Konular 1 Bilişim Güvenliğinde Ulusal Çalışmalar ve Etkileri 2 Siber Savunma Ortamı 3 Siber Savunma Konsepti 2 / 53
Türkiye'de TÜBİTAK BİLGEM koordinatörlüğünde, 19 kurumun ortak çalışması sonucunda 31 Ocak 2009 tarihinde "Ulusal Sanal Ortam Güvenlik Politikası" dokümanı hazırlanmıştır. Ulusal Sanal Ortam Güvenlik Politikasının amacı ülkemizi sanal ortamdaki saldırılara karşı hazır hale getirecek ve sanal ortamda yaşanacak sorunların ardından, hızlı geri dönüşü sağlayacak sanal ortam güvenlik adımlarını belirlemektir. 4 / 53
İntranet Kurumların iç bünyesinde kullanılan bilgi sistem ile iletişim ağlarının ve İnternet ise Dış Genel Ağın maruz kaldığı zararlı yazılım yayılımı ve siber saldırılar her geçen gün artmaktadır. İç ve dış ağlara yapılan siber saldırılar, genel olarak sistemlerin ve sistemde bulunan verilerin incelenmesi, ön bilgi toplanması ve bilgi çalma şeklinde gerçekleşmektedir. 5 / 53
Siber saldırılar artık sadece sistemlere sızma, bilgi çalma, bilgi yerleştirme, mevcut bilginin bozulması ile sınırlı kalmayıp, bir ülkenin haberleşme sistemlerine, sağlık sistemlerine, bilgi sistemlerine, enerji ağlarına, ulaşım ağlarına, komuta ve kontrol sistemlerine zarar verecek ölçüde asimetrik bir harp türü olarak ortaya çıkmaktadır. Siber saldırıların temel özellikleri; kaynaklarının belli olmaması, sınır tanımaması, düşük maliyetli olması, saldırı yapanlar açısından düşük risk içermesi, doğrudan şiddet kullanımını içermemesi, küresel ölçekte uygulanabilir olması ve ülke içi ya da dışından yapılabilmesidir. 6 / 53
Bilgi sistemleri ve iletişim teknolojileri; teknolojik yetersizlikler, kullanım kolaylığı ve kullanıcı hatası gibi sebeplerden dolayı birçok zafiyet ve açıklık barındırmaktadır. İstismar edilen açıklıkların ve saldırıların kaynağının tespiti oldukça zordur. Saldırı araçları ve saldırılar için kullanılacak kaynaklar genel ağ üzerinde hazır olarak bulunmakta ve her geçen gün yeni açıklıklar keşfedilip istismar edilmektedir. 7 / 53
Bilgi ve iletişim sistemlerine sızma yoluyla bu sistemlerde meydana gelecek kesintiler, sistemlerin normal fonksiyonlarında çok ciddi zararlar meydana getirebilmektedir. Güvenli ağlara yetkisiz erişimler nispeten engellense de, açık küresel ağdan gelecek ağır siber saldırılar, sistemlerin fonksiyonlarına zarar verebilir ve sistemlerde ciddi kayıplara yol açabilir. Sosyal paylaşım ortamları ve sosyal medya yakın gelecekte daha etkin bir konuma gelecektir. 8 / 53
Teknolojik gelişmeler ile kablolu ağların kapasite, hız gibi özellikleri hızla artarken; 3G, 4G, blue-tooth, wi-fi, wi-max gibi kablosuz ağlar da hızla yaygınlaşmaya başlamıştır. 9 / 53
Bilgi sistemlerinin kullanımında öncelik sıralaması; Güvenlik, Performans, Yönetilebilirlik, Maliyet-etkin, sistemlerin tesisi olmalıdır. Yeni gelişmelerin risk değerlendirmeleri siber savunma ile ilgili güvenlik kriterlerine göre yapılmalı ve yeterli güvenlik önlemleri alınabildiği takdirde kullanımı hedeflenmelidir. 10 / 53
