Tuesday, January 22, 2013

Hackerlara karşı KOBİ'ler


Avustralyalı bir tekstil firmasının anlattığına göre eposta Rusya’dan gelmiş.
Kendine “Ivan” diyen birinin gönderdiği eposta “3.500 dolar ödemezseniz birkaç dakika içerisinde sitenize bir DDoS saldırısı başlatacağım ve siteniz çalışmaz hale gelecek” diyormuş. Firma ödememiş ve saldırı başlamış. Firmanın sitesi 1 hafta boyunca çalışmaz hale gelmiş, sonrasında internet servis sağlayıcısı tarafından alınan tedbirler ise müşterilerin de önemli bir kısmını siteye ulaşamamasına neden olmuş.

Kahraman KOBİ hackerlara karşı (temsili)

İlk bakışta kötü bir macera romanından alınmış gibi görünse de bu olay yaşanmıştır. Bize uzak gelebilir ama bilgi sistemlerinin KOBİ’ler düzeyinde giderek daha yaygın halde kullanılması sonucunda bu firmalar siber saldırganlar için iştah açıcı bir Pazar haline gelmektedir. İnternet üzerinden satış yapan veya web tabanlı muhasebe sistemi kullanan KOBİ’lerin karşılaştıkları tehditler her geçen gün artmaktadır.

KOBİ’lerin karşılaştıkları güvenlik tehditlerini 4 ana başlıkta ele alabiliriz; fiziksel sistemlere yönelik saldırılar, kimlik bilgileri ve doğrulamaya yönelik saldırılar, hizmet kesme (Denial of Service) saldırıları, zararlı internet içeriği.

Başlıkları kısaca açıklayacak olursak; fiziksel sistemlere yönelik saldırılar şirkete ait bir laptopun çalınmasından, şirket ağına gizlice bir cihaz yerleştirilmesine kadar geniş bir yelpazeyi kapsamaktadır. Saldırılar fiziksel olarak yapılır ve/veya fiziksel varlıkları hedef alır. Kimlik bilgilerine yönelik saldırılar ise kullanıcı isimlerinin ve parolalarının çalınması, şirketin güvensiz parola politikalarına sahip olması veya gereğinden fazla yetkilendirilmiş kullanıcılar gibi tehditleri kapsar. Hizmet vermeyi engelleyecek saldırılar için DoS/DDoS (Denial of Service / Distributed Denial of Service) örneklerinin yanısıra doğal felaketler nedeniyle hizmet veremez hale gelmeyi de verebiliriz. Son başlık olarak verdiğimiz zararlı internet içeriği ise sosyal mühendislik aracılığıyla yapılan phishing saldırılarından zararlı yazılımlara kadar internet üzerinde barınan tehditleri kapsar.

KOBİ’lerin faaliyetleri internet ortamına kaymaya devam ettikçe bu şirketleri hedef alacak saldırıların sayısı artmaya devam edecektir. En basit haliyle; şirketinize gece birinin girip bilgisayarları çalmasını engellemek için alınan tedbirlerin siber dünyadaki karşılıklarını hatırlamak ve gerekli önlemleri almak şarttır.

Güvenlik yaklaşımı
Şirketlerin kapılarını aşındıran üretici, distribütör ve “Bilgi Güvenliği Şirketlerinin” yaratmaya çalıştığı imajın aksine size anlattıkları o son ürünü veya yazılımı satınalmanız sizi güvenli hale getirmeyecek. Bilgi güvenliğini sağlayabilecek tek bir cihaz / yazılım ne yazık ki henüz icat edilmedi. O nedenle farklı saldırıları engelleyecek farklı önlemler alınması gerekmektedir. Kademeli bir savunma sistemi tasarlanmalı ve adım adım hayata geçirilmelidir.

Saldırıların ve tehditlerin çok farklı noktalardan gelebileceğini bildiğimiz gibi güvenliğin de farklı amaçlara hizmet ettiğini unutmamak gerekir. Bilinen anlamıyla güvenliği amaçları aşağıdadır;

Gizlilik: Şirket bilgilerinin istenmeyen şahıslarla paylaşılmasını engellemek
Bütünlük: Şirket verilerinin değiştirilmesini veya silinmesini engellemek
Erişilebilirlik: Şirkete ait sistemlerin işlevlerini gerçekleştirebilmelerini sağlamak
Doğrulama: Beyan edilen kimliğin doğrulunun teyidi. Kimlik şahısların olabileceği gibi sistemlere ait kimlikler de bu kapsamda düşünülmelidir.
Asgari yetki: Uygulamaların ve kullanıcıların işlevlerini veya görevlerini yerine getirmek için ihtiyaç duydukları asgari yetkiye sahip olmalarını sağlamak. Fazla yetkiler en basitinden bir bilgisayara bulaşan bir zararlı yazılımının veya sızan bir saldırganın ağın kalanına yayılmasını sağlayabilir.
İnkar edilemezlik: Ağ veya sistem üzerindeki kayıtların kime ait olduğunun inkar edilemez biçimde saklanması.

