Kurumlarda Siber Güvenlik. Hasan Hüseyin SUBAŞI

Transkript

1 Kurumlarda Siber Güvenlik Hasan Hüseyin SUBAŞI

2 Siber Güvenliğe Kısa Bir Bakış Kurumlarda Siber Güvenlik 2

3 Kurumsal Seviyede Siber Güvenlik Kurumsal bilgi güvenliği/siber güvenlik politikaları Kurumsal organizasyonda siber güvenlik sorumlulukları Kurum personelinin bilinçlendirilmesi Üst yönetimin karar alma fonksiyonu Herkesin belirli sorumlulukların olduğu bir organizasyon Kurumlarda Siber Güvenlik 3

4 Ulusal Siber Güvenlik Yönetişimi İstihbarat Askeri Siber Diplomasi Kritik Altyapıların Korunması Siber Suç Kurumlarda Siber Güvenlik 4

5 Uluslararası Seviyede Siber Güvenlik Uluslararası örgütler ve siber güvenlik çalışmaları AB, NATO, BM vb Uluslararası ilişkilerde siber güvenlik konularının konuşulması Siber diplomat kavramı Uluslararası hukuk kriterlerinin oluşması Siber Suçlarla Mücadele Siber terörizm Sosyal medya İngiltere Çin ile siber ilişkileri geliştirme peşinde İsrail-ABD Arasındaki En İyi İşbirliği Siber Güvenlikte Rusya ve Çin Siber İttifakta Anlaştı, ABD Tedirgin Axiom raporu Çin-ABD siber güvenlik işbirliğini tetikleyebilir Kurumlarda Siber Güvenlik 5

6 2011: Sosyal Medyanın Arap Baharına Etkisi Ocak - Şubat 2011: Tunus, Mısır daki ayaklanmalarda Facebook, Twitter, SMS, and diğer sosyal medya ağları kullanıldı. Olaylar Ürdün Suriye, Yemen ve Libya ya sıçramıştı. Kurumlarda Siber Güvenlik 6

7 Bilgi Nedir? Bilgi kişilere veya kurumlara ait diğer bütün varlıklar gibi değeri olan ve aralıksız olarak uygun bir şekilde korunması gereken bir varlıktır. Bilgi somut bir varlık mıdır? Kurumlarda Siber Güvenlik 7

8 Bilgiyi Somutlaştıran Ögeler Bilginin tutulduğu ortam Elektronik Sabit disk Disk sistemi Teyp ünitesi Cd-rom USB bellek Basılı doküman Personel Ortamın fiziksel yeri Kurumlarda Siber Güvenlik 8 Bilginin sahibi

9 Bilgiyi Somutlaştıran Ögeler (2) Bilgiyi işleyen yazılımlar Uygulama yazılımları İşletim sistemi Bilgiyi işleyen donanımlar Sunucu bilgisayar Dizüstü bilgisayar Anahtarlama cihazı Yazıcı Kablosuz ağ aygıtları Kurumlarda Siber Güvenlik 9

10 Bilgiyi Somutlaştıran Ögeler (3) Bilgiye erişen taraflar Kurum içinden (kişi/şube/daire) Kurum dışından (kişi/kurum bağlısı/diğer kurum/vatandaş) Erişim hakları: Değiştirme/silme/okuma Bilginin yedeklenme durumu Kurumlarda Siber Güvenlik 10

11 Bir Kurumda Bilginin Akışı Bilgi Bilgi Bilgi Bilgi Bilgi Oluşturulur Değiştirilir İletilir İşlenir Depolanır Silinir Bilgi Bilgi Bilgi Bilgi Bilgi Kurumlarda Siber Güvenlik 11

12 Bilgi Güvenliği Eksikliklerinin Olası Zararları Kurum İsmi, Güvenilirliği ve Markaları Kuruma Ait Özel / Mahrem / Gizli Bilgiler Kuruma Ait Adli, Ticari Teknolojik Bilgiler İşin Devamlılığını Sağlayan Bilgi ve Süreçler Üçüncü Şahıslar Tarafından Emanet Edilen Bilgiler Hukuki Sorumluluklar Üçüncü kurumlara yapılabilecek saldırıların sorumluluğu Kurumlarda Siber Güvenlik 12