Elektromanyetik ortam, tüm alanlarda yoğun olarak kullanılmakta ve teknolojideki baş döndürücü gelişmeler nedeniyle elektromanyetik ortamlara olan bağımlılık gün geçtikçe artmaktadır. Elektronik Harp (EH) günümüzde ağ sistemlerinin, kablosuz ortama açılarak elektromanyetik ağı kullanmaya başladıkları noktaları etkileme kabiliyetine erişmiştir. 11 / 53
Siber savunmada önce bireye görev düşmektedir. Birey, Önce kendi çalışma ortamında bilgi güvenliğini sağlamalı, bir ağın parçası olduğunu hatırlamalı ve farkına varmadan tüm ağı etkileyecek güvenlik sorunları yaratabileceğini unutmamalıdır. Kurumlar iç güvenliklerini sağladıktan sonra, diğer dış kurum ve ağlar ile ortak bilgi güvenliği stratejileri geliştirmelidir. 12 / 53
Bir silahın maliyeti ile bilgi sistem saldırı maliyetleri kıyaslanamayacak boyuttadır. Günümüz dünyasında, en değerli ve korunması gereken BİLGİ en değerli hazinedir. Bilgi güvenliğine ulusal güvenliğimiz olmalı olarak bakılmalı, milli alt yapı kurulmalı ve eğitimler yaygınlaştırılmalıdır. 13 / 53
1. Siber Dünya Savaşını Canlı izleme imkanı! 14 / 53
BİLGİ GÜVENCESİ : BİLGİ GÜVENLİĞİ : T A N I M L A R Bilgi güvenliği ve siber savunmayı kapsayan geniş bir kavramdır. Bilginin gizlilik, bütünlük BİLGİ SİSTEMLERİ GÜVENLİĞİ : ve Bilginin erişilebilirliğinin ve bilgi işlemlerinin bilgi güvenliği yürütüldüğü ile bilgi sağlanmasının sistemlerinin yanında, emniyetli bilginin ve güvenilir doğruluk, olarak açıklanabilirlik, inkâr edilemezlik ve güvenilirliğinin de sağlanmasını kapsar. Alt kümesi olan kullanılabilmesi, İletişim SİBER : ve bilgi bütünlüğünün sistemlerinde ve işlem gizliliğinin gören, muhafazası saklanan ve ve iletilen yetkisiz bilginin şahısların gizliliğinin, bilgiye siber savunma, bilgi güvencesinin operasyonel uygulamalarını içerir ve bu uygulamaların ulaşmaları bütünlüğünün Canlılar SİBER ORTAM ve/veya hâlinde veya : makineler tespit hazır edilmelerine bulunurluğunun arasındaki yönelik iletişim kaybına olarak disiplinini karşı alınan alınan inceleyen tedbirlerin tedbirlerdir. sibernetik tümü. kelimesinin gizlilik, kısaltması bütünlük olarak ve kullanılmakta erişilebilirliğini olan sağlar. Bilgi SİBER ve SALDIRI iletişim teknolojileri : kullanılarak siber kelimesi, birbirine bilgi fiziksel sistemleri olarak bağlanmış ile ilişkili olan ve birbiri her türlü ile olgu, ilişkili Bilgi SİBER bilgi ağlar sistemlerinde SAVAŞ teknolojileri vasıtasıyla; : yer ve bilginin sanal alan gerçeklik bilgiyi yaratılması, istismar anlamına depolanması, etmek, gelmektedir. bozmak, değiştirilmesi değiştirmek, ve yayımlanması erişimini için engellemek kullanılan ya elektronik da zarar vermek elektromanyetik amacıyla yapılan ortamdır. fiil ya da fiiller bütünüdür. Müstakil ya da Kendi SİBER bilgisayar SAVUNMA sistemlerimiz : ve ağlarımız ile bilgi süreçlerimizi korurken, muhasımın bilgi organize sistemleri olarak ile bilgisayar yapılabilmektedir. sistemleri Fiziksel ve ağlarını saldırılara kontrol destek ederek olarak ve icra etkileyerek edilebildiği amacımıza gibi siber İletişim, savaşın KRİTİK ulaşmak temel ALTYAPI elektronik ve bilgi sistemlerine elektronik ortamda yapılacak saldırılar, yanlış için alınacak aracı : olarak önlemlerin da icra bütünü. edilmektedir. kullanım