bölüm 8 - Doç. Dr. Serkan Ada
Transkript
bölüm 8 - Doç. Dr. Serkan Ada
BÖLÜM 8 Bilişim Sistemleri Güvenliği Doç. Dr. Serkan ADA Bilişim Sistemleri Güvenlik Açıkları Güvenlik bilişim sistemlerine yönelik yetkisiz erişimi, değiştirmeyi, hırsızlığı veya fiziksel hasarları engellemek için var olan kurallar, prosedürler ve teknik önlemlerdir. Güncel Güvenlik Zorlukları ve Güvenlik Açıkları Bilişim Sistemleri Güvenlik Açıkları Kablosuz Güvenlik WEP (Wired Equivalent Privacy) ilk güvenlik standardıdır ve çok etkili değildir. WPA2 (Wi-Fi Protected Access 2) daha güçlü şifreleme ve yetkilendirme sağlar. Bilişim Sistemleri Güvenlik Açıkları Kötü Amaçlı Yazılımlar • Bilgisayar virüsü kendisini diğer yazılımlara veya veri dosyalarına çalıştırılmak için genellikle kullanıcının bilgisi ve izni dışında ekleyen bir yazılımdır. Verileri ve yazılımları yok edebilir, sabit diski yeniden biçimlendirebilir, yazılımların yanlış çalışmasına sebep olabilir. • Solucanlar ise kendilerini bir ağdaki bilgisayardan diğerine kopyalayan bağımsız, kendi kendine çalışan bir yazılımdır. Veri ve programları yok edebilir, bilgisayar ağlarının faaliyetlerini kesintiye uğratabilir. • Virüsler ve solucanlar internet aracılığıyla yayılırlar. Yayılma yazılım dosyalarından, e-posta iletilerinden kaynaklanabilir. • Truva atları, tehlikesiz gibi görünüp daha sonra beklenenden farklı şeyler yapan yazılımlardır. Bilişim Sistemleri Güvenlik Açıkları Kötü Amaçlı Yazılımlar • Klavye kayıtçıları (keylogger), bir bilgisayardaki tüm klavye hareketlerini kaydeder. Bu yolla her türlü şifre, kredi kartı numarası, kişisel bilgi vb. tespit edilebilir. Bilişim Sistemleri Güvenlik Açıkları Kötü Amaçlı Yazılımlar • Casus yazılımlar (spyware), bir uygulamanın üstüne yerleşerek gizlice kendi kendini internet kullanıcısının bilgisayarına yükleyebilir. Kullanıcının internet üzerindeki hareketlerini diğer bilgisayarlara rapor edebilir. • Consumer Reports State of the Net 2010 Araştırmasına göre ABD tüketicileri kötü amaçlı yazılımlardan dolayı 3,5 milyar dolar kayba uğramışlardır. Bilişim Sistemleri Güvenlik Açıkları Hacker’lar ve Bilgisayar Suçları Hacker, bir bilgisayar sistemine yetkisiz erişim sağlamaya çalışan kimsedir. Hacker lar, bir bilgisayar sistemi veya web sitesinin kullandığı bir güvenlik önlemi açığını bulmakla sisteme yetkisiz erişim hakkı sağlarlar. Hizmet engelleme saldırısı (DoS) nda hacker’lar bir ağ sunucusunu ve web sunucusunu binlerce sahte haberleşme ve hizmet isteği gönderir. Ağ, cevaplayamayacağı yoğunlukta sahte istek aldığı için gerçek istekleri de karşılayamaz ve hizmet vermeyi durdurur. Dağıtılmış hizmeti engelleme saldırısı (DDoS) nda ise bu saldırı farklı yerdeki binlerce bilgisayar tarafından yapılır. Bilişim Sistemleri Güvenlik Açıkları İç Tehdit: Çalışanlar • Bilgisayar sistemine olan güvenlik tehditleri sadece örgüt dışından değildir. • İşletme çalışanları ciddi güvenlik açıklarına yol açabilirler. • Unutulan veya başkalarıyla paylaşılan şifreler, yanlış girilen veriler, yönergelere uymadan bilgisayar kullanımı, vb. işletmelerdeki sistemler için tehdit oluşturmaktadır. Yazılımda Güvenlik Açıkları • Yazılım hataları verimlilikte beklenmedik kayıplar yaratarak bilişim sistemlerine sürekli bir tehdit yaratmaktadır. Örnek: JP Morgan Chase, Eylül 2010’da, veritabanlarındaki yazılım hatası yüzünden, müşterilerinin online banka hesaplarına erişimini engellemiştir. Örnek: Symantec 2009’da internet tarayıcılarında 384 güvenlik açığı belirlemiştir (Firefox 169, Safari 94, Internet Explorer 45, Google Chrome 41, Opera 25). • Bu açıkları kapamak için yazılım firmaları patch (yama) hazırlarlar. Örnek: Windows Vista Service Pack 2 Güvenlik ve Kontrol İçin Temel Çerçeve Risk Değerlendirmesi • İşletmeler güvenlik için önlem almadan önce, - hangi varlıkların korunması gerektiğini - saldırıya açık varlıkların savunmasızlık