olarak iç denetim faaliyeti gerçekleştirilmelidir. Bu amaçla denetim prosedürü, iç denetim programı ve planı, iç denetim kontrol listesi hazırlanır. İç denetimde çıkan bulguların kapatılması için düzeltici faaliyet açılmalıdır. Bulgular için kök sebep analizi, düzeltici faaliyet planlama çalışmaları gerçekleştirilmelidir. Yönetimin Gözden Geçirmesi ISO22301 gereğince üst yönetim kurulan İş Sürekliliği Yönetim Sistemi ni periyodik olarak gözden geçirmelidir. Gözden geçirme faaliyeti yönetimin bulunduğu bir toplantı ile gerçekleştirilmektedir. Toplantının girdileri ve muhtemel çıktıları ISO22301 standardında belirtilmektedir. Belgelendirme Denetimi Belgelendirme denetimi ISO denetimini gerçekleştirebilen bir belgelendirme firmasından alınmalıdır. Belgelendirme denetimi iki aşamalı olarak gerçekleştirilir. İlk aşamada hazırlanan dokümanların ISO standardına uygun olup olmadığı incelenir. İkinci aşamada ise saha denetimi gerçekleştirilir. Saha denetiminde yönetimin sisteminin gerçek anlamda işlediğine dair kanıtlar aranır. İkinci aşamayı başarı ile geçen kuruluşlar ISO belgesini almaya hak kazanır. Ağustos 2013 beyazşapka 9

10 İrfan Kotman Underground Herhangi bir hacking bilgisine sahip olmadan bir Web sayfasını hackleyebilir misiniz? Yukarıdaki sorunun cevabının normal şartlarda Hayır dır. Fakat bu sayımızda başkası tarafından ele geçirilen (hacklenen) bir sayfanın küçük bir araç yardımı ile nasıl istenildiği gibi düzenlenebileceğinden bahsedeceğiz. İnternet Milyonlarca Web Sitesine Sahip Bir Dünya Bilişim dünyasında ki birçok konuya benzer şekilde Web Siteleri de baş döndürücü bir hızda gelişti ve yaygınlaştı. Günümüzde kendine ait bir Web site olmayan bir kurumdan bahsetmek neredeyse imkânsız hale geldi. Kurumlar dışında, milyonlarca kişi blog siteleri sayesinde kişisel Web sitesine sahip oldu. Bu gelişmelere paralel olarak, siyasi olaylar, husumetler, kişisel güç gösterileri gibi birçok sebepten dolayı bu sitelerin ele geçirilmesi ve ele geçirilen siteler üzerinden mesajlar yayınlanması da popüler hale geldi. Bu popülarite ile beraber, küçük yaştaki internet kullanıcıları bile, site ele geçirmek ile ilgilenmeye başladı ve gün geçtikçe yayınlanan araçlar yardımı ile de git gide daha kolay yapılabilir hale geldi. Başka bir kurum ya da kişiye ait bir Web sitesinde, bilgisi olmadan istemediği bir içerik en kolay nasıl yayınlanır? Yazımızın başında belirttiğimiz gibi herhangi atak yapma (hacking) bilgisine sahip olmayan bir kişinin, bir Web sitesinde sayfanız X tarafından hacklendi gibi bir içeriği nasıl yayınlayabileceğinden, bir nevi hazıra konarak siyah şapkacılık oynayabileceğinden bahsedeceğiz. Aşağıda kullanacağımız küçük bir araç yardımı ile daha önce atak yapılan bir Web sayfası üzerinde, istenilen içeriğin nasıl yayınlanabileceğini göstereceğiz. Adımlarımız Kullanacağımız 70 KB lık program, tasarımcısı tarafından belirlenen açıklar kullanılarak, sayfa içeriğinin istenildiği gibi değiştirmesi amacı ile oluşturulmuştur. Programımızı çalıştırıyoruz. Bu tip programları hazırlayan kişilerin arka planda her türlü faaliyeti gerçekleştirebileceği göz önüne alınarak bu tip programlar kesinlikle sistemlerinizden izole edilmiş makineler üzerinde çalıştırılmalıdır. Sayfa üzerinde kullanacağımız araç ismini taşıyan siteleri tarıyoruz ve güncel web sitelerini listeliyoruz. Domain kısmının altında görebileceğiniz bu siteler daha önce bu araç yardımı ile hacklenen sitelerdir. Siteyi belirledikten sonra, programımız üzerinden WebDav menüsünü seçiyoruz. Menüye girdikten sonra, ilk olarak Add site üzerinden atak yapılacak siteyi belirtiyoruz. Load From File menüsü üzerinden, sayfa üzerine yerleştirilmek istenen kodlar, txt, xml gibi formatlarda programa eklenebilmektedir. Öncelikle atak yapılacak sayfamızı belirlememiz gerekmektedir. Bunun için çeşitli siyah şapkalı kişiler (hackerlar) tarafından ele geçirilen siteleri yayınlanan bir Web sitesini kullanacağız. Bu site üzerinden kullanabilecek, güncel onlarca Web sayfası görülmesi mümkün. 