bilgi güvenliği sektöründe nebula farkı • kalite ve

2012
• BİLGİ GÜVENLİĞİ SEKTÖRÜNDE NEBULA FARKI
• KALİTE VE EHLİYET
• SANAL SİSTEMLERDE YEDEKLEME VE REPLİKASYON
• UNDERGROUND
• SIEM ÇÖZÜMÜNÜZÜ DEĞİŞTİRMENİN ZAMANI GELDİ Mİ?
• TOKENIZATION NEDİR?
Ağustos 2012 beyazşapka 1
Seminerlerimizden Kareler
2 beyazşapka Ağustos 2012
Değerli abonemiz,
İçindekiler
04 >> Bilgi güvenliği Sektöründe Nebula Farkı
Serkan Akcan
06 >> Kalite ve Ehliyet
Erkan Şen
08 >> Veeam: Sanal Sistem Yedekleme ve
Replikasyon Çözümü
Tarkan Çiçek
10 >> Underground
İrfan Kotman
12 >> SIEM (Güvenlik, olay ve log yönetimi)
çözümünüzü değiştirme zamanı geldi mi?
Birant Akarslan
16 >> Avecto Yetki / Ayrıcalık Yönetim Sistemi
Erkan Şen
18 >> Platform bağımsız veri şifrelemeye yeni bir
bakış “Tokenization”
Mehmet Gülyurt
Öncelikle Beyaz Şapka’ya gösterdiğiniz ilgi için teşekkür ederiz. 2006
Yılının Şubat ayında yayına başlayan Beyaz Şapka 13 sayı yayınlanmış
ve 50.000 adetin üzerinde dergi Türkiye’nin dörtbir köşesine ücretsiz
dağıtılmıştı. Dolu dolu kırk sayfaya ulaşan Beyaz Şapka birçok sponsorun
desteğiyle yaşamını sürdürmüştü. Hem projenin hayalimizden daha çok
büyümesi hem de sponsorluklarda yaşadığımız zorluklar nedeniyle Beyaz
Şapka dergisini 2009 Şubat sayısıyla sona erdirmiştik.
Beyaz Şapka’nın sektörde bıraktığı büyük itibar; her toplantımızda, her
seminerimizde ve katıldığımız her konferansta sektör çalışanlarının
Beyaz Şapka’nın tekrar çıkmasını istediklerini bildirmesi nedenleriyle
Beyaz Şapka’ya Mayıs 2012 sayısı ile tekrar hayat verdik. İlk sayımızın
dağıtımının ardından yine onlarca teşekkür mesajı ve telefonu aldık.
İlginize tekrar tekrar teşekkür ederiz.
Yenilenen Beyaz Şapka’daki küçük değişiklikleri tekrar sizlere hatırlatmak
istiyoruz. Beyaz Şapka hazırlayanları ve okuyucuları yormamak için artık
kırk sayfa çıkmayacak ve sayfaları sektörün tamamına açık olmayacak.
Öngördüğümüz sayfa sayısı 20–24 arası. Bu sayfalar Nebula Bilişimin
kendisine, Beyaz Şapka’ya destek veren iş ortaklarına ve Nebula Bilişim
müşterilerine açık olacak. Yayınlamak istediğiniz makaleleriniz için lütfen
bizimle temasa geçin. Ayrıca sektörde önemli gördüğümüz konuları
uzmanların kaleminden aktarmaya da devam edeceğiz.
Beyaz Şapka artık sadece Nebula Bilişim CRM sistemine kayıt edilmiş
ve Beyaz Şapka abonesi olarak işaretlenmiş kişilere otomatik olarak
gönderilecek. Nebula ile bir ilişkisi olmayanlar için Beyaz Şapka’nın
PDF sürümünü web sitemizden ve mobil sistemlerden dağıtmak üzere
çalışmalarımızı sürdürüyoruz. Çalışmalarımız tamamlandığında Nebula
Bilişim’in kurumsal web sitesinden duyurusunu yapacağız.
Beyaz Şapka’nın kendine ait bir web sitesi de bulunmayacak. Nebula
Bilişim kurumsal web sitesinin içinde bir bölüm olarak yayın yapılacak.
Beyaz Şapka’nın PDF sürümü ve çeşitli video sunumları bu sayfalardan
izlenebilecek. Mevcut videoları hemen şimdi izleyebilirsiniz:
http://www.nebulabilisim.com.tr/beyazsapka
www.nebulabilisim.com.tr
Beyaz Şapka Nebula Bilişim tarafından
üç ayda bir yayınlanır ve Nebula Bilişim
müşterilerine ücretsiz dağıtılan
bir broşürdür. Beyaz Şapka Nebula
Bilişim’in tescilli markasıdır ve
her hakkı saklıdır.
Tekrar yayına başlamamımızın ardından aynı heyecanı abonelerimiz ve
yazarlarımızda görmek bizlere mutluluk verdi. Umarız ki Beyaz Şapka
yeni dönemde beklentilerinize cevap verir. Lütfen Beyaz Şapka’ya katkıda
bulunmak ve fikirlerinizi iletmek için bize yazın.
Güvenli Günler!
Beyaz Şapka Ekibi
Ağustos 2012 beyazşapka 3
Serkan AKCAN
[email protected]
Bilgi güvenliği sektöründe
Nebula farkı
Nebula markası bilgi güvenliği sektöründe en iyi bilinen ve güvenilen
markaların başında geliyor. Bizi bu noktaya getiren gizli olmayan
formülümüzü merak mı ediyorsunuz?
2005 yılının Ocak ayında kurulan Nebula Bilişim şüphesiz bilgi
güvenliği sektörünün en önemli oyuncularından biri. Hatta birçok
anlamda lokomotifi. Yedi yılı aşkındır vermiş olduğumuz destek
sözleşmesi hizmetlerden mutlu olmayan bir müşteri ile karşılaşmadım.
Hatta Nebula ile hiç çalışmamış kişilerin
bile sektörden öğrendikleri kadarıyla
Nebula’ya güven duyduğunu defalarca
gözlemledim. Bir şirketin sahip olmak
isteyeceği itibarın en güçlüsünü her gün
Nebula’da defalarca yaşıyoruz. Bu yıl
McAfee Solution Partner of the Year –
Emerging Market ödülünü 2010 yılından
sonra ikinci kez alarak itibarımızı daha da
güçlendirdik. Bu ödül Emerging Market
adı verilen ve gelişen pazarlarda yer
alan 90 ülkeyi barındıran bir coğrafyada
sadece tek bir şirkete veriliyor. Diğer
yandan destek sözleşmeli müşterilerimiz
çerçevesinde
yaptığımız
müşteri
memnuniyeti anketimizde aldığımız
sonuç %100 memnuniyet. Tüm bunlar
için Nebula ailesine ve müşterilerimize
teşekkür ederim.
Bu başarının ve yüksek müşteri
memnuniyetinin kaynağı süper zeki
olmamız veya üstün yeteneklere sahip
olmamız değil. Başarının kaynağı kurmuş olduğumuz sistem. Bu
sistemi 4 adımda kısaca anlatmaya çalışacağım.
1. Bilgi Güvenliği Sorumluluğu
Bilgi güvenliği diğer pazarlara benzemez. Bilgi güvenliği ticareti
sadece bir grup malı satmak değildir. Bilgi güvenliği alanında
çalışanlar kendi şirketlerinin, müşterilerinin, çalışanlarının, çevrenin,
stok ambarının, bilgi işlem odasının, cep telefonlarının ve saymakla
bitmeyecek kadar çok alanın güvenliğini düşünmek zorundalar.
Bu sorumluluk bilgi güvenliği sektörünü klasik bir mal ticaretinden
çıkartıyor.
Çalıştığımız bu özel sektör bize bazı sorumluluklar da yüklüyor.
4 beyazşapka Ağustos 2012
Müşterimiz olsun veya olmasın bizi arayan, eposta gönderen, ihtiyacı
olan veya olmayan herkese bilgi güvenliği konusunda yardımcı
olmaya çalışıyoruz. Şu an okumakta olduğunuz Beyaz Şapka projesi,
web sitemizde bulunan hack videoları ve sokak röportajları bütün bu
iletişim sürecinin bir parçası. Ulaşabildiğimiz herkese bilgi güvenliği
konusunda verebildiğimiz kadar çok bilgi vermeye çalışıyoruz. Tüm
bu emek ve masrafın tek amacı bilgi güvenliği bilincini arttırmak. Bu
çalışmalar Nebula olarak duyduğumuz bilgi güvenliği sorumluluğunun
meyveleridir.
2. Kurumsallaşma
Kurumsallaşmamış bir şirketin başarıya ulaşamayacağını biliyoruz.
Şirketimizi kurumsallaştırabilmek adına birçok faaliyet yürütüyoruz.
