Bilgi Güvenliği ve Yazılım Güvenliği Nedir?
Bu blog içerisinde bilgi güvenliğinin hayatımızdaki yerini ve neden bizim için bu kadar önemli olduğunu anlatacağım.
Bilgi Güvenliği Nedir?
Bilgi güvenliği denince akla gelen ilk şey izinsiz bir şekilde bilgilere ulaşılmasına, kullanılmasına veya değiştirilmesine izin verilmeden bu erişimleri engellemeye çalışmak girişimidir. Kripto sistemler, Cyber security alanları bu işlemler için kullanılır. Bir çok güvenlik sağlayacak yazılım geliştirilmiştir ve bunlar bilgi güvenliği adı altında toplanmıştır.
- Türkiye içerisinde bilgi güvenliğini sağlamak için bir TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı belirlenmiştir ve bu bazı temel gereksinimleri karşılamaktadır mesela gizlilik, bütünlük ve erişilebilirlik temel özelliklerdir.
Gizlilik(Confidentially), Bütünlük(Integrity) ve Erişilebilirlik(Availability), bilgi güvenliğinin temel taşı kavramı olan “CIA üçlüsü” olarak bilinmektedir ve günümüzde birçok alanda kullanılmaktadır. Temel önemli 3 şey şunlardır:
1. Bütünlük (Integrity): Veri bütünlüğü, verilerin izinsiz taraflar aracılığıyla değişime uygulamadığını kontrol etmektedir.
2. Erişilebilirlik (Availability): Verilere gerek olduğu zaman sadece yetkili kişiler tarafından ulaşılabilmesidir.
3. Gizlilik (Confidentially): Bilgileri sadece izni olan yani yetkili bireyler görebilir.
Information Security Policy(ISP)
Bilgi Güvenliği Politikası olarak adlandırılmaktadır. Bilgisayar teknolojilerinin değerlerini kullanırken kişilere yol gösteren bir takım kurallardır. Şirketlerin, çalışanların ve öbür kullanıcıların güvenlik protokollerini yani gereksinimlerini ve prosedürlerini kontrol etmek ve takip etmesi için bilgi güvenliği politikaları oluşturur. Güvenlik politikaları çok önemlidir ve sadece yetkisi olan yani izinli kullanıcıların hassas sistemlere ve verilere ulaşmasını sağlar. Etkili bir güvenlik politikası üretmek ve entegre etmek için prosedürleri sağlamak, güvenlik tehditlerini önlemek için aşırı önemli bir adımdır. Şirkette önemli olan politikaları sağlamak için şirketteki tehditlere alışık olmalı ve nasıl karşılayacağımızı çözmemiz lazım bunun için sık bir güncelleme gerekmektedir. Şirket içindeki farklı bölümlerin gereksinimlerini ve önemini karşılamak için, bölümlerin veya kişilerin kurallardan sapmalarını sağlayan bir onay süreci ile bazı özel olarak düşünülmesi gereken ekstra sistemi kurması gerekir.
Information Security ve Cybersecurity Arasındaki Farklar Nelerdir?
Bilgi güvenliği, amaç olarak siber güvenlikten farklıdır. Siber güvenlik, bilgi güvenliğinin bir alt dalı olarak nitelendirilebilir çünkü bilgi güvenliği, fiziksel güvenlik, uç nokta güvenliği, veri şifreleme ve ağ güvenliği gibi belirli bir sürü alanı kaplamaktadır. Ek olarak bilgileri doğal afetler ve sunucu sonucu oluşan arızalar gibi tehditlerden ve sorunlardan koruyan bilgi güvencesi ile de yakından ilgilidir ve bilgi vermektedir. Siber güvenlik ilk olarak teknolojiyle ilgili sorunları ve tehditleri engelleyecek veya azaltabilecek uygulamalar ve araçlarla birlikte ele alır. Ek olarak bir kurumun bilgilerini izinsiz bireylere istemsizce ya da kötü amaçlı bir şekilde maruz kalmaktan korumaya odaklanan veri güvenliğidir.
