ybs4004 sistem güvenliği hafta 1 bilgi...

1

YBS4004 Sistem Güvenliği

Hafta 1Bilgi Güvenliği'nde Temel

Kavramlar

Dr. Öğr. Üyesi Mete Eminağaoğlu

Sunum Planı

• SAYILAR, SAYILAR, SAYILAR

• BİLGİ GÜVENLİĞİ DÜNYASI

Temel Kavramlar ve Tanımlar

Yasalar, Standartlar

Kavramsal Değişimler, Eğilimler

• GELECEKTEN BEKLENENLER

2

1) Sayılar, Sayılar, Sayılar

3


4

Sayısal veriler ve bilgiler çığ gibi büyüyor...

2006'da 1,1 milyar olan İnternet kullanıcısı sayısı 2018’de 4 milyara ulaştı*. Elektronik

ticaret bağlantı sayısı 5 sene içinde 40 katına çıkacak.

2018 senesinde, yaratılan, toplanan ve kopyalanan dijital verilerin toplamı 33 zettabyte (33

trilyon gigabyte) oldu. 2025'de bu rakamın 175 zettabyte olması bekleniyor*.

2018'de dünya geneli aktif sosyal ağ kullanıcı sayısı: 3.2 milyar

*Kaynaklar:

https://www.statista.com/statistics/273018/number-of-internet-users-worldwide/

https://www.forbes.com/sites/tomcoughlin/2018/11/27/175-zettabytes-by-2025/#2a7af9d05459

Türkiye'deki şirketlerin % 87' sinde güvenlik açığı var.Kaynak: KoçNet

Sadece ABD’de, her türlü bilişim suçu ve sorunları sonucu 1 yıllık kayıp (virüs, hack, dolandırıcılık, imha, vs) 52 milyar $.

Kaynak: CSI/FBI raporu

ABD’de, bilişim sahteciliği olaylarının kayıtlanmış toplam maliyeti 548 milyon $. Tüm bilişim sahteciliği suçlarında; kimlik hırsızlığı (identity theft) olayları toplam 635,173 adetle (% 39) birinci sırada. Sahtecilik olaylarının, % 53’ü İnternet üzerinden yapıldı.

Kaynak: US FTC

Virüs, vb veya kullanıcı hatası sonrası tek bir bilgisayardaki verilerin geri kurtarımının toplam maliyeti ortalama 3.200 $’dır.

Kaynak: NSA


Virüs, Solucan, vb Zararlı Kodların “Eserleri !”:

LoveLetter: Birkaç günde 50 türev, 40 milyon bilgisayar, 8.7 milyar $ (hasar + temizlik + işgücü kaybı)

Sasser: 10 milyon bilgisayar, 1.4 milyar $ (hasar + temizlik + işgücü kaybı)

CodeRed: 1 milyon bilgisayar, 1.1 milyar $ (hasar + temizlik),1.5 milyar $ (işgücü kaybı)

SirCam: 2.3 milyon bilgisayar, 460 milyon $ (hasar + temizlik),757 milyon $ (işgücü kaybı)

Kaynaklar: CERT, DsiNet, SANS


Bilgisayar Güvenliği Araştırması (CSI/FBI)

Kurumların;

% 65’inde virüs, vb zararlı kod saldırısı yaşandı

% 47’sinde notebook, PDA, vb mobil cihazlar çalındı

% 42’sinde çalışanlar İnternet erişimlerini suistimal etti

% 32’sinde şirket içindeki verilere yetkisiz erişim oldu



8

SANS ‘ın raporuna göre bir bilgisayara en fazla 5 dakikada bir saldırı geldiği ve dünya genelinde yaklaşık 10 milyondan fazla bilgisayarın kontrolünün saldırganlar tarafından ele geçirilmiş durumda olduğu belirtiliyor.

Bir güvenlik anketinin sonuçlarına göre, Dünya’nın önde gelen 100 finansal kuruluşunda yaşanan iç güvenlik ihlalleri geçen seneye kıyasla 2 kat artmıştır. Firmaların % 35’i çalışanlar tarafından bu tarz saldırılara maruz kalmışlardır.

Uluslararası Sistem Güvenliği Birliğinin (ISSA) yaptığı araştırmaya göre kurumların % 42’si herhangi bir Güvenlik Bilinci eğitim programı uygulamamakta. Benzer şekilde, güvenlik uzmanlarının çoğunluğu çalışanların bu konuda yeteince bilgi sahibi olmadığını düşünmekte.

