Kurumlarda Siber Güvenlik Hasan Hüseyin SUBAŞI
Siber Güvenliğe Kısa Bir Bakış Kurumlarda Siber Güvenlik 2
Kurumsal Seviyede Siber Güvenlik Kurumsal bilgi güvenliği/siber güvenlik politikaları Kurumsal organizasyonda siber güvenlik sorumlulukları Kurum personelinin bilinçlendirilmesi Üst yönetimin karar alma fonksiyonu Herkesin belirli sorumlulukların olduğu bir organizasyon Kurumlarda Siber Güvenlik 3
Ulusal Siber Güvenlik Yönetişimi İstihbarat Askeri Siber Diplomasi Kritik Altyapıların Korunması Siber Suç Kurumlarda Siber Güvenlik 4
Uluslararası Seviyede Siber Güvenlik Uluslararası örgütler ve siber güvenlik çalışmaları AB, NATO, BM vb Uluslararası ilişkilerde siber güvenlik konularının konuşulması Siber diplomat kavramı Uluslararası hukuk kriterlerinin oluşması Siber Suçlarla Mücadele Siber terörizm Sosyal medya İngiltere Çin ile siber ilişkileri geliştirme peşinde İsrail-ABD Arasındaki En İyi İşbirliği Siber Güvenlikte Rusya ve Çin Siber İttifakta Anlaştı, ABD Tedirgin Axiom raporu Çin-ABD siber güvenlik işbirliğini tetikleyebilir Kurumlarda Siber Güvenlik 5
2011: Sosyal Medyanın Arap Baharına Etkisi Ocak - Şubat 2011: Tunus, Mısır daki ayaklanmalarda Facebook, Twitter, SMS, and diğer sosyal medya ağları kullanıldı. Olaylar Ürdün Suriye, Yemen ve Libya ya sıçramıştı. Kurumlarda Siber Güvenlik 6
Bilgi Nedir? Bilgi kişilere veya kurumlara ait diğer bütün varlıklar gibi değeri olan ve aralıksız olarak uygun bir şekilde korunması gereken bir varlıktır. Bilgi somut bir varlık mıdır? Kurumlarda Siber Güvenlik 7
Bilgiyi Somutlaştıran Ögeler Bilginin tutulduğu ortam Elektronik Sabit disk Disk sistemi Teyp ünitesi Cd-rom USB bellek Basılı doküman Personel Ortamın fiziksel yeri Kurumlarda Siber Güvenlik 8 Bilginin sahibi
Bilgiyi Somutlaştıran Ögeler (2) Bilgiyi işleyen yazılımlar Uygulama yazılımları İşletim sistemi Bilgiyi işleyen donanımlar Sunucu bilgisayar Dizüstü bilgisayar Anahtarlama cihazı Yazıcı Kablosuz ağ aygıtları Kurumlarda Siber Güvenlik 9
Bilgiyi Somutlaştıran Ögeler (3) Bilgiye erişen taraflar Kurum içinden (kişi/şube/daire) Kurum dışından (kişi/kurum bağlısı/diğer kurum/vatandaş) Erişim hakları: Değiştirme/silme/okuma Bilginin yedeklenme durumu Kurumlarda Siber Güvenlik 10
Bir Kurumda Bilginin Akışı Bilgi Bilgi Bilgi Bilgi Bilgi Oluşturulur Değiştirilir İletilir İşlenir Depolanır Silinir Bilgi Bilgi Bilgi Bilgi Bilgi Kurumlarda Siber Güvenlik 11
Bilgi Güvenliği Eksikliklerinin Olası Zararları Kurum İsmi, Güvenilirliği ve Markaları Kuruma Ait Özel / Mahrem / Gizli Bilgiler Kuruma Ait Adli, Ticari Teknolojik Bilgiler İşin Devamlılığını Sağlayan Bilgi ve Süreçler Üçüncü Şahıslar Tarafından Emanet Edilen Bilgiler Hukuki Sorumluluklar Üçüncü kurumlara yapılabilecek saldırıların sorumluluğu Kurumlarda Siber Güvenlik 12