Passive Attacks ve Active Attacks
1. Passive Attacks
Aktif saldırı demek, iletişimi, mesajı git gide ele geçirmeye çalışan ve kötü niyetli bir şekilde saldırı gerçekleştiri. Mesajları, iletişimleri veya verileri değiştirir.Aktif saldırı şunları içermektedir: Kesinti(Interruption):saldırgan orijinal iletişimi keser ve iletişim kuran kişiymiş gibi davranır ve karşılığında kötü niyetli mesajlar oluşturur ve karşı tarafı kandırmaya çalışır. Değişiklik(Modification):Saldıran taraf var olan iletişimleri kullanır ve karşı taraflardan birini kandırmak için bunları yeniden yürürlülüğe sokar veya bir avantaj elde etmek için değiştirir.Fabrikasyon(Fabrication):Hizmet reddi (DoS) sağlamak amacıyla sahte,yapmacık iletişimler oluşturur. Bu sahte iletişimler, kullanıcıların sistemlere ulaşmasını ve normal işlemler gerçekleştirmesini engeller.Organizasyon sistemlerine zarar verebilir.Kurbanlar genellikle saldırıyı bilirler.Ana güvenlik odağı, algılama ve azaltma üzerinedir.
2. Active Attacks
Pasif saldırıda,saldıran taraf sistemi izler sonrasında bilgileri çevirmeden yasa dışı bir şekilde kopyasını oluşturur.Verilerde veya sistemlerde herhangi bir değişiklik yapmaz. Sonrasında yasa dışı bilgileri ağları bozmak,değiştirmek veya karşıdaki yani hedefteki sistemleri tehlikeye atmak için kullanırlar. Saldırgan taraf herhangi bir değişiklik yapmaz. Bu yüzden tespit edilmesini yani bulunmasını çokça zorlaştırır. Fakat şifreleme işlemi, verileri sakladığı ve saldırganların bunu kullanmasını zorlaştırdığı için pasif saldırıların önlenmesine yardımda bulunabilir. Organizasyon sistemlerine doğrudan zarar vermez. Mağdurlar genellikle saldırıyı bilmezler. Ana güvenlik odak noktası çok önlemedir.
Bilgi Güvenliği Tehditleri
Bilgi güvenliği için temel sorunlar bunlardır:
- Malware attack: Kötü amaçlı yazılım saldırısı, mağdurun sisteminde izinsiz eylemler yaptığı için çok sık karşılaşılan bir siber saldırı tekniğidir. Kötü amaçlı yazılım yani bilgisayar virüsü, fidye yazılımı, casus yazılım, komuta ve kontrol ve birçoğu gibi özel saldırı türünü kapsar. Malware attack şunları içermektedir:
Trojan virus, Ransomware,Wiper malware,Worms,Spyware,Fileless malware,Application or website manipulation.
2. Social engineering attacks: Sosyal mühendislik saldırıları, kullanıcıları bir saldırganın istediği eylemleri gerçekleştirmeleri veya hassas bilgileri ifşa etmeleri için psikolojik olarak manipüle ederek çalışır. Bu attack çeşidi şunları içermektedir:
Phishing ,Spear phishing ,Malvertising ,Drive-by downloads, Scareware security software,Baiting,Vishing,Whaling,Pretexting,Scareware ,Diversion theft,Honey trap,Tailgating or piggybacking ,Pharming.
3. Software supply chain attacks: Tedarik zinciri saldırısı, bir iş ortağı veya tedarikçi gibi anlaşmalı bir şirket üzerinden bilgi sızması anlamına geliyor. Bu tanım üzerinde diğer arkadaşları kontrol etmek başlangıçta zor görünse de bunu yapmanın ve şirketi eksiksiz bir şekilde korumanın yolları vardır.Satıcı sürekli entegrasyon ve sürekli teslimat (CI/CD) yazılım yaşam döngüsüne veya hatta Apache ve Spring aracılığıyla görüldüğü gibi üçüncü taraf kitaplıklarına ve bileşenlerine birçok yerde saldırı yapılabilir. Yazılım tedarik zinciri saldırı türleri şunlardır :Yazılım oluşturma araçları veya geliştirme altyapısından ödün verilmesi yüzünden saldırı yapılabilir. Üçüncü taraf, satıcıların sahip olduğu cihazların veya hesapların ele geçirilmesi yüzünden saldırı olur. Çalınan kod imzalama sertifikaları veya geliştirici kimlikleriyle imzalanmış kötü amaçlı uygulamalar, donanım veya bileşenlerine dağıtılan kötü amaçlı kod. Kameralar, USB’ler ve cep telefonları gibi cihazlara önceden yüklenmiş kötü amaçlı yazılımlar ile bu atak gerçekleşmektedir.