Zarar görmesi ve zararlı ve/veya yazılımlar yok olması nedeniyle halinde, ortaya vatandaşların çıkacak mal olumsuz ve can etkilerin güvenliğine, önlenmesi sağlığına ve sistemlerin ve ekonomik sürekliliğinin refahına veya sağlanması kamu için hizmetlerinin alınması gereken verilmesine tedbirlerdir. olumsuz Siber etki savunma, edebilecek bilgi güvencesinin tesisler, ağlar, operasyonel hizmetler ve uygulamalarını varlıklardır. Ülkeden içerir ve ülkeye bu uygulamaların değişmekle gizlilik, birlikte bütünlük çoğunlukla ve erişilebilirliğini bankacılık ve finans, sağlar. enerji, ulaşım, bilgi ve elektronik haberleşme, sağlık, su, tarım ve gıda ile acil hizmetler temel kamu hizmetlerine yönelik altyapılardır. Kurumda kritik altyapılar görevin ifasında zaruri olan ve kesintisi, değiştirilmesi, erişiminin engellenmesi vb. durumlarda ikamesi olmayan ve olumsuz etkiler oluşturabilecek sistemlerdir. 16 / 53
Her türlü yazılım, donanım ve iletişim altyapısından meydana gelen, birbirine bağlı veya bağımsız bilgi sistemlerinin oluşturduğu sayısal ortamdır. (1) Yazılımsal olarak; (2) Donanımsal olarak; (3) İletişim altyapısı olarak. 17 / 53
Siber uzay içerisinde yer alan unsurlar 1. Varlıklar, 2. Bu varlıklar üzerinde oluşan açıklıklar/zafiyetler 3. Siber Tehditler 18 / 53
Varlıklar, Varlık, bir değeri olan ve korunması gereken unsurlar olarak tanımlanmaktadır. Bu kapsamda insanlar, çeşitli türde veriler, kayıtlar, donanımlar, yazılımlar, tesisler, kurumsal imaj ve süreçler varlık olarak nitelendirilir. Siber ortamda varlık olarak genellikle bilgi ve iletişim sistemlerini oluşturan ve bunlarla etkileşim hâlinde kullanılan tüm unsurlar esas alınmaktadır. Enerji, ulaşım, iletişim (telekomünikasyon), veri ve iletişim ağ altyapıları gibi altyapı tesisleri en kritik varlıkların başında gelmektedir. 19 / 53
Açıklıklar/Zafiyetler: Yetersiz, uygulanmayan veya uygulanabilir olmayan güvenlik, Kuralların uygulanmasındaki eksiklikler, Sürekli eğitim/farkındalık faaliyetlerindeki yetersizlikler, Yetkisiz yazılım ve bilgi sistem araçlarının kullanımı, Gizli ve özel bilgilerin genel ağa bağlı sistemlerde işlenilmesi, Yetersiz konfigürasyon yönetimi ve raporlama, hatalı konfigürasyon ile kurulan cihazlar, 20 / 53
Zayıf parola yönetimi ve zayıf şifreler, Yetersiz yama yönetimi, Yetersiz erişim kontrol mekanizmaları, Teknik personelin yeteri kadar eğitilmemesi, Yetkisiz erişilebilen sistemler, Yetersiz sistem yönetimi, Dosyaların kontrolsüz çoğaltılması, Güvenlik testinden geçmemiş yazılımların kullanımına imkân tanınması, Yetersiz ve/veya uygulanmayan fiziksel güvenlik tedbirleri. 21 / 53
Siber ortamda bulunan bilginin bozulması, ifşa edilmesi ve erişilebilirliğinin kesintiye uğraması gibi istenmeyen durumlara neden olma potansiyelidir. Ağırlıklı olarak hasım ülkeler, terörist gruplar ve bilgisayar korsanlarından kaynaklanmaktadır. Bu nedenle özellikle hasım ülkelerden ve terörist gruplardan kaynaklanan bilinçli saldırılar öncelikli tehdit olarak değerlendirilmek durumundadır. Siber ortamda bulunan tehdit türleri hakkında kolaylıkla bilgi sahibi olunabilmesine rağmen siber tehdit kaynaklarının tespit edilmesi ve ortaya çıkarılması konusundaki imkân ve kabiliyetler sınırlıdır. 22 / 53
