ybs4004 sistem güvenliği hafta 1 bilgi...
Post on 22-May-2020
4 Views
Preview:
TRANSCRIPT
1
YBS4004 Sistem Güvenliği
Hafta 1Bilgi Güvenliği'nde Temel
Kavramlar
Dr. Öğr. Üyesi Mete Eminağaoğlu
Sunum Planı
• SAYILAR, SAYILAR, SAYILAR
• BİLGİ GÜVENLİĞİ DÜNYASI
Temel Kavramlar ve Tanımlar
Yasalar, Standartlar
Kavramsal Değişimler, Eğilimler
• GELECEKTEN BEKLENENLER
2
1) Sayılar, Sayılar, Sayılar
3
1) Sayılar, Sayılar, Sayılar
4
Sayısal veriler ve bilgiler çığ gibi büyüyor...
2006'da 1,1 milyar olan İnternet kullanıcısı sayısı 2018’de 4 milyara ulaştı*. Elektronik
ticaret bağlantı sayısı 5 sene içinde 40 katına çıkacak.
2018 senesinde, yaratılan, toplanan ve kopyalanan dijital verilerin toplamı 33 zettabyte (33
trilyon gigabyte) oldu. 2025'de bu rakamın 175 zettabyte olması bekleniyor*.
2018'de dünya geneli aktif sosyal ağ kullanıcı sayısı: 3.2 milyar
*Kaynaklar:
https://www.statista.com/statistics/273018/number-of-internet-users-worldwide/
https://www.forbes.com/sites/tomcoughlin/2018/11/27/175-zettabytes-by-2025/#2a7af9d05459
Türkiye'deki şirketlerin % 87' sinde güvenlik açığı var.Kaynak: KoçNet
Sadece ABD’de, her türlü bilişim suçu ve sorunları sonucu 1 yıllık kayıp (virüs, hack, dolandırıcılık, imha, vs) 52 milyar $.
Kaynak: CSI/FBI raporu
ABD’de, bilişim sahteciliği olaylarının kayıtlanmış toplam maliyeti 548 milyon $. Tüm bilişim sahteciliği suçlarında; kimlik hırsızlığı (identity theft) olayları toplam 635,173 adetle (% 39) birinci sırada. Sahtecilik olaylarının, % 53’ü İnternet üzerinden yapıldı.
Kaynak: US FTC
Virüs, vb veya kullanıcı hatası sonrası tek bir bilgisayardaki verilerin geri kurtarımının toplam maliyeti ortalama 3.200 $’dır.
Kaynak: NSA
1) Sayılar, Sayılar, Sayılar
Virüs, Solucan, vb Zararlı Kodların “Eserleri !”:
LoveLetter: Birkaç günde 50 türev, 40 milyon bilgisayar, 8.7 milyar $ (hasar + temizlik + işgücü kaybı)
Sasser: 10 milyon bilgisayar, 1.4 milyar $ (hasar + temizlik + işgücü kaybı)
CodeRed: 1 milyon bilgisayar, 1.1 milyar $ (hasar + temizlik),1.5 milyar $ (işgücü kaybı)
SirCam: 2.3 milyon bilgisayar, 460 milyon $ (hasar + temizlik),757 milyon $ (işgücü kaybı)
Kaynaklar: CERT, DsiNet, SANS
1) Sayılar, Sayılar, Sayılar
Bilgisayar Güvenliği Araştırması (CSI/FBI)
Kurumların;
% 65’inde virüs, vb zararlı kod saldırısı yaşandı
% 47’sinde notebook, PDA, vb mobil cihazlar çalındı
% 42’sinde çalışanlar İnternet erişimlerini suistimal etti
% 32’sinde şirket içindeki verilere yetkisiz erişim oldu
1) Sayılar, Sayılar, Sayılar
1) Sayılar, Sayılar, Sayılar
8
SANS ‘ın raporuna göre bir bilgisayara en fazla 5 dakikada bir saldırı geldiği ve dünya genelinde yaklaşık 10 milyondan fazla bilgisayarın kontrolünün saldırganlar tarafından ele geçirilmiş durumda olduğu belirtiliyor.
Bir güvenlik anketinin sonuçlarına göre, Dünya’nın önde gelen 100 finansal kuruluşunda yaşanan iç güvenlik ihlalleri geçen seneye kıyasla 2 kat artmıştır. Firmaların % 35’i çalışanlar tarafından bu tarz saldırılara maruz kalmışlardır.