4. Advanced persistent threats (APT): Bir kişi veya grup bir ağa yetkisiz erişime ulaştığında uzun bir süre boyunca keşfedilmeden kalırsa, saldırganlar önemli verileri açığa çıkartabilir ve bilinçli olarak şirketin güvenlik personeli tarafından tespit edilmekten kaçınabilir. APT’ ler karmaşık saldırganlar gerektirir ve büyük bir çaba gerektirir, bu nedenle genellikle ulus devletlerine veya büyük şirketlere çok değerli hedeflere ve amaçlara karşı başlatılırlar. APT saldırısı şunlar sonucunda ortaya çıkmaktadır:
New account creation, Abnormal activity, Backdoor/trojan horse malware, Odd database activity, Unusual data files.
5. Distributed denial of service (DDoS): Hizmet reddi yani (DoS) saldırısının asıl amacı, hedefte olan sistemin kaynaklarını kullanmak ve tarafların ulaşmasını önleyerek çalışmayı durdurmasına sebep olmaktadır. DDoS saldırıları çoğunlukla siber tehditlerle birlikte kullanılır. Dağıtılmış hizmet reddi (DDoS), saldırgan tarafların çok fazla sayıda bilgisayarın veya başka aygıtların güvenliğini engellediği ve bunları karşı sisteme koordineli bir saldırıda kullandığı bir DoS çeşididir. Bu saldırılar, güvenlik elemanının ilgisini çekmek ve kafa bulanıklığı oluşturmak için bir hizmet reddi başlatabilir,ve veri çalmayı hasarlara neden olmayı amaçlayan daha ince saldırılar aracılığıyla gerçekleştirir. DDos metod atağı şunları içermektedir:
Botnets,Smurf attack(sends Internet Control Message Protocol (ICMP)),TCP SYN flood attack.
6. Man-in-the-middle attack (MitM): Kullanıcılar veya cihazlar internet aracılığıyla uzaktaki bir sisteme ulaştığında, doirek hedef sistemin sunucusuyla iletişim kurduklarını düşünürler. MitM saldırısında, saldırganlar kendilerini kullanıcı ile karşı sunucu arasında konumlandırarak bu olasılığı bozarlar. Saldırgan iletişimleri elde ettiğinde, bir kullanıcının kimlik bilgilerini riske atabilir, hassas verileri gizlice alabilir ve kullanıcıya karşılığında değişik cevaplar verebilir.MitM atağında şunlar vardır:
Session hijacking,Replay attack,IP spoofing,Eavesdropping attack,Bluetooth attacks.
7. Password attacks: Bir bilgisayar hackerı, network bağlantısını “sniffing” yöntemiyle, sosyal mühendislik kullanarak, düşünerek veya tahminde bulunarak parola veritabanına ulaşarak bir kişinin şifreleme bilgilerine erişebilir. Saldırgan bir parolayı rastgele veya sistematik bir şekilde düşünüp bulabilir.Parola atağı şunları içermektedir:
Brute-force password guessing,Dictionary attack,Pass-the-hash attack,Golden ticket attack.
Siber Saldırıda Bulunan Kişilerin Kimlikleri
Bir siber tehdit belirlendiği zaman, tehdit aktörünün kim olduğunu, taktiklerini, tekniklerini ve prosedürlerini yani kısaca(TTP) verilerini anlamak çok önemlidir. Yaygın siber tehdit kaynakları şunları içermektedir:
Cyber Criminals,Hacktivists,State-sponsored AttackerInsider Threats,Malicious,Accidental,Negligent.
