KURUMSAL GÜVENLİK POLİTİKASI OLUŞTURMAK NEXT GENERATION IPS PASSWORD SNIFFING KABLOSUZ AĞ GÜVENLİĞİNDE YENİ YAKLAŞIMLAR EN ETKİLİ GÜVENLİK YÖNTEMİ:

Transkript

1 2012 KURUMSAL GÜVENLİK POLİTİKASI OLUŞTURMAK NEXT GENERATION IPS PASSWORD SNIFFING KABLOSUZ AĞ GÜVENLİĞİNDE YENİ YAKLAŞIMLAR EN ETKİLİ GÜVENLİK YÖNTEMİ: ŞİFRELEME PCI DSS UYUMLULUK YOLCULUĞU Mayıs 2012 beyazşapka 1

2 Değerli abonemiz, İçindekiler 03 >> PCI DSS Uyumluluk Yolculuğu Onur Arıkan 06 >> Kurumsal Güvenlik Politikası Oluşturmak Serkan Akcan 08 >> Kablosuz Ağ Güvenliğinde Yeni Yaklaşımlar Caner Dağlı 10 >> AirTight Lider Kablosuz Ağ Güvenliği Çözümü Erkan Şen 12 >> Next Generation IPS Birant Akarslan 2006 Yılının Şubat ayında yayına başlayan Beyaz Şapka 13 sayı yayınlandı ve adetin üzerinde dergi Türkiye nin dörtbir köşesine ücretsiz dağıtıldı. Dolu dolu kırk sayfaya ulaşan Beyaz Şapka birçok sponsorun desteğiyle yaşadı. Hem projenin hayalimizden daha çok büyümesi hem de sponsorluklarda yaşadığımız zorluklar nedeniyle Beyaz Şapka dergisi 2009 Şubat sayısıyla sona erdi ve hayatına internet portalı olarak devam etti. Beyaz Şapka sektörde çok büyük bir iz bıraktı. Her toplantımızda, her seminerimizde ve katıldığımız her konferansta sektör çalışanları Beyaz Şapka nın tekrar çıkmasını istediklerini binlerce defa söylediler. Ve sonuçta Beyaz Şapka tekrar hayat buldu. Yenilenen Beyaz Şapka da bazı küçük değişiklikler var. Beyaz Şapka hazırlayanları ve okuyucuları yormamak için artık kırk sayfa çıkmayacak ve sayfaları sektörün tamamına açık olmayacak. Öngördüğümüz sayfa sayısı arası. Bu sayfalar Nebula Bilişim in kendisine, Beyaz Şapka ya destek veren iş ortaklarına ve Nebula Bilişim müşterilerine açık olacak. Sektörde önemli gördüğümüz konuları uzmanların kaleminden aktarmaya da devam edeceğiz. 14 >> Password Sniffing İrfan Kotman 16 >> Geçmişten bugüne bilgilerinizin güvenliğini sağlayan en etkili yöntem ŞİFRELEME Mehmet Gülyurt 18 >> DLP Projesi Başarı Kriterleri Mustafa Çetin Beyaz Şapka artık binlerce kişiye dağıtılmayacak. Sadece Nebula Bilişim CRM sistemine kayıt edilmiş ve Beyaz Şapka abonesi olarak işaretlenmiş kişilere Beyaz Şapka gönderimi otomatik olarak yapılacak. Nebula ile bir ilişkisi olmayanlar için Beyaz Şapka nın PDF sürümü dağıtılacak. Beyaz Şapka nın kendine ait bir web sitesi de bulunmayacak. Nebula Bilişim kurumsal web sitesinin içinde bir bölüm olarak yayın yapılacak. Beyaz Şapka nın PDF sürümü ve çeşitli video sunumları bu sayfalardan izlenebilecek. Mevcut videoları hemen şimdi izleyebilirsiniz: Umarız ki Beyaz Şapka yeni dönemde beklentilerinize cevap verir. Lütfen Beyaz Şapka ya katkıda bulunmak ve fikirlerinizi iletmek için bize yazın. Beyaz Şapka Nebula Bilişim tarafından üç ayda bir yayınlanır ve Nebula Bilişim müşterilerine ücretsiz dağıtılan bir broşürdür. Beyaz Şapka Nebula Bilişim in tescilli markasıdır ve her hakkı saklıdır. Güvenli Günler! Beyaz Şapka Yönetimi 2 beyazşapka Mayıs 2012

3 Onur Arıkan Pci Dss Uyumluluk Süreci. Güvenlik İçin Zor Ama İmkansız Olmayan Bir Yolculuk Günümüzde bilgiyi artan tehditlere karşı korurken aynı zamanda yönetmeliklere uyum sağlayabilmek sizce mümkün mü? Günümüzde farklı bilgi güvenliği standartları arasında belki en teknik standartlardan birisi olan PCI DSS (Payment Card Industry Data Security Standard) in bilinirliği her geçen gün artıyor. Bu da kredi kartı ile yapılan e ticaret in çok hızlı geliştiği ülkemizde süpriz değil. PCI DSS tamamen kartlı ödeme sistemlerinin güvenliğine odaklanmış bir standart. Bugün özellikle standardı ana hatlarıyla incelemeye çalışırken şirketlerde karşılaştığımız bazı soruların yanıtlarını da sizinle paylaşmaya çalışacağız. Öncelikle PCI DSS i yayınlayan kuruluştan PCI SSC den bahsedelim. Bu konsey VISA, Mastercard, American Express, JCB ve Discover gibi çok uluslu kart markaları tarafından oluşturulmuş. Konseyin amacı kartlı ödeme standartları ile ilgili standartları oluşturmak, bu standartlara uygunluğu denetleyecek denetçi firmaları (ASV, QSA) belirlemek ve listesini duyurmak, ödeme uygulamalarından uyumlu olanları listelemek, eğitimler vermek ve sektördeki kuruluşlar arasındaki iletişimi sağlamak olarak özetlenebilir. Biz bugün PCI DSS den bahsediyor olsak da aslında konseyin duyurduğu tek standart bu değil. Konseyin sitesinde bulunabilecek standartlar : 1 PCI DSS Kart bilgisinin güvenliğini sağlamaya yönelik kurallar 2 PA DSS Ödeme uygulamalarının uyması gereken kurallar 3 PTS PIN bilgisinin güvenliğini sağlamaya yönelik kurallar PCI DSS güncel versiyonu olan 2.0 ile tek bir standartır. Bankalar, üye isyerleri ve servis sağlayıcılar için de aynı standart geçerlidir. Standart PCI SSC tarafindan yayınlanır. Kart markaları (VISA, Mastercard, AMEX,vb) bu standarda göre kendi uyumluluk programlarını, kuralları, cezaları, uyumluluğu ispatlama gereksinimlerini, olay yeri inceleme koşullarını belirler. Bu kurallar Amerika, Avrupa, Asya Pasifik için değişiklik gösterebilir. Türkiye Avrupa bölgesinde olarak değerlendirilir. Taraflar : PCI SSC PCI Konseyi Standardları oluşturur ve duyurur. Üye işlerine, servis sağlayıcılara ya da bankalara herhangi bir yaptırımda bulunmaz. Kart Markası : Kartların üzerinde logosu bulununan kart markası. Bankaların, servis sağlayıcıların ve üye işlerinin PCI DSS e uygunluklarını ispatlamaları için gerekli koşulları belirler. Uyumluluk konusunda üye işyeri ile doğrudan teması olmaz. Bu sorumluluğu Üye İş Yeri Bankası na verir. Cezaları ve yaptırımları belirler. Kart bilgisinin yetkisiz kişilerin eline geçmesi durumunda yapılacakları belirler Üye İşyeri Bankası Acquirer Üye işyerlerine POS ve Sanal POS kullandıran, otorizasyonun kendi üzerinden geçerek kart sahibi bankasına iletilmesini sağlayan banka. Kart Sahibi Bankası Issuer Alış veriş yapan kişinin kredi ya da banka kartını veren banka Servis Sağlayıcı Kartlı ödeme sürecinde kredi kartının güvenliğini etkileyebilecek hizmetler sağlayan herhangi bir 3. Taraf firma. Bankalara ya da üye işyerlerine hizmet sağlayabilirler. QSA Qualified Security Assessor Yerinde denetim hizmeti sağlayan ve PCI konseyi tarafından yetkilendirilmiş firmalar. ASV Approved Scanning Vendor Internet üzerinden her 3 ayda bir yapılması gereken açıklık tarama hizmetini sağlayan ve PCI konseyi tarafından yetkilendirilmiş firmalar. Kim kime karşı sorumlu? Buradaki sıralama kısaca şöyle özetlenebilir ; Kart markaları, kendi kartlarının kullanılabileceği POS/Sanal POS sistemleri ile ilgili olarak üyelerini ya da başka bir söylemle bankaları görevlendirir. Bankalardan POS ları kullanacak üye işyerlerindeki kart bilgisinin güvenliğini sağlamalarını ister. Banka da POS unu kullanacak üye işyerinden kredi kartı ile ilgili süreçlerinin güvenli olmasını bekler. Üye işyerleri bunun nasıl olacağını sorduklarında; yanıt PCI DSS e uymaları olacaktır. Bankalar (Üye işyeri bankası Acquirer) kart markalarına karşı sorumludur. Dolayısıyla üye işyerlerinin uyumluluk durumunu takip etmek, bunu kart markalarına raporlamak, üye isyerlerini uyumlu duruma getirmek bankanın sorumluluğundadır. Banka isterse POS u açar isterse kapatır. Kimi zaman da kart markasının bankalara uyguladıkları cezai yaptırımları üye işyerine yansıtır. Kapsam PCI DSS kapsamına hangi kurumlar girer? Bir örnek vermek gerekirse kredi kartı tahsilatı ile sosisli sandviç satan firma da internet üzerinden satış yapan bir e ticaret firması da Mayıs 2012 beyazşapka 3