Expectations in increased investment in security enhancement tools

0% 5% 10% 15% 20% 25% 30%

0% to 2%

3% to 5%

6% to 10%

11% to 20%

Greater than 21%

First year of investment


Kaynak: Gartner

2) BİLGİ GÜVENLİĞİ DÜNYASI – Temel Kavramlar ve Tanımlar

Bilgi Güvenliği derken... BİLGİ ?

BİLGİ:

Bir kurum, şirket, vb için değer ifade eden ve sürekli güvenliğinin sağlanması gereken varlıktır.

BSI-ISO 17799:2000

Bilgi, birçok halde ve durumda bulunabilir ve işlenebilir. Kağıda yazılmış, çıktı halinde, elektronik ortamda, vb

saklanabilir.Elektronik ortamda, posta yoluyla, konuşurken, vb iletilebilir.

Bilginin Tanımı

Günümüzde, en değerli, en büyük rekabet unsuru, ve var olmanın tek adresi; bilgi ve bu bilgilerin oluşmasını

sağlayan verilerdir.

Bilgiler ve bunların işlendiği, saklandığı,

iletildiği tüm kaynaklar, değer varlıklarımızdır.

(assets)

Bilginin Tanımı

Yaratılır

İşlenir İletilir

Kaydedilir

Yok olmuş?

Kullanılır - (doğru veya yanlış maksatla)

Bozulmuş!Kayıp!

Basılır

Bilginin Yaşam Döngüsü

Bilgi güvenliği; bilgi varlıklarının ortamdaki tehditlerden, zarar görmeden kullanılabilmesidir.

Teknolojinin her getirdiği yenilik aynı zamanda bir zayıflık ve saldırı açığıolarak karşımıza çıkabilmektedir.

Bilgi Güvenliğinin temel amacı, elektronik ve/veya diğer ortamlarda bulunan her türlü bilginin;

Gizliliğini (Confidentiality),Bütünlüğünü (Integrity),Kullanılabilirliğini (Availability)

...sürekli olarak sağlamaktır.

Bilgi Güvenliği

C

Confidentiality

I

Integrity

A

Availability

Confidentiality (Gizlilik): “the property that data or information is not made available or disclosed to

unauthorized people or processes.”

Must protect against unauthorized

Access

Uses

Disclosures

Integrity (Bütünlük): “the property that data or information has not been altered or destroyed in an unauthorized manner.”

Must protect against improper destruction or alteration of data

Must provide appropriate backup in the event of a threat, hazard, or natural disaster

Availability (Kullanılabilirlik) : “the property that data or

information is accessible and usable upon demand by

an authorized person.”

Must provide for ready availability to authorized personnel

Must guard against threats and hazards that may deny access to data or render the data unavailable when needed.

Must provide appropriate backup in the event of a threat, hazard, or natural disaster

Must provide appropriate disaster recovery and business continuity plans for business, governmental, educational, etc. operations.

Basis of Information Security:

We must assure that systems and applications operate effectively and provide appropriate confidentiality, integrity, and availability.

We must protect information with the level of risk and magnitude of harm resulting from loss, misuse, unauthorized access, or modification.

“Eğer teknolojinin güvenlik problemlerini çözebileceğini düşünüyorsanız, o halde ya problemleri anlamıyorsunuz ya da teknolojiyi demektir.”

Bruce Schneier

“Sosyal mühendislik saldırıları tüm güvenlik teknolojilerinin üstesinden gelebilir, buna güvenlik duvarları da dahil.”

Kevin Mitnick

Sorunlar insandan ve süreç eksikliğinden kaynaklanmaktadır.

Sorun, süreçlerin güvenli tasarlanmamasından kaynaklanmaktadır.

