Güvenlik Dedikleri

0
anonim
Aşağıdaki yazı uzun zamandır güvenlikle ilgili gördüğüm en güzel belgelerden biri. Hiç bir teknik konu içermemesine karşın güvenlik felsefesini kavratmak amacıyla yazılmış ve amacına ulaşan bir belge. tbase.gen.tr sitesinin forumlarında gördüğüm bu yazıyı FM camiası ile de paylaşmak istedim:

Son yılların en gözde terimleri: İnternet, bilgi, hızlı ve kolay erişim, teknoloji… Her şey her yerde ve her şey çok kolay… Peki ya size ait birşeyler varsa ve öyle kalmasını istiyorsanız? İşte o zaman işiniz gerçekten zorlaşıyor. Herşeyin kolay olması için yaptığınız o kadar uğraşın çok daha fazlasını özel bilgilerin gizli kalması için vermek zorundasınız. Çünkü herkesin bildiği gibi yasak olan şeyler daha tatlıdır ve sizin yapılmasını istemedikleriniz başkalarının hedefleridir…
Burada güvenlik konuları devreye girmeye başlar. Peki bu güvenlik denilen şey nedir? “Kolay birşey ise hemen bizde yapalım”, “Bizim şirketimiz en iyisine layık, en iyisini alıp koyalım” ya da “Tamam; siz güvenlik için bize ne almamızı tavsiye ediyorsunuz” gibi milli mantığımıza uyar mı bu güvenlik? Hâlâ bu şekilde düşünenler varsa onlara kötü haberlerimiz olacak…

Seminerlerde, yazılarda kimi zaman güvenliğin bir proje değil bir süreç olduğunu görmüş olabilirsiniz. Bu ileri seviyedeki ülkeler için doğru bir tanım olabilir. Ancak kendi ülkemizde deneyimlerimize baktığımızda daha farklı şeyler görüyoruz. Gelin örnekler üzerinde durumu anlamaya çalışalım.

Genel olarak en gizli bilgiler, üst düzey yöneticiler tarafından bilinir ve kullanılır. Sistemlerin çalışmasını sağlayan teknik elemanlar için ise sistem önemlidir ve devamını sağlamakla yükümlüdürler. Ancak onlar, orada var olan bilgilerin istemsiz kullanımları sonucunda şirketin iflas edebileceğini bilemeyebilirler. Bu nedenle teknik elemanların ve üst düzey yöneticilerin olduğu bir çalışma grubu içerisinde sistemlerin işe olan etkileri ve riskleri araştırıldığında ortaya çıkan durum bize güvenliğin ilk faydalarını gösteriyor. Yönetim kadrosuna elektronik sistemlerin değerini ve hayatlarının pamuk ipliğine bağlı olduğunu gösterirken, teknik insanlara da yaptıkları işin değerini göstermektedir. Böylece teknik insanlar şirketleri için kendi bilgilerinin önemini, daha iyi teknik bilgiye ulaşmanın yaratacağı etkileri görmekte, dolayısıyla motivasyonları artmaktadır. Bu mantık, bir denetim ile diğer çalışanlara da aktarılabilir ve çalışanlara, şirketlerinin değerli bilgilerine sahip oldukları gösterilebilir. Böylece herkesin sorumluluğundaki işi daha çok sahiplenmesi de sağlanabilir. Bilgi güvenliği için politikalar oluşturarak bu durumun sürekli olması da sağlanmış olur.

Politikaların görevi sadece motivasyonun sürekli olmasını sağlamak değildir, elbette. Bu onların ancak yan faydalarından biridir. Politikalar aslında güvenliğin temelidir. Biliyorsunuz bilgi, bankaların en önemli varlığıdır. Bankalar tüm müşterilerinin en gizli bilgilerini herkesten saklamak zorundadırlar. Bu nedenle güvenliği sağlayabilmek için hiçbir harcamadan kaçınmazlar. Bilgi güvenliğinin sağlanması için her türlü şeyi alıp, kurup, sürekli çalışır durumda tutabilirler. İşte böyle bir banka düşünün. Teknik elemanlarının bildikleri her tür önlemi almış olsunlar. Doğal olarak onların da internet bağlantılarındaki ilk korunma cephesi olan ateş duvarlarıdır (firewall). Ancak bu ateş duvarının kurulumu sırasında kitap izlenmiştir ve ateş duvarının kullanıcı adı ve şifresi kitaptakinin aynısı olarak kalmıştır. Hem böylece tüm ekip elemanları, kullanıcı adı ya da şifreyi unutsalar bile kolaylıkla bularak sisteme girebilirler. Tıpkı kullanıcı adı ve şifre deneyen programlar gibi… Internet’ten kolayca indirilebilecek bu programlar kullanıcı adı ve şifrelerini yakaladıkları anda, ki bu saniyeler ile sınırlıdır, tüm müşterilerin bilgileri istenmeyen ellere teslim edilmiş olacaktır. Oysa bu güvenlik elemanları için izleyebilecekleri bir politika olsa hiç zorluk çekilmeyecektir ve böyle bir olayın olma olasılığı ortadan kaldırılmış olacaktır.