10 beyazşapka Ağustos 2013

11 Bunun yanında kullanıcı programa herhangi bir kod ekleyerek kullanmak zorunda değildir. Program üzerindeki setting sekmesini kullanarak, belirleyeceği bir yazıyı sayfa içerisine eklenebilmektedir. Biz kendi belirlediğimiz basit içeriği eklemeyi düşündüğümüz için txt formatında küçük bir html kodu programa ekliyoruz. Eğer herhangi bir arama motorunda inurl:/eventdetails. php?*= ararsanız, inurl:/eventdetails.php uzantılı bütün siteleri görebilirsiniz. Bu tip araçlar bu site listesini çıkararak site üzerinde, belirlenen açıkların olup olmadığı kontrol etmektedir. Kötü niyetli kişiler, eğer uygun açığa sahip bir sayfaya ulaşabilir ise, sayfaya belirlenen açık üzerinden atak yapmayı ve ele geçirmeyi denemektedir. Bu adım sonrasında program çalıştırılarak açık üzerinden sayfaya erişilebilir ve istediğiniz içeriği sayfa üzerinden yayınlayabilirsiniz. Yasalar sebebi ile herhangi bir sayfaya atak yapma ihtimalimiz olmadığından, sadece göstermek istediğimiz içerik ile ilgili küçük bir ekran görüntüsünü yazımıza ekledik. Ve bu adımlar sonrasında artık sayfa içerisinde istediğiniz içerik internet kullanıcıları tarafından görülebilir. Peki gerçek hayatta, bu tip programları yazan ya da kullanan kişiler uygun siteleri nasıl belirliyor? Genel olarak, belirlenmiş bir hedefe atak yapmayan kötü niyetli kişiler, dork adı verilen yöntem ile hedeflerini belirlemektedir. Dork, açıklara sahip siteleri bulmamıza yarayan kodlara verilen genel isim olarak tanımlanabilir. Dorklar genellikle arama motorları üzerinden özel araçlar yardımı ile ya da elle taranır. İnternette araştırdığınız zaman genel olarak sql injection açıklarına yönelik hazırlanmış Dork araçlarını görebilirsiniz. SQL açıklarına yönelik bir örnek bir Dork aracına göz atar isek, Yukarıdaki ekran görüntüsünde görebileceğiniz gibi Dork olarak inurl:/eventdetails.php?*= seçtik ve taramamızı başlattık. Sitelerde SQL açığının olup olmadığı kontrol ettiği için araç tarafından işlemin uzun süreceği bilgisi verilmektedir. Web siteleri üzerindeki bir açık sebebi ile en kısıtlı bilgiye sahip internet kullanıcıları bile mesajlarını yayınlayabilmektedir. Web sayfanız üzerindeki herhangi bir açık sebebi, bu tip basit araçlar kullanan kullanıcılar tarafından bile sayfanızın ele geçirilmesi riski ile karşı karşıya olduğunuz göz ardı edilmemelidir. Web Sitesi Güvenliği Aşağıda Web Sitesi güvenliğinin geliştirilmesi ile ilgili birkaç küçük yöntemi görebilirsiniz. Bulut üzerinde tutulan Web sayfalarınızı kesinlikle gelişmiş, bulut tabanlı açık saptama ve yönetim teknolojisi sağlayan hizmetler ile denetlenmelidir. Internet üzerinden çalışan ve tarama yapan bu teknolojilerin oluşturduğu raporlar ile güncel açıklar rahatlıkla görülebilmektedir. Bünyeniz dâhilindeki Web sunucularınız, Web Zafiyeti Denetleme Araçları ile belirli zaman aralıkları denetlenmeli ve raporlanmalıdır. Web sunucularınız önünde mümkün ise WAF (Web Application Firewall) konumlandırmalıdır. Web sunucularınız üzerine uygulama ve bütünlük kontrolü yazılımları kullanılmalı, hakkı olmayan kullanıcıların değişiklik yapılması engellenmelidir. Web Sunucular ile veri tabanları birbirinden izole edilmeli web sunucu üzerinden veri tabanına direkt erişim olmamalıdır. Ağustos 2013 beyazşapka 11

