Bilgi Güvenliği Temelleri

Yaşadığımız bilgi çağında bilginin önemi, bilginin türüne bakılmaksızın önemli hale gelmiştir. Bu sebeple veri güvenliği değerli bir unsur olarak öne çıkmaktadır. Bilgi Güvenliği Temelleri başlığı altında, gizlilik, bütünlük ve erişilebilirlik gibi temel ilkeler ışığında bilgi güvenliğinin ne anlama geldiği konusunda giriş yapılmıştır. Belirli kavramlar açıklanmış ve bilgi güvenliğinin bileşenleri, risk yönetim stratejileri, erişim kontrol yöntemleri ve günümüz siber tehditlerine karşı alınması gereken önlemler kısaca açıklanmıştır. Böylelikle, hem bireylerin kişisel verilerinin hem de kurumların dijital varlıklarının korunması noktasında dikkat çekici noktalardaki karmaşık durumların basit ve anlaşılır bir dille ele alınması hedeflenmiştir. Ayrıca ağ ve ağ güvenliği alanlarından ele almış olunan kavramlar farklı noktalardan birden fazla başlık altında kavram bazlı incelenecektir.

1- Erişim Kontrol Kategorileri ve Türleri

• İdari (Yönergesel) Kontroller: Organizasyon kuralları ve prosedürleridir. Bilgi sistemini denetlemek ve yönetmek için politikaları, prosedürleri ve yönergeleri içermektedir. Örnek olarak güvenlik eğitimleri ve farkındalık programları, acil durum planlaması ve risk değerlendirmeleri bulunmaktadır.
• Operasyonel Kontroller: Otomatik sistemlerden ziyade öncelikli olarak insanlar tarafından uygulanan kontrolleri kapsamaktadır. Örnek olarak kullanıcı yönetimi, değişiklik kontrolleri, log analizleri ve olay yanıt prosedürleri bulunmaktadır.
• Teknik (Mantıksal) Kontroller: Güvenlik süreçlerini otomatikleştirmek için teknoloji aracılığıyla uygulanan kontrolleri kapsamaktadır. Erişimi yönetmek ve kaynakları ve sistemleri korumak için donanım veya yazılım mekanizmaları içermektedir. Örnek olarak güvenlik duvarları, saldırı tespit sistemleri, antivirüs yazılımları, şifreleme ve işletim sistemi erişim kontrol modellerini içeren yazılım, donanım ya da işletim sistemleri bulunmaktadır.
• Fiziksel Kontroller: Bu kontrollerin amacı tesisleri, donanımları ve diğer fiziksel varlıkları dış tehditlerden korumaktadır. Kilitler, köpekler, güvenlik personeli, çitler ya da duvarlar gibi alanları kapsamaktadır.

Bilgi güvenliğinde, kontroller ayrıca işlevlerine göre sınıflandırılmaktadır. Bunlar:

• Preventative: Bir olayın olmasını önleyen bir kontrol çeşididir. Güvenlik duvarı ya da şifreleme olabilir.
• Detective: Bir saldırı öncesi ya da sonrasında olayın tespitini sağlayan çeşittir. Güvenlik görevlisi, loglar ya da kamera olabilir.
• Corrective: Bir saldırıyı durdurabilir ya da sorunu çözen çeşittir. Bu bir antivirüs ya da yamalar olabilir.
• Recovery: Bir saldırı veya olaydan sonra sürecin iyileşmesine yardımcı olan çeşittir. FKM, yedeklemeler ya da sıcak/soğuk sahalar olabilir.
• Deterrent: Olay için caydırıcı ancak olayı durdurmaya yetmeyen çeşittir. Bir bekçi, tabela, köpek, çit ya da aydınlatma olabilir.
• Compensating: Bir olay için telafi edici durumda olan kontrol çeşididir. Örneğin bir bahçede çit var ve bu çit delinmiş. Bu durumu telafi etmek için ilgili bölgeye bir bekçi ataması yapılması durumudur.
• Directive: Güvenlik politikalarına, en iyi uygulamalara veya Standart İşletim Prosedürlerine (SOP) uyulmasını zorlamak veya teşvik etmek için kullanıcı eylemlerini yönlendirmek, sınırlamak veya kontrol eden çeşittir.

