bölüm 8 - Doç. Dr. Serkan Ada

BÖLÜM 8
Bilişim Sistemleri Güvenliği
Doç. Dr. Serkan ADA
Bilişim Sistemleri Güvenlik Açıkları
Güvenlik bilişim sistemlerine yönelik yetkisiz erişimi, değiştirmeyi, hırsızlığı
veya fiziksel hasarları engellemek için var olan kurallar, prosedürler ve
teknik önlemlerdir.
Güncel Güvenlik Zorlukları ve Güvenlik Açıkları
Bilişim Sistemleri Güvenlik Açıkları
Kablosuz Güvenlik
WEP (Wired Equivalent Privacy) ilk güvenlik standardıdır ve çok etkili
değildir.
WPA2 (Wi-Fi Protected
Access 2) daha güçlü
şifreleme ve yetkilendirme
sağlar.
Bilişim Sistemleri Güvenlik Açıkları
Kötü Amaçlı Yazılımlar
• Bilgisayar virüsü kendisini diğer yazılımlara veya veri dosyalarına
çalıştırılmak için genellikle kullanıcının bilgisi ve izni dışında ekleyen bir
yazılımdır. Verileri ve yazılımları yok edebilir, sabit diski yeniden
biçimlendirebilir, yazılımların yanlış çalışmasına sebep olabilir.
• Solucanlar ise kendilerini bir ağdaki bilgisayardan diğerine kopyalayan
bağımsız, kendi kendine çalışan bir yazılımdır. Veri ve programları yok
edebilir, bilgisayar ağlarının faaliyetlerini kesintiye uğratabilir.
•
Virüsler ve solucanlar internet aracılığıyla yayılırlar. Yayılma yazılım
dosyalarından, e-posta iletilerinden kaynaklanabilir.
•
Truva atları, tehlikesiz gibi görünüp daha
sonra beklenenden farklı şeyler yapan
yazılımlardır.
Bilişim Sistemleri Güvenlik Açıkları
Kötü Amaçlı Yazılımlar
• Klavye kayıtçıları (keylogger), bir bilgisayardaki tüm klavye hareketlerini
kaydeder. Bu yolla her türlü şifre, kredi kartı numarası, kişisel bilgi vb.
tespit edilebilir.
Bilişim Sistemleri Güvenlik Açıkları
Kötü Amaçlı Yazılımlar
• Casus yazılımlar (spyware), bir uygulamanın üstüne yerleşerek gizlice
kendi kendini internet kullanıcısının bilgisayarına yükleyebilir. Kullanıcının
internet üzerindeki hareketlerini diğer bilgisayarlara rapor edebilir.
•
Consumer Reports State of the Net 2010 Araştırmasına göre ABD
tüketicileri kötü amaçlı yazılımlardan dolayı 3,5 milyar dolar kayba
uğramışlardır.
Bilişim Sistemleri Güvenlik Açıkları
Hacker’lar ve Bilgisayar Suçları
Hacker, bir bilgisayar sistemine yetkisiz erişim sağlamaya çalışan kimsedir.
Hacker lar, bir bilgisayar sistemi veya web sitesinin kullandığı bir güvenlik
önlemi açığını bulmakla sisteme yetkisiz erişim hakkı sağlarlar.
Hizmet engelleme saldırısı (DoS) nda hacker’lar bir ağ sunucusunu ve web
sunucusunu binlerce sahte haberleşme ve hizmet isteği gönderir. Ağ,
cevaplayamayacağı yoğunlukta sahte istek aldığı için gerçek istekleri de
karşılayamaz ve hizmet vermeyi durdurur.
Dağıtılmış hizmeti engelleme saldırısı (DDoS) nda ise bu saldırı farklı
yerdeki binlerce bilgisayar tarafından yapılır.
Bilişim Sistemleri Güvenlik Açıkları
İç Tehdit: Çalışanlar
• Bilgisayar sistemine olan güvenlik tehditleri sadece örgüt dışından değildir.
• İşletme çalışanları ciddi güvenlik açıklarına yol açabilirler.
• Unutulan veya başkalarıyla paylaşılan şifreler, yanlış girilen veriler,
yönergelere uymadan bilgisayar kullanımı, vb. işletmelerdeki sistemler için
tehdit oluşturmaktadır.
Yazılımda Güvenlik Açıkları
• Yazılım hataları verimlilikte beklenmedik kayıplar yaratarak bilişim
sistemlerine sürekli bir tehdit yaratmaktadır.
Örnek: JP Morgan Chase, Eylül 2010’da, veritabanlarındaki yazılım hatası
yüzünden, müşterilerinin online banka hesaplarına erişimini engellemiştir.
Örnek: Symantec 2009’da internet tarayıcılarında 384 güvenlik açığı
belirlemiştir (Firefox 169, Safari 94, Internet Explorer 45, Google Chrome
41, Opera 25).
• Bu açıkları kapamak için yazılım firmaları patch (yama) hazırlarlar.
Örnek: Windows Vista Service Pack 2
Güvenlik ve Kontrol İçin Temel Çerçeve
Risk Değerlendirmesi
• İşletmeler güvenlik için önlem almadan önce,
- hangi varlıkların korunması gerektiğini
- saldırıya açık varlıkların savunmasızlık derecelerini
- saldırı durumunda oluşacak olan zararın ne olacağını
değerlendirmelidirler.