Açıklık (Vulnerability) ve Tehdit (Threat) İnsan Bilgi Açıklık Tehdit Yazılım Donanım Servisler Varlıklar Açıklık Açıklık Tehdit Tehdit Açıklık: Bir varlıkta ya da bir varlık grubunda bulunan tehditler tarafından istismar edilebilecek eksiklikler ve zayıflıklar Tehdit: Bilgi varlıklarına zarar verme potansiyeline sahip olaylara neden olabilecek olaylar Kurumlarda Siber Güvenlik 13
Açıklık Örnekleri İnsan Bilgi Yazılım Donanım Servisler Personel eksikliği/ Güvenlik bilinç eksikliği/ Eksik işe alma prosedürleri Erişim kontrolü eksikliği, yedekleme eksikliği/ Silme prosedürü eksikliği/ Kontrolsüz kopyalama Eksik gereksinim belirleme / Eksik test ve dokümantasyon/ Yazılımsal hatalar Güncelleme ve bakım eksiklikleri / Isı, voltaş ve hava şartı değişikliklerine karşı dirençsizlik Eksik kontrat yönetimi Kurumlarda Siber Güvenlik 14
İnsan Bilgi Yazılım Donanım Servisler Varlıklar ThTehditler Kasıtlı İnsani Tehditleri Kaza, Hata ve İnsani Tehditler Çevresel Tehditler Ağ dinleme Deprem Yangın Bilgi değiştirme Sistem hackleme Zararlı kod Hatalar, ihmaller Elektrik Problemlerı Sel Çalma Dosya silme Fiziksel Tehdit Kurumlarda Siber Güvenlik 15
Bilgi Güvenliği ile İlgili Yanlış Düşünceler! Yanlış: Bilgi güvenliğinden bilgi işlem birimi sorumludur! Doğru: Bilgi güvenliğinden Yönetim, Bilgi İşlem ve tüm kullanıcılar sorumludur. Yanlış: Anti-virüs yazılımımız var dolayısıyla güvendeyiz. Doğru: Mesele Anti-virüs yazılımını sadece kurmak değil bu yazılıma sorumlu atamak, virüs-imza dosyalarını güncel tutmak, yazılımın raporlarını izlemek ve tüm bunları yönetim onaylı bir prosedür çerçevesinde gerçekleştirmektir. Yanlış: Kurumumuz güvenlik duvarı (firewall) kullanıyor, dolayısıyla güvendeyiz. Doğru: Güvenlik duvarı doğru yapılandırılmadığı takdirde hiçbir anlam ifade etmez. Yaklaşım Anti-virüs yazılımında olduğu gibi olmalıdır. Kurumlarda Siber Güvenlik 16
Bilgi Güvenliği ile İlgili Yanlış Düşünceler! Yanlış: Bir çok güvenlik saldırısı kurum dışından geliyor! Doğru: Saldırıların çoğu kurum içinden gelmekte ve dışarıdan gelen saldırılardan daha vahim sonuçlar doğurmaktadır. Yanlış: Dosyalarımın kopyasını alıyorum, güvenlikten bana ne! Doğru: Yedekleme bireysel olarak değil kurum yetkilileri tarafından bir prosedür uyarınca yapılmalıdır. Şuursuz yedekleme virüs yayma ve hırsızlık açısından olumsuz sonuçlar doğurabilir. Yanlış: Arkadaşımdır, güvenirim dolayısıyla parolamı paylaşırım! Doğru: Parolanın güvenli bir biçimde muhafaza edilmesi kullanıcıların en önemli sorumluluklarındandır. Aksi takdirde Erişim Yönetimi çalıştırılamayacağı gibi bilgi güvenliği olaylarının sorumlularını tespit etmek de mümkün olmayacaktır. Kurumlarda Siber Güvenlik 17
Siber Güvenlik & Bilgi Güvenliği Korunması gereken bilgi varlıkları aynı Tehdit ve açıklıkları farklı Siber Güvenlik Bilgi Güvenliği Siber Güvenlik, bilgi güvenliğinde söz konusu olan tehdit ve açıklıkların bir altkümesi ile ilgilenir. Kurumlarda Siber Güvenlik 18
