mayis 2012_7.indd

2012
• KURUMSAL GÜVENLİK POLİTİKASI OLUŞTURMAK
• NEXT GENERATION IPS
• PASSWORD SNIFFING
• KABLOSUZ AĞ GÜVENLİĞİNDE YENİ YAKLAŞIMLAR
• EN ETKİLİ GÜVENLİK YÖNTEMİ: ŞİFRELEME
• PCI DSS UYUMLULUK YOLCULUĞU
Mayıs 2012 beyazşapka 1
Değerli abonemiz,
İçindekiler
03 >> PCI DSS Uyumluluk Yolculuğu
Onur Arıkan
06 >> Kurumsal Güvenlik Politikası Oluşturmak
Serkan Akcan
08 >> Kablosuz Ağ Güvenliğinde
Yeni Yaklaşımlar
Caner Dağlı
10 >> AirTight Lider Kablosuz Ağ Güvenliği
Çözümü
Erkan Şen
12 >> Next Generation IPS
Birant Akarslan
14 >> Password Sniffing
İrfan Kotman
16 >> Geçmişten bugüne bilgilerinizin
güvenliğini sağlayan en etkili yöntem
“ŞİFRELEME”
Mehmet Gülyurt
18 >> DLP Projesi Başarı Kriterleri
Mustafa Çetin
2006 Yılının Şubat ayında yayına başlayan Beyaz Şapka 13 sayı yayınlandı
ve 50.000 adetin üzerinde dergi Türkiye’nin dörtbir köşesine ücretsiz
dağıtıldı. Dolu dolu kırk sayfaya ulaşan Beyaz Şapka birçok sponsorun
desteğiyle yaşadı. Hem projenin hayalimizden daha çok büyümesi hem
de sponsorluklarda yaşadığımız zorluklar nedeniyle Beyaz Şapka dergisi
2009 Şubat sayısıyla sona erdi ve hayatına internet portalı olarak devam
etti.
Beyaz Şapka sektörde çok büyük bir iz bıraktı. Her toplantımızda, her
seminerimizde ve katıldığımız her konferansta sektör çalışanları Beyaz
Şapka’nın tekrar çıkmasını istediklerini binlerce defa söylediler. Ve sonuçta
Beyaz Şapka tekrar hayat buldu.
Yenilenen Beyaz Şapka’da bazı küçük değişiklikler var. Beyaz Şapka
hazırlayanları ve okuyucuları yormamak için artık kırk sayfa çıkmayacak
ve sayfaları sektörün tamamına açık olmayacak. Öngördüğümüz sayfa
sayısı 20-24 arası. Bu sayfalar Nebula Bilişim’in kendisine, Beyaz Şapka’ya
destek veren iş ortaklarına ve Nebula Bilişim müşterilerine açık olacak.
Sektörde önemli gördüğümüz konuları uzmanların kaleminden aktarmaya
da devam edeceğiz.
Beyaz Şapka artık binlerce kişiye dağıtılmayacak. Sadece Nebula Bilişim
CRM sistemine kayıt edilmiş ve Beyaz Şapka abonesi olarak işaretlenmiş
kişilere Beyaz Şapka gönderimi otomatik olarak yapılacak. Nebula ile bir
ilişkisi olmayanlar için Beyaz Şapka’nın PDF sürümü dağıtılacak.
Beyaz Şapka’nın kendine ait bir web sitesi de bulunmayacak. Nebula
Bilişim kurumsal web sitesinin içinde bir bölüm olarak yayın yapılacak.
Beyaz Şapka’nın PDF sürümü ve çeşitli video sunumları bu sayfalardan
izlenebilecek. Mevcut videoları hemen şimdi izleyebilirsiniz:
http://www.nebulabilisim.com.tr/beyazsapka
Umarız ki Beyaz Şapka yeni dönemde beklentilerinize cevap verir. Lütfen
Beyaz Şapka’ya katkıda bulunmak ve fikirlerinizi iletmek için bize yazın.
Beyaz Şapka Nebula Bilişim tarafından
Güvenli Günler!
üç ayda bir yayınlanır ve Nebula Bilişim
Beyaz Şapka Yönetimi
müşterilerine ücretsiz dağıtılan
bir broşürdür. Beyaz Şapka Nebula
Bilişim’in tescilli markasıdır ve
her hakkı saklıdır.
2 beyazşapka Mayıs 2012
www.nebulabilisim.com.tr
[email protected]
Onur Arıkan
[email protected]
Pci Dss Uyumluluk Süreci.
Güvenlik İçin Zor Ama İmkansız
Olmayan Bir Yolculuk…
Günümüzde bilgiyi artan tehditlere karşı korurken aynı zamanda
yönetmeliklere uyum sağlayabilmek sizce mümkün mü?
Günümüzde farklı bilgi güvenliği standartları arasında belki en teknik
standartlardan birisi olan PCI DSS (Payment Card Industry Data
Security Standard)’in bilinirliği her geçen gün artıyor. Bu da kredi
kartı ile yapılan e–ticaret’in çok hızlı geliştiği ülkemizde süpriz değil.
PCI DSS tamamen kartlı ödeme sistemlerinin güvenliğine odaklanmış
bir standart.
Bugün özellikle standardı ana hatlarıyla incelemeye çalışırken
şirketlerde karşılaştığımız bazı soruların yanıtlarını da sizinle
paylaşmaya çalışacağız.
Öncelikle PCI DSS’i yayınlayan kuruluştan PCI SSC’den bahsedelim.
Bu konsey VISA, Mastercard, American Express, JCB ve Discover
gibi çok uluslu kart markaları tarafından oluşturulmuş. Konseyin
amacı kartlı ödeme standartları ile ilgili standartları oluşturmak, bu
standartlara uygunluğu denetleyecek denetçi firmaları (ASV, QSA)
belirlemek ve listesini duyurmak, ödeme uygulamalarından uyumlu
olanları listelemek, eğitimler vermek ve sektördeki kuruluşlar
arasındaki iletişimi sağlamak olarak özetlenebilir. Biz bugün PCI
DSS’den bahsediyor olsak da aslında konseyin duyurduğu tek
standart bu değil. Konseyin sitesinde bulunabilecek standartlar :
1– PCI DSS – Kart bilgisinin güvenliğini sağlamaya yönelik kurallar
2– PA–DSS – Ödeme uygulamalarının uyması gereken kurallar
3– PTS – PIN bilgisinin güvenliğini sağlamaya yönelik kurallar
PCI DSS güncel versiyonu olan 2.0 ile tek bir standartır. Bankalar, üye
isyerleri ve servis sağlayıcılar için de aynı standart geçerlidir. Standart
PCI SSC tarafindan yayınlanır. Kart markaları (VISA, Mastercard,
AMEX,vb) bu standarda göre kendi uyumluluk programlarını,
kuralları, cezaları, uyumluluğu ispatlama gereksinimlerini, olay yeri
inceleme koşullarını belirler. Bu kurallar Amerika, Avrupa, Asya
Pasifik için değişiklik gösterebilir. Türkiye Avrupa bölgesinde olarak
değerlendirilir.
Taraflar :
PCI SSC – PCI Konseyi – Standardları oluşturur ve duyurur. Üye
işlerine, servis sağlayıcılara ya da bankalara herhangi bir yaptırımda
bulunmaz.
Kart Markası : Kartların üzerinde logosu bulununan kart markası.
Bankaların, servis sağlayıcıların ve üye işlerinin PCI DSS’e
uygunluklarını ispatlamaları için gerekli koşulları belirler. Uyumluluk
konusunda üye işyeri ile doğrudan teması olmaz. Bu sorumluluğu
Üye İş Yeri Bankası’na verir. Cezaları ve yaptırımları belirler. Kart
bilgisinin yetkisiz kişilerin eline geçmesi durumunda yapılacakları
belirler
Üye İşyeri Bankası – Acquirer – Üye işyerlerine POS ve Sanal POS
kullandıran, otorizasyonun kendi üzerinden geçerek kart sahibi
bankasına iletilmesini sağlayan banka.
Kart Sahibi Bankası – Issuer – Alış veriş yapan kişinin kredi ya da
banka kartını veren banka
Servis Sağlayıcı – Kartlı ödeme sürecinde kredi kartının güvenliğini
etkileyebilecek hizmetler sağlayan herhangi bir 3. Taraf firma.
Bankalara ya da üye işyerlerine hizmet sağlayabilirler.
QSA – Qualified Security Assessor – Yerinde denetim hizmeti
sağlayan ve PCI konseyi tarafından yetkilendirilmiş firmalar.
ASV – Approved Scanning Vendor – Internet üzerinden her 3 ayda bir
yapılması gereken açıklık tarama hizmetini sağlayan ve PCI konseyi
tarafından yetkilendirilmiş firmalar.
Kim kime karşı sorumlu ?
Buradaki sıralama kısaca şöyle özetlenebilir ; Kart markaları, kendi
kartlarının kullanılabileceği POS/Sanal POS sistemleri ile ilgili
olarak üyelerini ya da başka bir söylemle bankaları görevlendirir.
Bankalardan POS’ları kullanacak üye işyerlerindeki kart bilgisinin
güvenliğini sağlamalarını ister. Banka da POS’unu kullanacak üye
işyerinden kredi kartı ile ilgili süreçlerinin güvenli olmasını bekler.
Üye işyerleri bunun nasıl olacağını sorduklarında; yanıt PCI DSS’e
uymaları olacaktır. Bankalar (Üye işyeri bankası – Acquirer) kart
markalarına karşı sorumludur. Dolayısıyla üye işyerlerinin uyumluluk
durumunu takip etmek, bunu kart markalarına raporlamak, üye
isyerlerini uyumlu duruma getirmek bankanın sorumluluğundadır.
Banka isterse POS’u açar isterse kapatır. Kimi zaman da kart
markasının bankalara uyguladıkları cezai yaptırımları üye işyerine
yansıtır.
Kapsam – PCI DSS kapsamına hangi kurumlar girer?
Bir örnek vermek gerekirse kredi kartı tahsilatı ile sosisli sandviç
satan firma da internet üzerinden satış yapan bir e–ticaret firması da
Mayıs 2012 beyazşapka 3
aynı standarta (PCI DSS v2.0) uymak zorundadır.