Bir başka örnek daha verebiliriz. Yine aynı şekilde yapılanmış bir uluslararası firmada ise kullanıcı adı ve şifreler tahmin edilmesi oldukça zor bir şekilde verilmiş olabilir. Bu durumda herşeyi yapmış insanların rahatlığıyla ile arkamıza yaslanabilir miyiz? İnsan faktörünü hesaba katmadan hayır… Sözgelimi yukarıdaki gibi bir işyerinde, firma dışı insanların, misafirlerin bulunduğu bir ortamda, misafirlere “ayıp olmasın” diye düşünürek, onların yanında kullanıcı adı ve şifre yazılabiliyorsa, şirketinizin içine kale kuruyor olsanız bile birşey değişmeyecektir. Çünkü kaleyle birlikte anahtarları da misafirlere veriyor olursunuz. Anahtarla içeriye girebilecek yetki de verilmiş olacağından, herhangi bir sistemde olumsuz bir durum da görülmüyor olacaktır. Ve böylece istenmeyen kişiler istedikleri gibi hareket etme yetisinde olabilirler. Tıpkı yukarıdaki örnekte olduğu gibi, yazılı politikalar olsaydı, herhangi bir düşünce ya da düşüncesizlik olma durumu olmadan kendinizi koruyacak konumda olabilirsiniz. Sanırım asıl istenen de budur…

Bu durumda soru şu hale gelir: Güvenliğin öyle birkaç parça eşya alır gibi birşey olmadığını öğrendik; peki kendimizi nasıl güvende hissedebiliriz? Bu sorunun cevabı basit: Hiçbir şekilde! Ne yazık ki elektronik ortamdaki saldırılar, normal dünyadakinden fazladır. Bu durumda yapılacak şey bu saldırganlara karşı mümkün olduğunca zorlu bir parkur oluşturmaktır. Sadece vazgeçmelerini sağlamak zorundasınız. Tıpkı uzak doğu savunma sporları gibi, saldırganı kendi gücü ile yormalısınız. Bunu yaparken alacağınız en iyi karar, uzman yardımı almaktır.

Nasıl ki savunma sporlarında öncelikle işin felsefesini öğretip, ufak tefek ısınma hareketleri yaptırılırsa aynı şekilde davranmalısınız. Önce güvenlik felsefesini, bunu yapacak insanlara öğretmelisiniz. Bunun için bilgi güvenliği denetimleri ile açıklarınızı ortaya çıkarmalı, şirketinize özel politikaları oluşturmalısınız. Sistemi yaşatacak kullanıcılar güvenlik felsefesini öğrenirken kendilerinin önemini de algılayacaklardır.

Bundan sonra teknik gelişim gündeme gelir. Sizden daha iyi teknik bilen bir saldırganla başetmeniz çok güçtür, bu nedenle teknik açıklarınızı kapatmalısınız. Sıkı çalışmalı ve her zayıf noktanızı geliştirmelisiniz. Gerekiyorsa bu noktaları korumak için ayrı araç gereç kullanabilirsiniz. Ancak bu araç gereç sizi yormamalı, yavaşlatmamalı, canınızı acıtmamalı ya da üzerinizde başka birinin giysisi gibi durmamalıdır. Tam size göre olmalıdır. Sizin hareketlerinizle, sistemlerinizle uyumlu olmalıdır. Bunun için aynı işi yapan bir sürü araç gereçten size uyacak ve kaliteli olanı seçmelisiniz. Unutmayın ki kalitesiz bir silah saldırıların tam ortasında ondan beklediğiniz işi yapamayabilir.

Tüm bu teknik gelişim alındıktan sonra, bunları her ortam ve her koşulda kullanabilir hale gelmelisiniz. Bilmediğiniz birilerini kendi ortamınıza alırken ya da sizden çok daha büyük ortamlara girdiğinizde bu yetilere hâlâ sahip olduğunuzu unutmamalı, kendi felsefenizi korumalısınız; ta ki sizden daha iyi birilerini görünceye kadar. Ancak o zamana kadar inanın ki sizin felsefeniz gelişmiş ve herkes bunu hayata geçirmiş olacaktır. Herkes kendi bilgilerinin ya da sahibi olduğu sistemlerin bir parçasının güvenlik olduğunu biliyor ve bunu istemli bir şekilde yönetebiliyor olacaktır. Bu şekilde varolan ve kendi kendini yönetebilen bir sistem, sizin ve şirketinizin değerini ve saygınlığını diğerlerine oranla artıracaktır. Ticaret ve hizmette istenilen fark da budur işte…