4 aynı standarta (PCI DSS v2.0) uymak zorundadır. Bir kurumun PCI DSS kapsamına girip girmediğini anlaması için şu soruları kendisine sorması gerekir. 1 Ben kartsahiplerinin kredi/banka kartı bilgisini saklıyor muyum? (store) 2 Ben kredi/banka kartını işliyor muyum? (process) 3 Ben kredi/banka kartını iletiyor muyum? (transmit) Bunlardan herhangi birisine evet yanıtı veriliyorsa PCI DSS e uygun hareket edilmesi gerekmektedir. İsterseniz bu aşamada bir soru ile kapsamı iyice netleştirelim : Aşağıdakilerden hangisi PCI DSS kapsamına girmez? 1 E ticaret firmasi olan bir üye isyerinin backup tape lerini saklayan 3. parti bir firma 2 E Ticaret sunucularımızın bulunduğu Web hosting firması 3 Sadece ses kayıtlarını saklayan, telefonla kredi kartı talimatlarını alan bir çağrı merkezi 4 Yalnız 5 şubesi olan ama üye işlerine POS kullandıran bir banka 5 Sadece araba yıkayan ve fiziksel POS kullanan bir yıkama yağlama dükkanı 6 Sadece faks ile gonderilen kredi kartı talimatlarını alan bir firma 7 Kart bilgilerinin ilk 4 son 4 rakamını saklayan bir üye işyeri 8 Kredi kartıyla işlem yapan ama işlemlerinde 3DSecure kullanan bir üye işyeri 9 Kart bilgisini saklamak zorunda kalan ve her ay rutin tahsilat yapan sigorta şirketleri 10 Benzin istasyonları 11 Kamu kurumları (ör. vergi tahsilati yapan Gelir İdaresi Başkanlığı) Yukarıdaki tüm örneklerde kapsam için sormamız gereken soruları sorduğumuzda hepsinin PCI DSS e uyması gerektiğini görebiliriz. Üye işyeri seviyeleri ve servis sağlayıcı seviyeleri Kart markaları tarafından belirlenir. Bunun temel amacı üye işyerleri ve servis saglayıcıların standara uygunluğunu ne şekilde ispatlayacağını detaylandırmaktır. Kimi zaman üye işyerinin beyanı SAQ (Self Assessment Questionaire) yeterlidir. Kimi zaman ise QSA tarafından yapılması gereken yerinde denetim (on site audit). Her kredi kartı markası kendisine göre seviyeler belirler. Ancak VISA ve Mastercard ın seviyeleri hemen hemen aynıdır. Mastercard üye işyeri seviyeleri Servis sağlayıcı seviyeleri üye işyerleri seviyelerinden farklıdır. Örnegin seviye sayısı 4 yerine 2 dir. retailers/payment_ security/service_providers.aspx PCI DSS standardı 6 başlıkta 12 ana gereksinimden oluşur. Her gereksinimin altında da alt maddeler bulunmaktadır. Güvenli Ağ Oluşturma ve Yönetim 1. Kart sahibi bilgilerinin korunması için güvenlik duvarı kurulumu ve yönetimi. 2. Üretici firmaların sağladığı sistem şifreleri ve diğer güvenlik parametreleri gibi öntanımlı parametrelerin kullanılmaması. Kart Sahibi Bilgilerinin Korunması 3. Saklanan kart sahibi bilgisinin korunması. 4. Açık genel ağlar üzerinden kart sahibi bilgisi iletiminin şifrelenmesi. Zafiyet Yönetim Programının Sürdürülmesi 5. Düzenli güncellenen anti virus yazılımlarının kullanılması. 6. Güvenli sistemlerin ve uygulamaların oluşturulması ve sürdürülmesi. Güçlü Erişim Kontrol Önlemlerinin Uygulanması 7. Kart sahibi bilgilerine erişimin iş ihtiyaçlarına göre sınırlandırılması. 8. Bilgisayar kullanıcısı her kişiye tekil kullanıcı hesabı oluşturulması. 9. Kart sahibi bilgilerine fiziksel erişimin sınırlanması. Düzenli Olarak Ağların İzlenmesi ve Test Edilmesi 10. Ağ kaynaklarına ve kart sahibi bilgisine yapılan tüm erişimlerin izlenmesi ve kaydedilmesi. 11. Güvenlik sistemlerinin ve işlemlerinin düzenli test edilmesi Bilgi Güvenliği Politikalarının Sürdürülmesi 12. Bilgi güvenliğini adresleyen politikanın sürdürülmesi. Sonuç : PCI DSS risk değerlendirmesini yaptığı kredi/banka kartının korunmasını hedefleyen zor ama son derece mantıklı, teknik bir standarttır. Kurallar nettir. Maddelere uygun olup olmadığınızı net bir şekilde ölçebilir. Bu yüzden de çok fazla bir esneklik söz konusu değildir. Bugüne kadar kart bilgisinin çalınması ile ilgili incelemelerde hemen hemen tüm olaylarda PCI DSS e uyumsuz bir durum raporlanmıştır. Bu standartla ilgili en güzel taraf ise önerilen güvenlik çerçevesini temel alarak şirketler kartlı ödeme sistemleri dışındaki diğer bilgilerini de koruyacak bir altyapı kurabilirler. 4 beyazşapka Mayıs 2012

5 Category Criteria Requirements Compliance Date Level 1 Any merchant that has suffered a hack or an attack that resulted in an account data compromise Any merchant having more than six million total combined MasterCard and Maestro transactions annually Any merchant meeting the Level 1 criteria of Visa Any merchant that MasterCard, in its sole discretion, determines should meet the Level 1 merchant requirements to minimize risk to the system Annual Onsite Assessment 1 Quarterly Network Scan conducted by an ASV 2 30 June Level 2 Any merchant with more than one million but less than or equal to six million total combined Master- Card and Maestro transactions annually Any merchant meeting the Level 2 criteria of Visa Annual Self-Assessment 4 Onsite Assessment at Merchant 30 June Discretion 4 Quarterly Network Scan conducted by an ASV 2 Level 3 Any merchant with more than 20,000 combined MasterCard and Maestro e-commerce transactions annually but less than or equal to one million total combined MasterCard and Maestro e-commerce transactions annually Any merchant meeting the Level 3 criteria of Visa Annual Self Assessment Quarterly Network Scan conducted by an ASV 2 30 June 2005 Level 4 All other merchants 5 Annual Self-Assessment Consult Acquirer Quarterly Network Scan conducted by an ASV 2 1. Effective 30 June 2012, Level 1 merchants that choose to conduct an annual onsite assessment using an internal auditor must ensure that primary internal auditor staff engaged in validating PCI DSS compliance attend PCI SSC ISA Training and pass the associated accreditation program annually in order to continue to use internal auditors. 2. Quarterly network scans must be conducted by a PCI SSC Approved Scanning Vendor (ASV). 3. Initial compliance date of June, 2005 for Level 1 merchants has now passed. The 30 June 2012 deadline is for PCI SSC ISA training and certification only and is for those merchants that choose to conduct an annual onsite assessment using an internal auditor. 4. Effective 30 June 2012, Level 2 merchants that choose to complete an annual self assessment questionnaire must ensure that staff engaged in the self assessment attend PCI SSC ISA Training and pass the associated accreditation program annually in order to continue the option of self assessment for compliance validation. Alternatively, Level 2 merchants may, at their own discretion, complete an annual onsite assessment conducted by a PCI SSC approved Qualified Security Assessor (QSA) rather than complete an annual self assessment questionnaire. 5. Level 4 merchants are required to comply with the PCI DSS. Level 4 merchants should consult their acquirer to determine if compliance validation is also required. Mayıs 2012 beyazşapka 5

6 Serkan AKCAN Kurumsal Güvenlik Politikası Oluşturmak Bu yazıyı okuyun ve Amerika yı yeniden keşfetmeden kurumsal bilgi güvenliği politikanızı oluşturun. Bankalar, Amerikan borsalarında işlem gören şirketler, telekom operatörleri ve kredi kartı ile işlem yapan şirketler çok şanslı. BDDK bankalara COBIT i, Amerikan devleti Amerikan borsalarında işlem gören şirketlere Sarbanes-Oxley (SoX) standardını, BTK telekom operatörlerine ISO i, PCI SSC ise kredi kartı ile işlem yapan şirketlere PCI DSS i zorunlu tutuyor. Bu kurumlar zorunluluklar sayesinde en azından bir güvenlik politikasına sahip oluyor. ITIL, HIPAA ve Fisma gibi uluslararası diğer standartları hiç saymıyorum. Bu zorunluluklara sahip olmayan diğer şirketler ise zor durumda. Standartlar zorunlu tutulmadığı sürece şirketlerin belirli standartlara kavuşması ancak ileri düzeyde kurumsallaşan şirketlerde mümkün olabiliyor. Üstelik herhangi bir zorunluluğa sahip olmayan Türk şirketleri sayılamayacak kadar fazla. Aşağı yukarı her Türk şirketin genel problemi ise bir BT ve bilgi güvenliği politikasına sahip olmaması. Bu şirketlerde görev yapan BT yöneticilerinin, bilgi güvenliği yöneticilerinin, orta ve üst düzey yöneticilerinin ortak kaygısı bilgi güvenliği politikası oluşturamayacaklarını ve yürütemeyeceklerini düşünmeleri. Yöneticilerin bu karamsar kanıya varmalarının iki temel sebebi olduğunu düşünüyorum. Birincisi ve en önemlisi bugüne kadar hiçbir politikaya sahip olmadan sistemin kontrolsüz biçimde yaygınlaşmış olması. Bu sebebin haklı bir sebep olduğunu kabul etmeliyiz. Politikasız büyümüş sistemler genellikle arap saçına dönmüş ve birkaç parlak personelin kişisel marifetiyle yürür. Karamsarlığın sebebi haklı olsa da mücadele etmemeyi gerektirmez. Bugün politika yaratılmazsa sistem kontrolsüz büyümeye devam edecek ve ileride kontrol altına almak çok daha zorlaşacaktır. İkinci sebep ise yöneticilerin bilgi güvenliği yönetim sistemi, risk analizi, BT yönetim politikaları ve bilişim hukuku gibi konularda kendilerini yetersiz görmeleri. Çoğu yönetici kurumuna bir bilgi güvenliği yönetim sistemi ve politikası kazandırmaya nereden başlaması ve nasıl bir yol haritası ile çalışmayı sürdürmesi gerektiğini kestiremiyor. Bu durum nasıl sonuçlanıyor dersiniz? Virus saldırıları, bozulan ve yedeklerden dönülemeyen önemli bilgiler, hacker atakları, kaybolan ve daha kötüsü nereye gittiği bilinmeyen kritik veriler. 6 beyazşapka Mayıs 2012