Bir kurumun PCI DSS kapsamına girip girmediğini anlaması için şu
soruları kendisine sorması gerekir.
http://www.visaeurope.com/en/businesses__retailers/payment_
security/service_providers.aspx
http://www.mastercard.com/us/company/en/whatwedo/service
1– Ben kartsahiplerinin kredi/banka kartı bilgisini saklıyor muyum?
(store)
PCI DSS standardı 6 başlıkta 12 ana gereksinimden oluşur. Her
gereksinimin altında da alt maddeler bulunmaktadır.
2– Ben kredi/banka kartını işliyor muyum ? (process)
Güvenli Ağ Oluşturma ve Yönetim
3– Ben kredi/banka kartını iletiyor muyum ? (transmit)
1. Kart sahibi bilgilerinin korunması için güvenlik duvarı kurulumu
ve yönetimi.
Bunlardan herhangi birisine “evet” yanıtı veriliyorsa PCI DSS’e uygun
hareket edilmesi gerekmektedir.
İsterseniz bu aşamada bir soru ile kapsamı iyice netleştirelim :
Aşağıdakilerden hangisi PCI DSS kapsamına girmez?
1 – E–ticaret firmasi olan bir üye isyerinin backup tape’lerini saklayan
3. parti bir firma
2–E–Ticaret sunucularımızın bulunduğu Web hosting firması
3–Sadece ses kayıtlarını saklayan, telefonla kredi kartı talimatlarını
alan bir çağrı merkezi
4–Yalnız 5 şubesi olan ama üye işlerine POS kullandıran bir banka
5– Sadece araba yıkayan ve fiziksel POS kullanan bir yıkama–yağlama
dükkanı
6– Sadece faks ile gonderilen kredi kartı talimatlarını alan bir firma
7–Kart bilgilerinin ilk 4 son 4 rakamını saklayan bir üye işyeri
8–Kredi kartıyla işlem yapan ama işlemlerinde 3DSecure kullanan bir
üye işyeri
9–Kart bilgisini saklamak zorunda kalan ve her ay rutin tahsilat yapan
sigorta şirketleri
10–Benzin istasyonları
11–Kamu kurumları (ör. vergi tahsilati yapan Gelir İdaresi Başkanlığı)
Yukarıdaki tüm örneklerde kapsam için sormamız gereken soruları
sorduğumuzda hepsinin PCI DSS’e uyması gerektiğini görebiliriz.
2. Üretici firmaların sağladığı sistem şifreleri ve diğer güvenlik
parametreleri gibi öntanımlı parametrelerin kullanılmaması.
Kart Sahibi Bilgilerinin Korunması
3. Saklanan kart sahibi bilgisinin korunması.
4. Açık genel ağlar üzerinden kart sahibi bilgisi iletiminin
şifrelenmesi.
Zafiyet Yönetim Programının Sürdürülmesi
5. Düzenli güncellenen anti–virus yazılımlarının kullanılması.
6. Güvenli sistemlerin ve uygulamaların oluşturulması ve
sürdürülmesi.
Güçlü Erişim Kontrol Önlemlerinin Uygulanması
7. Kart sahibi bilgilerine erişimin iş ihtiyaçlarına göre
sınırlandırılması.
8. Bilgisayar kullanıcısı her kişiye tekil kullanıcı hesabı
oluşturulması.
9. Kart sahibi bilgilerine fiziksel erişimin sınırlanması.
Düzenli Olarak Ağların İzlenmesi ve Test Edilmesi
10.Ağ kaynaklarına ve kart sahibi bilgisine yapılan tüm erişimlerin
izlenmesi ve kaydedilmesi.
11. Güvenlik sistemlerinin ve işlemlerinin düzenli test edilmesi
Bilgi Güvenliği Politikalarının Sürdürülmesi
Üye işyeri seviyeleri ve servis sağlayıcı seviyeleri
12.Bilgi güvenliğini adresleyen politikanın sürdürülmesi.
Kart markaları tarafından belirlenir. Bunun temel amacı üye
işyerleri ve servis saglayıcıların standara uygunluğunu ne şekilde
ispatlayacağını detaylandırmaktır. Kimi zaman üye işyerinin beyanı
SAQ (Self Assessment Questionaire) yeterlidir. Kimi zaman ise QSA
tarafından yapılması gereken yerinde denetim (on–site audit). Her
kredi kartı markası kendisine göre seviyeler belirler. Ancak VISA ve
Mastercard’ın seviyeleri hemen hemen aynıdır.
Sonuç :
Mastercard üye işyeri seviyeleri
Servis sağlayıcı seviyeleri üye işyerleri seviyelerinden farklıdır.
Örnegin seviye sayısı 4 yerine 2’dir.
4 beyazşapka Mayıs 2012
PCI DSS risk değerlendirmesini yaptığı kredi/banka kartının
korunmasını hedefleyen zor ama son derece mantıklı, teknik bir
standarttır. Kurallar nettir. Maddelere uygun olup olmadığınızı net
bir şekilde ölçebilir. Bu yüzden de çok fazla bir esneklik söz konusu
değildir. Bugüne kadar kart bilgisinin çalınması ile ilgili incelemelerde
hemen hemen tüm olaylarda PCI DSS’e uyumsuz bir durum
raporlanmıştır. Bu standartla ilgili en güzel taraf ise önerilen güvenlik
çerçevesini temel alarak şirketler kartlı ödeme sistemleri dışındaki
diğer bilgilerini de koruyacak bir altyapı kurabilirler.
Category
Criteria
Requirements
Level 1
• Any merchant that has suffered a hack or an attack
that resulted in an account data compromise
• Any merchant having more than six million total
combined MasterCard and Maestro transactions annually
• Any merchant meeting the Level 1 criteria of Visa
• Any merchant that MasterCard, in its sole discretion, determines should meet the Level 1 merchant
requirements to minimize risk to the system
• Annual Onsite
• Assessment1 Quarterly
• Any merchant with more than one million but less
than or equal to six million total combined MasterCard and Maestro transactions annually
• Any merchant meeting the Level 2 criteria of Visa
• Annual Self-Assessment4
Level 2
Compliance
Date
30 June 20123
• Network Scan
conducted by an
ASV2
30 June 20124
• Onsite Assessment at Merchant
Discretion4
• Quarterly Network
Scan conducted by
an ASV2
Level 3
Level 4
• Any merchant with more than 20,000 combined
MasterCard and Maestro e-commerce transactions
annually but less than or equal to one million total
combined MasterCard and Maestro e-commerce
transactions annually
• Any merchant meeting the Level 3 criteria of Visa
• Annual Self Assessment
• All other merchants5
• Annual Self-As-
30 June 2005
• Quarterly Network
Scan conducted by
an ASV2
Consult Acquirer
sessment
• Quarterly Network
Scan conducted by
an ASV2
1.
2.
3.
4.
5.
Effective 30 June 2012, Level 1 merchants that choose to conduct an annual onsite assessment using an internal auditor
must ensure that primary internal auditor staff engaged in validating PCI DSS compliance attend PCI SSC ISA Training and
pass the associated accreditation program annually in order to continue to use internal auditors.
Quarterly network scans must be conducted by a PCI SSC Approved Scanning Vendor (ASV).
Initial compliance date of June, 2005 for Level 1 merchants has now passed. The 30 June 2012 deadline is for PCI SSC ISA
training and certification only and is for those merchants that choose to conduct an annual onsite assessment using an
internal auditor.
Effective 30 June 2012, Level 2 merchants that choose to complete an annual self–assessment questionnaire must ensure
that staff engaged in the self–assessment attend PCI SSC ISA Training and pass the associated accreditation program
annually in order to continue the option of self–assessment for compliance validation. Alternatively, Level 2 merchants
may, at their own discretion, complete an annual onsite assessment conducted by a PCI SSC approved Qualified Security
Assessor (QSA) rather than complete an annual self–assessment questionnaire.
Level 4 merchants are required to comply with the PCI DSS. Level 4 merchants should consult their acquirer to determine
if compliance validation is also required.
Mayıs 2012 beyazşapka 5
Serkan AKCAN
[email protected]
Kurumsal Güvenlik Politikası
Oluşturmak
Bu yazıyı okuyun ve Amerika’yı yeniden keşfetmeden kurumsal bilgi
güvenliği politikanızı oluşturun.
Bankalar, Amerikan borsalarında işlem
gören şirketler, telekom operatörleri ve
kredi kartı ile işlem yapan şirketler çok
şanslı. BDDK bankalara COBIT’i, Amerikan
devleti Amerikan borsalarında işlem
gören şirketlere Sarbanes-Oxley (SoX)
standardını, BTK telekom operatörlerine
ISO 27001’i, PCI SSC ise kredi kartı ile
işlem yapan şirketlere PCI DSS’i zorunlu
tutuyor. Bu kurumlar zorunluluklar
sayesinde en azından bir güvenlik
politikasına sahip oluyor. ITIL, HIPAA ve
Fisma gibi uluslararası diğer standartları
hiç saymıyorum.
Bu zorunluluklara sahip olmayan diğer
şirketler ise zor durumda. Standartlar
zorunlu tutulmadığı sürece şirketlerin
belirli standartlara kavuşması ancak
ileri düzeyde kurumsallaşan şirketlerde
mümkün olabiliyor.
Üstelik herhangi bir zorunluluğa sahip
olmayan Türk şirketleri sayılamayacak
kadar fazla. Aşağı yukarı her Türk şirketin
genel problemi ise bir BT ve bilgi güvenliği
politikasına sahip olmaması. Bu şirketlerde
görev yapan BT yöneticilerinin, bilgi
güvenliği yöneticilerinin, orta ve üst düzey yöneticilerinin
ortak kaygısı bilgi güvenliği politikası oluşturamayacaklarını ve
yürütemeyeceklerini düşünmeleri.
Yöneticilerin bu karamsar kanıya varmalarının iki temel sebebi
olduğunu düşünüyorum. Birincisi ve en önemlisi bugüne kadar
hiçbir politikaya sahip olmadan sistemin kontrolsüz biçimde
yaygınlaşmış olması. Bu sebebin haklı bir sebep olduğunu
kabul etmeliyiz. Politikasız büyümüş sistemler genellikle arap
saçına dönmüş ve birkaç parlak personelin kişisel marifetiyle
yürür. Karamsarlığın sebebi haklı olsa da mücadele etmemeyi
gerektirmez. Bugün politika yaratılmazsa sistem kontrolsüz
6 beyazşapka Mayıs 2012
büyümeye devam edecek ve ileride kontrol altına almak çok
daha zorlaşacaktır.