Bilgi Güvenliği

Veri dinleme

Veri değiştirme

Bilgi, veri, fikir hırsızlığı,

Casusluk

Sistem / veri imhası

Ağ / iletişim sabotajları

Yetkisiz erişim / kullanım

Türkiye ve Dünya’daki çeşitli Bilişim Suçları

Hizmet / erişim engellemesi

Sınai / ticari / patent haklarının ihlali

İftira, gizlice suça katma, hedef şaşırtma

Sahtecilik (kredi/banka kartları, dolandırıcılık,

kalpazanlık, kimlik hırsızlığı, vb), haraç, zimmete geçirme

Kişilik haklarını taciz

İnsan sağlığına, insan yaşamına, ulusal güvenliğe

dolaylı zarar / tehdit

Dünyada En Çok Rastlanan Güvenlik Açıkları

• Parolası Olmayan ya da Zayıf Parolalı Kullanıcı Hesapları

• Güvenilir Yedekleme Politikalarının Olmaması

• Cihazlarda Açık Tutulan / Unutulan Servisler, Ayarlar

• Filtrelenmeyen Ve Denetlenmeyen İletişimler

• Kayıtlama (Log) Yapılmaması

• İşletim Sistemi ve Yazılım Kurulumlarında Standartlara ve Güvenlik İlkelerine Uymamak

Bilgi Güvenliği -Sorunlar ve Zararlar

Saldırıya Uğrayabilecek Değerler

• Kurum İsmi, Güvenilirliği ve Markaları

• Kuruma Ait Özel / Gizli Bilgiler

• İşin Devamlılığını Sağlayan Bilgi ve Süreçler

• Üçüncü Şahıs Bilgileri

• Kuruma Ait Adli, Ticari Teknolojik Bilgiler

Görülebilecek Zararın Boyutu

• Doğrudan Maddi Kayıplar

• Müşteri Mağduriyeti

• Kaynakların Tüketimi

• İş Yavaşlaması veya Durdurulması

• Kurumsal İmaj Kaybı

• Üçüncü Şahıslara Karşı Yapılacak Saldırı Sorumluluğu


Elektronik Saldırı Türlerine Örnekler

• Virüs, Solucan, Truva Atı Saldırıları

• Ticari Bilgi ve Teknoloji Hırsızlıkları

• Hizmet Aksatma Saldırıları

• İzinsiz Kaynak Kullanımı

• Web Sayfası İçeriği Değiştirme Saldırıları

• Kurum Üzerinden Farklı Bir Hedefe Saldırmak

• Dolandırıcılık, sahtecilik saldırıları (phishing, vb)


Belge, evrak, vb sahteciliği, tahribat

Kurum malına zarar verme, sabotaj, vb.

Değerli bilgilerin, eşyaların çalınması

Yetkisi dışındaki kaynak, bilgi, vb. erişim, her türlü amaçla kullanım

İş sırasındaki kasıtsız oluşan sorunlar; kaza, hatalar, vb.

Kurum kaynak, bilgi ve değerlerinin sorumsuz, bilinçsiz şekilde kullanılması

Diğer Saldırılar, Tehditler, Sorunlar:


Bilgi Güvenliği Ne Değildir?

• Güvenlik, başlanıp bitirilecek bir çalışma değildir.

• Tak-çalıştır güvenlik yoktur.

• Riskleri yaşamamış olmanız, güvenli olduğunuz anlamına gelmez. (“Bu bizim

başımıza nasıl olsa gelmez”, “Hiç olmadı ki”...!??)

• Önce projeyi / sistemi devreye alıp, güvenliğini daha sonra düşünemezsiniz.

• “Bu arkadaşlar tanıdık, güvenilir; bize zarar vermezler”...!??

• Sahip olunan güvenlik yazılım ve donanımları; güvenlik demek değildir.

• Yapılan güvenlik kontrolleri sadece o anı belgeler. Yarın yeni bir süreç / sistem

eklendiğinde...?

• “Benim uygulamam / sistemim her zaman güvenlidir”...!??

• Gizlilik, her zaman güvenlik anlamına gelmez.

• Güvenlik; teknik bir konu, sadece bilişimcilerin işi, vb... değildir.

• %100 Güvenli diye bir şey yoktur.

Bilgi Güvenliği Ne Değildir?

"The only system which is truly secure is one which is switched off and unplugged, locked in a titanium lined safe, buried in a concrete bunker, and is surrounded by

nerve gas and very highly paid armed guards.

Even then, I wouldn't stake my life on it."

Gene Spafford,Computer Operations and Head of Security Technology

(COAST) Project

% 100 Güvenlik, % 100 Uyum, 0 risk ...?