ISO 9001 Kalite Yönetim Sistemi ve ISO 27001 Bilgi Güvenliği Yönetim
Sistemi belgeleri kurumsallaşma adına attığımız önemli adımlar. Bu
belgeler her personelimize kurumsal kültürü aşılıyor ve oturmuş
kurallar çerçevesinde hizmet sürekliliği yaratmamıza olanak sağlıyor.
ISO 9001 Kalite Yönetim Sistemi gereği yarattığımız kalite el kitabının
beş maddesi şöyle:
• Her şeyden önce Bilgi Güvenliği
• Doğru, gelişmiş ve güvenilir teknolojileri müşterilerimiz adına
sürekli araştırmak ve uygulamak
• Koşulsuz müşteri memnuniyeti
• Müşterilerimize kolay erişebilecekleri hizmetleri geliştirmek
• Müşterilerimizin en hızlı çalışan iş ortağı olmak
Bilgi güvenliğini kendimiz veya müşterilerimiz için doğru biçimde ve
zamanında sağlayamazsak verdiğimiz hizmeti istediğimiz kalitede
sunamamış olarak kabul ediyoruz. Bu felsefeye paralel olarak da
ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesini şirketimize
kazandırdık. Kendi iş süreçlerimiz ISO 27001 denetimi altında.
Standartların yanısıra kullandığımız Nebula Yardım Masası ve
nebulaCRM yazılımları tüm iş süreçlerimizi elektronik ortamda
tutarak bilgi güvenliği hizmetlerimizi kayıt altında tutuyoruz.
Kurumsal bir süreci doğru biçimde yürütebilmek için yaptığı işin tüm
detaylarını çok iyi bilen, sorumluluk sahibi ve işini severek yapan bir
ekibe ihtiyaç var. Bütün müşterilerimiz onaylayacaktır ki kurduğumuz
ekip yüksek sorumluluk duygusuna sahip ve bilgi güvenliği konusuna
çok iyi derecede hakim. Yıllardır aynı ürünlere destek veriyor
olmak şirketimize 100’den fazla ürün sertifikası kazandırdı. Buna
paralel olarak Certified Ethical Hacker ve ISO 27001 Lead Auditor
gibi sertifikalara sahip olan Nebula ekibi bilgi güvenliği konusuna
teknik olarak son derece hakim olduğu gibi yönetimsel konularda da
müşterilerimize kılavuz olabilecek düzeyde birikime sahip.
3. Ürün Portföyü
Teknik hizmet başarımızın kaynağı iyi bir ürün portföyü ile çalışmak.
Satışını yapıp desteğini vereceğimiz ürünleri çok detaylı testler
yaparak belirliyoruz. Yurtdışında yapılmış testleri göz önünde
bulundurarak ancak onları baz almadan, Türkiye şartlarında ürünleri
testlere tabi tutuyoruz. Ürünlerin performansı, dayanıklılığı, Türkiye
desteği ve bağımsız test raporları gibi birçok kriteri göz önünde
bulundurarak ürünü seçiyoruz. Bazı alanlarda mümkün olmasa da
genel olarak her alanda tek bir ürün seçiyoruz. Bu ürünler üzerinde
yaptığımız teknik çalışmaların ardından öncelikle ürünün kullanıcısı
oluyoruz. Bugün itibarı ile şirketimizde NIPS, HIPS, Vulnerability
Manager, Firewall (birkaç çeşit), Database Security, Integrity
Control, Web Application Security, Certificate Based Authentication
(CBA), SSLVPN, SIEM gibi onlarca ürün aktif olarak çalışıyor. Yine
bugün itibarı ile birkaç ürünü satışa çıkarmadan önceki testlerimizi
yapmak amacıyla şirketimizde çalışır halde tutuyoruz. Ürünleri önce
ve sürekli olarak kendimiz de kullandığımız için teknik ekibimizin ürün
üzerindeki bilgi ve tecrübesi kıyaslanmayacak kadar yüksek oluyor.
kaynaklı ticari riski göze alarak destek vermediğimiz ürünlerin
satışını da yapmıyoruz. Bu taleple gelen müşterilerimizi satın almak
istedikleri ürünlerin yetkili satıcılarına yönlendiriyoruz.
4. Gelişmiş Sürekli Destek
Biz sadece sorun çıktığında çözmek üzerine kurulan bir destek
hizmeti vermek istemiyoruz. Destek sürecimizin tamamı önleyici
hizmetleri kapsıyor.
Önleyici olabilmek için periyodik kontrol çalışmaları yapmak gerekir.
Destek ekibimiz bakım anlaşması sahibi müşterimizde bulunan bilgi
güvenliği teknolojilerini müşterinin ihtiyaç duyduğu periyotlarda
gözden geçirme çalışmasına tabi tutuyor. Bu çalışmalarda ürünlerin
konfigürasyonları ve logları kontrol ediliyor. Güvenlik sistemlerinin
ne kadar hafıza ve disk kapasitesi kullandığı, dat veya imza
güncellemelerini hangi periyotlarda yaptığı, ürün bir Database
kullanıyorsa ek bir bakıma ihtiyaç bulunup bulunmadığı, ürün
üzerine yüklenmesi gereken bir yama veya yükseltme paketinin
bulunup bulunmadığı bu çalışmalarda ortaya çıkıyor ve müşterimize
raporlanıyor.
Yama yükleme veya sürüm güncelleme işlemleri ise yine teknik
ekibimiz ve müşterimizin personelinin katıldığı bir teknik çalışma
grubu tarafından gerçekleştiriliyor. Bu sayede hızla gelişen bilgi
güvenliği ürünlerine eklenmiş yeni güvenlik özelliklerini her
müşterimize detaylıca anlatma ve sistemlerinde bu özellikleri
aktif etme şansı yaratıyoruz. Müşterilerimizin ürünlerinin tamamı
güvenilir son sürümde ve ihtiyaç duyabilecekleri tüm teknik özellikler
ayarlanmış şekilde çalışıyorlar. Büyük sistemlerde büyük sürüm
geçişlerinden önce ön eğitimler ve demo ürünü kurulumları ile
müşteri personelinin yeni sürüme geçişini kolaylaştıran çalışmalar
yürütüyoruz.
Yapılan önleyici çalışmalar sayesinde ürün ve teknolojiler en iyi
konfigürasyon ve en iyi performans ile hizmet ediyor. Ayrıca olası
arızaları önceden görüp müdahale ederek iş kesintisine sebep
olmadan bakımların yapılması sağlanıyor. Bu sebeplerden dolayı
müşterilerimizin bize bildirdiği arıza çağrı sayıları oldukça azdır.
Birçok problem ortaya çıkmadan önce farkedilip önlendiği için
bize bildirilen problemler genelde günlük işler veya disk arızası
gibi beklenmeyen donanım problemleri oluyor. Bu kadar iyi
tasarlanmış bir destek hizmetine sahip müşterilerimiz de ISO 9001
gereği yaptığımız müşteri memnuniyeti anketimizde %100 müşteri
memnuniyeti sonucu üreterek bizleri gururlandırıyor.
Son Söz
Bilgi güvenliğinin özel bir alan olduğunu anlatmaya çalışmıştım.
Bu özel olanda gerçekten özel emekler harcamadan başarılı olmak
mümkün değil. Müşterimiz olun veya olmayın, bıkmak usanmak
bilmeden yaptığımız çalışmaların detaylarını öğrenmek için bizi
arayın ve aldığınız bilgi güvenliği hizmetlerinde benzerlerini talep
edin. «
Ürün ve teknolojilerin tüm detaylarına hakim olmayı istediğimizden
Ağustos 2012 beyazşapka 5
Erkan Şen
[email protected]
Kalite ve Ehliyet
Bilgi güvenliği dendiğinde akla ilk olarak donanım ve yazılımlar geliyor.
Ama işin doğası gereği ilk ve en önemli bileşenler olan; kalifiye insan gücü
ve hizmet kalitesi göz ardı ediliyor.
Son dönemde orta ve küçük ölçekli kurumların sistemlerine
sızarak verileri şifrelemek ve orijinal verileri güvenli silme
uygulamalarına tabii tutarak, şantaj yoluyla para sızdırmak
moda haline geldi. Aslında önemsiz gibi gözükse de bu günümüz
yaklaşımlarındaki eksiklikleri göstermesi adına oldukça önemli
bir konu.
kaynaklardan gelindiği ya da ne gibi işlemler yapılıp, sisteme
zarar verildiğiyle ilgili kayıtlar sunulamıyordu. Dolayısıyla da
adli makamlar yapılacak suç duyurusunda ellerindeki bir metin
dosyasından başka bir şeye sahip olamıyorlardı. (Aslında her
zaman alternatifler vardır. Ama olması gereken işi basitçe
çözebilmek.)
Hukuki açıdan bir çok suç öğesini içinde barındıran
eylemler
Bu işin birazda görünen tarafıydı. Çünkü sızma işlemini
gerçekleştiren kişi eposta adresini sisteme bırakmıştı ve kendisi
ile iletişim kurulabiliyordu. Buradan izlenebilir, yakalanabilir ve
belki de zarar verdiği tüm sistemler geri çevirilebilirdi.