İkinci sebep ise yöneticilerin bilgi güvenliği yönetim sistemi, risk
analizi, BT yönetim politikaları ve bilişim hukuku gibi konularda
kendilerini yetersiz görmeleri. Çoğu yönetici kurumuna bir bilgi
güvenliği yönetim sistemi ve politikası kazandırmaya nereden
başlaması ve nasıl bir yol haritası ile çalışmayı sürdürmesi
gerektiğini kestiremiyor.
Bu durum nasıl sonuçlanıyor dersiniz? Virus saldırıları, bozulan
ve yedeklerden dönülemeyen önemli bilgiler, hacker atakları,
kaybolan ve daha kötüsü nereye gittiği bilinmeyen kritik veriler.
Son dönemde herhangi bir regülasyona tabi olmayan Türk
şirketleri ile bilgi güvenliği üzerine yaptığımız toplantılarda
gördüğümüz genel durum bu. Herkes bir bilgi güvenliği
politikasına sahip olmanın şart olduğunu biliyor ancak süreci
başlatmak için adım atmakta sıkıntı yaşanıyor.
Amerika’yı yeniden keşfetmeden kurumsal bilgi güvenliği
politikasına sahip olmanın yolu ISO 27001 ve PCI DSS
standartlarından geçiyor.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS)
Diğer ISO standartlarında olduğu gibi ISO 27001 BGYS standardı
da her kuruma uygulanabilecek şekilde geliştirilmiştir. Böyle
olduğu için bilgi güvenliği teknolojileri ile çok iç içe değildir.
ISO 27001 süreci başlatan kurumlar genellikle hangi güvenlik
teknolojilerini kullanmalarını gerektiğini kestirmekte zorlanır.
ISO 27001 teknik bir yaklaşımdan ziyade yönetimsel bir
yaklaşıma sahiptir. Standart kurum yetkililerinden varlıklarını
kontrol etmelerini, değerlendirmelerini, risk analizlerini
yapmalarını, rutin kontrol ve prosedürlerin hazırlanmasını
ve yürütülmesini bekler. İyi analiz edilmiş, prosedürler,
geliştirilmiş ve dokümante edilmiş sistemlerin sağlığı parlak
personelin kişisel marifetinden alınıp kurumsal bir standarda
teslim edilmiş olur. Konuyu çok lafa boğmadan klasik bir ISO
27001 BGYS kurulumunun görev listesini yazayım.
1. BGYS İç eğitim
2. Genel gereksinimler
3. Dokümantasyon gereksinimlerin belirlenmesi
4. Fiziksel ve çevresel güvenlik sağlanması
5. BGYS Politikasının oluşturulması
6. BGYS Takımının Atanması
7. Varlık listesinin hazırlanması
8. Güvenlik politikalarının hazırlanması
9. BGYS Dokümantasyon gerekliliklerinin sağlanması,
zorunlu prosedürlerin adaptasyonu
10. Risklerin tanımlaması
11. Risk değerlendirme
12. BGYS Takım görev tanımlarının oluşturulması
13. Kontrol prosedürlerin hazırlanması
14. Uygulanabilirlik Bildirgesi hazırlama
15. BGYS uygulanması ve izlenmesi
16. BGYS iç denetimleri
17. BGYS’yi yönetimin gözden geçirmesi
18. İyileştirme fırsatlarının belirlenmesi
(düzeltici /önleyici faaliyetler)
Farkedebileceğiniz gibi ISO 27001 BGYS görev listesinde hiçbir
bilgi güvenliği teknolojisinden bahsedilmiyor. Hangi bilginin
hangi teknoloji ile korunması gerektiğine standart mı karar
verir yönetici mi? ISO 27001 BGYS teknoloji cevabı veremediği
için kılavuzumuz PCI DSS olmalı.
PCI DSS
PCI SSC tarafından yayınlanan PCI DSS standardı kredi kartı
bilgilerini korumaya yönelik geliştirilmiş teknik içeriğe sahip
bir standarttır. İşte size Amerika’yı tekrar keşfetmeden
hangi bilgi güvenliği teknolojilerine yatırım yapacağınızı ve
nasıl yöneteceğinizi bildiren standart. PCI DSS kablosuz ağ
güvenliğinden şifrelemeye, şifre yönetiminden penetrasyon
testine, statik kod analizinden integrity control sistemlerine
kadar günümüz dünyasında bilgi güvenliği için şart olan bir
çok teknolojinin nerede ve nasıl kullanılması gerektiğini açıkça
belirtir. Beyaz Şapka’nın bu sayısında PCI DSS ile ilgili bir
makale bulunduğu için teknik detaya fazla girmiyorum.
Standardı uygulama yükümlülüğü bulunmayan kurumlara
basit bir sorum var. Şirketinizin kredi kartı kadar önemi olan
ve korunması gereken bir verisi yok mu? Eminimki kurumların
birçok bilgisi kredi kartı numalarından bile daha önemlidir.
Öyleyse PCI DSS standardını alın ve kendinize uygulayın.
Uygulama
Bilgi güvenliği politikarını oluşturduktan sonra varlık yönetimini
yapmaya başlamış, sürekli risk analizlerini yapan ve önlemleri
alan, acil bir durumda nasıl bir aksiyon alınacağı önceden
belirlenmiş, doğru bir iş sürekliliği ve veriye erişim mimarisine
sahip bir sistem ortaya çıkacaktır. Bu sistem hem dış müşterileri
hem iç müşterileri memnun edecek ve hizmet devamlılığı bir
kurumsal refleks olacaktır.
Daha önce bahsettiğim gibi Türk şirketlerinin önemli bir bölümü
(özellikle KOBİ’ler) ISO 27001 BGYS ve PCI DSS gibi standartları
kendi başlarına uygulamakta zorluk çekerler. Bilgi güvenliği
jargonu bilgi güvenliği ile sürekli yaşamayan BT çalışanları ve
şirket yöneticileri için çoğu zaman anlaşılmazdır.
Bilgi güvenliği politikasını oluşturmak, ISO 27001 BGYS
kurulumunu yapmak ve PCI DSS ışığında kurum bilgilerinizi
korumak için yapacağınız uygulama çalışmalarını bilgi
güvenliği konusuna hakim şirketler ve danışmanları ile birlikte
yürütmenizi öneririm. Ne kadar şanslısınız ki size tavsiye
edebileceğim çok iyi bir bilgi güvenliği şirketi biliyorum. «
Mayıs 2012 beyazşapka 7
Caner Dağlı
[email protected]
Kablosuz Ağ Güvenliğinde
Yeni Yaklaşımlar
Kablosuz ağlar hiç olmadığı kadar hayatımızın içindeler. Cep telefonları,
tabletler, taşınabilir bilgisayarlar ve hatta evimizdeki, arabalarımızdaki
yardımcı cihazlara kadar bir çok teknoloji çevresi ve internet ile kablosuz
olarak konuşuyor. Buna bağlı olarak da kablosuz ağ kullanımı her geçen
gün artıyor. Peki, kablosuz ağlar ne kadar güvenli?
Kablosuz Ağlar Her Yerde
Kablosuz ağlar etrafımızdaki neredeyse tüm teknolojik
aletler tarafından kullanılan bir bağlantı yöntemi haline geldi.
Bunda şüphesiz mobil akıllı cihazların sağladığı hareketlilik
ve internette hızla yayılan çoklu ortam kullanımının etkisi
yadsınamaz. Artık video kliplerden tutunda sunucunuz üzerinde
yapacağınız bir ayara kadar herşeyin bir videosu var. Makaleler
yerine sesli ve görüntülü anlatım yeni moda ve yeni neslin daha
çok tercih etttiği bir şey.
İnternet kafeler tarih olmak üzere. Zira artık hemen herkesin
bir akıllı cihazı var ve oturduğunuz bir kafeden tutun da en lüks
lokantaya kadar her yer size kablosuz ağ bağlantısı sağlıyor.
Bunların kimi şifre ile korunuyor, kimi ise müşterilere -belki de
kötü kişilere kolaylık olsun diye şifresiz ve açık bir şekilde yayın
yapıyor.
Bireysel Açıdan Kablosuz Ağlar
Bireyler açısından bakıldığında kablosuz ağ güvenliği kişisel
çözümler ve biraz dikkat ile sağlanabilir. Şifrelenmemiş ya da
zayıf şifreleme kullanan (WEP gibi) ağlara bağlanmamak, kafe
ya da misafir ağlarından şifre kullanımı gerektirecek (bankacılık,
finans ve hatta sosyal medya, eposta v.b.) sistemlere
bağlanmamak en basit çözümler olarak uygulanabilir.
Komuşunuzun şifresiz ya da zayıf şifreli ağına bağlanmak da
sandığınız kadar kârlı bir iş olmayabilir.
Kurumsal Ağlarda Kabolsuz Ağ Politikaları
Ancak işin kurumsal ayağında durum çok daha farklı. Geçmişte
bir olgu için bir politika sahibi olmanın ön koşulu o sisteme
sahip olmaktı. Örneğin, kablosuz ağa sahip değilseniz ona
ait kullanım ya da güvenlik politikalarına ihtiyacınız olmadığı
düşünülürdü. Ancak gerek günümüz şartlarının farklılaşması
gerekse bu mantığın yanlışlığı artık fark edilmeye başlandı.
Eğer kablosuz ağ kullanmamak yönünde bir tercihiniz varsa
dahi artık buna ait bir politikanız olmak zorunda. Şirketinizde
izin verilmeyen uygulamaların olup olmadığı düzenli olarak
8 beyazşapka Mayıs 2012
denetlenmek ve kurum politikalarına aykırı girişimler
engellenmek durumunda. Aynı internet erişiminde uygulanan
politikalar gibi kablosuz ağlar için de kurum politikalarına sahip
olmamız ve uygulamamız gerekiyor.