7 Son dönemde herhangi bir regülasyona tabi olmayan Türk şirketleri ile bilgi güvenliği üzerine yaptığımız toplantılarda gördüğümüz genel durum bu. Herkes bir bilgi güvenliği politikasına sahip olmanın şart olduğunu biliyor ancak süreci başlatmak için adım atmakta sıkıntı yaşanıyor. Amerika yı yeniden keşfetmeden kurumsal bilgi güvenliği politikasına sahip olmanın yolu ISO ve PCI DSS standartlarından geçiyor. ISO Bilgi Güvenliği Yönetim Sistemi (BGYS) Diğer ISO standartlarında olduğu gibi ISO BGYS standardı da her kuruma uygulanabilecek şekilde geliştirilmiştir. Böyle olduğu için bilgi güvenliği teknolojileri ile çok iç içe değildir. ISO süreci başlatan kurumlar genellikle hangi güvenlik teknolojilerini kullanmalarını gerektiğini kestirmekte zorlanır. ISO teknik bir yaklaşımdan ziyade yönetimsel bir yaklaşıma sahiptir. Standart kurum yetkililerinden varlıklarını kontrol etmelerini, değerlendirmelerini, risk analizlerini yapmalarını, rutin kontrol ve prosedürlerin hazırlanmasını ve yürütülmesini bekler. İyi analiz edilmiş, prosedürler, geliştirilmiş ve dokümante edilmiş sistemlerin sağlığı parlak personelin kişisel marifetinden alınıp kurumsal bir standarda teslim edilmiş olur. Konuyu çok lafa boğmadan klasik bir ISO BGYS kurulumunun görev listesini yazayım. 1. BGYS İç eğitim 2. Genel gereksinimler 3. Dokümantasyon gereksinimlerin belirlenmesi 4. Fiziksel ve çevresel güvenlik sağlanması 5. BGYS Politikasının oluşturulması 6. BGYS Takımının Atanması 7. Varlık listesinin hazırlanması 8. Güvenlik politikalarının hazırlanması 9. BGYS Dokümantasyon gerekliliklerinin sağlanması, zorunlu prosedürlerin adaptasyonu 10. Risklerin tanımlaması 11. Risk değerlendirme 12. BGYS Takım görev tanımlarının oluşturulması 13. Kontrol prosedürlerin hazırlanması 14. Uygulanabilirlik Bildirgesi hazırlama 15. BGYS uygulanması ve izlenmesi 16. BGYS iç denetimleri 17. BGYS yi yönetimin gözden geçirmesi 18. İyileştirme fırsatlarının belirlenmesi (düzeltici /önleyici faaliyetler) Farkedebileceğiniz gibi ISO BGYS görev listesinde hiçbir bilgi güvenliği teknolojisinden bahsedilmiyor. Hangi bilginin hangi teknoloji ile korunması gerektiğine standart mı karar verir yönetici mi? ISO BGYS teknoloji cevabı veremediği için kılavuzumuz PCI DSS olmalı. PCI DSS PCI SSC tarafından yayınlanan PCI DSS standardı kredi kartı bilgilerini korumaya yönelik geliştirilmiş teknik içeriğe sahip bir standarttır. İşte size Amerika yı tekrar keşfetmeden hangi bilgi güvenliği teknolojilerine yatırım yapacağınızı ve nasıl yöneteceğinizi bildiren standart. PCI DSS kablosuz ağ güvenliğinden şifrelemeye, şifre yönetiminden penetrasyon testine, statik kod analizinden integrity control sistemlerine kadar günümüz dünyasında bilgi güvenliği için şart olan bir çok teknolojinin nerede ve nasıl kullanılması gerektiğini açıkça belirtir. Beyaz Şapka nın bu sayısında PCI DSS ile ilgili bir makale bulunduğu için teknik detaya fazla girmiyorum. Standardı uygulama yükümlülüğü bulunmayan kurumlara basit bir sorum var. Şirketinizin kredi kartı kadar önemi olan ve korunması gereken bir verisi yok mu? Eminimki kurumların birçok bilgisi kredi kartı numalarından bile daha önemlidir. Öyleyse PCI DSS standardını alın ve kendinize uygulayın. Uygulama Bilgi güvenliği politikarını oluşturduktan sonra varlık yönetimini yapmaya başlamış, sürekli risk analizlerini yapan ve önlemleri alan, acil bir durumda nasıl bir aksiyon alınacağı önceden belirlenmiş, doğru bir iş sürekliliği ve veriye erişim mimarisine sahip bir sistem ortaya çıkacaktır. Bu sistem hem dış müşterileri hem iç müşterileri memnun edecek ve hizmet devamlılığı bir kurumsal refleks olacaktır. Daha önce bahsettiğim gibi Türk şirketlerinin önemli bir bölümü (özellikle KOBİ ler) ISO BGYS ve PCI DSS gibi standartları kendi başlarına uygulamakta zorluk çekerler. Bilgi güvenliği jargonu bilgi güvenliği ile sürekli yaşamayan BT çalışanları ve şirket yöneticileri için çoğu zaman anlaşılmazdır. Bilgi güvenliği politikasını oluşturmak, ISO BGYS kurulumunu yapmak ve PCI DSS ışığında kurum bilgilerinizi korumak için yapacağınız uygulama çalışmalarını bilgi güvenliği konusuna hakim şirketler ve danışmanları ile birlikte yürütmenizi öneririm. Ne kadar şanslısınız ki size tavsiye edebileceğim çok iyi bir bilgi güvenliği şirketi biliyorum. «Mayıs 2012 beyazşapka 7

8 Caner Dağlı Kablosuz Ağ Güvenliğinde Yeni Yaklaşımlar Kablosuz ağlar hiç olmadığı kadar hayatımızın içindeler. Cep telefonları, tabletler, taşınabilir bilgisayarlar ve hatta evimizdeki, arabalarımızdaki yardımcı cihazlara kadar bir çok teknoloji çevresi ve internet ile kablosuz olarak konuşuyor. Buna bağlı olarak da kablosuz ağ kullanımı her geçen gün artıyor. Peki, kablosuz ağlar ne kadar güvenli? Kablosuz Ağlar Her Yerde Kablosuz ağlar etrafımızdaki neredeyse tüm teknolojik aletler tarafından kullanılan bir bağlantı yöntemi haline geldi. Bunda şüphesiz mobil akıllı cihazların sağladığı hareketlilik ve internette hızla yayılan çoklu ortam kullanımının etkisi yadsınamaz. Artık video kliplerden tutunda sunucunuz üzerinde yapacağınız bir ayara kadar herşeyin bir videosu var. Makaleler yerine sesli ve görüntülü anlatım yeni moda ve yeni neslin daha çok tercih etttiği bir şey. İnternet kafeler tarih olmak üzere. Zira artık hemen herkesin bir akıllı cihazı var ve oturduğunuz bir kafeden tutun da en lüks lokantaya kadar her yer size kablosuz ağ bağlantısı sağlıyor. Bunların kimi şifre ile korunuyor, kimi ise müşterilere -belki de kötü kişilere kolaylık olsun diye şifresiz ve açık bir şekilde yayın yapıyor. Bireysel Açıdan Kablosuz Ağlar Bireyler açısından bakıldığında kablosuz ağ güvenliği kişisel çözümler ve biraz dikkat ile sağlanabilir. Şifrelenmemiş ya da zayıf şifreleme kullanan (WEP gibi) ağlara bağlanmamak, kafe ya da misafir ağlarından şifre kullanımı gerektirecek (bankacılık, finans ve hatta sosyal medya, eposta v.b.) sistemlere bağlanmamak en basit çözümler olarak uygulanabilir. Komuşunuzun şifresiz ya da zayıf şifreli ağına bağlanmak da sandığınız kadar kârlı bir iş olmayabilir. Kurumsal Ağlarda Kabolsuz Ağ Politikaları Ancak işin kurumsal ayağında durum çok daha farklı. Geçmişte bir olgu için bir politika sahibi olmanın ön koşulu o sisteme sahip olmaktı. Örneğin, kablosuz ağa sahip değilseniz ona ait kullanım ya da güvenlik politikalarına ihtiyacınız olmadığı düşünülürdü. Ancak gerek günümüz şartlarının farklılaşması gerekse bu mantığın yanlışlığı artık fark edilmeye başlandı. Eğer kablosuz ağ kullanmamak yönünde bir tercihiniz varsa dahi artık buna ait bir politikanız olmak zorunda. Şirketinizde izin verilmeyen uygulamaların olup olmadığı düzenli olarak denetlenmek ve kurum politikalarına aykırı girişimler engellenmek durumunda. Aynı internet erişiminde uygulanan politikalar gibi kablosuz ağlar için de kurum politikalarına sahip olmamız ve uygulamamız gerekiyor. Kendi Cihazını Getir Kurumsal firmalarda yeni bir yönelim de çalışanların kendilerine ait cihazlar ile şirket ağından ve dışarıdan şirket verilerine erişip, çalışabilmeleri. En basit örneği ile bir çok şirket çalışanlarının kurumsal eposta hesaplarına kendi akıllı telefonları üzerinden eişimine izin verir durumda. Bu da yanında yeni riskleri getiriyor. Öyleki; bir çalışan dışarıdan şirket verilerine akıllı cihazı vasıtasıyla erişirken sanal bir tehdit ile karşılaştığında şirket güvenliğini de sekteye uğratıyor. Kurumsal Ağlarda Karşılaşılabilecek Kablosuz Ağ Tehditleri Kurumsal ağlarda rastlanabilecek tehditler sadece yukarıdakilerle de sınırlı kalmıyor. Kötü niyetli çalışanlar, sanal korsanlar, iyi niyetli ama bilgisiz kullanıcılar ve diğer bazı etkenler de kablosuz ağ politikalarının uygulanması, yönetilmesi ve güveliğinin sağlanmasında farklı yaklaşımlar gerektiriyor. Kablosuz Ağ Tehditleri Kablosuz ağ tehditlerinin bazıları şekildeki gibidir. Bunlar kısaca şu şekilde açıklanabilir: 1. Yerel ağınızda istenmeyen kablosuz ağ erişim noktaları (Rouge Access Points) bulunabilir. Kötü niyetli ya da yanlışlıkla yerleştirilmiş olabilirler. 2. Yanlış ayarlanmış kablosuz ağ erişim noktaları bulunabilir. Ağ yöneticinizin ya da bir kullanıcının kurum politikasına uygun olmayan kablosuz ağ erişim noktasını yerel ağınızda çalıştırması sonucu ortaya çıkabilir. 3. Kullanıcıların (Taşınabilir bilgisayar, akıllı cep telefonu, tablet v.b.) kurumsal ağ dışındaki kablosuz ağ cihazlarına bağlanması şirket politikasını delebilir. 8 beyazşapka Mayıs 2012

