BGYS Teknik Açıklık Yönetimi ve Karşılaşılan Zorluklar

BGYS (Bilgi Güvenliği Yönetim Sistemi) kurulumu esnasında çoğunlukla karşılaşıldığı üzere kontrol maddelerinin tanımlarının yanlış/eksik anlaşılması ve uygulama adımında hatalara sebep olması mümkündür. Bu nedenle kontrol ile ilgili detaylı açıklama ve en iyi uygulama örneğine ilişkin açıklamalar aşağıda belirtilmiştir.

ISO 27001 YAMA YÖNETİMİ BEKLENTİLERİ

TS ISO/IEC 27001 kapsamında Teknik Açıklık Yönetimi’ne ait kontrol şu şekilde belirtilmiştir.

Teknik açıklık yönetimi 

Amaç: Yayınlanmış teknik açıklıkların istismarından kaynaklanan riskleri azaltmak.

Teknik açıklıkların kontrolü

Kullanılan bilgi sisteminin teknik açıklıkları hakkında zamanında bilgi elde edilmeli, kuruluşun bu tür açıklıklara maruz kalması değerlendirilmeli ve ilişkili riskleri hedef alan uygun önlemler alınmalıdır

TEKNİK AÇIKLIK TAKİBİ YAPILACAK SİSTEMLERİN/UYGULAMALARIN BELİRLENMESİ

ISO/IEC 27001 BGYS kurulumu esnasında çıkarılmış olan varlık envanterinde yer alan ve kapsamda bulunan ya da kurum tarafından takibi uygun görülen sistemler/uygulamalar için açıklık takibi yapılmalıdır. En iyi uygulama örneği, kurum sistemi içerisinde bulunan ve BGYS ile bağlantılı tüm sistemler için bu takibin yapılmasıdır. Ancak çoğunlukla iş gücü vb. etkenler nedeniyle gerçeklenememektedir.

Siber Tuzaklardan Korunmak

Videodaki uyarıları dikkate almanızı öneririm.

Bilgi Güvenliği Yönetim Sistemi

BGYS Proje Ekibinin Oluşturulması 

BGYS’nin  kurulması  ve  yönetilmesini  üstlenecek  bir  proje  ekibi oluşturulmalıdır.  Ekip  yöneticisi  ve  üyeleri,  bilgi  güvenliği  yönetimi  konusunda eğitimli/deneyimli olmalıdır. Çünkü bu ekip, risk yönetimi, politika oluşturma, güvenlik prosedürlerinin  hazırlanması  ve  uygun  kontrollerin  seçilerek  uygulanması  gibi çalışmaları  yapacaktır.  Gerektiğinde  bu  proje  ekibinin  konusunda  uzman danışmanlardan görüş ve öneri alması sağlanmalıdır.

BGYS’nin kurulması ve yönetilmesi 

Bilgi  Güvenliği  Yönetim  Sistemini  kurmayı  ve  yönetmeyi  düşünen  bir kuruluşta izlenmesi gerekenler aşağıda anlatılmıştır.

BGYS’nin Kurulması 

BGYS'nin  kapsamı  ve  sınırlarını  tanımlanır.  BGYS’nin,  kuruluşun hangi  bölümlerinde  uygulanacağı,  hangi  varlıkları  ve  teknolojileri içereceği yani sınırları belirlenmeli, tanımlanmalı, içeriği ve sınırları
tanımlayan belgeler hazırlanmalıdır.Kuruluşun BGYS politikası tanımlanır. BGYS’yi kurmak için öncelikle
Bilgi  Güvenliği  Politikası  oluşturulmalı,  yazılı  hale  getirilmelidir. Oluşturulan  politikalar  yönetim  tarafından  onaylanıp,  kurum çalışanlarına duyurulmalıdır. Kuruluş,yaptığı işin, yerleşim yerinin, varlıklarının ve teknolojisinin özelliklerine göre bir BGYS politikası tanımlamalıdır.

