“İki tür şirket var, hacklenmiş olanlar ve
henüz hacklendiklerini bilmeyenler” bu trajikomik söz A.B.D. Senatosu
İstihbarat Komitesi Başkanı Senatör Mike Rogers’a ait. Bilgi güvenliği
konusunda çalışanların arasında yaygın olan bir görüşün karikatürü gibi görünse
de, senatör bir bakıma haklı. Tehdit o kadar büyük ve etrafımızı o kadar sarmış
durumda ki, eninde sonunda bir hata yapacağız.
A.B.D.de J.P. Morgan Chase, bizde HSBC
bankaları çok iyi korunan ağlara örnek olarak verilebilecek yerlerdir. Olaylara
dahil olmasam bile her iki bankanın günümüz teknolojisi ve uygulamalarını
ellerinden gelen en iyi şekilde konumlandırdıklarını ve kullandıklarını
düşünüyorum.
Buna rağmen bir güvenlik ihlali yaşanıyorsa bu
Mike Rogers’ın veya bizdeki karşılığı olan “iki tür sistem vardır, hacklenenler
ve hacklenecek olanlar” sözünün haklı olabileceğini göstermektedir.
Arabanıza veya evinize sigorta yaptırmak gibi
bir güvenlik ihlalinin yaşanabileceğini kabul etmek ve buna hazırlık yapmak
önemlidir. Bir güvenlik ihlali yaşamanız halinde yapılmasında fayda gördüğüm
bazı noktaları toparladım.
Resim 1: Hacklenmek kaza yapmak gibidir
Öncesinde
Güvenlik ihlali öncesinde gerekli
yatırımlarımızı yapıp, bilgi güvenliği yönetimi süreçlerimizi ve bilgi
güvenliği politikalarımızı oluşturmanın yanında aşağıdaki konuları hatırlamakta fayda var.
Yedekleyin
Verileri düzenli olarak ve sağlıklı bir
şekilde yedeklenen kurumsal ağ sayısı ne yazık ki olması gerekenden az.
Yedekleme işlemlerine başlamadan önce yedeği alınacak verileri tanımak
önemlidir. Her verinin değerinin aynı olmadığı gibi, oluşma hızları ve
sıklıkları da farklıdır. Ağ ve sistemlerimiz üzerindeki her veriyi yedeklemek
verimsiz ve maliyetli olduğu için yedeği alınacak verileri belirlemek
önemlidir. Verilerin değerini anladıktan sonra yapılacak yatırıma uygun bir fayda/maliyet
çalışması yapılabilir, bu çalışma yapılmadan yapılacak yatırım cebimizden
gereğinden fazla para çıkmasına neden olacaktır. Yedeklenen verinin şifrelenip
saklanması ve gerektiğinde geri getirilmesi için izlenecek prosedürlerin de
önceden belirlenmiş olması şarttır.
Normal durumu belirleyin
Bir güvenlik ihlalinin yaşandığını anlamak
için ağ ve sistemlerinizin “normal” durumunu kayıt altına almış olmanız
gerekiyor. Aksi takdirde saldırganları tespit edemeyeceğimiz gibi ağ ve
sistemlere sızdıktan sonra ne yaptıklarını anlamamız da mümkün olamaz. Böyle
bir “normal” şablonunun olması arıza tespit ve giderme işlerimizi de son derece
kolaylaştıracağı için üzerinde durulması gereken bir konudur.
Sigorta yaptırın
Evet, arabanıza yaptırdığınız gibi bilgi
güvenliğinizi de kapsayacak bir sigorta yaptırın. Bilgi güvenliği sigortası
yaptırmadan önce bu primleri ödemeye değecek verilerinizin olup olmadığına
karar vermeniz önemlidir.
Ülkemizde belirli kapsamda bilgi güvenliği
sigortaları mevcuttur, bunlar hakkında ayrıntılı bilgi almak için sigorta
şirketinizle görüşmenizde fayda var.