Sızma işlemini yapan kötü niyetli kişiler veriyi geri getirme
işlemi için açıkça şantaj yöntemleri kullanıyor ve kurumlardan
para sızdırmaya çalışıyor. Bu artık o kadar aşikârı bir şekilde
yapılıyor ki kötü niyetli kişi daha önce sistemlerine sızdığı ve
aynı şantaj yöntemleriyle para sızdırdığı kurumları referans
olarak gösterebiliyor. Yine ilginçtir ki bu kurumlar da bir şekilde
referans olarak yaşadıkları olayı doğruluyor ve kötü niyetli
kişinin söylemlerinde iyi niyetli ve dürüst olduğunu belirtmekte
beis görmüyorlar. Burada bilişim suçlarının yanında, şantaj,
kişisel verilerin korunması ve mahremiyeti gibi birçok konuda
kanun dışı hareket edilmiş oluyor.
Daha basit ve kolay bir çözüm
Çok basit zaaflar var
İşin ilginç yanı bunu yapan kişilerin bu işte ne kadar profesyonel
gözükseler de çok basit açıklardan yararlanarak bu işlemleri
gerçekleştiriyor olmaları. Yani aslında karşımızda kötü niyetli
olarak duran kişiler öyle filmlerde izlediğimiz gibi gecesini
gündüzüne katıp, ekranlarında akan 1 ve 0’ları gözleriyle çözüp
sistemlere sızan kişiler değiller.
Son dönemde bizzat incelediğim iki olayda kötü niyetli kişi yada
kişiler sadece güvenlik duvarındaki bir yanlış konfigürasyon
ve işletim sistemi üzerinde eksik olan bir güncellemeden
faydalanarak, kullanıcı adı ve parola ihtiyacı olmaksızın sisteme
sızmış, verileri şifrelemiş ve orijinallerini silmişti.
Suç duyurusu ve kolluk kuvvetlerinin müdahalesi
Yine bu son iki örnekte de güvenlik duvarı cihazları yanlış
ayarlanmış, iletişim trafiği kayıt altına alınmamış veya hiç bir
şekilde yedeklenmemişti. Bundan dolayı kolluk kuvvetleri ve
adli makamlara ne olayın oluştuğu zaman bilgisi ne de hangi
6 beyazşapka Ağustos 2012
Ancak yukarıda söylediğimiz yöntem günler, haftalar hatta
aylar alabilecek bir süreç ve bilişim verilerinden bahsediyorsak
saatler bile önem arz ediyor ve sisteminizin tamamen
durmasına yol açabiliyor. Bir hastaneyseniz hasta kayıtlarınızın
kaybolduğunu ya da bir bankaysanız sisteminizin saatler
boyunca çalışamadığını düşünebiliyor musunuz? Bu nedenle
daha basit ve etkili bir yol olan kötü sonuç ortaya çıkmadan
önlem almak en kolay yol olarak gözüküyor.
Bu sayıda bilgi güvenliği başlığı altında kalite ve ehliyet
konusuna değinmek istememim ana sebebi tam olarak bu
aslında.
ortaktır.
Donanım ve yazılımlar sisteminizi korumaz
Yaşanılan örneklere geri dönersek. Her iki örnekte de;
Bilgi teknolojileri yatırımlarınız daha en başından doğru bir
plan çerçevesinde oluşturulmadıysalar ya da doğru şekilde
ayarlanmadıysalar, yani işi ehil kişilerle yürütmediyseniz:
Donanım ve yazılımlar sisteminizi korumaz!
– Sunucular,
Düşünün! En lüksünden bir ev yaptırmış, içini en güzel
eşyalarla döşemiş ve yaptığınız onca masrafın yanında adı bile
edilmeyecek olan bir çatı koymamışsınız. Evinizi ilk yağmurda
su basması kaçınılmazdır.
– Güvenlik duvarı,
İşte burada Amerikayı yeniden keşfetmeye gerek yok. Zira
bu tarz işlerin bir standardı vardır. Piyasada işinin gerçekten
ehli olan bir sürü şirket, danışman, mühendis ve teknisyen
var. (Maalesef bunların yanında bu işi çarşıda, pazarda limon
satmak gibi algılayanlarda var.)
Unumuz, şekerimiz, yağımız var ama helva yapamıyoruz!
– İstemciler,
– İnternet bağlantısı,
– AntiVirus yazılımı,
– Yedekleme sistemi gibi bileşenler mevcuttu.
Ancak her iki sistemde de baz olarak gerekli donanım ve
yazılımlar olmasına rağmen düzgün ayarlanmadıkları,
düzenli olarak kontrol edilmedikleri ve yeterli testlerden
geçirilmedikleri için atıl yatırım gibi kalmışlardı. Aslında bilgi
gevenliği bileşenleri basit çözümlerdir. Örneğin aktif ve düzgün
ayarlanmış, rutin kontrolleri yapılmış bir yedekleme sistemi
bilgi güvenliğinin en önemli ve faydalı bileşenlerinden biridir.
Bir güvenlik duvarınızın olması eğer düzgün ayarlanmadıysa
güvende olduğunuz anlamına gelmez. Güvenlik duvarlarında
kavram basittir. Erişim yetkilerini tanımlarsınız ve gereksiz ya
da riskli olan tüm iletişimi kesersiniz. Ayrıca artık yeni güvenlik
duvarı teknolojileri bir çok ekstra teknolojiyi de barındırıyor
ve bu teknolojiler bir çok açığı kapatmakta faydalı olabiliyor.
Ancak yeniden altını çizmek gerekiyor; eğer güvenlik duvarınız
doğru şekilde ayarlanmadıysa size sağlayacağı hiçbir katma
değer yoktur. En üste yazılmış her yerden –> her yere –> her
servis için gibi bir kuralla güvenliğin sağlanılması düşünülemez.
Sisteminizde güncel olmayan bir antivirus yazılımı barındırmanız
da pek bir şey ifade etmez.
Kaliteli hizmet ve kalifiye insan gücü bir çok sorunu daha
oluşmadan ortadan kaldırır
Basit çözüm
Bir BT alt yapısında olması gerekenleri saymaya başladığınızda
listenin mutlaka bir sonu olmalıdır. Ayrıca liste kurumlara,
ihtiyaçlara göre şekillenen esnek bir yapıda kurulmalıdır.
Örneğin bir sunucu ve bir kaç istemciden oluşması beklenen bir
sistemle yüzlerce sunucu ve binlerce istemciden oluşacak bir
sistemin ihtiyaçları ayrı şeyler değildir.
Örnekler çoğaltılabilir. Ancak burada anlatmak istediğim hala
her alanda olduğu gibi kaliteli hizmet ve kalifiye insan gücünün
tüm sektörlerde en önemli bileşen olduğudur. Yaptığınız
yatırımların geri dönüşünü görmenin en kolay yöntemi işi
ehline teslim etmektir. Ehlinin elinden çıkmış, düzenli olarak
denetimlerden ve testlerden geçmiş iş başınızı ağrıtmayacaktır.
Güvenli günler. «
Büyük sistemler ile küçük sistemler birbirlerine çok fazla
benzerlik gösterir. Hatta küçük sistemler büyük sistemlerin
bir tür minyatürüdür de denilebilir. Bu açıdan bir çok ihtiyaç
Ağustos 2012 beyazşapka 7
Tarkan Çiçek
[email protected]
Veeam: Sanal Sistem
Yedekleme ve Replikasyon
Çözümü
Bilgi güvenliğinde vazgeçilmez aşamalardan biri de bilginin yedeklenmesi
ve güvenli bir uzaklıkta kopyasının saklanmasıdır.
Dünyanın bugün için en
hızlı gelişen sanallaştırılmış
ortam
veri
güvenliği
ve yönetimi yazılımı olan Veeam Software yedekleme ve
replikasyon işlevlerini bir arada sunuyor. DEDUPLICATION &
COMPRESSION (Tekilleştirme ve Sıkıştırma) özellikleri ile disk
alan kullanımını en azda, performansını en yüksekte tutmayı,
U–AIR (Evrensel Uygulama Öğesi Kurtarma) Exchange (tek bir
e–posta), SQL (tek bir tablo ya da girdi) ve ActiveDirectory’de
tek bir objeyi dahi geri dönebilmeyi, SUREBACKUP alınan
yedeklerin kurtarılabilirliğinin her yedekten sonra test
edilebilmesini, Instant VM Recovery (Anında Vm Kurtarma)
Bütün bir sanal makinayı dakikalar içinde mevcut yedekten
çalıştırmayı, On–Demand Sandbox (isteğe bağlı korumalı alan)
yedeklenmiş sanal makinayı mevcut ağ’da sorun yaratmadan
korumalı bir ağ içinde yedeklendiği disk üzerinden ayağa
kaldırmayı sağlar.