Kendi Cihazını Getir
Kurumsal firmalarda yeni bir yönelim de çalışanların kendilerine
ait cihazlar ile şirket ağından ve dışarıdan şirket verilerine erişip,
çalışabilmeleri. En basit örneği ile bir çok şirket çalışanlarının
kurumsal eposta hesaplarına kendi akıllı telefonları üzerinden
eişimine izin verir durumda. Bu da yanında yeni riskleri
getiriyor. Öyleki; bir çalışan dışarıdan şirket verilerine akıllı
cihazı vasıtasıyla erişirken sanal bir tehdit ile karşılaştığında
şirket güvenliğini de sekteye uğratıyor.
Kurumsal Ağlarda Karşılaşılabilecek
Kablosuz Ağ Tehditleri
Kurumsal
ağlarda
rastlanabilecek
tehditler
sadece
yukarıdakilerle de sınırlı kalmıyor. Kötü niyetli çalışanlar, sanal
korsanlar, iyi niyetli ama bilgisiz kullanıcılar ve diğer bazı
etkenler de kablosuz ağ politikalarının uygulanması, yönetilmesi
ve güveliğinin sağlanmasında farklı yaklaşımlar gerektiriyor.
Kablosuz Ağ Tehditleri
Kablosuz ağ tehditlerinin bazıları şekildeki gibidir.
Bunlar kısaca şu şekilde açıklanabilir:
1. Yerel ağınızda istenmeyen kablosuz ağ erişim noktaları
(Rouge Access Points) bulunabilir. Kötü niyetli ya da yanlışlıkla
yerleştirilmiş olabilirler.
2. Yanlış ayarlanmış kablosuz ağ erişim noktaları bulunabilir.
Ağ yöneticinizin ya da bir kullanıcının kurum politikasına
uygun olmayan kablosuz ağ erişim noktasını yerel ağınızda
çalıştırması sonucu ortaya çıkabilir.
3. Kullanıcıların (Taşınabilir bilgisayar, akıllı cep telefonu,
tablet v.b.) kurumsal ağ dışındaki kablosuz ağ cihazlarına
bağlanması şirket politikasını delebilir.
4. Yetkisiz istemcilerin
bağlanabilmeleri.
kurumsal
kabolsuz
ağlara
5. Cihazlar arasında izin verilmemiş bire bir (Ad Hoc)
bağlantılar yapılabilir.
6. Kablosuz ağınız taklit edilerek kullanıcıların dışarıdaki bir
erişim noktasına bağlanmaları sonucu kablosuz ağ politikaları
delinebilir. (“HoneyPot” uygulaması)
7. Donanım adresi bilgilerinin taklit edilmesi.
8. Kablosuz ağınızı durdurmaya/işlemez hale getirmeye
yönelik ataklar yapılabilir.
9. WEP şifrelemesi: Eğer hala kullanıyorsanız en uzun haliyle
kurumsal kablosuz ağ şifreleriniz beş dakika içinde kırılabilir.
(WEP günümüzde şifrelenmemiş ağdan pek de farklı değildir.)
10.Yetkili istemcilerinizin istemli ya da istem dışı olarak dışarıdaki
bir kablosuz ağ ile bağlanarak yerel ağınızı tehlikeyi düşürmesi şeklinde
özetlenebilir.
Kurumsal bir ağda yukarıdaki gibi güvenlik riski taşıyan her bir senaryo
için politikamızda kurumsal kablosuz ağımızı koruyacak bir önleminiz
olması gerekir. Sizin de görebileceğiniz gibi bu tehditlerden bazılarının
ağınızda bulunması için kurumsal bir kablosuz ağ yapınızın olması
gerekmez.
Neden Kablosuz Ağ Atak
Engelleme
Sistemleri
Önemlidir?
Yukarıda belirttiğimiz gibi
kablosuz
ağların
birçok
zaafiyetleri bulunmaktadır ve
bu zaafiyetlerden yararlanmanın birçok yöntemi vardır;
peki kablosuz atak engelleme
sistemlerinin
faydaları
nelerdir?
Öncelikle kendi cihazını getir
kültürü ortaya çıktığından bu
yana kablosuz ağ atak engelleme sistemlerinin önemi daha
da artmıştır. Birçok akıllı telefon günümüzde kablosuz erişim
noktası olarak konumlandırılabilmekte ve istenmeyen kablosuz
ağlar olarak karşımıza çıkmaktadır. Şirket politikalarına
uygun olarak bağlantı profilleri oluşturulabilen kablosuz ağ
atak engelleme sistemleri ile şirket çalışanlarının istenmeyen
kablosuz ağ bağlantılarına erişimleri sınırlandırılabilmekte,
güçlü kimlik doğrulama yöntemleri uygulanabilmekte ve daha
güçlü güvenlik mekanizmaları işletilebilmektedir. «
Mayıs 2012 beyazşapka 9
Erkan Şen
[email protected]
AirTight Lider Kablosuz
Ağ Güvenliği Çözümü
Günümüzde kablosuz ağ alt yapılarına yapılan ataklar hem tespit edilmesi
zor hem de çok etkili ataklar. Üstelik bu sadece kurumsal kablosuz ağ alt
yapılarının problemi de değil. Aynı zamanda kişisel erişim noktası gibi
kullanılabilen akıllı cihazlarlar, tabletler ve benzeri cihazlar da kurumsal
ağları tehdit eder durumda.
Mobil uygulamaların artması, kurumsal ağlara bağlanabilen cihazların gün geçtikçe küçülmesi ve taşınabilirliklerin artması
ile kablosuz ağ kullanımı da bunun paralelinde artmaya başladı. Kurumlarda kendi cihazlarıyla çalışan personelin artışı
da bağlanabilirlik açısından büyük kolaylıklar sağlayan kablosuz ağ kullanımını körüklüyor. Kablosuz ağ kullanımının
artmasıyla birlikte bu ağların yönetimi ve güvenliğinin sağlanması gerekliliği de önem kazanıyor.
Kablosuz Ağ Ataklarından Korunmak
Kurum sınırları içindeki kablosuz ağları yönetmek ve korumak
kurum bilgi güvenliği politikalarında çok önemli bir yer tutuyor.
Kablosuz ağ atakları özellikle fiziksel erişim gerektirmemesi
nedeniyle tespit edilmesi, durdurulması ve haklarında kanıt
toplaması oldukça zor ataklar. Ayrıca yapılan ayar hataları,
açık unutulan aktif cihazlar ve kötü niyetli kişilerin kurumsal
ağlara bağlayacağı kablosuz ağ erişim cihazları da tehlikenin
boyutunu artıtırıyor.
AirTight Kullanarak Tehditlerin Tespit Edilmesi
AirTight patentli teknolojileri vasıtasıyla yukarıda bahsi geçen
birçok tehdidi tespit edip engelleyebilir. Özellikle patentli
Marker Packet™ tekniği sayesinde AirTight ağdaki istenmeyen
kablosuz ağ cihazlarını hatasız bir şekilde tespit eder. Diğer
bir çok çözümde komşularınızın kablosuz ağ cihazlarını da
yönetmek zorunda olduğunuz gerçeğinin yanında AirTight
patentli teknolojilerinin de yardımıyla sizi bu zorluktan kurtarır.
AirTight çözümü ile sadece yerel ağınızda bulunabilecek
kablosuz ağ cihazları ile etikili olabilecek saldırılardan
korunmakla kalmazsınız. Aynı zamanda kablosuz ağ ortamında
gerçekleşecek servis durdurma atakları (DoS), erişim noktası
ya da istemci taklidi, kablosuz ağ istemcilerinin şirket kablosuz
ağlarından başka ağlara bağlanmaları sorunu, yetkisiz ve kötü
10 beyazşapka Mayıs 2012
niyetli erişim denemeleri gibi birçok atağı daha havadayken
tespit edebilir, engelleyebilir ve anında görüp raporlayabilirsiniz.
Başarılı Konum Tespiti
AirTight kablosuz ağ altyapınıza yapılabilecek birçok atağı daha
havadayken tespit edip gerçekleşmesini engelleyebilir. Sadece
engellemekle kalmaz aynı zamanda çok iyi bir şekilde tehdidin
konumunu da belirleyebilir. AirTight isterseniz konum planı
üzerinde, isterseniz tehditi tespit eden sistemlere uzaklığı ile
konumlandırma yapabilir.
AirTight kablosuz ağınızın sizin belirttiğiniz standartlarla
çalışmasını denetler. Buna aykırı hareketleri tespit eder ve
otomatik koruma mekanızmaları ile erişimleri engeller. Örneğin
kullanıcılarınızın izin verilmemiş akıllı cihazlarının kurumsal
kablosuz ağ şifrelerini bilseler dahi siz izin vermedikçe ağa
bağlanmalarını engelleyebilir.
Otomatik Cihaz Sınıflandırması
AirTight otomatik cihaz sınıflandırması sayesinde şirket
cihazları ile komşu cihazları başarılı bir şekilde birbirinden ayırır.
Bu işlemler hem istemciler hem de erişim noktaları için ayrı ayrı
otomatize edilebilir.
Kablosuz Ağ Performans Ölçümleri
Konum Bazlı Politikalar
AirTight
kullanarak
çok
noktaya dağılmış kurumsal
organizasyonlarda
konum bazlı politikalar
oluşturulabilir ve her
yeni eklenen sistemin
ilgili politikalara tabii
olarak çalışıp çalışmadığı
denetlenebilir.
Ayrıca bu politikalar
yukarıdan aşağıya doğru
iletilecek şekilde de
planlanabilir.
AirTight aynı zamanda kablosuz ağ alt yapınızın performansının
ölçülmesi ve problemlerinin tespit edilmesi ve giderilmesinde
de yardımcı olur.
AirTight Kullanmanın Faydaları
• Kablosuz ağlar için tüm standart frekans aralıklarında
tarama işlemi otomatik olarak yapılır.
• Marker Packet™ teknolojisi ile tam doğrulukla istenmeyen
erişim noktalarını tespit eder.
• 50 adet sanal yerel ağa (VLAN) kadar izleme yapabilir.
• Gerçekleşen ataklara karşı otomatik önleme ve yer tespiti
işlemi yapabilir.
• Yerel aktif cihazlardan bağımsız olarak çalışabilir.
