Thursday, August 13, 2015

Siber güvenlik için 40 öğüt

Kendimi tanıtırken “Ahlaklı Bilgisayar Korsanı” demeyi seviyorum. Bunun başlıca nedenleri arasında “hacker” kelimesinin medya tarafından fazlaca kullanılarak içinin boşaltılması, bu “işlere” bulaşmamın oyun korsan oyun (ing. Crack) ile olması ve tabii ki çocukluk hayalim olan; “büyünce korsan olucam!” vardır. “Sunumlarınızın arkaplanında neden korsan bayrağı var?” sorusuyla da sıkça karşılaşıyorum, böylece, bu soruya da kısmen yanıt vermiş oldum.

Bu Pazar günü bir gazetede “Katip Çelebi’den korsanlara öğütler” başlıklı bir yazı okurken aklıma geldi ve Katip Çelebi’nin “Tuhfetü’l-Kibar Fi Esfari’l Bihar (Deniz Savaşları Hakkında büyüklere Armağan)” çalışmasında, denizcilere yönelik, sıraladığı 40 öğüdü; “Siber savaşlar hakkında büyüklere armağanlar” başlığı altında toparlamaya çalıştım. Bazı öğütler Katip Çelebi döneminin jeopolitik durumuna özel olarak yazıldığı için bunları listeye dahil edemedim. Dolayısıyla aslı 40 olan öğüt sayısının altında kaldım.
“Siber Savaşlar Hakkında Büyüklere Armağanlar”
Katip Çelebi’nin 40 öğüdü için kaynak olarak Deniz Kuvvetlerinin “Bahriye Wiki” sayfasını kullandım. (http://www.dzkk.tsk.tr/pages/denizwiki/konular.php?icerik_id=125&dil=1&wiki=1&catid=4)
 ilk öğüdü, denizcilik bilgisi sınırlı olan Kaptan Paşa ve diğer önemli komutanların, mutlaka tecrübeli denizcilere danışmaları gereği üzerinedir.
Bilgi güvenliği konusunda bu alanda tecrübeli, marka bağımsız danışmanlarla çalışmanın önemini her fırsatta dile getirmeye çalışıyorum. Herhangi bir güvenlik ürününü satan firmanın size danışmanlık yapması, en azından kendi ürününü az da olsa öne çıkartmadan bunu yapması, çok zordur. Bu nedenle bilgi güvenliği duruşunuzu ve yatırımlarınızı sağlam temellere oturtmak için bağımsız danışmanların tecrübelerinden faydalanılması önemlidir. Benzer şekilde bilgi güvenliği farkındalığı eğitimlerinin de kuruluş dışından birileri tarafından verilmesi kuruluş personeli tarafından verilmesinden çok daha verimli olacaktır.
2’nci öğüt, inşa süresinin kısa olması nedeniyle, mümkün olduğunca Donanma gemilerinin, istanbul Tersanesi’nde inşa edilmesi üzerinedir.
Yedekleme, yedekleme ve yedekleme. Bir olayla karşılaştığımızda hem kuruluşun kıymetli verilerinin kaybolmaması hem de kısa sürede tekrar “işler” hale gelmemiz aldığımız yedeklere bağlıdır. Veri yedeklerinin yanında önemli ağ ve güvenlik cihazlarının konfigürasyon yedeklerinin alınması şarttır. Elinizde yeni nesil güvenlik duvarları olabilir ve üreticiyle 12 saat içerisinde cihaz değişimi sözleşmesi de yapmış olabilirsiniz ama 12 saatin sonunda elinize ulaşan cihaza 200-300 kuralı hatırlamaya çalışarak manüel olarak girmeye çalışırsanız sıkıntı uzar. Bu nedenle “geri dönüş” süresini kısaltmak için veriler kadar konfigürasyon yedeklerinin alınması da önemlidir.
3‘üncü öğüt, gemilerin lojistik açıdan tam olarak donatılmalarının gereğini ortaya koymaktadır.