SİBER TEHDİTLER TEHDİDİN KAYNAĞI AÇISINDAN TEHDİDİN GELİŞ YÖNÜNE GÖRE KÖTÜ NİYETLİ OLMAYAN DAVRANIŞLAR SONUCU OLUŞAN KÖTÜ NİYETLİ OLAN DAVRANIŞLAR SONUCU OLUŞAN KURUM İÇİ KURUM DIŞI 23 / 53
Tehdidin Kaynağı Açısından Siber Tehditler: (a) Kötü Niyetli Olmayan Davranışlar Sonucu Oluşan Tehditler (b) Kötü Niyetli Olan Davranışlar Sonucu Oluşan Tehditler. Tehdidin Geliş Yönüne Göre Siber Tehditler: (a) Kurum İçi Tehditler. (b) Kurum Dışı Tehditler. 24 / 53
Bahsi geçen tehditlerin yanı sıra, sonucu itibarıyla siber ortam üzerinde bilgi güvenliğinin sürekliliğini engellemesinden dolayı doğal kaynaklı meydana gelen deprem, sel, yıldırım düşmesi vb. olaylarda önlem alınması gereken tehdit kaynağı olarak düşünülmelidir.
Siber güvenliğin sağlanmasının en önemli prensibi tüm gelişmiş imkân ve kabiliyetlerine rağmen siber tehditlerden bir adım önde olmaktır. Tehdidi hazırlık safhasından itibaren takip edebilmek ve zarar vermesine müsaade etmeden etkisiz hale getirebilmek hedeflenmelidir. 26 / 53
Bilgisayar Korsanları (Hackers, Crackers vb.): Menfaat, ün ya da psikolojik tatmin karşılığı bilgi sistem ağları üzerinden sistemlere sızarak zarar veren, bilgi çalan kişilerdir. Bazı ülkelerin istihbarat servislerinde çalışan bilgisayar uzmanları, Aynı şekilde, yabancı ülke üniversitelerinde eğitilen, ancak kendi ülkelerinde aradıklarını bulamamış üçüncü dünya ülkelerine mensup bilgisayar uzmanları ile ekonomik ve endüstriyel durgunluktan etkilenerek işsiz kalmış batılı uzmanlar da kaynak durumundadır. 27 / 53
Casusluk Faaliyeti Yapanlar: Bilgi sistemlerine giriş yetkisine sahip sistem yöneticilerinin denetimi diğer kullanıcılara göre oldukça zordur. Bu nedenle bir sisteme erişim yetkisi yasal olarak verilen personel casusluk faaliyetlerinde kullanılma potansiyeli olan personeldir. Teröristler: Giderek artan oranda ticari ve özel iletişim bilgi sistemlerini kendi amaçları için kullanmaktadırlar. 28 / 53
Organize Suç Unsurları: Uyuşturucu kartellerinden, toplumsal eylemcilere kadar sıralanan bu unsurlar, bilgi çağının sağladığı tüm unsurlardan faydalanmaktadır. Dış İstihbarat Örgütleri: Her zaman aktif olan dış istihbarat örgütleri, bilgi toplama faaliyetlerini genellikle örgütsüz, yetkisiz kullanıcıların eylemleri örtüsü altında yürütürler. 29 / 53
Hasımlar ve Yabancı Ülke Silahlı Kuvvetleri: Hasımları hakkında istihbarat toplamak isteyen ve saldırı planlayan ülkeler bilgisayar korsanlarının potansiyel işverenleridir. Diğer ülkelere satılan her türlü ana malzeme, bilişim ve silah sistemleri üzerine, çeşitli tetikleme mekanizmalarıyla harekete geçen ve sistem kullanımını sınırlayan ve/veya devre dışı bırakan, çeşitli örtülü fonksiyonları içeren donanım ve yazılım araçları gömülebilmektedir. 30 / 53
Kurum İçi Kullanıcılar: Kötü niyetli olsun ya da olmasın kurumlarda çalışan eğitimsiz veya bilinçsiz personel, işinden memnun olmayan/küskün personel ve yetkilerini kötüye kullanan kullanıcılar doğrudan veya dolaylı olarak potansiyel siber tehdit kaynağıdırlar. 31 / 53