Tehdit Türleri Siber Tehdit Türleri İç Tehdit (Internal Threat) Unsurları Bilgisiz ve Bilinçsiz Kullanım Kötü Niyetli Hareketler Kurumlarda Siber Güvenlik 19 Dış Tehdit Unsurları Hedefe Yönelmiş Saldırılar Hedef Gözetmeyen Saldırılar
İç Tehdit Unsurları Bilgisiz ve Bilinçsiz Kullanım Temizlik Görevlisinin Sunucunun Fişini Çekmesi Eğitilmemiş Çalışanın Veritabanını Silmesi Kurumlarda Siber Güvenlik 20
İç Tehdit Unsurları - 2 Kötü Niyetli Hareketler İşten Çıkarılan Çalışanın, Kuruma Ait Web Sitesini Değiştirmesi Bir Çalışanının, Ağda Sniffer Çalıştırarak E- postaları Okuması Bir Yöneticinin, Geliştirilen Ürünün Planını Rakip Kurumlara Satması Kurumlarda Siber Güvenlik 21
Dış Tehdit Unsurları Hedefe Yönelmiş Saldırılar Bir Saldırganın Kurum Web Sitesini Değiştirmesi Bir Saldırganın Kurum Muhasebe Kayıtlarını Değiştirmesi Birçok Saldırganın Kurum Web Sunucusuna Servis Dışı Bırakma Saldırısı Yapması Hedef Gözetmeyen Saldırılar Kurumlarda Siber Güvenlik Virüs Saldırıları (Melissa, 22 CIH Çernobil, Vote)
Saldırganların Amaçları Para kazanma Rekabette illegal araçları kullanma Politik Ekonomik Kızma ve Öç alma Teknik olarak kendini kanıtlama, gösterme Saldırıdan zevk alma, heyecan duyma Kurumlarda Siber Güvenlik 23
Saldırgan Türleri Profesyonel Suçlular Genç Kuşak Saldırganlar Kurum Çalışanları Endüstri ve Teknoloji Casusları Yabancı ülke yönetimleri ve istihbarat teşkilatları Kurumlarda Siber Güvenlik 24
Saldırılarda Sıkça Kullanılan Teknikler Sosyal Mühendislik Ağ Haritalama Uygulama Zayıflıkları Yerel Ağ Saldırıları Yanıltma Hizmet Aksatma Saldırıları (Dos, DDos) Virüs, Worm, Trojan Kullanımı Kurumlarda Siber Güvenlik 25 Olta saldırıları
Sosyal Mühendislik Sosyal mühendislik Teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanlardan faydalanma Normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatı Etkileme ve ikna yöntemlerinin kullanılması Kurumlarda Siber Güvenlik 26
Sosyal Mühendislik (2) Basit dolandırıcılığa benzer. Genellikle bilgi sızdırmak bir bilgisayar sistemine sızmak için yapılan numaralardır. Çoğunlukla saldırgan, kurbanla yüz yüze gelmez. Kurumlarda Siber Güvenlik 27
Sosyal Mühendislik Saldırı Teknikleri Omuz Sörfü (Shoulder Surfing) Tersine Sosyal Mühendislik (Reverse Social Enginnering) Çöp Karıştırma (Dumpster Diving) Oltalama (Phising) Truva Atları (Trojan Horses) Yakın Takip (Tailgating) Kurumlarda Siber Güvenlik 28
Araya Girme Saldırıları Yerine Geçilecek Sistem Saldırılacak Sistem Devre Dışı Kal 1 2 Ben O yum Saldırgan Kurumlarda Siber Güvenlik 29
Servis Dışı Bırakma Saldırıları Protokol, işletim sistemi veya uygulamada bulunan zayıflıkların sonucunda, sunucunun servis veremez hale getirilmesidir Hedef bir sunucu, servis, uygulama veya ağın devre dışı bırakılması olabilir Tek merkezli ya da çok merkezli olarak yapılabilir Kurumlarda Siber Güvenlik 30