Doğru bir savunma hattı inşa etmek için gerekli temel bileşenlere sahip olunması şarttır. Tabii ki bütçe kısıtları gibi etkenlerle hepimiz son çıkan yeni nesil güvenlik duvarından 5’er 10’ar tane alabilecek durumda değiliz ancak hiç değilse doğru ayarlanmış bir güvenlik duvarına, kuruluş ağındaki bütün bilgisayarlarda antivirüs’e ve basit de olsa bilinen ve işletilen bir bilgi güvenliği politikasına (ISO27001 değil, basitçe “şu yapılır, bu yapılmaz” gibi üst yönetim sponsorluğunda bir yazı) ihtiyaç vardır.
 4’üncü öğüt, Donanma gemilerinin ilerisinde mutlaka keşif maksatlı gemi görevlendirilmesini dikte etmektedir.
Ağımızda olup biteni izlememizi sağlayacak bir yapı kurmalıyız. Dışarıya doğru açılan trafik, başarısız giriş denemeleri, ağ üzerinde çalışan servislerin takibi gibi belli başlı konularda bize bilgi verecek ve gerekli alarmları üretecek bir sistem kurulmalıdır. Hayır, gidip 100,000 Dolara SIEM (Security Incıdent Events Management) projeleri yapalım demiyorum, yapabilirseniz çok iyi, ama yapamıyorsanız da bunları takip edecek ücretsiz ve/veya açık kaynaklı yazılımlar var.
5’inci öğüt, Donanmada 200 parça gemi olursa, bunun iki kol (hat) halinde tertiplenmesinin faydalı olacağını açıklamaktadır.
Genel olarak savunma hattımızı kademeli olarak kurmamızda fayda var. Bu sayede bir cihazın devre dışı kalması, atlatılması veya ele geçirilmesi halinde saldırganları tespit edebilecek veya durdurabilecek bir çözüm daha olacaktır.
6’ncı öğüt, denizde öğlenden sonra bir liman yakınında bulunuluyorsa, o limana girilerek, geceyi limanda geçirmenin faydalarını anlatmaktadır.
Geceyi güvenli bir limanda geçirmek gibi, her gece düzenli olarak yedek alınmalıdır.
7’nci öğüt, Boğaz dışında bulunulduğunda, seyre çıkmadan önce sabah namazının kılınması gerektiğini vurgulamaktadır.
Namaz’a benzetmek doğru olmaz tabii ki ama bilgi güvenliği konusunda sabah işe gelir gelmez yapılmasında fayda olacak bazı şeyler var. Bunları günlük rutininize dahil edebilirseniz orta ve uzun vadede mutlaka faydasını görürsünüz. Sabah yapılacaklar arasında bir önceki gecenin saldırı loglarının (başarısız giriş denemesi, dışarı doğru açılan trafik, başlatılan servisler, vb.) incelenmesi, ortaya çıkman ve ağımızda bulunan sistemleri etkileyebilecek zafiyetlerin listelenmesi, yedeklerin doğru alınıp alınmadığının teyidi, yerel ağda belirmiş olabilecek yeni servislerin tespit edilmesi gibi temel konuları sayabiliriz.
8’inci öğüt, forslu gemi komutanlarının (baştarda reisleri) tecrübeli denizciler arasından seçilmesinin önemine işaret etmektedir.
SOME (Siber Olaylara Müdahale Ekibi) gibi bilgi güvenliği alanında çalışacakların bu alanda az da olsa tecrübesi olan personellerden seçilmesi önemlidir. Güvenlik seviyemizi koruyacak bazı rutinlere hakim, strese girmeyen ve güvenlik konusunun temellerine hakim arkadaşların görevlendirilmesi bir olay yaşanması halinde başarı ve başarısızlık arasındaki çizgiyi belirleyecektir.
9’uncu öğüt, Donanma içerisinde bastardaların yavaş gitmelerinin faydalı olacağını belirtmektedir.
Her cihazın olduğu gibi güvenlik cihazlarının kapasiteleri sınırlıdır. Bu gerçeğin bazı üreticilerin dokümanlarında (bkz. kapasitelerin yazılı olduğu kuşe kağıda basılmış parlak dokümanlar) kabul edilmediğini hepimiz görmüşüzdür. Yeni nesil olarak satılan ve 100 Mbps trafik kaldırabilen bir cihazın kapasitesinin IDS/IDS, malware, vb. modüllerinin devreye alınmasından sonra bu kapasiteyle çalışamaması normaldir. (bu bir “üreticileri kötüleme” yazısı değildir, üreticilerde çalışan dostlarım kızmasın) Bu durumda bizlerin gerçek kapasiteyi (kullanacağımız modüller devredeyken) bilip planlamamızı buna göre yapmamız gerekmektedir.