(1) Siber Casusluk (2) Veri Çalma veya Değiştirme (3) Hizmet Dışı Bırakma (4) Teçhizatın Bozulması (5) Kritik Altyapı Saldırıları (6) Tuzaklı Donanımlar 32 / 53
1. Kötücül (Zararlı) Yazılım Kullanımı (Malicious Software) : a. Truva Atları (Trojan) b. Bilgisayar Virüsleri (Virüs) c. Ağ Solucanları (Worm) 33 / 53
2. Hizmetin Engellenmesi (Denial of Service-DOS, Distributed Denial of Service-DDOS): Son yıllarda sıklıkla organize olarak yapılan hizmetin engellenmesi saldırıları, bilgi ve iletişim sistemlerini devre dışı bırakmak için yapılan saldırılardır. Bu saldırılar sistemlerin aşırı şekilde yüklenmesi ile oluşmaktadır. 34 / 53
3. Yemleme (Phishing): 4. İstem Dışı Elektronik Posta (Spam e-mail) 5. Şebeke Trafiğinin Dinlenmesi (Monitoring/Sniffing) 6. Sosyal Mühendislik (Social Engineering) 7. Casus Araç Kullanımı (Spying) 8. Yerine Geçme (Masquerading) 9. Keşif Saldırıları/Tarama (Scanning) 10.Sırtlama *İzinsiz Erişim Paylaşma (Piggybacking)] 35 / 53
11. Arkaya Takılma (Tailgating) 12. Çökmüş Sistem (Superzapping) 13. Veri Artıklarının İstismarı (Scavenging) 14. Parçalı Toplama (Salami Techniques) 15. Kapanlar (Trap Doors) 16. Eş Zamanlı Olmayan Saldırı (Asynchronous Attacks) 17. Örtülü Kanal (Covert Channels) 18. Yanlış Bilgi Girme (Entering False Information) 19. Köle Bilgisayar Ağları (Botnet) 20. Aldatma (Spoofing) 36 / 53
SİBER SAVUNMA KONSEPTİ
Bu Konsept, siber ortamda yer alan bilgi ve iletişim sistemlerine yönelik riskler, tehditler ve zafiyetler ile siber savunmanın etkin şekilde icrası için gerekli olan idari düzenlemeleri kapsamaktadır. Siber savunma, bilgi güvencesinin operasyonel uygulamalarını içermekte ve bu uygulamaların gizlilik, bütünlük ve erişilebilirliğini sağlamayı hedeflemektedir. 38 / 53
39 / 53
40 / 53
Hazırlık, Eğitim ve Önleme (1) Siber savunmada temel hedef, siber saldırıların kritik bilgi sistemlerine etkisini engellemektir. (2) Hazırlık, eğitim ve önleme aşaması muhtemel siber ataklara karşı ortak standart ve müdahale usullerinin belirlenmesi ve gerekli eğitim, tatbikat ve farkındalık faaliyetlerinin yapılmasını içerir. (3) Siber savunma insan ve teknoloji ana unsurları üzerine inşa edilmelidir. 41 / 53
42 / 53
43 / 53
LOG Yönetimi Bilgi ve iletişim sistemleri üzerinde gerçekleşen her hareket otomatik olarak kayıt altına alınmaktadır. Bilgi sistemler üzerinde açılan her web sayfası, kullanılan her program ve süresi, ne yapıldığı, kamera görüntüleri ve mesaj gibi anlık işlemler, resimler ve filmler, görüşme ve iletişim kayıtları ve hatta konuşmalar gibi. Bu Kayıtların izlenmesi saldırıların tespiti için önem kazanmaktadır. Bu nedenle kayıtların sürekli izlenmesi ve analiz edilmesi ihtiyacı bulunmaktadır. İhtiyaç olduğu takdirde bu maksatla olay ilişkilendirme yazılımları kullanılır. 44 / 53
Kayıt / Kayıt Yönetimi Kayıt; gerçekleşen bir olaya dair oluşturulan mesaj, kayıt yönetimi ise bilgi sistem altyapısında gerçekleşen olaylara ait kayıtların belirlenmiş kriterlere göre toplanması ve işlenmesidir. 45 / 53