Tekilleştirme ve Sıkıştırma: Temelde yedeklenecek verinin
bloklara bölünerek sınıflandırılmasına ve bu sınıflandırma
doğrultusunda aynı olan blokların tekrar işlenmesi yerine
referans verilerek kullanılması ilkesidir.
Tekilleştirme işlemi iki şekilde yapılabilmektedir; 1.) Inline (işlem
sırasında): Yedeklenen verinin diske yazılmadan evvel bloklarına
ayrılıp benzer blokların yazılmaması şeklinde işlemektedir. Bu
8 beyazşapka Ağustos 2012
şekilde disk kullanımı çok daha az (tekilleştirilmiş alan kadar)
olur. Fakat yedekleme sunucusundaki bellek ve işlemci kullanımı
üst seviyelerde olmaktadır. Bu nedenle de inline işlem yapan
uygulamaların çalışacağı sunucuların çok çekirdekli ve yüksek
miktarda belleğe sahip olması gerekir. 2.) Post–Processing
(sonradan işleme): Yedek verisinin tekilleştirilmeden doğruca
diske yazılması ve yedekleme işlemi bittikten sonra işleme
tabi tutularak tekilleştirilmesidir. Bu işlem yedeklenen verinin
ham halinden daha çok disk alanı kullanımı gerektirdiğinden,
disk alanı planlamasının iyi yapılmış olması gerekir. Yedekleme
zaman aralığı diske yazma hızına doğrudan etki ettiğinden
hızlı diskler kullanılması gerekir. Yedekleme sırasında sunucu
belleğini ve işlemcisini fazlaca yormaz. Fakat şart olmamakla
beraber post–process’in hızlı sonuçlanabilmesi için çok
çekirdekli işlemci ve yüksek bellek kullanımı gerekir.
Veeam sıkıştırma ve inline tekilleştirme teknolojilerini
kullanması nedeniyle yedeklenene bilginin disk üzerinde daha
az yer tutmasını, yedekleme zaman aralığının daralmasını ve
daha ucuz disklerin yedekleme amacıyla kullanılabilmesini
sağlar. Veeam tekilleştirme ve sıkıştırma işlemleri sırasında
sanal disk üzerindeki kullanılmayan değeri sıfır olan bit’li alanları
ve Windows swap dosyalarını işlemez. Veeam’in tekilleştirme
özelliği üç farklı modda kullanılabilir. Bunlar kullanılacak
disk tipine ve yedekleme sunucusunun gücüne göre kullanıcı
tarafından seçilebilir.
1.) Lokal depolama hedefi; SAN veya DAS disk ile kullanılmadı
önerilir. Bu tip tekilleştirme 1024KB bloklar baz alınarak yapılır.
Büyük bloklar işlendiğinden yedekleme işlemi çok hızlı olmakla
beraber tekilleştirme oranı düşük olur ve diske yazılan veri
miktarı çok olur.
2.) LAN depolama hedefi; NAS veya iSCSI disk kullanımında
önerilir. Bu tip tekilleştirme 512KB bloklar baz alınarak yapılır.
Daha küçük bloklar işlendiğinden tekilleştirme oranı artarken
diske yazılan bilgi miktarı azalır.
3.) WAN depolama hedefi; Uzak ofis yedeklerinin wan
üzerinden alınmasının hedeflendiği durumlarda önerilir. Bu
tip tekilleştirme 256KB bloklar baz alınarak yapılır. En yüksek
tekilleştirme oranı ve en düşük bilgi yazma miktarı bu seçenekle
elde edilir.
Blok büyüklüğünün düşmesi işlemci kullanımını aynı oranda
arttırdığından bu seçenekleri tercih ederken yedekleme/proxy
sunucusunun işlemci ve bellek gücü de dikkate alınmalıdır.
SureBackup: Normal yedekleme sistemlerinde en problematik
ve sıkıntılı işlem olan yedeklerin geri dönülerek sağlamasının
yapılması işlemi Veeam yazılımının SureBackup özelliği ile çok
basit hale geliyor. Bu özelliği ile Veeam yedeklediği sistemleri
yedeklemenin ardından korumalı bir sanal ağ üzerinde ayağa
kaldırarak sanal makina, işletim sistemi ve uygulamanın
çalışmasını kontrol ederek raporlayabilmektedir. Yani
istenirse alınan yedeğin her gün test edilerek raporlanması
tamamen otomatik olarak Veeam SureBackup özelliği ile
gerçekleştirilebilir.
U–AIR (Evrensel Uygulama Öğesi Kurtarma): Granüler geri
dönüş olarak da bilinir. Veeam yazılımında Windows sunucular
üzerinde çalışan SQL, Exchange ve ActiveDirectory’ye ait
yedeklerden gerektiğinde komple dosyayı/sistemi dönmek
yerine tek bir öğenin (tek bir eposta, tek bir Sql kaydı, tek bir AD
objesi, vb) geri dönüşü gerçekleştirilebilir. Bunun yapılabiliyor
olması için ilgili VM üzerinde çalışan uygulama versiyonun
VSS desteğinin olması ve Vmware tools kurulu olması
gerekir. Bu şekilde Veeam Vm yedeğini alırken VSS yazıcıları
ile uygulamanın tutarlı bir yedeğini almakta ve gereğinde bu
tutarlı yedekten istenilen öğeyi dönebilmektedir.
Instant Restore: Yedeklenmiş olan sunucunun orijinal yerine
komple dönülmesi yerine yedeklenmiş olduğu alandan
çalıştırılması işlemidir. İşlem Veeam sunucunun kendisini
NFS disk olarak ESX/ESXi sunucuya tanımlaması ve almış
olduğu yedeği sanal disk olarak mount etmesi, ardından da
power–on yapması şeklinde gerçekleşir. Bu sırada depolama
ünitesi tamamen devre dışı olsa bile aldığınız yedeği dönmeniz
gerekmediğinden sorunsuzca sanal makinanızı (vm) ayağa
kaldırıp son yedeklediğiniz yerden işinize devam edebilirsiniz.
Sorun giderildikten sonra eğer lisans müsaade ediyorsa sanal
makina Storage–vmotion kullanılarak hiç kapatılmadan da
gerçek depolama ortamına taşınabilir.
Replikasyon gelecek sayıda...«
Ağustos 2012 beyazşapka 9
İrfan Kotman
[email protected]
Underground
Bu sayımızda Erkan Şen’in Kalite ve Ehliyet isimli yazısında bahsettiği gibi
son dönemlerde küçük ve orta ölçekli kurumların sistemlerini tehdit eden,
sistemlere sızılarak verilerin şifrelenmesi ve orijinal dosyaların güvenli
silinmesi ile ilgili küçük bir örnek gerçekleştireceğiz.
Önemli verileri şifreleme yolu ile firmalardan para sızdırmayı
amaçlayan kişiler kısaca aşağıdaki adımları takip ederek
amaçlarına ulaşmaktadır.
1. Sızma işlemi yapılacak sistem ile ilgili bilgi toplanması ve
sisteme giriş kapılarının belirlenmesi
sağlıyoruz.
Shell Reverse isteği sonrasında sisteme ulaşmak için çıkan
seçeneklerden enable RDP (Module > Windows > Manage >
Enable RDP) modülünü seçiyoruz.
2. Tespit edilen sistemler üzerinde açıklık ve sızma testlerinin
yapılması
3. Elde edilen açıklıklar üzerinden sisteme sızma işleminin
gerçekleştirilmesi
4. Sisteme başarı ile ulaştıktan sonra şifreleme programları
kullanılarak verilerin şifrelenmesi
5. Güvenli silme programları ile verilerin geri dönülemez
şekilde silinmesi
Enable RDP özelliğini kullanarak sunucu üzerinde test isimli ve
test şifresini sahip bir kullanıcı oluşturuyoruz .
6. Sistem üzerinde delil oluşturabilecek logların silinmesi
7. Sisteme kendileri için en güvenli şekilde para ulaşmasını
sağlayacak bilgilerin bırakılması.
Yazımız sırasında yukarıda bulunan 7 adım içerisinden 3,4 ve 5.
adımları anlatan küçük bir örnek gerçekleştireceğiniz.
Elde Edilen Açıklık Üzerinden Sisteme Uzak Erişim
Gerçekleştirilmesi
Sızma testimiz sırasında biraz önce bahsettiğimiz ilk iki adım
sırasında ( Bilgi edinme ve zafiyet taraması) testleri sırasında
Windows 2003 sunucu üzerinde elde ettiğimiz MS08–067–
Vulnerability in Server Service Could Allow Remote Code
Execution açığını kullanacağız. Sızma işlemini için en bilinen
exploit yazılımlarından biri ile gerçekleştireceğiz ve sistem
üzerinde gerekli hakları kendimize sağlayacağız.
İlk olarak MS08–067– Vulnerability in Server Service Could
Allow Remote Code Execution açığını program üzerinden
seçiyoruz ve yapabileceklerimiz inceliyoruz.