12 Muammer Benzeş a mubenz@microsoft.com Active Directory Rights Management Services (AD RMS) ile Bilgi Güvenliği Her büyüklükteki organizasyon; yanlış, dikkatsiz ve kötü niyetli kullanıma karşı değerli bilgilerini korumak zorunda kalmaktadır. Bilgi hırsızlıkları ve verileri korumak için oluşturulan yeni yasal düzenlemeler dijital içeriğin korunması ihtiyacını en önemli konulardan biri haline getirmektedir. Bilgi güvenliğini sağlamak için var olan altyapı ile entegre çözümler kullanabilir miyiz? Bilgisayar kullanımının gelişen teknoloji ve ihtiyaçlar doğrultusunda hızlı bir şekilde artması paralelinde gerek kişisel gerekse kurumsal bilgilerin dijitalleşmesini beraberinde getirmiştir. Bilgilerin dijitalleşmesi ile hemen her gün bilgisayar başında yeni kurumsal bilgiler oluşturulmakta; bu bilgiler gerektiğinde yorumlanarak, eklemeler ve birleştirmeler ile farklı biçimlere de çevrilmektedir. Böylece kuruma özel ve gizli birçok bilgi metinler, raporlar, sunumlar gibi birçok farklı biçimde ortaya çıkmaktadır. Oluşan bu bilgi; kurumdaki diğer varlıklar gibi bazen hayati önem taşımakta ve kurum için en iyi şekilde korunması gereken bir varlık haline gelmektedir. Bilginin korunması; teknolojinin gelişmesi, bilgiye ulaşma ve paylaşma yöntemlerinin gelişmesi, bilerek veya bilmeyerek bilginin dışarıya çıkabilmesi gibi nedenlerle önemini giderek artırmaktadır. Bilginin kurum dışına çıkması; kurumun itibarına ve marka imajına zarar verebilmekte, önemli ve gizli stratejilerin istenmeyen kişilere ulaşmasına sebep olmakta, ayrıca gelir kayıplarının yaşanmasına veya hukuki problemler ile uğraşılmasını da beraberinde getirebilmektedir. Bu nedenle birçok sektörde bilginin korunması için çeşitli yasal düzenlemeler ve kurallar zorunlu hale getirilmektedir. Bilginin korunması için bilgi güvenliği olarak isimlendirilen yöntemler de geliştirilmektedir. Bilgi güvenliği; kurumdaki iş sürekliliğinin sağlanması, aksaklıkların azaltılması, yanlışlıkla veya kötü niyetle bilgi sızmalarının önlenmesi gibi birçok farklı tehditten korunmayı sağlamayı amaçlamaktadır. Bu amaç için güvenlik politikalarının belirlenmesi ve uygulanması amacıyla Bilgi Güvenliği Yönetim Sistemi (ISO 27001) gibi standartlarda oluşturulmaktadır. Günümüzde, bilgi güvenliği ve bilginin dışarı çıkmasının engellenmesi için çalışmanın yanında bir çözüm olarak bilginin dışarıya çıksa bile korunması ve erişiminin kısıtlanması için de yöntemler geliştirilmektedir. Microsoft ve Bilgi Güvenliği Kurum içerisinde oluşan farklı biçimlerdeki bilginin korunması ve kötü niyetli kişilerin eline geçmesinin engellemesi için ortaya çıkan çözümlere paralel olarak Microsoft ta çözümler sunmaktadır. Bunların içerisinde en çok kullanılanı da Rights Management Services (Hak Yönetimi Servisleri) veya kısaca RMS olarak isimlendirilen çözüm olmaktadır. RMS; ilk olarak Rights Management Server adıyla Windows Server 2003 ile ortaya çıkmış, Windows XP ve Windows 2000 işletim sistemlerinde kullanılabilmiştir. Windows Vista ve sonrasında çıkan tüm işletim sistemleri içerisinde de varsayılan olarak yer alarak konfigürasyonu ve kullanımı çok daha kolay bir hale getirilmiştir. Windows Server 2008 ile birlikte Active Directory Rights Management Services (AD RMS) adını almış ve Active Directory ile entegrasyonu artırılmış, diğer Microsoft ürün ve çözümleriyle de kullanılabilmesi sağlanmıştır. 12 beyazşapka Ağustos 2013