Entegrasyon ve İletişim Kabileyetleri
AirTight SpectraGuard yönetim konsolu ArcSight, CheckPoint,
McAfee ePO ve Qualys ile bilgi paylaşımı yapabilir. SNMP ve
Syslog kullanarak bunlar dışındaki yazılımlarla da iletişimde
olabilir. McAfee ePO konsolu sayesinde bütünleşik bir bilgi
güvenliği politikası için tek merkezden izleme ve raporlama
olanakları sunar.
Standartlar ve Uyumluluk Raporları
AirTight bazıları ülkemizde de önemli olan PCI DSS, SarbanesOxley (SOX), HIPAA, Gramm- Leach-Bliley (GLBA), and DoD
Directive 8100.2 gibi standartlar için hızlıca raporlar üretebilir.
Ayrıca bazı standartlarda bulunan gereksinimleri de hızlı ve
kolay bir çözüm olarak sağlayabilir.
• Sanal yerel ağlar (VLAN) için politika atamaları yapılabilir.
AirTight’ın Yönetimsel Faydaları
• Bulut tabanlı yönetim avantajı
• Kolay kurulum
• Tek merkezden yönetim
• Konum bazlı hiyerarşik yönetim
• Yerel yetkilendirme
Kablosuz ağ güvenliği günümüzde en ihmal edilen noktaların
başında geliyor. Ancak kablosuz ağlar için atak engelleme
sitemlerine (WIPS) gereken önem verilmiyor. AirTight ise bu
açığı kolay ve hızlı bir şekilde kapatmayı öneriyor.
Daha detaylı bilgiler için bizimle iletişime geçebilirsiniz. Güvenli
günler. «
Mayıs 2012 beyazşapka 11
Birant Akarslan
[email protected]
Yeni Nesil Atak Önleme
Sistemleri
Tehditler, artık eskisi gibi zamana ya da belirli bir IP aralığına yönelik
gerçekleşmiyor. Artık sektörel, kamusal ve günlük hayatımızı doğrudan
etkileyecek “gelişmiş sürekli tehditler” mevcut. Peki güvenlik sistemlerimiz
bu tip atakları karşılamak için yeterince gelişmiş mi?
Yeni Nesil Atak Önleme Sistemleri
Tehditler, artık eskisi gibi zamana ya da belirli bir IP aralığına
yönelik gerçekleşmiyor. Artık sektörel, kamusal ve günlük
hayatımızı doğrudan etkileyecek “gelişmiş sürekli tehditler”
mevcut. Peki güvenlik sistemlerimiz bu tip atakları karşılamak
için yeterince gelişmiş mi?
“Gelişmiş Sürekli Tehdit” nedir?
Gelişmiş Sürekli Tehditler geleneksel ataklar ile aynı
tekniklerden faydalanmalarına rağmen botnetlerden ve kötü
niyetli yazılımlardan farklıdırlar çünkü hedefleri stratejik
kullanıcılar üzerinden kurumların sahip oldukları önemli
varlıklara doğru tespit edilemeyen erişimler elde etmektir.
Gelişmiş Sürekli Tehditler, kurum saldırıya uğradığının farkına
varana kadar kuruma sinsice zarar verebilir. Tipik Gelişmiş
Sürekli Tehdit atak adımlarını aşağıdaki gibi özetleyebiliriz:
Yeni Nesil Atak Önleme Sistemi Nedir?
I. Sosyal Mühendislik Teknikleri belirli bireyleri hedefler
Oltalama atakları genel olarak kullanılan bir teknik olup
kullanıcıların başlangıç seviyesi kötü niyetli bir yazılımı
indirmelerini cazip hale getirir.
II. Gözcü sisteminin tesisi
Kötü niyetli yazılım kodu icra eder ve kötü niyetli
sistem ile bağlantıya geçer.
III. Süzme
Amaca yönelik kötü niyetli ve özelleştirilmiş yazılımlar sisteme
gönderilir. Saldırganın niyeti doğrultusunda uzak komutlar
çalıştırılır.
IV. Süreklilik
Saldırganlar atak için uygun anı kollarlar. Tespitin önlenmesi
amacıyla “run” komutları arasında sıkılıkla “sleep” komutları
çalıştırılır.
V. Amaçların Gerçekleştirilmesi
(Örn. veri toplama, sabotaj, vb.)
Verinin elde edilmesi için uzak komutlar çalıştırılır, uygulamalar
değiştirilir ve sistemler sabote edilir.
12 beyazşapka Mayıs 2012
Atak Önleme Sistemleri 2000’li yılların başında selefleri olan
Atak Tespit Sistemleri’nin ataklara karşı tek başına herhangi bir
koruma sağlayamamasından dolayı geliştirilmişti. Her ne kadar
Atak Tespit Sistemleri, diğer bazı güvenlik sistemleri (aktif
cihazlar, güvenli ağ geçitleri, vb.) ile bütünleşik olarak çalışıp
atak amaçlı bağlantıyı belirli bir süre bloklayabilse de mimari
anlamda bünyelerinde belirli eksiklikler barındırmaktalardı.
Akla ilk gelen sorunlar paket kaçırma, sadece TCP bazlı
bağlantıları Reset paketleri ile bloklayabilme olarak sıralanabilir.
Atak Önleme Sistemleri ise tüm ağ trafiğini kendi üzerlerine
alarak kurumlara hem koruma amaçlı ek bir güvenlik seviyesi
getirdiler hem de performans anlamında ağ altyapılarına ciddi
katkıda bulundular.
Son yıllarda gelişen Web teknolojileri ve Web 2.0 tabanlı
uygulamalar, giderek sayıları artan “Gelişmiş Sürekli Tehditler”,
artan bantgenişlikleri, mevcut atak önleme sistemlerinin
farklı özelliklere sahip olması gerekliliğini ortaya koymakta.
Bu bağlamda bilişim konusunda faaliyet gösteren üretici
firmaların ve analistlerin buluştuğu ortak nokta, ağ tabanlı atak
önleme sistemlerinin artık ağdan çok kullanıcı tarafına yönelik
korumalar sağlaması yönünde. Burada amaç makine bazlı
atak önleme sistemlerinin (Host IPS) yerine geçmekten ziyade
istemcinin yapacağı uygulama bazlı etkinlikleri takip etmeye
yönelik bütünleyici bir çözüm sağlamak yönünde.
Yeni nesil bir atak önleme sisteminden beklentiler en az
aşağıdaki gibi olmalıdır:
1. Ağ operasyonlarını etkilemeyecek biçimde hatta (in-line)
çalışabilme özelliği
2. Temel atak önleme sistemi yeteneklerine sahip olma: Zaafiyet
ve tehditlere karşı imza tabanlı koruma. Kablo hızında tespit ve
bloklama. Tehditlere karşı atak imzalarının üretici tarafında
en kısa zamanda yazılıp sistem üzerinde güncellenebilmesi.
Mevcut sistemlerle bütünleşik çalışarak bloklama yapabilmesi.
3. Uygulama farkındalığı ve tüm seviyelerde görünürlük:
Atak önleme sistemi uygulamaları tanımlayabilmeli, ağ
güvenlik politikasını, port ve protokolden bağımsız olarak,
sadece port, protokol, ve servisten çok uygulama seviyesinde
icra edebilmelidir. Atakların bloklanabilmesi, kötü niyetli
uygulamaları da tanıyarak bloklamayı içermelidir.
4. Bağlam farkındalığı: Gelişmiş seviyede bloklama
kararı verebilmek ve bloklama kural tablosunu anlık
olarak değiştirebilmek için atak önleme sistemi dışındaki
kaynaklardan bilgi alabilme. Kullanıcı kimliklerine ait bilgiler
alıp kararlar verebilmek için kullanıcı dizin entegrasyonlarını
desteklemeli, zaafiyet, yama durumu ve coğrafi bilgiler bazında
(örneğin bağlantının kaynağı neresidir veya neresi olmalıdır)
değerlendirme yaparak etkin bloklama kararları alabilmelidir.
Ayrıca IP adres temelli beyaz liste ve kara liste gibi itibar
bilgileri ile bütünleşik çalışabilmelidir.
ise aşağıdaki şekilde sıralanabilir:
• Güvenlik verimliliğini arttırmak için atak önleme politikalarına
ince ayarlar yapma ihtiyacını ortadan kaldırma
• Manuel olay ilişkilendirme ve uyarı verme işlemlerini otomatik
hale getirme
• Çoğul araç ve ekranlar kullanmadan uçtan uca atak
görünürlüğü için olay girdilerini ilişkilendirebilme
• Sezgisel ve bilgilendirici ekranlar için yukarıda bahsi
geçen şekilde bağlam farkındalığı ve
entegrasyonu
• Kurumsal politikayı yansıtan uygulama
merkezli, basit kontroller
• Doğal vaka araştırması ve çözümüne
uygun iş akışları
Şimdi de yeni nesil atak önleme
sistemlerinin
kurumumuzu
hangi
aşamada
koruyacağından
kısaca
bahsedelim.
5. İçerik farkındalığı: Kuruma doğru gelen bağlantılardaki
icra edilebilir kodları, PDF ve Microsoft Office dosyaları gibi
antivirüs taramasından geçmiş diğer benzer dosya tiplerini
denetleyip sınıflandırabilmeli, aynı işlemleri kurumdan dışarı
çıkan bağlantılar için de gerçekleştirebilmelidir. Gerçek zamana
yakın bir anda izin verme, bloklama veya karantina altına alma
kararlarını verebilmelidir.
6. Hızlı ve Esnek Atak Motoru: Gelecekteki tehditleri
karşılayabilecek yeni bilgi besleme mekanizmalarını ve
tekniklerini destekleyecek güncelleme yöntemlerine açık
olmalıdır.(1)
Yukarıda adreslenen minimum gereksinimlerin yanısıra ağ
tabanlı atak önleme sistemleri ile ilgili diğer bir beklenti de
operasyonel yükü önemli ölçüde hafifletmesidir. Aksi halde gizli
ve çok katmanlı atakların araştırılması ve engellenmesi uzun
zaman alacak bu da operasyonel yük ve maliyetlerin artmasına
sebep olacaktır. Genel olarak yeni tehditlere karşı koyabilmek
için gerekli olan insani tecrübe çoğu kurumdaki insan
kaynağından fazladır. Yeni nesil atak önleme sistemleri, ağır
iş yükünü üstlenebilmeli, ast kadroya doğru yönlendirmelerde
bulunmalı ve böylece manuel vaka ilişkilendirmesi yerine
politika ve ataklara cevap verilmesi yöntemleri üzerine
odaklanılmasına önayak olmalıdır.