İşte herşeyi yaptınız! Daha fazla yapacak birşey kalmadı! Sizin ve çevrenizdekilerin bildiği herşeyi hayata geçirdiniz! Artık rahatlıkla koltuğunuza gömülebilirsiniz, her an herşeye hazır bir halde! Ama hayır, henüz yerinize oturmayın; son bir iş kaldı. O da gerçek bir saldırganla karşı karşıya gelmek ve sahip olduğunuz herşeyi kullanmak! Bunun için de beklemenize gerek yok, bir saldırgan ile anlaşmalı olarak yaptıklarınızı test etmesini isteyebilirsiniz. Ya da başka bir deyişle kendinizi savunmayı ne kadar iyi öğrendiğinizi görmelisiniz. Yine de benden size tavsiye kendinize çok güvenmeyin…

Daha önce de dediğimiz gibi bunları yaparken alacağınız en doğru ve iyi karar, uzman birilerinin yardımını almaktır. Çünkü şirketiniz içerisinde bu işlerle uğraşan kişiler genellikle günlük işlerin bombardımanı içerisinde kalmaktadırlar. Bu ekibin bilgilerini ve olaya sahip olmalarını kullanarak daha objektif ve geniş bir bakış açısı ile hareket etmek her zaman daha iyi sonuçlar vermiştir. Burada dikkat edilecek konu, getirilecek sistemin Avrupa’da ya da Amerika’da bir şirkete değil, Türkiye içerisinde bir şirkete getirileceğinin unutulmamasıdır. Kültürel farklar nedeni ile kullanılmayacak bir harikaya paralar harcayıp çerçeveleyip duvara asmaktansa, kullanılabilen verimli bir sisteme, belki de daha fazla para ödenmesi tercih edilmelidir. Akıldan çıkarılmaması gereken tek şey standartların uluslararası olduğudur.

Yukarıdaki örneklerden ve anlatımdan görülebileceği gibi güvenlik aslında bir süreç değil, bizim için bir “uyanış”tır. Tıpkı günler önceden hazırlıklarını tamamladığınız, heyecanı içinizi saran, günün ilk ışıkları ve sevdiklerinizle birlikte yollara düşüp uzun bir tatile çıkacağınız o günün sabahındaki gibi...

Kaynak: tbase

İlgili Yazılar

OpenBSD Paket Süzgeci Türkçe Kullanım Kılavuzu

anonim

PF Tcp/Ip trafiğini süzme ve ağ adres dönüşümü (NAT) sağlayan bir OpenBSD sistemidir. Bu sistemin temel ayarları ile ilgili ilk türkçe doküman yayımlandı. Söz konusu belgeye bu adresten erişilebilir.

DDoS şirket iflas ettirdi

conan

İngiltere'nin en eski İnternet Servis Sağlayıcılarından CloudNine Communications yaşadığı yoğun Distributed Denial of Service (DDoS) atakları sonucunda geçen hafta şirketi rakibine sattığını açıkladı! Yaşadıkları yoğun ataklar sonucunda müşterilerine hizmet verememekten dolayı gelirleri sürekli olarak düşen şirket en sonunda 2500 müşterisiyle birlikte rakibi ZetNet'e satıldı. Kurucularından Emeric Miszti'nin dediğine göre basit olarak sitelerini bakım nedeniyle çok uzun süreli kapamak zorunda kalmışlar ve sonunda düşünüp taşınıp şirketi ZetNet'e satmaya karar vermişler.

NetSec Güvenlik Bülteni Sayı:2

parsifal

Hilmi ESEN, Huzeyfe ÖNAL, Sertan KOLAT'ın katkılarıyla, NetSec Güvenlik Bülteni sayı 2 çıktı!

Çalışanların 2/3'ü şifrelerini not ediyor

anonim

Searchsecurity.com tarafından yapılan araştırmada kullanıcılar IT şifrelerini en az bir defa kağıt kalem ile not ettiklerini itiraf ettiler. Bunun başlıca sebebi olarak firmaların yüzde 75'inin şifreleri en az 13 haftada bir değiştirmeleri cevabını verdiler.

Şirketler şifre seçiminin önemini yavaş yavaş kavramaya başladı fakat güvenli sağlam şifre ile akılda kalması çok zor şifre arasındaki ince çizgiyi fark etmek gerekiyor aksi takdirde kullanıcı şifreyi not almak ve hatta bu notu ekranın köşesine iliştirmek zorunda kalıyor.
Zincir en zayıf halkası kadar güçlüdür sözünü bir kez daha hatırlatıyorum.
Haberin Kaynağı

Paralı Askerler 3.Dünya Savaşını`mı Başlattı ?

sundance

8 Mart günü yaklaşık 40 kadar Amerikan e-ticaret sitesi Rusya ve Ukrayna`dan kaynaklandığı tahmin edilen saldırılara uğradı.
Reuters`in verdiği habere göre saldırıya uğrayan sitelerin hepsi de Microsoft Windows NT işletim sistemindeki bir zayıflık yüzünden zarar gördüler. FBI`ın bildirdiğine göre sözkonusu problem 1998 yılında tespit edilmiş ve gerektiği gibi patchlenmiş.
Security Focus`un haberi oldukça ilginç detaylar içeriyor. Yaklaşık 1 milyon kullanıcının kredi kartı bilgileri Mafya`nın elinde tahminen.