13 oluşturulan içerik üzerinde hangi hakların olduğu bilgisi yayınlanmaktadır. Bu yayın ile içeriğe kim in (belirli kullanıcı veya gruplar gibi) erişebileceği ve ne yapabileceği (okuma, düzenleme, yazdırma vb.) tanımlanmaktadır. Bu tanımlamalar ile kullanıcının kimliği tanımlanmakta ve hakları belirlenmektedir. Örneğin, bir Word dosyasını kurum içerisindeki herkesin sadece okuyabilmesi, bununla birlikte Yöneticiler grubuna dâhil olan kullanıcıların yazıcıdan çıktısını alabilmesi veya bir Excel dosyasında sadece kurum içerisindeki kullanıcılar tarafından açılabilmesi, kurum dışına herhangi bir şekilde çıkmış olsa bile açılamaması sağlanabilmektedir. AD RMS ile yetkisiz kullanıcıların içeriğe ulaşması engellenebilmekte veya yetkisiz kullanımlar raporlanabilmektedir. Ayrıca AD RMS ile zaman zaman yetkisiz kullanımın engellenmesinden çok daha önemli olabilen bilginin ne zaman ve nereden, kimin tarafından sızdırıldığı, kimlere ulaştığı gibi bilgileri almak da mümkün olabilmektedir. RMS Nasıl Çalışıyor? RMS, içerik oluşturuculara bu içeriğe nasıl ulaşılacağını kontrol imkânı sunmaktadır. RMS ile özel bilgiler yani Yapılan bu tanımlar doğrultusunda, bir kullanıcı dosyayı açmak istediğinde öncelikle kimliği tespit edilmekte, doğru kullanıcı ise tanımlanan haklar doğrultusunda izinler ilgili uygulama tarafından belirlenerek erişimine izin verilmektedir. RMS in çalışabilmesi için öncelikle bir Active Directory ortamının bulunması ve bu ortam üzerinde RMS hizmetinin çalışacağı bir sunucunun konfigüre edilmesi gerekmektedir. Bu sunucu üzerinde her kullanıcının tek tek tanım yaparak zaman kaybetmemesi ve standartların oluşturulması için çeşitli şablonlar (template) oluşturulabilir. Böylece tüm kurum içerisinde benzer kurallar kolayca uygulanabilir. RMS kuralları dosya içerisine belgeyi oluşturan kişi tarafından uygulandıktan sonra bu kurallar ancak yine aynı kişi tarafından kaldırılabilmektedir. Mayıs 2013 beyazşapka 13

14 RMS ile bir dosyaya aşağıdaki gibi izinler veya kısıtlamalar tanımlanabilmektedir : Okuma Düzenleme (değiştirme) İçeriği kopyalama İletme Yazdırma Programatik olarak ulaşma İçeriğe belirli bir tarihe kadar erişebilme RMS ile programatik olarak dokümanları korumak Yukarıda listelediğimiz uygulamalar ve bazı üçüncü parti uygulamalar ile dokümanlarda güvenlik sağlamak mümkün. Ancak gerek kurum içinde geliştirilen uygulamalar ile gerekse farklı kaynaklar aracılığıyla oluşturulan dosyalar/ raporlar için her seferinde tek tek RMS ile bilgi güvenliği sağlamaya çalışmak yerine Microsoft un sunduğu AD RMS SDK (Yazılım Geliştirme Kiti) ile uygulamaların içerisine otomatik RMS uygulama özelliği eklenebilir. RMS hangi uygulamalar ile çalışmaktadır? Aşağıdaki listede yer alan uygulamalar RMS desteklemektedir. Bu uygulamalar ile oluşturulan dosyalara istenirse ayrı ayrı tanımlama yapılabilmekte veya şablonlar kullanılabilmektedir. Office 2003 Office 2007 Office 2010 Office 2013 Office for Mac 2011 Sharepoint Server 2003 Sharepoint Server 2007 Sharepoint Server 2010 Sharepoint Server 2013 Exchange Server 2007 Exchange Server 2010 Exchange Server 2013 XPS dokümanları PDF dokümanları (üçüncü parti çözümler ile) Yeni AD RMS SDK 3.0 ile artık mobil uygulamalar (Windows 8, Windows Phone, ios ve Android) için RMS uygulamak da mümkün. Dosya Sunucusu, RMS ve File Classification