2- CIA 

CIA üçlemesi, bilgi güvenliği politika ve prosedürlerinin belirlenmesinde temel bir rehber olarak kullanılan kontrol mekanizmasıdır. Kurumlar ve sistemler, bu üç prensibi göz önünde bulundurarak risk analizi yapmakta, güvenlik önlemleri almakta ve olaylara karşı müdahale planları geliştirmektedir. CIA üçlemesinin etkinliği; ilgili ağın teknolojik altyapısına, insan faktörüne, uygulanan güvenlik politikalarına ve mevcut tehdit ortamına bağlıdır. Donanım, yazılım, işletim sistemi, güvenlik duvarı, router ya da kriptolama sistemleri bu kontrol mekanizmasına dahil edilmektedir.

• Confidentiality: Gizlilik Prensibi. Verilere yalnızca yetkili kişilerin erişmesini sağlar. Gizliliğe yapılan ihlaller genelde parolaların güçsüz olması, parolanın paylaşılmış olması, keylogger kullanımı ya da kripto algoritmasının zayıf kullanılmasıdır. MFA kullanımı bu zafiyetleri zorlaştırmaktadır.
• Integrity: Yetkili Erişim. Verilerin sadece yetkili kullanıcılar tarafından veri bütünlüğünü sağlayacak şekilde erişmesini sağlamasıdır. Bu aşamada güvenliğin sağlanması için kriptografi, checksum, hash gibi metotlar kullanılabilir.
• Availability: İhtiyaç duyulduğu anda yetkili kişilerin ilgili veriye erişim sağlayabilme durumudur. Bunu sağlayabilmenin en iyi yolu yedekli yapılara sahip olmak ve cihazların devamlı doğru çalışabilir durumda olmasına önem göstermektir. 

Bu aşamada 3 temel bileşen bulunur ancak sunulan hizmete bağlı olarak hangilerine ağırlıklı olarak önem verilmesi gerektiği değişkenlik göstermektedir. Bu temellerden birinin ihlal edilmesi diğer ikisinin de ihlal edilmiş kadar anlamsız kalması anlamına gelmektedir. Örneğin, kamuoyunun güveninin kaybedildiği bir saldırıdan sonra CIA için Gizlilik (Confidentiality) prensibi tehlikeye girmiş demektir.

Odak noktası ilk aşamada IT kullanıcılarının farkındalığı arttırarak alışılan davranışları değiştirmektir. Daha sonrasında ağları ayrıştırmak, eski yazılıma sahip cihazlar için güvenli güncellemeler yapmak ve olası problemler için çözümler üretmek gibi aşamalara odaklanılmalıdır.

3-Kanunlar

• Criminal Law: Ceza hukukunda mağdur olan toplumdur. Kanıtlar bir şüphenin ötesinde olmalıdır.  Siber suçların çoğu bu kapsama dâhildir. Cezalar başkalarının bu suçu işlemesini caydırma amaçlıdır.
• Civil Law: Medeni Kanunda mağdur olan bireyler, gruplar ya da kuruluşlardır. İspatın çoğunlukta olması gerekir. Cezalar genellikle para cezası olarak verilir ve mağdurları tazmin etmek amaçlıdır.
• Administrative Law: ABD’deki devlet kurumları tarafından oluşturulan kanunlardır. Örneğin ABD vatandaşlarının sağlık bilgilerini koruyan bir kanun bu sekmeye dâhildir.
• Private Regulations: Özel düzenlemeler ise prosedür veya standartlara verilen genel kurallardır. Bir kanun değildir.
• Customary Law: Örfi Hukuk kişisel davranış ve davranış kalıplarına odaklanan kanunlardır. Bulunulan bölgenin gelenek ve göreneklerini kapsar.
• Religious Law: Dini Hukuk belirli bir bölgedeki dini inanca dayalı uygulanan etik ve ahlaki kanunlardır.