Uluslararası Sistem Güvenliği Birliğinin (ISSA) yaptığı araştırmaya göre kurumların % 42’si herhangi bir Güvenlik Bilinci eğitim programı uygulamamakta. Benzer şekilde, güvenlik uzmanlarının çoğunluğu çalışanların bu konuda yeteince bilgi sahibi olmadığını düşünmekte.
Expectations in increased investment in security enhancement tools
0% 5% 10% 15% 20% 25% 30%
0% to 2%
3% to 5%
6% to 10%
11% to 20%
Greater than 21%
First year of investment
1) Sayılar, Sayılar, Sayılar
Kaynak: Gartner
2) BİLGİ GÜVENLİĞİ DÜNYASI – Temel Kavramlar ve Tanımlar
Bilgi Güvenliği derken... BİLGİ ?
BİLGİ:
Bir kurum, şirket, vb için değer ifade eden ve sürekli güvenliğinin sağlanması gereken varlıktır.
BSI-ISO 17799:2000
Bilgi, birçok halde ve durumda bulunabilir ve işlenebilir. Kağıda yazılmış, çıktı halinde, elektronik ortamda, vb
saklanabilir.Elektronik ortamda, posta yoluyla, konuşurken, vb iletilebilir.
Bilginin Tanımı
Günümüzde, en değerli, en büyük rekabet unsuru, ve var olmanın tek adresi; bilgi ve bu bilgilerin oluşmasını
sağlayan verilerdir.
Bilgiler ve bunların işlendiği, saklandığı,
iletildiği tüm kaynaklar, değer varlıklarımızdır.
(assets)
Bilginin Tanımı
Yaratılır
İşlenir İletilir
Kaydedilir
Yok olmuş?
Kullanılır - (doğru veya yanlış maksatla)
Bozulmuş!Kayıp!
Basılır
Bilginin Yaşam Döngüsü
Bilgi güvenliği; bilgi varlıklarının ortamdaki tehditlerden, zarar görmeden kullanılabilmesidir.
Teknolojinin her getirdiği yenilik aynı zamanda bir zayıflık ve saldırı açığıolarak karşımıza çıkabilmektedir.
Bilgi Güvenliğinin temel amacı, elektronik ve/veya diğer ortamlarda bulunan her türlü bilginin;
Gizliliğini (Confidentiality),Bütünlüğünü (Integrity),Kullanılabilirliğini (Availability)
...sürekli olarak sağlamaktır.
Bilgi Güvenliği
C
Confidentiality
I
Integrity
A
Availability
Confidentiality (Gizlilik): “the property that data or information is not made available or disclosed to
unauthorized people or processes.”
Must protect against unauthorized
Access
Uses
Disclosures
Integrity (Bütünlük): “the property that data or information has not been altered or destroyed in an unauthorized manner.”
Must protect against improper destruction or alteration of data
Must provide appropriate backup in the event of a threat, hazard, or natural disaster
Availability (Kullanılabilirlik) : “the property that data or
information is accessible and usable upon demand by
an authorized person.”
Must provide for ready availability to authorized personnel
Must guard against threats and hazards that may deny access to data or render the data unavailable when needed.
Must provide appropriate backup in the event of a threat, hazard, or natural disaster
Must provide appropriate disaster recovery and business continuity plans for business, governmental, educational, etc. operations.
Basis of Information Security:
We must assure that systems and applications operate effectively and provide appropriate confidentiality, integrity, and availability.
We must protect information with the level of risk and magnitude of harm resulting from loss, misuse, unauthorized access, or modification.
“Eğer teknolojinin güvenlik problemlerini çözebileceğini düşünüyorsanız, o halde ya problemleri anlamıyorsunuz ya da teknolojiyi demektir.”
Bruce Schneier
“Sosyal mühendislik saldırıları tüm güvenlik teknolojilerinin üstesinden gelebilir, buna güvenlik duvarları da dahil.”
Kevin Mitnick
Sorunlar insandan ve süreç eksikliğinden kaynaklanmaktadır.
Sorun, süreçlerin güvenli tasarlanmamasından kaynaklanmaktadır.