Yeni nesil atak önleme sistemlerinin kritik yönetim yetenekleri
Gelişmiş sürekli tehditlerin tespiti
ve önlenmesi noktasında iki safha
mevcuttur.
Bunlardan
birincisi
olan erken safhada, henüz istismar
gerçekleşmemiş olup kurum sessiz bir
biçimde atak altındadır. Yeni nesil atak
önleme sistemleri bu safhada şüpheli
bağlantıların tespitinde önemli rol oynarlar. Ataklar genel
itibariyle sıklıkla, kötü niyetli etkinlik göstermiş IP adresleri, web
siteleri dosya ve eposta sunucuları kullandıklarından üzerinde
ve bulutta anlık itibar bilgisi bulunduran sistemler, güvensiz
kaynaklardan gelebilecek bağlantıları rahatlıkla engellerler.
İkinci durum olan geç safhada ise güvenlik istismar edilmiş ve
kurum zarar görmeye başlamıştır. Bu safhada, veri transferinin
gideceği noktanın tespiti ve engellenmesi, yeni nesil atak
önleme sistemleriyle mümkündür. Bu şekilde dışarıya doğru
olan veriye itibar bilgisi tatbik edilerek şüpheli IP adreslerine
doğru standart dışı portlardan kurulan bağlantıların tespiti ve
bloklanması mümkün olur.
Saygılarımla,
Birant Akarslan
[email protected]
[email protected]
Twitter: www.twitter.com/CokNetGuvenlik
Facebook: www.facebook.com/CokNetGuvenlik
(1) John Pescatore, Greg Young, Gartner, Defining Next-Generation Network
Intrusion Prevention, 7.11.2011 «
Mayıs 2012 beyazşapka 13
İrfan Kotman
[email protected]
Password Sniffing
Bilgisayarınızda Kullandığınız Şifrelerin Ne Kadar Güvende Olduğunu
Düşünüyorsunuz?
Son yıllarda gelişen teknoloji ile beraber şifreler hayatımızın
değişmez bir parçası haline geldi. İş hayatından, bankacılık
işlemlerine, cep telefonlarından, kuramsal ya da kişisel
bilgisayarlarımıza kadar hayatımızın birçok noktasında şifreler
kullanmak zorunluluğu doğdu.
Peki bilgisayarımızda kullandığımız şifrelerin, kötü niyetli kişiler
tarafından kolaylıkla çalınabileceği aklımıza geliyor mu?
İnternetin gelişmesi ile birlikte kullanıcılar şifre ele geçirme
programlarına kolaylıkla ulaşabilmektedir. Artık arama
motoruna yazılan birkaç anahtar kelime ile bu tür programlar
kolaylıkla indirilebilmekte, kullanımı ile ilgili detaylara
ulaşılabilmektedir.
Bu sayımızda örnek bir şifre ele geçirme yazılıma ne kadar
kolay ulaşılabileceğini ve kullanıcı şifresinin nasıl kolaylıkla
ele geçirilebileceğini küçük bir örnek üzerinden anlatmaya
çalışacağız.
Anahtar Kelimenin Belirlenmesi
Şifre ele geçirme programlarına ulaşmak için internet
kullanıcıları genelde password hacking, password stealer,
password cracking gibi anahtar kelimeler kullanmaktadır. Her
aramada olduğu gibi bu tür programların aranması sırasında
kelimeler özelleştirildikçe şifre ele geçirme programlarına
ulaşmak daha da kolaylaşmaktadır.
Bizde örneğimizde kullandığımız kelimeleri biraz daha
özelleştirerek 4 anahtar kelime yardımı ile aramamızı
gerçekleştirdik. “Password Sniffing Cracking Tool” anahtar
kelimelerini istediğimiz türde bir programa erişmek için
seçtik ve aramamızı gerçekleştirdik. Arama sırasında çıkan
sonuçlardan ilkini tıkladık ve “Cane&Abel” programına ulaştık.
Programı bilgisayarımıza indirerek kısa sürede kurduk.
“Cane&Abel” programı anti virüs yazılımımız tarafından kötü
içerikli bir yazılım olarak görüldüğü ve silindiği için testler
sırasında bilgisayarımızda anti virüs yazılımımızı devre dışı
bıraktık.
Anahtar kelimelerimiz olan “Password Sniffing Cracking Tool”
ile yapılan arama sonucu karşımıza çıkan ilk link olan
http://www.oxid.it/cain.html adresine giriyoruz ve “Cain&Abel”
programını bilgisayarımıza indiriyoruz. “Cain&Abel” programını
bilgisayarımıza saniyeler içinde kuruyoruz.
14 beyazşapka Mayıs 2012
Biz aramayı biraz daha özelleştirerek ağı dinlemesini
gerçekleştireceğimiz yazılımı bulmak için,
İndirdiğimiz
“Cane&Abel”
programını çalıştırıyoruz.
Cain & Abel Microsoft işletim sistemleri için tasarlanmış
bir programdır ve ağ üzerinden trafiği dinleyerek (sniffing)
şifrelerin ele geçirilmesini sağlar. İsmini kutsal kitaplarda geçen
Habil ile Kabil hikâyesinden almıştır.
Cane&Abel programı yardımı ile FTP, POP3, SMTP, IMAP, HTTP,
LDAP gibi birçok protokol üzerinde kullanılan kullanıcı adı ve
şifreleri ele geçirme şansını yakalayabilirsiniz. Bunun yanında
Cracker özelliği ile “hash” ler alabilir ve program üzerinde
bulunan Rainbow tabloları ya da elinizdeki Rainbow tabloları
yardımı ile hash’leri çözümlemeye çalışabilirsiniz.
Cane&Abel programı temelde ağ üzerinde Sniffing, Brute
Force, Dictionary Attack gibi atak yöntemlerini kullanmak için
tasarlanmıştır.
Programın Kullanımı
“Cain&Abel” programı üzerinde “Sniffer” menüsüne
girerek “Scan Mac Adresses” i çalıştırıyoruz ve ağ üzerinde
bulunan bütün makineleri belirliyoruz. (Elde edilen sonuçlar
gözden geçirilerek şifre çalma işleminin gerçekleştirileceği
bilgisayarlara rahatlıkla karar verilebilir.)
Sniffer menüsünde bulunan APR sekmesini aktif hale
arama ile indirilen küçük program ile ağ dinlenmesi (sniffing)
yapılabilmekte ve programda yapılan birkaç küçük ayar ile
kullanıcının kullanıcı adı ve şifre bilgileri ele geçirilebilmektedir.
getiriyoruz ve hedef makinenin APR zehirlenmesine maruz
kalması sağlıyoruz. (Bir IP adresine karşılık, sahte bir MAC
adresi oluşturulmasına ARP zehirlenmesi adı verilir.)
Zehirleme
işlemi
başlatıldıktan
sonra
kurban
makine
Bunun yanında USB bellekler üzerinde çalışan şifre çalıcı
programlar, mobil cihaz şifrelerini çalmak için tasarlanmış
yazılımlar gibi birçok şifre çalma aracına ulaşılabilmekte ve
çeşitli şifre ele geçirme yöntemleri kullanıcılar tarafından
kolayca uygulanabilmektedir.
Şifre çalma işleminin zorlaştırılması için ilk tavsiye olan
karmaşık ve uzun şifreler kullanmak, örneğimizde olduğu gibi
ağ üzerinden geçen trafiğin “clear text” olduğu durumlarda
etkili olmamaktadır. Kullanıcı tarafından verilen şifrenin basit
ya da karmaşık olması şifrenin ele geçirilmesi işlemini hiçbir
şekilde etkilememektedir.
“Alınabilecek Önlemler” başlığı altında bahsedeceğimiz birkaç
küçük önlem ile ağ üzerindeki yapılabilecek dinleme (sniffing)
işlemlerinin önüne geçilebilmektedir.
kullanıcısının yapacağı hatayı beklemeye koyuluyoruz.
Aşağıdaki örnekte olduğu gibi kullanıcıların çok büyük bir
çoğunluğu karşılarına çıkan uyarıları genelde “EVET” tuşuna
tıklanayak geçmektedir.
Kullanıcı tarafından sertifika uyarısının kabul edilmesi
Alınabilecek Önlemler
En etkili yöntem ağ üzerinde trafiğin şifrelenmesidir.
(IPsec,SSH,TLS,SSL gibi) ;
Şirket içi veya şirket dışı kullanıcıların bu tip zararlı yazılımları
bilgisayarlara kurmasını engellenmek amacı ile uygulama
kontrolü yapan yazılımları sistemdeki makineler üzerine
kurularak şirket içi bilgisayarlardan yapılabilecek dinleme
işlemlerinin önüne geçilebilir. Bunun yanında kullanıcıların
makinelere program kurma haklarının kısıtlanması ile de geçici
çözümler üretebilir.
Şirket bünyesinde güvenlik seviyelerine göre VLAN’lar
oluşturabilir.
Arp watch, Promiscan gibi anti sniffer araçları ile ağda bir
dinleme işleminin yapılıp yapılmadığının tespit edilmesi
sağlanabilir.
sonucunda görebileceğiniz gibi kullanıcının Outlook üzerinde
kullandığı kullanıcı adı ve şifresini kolaylıkla ele geçirebiliyoruz.
Switch portları üzerindeki güvenlik sistemleri aktif hale
getirilebilir ve izinli IP ler için ARP tabloları oluşturabilir. «
Yazımızda verdiğimiz örnekte olduğu gibi internetten basit bir
Mayıs 2012 beyazşapka 15
Mehmet Gülyurt
[email protected]
Geçmişten Bugüne Bilgilerinizin
Güvenliğini Sağlayan En Etkili Yöntem:
ŞİFRELEME
Günümüzde bilgiyi artan tehditlere karşı korurken aynı zamanda
yönetmeliklere uyum sağlayabilmek sizce mümkün mü?
Evet, mümkün. Çözüm önerimiz yıllardır kullanılan bir
yöntem “ŞİFRELEME”
Günümüz dünyasında bilgi teknolojilerinin hızlı bir şekilde
yayılması artık bilgilerin sahiplerini, verilerin başka kuruluşlara
emanet etme zorunluluğunu da beraberinde getirmiştir.