Infrastructure (FCI) Çeşitli kaynaklar vasıtasıyla oluşturduğumuz dosyaları genellikle dosya sunucularında saklıyoruz. Peki bu dosyalar üzerinde otomatik olarak kurallar oluşturmak ve korumak mümkün mü? Dosya sunucunuz Windows Server 2008 R2 ve üzeri ise evet. Windows Server 2008 R2 ile birlikte dosya sunucusu özellikleri arasına File Classification Infrastructure (FCI) [Dosya Sınıflandırma Altyapısı] eklendi. FCI ile dosya sunucusu üzerindeki paylaşımlar, dosya türleri veya içeriklere göre dosyalarda sınıflandırma yapmak ve bu dosyalara kurallar uygulamak mümkün. FCI, sistem yöneticilerine iş kritik veriler üzerinde manuel olarak yapmak zorunda kaldıkları tanımları önceden tanımlanmış kurallar ile otomatikleştirme imkânı sunmaktadır. Örneğin bir organizasyonda iş kritik olmayan ve 3 yıldan eski olan dosyaların geçerliliğini yitirmesi ve kullanılamaması gibi bir 14 beyazşapka Mayıs 2013

15 kural olduğunu düşünelim. Bu kural FCI ile bir görev olarak organizasyon içerisindeki dosya sunucularında otomatik uygulanabilir. Yeni klasör eklenmesi gibi durumlar bu görevin çalışmasını değiştirmeyecek, dosyalar eklendikçe kurallar otomatik olarak uygulanacaktır. FCI ile otomatik uygulanabilecek kuralları aşağıdaki gibi özetleyebiliriz : Line of Business (LOB) uygulamalarından gelen (ör: IK uygulaması tarafından oluşturulan dosyalar) Dosyaların bulunduğu klasör Dosya sahibi Dosya içeriği Diğer (dosya büyüklüğü, dosya tipi vs.) sistem yöneticileri, sınıflandırma etiketleri ile uygun yetki yönetim politikalarını ilişkilendirebilirler. Bu politikalar, MS Office belge ve Outlook e postalarının, görüntülenmesi, kopyalanması ya da dağıtımını sadece bu bilgilere erişim hakkı olan kişilerle sınırlandırabilir. Bu ürünlerin birlikte kullanımı, kurumların bir yanda bilgilerini sınıflandırırken, diğer yanda sürekli korumalarına da olanak sağlar. Kurumların hem sınıflandırma hem de sürekli içerik koruma gereksinimlerini karşılamak için TITUS, sınıflandırma çözümleri ailesini, Microsoft AD RMS ile Microsoft Outlook ve Microsoft Office ile entegre çalışacak şekilde sunmaktadır. Microsoft Outlook, Word, Excel ve PowerPoint için Titus Mesaj ve Belge Sınıflandırma Çözümleri, AD RMS i devreye almada kurumlar için ideal ilk kademe çözümü sağlamaktadır. Ayrıca Titus Desktop Sınıflandırma çözümü ile, Microsoft Office formatı dışındaki dosya tiplerinde de (dvg, jpeg, mp4, mp3, avi, pdf vb.) sınıflandırma ile AD RMS uygulanmasını sağlar. TITUS: Bilgi Koruma için Kurumsal Bir Çözüm Titus; istem dışı kritik bir hata yaparak veri sızıntılarına neden olmadan önce kullanıcıları uyarır ve kurumların e posta ve belgelerini daha iyi yönetmelerine ve kontrol etmelerine olanak verir. Titus un geliştirmiş olduğu çözümler, bilgisayar ortamında GENEL, HİZMETE ÖZEL ve GİZLİ gibi hassasiyet derecelerini belirlemenin yanı sıra; doküman, dosya veya e postanın hangi departmana, hangi yetki seviyesine, hangi proje grubuna ait olduğu ya da erişim yetkisinin ne olduğu yönünde sınıflandırma ve etiketleme yapabilme yeteneğine sahiptir. Güvenlik çözümlerinin ne olduğundan bağımsız olarak Titus çözümleri; GİZLİ olan bilginin sızmasını önlemeye yönelik ürünler ile uyum içerisinde çalışır ve bu çözümlerin daha etkin çalışmasına destek verir. TITUS Sınıflandırma ile RMS Uygulanması Titus Classification (Sınıflandırma) yazılımları, AD RMS platformunun yayılım ve kullanımını kolaylaştırır. Titus un sınıflandırma çözümleri ile AD RMS kullanan müşterilerin Titus Sınıflandırma ve AD RMS entegrasyonu, güvenliği