-Aşağıda bazı yasalardan örnekler verilmiştir.
Health Insurance Portability and Accountability Act (HIPAA): Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası.
Electronic Communication Privacy Act (ECPA): Elektronik Haberleşme Gizliliği Yasası
Computer Fraud ans Abuse Act (CFAA): Bilgisayar Dolandırıcılığı ve Suistimal Yasası
Payment Card Industry Data Security Standard (PCI-DSS): Kredi Kartı Çıkartma Standartları Bütünü
General Data Protection Regulation (GDPR): Genel Veri Koruma Yönetmeliği

4- Güvenlik Yönetimi Prensipleri

• Değerler: Etik, ilkeler ve inançları kapsamaktadır.
• Vizyon: Umut edilen ve beklenilen hedefleri kapsamaktadır.
• Misyon: Motivasyon ve amacı kapsamaktadır. Politikalar, stratejiler veya eylemler dâhil olabilir.
  • Kurallar (Zorunlu): Yüksek seviyedir ve spesifik değildir.
  • Standartlar (Zorunlu): Spesifik olarak yüksek teknolojiyi betimler.
  • Kılavuzlar (Zorunlu Değil): Öneriler ya da açıklamalardır.
  • Prosedürler (Zorunlu): Düşük seviyedir ve adım adım açıklayarak ilerler.

İş Sürekliliği Planı (BCP – Business Continuity Plan)

İş sürekliliği planı, organizasyonlara yönelik oluşabilecek tehdit ve risklere karşı oluşturulmuş bir korunma ve kurtarma sitemleri bütünüdür. Planlanmamış bir kesinti halinde çalışmaya nasıl devam edileceğini belirten planları içermektedir. Bu planlar veya süreçler aşağıda belirtilmiştir.

• COOP (Continuity of Operation Plan) – Günlük İşlerin Devam Ettirilme Süreci
• CCP (Crisis Communication Plan) – İş ve Dış İletişimin Felaket Anında Doğru Sağlanması
• CIRP (Cyber Incident Response Plan) – Müdahale Planı
• OEP (Occupant Emergency Plan) – Felaket Anında Çevre, Bina veya Tahliye Tatbikat Planı
• BRP (Business Recovery Plan) – Felaket Sonrası Normal Sürece Dönme Planı
• CSP (Continuity of Support Plan) – Sistemlerin İhtiyac Duyulduğu Kadar Kullanılabilme Planı
• CMP (Crisis Management Plan) – Tüm Sürecin Planlanması (İnsan Hayatı En Önemlisi)

5-Olay Yönetimi

NIST 800-61 ve CIRT (Computer Cyber Incident Response Team) prosedürlerine bağlı kalmaktadır.

• Event: Bir durumda yaşanacak olan gözlemlenebilir bir değişikliktir, olumsuz olmak zorunda değildir.
• Alert: Bir olay meydana geldiğinde tetiklenen uyarıdır.
• Incident: Birden fazla olumsuz olayın meydana gelme durumudur. Aslında, bazı güvenlik literatürlerinde tek bir olay da bir “incident” olarak değerlendirilebilmektedir. Yani olayın büyüklüğü ya da birikimi, durumun ciddiyetini belirlerken, tek bir kritik olay da önemli kabul edilebilir.
• Problem: Nasıl olduğunu bilmediğimiz sorunlar problem olarak adlandırılır.
• Inconvenience: Tahribat bırakmayan bir arıza durumunu tanımlar. Sistem çalışmaya devam eder ama bir sorun mevcuttur.
• Emergency: Acil durumu belirtir.
• Disaster: Felaket durumudur ve sistemlerin 24 saat veya daha fazla süre ile çalışmasını durduracak olayları kapsar.
• Catastrophe: Yaşanan olay sonucunda tüm sistemlerin yok olması anlamına gelir. Felaket Kurtarma ihtiyacı doğurur.

Incident Response Life Cycle toplamda 8 aşamadan oluşur.

1. Preparation – İş planlama sürecidir
2. Detection – Sorun olup olmadığının tespit edildiği süreçtir.
3. Response – Sorun olup olmadığına verilen yanıtları kapsayan süreçtir.
4. Mitigation – Sorunların etkisini azaltma stratejilerinin uygulandığı süreçtir.
5. Reporting – Sorunlar, stratejiler, zamanlar ve mevcut durumun raporlandığı süreçtir.
6. Recovery – Tüm sistemlerin tekrar çalışır duruma getirilerek sorunların çözümlendiği süreçtir.
7. Remediation – Etkilenen sistemlerin bu etkiden kurtarılarak doğru çalışmasının sağlandığı süreçtir.
8. Lessons Learned – Tüm süreç baştan incelenerek dersler çıkarılır, iyileştirmeler yapılır ve döngüde başa dönülür.