9 4. Yetkisiz istemcilerin kurumsal kabolsuz ağlara bağlanabilmeleri. 5. Cihazlar arasında izin verilmemiş bire bir (Ad Hoc) bağlantılar yapılabilir. 6. Kablosuz ağınız taklit edilerek kullanıcıların dışarıdaki bir erişim noktasına bağlanmaları sonucu kablosuz ağ politikaları delinebilir. ( HoneyPot uygulaması) 7. Donanım adresi bilgilerinin taklit edilmesi. 8. Kablosuz ağınızı durdurmaya/işlemez hale getirmeye yönelik ataklar yapılabilir. 9. WEP şifrelemesi: Eğer hala kullanıyorsanız en uzun haliyle kurumsal kablosuz ağ şifreleriniz beş dakika içinde kırılabilir. (WEP günümüzde şifrelenmemiş ağdan pek de farklı değildir.) 10.Yetkili istemcilerinizin istemli ya da istem dışı olarak dışarıdaki bir kablosuz ağ ile bağlanarak yerel ağınızı tehlikeyi düşürmesi şeklinde özetlenebilir. Kurumsal bir ağda yukarıdaki gibi güvenlik riski taşıyan her bir senaryo için politikamızda kurumsal kablosuz ağımızı koruyacak bir önleminiz olması gerekir. Sizin de görebileceğiniz gibi bu tehditlerden bazılarının ağınızda bulunması için kurumsal bir kablosuz ağ yapınızın olması gerekmez. Neden Kablosuz Ağ Atak Engelleme Sistemleri Önemlidir? Yukarıda belirttiğimiz gibi kablosuz ağların birçok zaafiyetleri bulunmaktadır ve bu zaafiyetlerden yararlanmanın birçok yöntemi vardır; peki kablosuz atak engelleme sistemlerinin faydaları nelerdir? Öncelikle kendi cihazını getir kültürü ortaya çıktığından bu yana kablosuz ağ atak engelleme sistemlerinin önemi daha da artmıştır. Birçok akıllı telefon günümüzde kablosuz erişim noktası olarak konumlandırılabilmekte ve istenmeyen kablosuz ağlar olarak karşımıza çıkmaktadır. Şirket politikalarına uygun olarak bağlantı profilleri oluşturulabilen kablosuz ağ atak engelleme sistemleri ile şirket çalışanlarının istenmeyen kablosuz ağ bağlantılarına erişimleri sınırlandırılabilmekte, güçlü kimlik doğrulama yöntemleri uygulanabilmekte ve daha güçlü güvenlik mekanizmaları işletilebilmektedir. «Mayıs 2012 beyazşapka 9

10 Erkan Şen AirTight Lider Kablosuz Ağ Güvenliği Çözümü Günümüzde kablosuz ağ alt yapılarına yapılan ataklar hem tespit edilmesi zor hem de çok etkili ataklar. Üstelik bu sadece kurumsal kablosuz ağ alt yapılarının problemi de değil. Aynı zamanda kişisel erişim noktası gibi kullanılabilen akıllı cihazlarlar, tabletler ve benzeri cihazlar da kurumsal ağları tehdit eder durumda. Mobil uygulamaların artması, kurumsal ağlara bağlanabilen cihazların gün geçtikçe küçülmesi ve taşınabilirliklerin artması ile kablosuz ağ kullanımı da bunun paralelinde artmaya başladı. Kurumlarda kendi cihazlarıyla çalışan personelin artışı da bağlanabilirlik açısından büyük kolaylıklar sağlayan kablosuz ağ kullanımını körüklüyor. Kablosuz ağ kullanımının artmasıyla birlikte bu ağların yönetimi ve güvenliğinin sağlanması gerekliliği de önem kazanıyor. Kablosuz Ağ Ataklarından Korunmak Kurum sınırları içindeki kablosuz ağları yönetmek ve korumak kurum bilgi güvenliği politikalarında çok önemli bir yer tutuyor. Kablosuz ağ atakları özellikle fiziksel erişim gerektirmemesi nedeniyle tespit edilmesi, durdurulması ve haklarında kanıt toplaması oldukça zor ataklar. Ayrıca yapılan ayar hataları, açık unutulan aktif cihazlar ve kötü niyetli kişilerin kurumsal ağlara bağlayacağı kablosuz ağ erişim cihazları da tehlikenin boyutunu artıtırıyor. AirTight Kullanarak Tehditlerin Tespit Edilmesi AirTight patentli teknolojileri vasıtasıyla yukarıda bahsi geçen birçok tehdidi tespit edip engelleyebilir. Özellikle patentli Marker Packet tekniği sayesinde AirTight ağdaki istenmeyen kablosuz ağ cihazlarını hatasız bir şekilde tespit eder. Diğer bir çok çözümde komşularınızın kablosuz ağ cihazlarını da yönetmek zorunda olduğunuz gerçeğinin yanında AirTight patentli teknolojilerinin de yardımıyla sizi bu zorluktan kurtarır. niyetli erişim denemeleri gibi birçok atağı daha havadayken tespit edebilir, engelleyebilir ve anında görüp raporlayabilirsiniz. Başarılı Konum Tespiti AirTight kablosuz ağ altyapınıza yapılabilecek birçok atağı daha havadayken tespit edip gerçekleşmesini engelleyebilir. Sadece engellemekle kalmaz aynı zamanda çok iyi bir şekilde tehdidin konumunu da belirleyebilir. AirTight isterseniz konum planı üzerinde, isterseniz tehditi tespit eden sistemlere uzaklığı ile konumlandırma yapabilir. AirTight çözümü ile sadece yerel ağınızda bulunabilecek kablosuz ağ cihazları ile etikili olabilecek saldırılardan korunmakla kalmazsınız. Aynı zamanda kablosuz ağ ortamında gerçekleşecek servis durdurma atakları (DoS), erişim noktası ya da istemci taklidi, kablosuz ağ istemcilerinin şirket kablosuz ağlarından başka ağlara bağlanmaları sorunu, yetkisiz ve kötü AirTight kablosuz ağınızın sizin belirttiğiniz standartlarla çalışmasını denetler. Buna aykırı hareketleri tespit eder ve otomatik koruma mekanızmaları ile erişimleri engeller. Örneğin 10 beyazşapka Mayıs 2012