13 Açıklık (Vulnerability) ve Tehdit (Threat) İnsan Bilgi Açıklık Tehdit Yazılım Donanım Servisler Varlıklar Açıklık Açıklık Tehdit Tehdit Açıklık: Bir varlıkta ya da bir varlık grubunda bulunan tehditler tarafından istismar edilebilecek eksiklikler ve zayıflıklar Tehdit: Bilgi varlıklarına zarar verme potansiyeline sahip olaylara neden olabilecek olaylar Kurumlarda Siber Güvenlik 13

14 Açıklık Örnekleri İnsan Bilgi Yazılım Donanım Servisler Personel eksikliği/ Güvenlik bilinç eksikliği/ Eksik işe alma prosedürleri Erişim kontrolü eksikliği, yedekleme eksikliği/ Silme prosedürü eksikliği/ Kontrolsüz kopyalama Eksik gereksinim belirleme / Eksik test ve dokümantasyon/ Yazılımsal hatalar Güncelleme ve bakım eksiklikleri / Isı, voltaş ve hava şartı değişikliklerine karşı dirençsizlik Eksik kontrat yönetimi Kurumlarda Siber Güvenlik 14

15 İnsan Bilgi Yazılım Donanım Servisler Varlıklar ThTehditler Kasıtlı İnsani Tehditleri Kaza, Hata ve İnsani Tehditler Çevresel Tehditler Ağ dinleme Deprem Yangın Bilgi değiştirme Sistem hackleme Zararlı kod Hatalar, ihmaller Elektrik Problemlerı Sel Çalma Dosya silme Fiziksel Tehdit Kurumlarda Siber Güvenlik 15

16 Bilgi Güvenliği ile İlgili Yanlış Düşünceler! Yanlış: Bilgi güvenliğinden bilgi işlem birimi sorumludur! Doğru: Bilgi güvenliğinden Yönetim, Bilgi İşlem ve tüm kullanıcılar sorumludur. Yanlış: Anti-virüs yazılımımız var dolayısıyla güvendeyiz. Doğru: Mesele Anti-virüs yazılımını sadece kurmak değil bu yazılıma sorumlu atamak, virüs-imza dosyalarını güncel tutmak, yazılımın raporlarını izlemek ve tüm bunları yönetim onaylı bir prosedür çerçevesinde gerçekleştirmektir. Yanlış: Kurumumuz güvenlik duvarı (firewall) kullanıyor, dolayısıyla güvendeyiz. Doğru: Güvenlik duvarı doğru yapılandırılmadığı takdirde hiçbir anlam ifade etmez. Yaklaşım Anti-virüs yazılımında olduğu gibi olmalıdır. Kurumlarda Siber Güvenlik 16

17 Bilgi Güvenliği ile İlgili Yanlış Düşünceler! Yanlış: Bir çok güvenlik saldırısı kurum dışından geliyor! Doğru: Saldırıların çoğu kurum içinden gelmekte ve dışarıdan gelen saldırılardan daha vahim sonuçlar doğurmaktadır. Yanlış: Dosyalarımın kopyasını alıyorum, güvenlikten bana ne! Doğru: Yedekleme bireysel olarak değil kurum yetkilileri tarafından bir prosedür uyarınca yapılmalıdır. Şuursuz yedekleme virüs yayma ve hırsızlık açısından olumsuz sonuçlar doğurabilir. Yanlış: Arkadaşımdır, güvenirim dolayısıyla parolamı paylaşırım! Doğru: Parolanın güvenli bir biçimde muhafaza edilmesi kullanıcıların en önemli sorumluluklarındandır. Aksi takdirde Erişim Yönetimi çalıştırılamayacağı gibi bilgi güvenliği olaylarının sorumlularını tespit etmek de mümkün olmayacaktır. Kurumlarda Siber Güvenlik 17