Elimizdeki sızma yöntemleri arasından Shell Reverse TCP
kullanılarak sisteme sızma testlerimizi gerçekleştirecek ortamı
10 beyazşapka Ağustos 2012
Artık sistem elimizde! Test kullanıcımız ile uzak erişim yaparak
admin hakları ile bağlanabiliyoruz.
Dosyaların Şifrelenmesi
Sisteme uzak erişim sağlandıktan sonraki sistem üzerindeki
dosyaların şifrelenmesi aşamasına geçiyoruz. Sistem üzerinde
belirlenen dosyaların şifrelenmesi için birden fazla yöntem
kullanılabilir. Şifreleme için Java, C ++, Visual Basic gibi
programlar üzerinde hazırlanmış küçük (5 ile 10 satır arası)
küçük kodlar kullanılabileceği gibi, ücretli yada ücretsiz
şifreleme yazılımları kullanılabilir. Biz şifreleme için, Erkan
Bey in yazısında belirttiği vakalardan birinde kullanılan ve
internetten ücretsiz indirebilen ve kurulum gerektirmeyen
Bu tip vakalarda güvenli silme işlemi sonrasında kötü
niyetli kişiler sırası ile sistem loglarının silinmesi, paranın
aktarılması ile ilgili notların sisteme bırakılması işlemleri
gerçekleştirilmektedir. Eğer bu şekilde bir vaka başınıza
geldi ise, elinizde şifrelenmiş dosyaları geri döndürecek bir
yedekleme sisteminiz yoksa ve adli makamlara yeterli delilleri
sunamıyor iseniz, olayın çözümü siz ile şantajı gerçekleştiren
kişi arasındaki iletişime kalmaktadır.
Bu tip bir atağın gerçekleşmesinin önüne geçilmesi
yaklaşık 300 KB lık küçük bir program kullanacağız. Şifreleme
için kullanacağımız program AES 128 bit key tipinde şifreleme
gerçekleştirmektedir. Bu kadar basit bir programla yapılan
şifreleme hakkında küçük bir bilgi verirsek; programı indirdiğimiz
site içerisinde program ile yapılan şifreleme sırasında verilen
şifrenin (passphrase) unutulması durumda ne yapılmalı
sorusuna şu cevap verilmiştir. Sadece 5 hanenin altında olması
durumunda özel programlar sürekli kombinasyonlar deneyerek
(brute force) şifrelerin bulunma ihtimalinin küçükte olsa olduğu
fakat 5 hanenin üzerinde ise kesinlikle şifrenin kırılamayacağı
bilgisi verilmektedir.
Programın kullanımı oldukça basittir. Şifreleme için
programımızı çalıştırarak ilgili dosyayı seçip, encypt dememiz
yeterli olmaktadır.
• Sisteminizde bulunan sunucular üzerindeki yamaların
düzenli olarak geçilmiş olması ve sunucular üzerinde antivirüs
ve atak engelleyici programlarını bulunması ve düzgün olarak
ayarlanması,
• Bir güvenlik duvarınızın bulunması ve üzerinde bulunan
kuralların düzgün olarak ayarlanması. Güvenlik duvarı üzerinde
gereksiz port ve kuralların bulunmaması ve özellikle her yerden
–> her yere –> her servis için gibi güvenlik duvarını tamamen
devre dışı bırakan kuralların kesinlikle yazılmaması,
• Sistem üzerinde aktif bir yedekleme sisteminin bulunması,
yedeklerin düzenli periyotlar ile alınması ve geri dönüş
testlerinin düzenli gerçekleştirilmesi,
Şifrelenmiş Dosyaların Güvenli Silinmesi
• Sistem üzerinde bulunan cihazlarının loğlarının düzgün bir
şekilde alınması ve ortak bir noktada toplanmasının sağlanması
olarak özetlenebilir.
Dosyaların şifrelenmiş kopyalarını oluşturduktan sonra,
asıllarının geri dönülmesinin engellenmesi için örnek bir güvenli
silme uygulaması ile orijinal dosyalarımızı yine ücretsiz bir
güvenli silme aracı ile siliyoruz.
Sizin de gördüğünüz gibi sistemlere sızılması ve para
sızdırmak üzere kötü niyetli kişilerin sistemlerinizde zararlı
kodlar çalıştırılması sanıldığı kadar zor değil. Unutmayın; Basit
önlemler sonradan söylenecek keşkelerin önüne geçer. «
Ağustos 2012 beyazşapka 11
Birant Akarslan
[email protected]
SIEM (Güvenlik, olay ve
log yönetimi) çözümünüzü
değiştirme zamanı geldi mi?
Zamanı geldi mi? Teslim bayrağını çektiniz mi? Mevcut SIEM çözümünüz
yaptığınız yüksek miktardaki yatırıma rağmen ihtiyaçlarınızı karşılamakta
yetersiz kalıyor mu?
Eğer mevcut kullandığınız ürün ya da aldığınız hizmetin
ölçeklendirirken ve işe yarar sonuçlar elde etmek isterken
işinizi
yalnız
zorluklarla karşılaştınız. SIEM/Log Yönetimi çözümlerinin
değilsiniz. Büyük ihtimalle SIEM çözümünüzü yönetirken,
yeni uygulama modelleri (Web 2.0 vb.) ve bulut altyapısı ile
görüp
görmediğini
12 beyazşapka Ağustos 2012
sorguluyorsanız
birlikte gerçekleşen ani evrimini düşündüğünüzde merak
tasarlanan ilişkisel veritabanları ve SIEM/Log Yönetimi
edilen konulardan biri de ihtiyaçları karşılayacak daha iyi,
çözümlerinin benzer kusurları, günümüz ortamlarının
daha kolay yönetilir ve daha ucuz bir çözüm olup olmadığı.
ihtiyaçlarını karşılayamamaktadırlar. Özellikle daha etkin
Üretim ortamlarında yaklaşık on yıldan fazla bir süredir
faaliyet
gösteren
SIEM/Log
Yönetimi
çözümlerinin
ve kullanılabilir olmak amacıyla sürat, genişleyebilme ve
ölçeklendirilebilme özelliklerinden yoksundurlar.
artık olgunlaştığı düşünülebilir. Vakaların toplanması,
Çoğu platform, artan sayıdaki kaynaktan veri toplamaya
ilişkilendirilmesi,
denetim
devam etmekle birlikte iki alanda sınıfta kalmaktadırlar.
kurumlarının uyumluluk kurallarına uygunluğun sağlanması
alarmların
üretilmesi
ve
Bunlardan birincisi, ağ ve sunucuların içinde bulunduğu
SIEM/Log Yönetimi çözümlerinden beklenen ana unsurlar
hayal
olup çoğu çözüm bu ihtiyaçları karşılamaktadır. Günümüzde
derinlemesine gözlemlenmesini sağlayamamalarıdır. İkincisi
ise görünüm tamamen değişmekte, kurumlar, gelişmiş ve
ise çoğu platformun fazladan normalizasyon yapmasıdır.
hedefli ataklar ile karşı karşıya kalmakta, mobil cihazlar,
Normalizasyon, ölçeklendirmenin önündeki zorunlu bir
bulut ortamları, sanallaştırma gibi farklı eğilimlere uyum
engel olduğundan, toplanan veriden faydalı sonuçların
sağlamaya çalışmakta ve ticari önceliklerini yeni müşteri
elde edilmesi bu yüzden sağlanamamaktadır. Bu, zayıf
elde etme, operasyonel verimlilik ve maliyet tasarrufu
ilişkilendirme ve anlamlandırma ile biraraya geldiğinde,
etrafında modellemektedirler.
analiz ve raporlama için kısıtlı değere sahip veriler elde
Yapılan araştırmalar, karşılaşılan en önemli sorunların
aşağıdaki gibi olduğunu ortaya koymuştur:
dünyasından
çıkamayıp
uygulama
varlıklarının
edilmektedir. Örneğin, “business analytics” konusunda
ayrıntılı bilgiye ulaşmak istiyorsanız, bu ticari sistemler
için, syslog raporlarında bahsi geçmeyen, uygulama, dosya
sistemi ve veritabanı bilgilerini sağlayan yeni ajanlara
• Büyük miktarlardaki güvenlik verileri
ihtiyaç duyarsınız. Bahsi geçen verinin formatı, standart
• İçerik ve kullanıcı farkındalığı
dışı olup bir uygulamaya ait olayın ya da SQL sorgusunun
önemli kısımları, uygulamanın ne yaptığı ve bunu neden
• Dinamik bağlam (context)
yaptığı, uygulama bağlamında tercüme edilebilmelidir.