Kuruluşun risk değerlendirme yaklaşımı tanımlanır. Uygun bir risk değerlendirme metodolojisi seçilmelidir. Seçilen risk değerlendirme metodolojisi,  risk  değerlendirmelerinin  karşılaştırılabilir  ve  yeniden üretilebilir sonuçlar üretmesini sağlamalıdır. Ayrıca kabul edilebilir risk seviyeleri tanımlanmalıdır.Kuruluşun güvenlik riskleri belirlenir. BGYS kapsamındaki varlıkları ve bu varlıkların sahipleri tanımlanır. Bu varlıklar için var olan tehditler tanımlanır. Gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklar üzerinde olabilecek etkileri tanımlanır.

CobiT’in Sağladığı Faydalar

CobiT’in  yönetime  ve  bilişim  teknolojileri  yönlendirme  komitesine sağladığı faydalar;

Kurum  yönetiminin  sorumluluğunda  olan  bilişim  teknolojileri  süreç kontrollerinin uygulanabilmesi için gerekli çatıyı sağlar. Bilişim teknolojileri ve iş süreçleri arasındaki ilişkiyi gözeterek öncelikli  bilgi sistemleri kontrollerinin tesbitinin daha etkin yapılabilmesini sağlar. 

BT  yatırımlarının  iş  süreçlerine  uygun  olarak  gerçekleştirilmesi  ve risk/maliyet oranı yüksek projelere ağırlık verilebilmesi için alınacak kararlara ışık tutar.Bilişim teknolojileri süreçlerinin olgunluğunu sadece üretilen sonuçlar ile değil aynı zamanda performans belirteçleri ile de değerlendirilebilmesine imkan tanır. 

Bu sayede bilişim teknolojileri amaç belirteçlerinin  yanı sıra performans belirteçlerinin  de  belirlenerek  “IT  Scorecard”ın  ortaya  konabilmesine  ve yönetimin  geleceğe  yönelik  daha  kesin  beklentilere  sahip  olabilmesine olanak sağlar. 

Bilgi Teknoloji personeline sağladığı yararlar: 

CobiT  kontrol  hedeflerinden  özellikle  Planla  ve  Organize  Et  sahasında bulunanların  uygulamaya  alınması  ile  önceliklendirme  süreci  ve  diğer birimlerle  olan  ilişkilerde  iyileşme  yaşanabilecek,  verimlilik  artışı sağlanabilecektir.  Bu  fayda  tüm  kurumu  etkilemekle  birlikte  Bilişim teknolojileri personeli tarafından daha fazla hissedilecektir. 

Zincir E-posta ve İnternet Aldatmacası

Zincir e-postalar birçok kişinin birbirine gönderdiği ve insanların çok fazla ilgisini çekebilecek  ve genellikle  mistik bir hava taşıyan, duygusal  ve bunun gibi  sömürü içerikli  bu  e-postaları  alıcının  listesindeki  diğer  kişilerle  paylaşmasını  isteyen iletilerdir.  İnternet  aldatmacası  ise  bir  kurum,  kuruluş  ya  da  tanınmış  bir  kişi hakkında uydurma hikâye ve haberler üreterek zarara uğratmak, kişisel ya da ulusal güvenliği tehdit edecek durum olduğu havası oluşturarak panik havası estirmek şeklinde ortaya çıkmaktadır. Bu tür e-postalar bilinen ve güvenilir olan bir kaynaktan geliyormuş  gibi  gönderilmekte  ve  alıcının  bu  mesajı,  listesindeki  tüm  kişilerle paylaşması istenmektedir.

Zincir e-postalar ve internet aldatmacalarının temel amacı mesajların  mümkün  olduğu  kadar  çok  kişiye  ulaşmasını  sağlayarak  e-posta adreslerinin toplanmasını  sağlamaktır. Bu şekilde ele geçirilen e-posta adresleri üçüncü  kişilere  bir  ücret  karşılığında  satılmakta  ya  da  spam  göndermede kullanılmaktadır.

Logparser ile Geolocation Verilerinin Veritabanına Atılması

Geolocation verilerinin Log Yönetimi söz konusu olduğunda önemi büyüktür. Bir çok logun anlamlandırılmasında ve işlenmesinde geolocation verilerinin kullanılması logları epey anlamlı hale getirir. Bugün bir çok firma ürünleri ile geolocation verilerini entegre bir şekilde kullanmaktadır. Log yönetim sistemlerinde erişim IP adresleri ülkesel bazda raporlanabilmektedir. Firewall ve IPS sistemleri üzerinde ülkesel bazda erişim kuralları tanımlamak mümkündür. Ayrıca internet bankacılığı erişimlerinde ülkesel ve ISP bazında yapılan kısıtlamalar için yine geolocation verileri kulanılmaktadır.