Çoğumuzun sahip olduğu kimlik bilgileri, telefon ya da özel
iletişim bilgileri birçok hackerin iştahını kabartmış, özel
bilgilerimiz ideolojik ya da ticari amaçlarla saldırganların
hedefleri haline gelmiştir.
Bilgi değerinin artması, beraberinde riskler getirmiş, bilginin
korunması ise belirli standartlar çerçevesinde oluşan proaktif
politikalar doğrultusunda gerçekleşebildiği görülmüştür.
Sunulan çözüm ne olursa olsun amacımız her zaman riskleri
azaltmaya yönelik olmalıdır. Bu alanda önerilebilecek en yaygın
ve eski teknoloji ise şifrelemedir. Şifreleme teknikleri M.Ö
700’lü yıllardan bu yana kullanılmış ve günümüze kadar askeri,
sivil pek çok alanda başarı ile bilgiyi koruyarak görevini yerine
getirmiş bir yöntemdir.
Sultanların ve kralların yüzüklerinde taşıdıkları mühürler
tartışmasız bu alanda kullanımın ilk kanıtıdır. Bugün tek
kullanımlık şifreler, dijital imzalar ve diğer kimlik doğrulama
yöntemleri için güçlü şifreleme algoritmaları kullanılıyor.
Geçmişte devlet kurumlarının yaşanacak bilgi kayıplarını
önlemek için yapmış olduğu düzenlemeler, bugünün
küreselleşen dünyasında yerini PCI DSS, ISO 27001 gibi
uluslararası bilgi güvenliği yönetmeliklerine bıraktı. Geçmişte
yapılan başarılı uygulamaların yanı sıra, bu alanda bazı
başarısız uygulamalar da olmuştur. Örneğin Enigma. İster
savaş anında iletişim için ister ticaret amaçlı bir kullanım
için kripto anahtarlarının korumasız ya da bilginiz dışında
silinebiliyor olması verilerinizin korumasız olduğu manasına
gelir. Dolayısıyla şifreleme yapılan sistemlerde güvenliğiniz için
kripto algoritmalarının ve anahtarların merkezi ve güvenli bir
platformda yönetimi bir güvencedir ve esastır.
Merkezi Anahtar Yönetimi
Kriptoloji bazı sistem yöneticilerinin korkulu rüyası olsa da,
kaygıların büyük bir sebebinin tanım ve bilgi eksikliğinden
16 beyazşapka Mayıs 2012
kaynaklandığı bir gerçek. Şifreleme tekniklerini en efektif
bir şekilde kullanmanın yolu anahtarların merkezi bir şekilde
yönetilmesinden geçmektedir. Şifrelemede kullandığınız tüm
anahtarları güvenli bir platformda toplamanız sizlere; kullanılan
anahtarların ne tipte olduğu, hangi uygulamalar tarafından
kullanıldığını, ne zaman yenilenmesi gerektiği gibi bilgilerin
tutulmasında yardımcı olacaktır. Dağıtık sistemlerde yer alan
anahtarların gerektiğinde kolaylıkla daha yeni ve güncel bir
algoritmaya çevrilebilmesi hem zor hem de risklidir. Bu sebep
ile anahtarlar güvenliği ispatlanmış, kriptografik fonksiyonları
çalıştırmaya uygun güvenli donanım modülleri üzerinde
saklanmalıdır.
Anahtarların güvenli bir şekilde yönetilmesinde her kurumun
kendine ait kripto anahtarları yönetimi prosedürü bulunmalıdır.
Anahtar yönetiminde kullanmış olduğunuz sistem bir anahtarın
yaşam döngüsünde (oluşturma, iletme, kullandırma ve imha
etme) yer alan tüm adımları işletmenize yardımcı olmalıdır.
Uyumluluk ve Uygulanabilirlik
Yönetmeliklere uyumluluğun sağlanması risklerinizi en aza
indirmekte faydalı olacak bir takım bilgiler içereceği için iyi
uygulanmalı ve takip edilmelidir. Sisteminizde bulunan yapısal
ya da yapısal olmayan bilgileriniz, örneğin veri tabanları ya da
raporlanmış bir dokümanının kritik şirket bilgilerini içermesi bu
bilgilerin korunması gerektiği manasına geliyor. Bu alanda yer
alan güvenlik standartlarından PCI DSS her ne kadar kredi kartı
ile ilgili işlem yapan firmaları kapsıyor olsa da her türlü bilginin
korunmasında izlenmesi gereken gereklilikler içeriyor. Örneğin
PCI DSS 2.0 versiyonu 3. maddesinde kredi kartı bilgilerinin
korunmasına yönelik olarak, 3.5.1 bilgilerin korunmasında
efektif bir rol oynayan kripto anahtarlarının yetkisiz erişimler
tarafından korunmasını, 3.5.2 anahtarların güvenli bir şekilde
saklanmasını, 3.6 ise güvenli bir şekilde anahtarların oluşturulup
kullanılması gibi önemli yönergeler içeriyor.
Bütün bu korumalar sağlanırken kolay bir şekilde entegrasyon
ve yönetim imkanı sağlayan SafeNet Datasecure platformu, bu
alandaki ihtiyaçlarını karşılamaya yönelik bir çok özelliğe sahip.
bulunan bilgilerinizi şifrelerken yine diğer
çözümlerin aksine kullanmış olduğunuz
kripto anahtarı sunucunun üzerinde değil
özel bir kripto cihazı olan Datasecure
platformu üzerinde saklanmaktadır. Bu
ise güvenlik ve performans noktalarında
engellere takılmanızı önler. SafeNet
Datasecure çözümü Oracle, MS SQL,
Teradata ve DB2 gibi birçok veri
tabanını sürümlerinden bağımsız bir
şekilde destekler. Sütun ve tablo tabanlı
bilgilerinizi şifreleme imkânı sunar.
.
Bilgilerinizin korumaya alınmasında ihtiyacınız olan tüm
anahtar yönetim prosedürlerini PCI DSS 2.0 uyumluluğu
kapsamında kolay bir şekilde yönetiminize imkan sağlarken,
sahip olduğu eklentiler sayesinde uygulamanız ile kolaylıkla
entegre edilebiliyor.
Ayrıca Datasecure platformu ile yalnızca
veri tabanı şifreleme işlemlerini değil,
kripto anahtarlarınızın yönetimi, dosya şifreleme, uygulama
seviyesinde şifreleme gibi bir çok kripto işlem ihtiyacınızı
karşılayabilirsiniz. Uygulamanızda yapacağınız çok basit kod
değişiklikleri ile .Net, Java, C gibi platformlarda direkt olarak
şifreleme fonksiyonlarını kolaylıkla çalıştırabilir, hızlı ve efektif
bir şifreleme sistemine geçiş yapabilirsiniz.
Datasecure platformu geleneksel HSM’lerden
farklı olarak bir kullanıcı arabirimine sahiptir.
GUI üzerinden anahtar yönetim işlemlerini
kolaylıkla gerçekleştirebilirsiniz. Ayrıca ilerleyen
zamanlarda farklı platformların (örn: veri
yedekleme) sahip olacağı, geleceğin kripto
yönetim protokolü olan “OASIS KMIP” ’in
yönetimini Datasecure ile rahatlıkla yapabilirsiniz.
SafeNet Datasecure ile Veritabanı Güvenliği
SafeNet Datasecure çözümü ile veri tabanı
uygulamanız için Advanced Security lisansına
sahip olmadan tablo ve sütun tabanlı
Transparent Database Encryption yapabilmeniz
mümkündür. Geleneksel çözümlerin aksine
8i’den 11g R2 versiyonuna kadar veri tabanında
Sonuç
Şifreleme teknolojileri günümüzde bilgi korumaya yönelik
kullanılabilecek en etkili yöntemlerin başında gelmektedir.
Fakat şifreleme işlemlerinin güvenliği ve sağlamlığı anahtarların
iyi bir şekilde yönetilmesine bağlıdır. Yapacağınız yatırım
sizlere şifrelemeyi kolaylaştıran, yönetmeliklere uygun ve farklı
yapılardaki mimarilere uyum sağlayabilecek altyapıya sahip
olmalıdır. Çünkü şifreleme yapılmamış bir güvenlik altyapısını
düşünmek mümkün değildir. Aynı zamanda bu teknoloji dün
olduğu gibi çeşitli yenilikleri de içerisine katarak bugün ve yarın
da bilgilerimizi başarılı bir şekilde korumaya devam edecek. «
Mayıs 2012 beyazşapka 17
Mustafa Çetin
[email protected]
DLP Projesi Başarı Kriterleri
Bilgi kayıplarını önleme (Data Loss Prevention) ne DLP ürünü ile başlayan ne de biten bir
iş. Daha çok bir süreç tasarımı. İlk değil ama en önemli adımlarından birisi ürün seçme
aşaması. Peki ürün seçerken hangi kriterleri göz önünde bulundurmalıyız?
Data Loss Prevention Ürünü Seçim Kriterleri
Raporlama
Ürün, hem iş birimlerinin hem de IT uzmanlarının
gereksinimleri karşılayacak düzeyde bir raporlama
çözümü sunmalıdır. Arayüz, rapor inceleme ve oluşturma
ekranları kullanıcı dostu, açık ve anlaşılır olmalıdır. Aynı
zamanda detaylara kolaylıkla erişilebilmelidir. Rapor üretim
performansı da önemlidir.
Ürünün sunduğu yönetimsel, trend ve karşılaştırma raporları,
olay yönetimi, mevcut politikalar ve politika değişimleri
raporları ve kalitesi DLP sürecinin işleyişi açısından anahtar
özelliğe sahiptir.
Forensic Verileri
Forensic verilerin yeterli detay içermesi, farklı bölüm,
birim ve kişilerin forensic veriler içerindeki farklı detayları
görebilmesi, verilerin şifreli bir şekilde tutulması ve şifreli
bir kanal üzerinden gönderilmesi göz önüne alınabilecek
bazı önemli kriterlerdir. İyi yönetilmeyen ve yeterli güvenliği
sağlanmayan forensic veriler başlı başına bilgi kayıplarına
neden olabilir.
yaygınlaştırmasını kolaylaştıracaktır.