Siber Güvenlik Politikaları
1. Mekanizma ekonomisi(Economy of mechanism): Güvenlik mekanizmaları olabildiğince basit, anlaşılabilir ve olduğu kadar küçük olmalıdır. Bu ilke, güvenlik mekanizmalarının dizaynını ve uygulamasını basitleştirir. Dizayn ve uygulama ne kadar basit ve küçükse, hataların oluşması için daha az olasılık vardır. Kontrol ve test süreci daha az komplike olduğu için gerekende az bileşenin test edilmesi gerekmektedir.
2. Güvenli varsayılanlar(Fail-safe defaults): Bu ilke bir sistemin kullandığı konfigürasyonunun koruma şemasına sahip olması gerektiğini söyler. Bir özne ya da nesne oluşturulduğunda ayrıcalıkların nasıl başlayacağını da engeller. Erişim, ayrıcalıklar ya da güvenlikle ilgili bazı özellikler doğrudan sağlanmayınca, elimizdeki nesneye erişim izni verilmemesi gerekmektedir.
3. En Az Ayrıcalık(Least Privilege): Bu ilke içerisinde kullanıcının sadece amacını bitirmesi gereken ayrıcalıklara sahip olması gerektiğini söyler. İlk amacı kullanan kişinin kimliğini değil, kullanıcıya atanan hakların kontrol edilmesidir. UNIX sistemine kök erişimi talep edilirse, bu düzeyde erişim gerektiren bir amacı olmadığı zaman içerisinde kendisine bu hakkın tanınmaması gerektiği anlamına gelmektedir.
4. Açık Tasarım(Open Design): Bir mekanizmanın güvenliğinin, dizaynının veya uygulamasının gizliliğine, güvenliğine bağlanmaması gerektiğini belirtmektedir. Açık tasarım ilkesi sadece parolalar veya kriptografik sistemler gibi bazı bilgiler için değil, aynı zamanda bilgisayar güvenliğiyle ilgili diğer işlemler için de geçerli kılmaktadır.
5. Tam uyumlulaştırma(Complete mediation): Bu ilke, bilgilerin önbelleğe alınmasını engeller ve sonuç olarak bu da mekanizmaların daha basit uygulamalarına yol açmaktadır. İzinler zamanla değişebilmektedir bu yüzden performans geliştirme yolları konusunda dikkatli olunması gerekmektedir. Nesneye erişilmeye çalışılırsa sistemin erişim haklarını doğrulaması gerekmektedir.İşletim sistemi(OS), bir nesneye aracılık etmelidir.
6. Ayrıcalığın Ayrılması(Separation of Privilege): Bir sistemin birden çok gerekliliği gerçekleştirmesine bağlı olarak yetki vermesi gerektiğini söyler.Sistem bilgilerine yetki sınırladığı için engelleyici olabilir. Bu sebeple,ikiden fazla doğrulama yapılması gerekmektedir.
7. En Az Ortak Mekanizma(Least Common Mechanism): Birden çok kullanıcılı sistemlerde, kaynakların kullanıcı açısından paylaşılmasına onay veren mekanizmaların olabildiğince en aza indirilmesi gerektiğini belirtmektedir. Burada, kaynakların paylaşımını engellediği için de önleyici olabilir.
8. Psikolojik kabul edilebilirlik(Psychological acceptability): Güvenlik mekanizması yoksa kaynağa ulaşımı oldukça karmaşık hale getirmemesi gerektiğini söylemektedir. Örnek olarak bir şifre değiştirme işlemi süresince bir şifre eşleştirilirse, şifre değiştirme programı şifreli bir hata mesajı vermek yerine neden reddedildiğini belirtmelidir. Aynı zamanda, uygulamalar güvenlik açığına sebep olan gereksiz bilgilere yer verilmemesi gerektiğini belirtmektedir.
9. İş Faktörü(Work Factor): Güvenlik düzenini tasarlarken güvenlik mekanizmasının üstesinden gelmenin ücretini muhtemel bir saldırganın kaynaklarıyla karşılaştırılması gerektiğini söyler. Bu ilke, belirli bir şifrenin gücünü belirlemek için kullanılan yaygın bir kriptografik ölçü niteliği taşımaktadır.
10. Gizli Kayıt(Compromise Recording): Bu ilke, izinsiz girişin detaylarını kaydetmenin ve, bunu engellemek için daha karmaşık bir önlem benimsemenin daha çok istendiğini belirtir.