Amacımız  çok basit. Geolocation verilerini Logparser ile veritabanına atacağız. Sonrasında veritabanı üzerinde tutulan tüm loglar için IP adreslerinin ülkesel karşılıklarını bulmak ve raporlamak için kullanılabilecek bir fonksiyon geliştireceğiz.

Aşağıda işlem adımlarını içeren bir video ve kısa kısa açıklamalarını bulabilirsiniz.

3D Secure ile Online Alışveriş Güvenliği

Günümüzde internet kullanımının fazlalaşmasıyla, net üzerinden satış yapan sitelerinin sayısında da önemli bir artış olmaya başladı. Bu durum kulağa hoş gelse de internet sitelerinin açıkları yüzünden kredikartı bilgilerinin çalınması ve sahtekarlık gibi olaylar da malesef olmaktadır.

3D Secure uygulaması hırsızlık ve sahtekarlık olaylarının önüne geçmek için geliştirilmiş bir yöntemdir. 3D secure sistemiyle satış yapan bir siteden alışveriş yaptığınızda, kart bilgilerini girdikten sonra karşınıza kartınızın şifresini soran bir ekran geliyor. Bu aradaki işlemler bankanın kendi serverlarında yapıldığıdan dolayı ve arada gidip gelen veriler şifreli olduğunda güvenlik açısından bir sorun oluşturmuyor. İşlemin sonucu başarılı ise satış yapan sitenin onay sayfası karşınıza geliyor. Eğer bir hata olursa da aynı sayfadan hatayı görebiliyorsunuz.

Bu sistemin avantajlarını şu şekilde listeleyebiliriz.

Kart Sahipleri İçin Yararları

         ·         Internet üzerinden yapılan alışverişler de kart sahibi güveninin artması

         ·         Kullanım için ekstra bir yazılıma ihtiyaç duyulmaması

         ·         Kullanımının kolay olması

         ·         Online alışverişlerde kart üzerinde kontrol sağlaması

Sanal Dünyada Dolandırıcılık

Günümüzde internet  kullanıcılarına  ait  Facebook,Twitter,Linkedin,Yahoo,Google,MSN,Skype  gibi haberleşme  uygulama,  arayüz  ve  programlara  ait  şifrelerin  ele  geçirilerek,kullanıcıların iletişim listesinde bulunan irtibat kişilerine kurulan tuzaklarla kontör veya parasal dolandırıcılık yapılabilmektedir. MSN şifreleri gönderilen bir dosyanın açılması  veya  Truva  (Trojan)  ya  da  klavye  kayıtçısı  (keylogger)  gibi  zararlı yazılımlarla ele geçirilebilmektedir. Diğer bir yöntem de ise kullanıcıların hazırlanan sahte  internet  sayfasına yönlendirilip, MSN şifrelerini yazmaları sağlanmaktadır. Böylece bir  takım gizli bilgiler kötü niyetli kişilerin eline geçmektedir. Bu nedenle ilgili  programları  kullananların  şifre  ve  bilgilerini  sürekli  güncellemeleri gerekmektedir. Ayrıca bu şifrelerin yeterli uzunlukta belirlenmesi ve rakamların yanında harflerin ve sembollerin de kullanılması faydalı olabilmektedir. Seçilen gizli sorular  başkalarının  bulamayacağı  zor  bir  soru  olmalı  ve  cevaplar unutulmamalıdır. Kontör şifresi istekleri ile kredi kartı numarası ve internet hesap bilgisi veya banka hesap bilgisi gibi taleplere her zaman şüpheyle yaklaşmalıdır.

Sanal ortamında tanışılan kişilerle özel bilgiler kesinlikle paylaşılmamalıdır. Bilişim suçları kapsamında değerlendirilen bu uygulamaların adres ve şifresinin çalınması ve devamında nitelikli dolandırıcılık suçu şikâyete bağlı bir suç türüdür.