11 kullanıcılarınızın izin verilmemiş akıllı cihazlarının kurumsal kablosuz ağ şifrelerini bilseler dahi siz izin vermedikçe ağa bağlanmalarını engelleyebilir. Otomatik Cihaz Sınıflandırması AirTight otomatik cihaz sınıflandırması sayesinde şirket cihazları ile komşu cihazları başarılı bir şekilde birbirinden ayırır. Bu işlemler hem istemciler hem de erişim noktaları için ayrı ayrı otomatize edilebilir. Konum Bazlı Politikalar AirTight kullanarak çok noktaya dağılmış kurumsal organizasyonlarda konum bazlı politikalar oluşturulabilir ve her yeni eklenen sistemin ilgili politikalara tabii olarak çalışıp çalışmadığı denetlenebilir. planlanabilir. Ayrıca bu politikalar yukarıdan aşağıya doğru iletilecek şekilde de Entegrasyon ve İletişim Kabileyetleri AirTight SpectraGuard yönetim konsolu ArcSight, CheckPoint, McAfee epo ve Qualys ile bilgi paylaşımı yapabilir. SNMP ve Syslog kullanarak bunlar dışındaki yazılımlarla da iletişimde olabilir. McAfee epo konsolu sayesinde bütünleşik bir bilgi güvenliği politikası için tek merkezden izleme ve raporlama olanakları sunar. Standartlar ve Uyumluluk Raporları AirTight bazıları ülkemizde de önemli olan PCI DSS, Sarbanes- Oxley (SOX), HIPAA, Gramm- Leach-Bliley (GLBA), and DoD Directive gibi standartlar için hızlıca raporlar üretebilir. Ayrıca bazı standartlarda bulunan gereksinimleri de hızlı ve kolay bir çözüm olarak sağlayabilir. Kablosuz Ağ Performans Ölçümleri AirTight aynı zamanda kablosuz ağ alt yapınızın performansının ölçülmesi ve problemlerinin tespit edilmesi ve giderilmesinde de yardımcı olur. AirTight Kullanmanın Faydaları Kablosuz ağlar için tüm standart frekans aralıklarında tarama işlemi otomatik olarak yapılır. Marker Packet teknolojisi ile tam doğrulukla istenmeyen erişim noktalarını tespit eder. 50 adet sanal yerel ağa (VLAN) kadar izleme yapabilir. Gerçekleşen ataklara karşı otomatik önleme ve yer tespiti işlemi yapabilir. Yerel aktif cihazlardan bağımsız olarak çalışabilir. Sanal yerel ağlar (VLAN) için politika atamaları yapılabilir. AirTight ın Yönetimsel Faydaları Bulut tabanlı yönetim avantajı Kolay kurulum Tek merkezden yönetim Konum bazlı hiyerarşik yönetim Yerel yetkilendirme Kablosuz ağ güvenliği günümüzde en ihmal edilen noktaların başında geliyor. Ancak kablosuz ağlar için atak engelleme sitemlerine (WIPS) gereken önem verilmiyor. AirTight ise bu açığı kolay ve hızlı bir şekilde kapatmayı öneriyor. Daha detaylı bilgiler için bizimle iletişime geçebilirsiniz. Güvenli günler. «Mayıs 2012 beyazşapka 11

12 Birant Akarslan Yeni Nesil Atak Önleme Sistemleri Tehditler, artık eskisi gibi zamana ya da belirli bir IP aralığına yönelik gerçekleşmiyor. Artık sektörel, kamusal ve günlük hayatımızı doğrudan etkileyecek gelişmiş sürekli tehditler mevcut. Peki güvenlik sistemlerimiz bu tip atakları karşılamak için yeterince gelişmiş mi? Yeni Nesil Atak Önleme Sistemleri Tehditler, artık eskisi gibi zamana ya da belirli bir IP aralığına yönelik gerçekleşmiyor. Artık sektörel, kamusal ve günlük hayatımızı doğrudan etkileyecek gelişmiş sürekli tehditler mevcut. Peki güvenlik sistemlerimiz bu tip atakları karşılamak için yeterince gelişmiş mi? Gelişmiş Sürekli Tehdit nedir? Gelişmiş Sürekli Tehditler geleneksel ataklar ile aynı tekniklerden faydalanmalarına rağmen botnetlerden ve kötü niyetli yazılımlardan farklıdırlar çünkü hedefleri stratejik kullanıcılar üzerinden kurumların sahip oldukları önemli varlıklara doğru tespit edilemeyen erişimler elde etmektir. Gelişmiş Sürekli Tehditler, kurum saldırıya uğradığının farkına varana kadar kuruma sinsice zarar verebilir. Tipik Gelişmiş Sürekli Tehdit atak adımlarını aşağıdaki gibi özetleyebiliriz: Yeni Nesil Atak Önleme Sistemi Nedir? I. Sosyal Mühendislik Teknikleri belirli bireyleri hedefler Oltalama atakları genel olarak kullanılan bir teknik olup kullanıcıların başlangıç seviyesi kötü niyetli bir yazılımı indirmelerini cazip hale getirir. II. Gözcü sisteminin tesisi Kötü niyetli yazılım kodu icra eder ve kötü niyetli sistem ile bağlantıya geçer. III. Süzme Amaca yönelik kötü niyetli ve özelleştirilmiş yazılımlar sisteme gönderilir. Saldırganın niyeti doğrultusunda uzak komutlar çalıştırılır. IV. Süreklilik Saldırganlar atak için uygun anı kollarlar. Tespitin önlenmesi amacıyla run komutları arasında sıkılıkla sleep komutları çalıştırılır. V. Amaçların Gerçekleştirilmesi (Örn. veri toplama, sabotaj, vb.) Verinin elde edilmesi için uzak komutlar çalıştırılır, uygulamalar değiştirilir ve sistemler sabote edilir. Atak Önleme Sistemleri 2000 li yılların başında selefleri olan Atak Tespit Sistemleri nin ataklara karşı tek başına herhangi bir koruma sağlayamamasından dolayı geliştirilmişti. Her ne kadar Atak Tespit Sistemleri, diğer bazı güvenlik sistemleri (aktif cihazlar, güvenli ağ geçitleri, vb.) ile bütünleşik olarak çalışıp atak amaçlı bağlantıyı belirli bir süre bloklayabilse de mimari anlamda bünyelerinde belirli eksiklikler barındırmaktalardı. Akla ilk gelen sorunlar paket kaçırma, sadece TCP bazlı bağlantıları Reset paketleri ile bloklayabilme olarak sıralanabilir. Atak Önleme Sistemleri ise tüm ağ trafiğini kendi üzerlerine alarak kurumlara hem koruma amaçlı ek bir güvenlik seviyesi getirdiler hem de performans anlamında ağ altyapılarına ciddi katkıda bulundular. Son yıllarda gelişen Web teknolojileri ve Web 2.0 tabanlı uygulamalar, giderek sayıları artan Gelişmiş Sürekli Tehditler, artan bantgenişlikleri, mevcut atak önleme sistemlerinin farklı özelliklere sahip olması gerekliliğini ortaya koymakta. Bu bağlamda bilişim konusunda faaliyet gösteren üretici firmaların ve analistlerin buluştuğu ortak nokta, ağ tabanlı atak önleme sistemlerinin artık ağdan çok kullanıcı tarafına yönelik korumalar sağlaması yönünde. Burada amaç makine bazlı atak önleme sistemlerinin (Host IPS) yerine geçmekten ziyade istemcinin yapacağı uygulama bazlı etkinlikleri takip etmeye yönelik bütünleyici bir çözüm sağlamak yönünde. Yeni nesil bir atak önleme sisteminden beklentiler en az aşağıdaki gibi olmalıdır: 1. Ağ operasyonlarını etkilemeyecek biçimde hatta (in-line) çalışabilme özelliği 2. Temel atak önleme sistemi yeteneklerine sahip olma: Zaafiyet ve tehditlere karşı imza tabanlı koruma. Kablo hızında tespit ve bloklama. Tehditlere karşı atak imzalarının üretici tarafında en kısa zamanda yazılıp sistem üzerinde güncellenebilmesi. Mevcut sistemlerle bütünleşik çalışarak bloklama yapabilmesi. 3. Uygulama farkındalığı ve tüm seviyelerde görünürlük: Atak önleme sistemi uygulamaları tanımlayabilmeli, ağ güvenlik politikasını, port ve protokolden bağımsız olarak, sadece port, protokol, ve servisten çok uygulama seviyesinde icra edebilmelidir. Atakların bloklanabilmesi, kötü niyetli uygulamaları da tanıyarak bloklamayı içermelidir. 12 beyazşapka Mayıs 2012

13 4. Bağlam farkındalığı: Gelişmiş seviyede bloklama kararı verebilmek ve bloklama kural tablosunu anlık olarak değiştirebilmek için atak önleme sistemi dışındaki kaynaklardan bilgi alabilme. Kullanıcı kimliklerine ait bilgiler alıp kararlar verebilmek için kullanıcı dizin entegrasyonlarını desteklemeli, zaafiyet, yama durumu ve coğrafi bilgiler bazında (örneğin bağlantının kaynağı neresidir veya neresi olmalıdır) değerlendirme yaparak etkin bloklama kararları alabilmelidir. Ayrıca IP adres temelli beyaz liste ve kara liste gibi itibar bilgileri ile bütünleşik çalışabilmelidir. 5. İçerik farkındalığı: Kuruma doğru gelen bağlantılardaki icra edilebilir kodları, PDF ve Microsoft Office dosyaları gibi antivirüs taramasından geçmiş diğer benzer dosya tiplerini denetleyip sınıflandırabilmeli, aynı işlemleri kurumdan dışarı çıkan bağlantılar için de gerçekleştirebilmelidir. Gerçek zamana yakın bir anda izin verme, bloklama veya karantina altına alma kararlarını verebilmelidir. 6. Hızlı ve Esnek Atak Motoru: Gelecekteki tehditleri karşılayabilecek yeni bilgi besleme mekanizmalarını ve tekniklerini destekleyecek güncelleme yöntemlerine açık olmalıdır.(1) Yukarıda adreslenen minimum gereksinimlerin yanısıra ağ tabanlı atak önleme sistemleri ile ilgili diğer bir beklenti de operasyonel yükü önemli ölçüde hafifletmesidir. Aksi halde gizli ve çok katmanlı atakların araştırılması ve engellenmesi uzun zaman alacak bu da operasyonel yük ve maliyetlerin artmasına sebep olacaktır. Genel olarak yeni tehditlere karşı koyabilmek için gerekli olan insani tecrübe çoğu kurumdaki insan kaynağından fazladır. Yeni nesil atak önleme sistemleri, ağır iş yükünü üstlenebilmeli, ast kadroya doğru yönlendirmelerde bulunmalı ve böylece manuel vaka ilişkilendirmesi yerine politika ve ataklara cevap verilmesi yöntemleri üzerine odaklanılmasına önayak olmalıdır. Yeni nesil atak önleme sistemlerinin kritik yönetim yetenekleri ise aşağıdaki şekilde sıralanabilir: Güvenlik verimliliğini arttırmak için atak önleme politikalarına ince ayarlar yapma ihtiyacını ortadan kaldırma Manuel olay ilişkilendirme ve uyarı verme işlemlerini otomatik hale getirme Çoğul araç ve ekranlar kullanmadan uçtan uca atak görünürlüğü için olay girdilerini ilişkilendirebilme Sezgisel ve bilgilendirici ekranlar için yukarıda bahsi geçen şekilde bağlam farkındalığı ve entegrasyonu Kurumsal politikayı yansıtan uygulama merkezli, basit kontroller Doğal vaka araştırması ve çözümüne uygun iş akışları Şimdi de yeni nesil atak önleme sistemlerinin kurumumuzu hangi aşamada koruyacağından kısaca bahsedelim. Gelişmiş sürekli tehditlerin tespiti ve önlenmesi noktasında iki safha mevcuttur. Bunlardan birincisi olan erken safhada, henüz istismar gerçekleşmemiş olup kurum sessiz bir biçimde atak altındadır. Yeni nesil atak önleme sistemleri bu safhada şüpheli bağlantıların tespitinde önemli rol oynarlar. Ataklar genel itibariyle sıklıkla, kötü niyetli etkinlik göstermiş IP adresleri, web siteleri dosya ve eposta sunucuları kullandıklarından üzerinde ve bulutta anlık itibar bilgisi bulunduran sistemler, güvensiz kaynaklardan gelebilecek bağlantıları rahatlıkla engellerler. İkinci durum olan geç safhada ise güvenlik istismar edilmiş ve kurum zarar görmeye başlamıştır. Bu safhada, veri transferinin gideceği noktanın tespiti ve engellenmesi, yeni nesil atak önleme sistemleriyle mümkündür. Bu şekilde dışarıya doğru olan veriye itibar bilgisi tatbik edilerek şüpheli IP adreslerine doğru standart dışı portlardan kurulan bağlantıların tespiti ve bloklanması mümkün olur. Saygılarımla, Birant Akarslan Twitter: Facebook: (1) John Pescatore, Greg Young, Gartner, Defining Next-Generation Network Intrusion Prevention, «Mayıs 2012 beyazşapka 13