daha hassas seviyelere çekme yeteneğine sahiptir. Titus Sınıflandırma, dinamik politika uygulamaları ile Active Directory Departman gruplarının ya da Active Directory Proje gruplarının kullanımıyla oluşturulan sınıflandırma şeması kapsamında departmanlara ait gizli bilgilerin diğer departmanlarda ya da proje gruplarına ait gizli bilgilerin diğer proje gruplarında erişimini entegre ve paralel AD RMS yapılandırması kullanımıyla engeller ya da kısıtlar. Sonuç AD RMS, düzgün yapılandırıldığı ve kullanıldığında birçok organizasyona verileri üzerinde erişim kontrolü ve güvenliği sağlayacaktır. Böylece bilgi güvenliği sadece bir hayal olmaktan çıkıp gerçeğe dönüştürülebilecektir. AD RMS, farklı üçüncü parti uygulamalar ile entegrasyonlar da kullanılarak standart dosya tiplerinin dışındaki dosyaların da korunması sağlanabilir. Ayrıca Exchange sunucuları ile birlikte kullanılarak e posta yoluyla da verilerin dışarıya çıkmasının ve kötü niyetli kişilerin eline geçmesi engellenebilir. AD RMS SDK ile de benzer şekilde programatik olarak bilgi güvenliği sağlanabilir. Ağustos 2013 beyazşapka 15

16 Ozan Özkara WatchGuard Hız ve Yüksek Erişilebilirlik Haziran ayında bağımsız ürün test laboratuvarı Miercom tarafından UTM kategorisindeki önemli ürünler için test raporu hazırlandı. UTM pazarının bu kadar hareketli ve rekabetin kızıştığı ortamda bu verilerin kritik olduğunu düşünüyorum. Layer 4 UDP ve HTTP Firewall performans kriterleri göz önünde alınarak UTM fonksiyonlarına yönelik yapılan çalışmanın sonuçları oldukça önemli. Distribütörlüğünü yaptığımız Watchguard ın XTM (Extensible Threat Management) 850 ürünü kendi kategorisindeki en hızlı firewall unvanını aldı. İlgili testler standart UTM özellikleri altında yapılandırıldı. Tüm özelliklerin açık olduğu anda Layer 4 performans, uygulama seviyesi denetim, tarama, web ve IPS gibi kriterlere göre testler yapıldı. XTM bu alanda Proxy based bidirectional DPI (Deep Packet Inspection) teknolojisi ile diğer üreticilere göre önemli bir performans verisi elde etmeyi başardı. XTM 6 ayrı kategori seviyesinde yapılan testlerde en yakın rakibine göre 3.5 kat performansı ile dikkat çekti. Bu veriler kâğıt üzerindeki birçok üreticinin performans verisini çürüterek iki yönlü çalışan (bi directional) DPI Proxy mimarisinin önemini bir kez daha düşünmemizi sağladığı için önemlidir. Test sonuçlarında Watchguard ortalama 8 Gbps net firewall performansı ve UTM özellikleri açık olduğunda (web, Proxy, IPS, AV vb.) 4.2 gbps DPI performansı ile çok önemli bir performansa imza attı diyebiliriz. 14 GBe interface eşzamanlı trafik basıldığında bu değer layer 4 tarafında 8.14 Gbps olarak görülmektedir. Bu testler sırasında herhangi bir frame ve squance kaybı yaşanmadı. 16 beyazşapka Ağustos 2013

17 Watchguard XTM 850 tüm alanlarda oransal performans değerlerinde en iyi sonucu yakaladı Kaynak: Miercom Günümüz güvenlik ihtiyaçları bir firewalldan fazladır. APT, botnet ve çeşitli gelişmiş zararlı kod yapıları büyük kurumsal şirketleri etkilediği kadar KOBI boyutundaki şirketlere de zarar vermektedir. Dolayısıyla kurumların iş yapısından bağımsız olarak Gateway seviyesinde IPS ve Antivirus gibi teknolojilerin kullanılması zorunluluktur. UTM üreticileri arasında bu alandaki verilerin zayıf olması, özellikle içerik taraması ve güvenliği sınıfında bazı üreticilerin hem performans hem de false positive/ negative kriterlerinde sınıfta kalmasına zaman zaman neden olabilmektedir. Performans verilerinden çok ödün vermeden uygun