18 Siber Güvenlik & Bilgi Güvenliği Korunması gereken bilgi varlıkları aynı Tehdit ve açıklıkları farklı Siber Güvenlik Bilgi Güvenliği Siber Güvenlik, bilgi güvenliğinde söz konusu olan tehdit ve açıklıkların bir altkümesi ile ilgilenir. Kurumlarda Siber Güvenlik 18

19 Tehdit Türleri Siber Tehdit Türleri İç Tehdit (Internal Threat) Unsurları Bilgisiz ve Bilinçsiz Kullanım Kötü Niyetli Hareketler Kurumlarda Siber Güvenlik 19 Dış Tehdit Unsurları Hedefe Yönelmiş Saldırılar Hedef Gözetmeyen Saldırılar

20 İç Tehdit Unsurları Bilgisiz ve Bilinçsiz Kullanım Temizlik Görevlisinin Sunucunun Fişini Çekmesi Eğitilmemiş Çalışanın Veritabanını Silmesi Kurumlarda Siber Güvenlik 20

21 İç Tehdit Unsurları - 2 Kötü Niyetli Hareketler İşten Çıkarılan Çalışanın, Kuruma Ait Web Sitesini Değiştirmesi Bir Çalışanının, Ağda Sniffer Çalıştırarak E- postaları Okuması Bir Yöneticinin, Geliştirilen Ürünün Planını Rakip Kurumlara Satması Kurumlarda Siber Güvenlik 21

22 Dış Tehdit Unsurları Hedefe Yönelmiş Saldırılar Bir Saldırganın Kurum Web Sitesini Değiştirmesi Bir Saldırganın Kurum Muhasebe Kayıtlarını Değiştirmesi Birçok Saldırganın Kurum Web Sunucusuna Servis Dışı Bırakma Saldırısı Yapması Hedef Gözetmeyen Saldırılar Kurumlarda Siber Güvenlik Virüs Saldırıları (Melissa, 22 CIH Çernobil, Vote)

23 Saldırganların Amaçları Para kazanma Rekabette illegal araçları kullanma Politik Ekonomik Kızma ve Öç alma Teknik olarak kendini kanıtlama, gösterme Saldırıdan zevk alma, heyecan duyma Kurumlarda Siber Güvenlik 23

24 Saldırgan Türleri Profesyonel Suçlular Genç Kuşak Saldırganlar Kurum Çalışanları Endüstri ve Teknoloji Casusları Yabancı ülke yönetimleri ve istihbarat teşkilatları Kurumlarda Siber Güvenlik 24

25 Saldırılarda Sıkça Kullanılan Teknikler Sosyal Mühendislik Ağ Haritalama Uygulama Zayıflıkları Yerel Ağ Saldırıları Yanıltma Hizmet Aksatma Saldırıları (Dos, DDos) Virüs, Worm, Trojan Kullanımı Kurumlarda Siber Güvenlik 25 Olta saldırıları

26 Sosyal Mühendislik Sosyal mühendislik Teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanlardan faydalanma Normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatı Etkileme ve ikna yöntemlerinin kullanılması Kurumlarda Siber Güvenlik 26

27 Sosyal Mühendislik (2) Basit dolandırıcılığa benzer. Genellikle bilgi sızdırmak bir bilgisayar sistemine sızmak için yapılan numaralardır. Çoğunlukla saldırgan, kurbanla yüz yüze gelmez. Kurumlarda Siber Güvenlik 27

28 Sosyal Mühendislik Saldırı Teknikleri Omuz Sörfü (Shoulder Surfing) Tersine Sosyal Mühendislik (Reverse Social Enginnering) Çöp Karıştırma (Dumpster Diving) Oltalama (Phising) Truva Atları (Trojan Horses) Yakın Takip (Tailgating) Kurumlarda Siber Güvenlik 28

29 Araya Girme Saldırıları Yerine Geçilecek Sistem Saldırılacak Sistem Devre Dışı Kal 1 2 Ben O yum Saldırgan Kurumlarda Siber Güvenlik 29