Bilgi Güvenliği
Veri dinleme
Veri değiştirme
Bilgi, veri, fikir hırsızlığı,
Casusluk
Sistem / veri imhası
Ağ / iletişim sabotajları
Yetkisiz erişim / kullanım
Türkiye ve Dünya’daki çeşitli Bilişim Suçları
Hizmet / erişim engellemesi
Sınai / ticari / patent haklarının ihlali
İftira, gizlice suça katma, hedef şaşırtma
Sahtecilik (kredi/banka kartları, dolandırıcılık,
kalpazanlık, kimlik hırsızlığı, vb), haraç, zimmete geçirme
Kişilik haklarını taciz
İnsan sağlığına, insan yaşamına, ulusal güvenliğe
dolaylı zarar / tehdit
Dünyada En Çok Rastlanan Güvenlik Açıkları
• Parolası Olmayan ya da Zayıf Parolalı Kullanıcı Hesapları
• Güvenilir Yedekleme Politikalarının Olmaması
• Cihazlarda Açık Tutulan / Unutulan Servisler, Ayarlar
• Filtrelenmeyen Ve Denetlenmeyen İletişimler
• Kayıtlama (Log) Yapılmaması
• İşletim Sistemi ve Yazılım Kurulumlarında Standartlara ve Güvenlik İlkelerine Uymamak
Bilgi Güvenliği -Sorunlar ve Zararlar
Saldırıya Uğrayabilecek Değerler
• Kurum İsmi, Güvenilirliği ve Markaları
• Kuruma Ait Özel / Gizli Bilgiler
• İşin Devamlılığını Sağlayan Bilgi ve Süreçler
• Üçüncü Şahıs Bilgileri
• Kuruma Ait Adli, Ticari Teknolojik Bilgiler
Görülebilecek Zararın Boyutu
• Doğrudan Maddi Kayıplar
• Müşteri Mağduriyeti
• Kaynakların Tüketimi
• İş Yavaşlaması veya Durdurulması
• Kurumsal İmaj Kaybı
• Üçüncü Şahıslara Karşı Yapılacak Saldırı Sorumluluğu
Bilgi Güvenliği -Sorunlar ve Zararlar
Elektronik Saldırı Türlerine Örnekler
• Virüs, Solucan, Truva Atı Saldırıları
• Ticari Bilgi ve Teknoloji Hırsızlıkları
• Hizmet Aksatma Saldırıları
• İzinsiz Kaynak Kullanımı
• Web Sayfası İçeriği Değiştirme Saldırıları
• Kurum Üzerinden Farklı Bir Hedefe Saldırmak
• Dolandırıcılık, sahtecilik saldırıları (phishing, vb)
Bilgi Güvenliği -Sorunlar ve Zararlar
Belge, evrak, vb sahteciliği, tahribat
Kurum malına zarar verme, sabotaj, vb.
Değerli bilgilerin, eşyaların çalınması
Yetkisi dışındaki kaynak, bilgi, vb. erişim, her türlü amaçla kullanım
İş sırasındaki kasıtsız oluşan sorunlar; kaza, hatalar, vb.
Kurum kaynak, bilgi ve değerlerinin sorumsuz, bilinçsiz şekilde kullanılması
Diğer Saldırılar, Tehditler, Sorunlar:
Bilgi Güvenliği -Sorunlar ve Zararlar
Bilgi Güvenliği Ne Değildir?
• Güvenlik, başlanıp bitirilecek bir çalışma değildir.
• Tak-çalıştır güvenlik yoktur.
• Riskleri yaşamamış olmanız, güvenli olduğunuz anlamına gelmez. (“Bu bizim
başımıza nasıl olsa gelmez”, “Hiç olmadı ki”...!??)
• Önce projeyi / sistemi devreye alıp, güvenliğini daha sonra düşünemezsiniz.
• “Bu arkadaşlar tanıdık, güvenilir; bize zarar vermezler”...!??
• Sahip olunan güvenlik yazılım ve donanımları; güvenlik demek değildir.
• Yapılan güvenlik kontrolleri sadece o anı belgeler. Yarın yeni bir süreç / sistem
eklendiğinde...?
• “Benim uygulamam / sistemim her zaman güvenlidir”...!??
• Gizlilik, her zaman güvenlik anlamına gelmez.
• Güvenlik; teknik bir konu, sadece bilişimcilerin işi, vb... değildir.
• %100 Güvenli diye bir şey yoktur.
Bilgi Güvenliği Ne Değildir?
"The only system which is truly secure is one which is switched off and unplugged, locked in a titanium lined safe, buried in a concrete bunker, and is surrounded by
nerve gas and very highly paid armed guards.
Even then, I wouldn't stake my life on it."
Gene Spafford,Computer Operations and Head of Security Technology
(COAST) Project
% 100 Güvenlik, % 100 Uyum, 0 risk ...?