14 İrfan Kotman Password Sniffing Bilgisayarınızda Kullandığınız Şifrelerin Ne Kadar Güvende Olduğunu Düşünüyorsunuz? Son yıllarda gelişen teknoloji ile beraber şifreler hayatımızın değişmez bir parçası haline geldi. İş hayatından, bankacılık işlemlerine, cep telefonlarından, kuramsal ya da kişisel bilgisayarlarımıza kadar hayatımızın birçok noktasında şifreler kullanmak zorunluluğu doğdu. Peki bilgisayarımızda kullandığımız şifrelerin, kötü niyetli kişiler tarafından kolaylıkla çalınabileceği aklımıza geliyor mu? İnternetin gelişmesi ile birlikte kullanıcılar şifre ele geçirme programlarına kolaylıkla ulaşabilmektedir. Artık arama motoruna yazılan birkaç anahtar kelime ile bu tür programlar kolaylıkla indirilebilmekte, kullanımı ile ilgili detaylara ulaşılabilmektedir. Bu sayımızda örnek bir şifre ele geçirme yazılıma ne kadar kolay ulaşılabileceğini ve kullanıcı şifresinin nasıl kolaylıkla ele geçirilebileceğini küçük bir örnek üzerinden anlatmaya çalışacağız. Anahtar Kelimenin Belirlenmesi Şifre ele geçirme programlarına ulaşmak için internet kullanıcıları genelde password hacking, password stealer, password cracking gibi anahtar kelimeler kullanmaktadır. Her aramada olduğu gibi bu tür programların aranması sırasında kelimeler özelleştirildikçe şifre ele geçirme programlarına ulaşmak daha da kolaylaşmaktadır. Bizde örneğimizde kullandığımız kelimeleri biraz daha özelleştirerek 4 anahtar kelime yardımı ile aramamızı gerçekleştirdik. Password Sniffing Cracking Tool anahtar kelimelerini istediğimiz türde bir programa erişmek için seçtik ve aramamızı gerçekleştirdik. Arama sırasında çıkan sonuçlardan ilkini tıkladık ve Cane&Abel programına ulaştık. Programı bilgisayarımıza indirerek kısa sürede kurduk. Cane&Abel programı anti virüs yazılımımız tarafından kötü içerikli bir yazılım olarak görüldüğü ve silindiği için testler sırasında bilgisayarımızda anti virüs yazılımımızı devre dışı bıraktık. Anahtar kelimelerimiz olan Password Sniffing Cracking Tool ile yapılan arama sonucu karşımıza çıkan ilk link olan adresine giriyoruz ve Cain&Abel programını bilgisayarımıza indiriyoruz. Cain&Abel programını bilgisayarımıza saniyeler içinde kuruyoruz. Biz aramayı biraz daha özelleştirerek ağı dinlemesini gerçekleştireceğimiz yazılımı bulmak için, İndirdiğimiz Cane&Abel programını çalıştırıyoruz. Cain & Abel Microsoft işletim sistemleri için tasarlanmış bir programdır ve ağ üzerinden trafiği dinleyerek (sniffing) şifrelerin ele geçirilmesini sağlar. İsmini kutsal kitaplarda geçen Habil ile Kabil hikâyesinden almıştır. Cane&Abel programı yardımı ile FTP, POP3, SMTP, IMAP, HTTP, LDAP gibi birçok protokol üzerinde kullanılan kullanıcı adı ve şifreleri ele geçirme şansını yakalayabilirsiniz. Bunun yanında Cracker özelliği ile hash ler alabilir ve program üzerinde bulunan Rainbow tabloları ya da elinizdeki Rainbow tabloları yardımı ile hash leri çözümlemeye çalışabilirsiniz. Cane&Abel programı temelde ağ üzerinde Sniffing, Brute Force, Dictionary Attack gibi atak yöntemlerini kullanmak için tasarlanmıştır. Programın Kullanımı Cain&Abel programı üzerinde Sniffer menüsüne girerek Scan Mac Adresses i çalıştırıyoruz ve ağ üzerinde bulunan bütün makineleri belirliyoruz. (Elde edilen sonuçlar gözden geçirilerek şifre çalma işleminin gerçekleştirileceği bilgisayarlara rahatlıkla karar verilebilir.) Sniffer menüsünde bulunan APR sekmesini aktif hale 14 beyazşapka Mayıs 2012

15 arama ile indirilen küçük program ile ağ dinlenmesi (sniffing) yapılabilmekte ve programda yapılan birkaç küçük ayar ile kullanıcının kullanıcı adı ve şifre bilgileri ele geçirilebilmektedir. getiriyoruz ve hedef makinenin APR zehirlenmesine maruz kalması sağlıyoruz. (Bir IP adresine karşılık, sahte bir MAC adresi oluşturulmasına ARP zehirlenmesi adı verilir.) Zehirleme işlemi başlatıldıktan sonra kurban makine Bunun yanında USB bellekler üzerinde çalışan şifre çalıcı programlar, mobil cihaz şifrelerini çalmak için tasarlanmış yazılımlar gibi birçok şifre çalma aracına ulaşılabilmekte ve çeşitli şifre ele geçirme yöntemleri kullanıcılar tarafından kolayca uygulanabilmektedir. Şifre çalma işleminin zorlaştırılması için ilk tavsiye olan karmaşık ve uzun şifreler kullanmak, örneğimizde olduğu gibi ağ üzerinden geçen trafiğin clear text olduğu durumlarda etkili olmamaktadır. Kullanıcı tarafından verilen şifrenin basit ya da karmaşık olması şifrenin ele geçirilmesi işlemini hiçbir şekilde etkilememektedir. Alınabilecek Önlemler başlığı altında bahsedeceğimiz birkaç küçük önlem ile ağ üzerindeki yapılabilecek dinleme (sniffing) işlemlerinin önüne geçilebilmektedir. kullanıcısının yapacağı hatayı beklemeye koyuluyoruz. Aşağıdaki örnekte olduğu gibi kullanıcıların çok büyük bir çoğunluğu karşılarına çıkan uyarıları genelde EVET tuşuna tıklanayak geçmektedir. Kullanıcı tarafından sertifika uyarısının kabul edilmesi Alınabilecek Önlemler En etkili yöntem ağ üzerinde trafiğin şifrelenmesidir. (IPsec,SSH,TLS,SSL gibi) ; Şirket içi veya şirket dışı kullanıcıların bu tip zararlı yazılımları bilgisayarlara kurmasını engellenmek amacı ile uygulama kontrolü yapan yazılımları sistemdeki makineler üzerine kurularak şirket içi bilgisayarlardan yapılabilecek dinleme işlemlerinin önüne geçilebilir. Bunun yanında kullanıcıların makinelere program kurma haklarının kısıtlanması ile de geçici çözümler üretebilir. Şirket bünyesinde güvenlik seviyelerine göre VLAN lar oluşturabilir. Arp watch, Promiscan gibi anti sniffer araçları ile ağda bir dinleme işleminin yapılıp yapılmadığının tespit edilmesi sağlanabilir. sonucunda görebileceğiniz gibi kullanıcının Outlook üzerinde kullandığı kullanıcı adı ve şifresini kolaylıkla ele geçirebiliyoruz. Switch portları üzerindeki güvenlik sistemleri aktif hale getirilebilir ve izinli IP ler için ARP tabloları oluşturabilir. «Yazımızda verdiğimiz örnekte olduğu gibi internetten basit bir Mayıs 2012 beyazşapka 15