10’uncu öğüt, bey gemilerinin bastardaların önünde bulunmalarının önemine dikkat çekmektedir.
Cihazların işlevsel kapasitelerine göre yapılacak planlama sayesinde ağ üzerinde “dar boğaz” oluşması engellenmiş olur.
11’inci öğüt, gemilerin münavebeli olarak yağlanmalarını, bir grubun nöbetçi kalmasını, bu ihmal nedeniyle ağır zayiatlar verildiği anlatmaktadır.
Güncellemeler ilgili ağ bileşenlerini olduğu gibi ağ işleyişini de etkileyebilir. Bu nedenle kritik güncellemeler mutlaka önceden planlanmalı ve bir şeylerin ters gitmesi halinde yapılacağı önceden belirlenmelidir. Birden fazla benzer bileşen olması halinde güncellemeler sıraya yapılabilir.
12’nci, 13üncü ve 14’üncü öğütler Donanma özelinde ve dönemin jeopolitik şartlarına göre yazılmıştır.
15’inci öğüt, gemilerin gece fırtına çıktığında, müsademe riskine karşı gece boyunca fenerlerini yakmalarının faydalı olacağını belirtmektedir.
Gemilerimizi görebilmeye ihtiyaç duyduğumuz gibi ağ üzerindeki bilgisayarları da tanıyor olmamız lazım. Bu nedenle yerel ağa bağlı bilgisayarların tanınması ve tanınmayan bir sistem tespit edilmesi haline neler yapılacağı belirlenmelidir. Pahalı NAC (Network Access Control – Ağ Erişim Denetim) sistemleri almanız şart değil ama kimlere hizmet verdiğimizi de bilecek durumda olmalıyız.
16’ncı öğüt, Donanmanın sığlıklar ve seyir engelleri nedeniyle Ege Adaları arasında, ihtiyaç olmadıkça seyir yapmamalarını dile getirmektedir.
Kuruluş kaynakları kullanılarak internet üzerinde nerelere erişilebileceği belli olmalıdır. Tarayıcıyı vektör olarak kullanan saldırıların sayısının her gün arttığını görüyoruz. Yönetim kararıyla erişimi engellenen sosyal paylaşım sitesi vb. yerler dışında da güvensiz olabilecek zararlı yazılım dağıttığı bilinen sitelere de erişim kapatılmalıdır. Torrent trafiği gibi yapı itibariyle risk oluşturabilecek ağ trafiklerinin de benzer şekilde engellenmesi gerekmektedir.
17’nci öğüt, Donanmanın başka bölgelerde bulunduğu durumlarda, Ege Adalarını korumak için 10 parça geminin görevlendirilmesini talep etmektedir.
Sadece güvenlik konusunda çalışan personelin olmadığı kuruluşlarda günlük koşuşturma arasında bazı önemli güvenlik sorunların gözden kaçtığını görüyoruz. Bu nedenle ilk tavsiyemiz tabii ki bu sadece bu alanda çalışacak uzman(ların) istihdam edilmesidir. Bunun yapılamaması durumda ise bazı güvenlik görevlerinin çeşitli yazılımlarla otomatik hale getirilmesidir.
18’inci öğüt, Donanmanın sisli ve puslu havalarda kıyıya yakın seyrettiğinde, uygun bir bölgede demirlemesini, açık denizde seyredildiğinde ise, Kaptan Paşanın bastardasında mehter marşları çalınmasını, böylelikle gemilerin dağılmasının önlenmesini açıklamaktadır.