Türkiye’deki ilgili Yasalar
• 1 Nisan 2005; TCK Bilişim Suçları – madde 243, 244, 245, 246
• 1 Nisan 2005; Yeni CMK – madde 134
• 1 Ocak 2005; 5070 sayılı Elektronik İmza Kanunu
• 4 Mayıs 2007; İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve ilgili Suçlarla Mücadele Edilmesi Hakkında Kanun
• 5846 sayılı Fikir ve Sanat Eserleri Kanunu
• Diğer;
- Tüketici Haklarının Korunması (4077)
- Patent Haklarının Korunması hakkında kanun hükmünde kararname (551)
- Markaların Korunması hakkında kanun hükmünde kararname (556)
2) b. Yasalar, Standartlar
Yurtdışından ilgili Yasalar (birkaç örnek)
• The Privacy Act of 1974, USA
• Computer Security Act 1987, USA
• The Digital Millennium Copyright Act of 1998, USA
• FISMA (Federal_Information_Security_Management_Act_of_2002), USA
• Adam Walsh Child Protection and Safety Act, 2006, USA
• Data Protection Act 1974 (rev. 2004), France
• Data Protection Act, 1998, EU
• The Electronic Commerce (EC Directive) Regulations 2002, EU
• Regulation of Investigatory Powers Act 2000, EU
• Data Protection Act 1998, UK
• Electronic Communications Act 2000, UK
• The Consumer Protection Regulations 2000, UK
• Electronic Transaction Act, 1998, Malaysia
• Indian Information Technology Act 2000, India
• The Privacy Act 1988, Australia
• Act on the Protection of Personal Data, 1998, Chile
2) b. Yasalar, Standartlar
Ulusal / Uluslararası Standartlar, Regulasyonlar, Metrikler (birkaç örnek)
• BDDK, Bilgi Sis. Ynt. Tebliği
• BDDK, Bilgi Sis. - diğer ilgili yönetmelikler
• SOX
• ISO 27001
• ISO 27002
• BS 25999
• COBIT
• FIPS
• HIPAA
• GASSP
• NIST
• Common Criteria
2) b. Yasalar, Standartlar
Güvenli Binalar1980’ ler;Bilgi İşlem Merkezleri
Ağ Yönetimi1990’ lar;Network Firewall’ları, AntiVirus
Sokakkullanıcıları
?? 21. yy.;
Siber savaşçıları
Güvenlik Kavramlarındaki Değişimler
2) c. Kavramsal Değişimler, Eğilimler
Multi-media
Software
Bilişimdeki Sancılar
2) c. Kavramsal Değişimler, Eğilimler
Eskiye Göreceli Olarak Sürekli Artan Tehditler, Zayıflıklar, Riskler, Sorunlar...
2) c. Kavramsal Değişimler, Eğilimler
• İnternet ve BT’ye bağımlılık artışı, kablolu / kablosuz bağlantılar, mobil cihazlar, vb
• Zararlı kodlar, hacker’lar, hilekarlar, casusluk, diğer saldırılar, vb
• Yama açıkları, vb teknik zayıflıklar hızla artarken çözümlerin aynı hız ve kolaylıkta olamaması
• Yasalar, mevzuatlar, müşteriler, ortaklar, denetimciler, kanun koyucular ve beklentileri, bu zorunlulukların ortaya çıkardığı ek sorunlar
• Dış kaynak kullanımı artışı (outsourcing) ve bunun aynı zamanda başka ülkelere taşınacak şekilde yaygınlaşması, üçüncü şahısların bilgiyi kontrol etmesi
• “Tak, kur, unut” gibi güvenlik çözümleri artık birer peri masalı
• Bilginin parasal değerinin sürekli artması ve ticari, sosyal, siyasal güç unsuru haline gelmesi
• Güvenlik bir ürün veya sonu olan bir proje değil, Güvenlik; yaşatılması, sürekli bakımı ve yönetimi gereken çok katmanlı ve çok boyutlu bir süreç
Dünyada En Çok Rastlanan Güvenlik Hataları
• Parolası Olmayan ya da Zayıf Parolalı Kullanıcı Hesapları
• Güvenilir Yedekleme Politikalarının Olmaması
• Cihazlarda Açık Tutulan / Unutulan Servisler, Ayarlar
• Filtrelenmeyen Ve Denetlenmeyen İletişimler
• Kayıtlama Yapılmaması
• İşletim Sistemi ve Yazılım Kurulumlarında Standartlara ve Güvenlik İlkelerine Uymamak
2) c. Kavramsal Değişimler, Eğilimler
Saldırı Araçlarındaki Gelişmeler
Intruders’ Expertise
High
Low
Cross site scripting
password guessing
self-replicating code
password cracking
exploiting known vulnerabilities
disabling audits
back doors
hijackingsessions
sweepers
sniffers
packet spoofing
GUIautomated probes/scans
denial of service
www attacks
Tools“stealth” / advanced
scanning techniques
burglaries
network mgmt. diagnostics
distributedattack tools
Wireless attacks
Auto Coordinated
1980 1985 1990 1995 2000
© Carnegie Mellon University
TODAY
2) c. Kavramsal Değişimler, Eğilimler
“Technological progress is like an axe in the hands of a pathological criminal.”