güvenlik seviyesini sağlayan XTM 850 bu konuda çıtayı yükselttiğini söyleyebiliriz. göre %30 daha iyi false nagative/positive verisi elde edilmektedir. Dinamik Yönlendirme, WAN Failover, LACP desteği ve UTM alanlarına bakıldığında bu konuda lider olmuş üreticilerle (Broadcom, Websense, AVG vb.) yapılan iş birliktelikleri önemli olmaktadır. Yeni XTM teknolojisi DPI alanında %40, AV performansında %190, IPS performansı %220 ve toplamda %150 iyileştirme gerçekleştirmiştir. Watchguard FireCluster Erişilebilirlik günümüz IT ihtiyaçlarının vazgeçilmez parçası. Konu firewall olunca daha da kritik hale gelebiliyor. Firewall yüksek erişilebilirliği iki adet firewall cihazının failover konfigürasyonundan oluşmaktadır. Bu sayede güvenlik ve ağ komponentlerinin kritik yapısı olan firewall sistemlerinin yüksek güvenlik ve yedekliliği sağlanmaktadır. Genel olarak cluster mimarisi iki cihazın tek bir mantıksal cihaz gibi çalışması fikrine dayanır. Watchguard FireCluster Active/Active ya da Active/Passive yapıda kolayca çalışabilmektedir. Salt yedeklilik mimarisi için Active/Passive, bu durumda yedekteki firewall stand by modunda bekleyecek ve failover durumunda devreye girecektir. Yapının toplam kapasitesi tek firewall kadar olacaktır. Watchguard XTM 850 tüm alanlarda(gbps) oransal performans değerlerinde en iyi sonucu yakaladı Kaynak: Miercom Intel Quick Assist ve Freescale işlemci teknolojilerinin bir arada kullanılması, tüm UTM motorlarının güvenlik ve hız kriterleri altında optimize edilmiş olması nedeniyle aslında çok şaşırtıcı değildir. MultiCore donanım mimarisi ile tüm fonksiyonların eş zamanlı çalışmasıyla elde edilen Layer 4 performansında kullanılan çift yönlü DPI mimarisi ile bu değerleri kolayca yakalayabilmek mümkün hale geliyor. UTM verimliliği noktasında diğer üreticilere Active/Active mimarisinde üzerinden geçen ağ trafiği paylaşılacaktır. Ağ yolu açısından bir firewall üzerinden gelen trafik diğer firewall tarafında işlenerek geriye yollanabilir yapıda olabilmektedir. Watchguard A/A mimaride iki tekli cihaza yazılım lisanslaması açısından ihtiyaç duyarken A/P mimaride bir cihaz stand by olarak durduğu için tek lisans üzerinden cluster mimarisi oluşturulabilmektedir. FireCluster içerisinde bir cihaz master olurken diğer cihaz backup olarak çalışır. Master firewall üzerindeki cluster Mayıs 2013 beyazşapka 17

18 interface üzerinden firewall üzerindeki session bilgileri backup cihaz ile anlık olarak paylaşılmaktadır. Master firewall üzerindeki cluster interface down olduğunda diğer cihaz üzerindeki backup cluster interface üzerinden sistem çalışmaya devam eder. Bu durumda backup cihaz master olarak bu görevi üstlenecektir, diğer cihaz fonksiyonu yeniden sağlandığında sistem eski haline döner. FireCluster üç durumda cluster için yapılandırılabilir; Monitoring interface down olduğunda Master cluster üzerindeki; Bu durumda failover başlar master trafiği gönderemez ya da alamaz. FireCluster arabirimi üzerinden tüm cluster cihazlar ve port durumları görülebilir durumdadır. Manager üzerinden diğer cluster hakkında bilgiler görülebilmektedir. Bu durumda backup peer master olur ve failover başlar. 18 beyazşapka Mayıs 2013