Felaket senaryosunu yazın
İsrail Ordusunun “Ifkha Mistabra” birimi 1973
yılında kuruldu ve çoğu akademik kökenli subaylardan oluşmaktadır. Bu birimin
adının kabaca tercümesi “tersi doğrudur” veya “aksi görüş geçerlidir”
anlamındadır. Bu birimin görevi, ne kadar saçma olursa olsun, genel olarak
kabul edilen görüş veya fikrin aksini araştırmaktır. “Dünya Savaşı Z” (World
War Z) filminde bu birimin yaptığı işe “Onuncu Adam Kuralı” adıyla atıfta
bulunulduğu düşünebilir. Bilgi güvenliği konusu da, tıpkı ulusal güvenlik gibi,
varsayımlara ve genel kabul görmüş fikirlere bırakılmayacak kadar önemlidir. Bu
nedenle, herşeyin yolunda gideceğini, firewall’ın doğru kurulduğunu, IPS kurallarının
güncellendiğini, yedeklerin alındığını varsaymak yerine bir şeyin ters gitmesi
senaryosuna da hazır olunmalıdır. Bütün sistemlerimizin duracağı veya
elektriklerimizin kesileceği gibi olağanüstü veya felaket durumlarına hazır
olmamız gerekiyor. Ters gidebilecek her şeyin bir listesinin oluşturulması,
bunların iş süreçlerine etkilerinin araştırılması ve hayati süreçlerimizin
devam etmesini sağlayıp verilerimizi korumamızı sağlayacak bir çözümün hayata
geçirilmesi gereklidir.
Sonrasında
Bütün önlemlerimize rağmen bir güvenlik ihlali
yaşanabilir, bu durumda yapılabilecek bazı şeyler aşağıdadır.
Paniklemeyin
Hacklendiğimizi fark ettiğimizde elimizde
olmadan panikleriz. Birilerinin kurumsal ağ ve sistemlerimize sızmış olması
fikri içimizde evimize hırsız girmesine benzer duyguların ortaya çıkmasına
neden olabilir. Bu doğal bir tepkidir ancak güvenlik ihlalini asgari zararla
atlatmak için sakin kalmanız gerekiyor.
Hacklendiğinizden emin olun
Komik gelebilir ama yaşanmamış bir güvenlik
ihlali için yersiz telaş yapılan pek çok duruma şahit oldum. Size güvenlik
ihlali gibi görünen olay performans sorunu yaşayan bir sunucu, güncellemelerini
yapmaya çalışan bir istemci, bir çalışanın yüklediği bir yazılım da olabilir.
Hacker bizzat size mail atıp sistemlerinize sızdığı iddia etse bile bu iddiayı
araştırıp emin olmanızda fayda var.
Kontrolü sağlayın
Bir güvenlik ihlalinin yaşandığından emin
olduktan sonra sisteminizin kontrolünü tekrar ele almanız lazım. Bu noktada
yapılacak şey duruma göre değişiklik gösterebilir ve tek bir doğru hamleden söz
etmek zordur. Tek bir bilgisayarın ele geçirildiği durumlarda yapılabilecek en
basit şey bilgisayarın internet bağlantısını kesmektir. Yalıtma (isolation)
olarak da adlandırılan bu yöntem ile saldırganın sisteme erişimi kesilerek
durumu daha net anlamak ve sistemi temizlemek için gerekli adımlar atılabilir.
Olay sonrası yapılacaklara karar vermek için
en doğru zaman olayın yaşanmasından öncedir. Sistemlere ve karşılaşılabilecek
saldırı türüne göre (rootkit, botnet üyeliği, yetkili kullanıcının ele
geçirilmesi, vb.) izlenecek yolu önceden belirlemekte fayda var. Müdahalenizin
adli bilişim çalışmalarını da olumsuz etkileyebileceğini düşünürsek güvenlik
ihlalinden sonra yapacaklarınız çok kritiktir.
Parolaları değiştirin
Hepsini ve hemen. Güvenlik ihlalinin yaşandığı
dönemde yeni açılan hesapları da incelemekte fayda vardır. Saldırganların
yetkili kullanıcı parolasını ele geçirdikten sonra bunu kullanarak kendi
kullanıcılarını oluşturduklarını pek çok olayda gördüm. Sahipsiz, kimin veya
hangi sistemin kullandığını bilmediğiniz hesapların da kapatılması önemlidir.
Kurumsal ağ üzerinde bir olay yaşanması durumunda personelin kişisel
hesaplarının (kişisel eposta, bankacılık, sosyal medya, vs.) da parolalarının
değiştirilmesi önemlidir.