Albert Einstein
2) c. Kavramsal Değişimler, Eğilimler
2) c. Kavramsal Değişimler, Eğilimler
37
• 30 yıl öncesi: Hacker’lar (gerçek ustalar, az sayıda seçkin saldırgan)
• Bugün: Script Kiddies, Crackers, Lamers, Vandals, Korsanlar, Adi Suçlular, Çeteler (iş ayağa düştü ve yaygınlaştı)
• Dün: Hedeftekiler; sunucu sistemler ve kurumlar
• Bugün: Hedeftekiler; son kullanıcılar ve kullandıkları bireysel sistemler
• 5 yıl öncesine kadar: yeraltı dünyasında imaj yapma motivasyonu, zarar vermek, siyasi / sosyal mesaj vermek (DoS, web defacement, e-mail bombs, vb)
• Bugün: Para, Para, Para !!!
“Dünün bilişim suçluları eğlence için takılan gençlerdi, ama onlar da artık büyüdü, evlendi, çocukları var, borçları var, vb. Bu yüzden, evlerini geçindirecek paraya ihtiyaç duyuyorlar, saldırılarını da daha ustalıkla, sessizce ve para kazanmaya yönelik geliştiriyorlar.”
Bruce Schneier
• Dün: Seçilmiş, atanmış, özel görevi gereği, vb birkaç kişi
Bilgi Güvenliği Sorumluları
• Bugün : Tüm Çalışanlar, Tüm Bireyler !
2) c. Kavramsal Değişimler, Eğilimler
3) Gelecekten Beklenenler
39
3) Gelecekten Beklenenler
• Teknolojik değişimler ve bunlara bağlı yeni riskler kaçınılmaz (IPv6, yeni kablosuz iletişimler, Kuantum bilgisayarlar, vb)
• Yasalar gelişecek, çeşitlenecek; ayrıca, ulusal değil, evrensel yasalara gidilecek
• Güvenlik yeni eğilimler, yeni teknolojilerde belirleyici olmaya başlayabilir (kısmen de olsa)
• Güvenlik deneyimi her işte zorunlu olacak (bilgisayar bilmek, yabancı dil bilmek gibi)
• Güvenlik, ticari ve ekonomik rekabette en öncelikli unsur haline gelebilir
• İş alanları, kariyer planlarında, eğitimde vb; momentum tamamen bilgi güvenliğine kayacak
• Alışkanlıkları bile değiştirecek düzeyde, kriptografi ve kimlik tanımlama / doğrulama başta olmak üzere, çeşitli güvenlik alanlarında köklü değişiklikler yaşanacak
40
3) Gelecekten Beklenenler
• Çok daha az baş ağrıtan güvenlik teknolojileri
Teknolojik gelişim ve değişim nedeniyle
İnsanlarda algının değişmesi nedeniyle
• Şu an yürürlükte olan birçok standart, metod, metrics, ya tamamen değişecek ya da çöpe gidecek
kağıt belge kalmazsa belge güvenliği..??
bilgisayar mimarisi tamamen değişirse; saklama, yedekleme prosedürleri...??
vb vb
• Yapay zeka, vb gelişmesinin de yardımıyla; günümüzde göreceli, subjektif, tahminlemelerleidare edilen veya standartları oluşamamış risk ölçümü, iş – etki değerlemesi, vb temel konuların evrensel bir metriğe oturtulması sağlanacak
41
3) Gelecekten Beklenenler
Özetle;
• Bilgi Güvenliği, tamamen teknoloji bağımlı / ilişkili olacak,
• Bireyler, kurumlar, şirketler, toplumlar, ülkeler için ayrı ayrı ve bağımsız politikalar, kurallar,
teknolojiler, riskler, çözümler, stratejiler düşünülemeyecek,
• Bireyler, kurumlar, şirketler, toplumlar, ülkeler ve sonuçta tüm dünya; aynı ortak beklenti ve kurallar,
çözümlerle hareket etmeye başlayacaklar.
42
ÜLKEPersonel
Kurumlar Şirketler Toplum
Bütünlük Gizlilik
Kullanılabilirlik
Risk
Bireyler
ÜLKE
top related