derecelerini - saldırı durumunda oluşacak olan zararın ne olacağını değerlendirmelidirler. • Risk değerlendirmesi, korunması gereken varlıkların ve uygun maliyetli bir korumanın belirlenmesini sağlar. Güvenlik ve Kontrol İçin Temel Çerçeve Risk Değerlendirmesi • İşletmelerdeki bilişim ve güvenlik uzmanları – bilişim varlıklarının değerini, – sistemin açık noktalarını, – güvenlikle ilgili bir sorunun tahmini olarak ortaya çıkma olasılığını ve sıklığını, – potansiyel hasarı, belirlerler. • Örneğin, bir güvenlik açığı işletmeye yıllık 1000 TL kayıp getirecekse ve bu olayın yılda bir defa gerçekleşme olasılığı varsa, bunun için 20.000 TL lik bir harcama yapmak pek akıllıca değildir. Güvenlik ve Kontrol İçin Temel Çerçeve Risk Değerlendirmesi Bir sipariş işleme sisteminin basit bir risk değerlendirmesi aşağıda örneklendirilmiştir: Güvenlik ve Kontrol İçin Temel Çerçeve Güvenlik Politikası Bilişim sistemlerindeki riskleri derecelendiren, kabul edilebilir güvenlik hedeflerini belirleyen ve bu hedeflere ulaşmak için gereken mekanizmaları belirleyen ifadelerden meydana gelir. Örnek: T.C. Sağlık Bakanlığı Personel İçin Bilgi Güvenliği Politikası Güvenlik ve Kontrol İçin Temel Çerçeve Felaket Eylem Planı & İş Sürekliliği Planı İşletmeler güç kesintileri, seller, depremler veya terörist saldırılar gibi bilişim sistemlerinin kullanımını veya işletmenin faaliyetlerini engelleyecek olaylara karşı plan yapmaları gerekmektedir. • • • • • Felaket eylem planı bilgi işlem ve iletişim hizmetlerinin kesintiye uğradıktan sonra eski haline getirilmesi için gereken faaliyetleri içeren planlardır. Sistemi ayakta tutan teknik konulara odaklanır. Hangi dosyaların yedekleneceği, yedekleme için gereken bilgisayar sistemlerinin ve felaket eylem sistemlerinin bakımı, vb. gibi. İş sürekliliği planı bir felaket gerçekleştikten sonra işletmenin faaliyetlerini nasıl eski haline getireceğine yönelik planlardır. Kritik iş süreçlerini belirler; eğer sistemler çökerse yaşamsal işlevlerin idare edilebilmesi için gerekli faaliyet planlarını tanımlar. Bilişim Kaynaklarını Korumak İçin Teknoloji ve Araçlar Kimlik Yönetimi ve Doğrulama Doğrulama (authentication) bir kişinin iddia ettiği kişi olup olmadığını bilebilme yeteneğidir. Genellikle yetkilendirilmiş kullanıcıların bildiği bir şifre ile sağlanır. Bilişim Kaynaklarını Korumak İçin Teknoloji ve Araçlar Kimlik Yönetimi ve Doğrulama Biyometrik doğrulama parmak izi, iris ve ses gibi kişisel biyolojik özelliklerin okunması ve incelenmesi ile yetkilendirme yapan sistemlerdir. Bilişim Kaynaklarını Korumak İçin Teknoloji ve Araçlar Biyometrik doğrulama Bilişim Kaynaklarını Korumak İçin Teknoloji ve Araçlar Biyometrik doğrulama Bilişim Kaynaklarını Korumak İçin Teknoloji ve Araçlar Ateş (Güvenlik) Duvarları Yetkisiz kullanıcıların özel bir ağa erişimini engeller. Bilişim Kaynaklarını Korumak İçin Teknoloji ve Araçlar Saldırı Algılama Sistemleri (Intrusion detection systems) Saldırıların algılanması veya engellenmesi için işletme ağının en zayıf noktaları veya hareketli kısımlarına yerleştirilmiş sürekli izleme araçları sağlar. Sistem, şüpheli veya anormal bir durum saptadığında uyarı verir. Bilişim Kaynaklarını Korumak İçin Teknoloji ve Araçlar Virüs ve Casus Yazılım Önleyici Yazılımlar Antivirüs yazılımı bilgisayar virüslerinin varlığına karşı bilgisayar sistemlerinin ve sürücülerinin kontrol edilmesi için tasarlanmıştır. Çoğu antivirüs yazılımı yalnızca yazılım geliştirilirken bilinen virüslere karşı etkilidir. Etkili kalabilmesi için sürekli olarak güncellenmesi gerekmektedir. Bilişim Kaynaklarını Korumak İçin Teknoloji ve Araçlar Dijital Sertifikalar çevrimiçi işlemlerin korunması için kullanıcıların ve elektronik varlıkların kimliklerinin oluşturulmasında kullanılan veri dosyalarıdır. Bilişim Kaynaklarını Korumak İçin Teknoloji ve Araçlar Dijital Sertifikalar