Entegre olduğunuz sistemler
Ağınız veya ağınız üzerindeki bazı sistemler
başka ağ ve sistemlerle entegre çalışıyor olabilir. BU basit bir e-fatura
uygulaması da olabilir, online bir müşteri ilişkileri yönetimi çözümü de.
Güvenlik ihlalinden sonra bu bağlantıların da incelenmesi ve gerekiyorsa
kapatılması çok önemlidir. Ağınızdaki bütün sistemleri temizledikten sonra da
saldırganlar sizi hesabınızı kullanarak işlem yapmaya devam edebilir.
Geride kalanlara dikkat edin
Çoğunlukla hackerlar bir bilgisayarı ele
geçirdiklerinde ona tekrar erişebilmesini sağlayacak bir kapı açarlar. Bu
kapının kapatılması saldırının tekrarlanmaması veya devam etmemesi için çok
önemlidir. Genellikle diski birkaç kez formatlamak ve güncel bir antivirüs ile
sistemi taratmak işe yarar. Bazı özel durumlarda ise saldırganların sıradan bir
arka kapının ötesinde “stealth drive” (Hayalet Disk) oluşturduklarını gördük.
Bu teknik ile saldırgan sistemin diskinin bir bölümünü işletim sisteminden
gizler ve ayırır, işletim sistem yine de diskin bu bölümünden gelen talimatları
uygular. Bu sayede saldırgan formatlama çabalarınızdan etkilenmeden sisteme
dilediği zaman geri gelebilecektir. Kritik sistemlerde veya içinize sinmeyen
durumlarda ve ekonomik olarak yapılabilecekse sistemi yenilemeyi de
düşünebiliriz.
Zararı anlayın
Şirketinizi internet sayfasında “hacked by Çılqın
H@cker. Lamerlere selam hack’e devam” benzeri bir yazının belirmesi ile
muhasebe kayıtlarınızın sızdırılması veya silinmesinin etkileri çok farklı
olacaktır. Zararın boyutu olaya müdahale yönteminizi ve müdahale sonrası
yapılacakları belirleyecektir. Saldırıdan çok önce, bilgi güvenliği yönetimi
kapsamında risk değerlendirmesi yapılırken, belli başlı senaryoların maddi ve
manevi (itibar kaybı, vb.) zararları ve bu zararların parasal karşılığı
belirlenmelidir.
Bilgilendirin
Güvenlik ihlalinden etkilenenleri
bilgilendirmeniz gerekmektedir. Bunu sadece “etik olarak yapılması gerektiği”
için değil, paydaşlarımızı korumak için yapmalıyız. Kurumsal ağımızda
saldırganların tespit edilmesinden sonra personelimize “facebook, twitter,
LinkedIn ve online bankacılık parolalarınızı değiştirmenizde fayda var” gibi
basit bir duyuru yapmak birlikte çalıştığımız insanları da korumamızı
sağlayacaktır. Bu duyuruyu yaparken mümkün olduğunca açık ve net olmakta fayda
var. HSBC tarafından olay sonrası yayınlanan duyuru buna iyi bir örnektir;
teknik detaylara çok girmeden bir olay yaşandığını ancak bankanın gereken her
şeyi yaptığını ve korkulacak bir şey olmadığı mesajını iyi bir şekilde verdiler.
Nedeni bulun
Saldırganların nereden ve hangi tekniği
kullanarak sızdıklarını anlamak bu açığımızı kapatmanın tek yoludur. Siber
uzayda size kimin saldırdığını anlamak çoğu zaman zor olsa da siyasi veya diğer
bir mesaj veya amaç uğruna saldırıya uğradıysanız bunu anlamakta fayda var.
Yeni başladığınız bir inşaata tepki olarak çevreci bir hacker grubunun
saldırısına uğradıysanız, çevre gruplarının hassasiyetini tetikleyebilecek
gelişmelerin olduğu günlerde biraz daha dikkatli olmanızda fayda olacaktır.
Ders çıkartın
Siber saldırının başarılı olmasına neden olan
açıklar ve eksikliklerin giderilmesi çok önemlidir. Saldırının bir daha
tekrarlanmayacak, münferit bir olay değerlendirilmesi doğru değildir. Tekrar
yaşanmaması için gerekli derslerin çıkartılması ve iyileştirmelerin yapılması
gereklidir.
This comment has been removed by a blog administrator.
ReplyDelete