6- Felaket Kurtarma Planı

Genel olarak tüm felaketler tüm durumlar detayları ile incelenmeli ve can güvenliği ile birlikte iş sürekliliğinin bozulmaması için tüm olasılıklara çözüm üretilmelidir. Her altyapı değişikliğinde tüm planlar güncellenmelidir. Örneğin evden çalışma durumu kar yağışı, trafik kazası, pandemi vb. felaketler için bir çözüm sağlamaktadır. NIST800-34 acil durum planlanmasına odaklanan bir sertifikasyon sürecidir. ISO 22301 ise İş Sürekliliği Yönetim Sistemlerine odaklanmakta ISO 27031 ile desteklenmektedir.

DRP yinelemeli bir süreçtir, daima güncellenmeli ve geliştirilmelidir.

• Mitigation: Risk yönetiminde afet öncesi uygulanır ve yaşanacak olumsuz sürecin etkilerini hafifletmeye yarar. Tatbikatlar, personel eğitimleri, simülasyonlar, felaket senaryoları ve farkındalık süreçleri bu duruma örnektir.
• Preparation: Araçların ve kişilerin DRP durumuna hazır olmasını sağlayan hazırlık sürecinin bütünüdür.
  • DRP Review: Sorumlu ekipler planları inceler, eksik ya da hatalı noktaları düzeltir ve plana ekler.
  • Read-Through (Checklist): Plan üzerine bilgilendirilir ve aşama aşama yapılacaklar öğrenilir.
  • Talk/Walk-Through: Plan üzerine konuşulur ve aşama aşama yapılacaklar tartışılır ve not edilir.
  • Simulation Test: DRP senaryosu oluşturulur ve parça parça simülasyonda test edilir.
  • Physical Tests (Partial Interruption): Fiziksel olarak DRP senaryosu uygulanır ve eksikler giderilir.
• Response: Prosedürler doğrultusunda ilgili personellerin harekete geçirilmesi için aksiyon alınması aşamasıdır. İlgili ekiplere haber vermek, yöneticileri bilgilendirmek bu duruma örnek olabilir.
• Recovery: Planlar, prosedürler ve kişiler uygun olduğunda artık DRP nin uygulanma aşamasıdır.

Şimdi DRC sürecinde önem arz eden bazı terimlerden bahsediyor olacağız.

• BIA (Business Impact Analysis): Hangi sistemin ne kadar kritik olduğu ve ne kadar süre hizmet vermemesinin sorun teşkil etmediğini belirleyen analizdir.
• RPO (Recovery Point Objective): Geri dönüş senaryosunda ne kadar veri kaybı yaşanacağını belirleyen hedeftir. Örneğin sunucu yedekleri haftada 1 defa alınıyorsa olası bir senaryoda yedek sonrasındaki son 1 haftanın kaybı kabul edilmiştir.
• MTD (Maximum Tolerable Downtime): MTD > RTO + WTO
  • RTO (Kurtarma Süresi Hedefi): Sistemi geri yüklemenin ne kadar zaman alacağını belirten süredir. Donanımsal.
  • WRT (İş Kurtarma Süresi): Sistemi, işletim sistemini ya da programları yapılandırma süresidir. Yazılımsal.
• MTBF (Mean Time between Failures): Yeni bir ürünün ortalama arızalanma süresi, ömrü.
• MTTR (Mean Time to Repair): Ortalama olarak arızalı bir sistemin onarılma süresidir.
• MOR (Minimum Operating Requirements): Felaket durumunda hizmetin yeniden sürdürülebilmesi için en düşük süre.
• Redundant Site: Ana veri merkezinin sahip olduğu ürün ya da bilgilerin tamamıyla ikinci bir kopyalarının bulunduğu yedek alana verilen isimdir. Verileri gerçek zamanlı olarak kapsıyor ve bir felaket olduğunda yük devretmeye ayarlanabiliyor. Bir şey olursa, trafiği otomatik olarak redundant site geçirmek mümkündür.