Yazılım Güvenliği Nedir?
Yazılım güvenliği demek yazılımları veya kodlamaları kötü amaçlı saldırılara ve hacker risklerine karşı korumak ve bunun sonucunda yazılımın potansiyel sorunlar ışığında düzgün şekilde çalışmaya devam etmesi için uygulanan bir düşüncedir. Bütünlük, kimlik doğrulama ve kullanılabilirlik sağlamak için güvenlik mutlaka gereklidir.
Yazılım Güvenliği Türleri
1. Firewall: Güvenlik duvarı, izinsiz girmeye çalışanların yetkilendirilmiş kişileri engellemeden bir bilgisayara veya ağa ulaşmasını önler. Güvenlik duvarları donanım veya yazılım ile birlikte uygulanabilir. Bazı teknolojik aletler örneğin bilgisayar işletim sistemleri kendi içerisinde yazılım ile ilgili güvenlik duvarları içermektedir. Bazı güvenlik duvarları da vardır ve yetkisiz girişe izin verilmemelidir.
2. Antivirus: Virüsten koruma üzerine olan yazılım, yapılan atağı başlamadan fark ederek kötü amaçlı kullanılan kodun bir bilgisayara karşı olmasını önlemek için çalışmaktadır. Fakat aynı anda, engellenemeyen bir atağı önlemek ve atak azaltıldığında saldırının sebep olduğu hasarı onarmak için dizayn edilmiştir. Virüsten koruma üzerine olan yazılım, atakların bir güvenlik duvarını geçtiği koşullarda güvenlik problemlerini ele aldığı için etkilidir. Her geçen zaman yeni tanımlanamayan bilgisayar virüsleri ortaya çıkabilmektedir, bunun sonucunda virüsten koruma yazılımının etkisinin devam etmesi için durmaksızın güncellenmesi ve yenilenmesi gerekir.
3. Antispyware: Bu yazılım kötü amaçlı olarak kullanılan yazılımların karşımıza çıkmasını engellemek için dizayn edilmiş olsa da, casus yazılım engellemek için yazılan kodun amacı, izinsiz yazılımların bilgisayar üzerindeki verileri almasını veya bilgisayar üzerinden işlem yapılmasını engellemektedir. Kullanıcının yetkilendirmediği iletişimler gerçekleştiğinde, casus yazılım engelleme, kullanıcıya bilgi yollayabilir ve daha fazla aradaki iletişimi önleyebilir.
4. Home Computers: Günlük yaşamda kullandığımız bilgisayarlar,tabletler ve bazı işletmeler genel olarak güvenlik yazılımını masaüstü düzeyinde yani günlük yaşamda kullandığımız seviyede uygulamaktadır. Masaüstünde yer etmiş bir şekilde kalır veya sürekli çalışmaya devam eder. Yazılım bilgisayar üzerinde çalıştığı için sistem kaynaklarını kullanır ve bilgisayarın performansını gittikçe yavaşlatabilir. Fakat gerçek olarak çalıştığı için saldırılara ani bir şekilde yanıt verebilir ve ortaya çıktıklarında onları durdurmaya veya kapatmaya çalışabilir.
5. Network Security: Birçok bilgisayarın tamamı aynı network üzerinde olduğunda, güvenliği ağ düzeyinde sağlamak daha uygun maliyetlidir. Virüsten koruma için yaptığımız kodlama bir sunucuya eklenebilir ve sonrasında tüm ana bilgisayar üzerine otomatik olarak yüklenebilir. Ancak güvenlik duvarları genellikle bir sunucuya kurulur veya İnternet bağlantısının geldiği ağa takılan bağımsız bir cihaz olarak satın alınır. Ağ içindeki tüm bilgisayarlar engelsiz iletişim kurar, ancak ağa giren veya çıkan tüm veriler İnternet üzerinden ağa girer. güvenlik duvarı aracılığıyla filtrelenir.
Sonuç
Sonuç olarak bilgi ve yazılım güvenliğini temel kısımlarıyla ele aldım ve açıkladım. Umarım herkes için yararlı olabilmişimdir.
Bu blog Zeynep Ayca Tanışlı tarafından yazılmıştır.