19 Cluster master fonksiyonel çalışmadığında; Failover yine start olur, yazılımsal ya da hardware seviyesinde bir tespit olursa cluster master in yükü diğer eşine geçer. Cluster failover master komutu aldığında Sistem yöneticilerinin yazılım yenilemesi, güncellemeler ya da bakım işleri için bu komutu kullanması önerilir. Bu durumda eşi operasyonel olarak çalışmaya devam edecektir. Bakım söz konusu ise cluster yeniden devreye alındıktan sonra aynı işlem eşi işin yapılabilir durumda olacaktır. Tüm yapılar üzerinde master tarafta bir sıkıntı olduğunda ya da bakım yapıldığında backup olan eşi üzerindeki state ve flow bilgileri ile birlikte master pozisyona geçer. Sonrasında master olan eşi uygun olduğunda yeniden kendini backup mode a alacak ve diğer cihaz master cluster a olarak çalışmayaca devam edecektir. Bu durumda tüm firewall fonksiyonları; IPSEC VPN, MultiWAN,VLAN, PPTP, SSL, Kullanıcı Session ları yapısı ve routing görevleri dahil olmak üzere herhangi bir sıkıntı yaşanmadan çalışmaya devam edilebilir. Cluster için teknik ihtiyaçlar; Active/Active Cluster Konfigürasyonu Cluster üzerindeki interface lerin Multicast Mac address yapılandırmasına izin verecek yapıda olmalıdır. Cluster konfigürasyonundan önce ağ üzerinde multicast mac yapısı oluşturulmuş olmalıdır, ilgili network cihazları multicast mac packetlerini route edebilir yapıda olması zorunluluktur. Active/Passive Cluster Konfigürasyonu Bu yapıda multicast Mac yapısına gerek yoktur. Çünkü bir cihaz sürekli stand by durumdadır. A/A durumunda asenkron trafik olması durumunda (Birinci firewall dan geliş, ikinci firewall dan gidiş trafiğinin akması) bir adet mac adresi route edileceği için multicast routing e gerek yoktur. Watchguard XTM ürün ailesi iyi tasarlanmış sistemi, kolay kullanımı, hız ve yüksek erişilebilirlik seçenekleri ile UTM ve üst segmenteki pazar için oldukça iyi bir seçenek haline gelmektedir. Konu hakkındaki sorularınızı direk bana yazabilirsiniz. Bir başka yazıda görüşmek üzere. Konfigürasyon FireCluster kullanabilmek için öncelikle XTM cihazları üzerinde aynı yazılım sürümünün çalışıyor olması gerekir. Daha sonra cluster wizard ile cluster yapısı A/A veya A/P olarak yapılandırılır. Sistem yöneticileri cluster yapısını trusted inteface üzerinden kolayca yönetebilir. Cluster peer üzerindeki tüm interface ve cluster yapısı firecluster yönetim arabirimi üzerinden görülebilmektedir. Cluster yapısında mantık iki firewall un tek bir logical cihaz haline dönüşmesidir. Ağustos 2013 beyazşapka 19

20 Tarkan Çiçek Veri Depolama Sistemleri (2) Genel kavramlar ve ürünler üzerine bilgilendirme ve inceleme. Disk Kontrol Kartları: Disk kontrol kartları işlemci ile disk arasındaki iletişimi sağlayan birimlerdir. İlk zamanlarda disk kontrol kartları ayrıca alınıp takılan ürünlerdi fakat günümüzde neredeyse tüm bilgisayarlarda ana kart üzerinde standart olarak disk kontrol kartları gelmektedir. Kartın tipine uygun olarak disk kullanmak gerekir. Genellikle bu kartlar üzerinde herhangi bir hızlandırıcı veya güvenlik arttırıcı (Raid) özellik bulunmaz. Bu tür işlemler gerekirse işletim sistemi tarafından gerçekleştirilebilir. Günümüz kullanıcı bilgisayarlarında SATA standart hale gelmiş olduğundan en çok kullanılan tip budur. Sunucu sistemlerinde standart hale gelen SAS kontrol kartları ise en az Raid-0 ve Raid-1 özelliklerini sunabilir olarak gelmektedir. Geçmişte birçok farklı disk kontrol kartları kullanılsa da (Ör: MFM, RLL, IDE, SCSI, vb.) günümüzde yaygın olarak SAS ve SATA kullanılmaktadır. Bu iki standart hakkında daha önce Arabirimler başlığı altında bilgi vermiştik (Bkz. Mayıs Sayımız) Raid Kontrol Kartları: Üreticiye göre değişmekle beraber temelde sunuculara takılan Raid kartları ile Depolama ürünlerinde bulunan Raid kartları aynı şekilde çalışır (Ana karta 20 beyazşapka Ağustos 2013