Tipik bir veri normalizasyonu sonucunda bu olaylar sıradan
• Çözüm özelleştirme
gözükse bile eğer ki orijinal işlemin içine bakıp mevcut
• Ticari değer
sorguyu analiz edebilen bir SIEM/Log Yönetimi çözümüne
SIEM/Log Yönetimi çözümlerinin, özellikle tehditlerin
sahipseniz sorgunun içindeki kötü niyetli bir SQL injection
ortadan
zamanda
atağının farkına varabilirsiniz. Büyük miktardaki veri hem
uygulanabilir hale gelmesi ve ticari önceliklere uyum
daha fazla kaynaktan veri toplama seçeneğini hem de
sağlanabilmesi için, daha etkin güvenlik ve risk yönetim
toplanan verinin ticari süreç bağlamında daha verimli
stratejilerinin
biçimde işlenmesi gerekliliğini beraberinde getirmektedir.
kaldırılması,
yeni
eğilimlerin
oluşturulmalarına
kısa
yardımcı
olabilmeleri
gerekmektedir. Bunun sağlanması, ancak yukarıda bahsi
geçen başlıkların çözülmesiyle mümkündür.
1. Büyük miktarlardaki güvenlik verileri
2. İçerik ve kullanıcı farkındalığı
SIEM/Log Yönetimi çözümleri piyasaya ilk çıktıklarında
güvenli ağ geçitleri (firewall) ve atak tespit sistemleri (IDS)
Büyük miktarlardaki güvenlik verileri, kullanabildiğiniz
üzerinde oluşan olayları ilişkilendiren ve belki sonrasında
sürece eşsiz derecede değerli olabilirler. Eski tip SIEM/
bazı zaafiyet değerlendirme verilerini de bu olaylara
Log Yönetimi çözümleri, ne bu kadar geniş sayıdaki uç
ekleyen basit araçlardı. Bu kaynaklar her ne kadar büyük
nokta, ağ, ve veri kaynağı ile entegre olma ne de bu
önem arzetse de uygulama, veri içeriği ve kimlik bilgileriyle
kadar yüksek orandaki olayı işleme ve bu kadar uzun süre
zenginleştirilmeleri gerekmektedir. Bu bilgiler olmadan
saklama amacıyla tasarlanmışlardır. Sonuç olarak, temel
olayları anlamak ve gerekli aksiyonu almak için ihtiyaç
manada ağ merkezli olaylar gözönünde bulundurularak
duyulan delillere ulaşmak mümkün değildir. Özellikle kimin,
Ağustos 2012 beyazşapka 13
Birant Akarslan
[email protected]
neyi, ne zaman, nasıl ve nerede yaptığını tespit edebilmek
Loglar hala günümüzdeki SIEM çözümlerinin temelini
ve bu eylemin ne süreyle, başka kimler ve neler tarafından
oluştursa
gerçekleştirildiğini bilebilmek için SIEM/Log Yönetimi
ehemmiyetle ihtiyaç duyulmaktadır. Dinamik bağlam
çözümleri, mevcut altyapıya ek olarak dizüstü bilgisayarlar,
bilgisine örnek olarak McAfee’nin Küresel İstihbarat sistemi
akıllı telefonlar, vb. kaynaklardan bilgi alabilmeli, LDAP
olan McAfee Global Threat Intelligence™ (McAfee GTI™)
ürünleri, Active Directory, kimlik yönetim sistemleri
ve McAfee Risk Advisor ürünleri verilebilir. McAfee GTI,
ile bütünleşik çalışabilmeli ve durumsal farkındalık için
atak önleme sistemleri, firewall’lar, web gateway’ler, email
veri kaybı önleme sistemleri (DLP), veritabanı aktivite
gateway’ler, antivirüs sistemleri, host IPS’ler ve üçüncü
gözlemleme (Database Activity Monitoring) çözümlerine
parti ürünlerden aldığı gerçek zamanlı bilgileri konsolide
entegre edilebilmelidirler.
edip tekrar kurumlarla paylaşmaktadır. Risk Advisor
3. Dinamik Bağlam
da
günümüzde
dinamik
bağlam
bilgisine
çözümü ise kuruma özel gerçekleştirilen ataklar, zaaflar
SIEM/Log Yönetimi çözümlerinin ilk uygulama alanları
ve uygulanan karşı önlemlere göre kurumun risk seviyesini
adından da anlaşılabileceği üzere logların toplanması,
ölçmektedir. Bu tip teknolojiler ile SIEM çözümlerinin
depolanması ve birkaç alarm eşliğinde sorgulanmasıydı.
entegrasyonu, en üst seviye önceliklerin belirlenmesi,
14 beyazşapka Ağustos 2012
önlemlerin bu sırada alınması ve operasyonel maliyetlerin
düşürülmesi açısından büyük önem arzetmektedir. Böylece
hem içerideki hem dışarıdaki tehditlerin davranış biçimi
anlaşılacak, olayların tanımlanma ve cevap verilme süreleri
en aza indirgenecektir.
4. Çözüm Özelleştirme
İlk nesil SIEM/Log Yönetimi çözümleri sabit mimarilere sahip
olup temel bir kaç özellikten yoksunlardı. Örneğin kurumda
halihazırda mevcut olan verinin desteklenmeyen cihazlarla
entegrasyonu mümkün değildi. Diğer yandan yeni nesil
Harekete Geçin
-• Mevcut SIEM/Log Yönetimi çözümünüz veya manuel
bilgi yönetimi süreçleriniz, güvenlik ekibinizin verilen işleri
tesliminde ne kadar gecikmeye yol açıyor?
-• Kurumunuzda BT Güvenliğinin görünürlüğü ile ilgili
sorumlu kişiler kimler? Bu kişiler ihtiyaçları olduğu esnada
gerekli veriye hemen ulaşabiliyorlar mı?
-• Kurumunuz dahili ve harici tehditleri tanımlamak için
gerekli görünürlüğe sahip mi?
SIEM çözümleri, bu ihtiyacı karşılayabilmek için aynı oyun
-• Bir tehdide karşı önlem alma ve cevap verme sürenizi
hamuru niteliğinde olup istenen ortama uyum sağlamak
geciktiren üç ana unsur nedir?
amacıyla çeşitli şekillerde kullanılabilmektedir. Bu yüzden
yeni nesil SIEM çözümleri, kurumlar için stratejik önem
-• Güvenlik
arzetmektedir. Ortamda bulunabilecek SCADA sistemleri,
analizinin önündeki temel engeller nelerdir?
endüstriyel kontrol sistemleri (industrial control systems –
ICS) ve ATM, POS, kiosk, vb. sabit işleve sahip cihazlarla özel
entegrasyonların sağlanması, bu ortamların kurumsal BT
altyapısıyla bütünleşik halde gözlemlenebilmesine, gerekli
ilişkilendirmelerin yapılıp anormalliklerin kolayca tespitine
olanak sağlamaktadır. Yenil nesil SIEM çözümleriyle sistem
yöneticileri, özelleştirilmiş vaka toplanmasının yanısıra
kolayca ihtiyaçlarına özel arayüzler, raporlar, ilişkilendirme
kuralları ve alarmlar tanımlayabilirler.
verilerinizin
toplanması,
depolanması
ve
Bu sorulara cevap bulabilmek için McAfee’nin SIEM
çözümlerini muhakkak incelemenizi tavsiye ediyoruz.
McAfee’nin SIEM çözümleri, genel McAfee güvenlik
çerçevesinin bir parçası olup çoğul ürün, hizmet ve üçüncü
parti ürünle entegre biçimde çalışmakta; merkezi, verimli
ve etkin risk kontrolü sağlamaktadır. McAfee’nin bu
yaklaşımı sayesinde kurumlar tüm boyut ve segmentlerde
güvenlik durumlarını iyileştirmekte, maliyet verimliliği
sağlamakta ve güvenlik stratejilerini ticari inisiyatifleriyle
5. Ticari Değer
eşleştirebilmektedirler.
SIEM çözümleri, bir çok stratejik güvenlik inisiyatifinin
McAfee’nin SIEM çözümleriyle ilgili daha fazla bilgi için
herhangi bir bileşeni olmasına rağmen yine de büyük
http://www.mcafee.com/SIEM adresini ziyaret edebilir,
önem arzetmektedir. Oldukça fazla sayıdaki güvenlik ve
bizimle bağlantıya geçebilirsiniz. «
uyumluluk çözümünün sisteme getirdiği maliyet ve entegre
olmayan mimari, karmaşıklığı daha da arttırmaktadır. İşte
bu yüzden de kurumlardaki BT güvenliği ile ilgili kararlar,
stratejik ve ticari önceliklerle uyumlu olmak yerine daha
taktiksel bir hal almıştır. Oysa ki BT güvenliği ile ilgili
çağrı sayısının azaltılması, tüm genel müdürlük ve şube
Saygılarımla,
Birant Akarslan
[email protected]
çalışanlarının takibinin daha az çalışan ile sağlanması,
buradaki atıl gücün daha stratejik noktalarda yeniden
istihdam edilmesi ve bütünleşik güvenlik yaklaşımının veri
merkezi konsolidasyonu, yeni müşterilerin kazanılması,
mobil çözüm desteği gibi alanları desteklemesi ancak yeni
[email protected]
Twitter: www.twitter.com/CokNetGuvenlik
Facebook: www.facebook.com/CokNetGuvenlik
nesil SIEM çözümleriyle mümkündür.