• Farklı içerik analizi ve tespit metotları (keyword, regular
expression, partial document matching, fingerprinting,
data identifier, dictionary) birlikte kullanılarak farklı iş
birimleri, bilgi tipleri, kanal ve lokasyon bilgilerine göre
politika oluşturulabilmelidir.
• Aktif dizin kullanıcı ve kullanıcı grupları, makine, cihaz
tipi (taşınabilir cihazlar), lokasyon ve IP adresi gibi
kriterler için yeterince detaylı istisna (exception) kuralları
tanımlanabilmelidir.
• Politikalarda türkçe desteği ve Türkiye’ye özel bilgilere
ait (TC kimlik no, vergi numarası) veri tanımlayıcı (data
identifier) olması önemlidir.
• False positive oranını düşürmek ve olayları seviyelendirmek
konusunda esnek bir yapı sunması gerekmektedir.
• Ürün üzerinde oluşturulan politikaların farklı kanallar
(endpoint, network, discovery) üzerinde ortak olması
politika yönetiminin kullanılabilirliği açısından olmazsa
olmaz bir şarttır.
Olay Yönetimi
Discovery
DLP ürününün, bilgi kayıplarına ilişkin oluşturulan
prosedürleri desteklemesi ve şekillendirmesi gerekmektedir.
Discovery modülü DLP projesinin olmazsa olmaz bir
parçasıdır. Bilginin nerede beklediğini ve nerelerde
kullanıldığını keşfetmek, iş süreçlerinizi keşfetmenizde,
bilgi kaybı risklerinizi belirlemenizde ve bilgi sınıflandırması
konusunda anahtar rol oynayacaktır.
• Olayların bilgi sahipliğine göre atanabilmesi
• Eskalasyon imkanları
• Olay yönetimine katılacak katılımcıların olaylar ile ilgili
farklı seviyede detay görebilmesi
• Son kullanıcıların olaylarla ilgili savunma (justification)
veya geribildirim sunabilmesi
• 3. parti bir olay yönetim ürünü ile entegre edilebilmesi
Politika Yönetimi
• DLP ürünü, sektöre ve uyumluluk gereksinimlerine göre
hazır politika, politika şablonları ve kurallar içermelidir.
Politika şablonunun kalitesi DLP projesinin başlangıçta
18 beyazşapka Mayıs 2012
Desteklenen discovery kanalları (veritabanı, dosya sistemi,
web siteleri, shareportal), bu kanallar üzerinde ne kadar
etkin keşif yapılabilediği ve sonuçta hangi detayların
raporlanabildiği göz önünde bulundurulması gereken önemli
konulardır. Bilginin kaynağı, içeriğin sahibi, oluşturulma ve
değiştirilme zamanları raporlanabilmelidir. Ayrıca farklı
zamanlarda yapılan içerik taramalarında içeriklerin takip
edilebilmesi ve farkların raporlanabilmesi önemlidir.
Endpoint Çözümü
• Ürünün, endpoint ajanlarının uzaktan yönetimi, dağıtımı,
versiyon yönetimi, sağlık kontrollerinin
konusunda sunduğu çözümler
yapılması
• Performans değerleri
• Son kullanıcı makinelerinde takip edilebilen kanallar
bir 3. parti uygulama ile (Titus) yapılması ve EDRM ve DLP
politikalarının bu sınıflandırılmaya göre şekillendirilmesi
işleri epey kolaylaştıracaktır.
Security Information Event Management (SIEM)
• Şifre korumalı ajan kurulumu
DLP çözümü ile SIEM çözümleri entegre bir şekilde
çalıştığında birbirlerinin eksiklerini tamamlayan çözümlerdir.
SIEM çözümü bilginin akışı ile ilgili tüm denetim izlerine
sahiptir. Ancak içerikten habersizdir. DLP ürünü üzerinde
tespit edilen olaylar ile SIEM ürünü beslenirse bilgi akışının
tamamı net olarak görülebilir. Ayrıca DLP ürününün politika
değişimleri ve erişimler gibi denetim izleri SIEM ürünü
üzerine aktarılarak raporlanabilir.
Network Çözümü
E-Mail ve USB Şifreleme
• Desteklenen protokol ve kanallar
• İzleme (monitor) ve bloklama (protect) modları için
sunulan çözümler
DLP ürününün, iş süreçleri dahilinde taşınabilir dosyalara
atılması ve e-mail olarak gönderilmesi gereken önemli
bilgilerin şifreleme ihtiyaçlarına yönelik çözüm sunması
önemlidir.
• Web ve e-mail trafiği konusunda entegrasyon seçenekleri
Dosya Erişim Denetim Sistemi
• Network trafiği izleme ve bloklama seçenekleri performans
değerleri
Dosya sistemi üzerinde keşfedilen önemli içeriklere ait erişim
bilgileri, içeriklerin sahipliği ve kullanımına ait detayların
tespit edilebilmesi açısından önemlidir. İçeriklerin sahipliği
ve kullanımı, iş süreçlerinin tespiti ve içeriğe uygulanacak
aksiyonların belirlenmesi açısından önem arzetmektedir.
• Taşınabilir diskler konusunda ürünün sunduğu çözümler
(şifreleme, seri numarasına göre istisna tanımlanabilmesi)
• Remote bypass özelliği
• Platform ve işletim sistemi desteği (Linux ve MAC desteği)
Konumlandırma Seçenekleri
• Desteklenen işletim sistemi ve platformlar (Windows veya
linux, sunucu veya appliance, sanal desteği)
• Sunucu ve donanım gereksinimleri
Mobil Güvenlik
• Uzak ofisler için sunulan çözümler
Mobilite, artık iş süreçlerinin bir parçası haline gelmiştir ve
buna paralel olarak bilgi kaybına ait riskler hızla artmaktadır.
DLP ürününün mobil güvenlik anlamında sunduğu çözümler
(Mobile Device Management çözümü entegrasyonu) riskleri
minimize etmek açısından önemlidir.
3. Parti Ürünlerle Entegrasyonu
Sonuç
• Ölçeklendirilebilirlik,
seçenekleri
esneklik
ve
kapasite
arttırımı
Enterprise Digital Rights Management
EDRM çözümleri, uygulanması ve yönetimi zor, prosedür
ve akışları iyi oluşturulduğunda, DLP ile entegre bir şekilde
üst düzey bir güvenlik sağlayan bir çözümdür. DLP ve EDRM
entegrasyon ile farklı yönden düşünülebilir:
• Data at Rest: DLP ürününün keşfettiği önemli bilgilere
EDRM çözümü üzerinden ilgili politikaların uygulanması
• Data in Motion: DLP üzerinde hereket halinde verilere
uygulanacak politikalarda ve aksiyonlarda içerik üzerine
uygulanmış EDRM politikalarının kontrol edilmesi
Bilginin ilk oluşturulması aşamasında sınıflandırılmasının
Amaç değerli olan bilgiyi korumak. DLP, ne DLP ürünü ile
başlayan ne de biten bir iş. Sadece IT değil, iş birimleri,
insan kaynakları ve denetim birimlerini de kapsayan bir
süreç. Son kullanıcının bilinçlendirilmesi de bunun bir
parçası, güvenlik politikaları da. Bilgi kayıplarına yönelik
risk analizini yapmalısınız, bilgilerinizi sınıflandırmalısınız,
bilgi kayıplarınızı önleme yönünde sorumlulukları ve bilgi
sahiplerinizi belirlemelisiniz, iş akışlarınızı ve bilginin
işlenişini ve süreçlerinizi keşfetmelisiniz. DLP ürünü tüm
süreçlerin tam ortasında yer alan bu süreçleri destekleyen
ve şekillendiren bir çözüm. Bu açıdan sizin beklentilerinizi en
çok karşılayan ve yapınıza en uygun ürünü seçmek, projenin
başarısı açısından kritik öneme sahip.«
Mayıs 2012 beyazşapka 19
Armağan Zalooğlu
McAfee Ülke Müdürü
Nebula ekibi ile tanışıklığımı Nebula’nın kuruluşundan öncesine dayanıyor. On yıldan uzun süredir
ortak projeler gerçekleştirme ve beraber çalışma şansına eriştiğim bu ekibin üyelerinin işlerine
duydukları saygı ve harcadıkları yoğun emeğe çok kereler tanık oldum. Sunduğu teknolojileri
eksiksiz öğrenmek icin gösterdiği kesintisiz çaba ve prensipli çalisma anlayışı ile müşteri
memnuniyeti sağlamayı hedefleyen Nebula, yaptığı işin hakkını tam anlamıyla veren bir firma. Ek
olarak Nebula’nın Beyaz Şapka ve Nebula TV gibi insiyatiflerle bilişim ve güvenlik sektöründe bilgi
paylaşımı için aracı olma görevini üstlenerek önemli bir eksikliği doldurduğunu da düşünüyorum.
Cihan Yüceer
Kuveyt Türk Katılım Bankası Bilgi Güvenlik Yönetmeni
Nebula ve teknik ekibi ile 4 yıl öncesinden çalışmaya başladım. 4 yıldır birçok projeler
gerçekleştirme imkanına sahip oldum. Sundukları servis hızı, kalitesi, müşteri memnuniyeti ve
yaptıği işin hakkını tam anlamıyla veren bir firma olması Nebula`yı ön plana çıkaran en önemli
özellikleridir. Yönettiğimiz sistemlerle ilgili yeni sürüm güncellemeleri çıktığında bizleri hızlı bir
şekilde haberdar eden ve yönlendiren bir ekibe sahiptir. Yine en göze çarpan özellik olarak projeler
bittikten sonra sistemleri rutin aralıklarla kontrol etmeleridir. Müşterinin istediğini hızlı bir şekilde
analiz edip çeşitli çözüm yollarını sunabilen bir firma olması güvenlik dünyasında önemli bir başrol
oyuncusu olmasını sağlamaktadır.
SPONSORLARIMIZ
www.nebulabilisim.com.tr
Beyaz Şapka’ya katk›lar›ndan dolay› tüm sponsorlar›m›za ve yazarlar›m›za teşekkür ederiz.
Yay›nlanan yaz›lar›n ve görsellerin tüm sorumlulu€u yazarlar›na aittir.
Lütfen her konuda fikrinizi yaz›n.
www.nebulabilisim.com.tr
[email protected]