Donanmada bizim gemimiz dışında da gemiler olduğu gibi kuruluş ağı üzerinde bizim sorumlu olduğumuz sistemler dışında da sistemler vardır. Saldırganlar tarafından da istismar edilen en geniş saldırı yüzeyi olan istemciler bunun başında geliyor. Kuruluş bilgi güvenliğinin sağlanması için bu sistemlerin de güvende olması gerekmektedir. İstemciler gibi kontrolümüzün dışındaki sistemlerin güvenliğinin sağlanması için bu sistemlerin kullanıcılarının düzenli olarak bilgi güvenliği konusunda farkındalıklarının arttırılmasını sağlayacak çalışmaların yapılması gereklidir.
19’uncu öğütte, reislerin deniz ilmini iyi bilmeleri, harita ve pusuladan anlamaları, bu konuda hevesli olmaları dile getirilmektedir.
Güvenliğin sağlanabilmesi için güncel saldırıları takip etmek, yeni çıkan güvenlik yaklaşımları benimsemek ve kendimizi sürekli geliştirmek şarttır. Bu nedenle kuruluş bilgi güvenliği konusunda çalışacakların savunma teknolojilerine ve saldırı tekniklerini hakim oldukları kadar bu alanda kendilerini geliştirmeye hevesli olmaları gerekmektedir.
20’nci öğüt, gemicilerin sınava tabi tutulmasını ve başarılı olanların ödüllendirilmesini, böylece diğer denizcilerin teşvik edilmesini anlatmaktadır.
Sınavlar ve sertifikasyonlar bilgi güvenliği konusunda temel seviyede bilgi sahibi olduğumuzu belgeler. Kuruluş olarak iş ilanlarında üretici bağımsız sertifikalar talep etmekte fayda olabilir. Aklıma gelen başlıca sertifikalar; CEH (Certified Ethical Hacker), eCPT (eLearnSecurity Certified Penetration Tester), TSE Sızma Testi Uzmanı (Kayıtlı, Sertifikalı veya Kıdemli), GPEN (GIAC certified Penetration Tester) ve Comptia Security+ olacaktır. Tabii ki sertifikası olmadan da alanında çok başarılı iş yapan arkadaşlarım olduğu kadar sertifika sahibi olup da en basit konularda bile fikri olmayan tanıdıklarım var. Yukarıdaki tespitim geneldir, kimse üzerine alınmasın.
21’inci öğütte, Düşman donanmasının açık denizde, Donanmamızın ise, sahile yakın olduğu durumlarda muharebeden kaçınılması belirtilmektedir.
Ne yazık ki bu bizim verebileceğimiz bir karar değil. Savunan taraf olarak sürekli dezavantajlı durumda olan biziz. Saldırganların motivasyonlarının yüksek olması, kaynaklarının bol olması, zaman kısıtlarının olmaması gibi nedenlerden dolayı her zaman bizden bir adım öndeler.
22’nci öğüt, Düşman kalyonlarına çatışmanın başlangıcında çatma ile yanaşılmamasını, öncelikle uzun menzilden dümen ve direklerinin hedef alınmasını belirtmektedir.
Kademeli güvenlik yaklaşımı ile saldırının ve saldırganın farklı kademelerde bulunan farkı güvenlik cihazları ile durdurulmasına yönelik bir mimari benimsenmelidir. Güvenlik duvarı-IPS/IDS-Antivirüs en yaygın olarak gördüğümüz kademeli yaklaşımdır.
23’üncü öğüt, Kaptan Paşa’nın sancak gemisinin muharebe hattının gerisinde, 3 gemi ile pruvadan, iki gemi ile pupadan emniyet alınmasını dikte etmektedir.
Kuruluşumuz ağı üzerinde gerçekten korumamız gereken veri veya sistemlere fazladan özen gösterilmelidir. Müşteri bilgileri, kredi kartı numaraları veya ticari sır gibi kritik verilerin bulunduğu sistemlerde, veritabanı güvenlik duvarı (database firewall) veya web uygulaması düvenlik duvarı (web application firewall) gibi tedbirlerin alınmasında fayda vardır.
24’üncü ile 29’uncu öğütler deniz savaşları ve dönemin jeopolitik durumuna özel olarak yazılmıştır.
30’uncu öğüt, düşman gemisi bütünüyle teslim alınmadan, ganimet toplanmaması gereğini açıklamaktadır.