•
Risk değerlendirmesi, korunması gereken varlıkların ve uygun maliyetli bir
korumanın belirlenmesini sağlar.
Güvenlik ve Kontrol İçin Temel Çerçeve
Risk Değerlendirmesi
• İşletmelerdeki bilişim ve güvenlik uzmanları
– bilişim varlıklarının değerini,
– sistemin açık noktalarını,
– güvenlikle ilgili bir sorunun tahmini olarak ortaya çıkma olasılığını ve
sıklığını,
– potansiyel hasarı,
belirlerler.
•
Örneğin, bir güvenlik açığı işletmeye yıllık 1000 TL kayıp getirecekse ve
bu olayın yılda bir defa gerçekleşme olasılığı varsa, bunun için 20.000 TL
lik bir harcama yapmak pek akıllıca değildir.
Güvenlik ve Kontrol İçin Temel Çerçeve
Risk Değerlendirmesi
Bir sipariş işleme sisteminin basit bir risk değerlendirmesi aşağıda
örneklendirilmiştir:
Güvenlik ve Kontrol İçin Temel Çerçeve
Güvenlik Politikası
Bilişim sistemlerindeki riskleri derecelendiren, kabul edilebilir güvenlik
hedeflerini belirleyen ve bu hedeflere ulaşmak için gereken mekanizmaları
belirleyen ifadelerden meydana gelir.
Örnek: T.C. Sağlık Bakanlığı Personel İçin Bilgi Güvenliği Politikası
Güvenlik ve Kontrol İçin Temel Çerçeve
Felaket Eylem Planı & İş Sürekliliği Planı
İşletmeler güç kesintileri, seller, depremler veya terörist saldırılar gibi bilişim
sistemlerinin kullanımını veya işletmenin faaliyetlerini engelleyecek
olaylara karşı plan yapmaları gerekmektedir.
•
•
•
•
•
Felaket eylem planı bilgi işlem ve iletişim hizmetlerinin kesintiye
uğradıktan sonra eski haline getirilmesi için gereken faaliyetleri içeren
planlardır.
Sistemi ayakta tutan teknik konulara odaklanır.
Hangi dosyaların yedekleneceği, yedekleme için gereken bilgisayar
sistemlerinin ve felaket eylem sistemlerinin bakımı, vb. gibi.
İş sürekliliği planı bir felaket gerçekleştikten sonra işletmenin
faaliyetlerini nasıl eski haline getireceğine yönelik planlardır.
Kritik iş süreçlerini belirler; eğer sistemler çökerse yaşamsal işlevlerin
idare edilebilmesi için gerekli faaliyet planlarını tanımlar.
Bilişim Kaynaklarını Korumak İçin
Teknoloji ve Araçlar
Kimlik Yönetimi ve Doğrulama
Doğrulama (authentication) bir kişinin iddia ettiği kişi olup olmadığını
bilebilme yeteneğidir.
Genellikle yetkilendirilmiş kullanıcıların bildiği bir şifre ile sağlanır.
Bilişim Kaynaklarını Korumak İçin
Teknoloji ve Araçlar
Kimlik Yönetimi ve Doğrulama
Biyometrik doğrulama parmak izi, iris ve ses gibi kişisel biyolojik özelliklerin
okunması ve incelenmesi ile yetkilendirme yapan sistemlerdir.
Bilişim Kaynaklarını Korumak İçin
Teknoloji ve Araçlar
Biyometrik doğrulama
Bilişim Kaynaklarını Korumak İçin
Teknoloji ve Araçlar
Biyometrik doğrulama
Bilişim Kaynaklarını Korumak İçin
Teknoloji ve Araçlar
Ateş (Güvenlik) Duvarları
Yetkisiz kullanıcıların özel bir ağa erişimini engeller.
Bilişim Kaynaklarını Korumak İçin
Teknoloji ve Araçlar
Saldırı Algılama Sistemleri (Intrusion detection systems)
Saldırıların algılanması veya engellenmesi için işletme ağının en zayıf
noktaları veya hareketli kısımlarına yerleştirilmiş sürekli izleme araçları
sağlar.
Sistem, şüpheli veya anormal bir durum saptadığında uyarı verir.
Bilişim Kaynaklarını Korumak İçin
Teknoloji ve Araçlar
Virüs ve Casus Yazılım Önleyici Yazılımlar
Antivirüs yazılımı bilgisayar virüslerinin varlığına karşı bilgisayar sistemlerinin
ve sürücülerinin kontrol edilmesi için tasarlanmıştır.
Çoğu antivirüs yazılımı yalnızca yazılım geliştirilirken bilinen virüslere karşı
etkilidir.
Etkili kalabilmesi için sürekli olarak güncellenmesi gerekmektedir.
Bilişim Kaynaklarını Korumak İçin
Teknoloji ve Araçlar
Dijital Sertifikalar çevrimiçi işlemlerin korunması için kullanıcıların ve
elektronik varlıkların kimliklerinin oluşturulmasında kullanılan veri
dosyalarıdır.
Bilişim Kaynaklarını Korumak İçin
Teknoloji ve Araçlar
Dijital Sertifikalar