BCP ve DRP için nasıl hazırlanmak gerekiyor?

1. Proje Etki Kapsamı Belirlenir
2. İş Etki Analizi Hazırlanır – Sistemler ve işlevleri için belirli kademeler oluşturulur. Bu kademelerin kesintiye tolerans süreleri belirlenir.
3. Nelere Sahip Olunduğu ve Gelecekte Nelere Sahip Olunması Gerektiği Belirlenir – Yedeklilik, güncelleme ya da yeni bir teknoloji veya sistem olabilir.
4. İyileştirilmesi Gereken Süreç ve Sistemler Belirlenir
5. Kurtarma Planı, Ekipler, Yönergeler ve Senaryolar Hazırlanır
6. Kullanıcı Farkındalığı İçin Eğitim ya da Tatbikat Uygulanır
7. Tüm Sistemlerde Düzenli Yedekleme Yapılması Sağlanır
8. Tüm Süreç 1’den İtibaren Düzenli Periyotta Uygulanır, Periyot Belirlenir

Analysis ➔ Solution Design ➔ Implementation ➔ Test & Acceptance ➔ Maintenance ➔ Analysis …

Belirtilen 8 aşama, sırasıyla bir döngü şeklinde daima kendini tekrar etmelidir. Bu sayede yaşanabilecek bir felaket durumundan önce, mevcut plan güncel ve eksiksiz kalabilmektedir.

7- Veri Güvenliği

Veriler 3 sistemler içerisinde farklı durumda bulunur. Bunları her koşulda bir şifreleme ile korumak gerekmektedir.

1. Data at Rest: Kullanılmayan ya da durgun verilerdir. Bir cihaz içerisinde bulunan veriler, cihaza erişmek için kullanılan parolalar, şifrelenerek kullanılmalıdır.
2. Data in Motion: Ağ trafiğinde dolaşan verilerdir. Trafik içerisinde alıcıdan vericiye iletilene dek uçtan uca şifreleme kullanılmalıdır.
3. Data in Use: Aktif olarak kullanılmakta olan verilerdir. Aktif veriler şifrelenemez çünkü şifrelenmiş olan verilerin uygulama veya kullanıcı tarafında okunması mümkün değildir. Bu aşamada alınabilecek olan en iyi güvenlik önlemi kullanıcı farkındalığı ve doğru güvenlik politikası ya da cihazlarına sahip olmaktır.

8- IAAA

IAAA (Identification, Authentication, Authorization, Accounting) IEEE 802.1X standardı olarak ağ güvenliğinde, yerel ağa bağlı çalışan sistemler için güvenli erişim, yetkilendirme ve oturum takibi yapabilmeyi sağlayan port tabanlı erişim ve kontrol mekanizmasıdır. Bu sayede yerel ağ altyapısı korunmaktadır. EAP, PPP, RADIUS ve TACACS+ en yaygın kullanılan AAA protokolleridir. 802.1x protokolü sayesinde RADIUS, kullanıcıların kimliğini doğrulayarak bir ağın “güvenlik görevlisi” görevi görürken, EAP-TLS, sertifika tabanlı bağlantıları ve sunucular arasındaki veri transferini korumak için TLS sertifikalarını güvence altına alır. AAA protokolü kullanılarak kimlikler ve parolaların tümü merkezileştirilir. Kimlikler ve parolalar, belirli algoritmalar kullanılarak şifrelenir. Bu nedenle kullanıcı hesapları, üçüncü kişilerden korunmuş olur.

Identification

Kimlik, ilgili cihazda bulunan kullanıcı adı bilgisi, kullanıcı kimliği bilgisi, çalışan kimliği bilgisi ve isim soy isim bilgisi, kimlik numarası bilgisi gibi kişiyi ifade eden ve kanıtlanabilir kimlik bilgilerinden oluşmaktadır.

Authentication

Kimlik doğrulama, kişinin kimlik bilgilerini doğrulayarak belirli bir sisteme giriş yapmasını sağladığı ilk aşamadır. Beş farklı türde kimlik doğrulama yapılabilir.