16 Mehmet Gülyurt Geçmişten Bugüne Bilgilerinizin Güvenliğini Sağlayan En Etkili Yöntem: ŞİFRELEME Günümüzde bilgiyi artan tehditlere karşı korurken aynı zamanda yönetmeliklere uyum sağlayabilmek sizce mümkün mü? Evet, mümkün. Çözüm önerimiz yıllardır kullanılan bir yöntem ŞİFRELEME Günümüz dünyasında bilgi teknolojilerinin hızlı bir şekilde yayılması artık bilgilerin sahiplerini, verilerin başka kuruluşlara emanet etme zorunluluğunu da beraberinde getirmiştir. Çoğumuzun sahip olduğu kimlik bilgileri, telefon ya da özel iletişim bilgileri birçok hackerin iştahını kabartmış, özel bilgilerimiz ideolojik ya da ticari amaçlarla saldırganların hedefleri haline gelmiştir. Bilgi değerinin artması, beraberinde riskler getirmiş, bilginin korunması ise belirli standartlar çerçevesinde oluşan proaktif politikalar doğrultusunda gerçekleşebildiği görülmüştür. Sunulan çözüm ne olursa olsun amacımız her zaman riskleri azaltmaya yönelik olmalıdır. Bu alanda önerilebilecek en yaygın ve eski teknoloji ise şifrelemedir. Şifreleme teknikleri M.Ö 700 lü yıllardan bu yana kullanılmış ve günümüze kadar askeri, sivil pek çok alanda başarı ile bilgiyi koruyarak görevini yerine getirmiş bir yöntemdir. Sultanların ve kralların yüzüklerinde taşıdıkları mühürler tartışmasız bu alanda kullanımın ilk kanıtıdır. Bugün tek kullanımlık şifreler, dijital imzalar ve diğer kimlik doğrulama yöntemleri için güçlü şifreleme algoritmaları kullanılıyor. Geçmişte devlet kurumlarının yaşanacak bilgi kayıplarını önlemek için yapmış olduğu düzenlemeler, bugünün küreselleşen dünyasında yerini PCI DSS, ISO gibi uluslararası bilgi güvenliği yönetmeliklerine bıraktı. Geçmişte yapılan başarılı uygulamaların yanı sıra, bu alanda bazı başarısız uygulamalar da olmuştur. Örneğin Enigma. İster savaş anında iletişim için ister ticaret amaçlı bir kullanım için kripto anahtarlarının korumasız ya da bilginiz dışında silinebiliyor olması verilerinizin korumasız olduğu manasına gelir. Dolayısıyla şifreleme yapılan sistemlerde güvenliğiniz için kripto algoritmalarının ve anahtarların merkezi ve güvenli bir platformda yönetimi bir güvencedir ve esastır. Merkezi Anahtar Yönetimi Kriptoloji bazı sistem yöneticilerinin korkulu rüyası olsa da, kaygıların büyük bir sebebinin tanım ve bilgi eksikliğinden kaynaklandığı bir gerçek. Şifreleme tekniklerini en efektif bir şekilde kullanmanın yolu anahtarların merkezi bir şekilde yönetilmesinden geçmektedir. Şifrelemede kullandığınız tüm anahtarları güvenli bir platformda toplamanız sizlere; kullanılan anahtarların ne tipte olduğu, hangi uygulamalar tarafından kullanıldığını, ne zaman yenilenmesi gerektiği gibi bilgilerin tutulmasında yardımcı olacaktır. Dağıtık sistemlerde yer alan anahtarların gerektiğinde kolaylıkla daha yeni ve güncel bir algoritmaya çevrilebilmesi hem zor hem de risklidir. Bu sebep ile anahtarlar güvenliği ispatlanmış, kriptografik fonksiyonları çalıştırmaya uygun güvenli donanım modülleri üzerinde saklanmalıdır. Anahtarların güvenli bir şekilde yönetilmesinde her kurumun kendine ait kripto anahtarları yönetimi prosedürü bulunmalıdır. Anahtar yönetiminde kullanmış olduğunuz sistem bir anahtarın yaşam döngüsünde (oluşturma, iletme, kullandırma ve imha etme) yer alan tüm adımları işletmenize yardımcı olmalıdır. Uyumluluk ve Uygulanabilirlik Yönetmeliklere uyumluluğun sağlanması risklerinizi en aza indirmekte faydalı olacak bir takım bilgiler içereceği için iyi uygulanmalı ve takip edilmelidir. Sisteminizde bulunan yapısal ya da yapısal olmayan bilgileriniz, örneğin veri tabanları ya da raporlanmış bir dokümanının kritik şirket bilgilerini içermesi bu bilgilerin korunması gerektiği manasına geliyor. Bu alanda yer alan güvenlik standartlarından PCI DSS her ne kadar kredi kartı ile ilgili işlem yapan firmaları kapsıyor olsa da her türlü bilginin korunmasında izlenmesi gereken gereklilikler içeriyor. Örneğin PCI DSS 2.0 versiyonu 3. maddesinde kredi kartı bilgilerinin korunmasına yönelik olarak, bilgilerin korunmasında efektif bir rol oynayan kripto anahtarlarının yetkisiz erişimler tarafından korunmasını, anahtarların güvenli bir şekilde saklanmasını, 3.6 ise güvenli bir şekilde anahtarların oluşturulup kullanılması gibi önemli yönergeler içeriyor. Bütün bu korumalar sağlanırken kolay bir şekilde entegrasyon ve yönetim imkanı sağlayan SafeNet Datasecure platformu, bu alandaki ihtiyaçlarını karşılamaya yönelik bir çok özelliğe sahip. 16 beyazşapka Mayıs 2012

17 bulunan bilgilerinizi şifrelerken yine diğer çözümlerin aksine kullanmış olduğunuz kripto anahtarı sunucunun üzerinde değil özel bir kripto cihazı olan Datasecure platformu üzerinde saklanmaktadır. Bu ise güvenlik ve performans noktalarında engellere takılmanızı önler. SafeNet Datasecure çözümü Oracle, MS SQL, Teradata ve DB2 gibi birçok veri tabanını sürümlerinden bağımsız bir şekilde destekler. Sütun ve tablo tabanlı bilgilerinizi şifreleme imkânı sunar.. Bilgilerinizin korumaya alınmasında ihtiyacınız olan tüm anahtar yönetim prosedürlerini PCI DSS 2.0 uyumluluğu kapsamında kolay bir şekilde yönetiminize imkan sağlarken, sahip olduğu eklentiler sayesinde uygulamanız ile kolaylıkla entegre edilebiliyor. Datasecure platformu geleneksel HSM lerden farklı olarak bir kullanıcı arabirimine sahiptir. GUI üzerinden anahtar yönetim işlemlerini kolaylıkla gerçekleştirebilirsiniz. Ayrıca ilerleyen zamanlarda farklı platformların (örn: veri yedekleme) sahip olacağı, geleceğin kripto yönetim protokolü olan OASIS KMIP in yönetimini Datasecure ile rahatlıkla yapabilirsiniz. Ayrıca Datasecure platformu ile yalnızca veri tabanı şifreleme işlemlerini değil, kripto anahtarlarınızın yönetimi, dosya şifreleme, uygulama seviyesinde şifreleme gibi bir çok kripto işlem ihtiyacınızı karşılayabilirsiniz. Uygulamanızda yapacağınız çok basit kod değişiklikleri ile.net, Java, C gibi platformlarda direkt olarak şifreleme fonksiyonlarını kolaylıkla çalıştırabilir, hızlı ve efektif bir şifreleme sistemine geçiş yapabilirsiniz. SafeNet Datasecure ile Veritabanı Güvenliği SafeNet Datasecure çözümü ile veri tabanı uygulamanız için Advanced Security lisansına sahip olmadan tablo ve sütun tabanlı Transparent Database Encryption yapabilmeniz mümkündür. Geleneksel çözümlerin aksine 8i den 11g R2 versiyonuna kadar veri tabanında Sonuç Şifreleme teknolojileri günümüzde bilgi korumaya yönelik kullanılabilecek en etkili yöntemlerin başında gelmektedir. Fakat şifreleme işlemlerinin güvenliği ve sağlamlığı anahtarların iyi bir şekilde yönetilmesine bağlıdır. Yapacağınız yatırım sizlere şifrelemeyi kolaylaştıran, yönetmeliklere uygun ve farklı yapılardaki mimarilere uyum sağlayabilecek altyapıya sahip olmalıdır. Çünkü şifreleme yapılmamış bir güvenlik altyapısını düşünmek mümkün değildir. Aynı zamanda bu teknoloji dün olduğu gibi çeşitli yenilikleri de içerisine katarak bugün ve yarın da bilgilerimizi başarılı bir şekilde korumaya devam edecek. «Mayıs 2012 beyazşapka 17