30 Servis Dışı Bırakma Saldırıları Protokol, işletim sistemi veya uygulamada bulunan zayıflıkların sonucunda, sunucunun servis veremez hale getirilmesidir Hedef bir sunucu, servis, uygulama veya ağın devre dışı bırakılması olabilir Tek merkezli ya da çok merkezli olarak yapılabilir Kurumlarda Siber Güvenlik 30

31 Servis Dışı Bırakma Saldırıları (2) Service İşlem kaynaklarının tüketilmesi Depolama alanı RAM Ağ kapasitesi Ağ servislerindeki açıklıklar Ağ protokollerinde, ağ servislerinde ve uygulamalarındaki açıklıklar Sunucunun, servisin, ağın hizmet kalitesini düşürmek Kurumlarda Siber Güvenlik 31

32 Dağıtık Servis Dışı Bırakma Saldırıları Saldırgan Saldırılacak Sistem Daha Önce Ele Geçirilmiş Sistemler Kurumlarda Siber Güvenlik 32

33 Botnet Nedir? Botnet = Robot Network Ele geçirilmiş bilgisayarlardan (30 milyona kadar) oluşan Internet e bağlı ağ. Bir merkezden aldığı komutları uygular Botmaster veya K&K : komuta kontrol sunucusu Bilgisayar virüsü + merkezle iletişim kabiliyeti = BOT Kurumlarda Siber Güvenlik 33

34 Zararlı Yazılımlar Bir bilgisayarı veya içindeki bilgiyi sömürmek için tasarlanmış yazılımdır. Pek çok türü var: Rootkit Solucanlar Spyware Truva Atları Ransomwar e Virüsler Zararlı Yazılım Adware Kurumlarda Siber Güvenlik 34

35 Zararlı Yazılım Software Virüs: Kullanıcının bir işlemini gerektirmesi CD, USB, e-posta Sistemlerin sürekliliğine zarar vermesi Solucan (Worm): Kendini sistem açıklıkları ile bulaştırma Trojan: Kullanıcının bir işlemini gerektirmesi Uzaktan kontrol, Remote control, bilgi çalma Normal bir uygulamaymış gibi gözükür Kurumlarda Siber Güvenlik 35

36 Zararlı Yazılım Malicious (2) Software (2) Rootkit: Kullanıcıdan saklama görevi görmesi Hedefin işletim sistemini değiştirir Arka kapı (backdoor) Kimlik doğrulamayı atlatması Gelecekte erişmek için arka kapı açması Zararlı başka bir yazılım tarafından kurulabilir Yazılım üreticileri de oluşturabilir Teknik destek sebebiyle Kurumlarda Siber Güvenlik 36

37 Spyware: Zararlı Yazılım (3) Bilgi çalmaya odaklı zararlı yazılım Ransomware: Bilgi kaynaklarına erişimi engellemesi Kritik dosyaların şifrelenmesi Zararlı yazılım geliştiricilerinin bilgiyi rehin alması durumu Adware: Zarar hedefli değil, performans problemleri oluşturabilir Reklamların istenmeden dağıtılması Kurumlarda Siber Güvenlik 37

38 Zararlı Yazılım Saldırı Karakteristiği Kötücül yazılımların 1/3 ü bilgisayarla birlikte çalışmaya başlamak için güvenlik duvarını kapatır veya kütük anahtarını değiştirir. Kötücül yazılımların hemen hepsi Windows kütük anahtarına anahtar ilave eder veya değerleri değiştirir. Kernel modunda çalışan kötücül yazılımlar işletim sistemine katılır. AV yazılımını durdurabilirler! Sürekli yönetici hakları ile çalışmak kötücül yazılım tarafından yaratılacak hasarı arttırır. Kurumlarda Siber Güvenlik 38

39 İşletim Sisteminize Güvenmeyin Teorik olarak tüm işletim sistemleri için virüs yazılabilir. Java, Adobe ve Microsoft u geride bırakarak en çok istismar edilen yazılım oldu. Microsoft Security Intelligence Report, volume 11 e göre. Java Sanal Makinası tüm platformlarda bulunuyor bir Java uygulaması birden çok platformda zarara neden olabilir! Kurumlarda Siber Güvenlik 39

40 Teşekkürler Hasan Hüseyin SUBAŞI