Ağustos 2012 beyazşapka 15
Erkan Şen
[email protected]
Avecto Yetki/Ayrıcalık
Yönetim Sistemi
Gereksiz yönetici hakları ve mutlaka yönetici hakkıyla çalışması gereken
uygulamalar BT çalışanlarının en büyük problemidir. Bunlar aynı zamanda bilgi güvenliğinde büyük boşluklar oluşturmasının yanında standart
denetimlerinde de uyumsuzluk olarak tespit edilmektedir.
Windows® işletim sistemlerinde bazı uygulamaların
yönetici hakkı olmadan düzgün çalışmadığı durumları
mutlaka yaşamışsınızdır. Yöneticilerin ve yazılımcıların da
kısıtlamalardan hoşlanmadıkları bir gerçek. Ancak birkaç
basit uygulama ya da istek için tüm sistemin tam yönetici
ayrıcalıklarına sahip kullanıcılarla kullanılması da çok büyük bir
güvenlik riski oluşturuyor.
Sorun: Ya hepsi ya hiç biri
Büyük yapılarda kullanıcıların kendi kullandıkları istemci
sistemleri üzerindeki haklarının yönetimi çok zahmetli bir iş
olabilir. Her kullanıcıya ayrı haklar tanımlamak gerekebilir.
Yönetici hakkı olmayan kullanıcılar kendi sistemlerine basit bir
sıkıştırma yazılımı ya da bir yazıcı sürücüsü yüklemek için dahi
yönetici haklarına gereksinim duyabilir.
bırakılırdı ya da hiç bir yetki verilmez ve en ufak bir iş için dahi
BT veya yardım masası çalışanların müdahalesi beklenirdi.
Avecto Privilege Guard
İşte tam bu noktada BT yöneticileri ve yardım masası
çalışanlarının yardımına yeni bir teknoloji yetişiyor: Avecto
Priviledge Guard.
Standart kullanıcılara detaylı hak tanımları
Avecto Privilege Guard ile standart kullanıcı haklarıyla çalışırken;
belirlediğiniz işletim sistemi ayarlarının değiştirilmesini,
donanım ekleme çıkartma işlemlerinin yapılmasını, sizin
belirlediğiniz yerlerden ya da belirlediğiniz uygulama
listelerinden basit yazılımların kurulmasını sağlayabilirsiniz.
Hem de yönetici hakkı tanımlarına gerek duymadan.
Eskiden böyle durumlarda iki yöntem uygulanırdı:
– Kullanıcılara yerel yönetici hakkı tanımla ki böylece yararlı ya
da zararlı her şeyi yapabilsinler.
– Kullanıcıları standart kullanıcılar olarak tanımla ki böylece en
ufak, basit şey için dahi yardım masasını arasınlar.
Yani kullanıcılara ya tüm yetkiler verilir ve sistemler risk altında
Yönetici ayrıcalıklarının kaldırılması
Avecto Privilege Guard ile standart kullanıcılara detaylı ayrıcalık
tanımları yapabileceğiniz gibi yöneticilerin elinde bulunan bazı
hakları da kaldırabilirsiniz. Örneğin yönetici ayrıcalıklarına
sahip bir kullanıcının, sistemde tam yetkili olmasına rağmen,
donanımda değişiklikler yapmasını engelleyebilir ya da sistem
günlükleri üzerinde işlem yapmasını engelleyebilirsiniz.
16 beyazşapka Ağustos 2012
Merkezi yönetim ve raporlama imkanı
Ayrıca Avecto Privilege Guard ile bu tanımların tamamını merkezi
olarak yönetebilir, kayıt altına alabilir ve raporlayabilirsiniz.
Avecto Priviledge Guard, McAfee ePO ile entegre bir şekilde
çalışabilmekte, ajan yazılımları ePO kullanılarak dağıtılabilmekte
ve ePO raporlama özelliklerinden faydalanabilmektedir.
Privilege Guard özellikleri
Avecto Privilege Guard,
• Merkezi hak/ayrıcalık yönetimi
• Politikaların dijital imzalı olarak dağıtılması
• Yetki arttırımı ya da azaltımını uygulama bazlı olarak tanımlayabilme
• Uygulama kontrolü teknolojisi sayesinde uygulama beyaz listeleri oluşturma
• Birçok uygulama alt yapısı desteği;
– Çalıştırılabilir dosyalar (.exe v.b.)
– Denetim Masası bileşenleri (Görüntü, Saat, Dil özellikleri v.b.)
– MMC ve alt bileşenleri
– Windows yükleme dosyaları (.msi v.b.)
– Güvenli dosya sahibi tanımlarına göre
– Ürün ve dosya özelliklerine göre
– Çalıştıran uygulamaya göre
• Uygulamalarda detaylı tanımlar
• Kullanıcı, gurup, bilgisayar ve zamana göre kurallar tanımlayabilme imkanı
• Opsiyonel işletim sistemi entegrasyonu ile uygulamaların istendiğinde yetki arttırımı yapabilmesi
• Kullanıcıya gösterilecek mesajların dillerini özelleştirilme
• Detaylı yetki tanımları yapabilme imkanı
• Uygulamaları izleme ve raporlama imkanı gibi çok geniş özellikleri bünyesinde barındırır.
Geniş işletim sistemi desteği
Avecto Privilege Guard uygulaması sadece yeni işletim
sistemlerinde değil neredeyse tüm Windows® işletim
sistemlerinde çalışabilir. Desteklediği işletim sistemleri arasında
(32–bit ve 64–bit):
•
•
•
•
•
•
Windows XP
Windows Vista
Windows 7
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2 bulunur.
Windows Kullanıcı Erişim Kontrolünden (UAC) farkı
Windows’un kendi içinde bulunan kullanıcı erişim kontrolü (UAC)
uygulaması kurumsal işletmelerde; eski işletim sistemlerinde
bulunmaması, merkezi yönetim ve raporlama özelliğinin
olmayışı, son kullanıcı mesajlarının özelleştirilememesi, detaylı
yetki tanımı yapılamaması ve en önemlisi yetki arttırımlarında
mutlaka yönetici parolası gerektirmesiyle yeterli bir çözüm
olmaktan uzak kalmaktadır.
– Komut dosyaları
– Kayıt defteri ayarları
– PowerShell dosyaları
– ActiveX kontrolleri gibi kontroller
• Hazır Windows ve ActiveX uygulama şablonları
• İstemci koruması
• Esnek ve güvenli uygulama kuralları
– Dosya yoluna göre
– Komut satırı eşlemesi ile
Windows yetki yönetiminde en kolay, en hızlı ve en başarılı
çözüm
Yukarıda saydığımız birçok özelliği ile Avecto Privilege Guard
ürünü Windows işletim sistemlerinde detaylı kullanıcı hakları
tanımı yapmak , sistemlerdeki yönetici ayrıcalıkları kaldırmak,
sistemlerinin güvenliğini arttırmak ve standartlara uyumda
bir adım öne geçmek isteyen işletmeler için en iyi çözüm gibi
gözüküyor.
Ayrıntılı bilgiler için bizimle iletişime geçebilirsiniz. «
– Dosya bütünlük değeri ile (SHA–1)
– Güvenli dağıtıcı tanımları ile
Ağustos 2012 beyazşapka 17
Mehmet Gülyurt
[email protected]
Platform bağımsız veri
şifrelemeye yeni bir bakış
“Tokenization”
Bilgi güvenliği yolculuğunda farklı tipte verilerin korumasını sağlayıp
aynı zamanda uyumluluk kapsamınızı daraltarak maliyet ve yönetim
yükünüzü azaltmanız mümkün.
Kurumlar karmaşık bilgi tipleri ve yapıları önem kazandıkça
şifreleme ve bu bilgilerin güvenliğini arttıracak çözümler
arayışına girmektedir. Bilgilerin yer aldığı platformlar
bağımsızlaştıkça ve bilgi tipleri değiştikçe ihtiyaç duyulan
güvenlik önlemleri karmaşıklaşmaktadır. Örneğin şifrelenerek
korunan bilgilerde git gide zorlaşan en büyük unsur, verilerin
platform bağımlı bir şekilde şifrelenmesi ve şifrelenirken
kullanılan anahtarların yönetimdir. Tokenization bilginin
korunmasında alternatif bir çözüm
sunmaktadır. Tokenization temel
olarak kritik bilgilerinizi saklamış
olduğunuz sistemde yer alan
bilgilerin yerine vekil olarak atanmış
bilgiler ile yer değiştirmesi mantığına
dayanır. Tokenization düzgün bir
şekilde uygulandığında ödeme
bilgilerin güvenliğini sağlamaya, risk
ve maliyetleri azaltmada yardımcı
olmaktadır. Tokenization’da kritik
bilginin yerini (Örn: Kredi Kartı
Numarası, hesap numarası vs.) alan
token tekil ve rastgele bir değer olup,
kurallara uygun bir şekilde atanan
token değerinden yola çıkarak orjinal
veriye erişim mümkün değildir.