Servis Dışı Bırakma Saldırıları (2) Service İşlem kaynaklarının tüketilmesi Depolama alanı RAM Ağ kapasitesi Ağ servislerindeki açıklıklar Ağ protokollerinde, ağ servislerinde ve uygulamalarındaki açıklıklar Sunucunun, servisin, ağın hizmet kalitesini düşürmek Kurumlarda Siber Güvenlik 31
Dağıtık Servis Dışı Bırakma Saldırıları Saldırgan Saldırılacak Sistem Daha Önce Ele Geçirilmiş Sistemler Kurumlarda Siber Güvenlik 32
Botnet Nedir? Botnet = Robot Network Ele geçirilmiş bilgisayarlardan (30 milyona kadar) oluşan Internet e bağlı ağ. Bir merkezden aldığı komutları uygular Botmaster veya K&K : komuta kontrol sunucusu Bilgisayar virüsü + merkezle iletişim kabiliyeti = BOT Kurumlarda Siber Güvenlik 33
Zararlı Yazılımlar Bir bilgisayarı veya içindeki bilgiyi sömürmek için tasarlanmış yazılımdır. Pek çok türü var: Rootkit Solucanlar Spyware Truva Atları Ransomwar e Virüsler Zararlı Yazılım Adware Kurumlarda Siber Güvenlik 34
Zararlı Yazılım Software Virüs: Kullanıcının bir işlemini gerektirmesi CD, USB, e-posta Sistemlerin sürekliliğine zarar vermesi Solucan (Worm): Kendini sistem açıklıkları ile bulaştırma Trojan: Kullanıcının bir işlemini gerektirmesi Uzaktan kontrol, Remote control, bilgi çalma Normal bir uygulamaymış gibi gözükür Kurumlarda Siber Güvenlik 35
Zararlı Yazılım Malicious (2) Software (2) Rootkit: Kullanıcıdan saklama görevi görmesi Hedefin işletim sistemini değiştirir Arka kapı (backdoor) Kimlik doğrulamayı atlatması Gelecekte erişmek için arka kapı açması Zararlı başka bir yazılım tarafından kurulabilir Yazılım üreticileri de oluşturabilir Teknik destek sebebiyle Kurumlarda Siber Güvenlik 36
Spyware: Zararlı Yazılım (3) Bilgi çalmaya odaklı zararlı yazılım Ransomware: Bilgi kaynaklarına erişimi engellemesi Kritik dosyaların şifrelenmesi Zararlı yazılım geliştiricilerinin bilgiyi rehin alması durumu Adware: Zarar hedefli değil, performans problemleri oluşturabilir Reklamların istenmeden dağıtılması Kurumlarda Siber Güvenlik 37
Zararlı Yazılım Saldırı Karakteristiği Kötücül yazılımların 1/3 ü bilgisayarla birlikte çalışmaya başlamak için güvenlik duvarını kapatır veya kütük anahtarını değiştirir. Kötücül yazılımların hemen hepsi Windows kütük anahtarına anahtar ilave eder veya değerleri değiştirir. Kernel modunda çalışan kötücül yazılımlar işletim sistemine katılır. AV yazılımını durdurabilirler! Sürekli yönetici hakları ile çalışmak kötücül yazılım tarafından yaratılacak hasarı arttırır. Kurumlarda Siber Güvenlik 38
İşletim Sisteminize Güvenmeyin Teorik olarak tüm işletim sistemleri için virüs yazılabilir. Java, Adobe ve Microsoft u geride bırakarak en çok istismar edilen yazılım oldu. Microsoft Security Intelligence Report, volume 11 e göre. Java Sanal Makinası tüm platformlarda bulunuyor bir Java uygulaması birden çok platformda zarara neden olabilir! Kurumlarda Siber Güvenlik 39
Teşekkürler Hasan Hüseyin SUBAŞI