Türkiye’deki ilgili Yasalar

• 1 Nisan 2005; TCK Bilişim Suçları – madde 243, 244, 245, 246

• 1 Nisan 2005; Yeni CMK – madde 134

• 1 Ocak 2005; 5070 sayılı Elektronik İmza Kanunu

• 4 Mayıs 2007; İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve ilgili Suçlarla Mücadele Edilmesi Hakkında Kanun

• 5846 sayılı Fikir ve Sanat Eserleri Kanunu

• Diğer;

- Tüketici Haklarının Korunması (4077)

- Patent Haklarının Korunması hakkında kanun hükmünde kararname (551)

- Markaların Korunması hakkında kanun hükmünde kararname (556)

2) b. Yasalar, Standartlar

Yurtdışından ilgili Yasalar (birkaç örnek)

• The Privacy Act of 1974, USA

• Computer Security Act 1987, USA

• The Digital Millennium Copyright Act of 1998, USA

• FISMA (Federal_Information_Security_Management_Act_of_2002), USA

• Adam Walsh Child Protection and Safety Act, 2006, USA

• Data Protection Act 1974 (rev. 2004), France

• Data Protection Act, 1998, EU

• The Electronic Commerce (EC Directive) Regulations 2002, EU

• Regulation of Investigatory Powers Act 2000, EU

• Data Protection Act 1998, UK

• Electronic Communications Act 2000, UK

• The Consumer Protection Regulations 2000, UK

• Electronic Transaction Act, 1998, Malaysia

• Indian Information Technology Act 2000, India

• The Privacy Act 1988, Australia

• Act on the Protection of Personal Data, 1998, Chile


Ulusal / Uluslararası Standartlar, Regulasyonlar, Metrikler (birkaç örnek)

• BDDK, Bilgi Sis. Ynt. Tebliği

• BDDK, Bilgi Sis. - diğer ilgili yönetmelikler

• SOX

• ISO 27001

• ISO 27002

• BS 25999

• COBIT

• FIPS

• HIPAA

• GASSP

• NIST

• Common Criteria


Güvenli Binalar1980’ ler;Bilgi İşlem Merkezleri

Ağ Yönetimi1990’ lar;Network Firewall’ları, AntiVirus

Sokakkullanıcıları

?? 21. yy.;

Siber savaşçıları

Güvenlik Kavramlarındaki Değişimler

2) c. Kavramsal Değişimler, Eğilimler

Multi-media

Software

Bilişimdeki Sancılar


Eskiye Göreceli Olarak Sürekli Artan Tehditler, Zayıflıklar, Riskler, Sorunlar...


• İnternet ve BT’ye bağımlılık artışı, kablolu / kablosuz bağlantılar, mobil cihazlar, vb

• Zararlı kodlar, hacker’lar, hilekarlar, casusluk, diğer saldırılar, vb

• Yama açıkları, vb teknik zayıflıklar hızla artarken çözümlerin aynı hız ve kolaylıkta olamaması

• Yasalar, mevzuatlar, müşteriler, ortaklar, denetimciler, kanun koyucular ve beklentileri, bu zorunlulukların ortaya çıkardığı ek sorunlar

• Dış kaynak kullanımı artışı (outsourcing) ve bunun aynı zamanda başka ülkelere taşınacak şekilde yaygınlaşması, üçüncü şahısların bilgiyi kontrol etmesi

• “Tak, kur, unut” gibi güvenlik çözümleri artık birer peri masalı

• Bilginin parasal değerinin sürekli artması ve ticari, sosyal, siyasal güç unsuru haline gelmesi

• Güvenlik bir ürün veya sonu olan bir proje değil, Güvenlik; yaşatılması, sürekli bakımı ve yönetimi gereken çok katmanlı ve çok boyutlu bir süreç

Dünyada En Çok Rastlanan Güvenlik Hataları

• Parolası Olmayan ya da Zayıf Parolalı Kullanıcı Hesapları

• Güvenilir Yedekleme Politikalarının Olmaması

• Cihazlarda Açık Tutulan / Unutulan Servisler, Ayarlar

• Filtrelenmeyen Ve Denetlenmeyen İletişimler

• Kayıtlama Yapılmaması

• İşletim Sistemi ve Yazılım Kurulumlarında Standartlara ve Güvenlik İlkelerine Uymamak


Saldırı Araçlarındaki Gelişmeler

Intruders’ Expertise

High

Low

Cross site scripting

password guessing

self-replicating code

password cracking

exploiting known vulnerabilities

disabling audits

back doors

hijackingsessions

sweepers

sniffers

packet spoofing

GUIautomated probes/scans

denial of service

www attacks

Tools“stealth” / advanced

scanning techniques

burglaries

network mgmt. diagnostics

distributedattack tools

Wireless attacks

Auto Coordinated

1980 1985 1990 1995 2000

© Carnegie Mellon University

TODAY


“Technological progress is like an axe in the hands of a pathological criminal.”