Online Alışveriş Güvenliği

Tüketici, ucuza erişmek isterken lüksü de elde etmek istiyor. İnternetten daha ucuz uçak bileti bulmaya çalışıyor. Çogu zaman internetten alışveriş yapmak zaman kazandırıyor, daha çok çeşide birkaç tıklama ile ulaşmamızı sağlıyor.Tüm bu olumlu yanlarına nazaran her zaman kafaları karıştıran yanları da olmuştur Internetten alışverişin. Dünyadaki gelişmelere paralel olarak artık yurt dışındaki kapsamlı alışveriş sitelerinin yanında onlarla yarışabilecek yerli versiyonlarına da ulaşabiliyoruz. Fakat ilk günden beri insanların kafasını kurcalayan güvenlik konusunda her geçen gün yaşanan olumlu, olumsuz tecrübeler kimilerini internetten alışveriş yapmaya yöneltiyor kimilerini ise güvenlik gibi birtakım kararsız konulardan dolayı tereddüde düşürüyor.  Birçok E-ticaret sitesi hackerlar tarafından hack ediliyor.Müşterilerin tek güvencesi ise tabiiki “Güvenlik Sertifika”ları oluyor.

E-ticaret uygulamalarında kullanılan temel standartlar SSL ve SET şifreleme teknikleridir.
Bu gelişmiş algoritmik sistemler, karmaşık yapıları ve en gelişmiş bilgisayarların bile çözemediği bir kriptolama (şifreleme) teknolojisine sahiptir.


Bugün bütün bankaların Internet şubeleri, web siteleri aracılığı ile sanal alışveriş hizmeti veren firmalar,
ticari işlemlerin yapıldığı portallar, banka ve kredi kartı bilgilerinin güvenliği ve gizliliğini sağlamak
için yaygın olarak SSL ve SET şifreleme teknolojilerini kullanmaktadırlar. SSL ve SET sistemleriyle,
Internet´ten alışveriş yapmayı isteyen sıradan bir kullanıcının ya da tüm alım satımlarını, ödemelerini web ortamına aktarmış bir işyerinin, yaptıkları ticari işlem sırasında, bağlı oldukları bankayla veri akışı olduğunda, tüm bu veri içeriğini 128 bit şifreleme tekniğiyle şifreler. Bilgilerin şifrelenerek aktarılması esasına dayanan bu dijital güvenlik sistemleri sayesinde, bilgilerin kötü niyetli 3.şahıs ya da kurumların eline geçmesi durumunda onlar tarafından çözülebilmesi önlenmiş olur.


SSL (Secure Socket Layer)
SSL network (ağ) üzerindeki veri transferi sırasında güvenlik ve gizliliğin sağlanması amacıyla Netscape tarafından geliştirilmiş bir güvenlik protokolüdür. 1996 yılında 3.0 versiyonunun çıkarılmasıyla hemen bütün Internet tarayıcılarının desteklediği bir standart haline gelmiş ve kısa zamanda çok geniş uygulama alanları bulmuştur.

FOCA

Penetrasyon testlerinde bir kuruma ait ne kadar bilgi toplayabiliyorsak ( kullanıcı isimleri,email adresleri,işletim sistemleri vb gibi ) testin o kadar verimli geçeceği konusunu önemle vurgulamıştık. Bilgi toplama adımlarından birisi de o kuruma ait internette bulunan dokümanların analiz edilip uygun verilerin elde edilmesidir. Bu tip bir bilgiyi sağlayabilecek araçlardan biri de FOCA ‘dır. FOCA daha önce anlattığımız metagoofil aracı gibi çalışmaktadır. Google, Bing gibi arama motorlarında kuruma ait yayınlanmış dökümanları indirerek bu dökümanlardaki bilgileri bize sunmaktadır. Foca aracı ücretsiz bir uygulamadır, Windows ortamında çalışır ve  kullanımı oldukça basittir.

Görüldüğü gibi sağ üstte hangi arama moturunu kullanacağımızı seçerek search kısmına site ismi ve doküman tipini belirtiyoruz. Daha sonra search butonuna basıp bulunanan dökümanları download ediyor “extract metadata” deyip içlerinden verinin ayıklanmasını sağlıyoruz. Örnek olarak microsoft.com‘a ait word dokümanlarını arattığımızda aşağıdaki gibi bilgiler elde etmiş olduk.