Bütün bu noktaları bir anda güvene almak tabii ki mümkün olmayacaktır. Bu nedenle bilgi güvenliğini bir adım olarak değil, süreç olarak düşünmekte fayda var.

KOBİ’lerin Kamu Kurumları veya büyük şirketler kadar önemli bütçelere sahip olmamaları bilgi güvenliği sağlamaya engel değildir. Neyi korumanız gerektiğine karar vermek çoğu zaman hem para hem zaman tasarrufu sağladığı için iyi planlanmış ve düşük maliyetli bir güvenlik sistemi etkili olabilmektedir. “İki tür sistem vardır; hacklenenler ve hacklenecek olanlar” değişi son derece doğrudur; bu nedenle de milyonlar harcanmış bir sistem her zaman çok güvenli olamamaktadır.

Özetle;
  • Saldırganlar KOBİ’leri hedef almaya başlamıştır
  • Savunma birden fazla amaca hizmet etmek zorundadır
  • Güvenliğin önkoşulu çok para harcamak değildir.


Yukarıdaki 3 nokta KOBİ’ler için bilgi güvenliğinin temelinde yatan karmaşanın nedenini ortaya koymaktadır. Küresel ölçekte dev şirketleri dize getiren saldırılar KOBİ’leri hedef almaktadır, iş yapmak ve para kazanmak için KOBİ’lerin internete ihtiyacı vardır, güvenlik konusunda az biraz bilgisi olan herkes birşeyler satmaya çalışmaktadır. Pek iç açıcı bir durum değil elbette ama ümitsizliğe kapılmayın, bilgi güvenliği alanında faaliyet gösteren birkaç dürüst firma hala var :)

Saldırılara karşı alınabilecek bazı basit önlemler
Güvenlik yazılımlarını kullanın: Şirketteki her bilgisayarda anti-virüs olmalıdır
Güncellemeler: Sadece anti-virüs değil, işletim sistemleri, veri tabanları, muhasebe yazılımları, internet tarayıcısı eklentileri gibi yazılımlar da güncel tutulmalıdır.
Otomatik hale getirin: güncelleme ve yedek alma gibi düzenli olarak yapılması gereken işlemleri otomatik hale getirin.
Güçlü parola kullanımını zorunlu hale getirin: “Redhack”, “YÖK” ve “123456” desem bunun neden önemli olduğunu anlarsınız.
Eğitim: Şirketteki bilgisayar kullanıcılarını tehditler ve tehlikelere karşı eğitin
Politika: Şirketin bilgi güvenliğine yönelik bir politika mutlaka oluşturulmalıdır. “Ne? Neden? Nasıl yapılır?” gibi basit soruları cevaplayacak ve şirketin bilgi güvenliği yatırımlarına da yol gösterecek bir doküman oluşturulmasında fayda var.
Sosyal medya: Facebook gibi sosyal medya araçları şirketlere müşterilere yakınlaşma fırsatı verirken saldırganlar için de bulunmaz fırsatlar yaratmaktadır. Şirketinizin Facebook sayfasını politik bir mesaj vermek için kullanabilecekleri gibi, duvarınıza koyacakları bir bağlantı ile sayfanızı ziyaret eden müşterilerinizi zararlı kod içeren bir sayfaya yönlendirebilirler.

Bu birkaç tedbir ve daha önce kısaca değindiğim güvenlik yaklaşımını benimsemek şirketinizin genel bilgi güvenliği seviyesine bir miktar katkı sağlayacaktır. 


at
Labels: , , , ,

1 comment:

  1. Emre TINAZTEPEJanuary 22, 2013 at 5:54 PM

    Elinize sağlık, takip ettiğim ve okumaktan keyif aldığım nadir Türkçe bloglardan.

    ReplyDelete

Subscribe to: Post Comments (Atom)

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...

  • TEMPEST Nedir?
    Elektromanyetik sinyal yayan cihazların güvenliğinin sağlanması için geliştirilmiş bir standarttır. “Telecommunications Electronics Mater...
  • APT Nedir?
    APT İngilizcesi Advanced Persistent Threat olan ülkemizde ise “gelişmiş sürekli tehdit” veya “hedef odaklı saldırı” olarak iki farklı şekil...
  • Siber Saldırganı Tanımak
    Bilgi güvenliği konusunda proaktif bir yaklaşım oluşturabilmek için düşmanı doğru tanımak çok önemlidir. Zafiyet yönetimi programı oluşturm...