Tokenization uygulanan yani sembolleştirilmiş rastgele bilgiler
artık kritik bilgi içermediği için sistemler arasında serbestçe
dolaşabilir. Kısaca en temel seviyede tokenization yani
sembolleştirmeyi tanımlarsak, kritik bilginizi önemsiz ve kritik
olmayan anlamsız numaralar ile yer değiştirmektir.
PCI DSS’e göre kritik olan bilgilerden birisi olan PAN (Primary
Account Number) yani banka kartı ya da kredi kartınız
üzerinde yer alan banka kart numaranızdır. Tokenization
banka kartı numarası bilgilerini koruyabileceği gibi TC Kimlik
18 beyazşapka Ağustos 2012
No, doğum tarihi, pasaport numarası, medikal kayıtlar gibi
kişisel bilgilerinizin yer aldığı birçok verinin korunmasında
kullanılabilmektedir.
Tokenization temel olarak iki büyük faydası bulunmaktadır.
Bunlardan birincisi PCI kapsamına giren sistem ekipmanı
sayısını azaltması ikincisi ise doğal olarak bu ekipmanlara PCI
DSS kapsamında yapılması gereken masrafların ve yatırımların
ortadan kaldırılması. Payment Card Industry Data Security
Standartı (PCI DSS) bilgi güvenliği yönetimi, politika, prosedür,
ağ mimarisi, yazılım tasarımı gibi bir çok alanda değerler içeren
çok yönlü bir bilgi güvenliği standardıdır.
Ödeme kartı bilgisi saklayan, işleyen ya da transfer eden tüm
kuruluşlar bu standardın konusunu oluştururlar. PCI temel olarak
12 gereksinimden oluşur. (Aşağıdaki tabloda görüldüğü gibi)
Fakat PCI bilgi güvenliği standardı sadece bu 12 gereksinimden
ibarete değildir, bu 12 gereksinimin alt gereksinimleri ve
alt gereksinimlerinde alt gereksinimleri bulunmaktadır.
Bunlarla beraber sorumlu olduğunuz gereksinim sayısı 280’e
ulaşabilmektedir. Tokenization haricinde kurumların PCI
kapsamını daraltabilen başka bir teknoloji bulunmamaktadır.
Dolayısıyla Tokenization konseptinin 5 ve üzeri farklı sunucuda
bulunan kredi kartları bilgisi için uygulanması daha mantıklı
olmaktadır.
Tokenization’ın uygulanmadığı sistemlerde kredi kartı ya da
kritik bilgilerin yer aldığı ya da geçtiği uygulamalar ve sunucular
PCI DSS kapsamına girmektedir.
Tokenization servisinin uygulanmış olduğu sistemlerde ise
kapsama giren sunucular artık sadece kritik bilgiyi Tokenization
Servisine aktaran uygulamanız ve gelen kart bilgilerinin token
haline çevrildikten sonra encrypted bir şekilde saklanıldığı
Token Vault alanıdır.
Token Oluşturma
5. Kullanacağınız çözümünüz to–
ken üretiminde donanım tabanlı
bir rastgele numara üreteci mi
kullanıyor?
6. Yanıtınız hayır ise ne türde bir
işlem ile bunu çözüyorsunuz?
(Hash, sequnce number vs.) PCI
isteklerini karşılıyor mu?
7. Çözümünüz tek kullanımlık
tokenları destekliyor mu?
8. Çözümünüz çok kullanımlı
tokenları destekliyor mu?
Tokenization Çözümünü Kullanmadan Önce Yanıtlamanız
Gereken 17 Soru:
Hazırlık
1. Sisteminizde yer alan kredi kartı bilgilerini ya da kritik
bilgilerinin varlığını belirlediniz mi? Emin olmak için bir
uygulama ile tarama yaptınız mı?
2.Token bilgilerine erişecek olan kullanıcıların tanımı belli mi?
9. Tokenların ömrü nedir? Nasıl
belirlendi? Yeniden yapılandırıla–
bilir mi?
10. Çözümünüz sayısallaştırılmış kritik bilgilerimi tokenize
edebiliyor? Hangi dosya tipleri uyumlu? Çözümünüz yapısal
ortamda bulunan bilgileri ( Msword, pdf) sembolleştirebiliyor
mu? Bunun için nasıl bir çözüm sunuyor
11. Sunulan ya da kullanılan çözümünüzün çalışan sisteme olan
etkisi nedir? Gecikmeye sebep veriyor mu?
Token İşlemleri
12 . Tokenization ödeme sisteminiz–
de hangi adımda devreye giriyor,
nasıl çalışıyor? Sunduğu hangi
olanaklar ile PCI DSS kapsamınızı
azaltabiliyor?
13. Uygulama mevcut POS ortamınız
ile uyumlu bir şekilde çalışabiliyor
mu?
14. Uygulama mevcut ödeme
sistemi ortamınız ile uyumlu bir
şekilde çalışabiliyor mu?
Aynı zamanda token ile kredi kartı bilgilerine ulaşacak olan
kullanıcılar tanımlandı mı?
3.Tokenization uygulamasından etkilenecek POS, ödeme
sistemi gibi uygulamalarınızı belirlediniz mi?
4.Mevcut PCI kapsamınızı belgelediniz mi?
15. Uygulama mevcut back office
ve diğer sistemleriniz ile uyumlu bir şekilde çalışabiliyor mu?
16. Detokenization işlemi yapıldığında kullandığınız çözüm
mevcut sistemleriniz ile uyumlu çalışabiliyor mu?
17. Çözümünüz gerçekte ne kadarlık bir PCI kapsamına giren
sistemi azaltıyor? QSA bu çözüm için onay veriyor mu? «
Ağustos 2012 beyazşapka 19
Metin Eser
Tekstil Bankası A.Ş. Ekip Lideri
Nebula Bilişim ile ilk tanışmamız 2007 yılına dayanıyor. O dönemde problem yaşadığımız bir
konuda birlikte çalışıp projeyi başarılı bir şekilde hayata geçirdikten sonra network ve güvenlik
alanlarında birçok projede daha beraber çalışma kararı aldık. 2008 yılı başından itibaren de
güvenlik sistemlerimiz konusunda Nebula Bilişim firmasından danışmanlık ve destek hizmetleri
alarak çalışmaya devam etmekteyiz. Güvenlik sistemlerimizin periyodik kontrolleri ile tüm update
ve upgrade işlemlerini Nebula’nın tecrübeli ve eğitimli destek ekibiyle birlikte yapıyoruz. Ayrıca
Nebula Bilişim bilgi güvenliği konusuna son derece hakim olan satış uzmanları ve proje yöneticileri
gelecekte yapacağımız yatırımlar için bize ışık tutuyor ve karar vermemize yardımcı oluyor.
Gülşah Tamkan
Prolink Ürün Müdürü
Prolink’te SafeNet ürün müdürü olarak çalışıyorum. Yaptığım işin en önemli parçası çözümünüzü
pazara tanıtırken sürekli işbirliği içerisinde olacağınız ve etkileşim halinde bulunabileceğiniz doğru
iş ortaklarını seçebilmek ve çalışabilmek. Bu anlamda hangi iş ortaklarını geliştirebilirim ve kimlere
gidebilirim diye plan yaparken kanalda uzun yıllardır çalışan ve tecrübesine sonsuz güvendiğim satış
birimindeki arkadaşım Nebula’nın güçlü bir teknik kadrosunun olduğunu ve ürünü tam anlamıyla
inceledikten sonra deneyimli ekibi ile pek çok projeyi birlikte başarı ile yönetebileceğimizi belirtti.
Nebula ile yaptığımız ilk toplantıya satış ve teknik gruptan arkadaşlarımla ile gitmiştik. Sunduğumuz
çözüm önerisi sonrasında hangi müşterilerinde ne şekilde ürün konumlandırabileceklerini
anlattılar. Çeşitli zamanlarda bizlerle son derece profesyonel etkinlikler düzenlediler. Müşterilerini
sürekli bilgilendirdiler ve sonunda güzel başarılara beraber imza attık. Nebula tüm ekibiyle işini
her yönden takip eden; müşteri memnuniyeti, doğruluk ve çalışana saygı ilkelerine özen gösteren
önemli iş ortaklarımızdan. Kendileriyle uzun soluklu, omuz omuza çalışmaktan çok mutluyum ve
bunun için kendilerine teşekkür ediyorum.
SPONSORLARIMIZ
www.nebulabilisim.com.tr
Beyaz Şapka’ya katk›lar›ndan dolay› tüm sponsorlar›m›za ve yazarlar›m›za teşekkür ederiz.
Yay›nlanan yaz›lar›n ve görsellerin tüm sorumlulu€u yazarlar›na aittir.
Lütfen her konuda fikrinizi yaz›n.
www.nebulabilisim.com.tr
[email protected]