18 Mustafa Çetin DLP Projesi Başarı Kriterleri Bilgi kayıplarını önleme (Data Loss Prevention) ne DLP ürünü ile başlayan ne de biten bir iş. Daha çok bir süreç tasarımı. İlk değil ama en önemli adımlarından birisi ürün seçme aşaması. Peki ürün seçerken hangi kriterleri göz önünde bulundurmalıyız? Data Loss Prevention Ürünü Seçim Kriterleri Raporlama Ürün, hem iş birimlerinin hem de IT uzmanlarının gereksinimleri karşılayacak düzeyde bir raporlama çözümü sunmalıdır. Arayüz, rapor inceleme ve oluşturma ekranları kullanıcı dostu, açık ve anlaşılır olmalıdır. Aynı zamanda detaylara kolaylıkla erişilebilmelidir. Rapor üretim performansı da önemlidir. Ürünün sunduğu yönetimsel, trend ve karşılaştırma raporları, olay yönetimi, mevcut politikalar ve politika değişimleri raporları ve kalitesi DLP sürecinin işleyişi açısından anahtar özelliğe sahiptir. Forensic Verileri Forensic verilerin yeterli detay içermesi, farklı bölüm, birim ve kişilerin forensic veriler içerindeki farklı detayları görebilmesi, verilerin şifreli bir şekilde tutulması ve şifreli bir kanal üzerinden gönderilmesi göz önüne alınabilecek bazı önemli kriterlerdir. İyi yönetilmeyen ve yeterli güvenliği sağlanmayan forensic veriler başlı başına bilgi kayıplarına neden olabilir. Olay Yönetimi DLP ürününün, bilgi kayıplarına ilişkin oluşturulan prosedürleri desteklemesi ve şekillendirmesi gerekmektedir. Olayların bilgi sahipliğine göre atanabilmesi Eskalasyon imkanları Olay yönetimine katılacak katılımcıların olaylar ile ilgili farklı seviyede detay görebilmesi Son kullanıcıların olaylarla ilgili savunma (justification) veya geribildirim sunabilmesi 3. parti bir olay yönetim ürünü ile entegre edilebilmesi Politika Yönetimi DLP ürünü, sektöre ve uyumluluk gereksinimlerine göre hazır politika, politika şablonları ve kurallar içermelidir. Politika şablonunun kalitesi DLP projesinin başlangıçta yaygınlaştırmasını kolaylaştıracaktır. Farklı içerik analizi ve tespit metotları (keyword, regular expression, partial document matching, fingerprinting, data identifier, dictionary) birlikte kullanılarak farklı iş birimleri, bilgi tipleri, kanal ve lokasyon bilgilerine göre politika oluşturulabilmelidir. Aktif dizin kullanıcı ve kullanıcı grupları, makine, cihaz tipi (taşınabilir cihazlar), lokasyon ve IP adresi gibi kriterler için yeterince detaylı istisna (exception) kuralları tanımlanabilmelidir. Politikalarda türkçe desteği ve Türkiye ye özel bilgilere ait (TC kimlik no, vergi numarası) veri tanımlayıcı (data identifier) olması önemlidir. False positive oranını düşürmek ve olayları seviyelendirmek konusunda esnek bir yapı sunması gerekmektedir. Ürün üzerinde oluşturulan politikaların farklı kanallar (endpoint, network, discovery) üzerinde ortak olması politika yönetiminin kullanılabilirliği açısından olmazsa olmaz bir şarttır. Discovery Discovery modülü DLP projesinin olmazsa olmaz bir parçasıdır. Bilginin nerede beklediğini ve nerelerde kullanıldığını keşfetmek, iş süreçlerinizi keşfetmenizde, bilgi kaybı risklerinizi belirlemenizde ve bilgi sınıflandırması konusunda anahtar rol oynayacaktır. Desteklenen discovery kanalları (veritabanı, dosya sistemi, web siteleri, shareportal), bu kanallar üzerinde ne kadar etkin keşif yapılabilediği ve sonuçta hangi detayların raporlanabildiği göz önünde bulundurulması gereken önemli konulardır. Bilginin kaynağı, içeriğin sahibi, oluşturulma ve değiştirilme zamanları raporlanabilmelidir. Ayrıca farklı zamanlarda yapılan içerik taramalarında içeriklerin takip edilebilmesi ve farkların raporlanabilmesi önemlidir. Endpoint Çözümü Ürünün, endpoint ajanlarının uzaktan yönetimi, dağıtımı, 18 beyazşapka Mayıs 2012

19 versiyon yönetimi, sağlık kontrollerinin yapılması konusunda sunduğu çözümler Performans değerleri Son kullanıcı makinelerinde takip edilebilen kanallar Taşınabilir diskler konusunda ürünün sunduğu çözümler (şifreleme, seri numarasına göre istisna tanımlanabilmesi) Remote bypass özelliği Platform ve işletim sistemi desteği (Linux ve MAC desteği) Şifre korumalı ajan kurulumu Network Çözümü Desteklenen protokol ve kanallar İzleme (monitor) ve bloklama (protect) modları için sunulan çözümler Web ve trafiği konusunda entegrasyon seçenekleri Network trafiği izleme ve bloklama seçenekleri performans değerleri Konumlandırma Seçenekleri Desteklenen işletim sistemi ve platformlar (Windows veya linux, sunucu veya appliance, sanal desteği) Sunucu ve donanım gereksinimleri Ölçeklendirilebilirlik, esneklik ve kapasite arttırımı seçenekleri Uzak ofisler için sunulan çözümler 3. Parti Ürünlerle Entegrasyonu Enterprise Digital Rights Management EDRM çözümleri, uygulanması ve yönetimi zor, prosedür ve akışları iyi oluşturulduğunda, DLP ile entegre bir şekilde üst düzey bir güvenlik sağlayan bir çözümdür. DLP ve EDRM entegrasyon ile farklı yönden düşünülebilir: Data at Rest: DLP ürününün keşfettiği önemli bilgilere EDRM çözümü üzerinden ilgili politikaların uygulanması Data in Motion: DLP üzerinde hereket halinde verilere uygulanacak politikalarda ve aksiyonlarda içerik üzerine uygulanmış EDRM politikalarının kontrol edilmesi Bilginin ilk oluşturulması aşamasında sınıflandırılmasının bir 3. parti uygulama ile (Titus) yapılması ve EDRM ve DLP politikalarının bu sınıflandırılmaya göre şekillendirilmesi işleri epey kolaylaştıracaktır. Security Information Event Management (SIEM) DLP çözümü ile SIEM çözümleri entegre bir şekilde çalıştığında birbirlerinin eksiklerini tamamlayan çözümlerdir. SIEM çözümü bilginin akışı ile ilgili tüm denetim izlerine sahiptir. Ancak içerikten habersizdir. DLP ürünü üzerinde tespit edilen olaylar ile SIEM ürünü beslenirse bilgi akışının tamamı net olarak görülebilir. Ayrıca DLP ürününün politika değişimleri ve erişimler gibi denetim izleri SIEM ürünü üzerine aktarılarak raporlanabilir. ve USB Şifreleme DLP ürününün, iş süreçleri dahilinde taşınabilir dosyalara atılması ve olarak gönderilmesi gereken önemli bilgilerin şifreleme ihtiyaçlarına yönelik çözüm sunması önemlidir. Dosya Erişim Denetim Sistemi Dosya sistemi üzerinde keşfedilen önemli içeriklere ait erişim bilgileri, içeriklerin sahipliği ve kullanımına ait detayların tespit edilebilmesi açısından önemlidir. İçeriklerin sahipliği ve kullanımı, iş süreçlerinin tespiti ve içeriğe uygulanacak aksiyonların belirlenmesi açısından önem arzetmektedir. Mobil Güvenlik Mobilite, artık iş süreçlerinin bir parçası haline gelmiştir ve buna paralel olarak bilgi kaybına ait riskler hızla artmaktadır. DLP ürününün mobil güvenlik anlamında sunduğu çözümler (Mobile Device Management çözümü entegrasyonu) riskleri minimize etmek açısından önemlidir. Sonuç Amaç değerli olan bilgiyi korumak. DLP, ne DLP ürünü ile başlayan ne de biten bir iş. Sadece IT değil, iş birimleri, insan kaynakları ve denetim birimlerini de kapsayan bir süreç. Son kullanıcının bilinçlendirilmesi de bunun bir parçası, güvenlik politikaları da. Bilgi kayıplarına yönelik risk analizini yapmalısınız, bilgilerinizi sınıflandırmalısınız, bilgi kayıplarınızı önleme yönünde sorumlulukları ve bilgi sahiplerinizi belirlemelisiniz, iş akışlarınızı ve bilginin işlenişini ve süreçlerinizi keşfetmelisiniz. DLP ürünü tüm süreçlerin tam ortasında yer alan bu süreçleri destekleyen ve şekillendiren bir çözüm. Bu açıdan sizin beklentilerinizi en çok karşılayan ve yapınıza en uygun ürünü seçmek, projenin başarısı açısından kritik öneme sahip.«mayıs 2012 beyazşapka 19

20 Armağan Zalooğlu McAfee Ülke Müdürü Nebula ekibi ile tanışıklığımı Nebula nın kuruluşundan öncesine dayanıyor. On yıldan uzun süredir ortak projeler gerçekleştirme ve beraber çalışma şansına eriştiğim bu ekibin üyelerinin işlerine duydukları saygı ve harcadıkları yoğun emeğe çok kereler tanık oldum. Sunduğu teknolojileri eksiksiz öğrenmek icin gösterdiği kesintisiz çaba ve prensipli çalisma anlayışı ile müşteri memnuniyeti sağlamayı hedefleyen Nebula, yaptığı işin hakkını tam anlamıyla veren bir firma. Ek olarak Nebula nın Beyaz Şapka ve Nebula TV gibi insiyatiflerle bilişim ve güvenlik sektöründe bilgi paylaşımı için aracı olma görevini üstlenerek önemli bir eksikliği doldurduğunu da düşünüyorum. Cihan Yüceer Kuveyt Türk Katılım Bankası Bilgi Güvenlik Yönetmeni Nebula ve teknik ekibi ile 4 yıl öncesinden çalışmaya başladım. 4 yıldır birçok projeler gerçekleştirme imkanına sahip oldum. Sundukları servis hızı, kalitesi, müşteri memnuniyeti ve yaptıği işin hakkını tam anlamıyla veren bir firma olması Nebula`yı ön plana çıkaran en önemli özellikleridir. Yönettiğimiz sistemlerle ilgili yeni sürüm güncellemeleri çıktığında bizleri hızlı bir şekilde haberdar eden ve yönlendiren bir ekibe sahiptir. Yine en göze çarpan özellik olarak projeler bittikten sonra sistemleri rutin aralıklarla kontrol etmeleridir. Müşterinin istediğini hızlı bir şekilde analiz edip çeşitli çözüm yollarını sunabilen bir firma olması güvenlik dünyasında önemli bir başrol oyuncusu olmasını sağlamaktadır. SPONSORLARIMIZ Beyaz Şapka ya katk lar ndan dolay tüm sponsorlar m za ve yazarlar m za teşekkür ederiz. Yay nlanan yaz lar n ve görsellerin tüm sorumlulu u yazarlar na aittir. Lütfen her konuda fikrinizi yaz n. info@nebulabilisim.com.tr