Olay İlişkilendirme Bir saldırının ilerleme adımlarına denk düşen parçalarının farklı bileşen kayıtlarından takip edilmesi "Olay İlişkilendirme" olarak tanımlanabilir. Olay ilişkilendirme sağlıklı yapılabildiği takdirde gelişmiş saldırıların analizi kolaylaşmakta, saldırıların zarar dereceleri hakkında bilgi edinilebilmekte, gerçekten ilgilenilmesi gereken olaylar ayıklanabilmekte, saldırılar önceliklendirilebilmektedir. Bu suretle, saldırılardan zamanında haberdar olunabilmekte, karşı önlemler yerinde ve zamanında alınabilmektedir. 46 / 53
Kurtarma, Telafi ve Geri Besleme Bilgi ve iletişim sistemleri saldırı altında çalışabilmen ve mümkün olan en kısa sürede kurtarma, telafi ve yerine koyma faaliyetlerini hızla icra ederek tam işlevsel kabiliyet yeniden sağlanmalıdır. Bu İş Sürekliliği Yönetimi ile sağlanabilir. Yerine koyma ve etki azaltma teknikleri, önleyici tedbirlerin potansiyel zayıflıklarını, normal işlerliğe hızla dönebilecek bir sistem yeteneği olarak dengeler. Böylelikle saldırının etkilerini sınırlayabilir. 47 / 53
Alınan Dersler Siber savunma ile ilgili bilgi sistem duyuruları, ilk olay bildirim raporları, olay sebep, sonuç, fail bilgileri, açıklık işlemleri, alarmlar ve alarmlara karşı yapılan işlemlere ilişkin bilgiler kullanılarak "Alınan Dersler Veri Tabanı" oluşturulmalıdır. 48 / 53
Siber savunma yeteneği kapsamında, üst düzey yöneticilerin siber savunma konusunu gündemlerine alması sağlanmalıdır. Bilgi güvenliği altyapısını kuran ve işleten birimler ile bu birimleri denetleyen birimlerin kuvvetler ayrılığı prensibine göre farklı birimler olması sağlanmalıdır. Bilgi sistemler üzerinde açıklık ve sızma (penetrasyon) testlerini planlamalı, gerçekleştirmeli ve raporlanmalıdır. Planlı/Plansız bilgi sistem denetlemeleri icra edilmeli, denetlemelerde elektronik ortam üzerinden açıklıkların tespit edilmesi için araç ve yazılımlar kullanılmalıdır. 49 / 53
Risk Yönetimi Siber savunma ile ilgili bilgi ve iletişim sistemleri üzerinde uygulanacak Bilgi Güvenliği Yönetim Sistemlerinde risk tabanlı bir değerlendirme esas alınır. Siber savunma ve bilgi sistem güvenliği kapsamında risk, bir varlıktaki bir zayıflığın bir tehdit tarafından kullanılma ihtimali olarak ele alınmaktadır. Risk yönetimi, riskin belirlenmesi ve değerlendirmesini, analizini, derecelendirilmesini ve işlenmesini içerir. Risk yönetiminin ilk adımı varlık yönetimidir. 50 / 53
Varlık Yönetimi Tüm bilgi sistem birimleri sahip oldukları varlıkları belirler, sınıflandırır, envanterini tutar ve bu envanterlerin güncelliğini sağlarlar. Kullanılan yazılımların lisanslı ve yetki dâhilinde kullanılması sağlanır. Kurum envanterinde geçmeyen (şahsi dâhil) donanım, yazılım bilgi sistemlerde kullanılmaz. Varlık yönetimine esas teşkil edilecek şekilde işletme birimleri tarafından konfigürasyon yönetimi yapılır. 51 / 53
Risk Değerlendirmesi Siber savunma konusunda sorumlu olan birimler uluslararası risk değerlendirme standartlarına uygun olarak, yönettikleri sistemler için yerinde risk değerlendirmesi yapmalıdırlar. Risk değerlendirmeleri ders çıkarımı amaçlı olarak arşivlenir ve risk analizinin ilgili aşamalarına girdi olarak kullanılır. 52 / 53