Korumamız gereken sistemlerin tamamı güvenli olmadığı sürece güvenlikten söz etmemiz mümkün değildir. Sadece sunucularımızı korumak bizi istemcilere yönelik saldırılara karşı açık bırakır. Bu nedenle kuruluş ağına bağlı sistemlerin tamamının güvenliğini ağlayacak bir güvenlik yaklaşımı benimsenmelidir.
31’inci öğüt, gemi sualtından isabet aldığında, yaranın bez parçaları, sarık vb. cisimlerle kapatılmasının faydalı olabileceğini ifade etmektedir.
Her gün ortaya çıkan güvenlik zafiyetleri gemiye isabet eden top atışlarına benzetilebilir. Tek bir zafiyetin sistemlerin tümünün ele geçirilmesine sebep olabilecek kadar önemli olabileceği gibi birden fazla “önemsiz” gibi görünen zafiyetin bir araya gelmesi benzer bir sonuç doğurabilir. Ne olursa olsun yayınlanan güvenlik zafiyetlerine karşı gerekli tedbirler alınmalı ve güncellemeler düzenli olarak yapılmalıdır.
32’nci ile 35’inci öğütler arasında kalanlar topçuluk ve asker istihdamı hakkındadır.
36’ncı öğütte, kalyon sınıfı gemilerin Boğazdan çıktıktan sonra Donanmaya fazla bir katkı sağlamadıkları belirtilmektedir.
Bazı çözümlerin bazı saldırı türlerine karşı etkili olamayacağını biliyoruz. Güvenlik konusunda her derde deva tek bir çözüm olmadığı gibi tek bir konuda tam çözüm sunan cihaz ve yazılımlar da azdır. Örneğin APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit) saldırılarına karşı olan bir çözümün mutlaka SSL (bkz. https, port 443) sonlandırıp SSL ile şifrelenmiş olarak geçen trafiği izleyebiliyor olması şarttır. Bunu yapmayan bir çözüm sizi sadece APT değil, normal saldırıların bile önemli bir kısmına karşı koruyamayacaktır.
37’nci öğütte, Donanmanın hafif ve hızlı gemilerden oluşturulmasının, rüzgara tabi olan kalyonlardan oluşan düşman donanmasına karşı üstünlük sağlayacağı belirtilmektedir.
Saldırganların bize göre avantajlı durumda olduklarını biliyoruz bu nedenle az da olsa kendimize üstünlük sağlayabileceğimiz bir kaç konunun başında saldırganları hızlıca tespit etmek geliyor. Ağımıza ilk temas ettikleri noktada fark edilen saldırganlara karşı hızlıca tedbir almak mümkündür. Aksi takdirde, yapılan araştırma sonuçlarında da görüldüğü gibi saldırganlar yüzlerce gün (ortalama 220 gün) kuruluş ağının içerisinde tespit edilmeden dolaşabiliyorlar.
38 ve 39’uncu öğütlerde, ele geçirilen düşman kıyılarında kaleler inşa edilmesi ve bu suretle düşmanın etkisiz hale getirilmesinin önemi vurgulanmaktadır.
Ağımızın sadece internete bakan arayüzlerinin değil, kendi içinde iletişim kurmak için kullandığı arayüzlerin de güvenlik duvarı benzeri bir güvenlik tedbiriyle korunması gerekmektedir. VLAN’lar arasındaki iletişim ve hatta istemci ve sunucular arasındaki iletişimde bile nelere izin verilip verilmediği belli olmalı ve bu kuralları uygulayacak bir tedbir bulunmalıdır.
40’ıncı ve son öğütte, “Osmanlı padişahları ve Kaptan Paşaların sefer ve savaşlarının okunması, dinlenmesi ve bunlardan dersler çıkarılmasının önemi ile bu konuda gaflete düşmenin yaratabileceği tehlikeler” vurgulanmaktadır.
Başarılı saldırıların anatomileri incelenerek bunlardan gerekli dersler çıkartılması gereklidir. Bu şekilde belirlenen yeni saldırı vektörlerine ve tekniklerine karşı gerekli tedbirler alınmış olur.

1 comment:

  1. Çok çarpıcı bir yaklaşım olmuş Alper bey, çok teşekkürler, güzel bir rehber niteliğinde yazdıklarınız..

    ReplyDelete