Albert Einstein



37

• 30 yıl öncesi: Hacker’lar (gerçek ustalar, az sayıda seçkin saldırgan)

• Bugün: Script Kiddies, Crackers, Lamers, Vandals, Korsanlar, Adi Suçlular, Çeteler (iş ayağa düştü ve yaygınlaştı)

• Dün: Hedeftekiler; sunucu sistemler ve kurumlar

• Bugün: Hedeftekiler; son kullanıcılar ve kullandıkları bireysel sistemler

• 5 yıl öncesine kadar: yeraltı dünyasında imaj yapma motivasyonu, zarar vermek, siyasi / sosyal mesaj vermek (DoS, web defacement, e-mail bombs, vb)

• Bugün: Para, Para, Para !!!

“Dünün bilişim suçluları eğlence için takılan gençlerdi, ama onlar da artık büyüdü, evlendi, çocukları var, borçları var, vb. Bu yüzden, evlerini geçindirecek paraya ihtiyaç duyuyorlar, saldırılarını da daha ustalıkla, sessizce ve para kazanmaya yönelik geliştiriyorlar.”

Bruce Schneier

• Dün: Seçilmiş, atanmış, özel görevi gereği, vb birkaç kişi

Bilgi Güvenliği Sorumluları

• Bugün : Tüm Çalışanlar, Tüm Bireyler !


3) Gelecekten Beklenenler

39


• Teknolojik değişimler ve bunlara bağlı yeni riskler kaçınılmaz (IPv6, yeni kablosuz iletişimler, Kuantum bilgisayarlar, vb)

• Yasalar gelişecek, çeşitlenecek; ayrıca, ulusal değil, evrensel yasalara gidilecek

• Güvenlik yeni eğilimler, yeni teknolojilerde belirleyici olmaya başlayabilir (kısmen de olsa)

• Güvenlik deneyimi her işte zorunlu olacak (bilgisayar bilmek, yabancı dil bilmek gibi)

• Güvenlik, ticari ve ekonomik rekabette en öncelikli unsur haline gelebilir

• İş alanları, kariyer planlarında, eğitimde vb; momentum tamamen bilgi güvenliğine kayacak

• Alışkanlıkları bile değiştirecek düzeyde, kriptografi ve kimlik tanımlama / doğrulama başta olmak üzere, çeşitli güvenlik alanlarında köklü değişiklikler yaşanacak

40


• Çok daha az baş ağrıtan güvenlik teknolojileri

Teknolojik gelişim ve değişim nedeniyle

İnsanlarda algının değişmesi nedeniyle

• Şu an yürürlükte olan birçok standart, metod, metrics, ya tamamen değişecek ya da çöpe gidecek

kağıt belge kalmazsa belge güvenliği..??

bilgisayar mimarisi tamamen değişirse; saklama, yedekleme prosedürleri...??

vb vb

• Yapay zeka, vb gelişmesinin de yardımıyla; günümüzde göreceli, subjektif, tahminlemelerleidare edilen veya standartları oluşamamış risk ölçümü, iş – etki değerlemesi, vb temel konuların evrensel bir metriğe oturtulması sağlanacak

41


Özetle;

• Bilgi Güvenliği, tamamen teknoloji bağımlı / ilişkili olacak,

• Bireyler, kurumlar, şirketler, toplumlar, ülkeler için ayrı ayrı ve bağımsız politikalar, kurallar,

teknolojiler, riskler, çözümler, stratejiler düşünülemeyecek,

• Bireyler, kurumlar, şirketler, toplumlar, ülkeler ve sonuçta tüm dünya; aynı ortak beklenti ve kurallar,

çözümlerle hareket etmeye başlayacaklar.

42

ÜLKEPersonel

Kurumlar Şirketler Toplum

Bütünlük Gizlilik

Kullanılabilirlik

Risk

Bireyler

ÜLKE

ybs4004 sistem güvenliği hafta 1 bilgi...

Documents