• Type 1 Authentication (Parola, Parola Sorusu, PIN Kodu vs.). Cheapest type. – Bildiğin bir şey.
• Type 2 Authentication (ID, Pasaport, Smart Card, Token, Cookie on PC vs.). – Sahip olduğun bir şey.
  • Token Türleri ➔ HOTP (HMAC Based) veya TOTP (Time Based) olmak üzere ikiye ayrılır.
    • HOTP (HMAC Based) – Tek seferlik token kod oluşturulur ve kullanılana dek geçerlidir.
    • TOTP (Time Based) – Belirli bir periyotta devamlı token kod oluşur ve sync olana dek geçerlidir.
• Type 3 Authentication (Biyometrik İzler: Parmak izi, İris veya Retina Taraması, Yüz geometrisi vb.). – En pahalı, güvenilirliği en yüksek tür, eşsizdir. Sana ait olan fiziksel bir şey.
• Type 4 Authentication (IP/MAC Adresleri). – Bir yerde sana aitliği belirten şey.
• Type 5 Authentication (İmza, Desen Kilidi, Sertifika). – Yaptığın veya sahip olduğun özel bir şey.

Authorization

Authorization kısmında kimlik doğrulaması onayı sonrasında ilgili sistemde kişinin hangi verilere erişmesi gerektiğine karar verirken bu noktada uygulanan Kimlik ve Erişim Kontrol Yönetimi modellerinden bahsedilmektedir.

• Mandatory Access Control (MAC) – Nesnelerin kendilerine atanmış etiketleri vardır ve öznelerin izni vardır. Bu izin, nesneye erişebilmeniz için nesneye atanan etiketin yerini almalıdır. Askeri hizmetlerde sıklıkla tercih edilmektedir.

• Role-Based Access Control (RBAC) – En sık kullanılan yöntemlerden biri olmakla birlikte, IT ekipleri yönettikleri ürünlere bağlanırken sıklıkla tercih etmektedir.

• Discretionary Access Control (DAC) – Ürün, cihaz ya da kaynak sahiplerinin kendi kaynakları üzerindeki erişim haklarını ve erişim sınırlarını belirlediği modeldir.

• Rule-Based Access Control (RB-RBAC) – Önceden tanımlanmış kurallara göre erişim sağlanan modeldir.

• Attributed-Based Access Control (ABAC) – Kullanıcıyı, isteği, kaynağı ve eylemi tanımlayan eğer-ise ifadeleri içeren erişim modelidir. Koşullu erişim uygulanır, erişim için belirlenen daha ayrıntılı kurallardır. Okuma yazma gibi yetkilerin ayrı ayrı tanımlanabildiği bir modeldir. Danışmanlara uzak bağlantıda verilen erişimlerde sıklıkla kullanılır.

• Context-Based Access Control – Spesifik bir saat aralığında, spesifik bir ülke üzerinden gelen isteklerde ya da spesifik olarak belirli portlar ile yapılan istekleri kapsayan, limitlendirilmiş bir modeldir.

• Content-Based Access Control – Belirli kullanıcılar için ilgili verilerin gizlenmesi veya gösterilmesini kapsayan modeldir.

Accounting

Yapılan tüm işlemlerin takip edildiği ve kayıt altına alındığı bölümdür. Sisteme bağlanmak için kimlik doğrulama aşamalarını geçen kullanıcının gerçek zamanlı olarak izlenebildiği gibi erişim günlüğü kayıtlarından da takip edilmesini mümkün kılmaktadır. Yapılan her aktivite tarih ve saat olarak kaydedilmektedir. Kaydedilen veriler belirli istatistikleri elde etmek, ölçme ve değerlendirme yapmak ya da herhangi bir sorun ile karşılaşıldığında doğrulayıcı olarak da kullanılmaktadır. Bu aşamada temel amaç nesneleri, öznelerden korumaktır. Çünkü nesneler özneler tarafından manipüle edilebilir durumdadır.

• Özne (Aktif) – Kullanıcılar ya da uygulamalar örnek verilebilir.
• Nesne (Pasif) – Veriler ya da kâğıt dokümanlar örnek verilebilir.