Ağ yapıları, son kullanıcı cihazları, sunucular, servisler, etkileşimli bir şekilde birbirine bağlı tüm bilişim sistemleri ile birlikte siber dünyayı oluştururlar. Siber dünya içerisinde kritik öneme sahip, ele geçirilmesi durumunda maddi veya manevi zarar verebilecek birçok bilgi sürekli olarak oluşturulmakta ve işlenmektedir. Siber saldırganlar oluşturulan ve işlenen bu bilgilerin güvenliğini tehdit etmektedirler. Bilgi güvenliği çalışmalaları bu tehditleri ortadan kaldırmaya veya azaltmaya yönelik eylemleri kapsamaktadır. Bu makale bilgi güvenliğine giriş, temel bilgiler ve güvenlik testleri ile zafiyet analizi kavramlarını içermektedir.
Bilgi Güvenliği Temelleri : Gizlilik, Bütünlük ve Erişilebilirlik
Bilgi güvenliğinin gizlilik, bütünlük ve verinin kullanılabilirliği (erişilebilirliği) olmak üzere üç temel amacı vardır [1]. Gerçekleştirilen siber saldırıların türüne göre bu üç temel bileşenden biri veya birden fazlasının tehlike girmesi mümkün olabilmektedir. Gizlilik yalnızca, görülmemesi gereken bilgiye yalnızca yetkili erişimlerin olması gerektiği anlamını taşımaktadır. Bilgiye yetkisiz olarak yapılan ve istenmeyen tüm erişimler gizlilik bileşenini tehlikeye sokar. Erişilebilirlik istenilen zamanda ve istenilen şekilde bilgiye ulaşılabilmesi anlamını taşımaktadır. Bütünlük ise bilginin bir parçasının veya tamamın zarar görmemesini, yetkisiz bir şekilde değiştirilmemesi demektir. Bu üç temel bileşenin tamamının sağlanması siber güvenlik açısından önemlidir.
Her ne kadar temel bileşenler birbirlerine yakın gözükse de gerçek hayatta birini uygulamak bir diğerinden uzaklaşmak anlamına gelebilmektedir. E-postalara her yerden erişmek için farklı istemciler ve farklı yerel ağlar (ev, restoran, vb) üzerinden e-postaları okumak erişilebilirliği arttırsa da gizlilik için bir risk oluşturabilir. Bilişim sistemlerin güvenilir bir şekilde çalışması için üç temel bileşen arasında denge kurmak gerekmektedir. Bu denge risk değerlendirilmesine göre yapılabilmektedir.
Risk ve Tehdit
Risk istenmeyen bir olay veya sonuçlarından dolayı oluşabilecek kayıp veya zararların potansiyeli olarak tanımlanmaktadır [2]. Yapılan risk değerlendirmesi sonucu risk kabul edilebilir, kaçınılabilir azaltılabilir veya aktarılabilir [3]. Riskin kabul edilmesi herhangi bir işlem yapılmadan riskin olduğu gibi kalmasıdır. Riskten kaçınmak risk oluşturan faaliyetlerinin yapılmasını engellemektedir. Riskin azaltılması yapılan çeşitli işlemler ile risk seviyesinin düşürülmesi demektir. Riskin aktarılması ise risk içeren sistem veya işleyişin bir başkasına aktarılarak riskin başkasına ait olması veya sigorta edilmesi anlamını taşımaktadır.
Siber dünyada kullanılan varlıklar (istemci, sunucu, ağ cihazları, yazılımlar, vb.) siber saldırganlar tarafından sürekli tehdit altındadır. Güvenlik ihlallerini önleme için, iş yönetiminde varlıkların tespit edilmesi, risklerin, tehditlerin belirlenmesi ve korunması büyük önem taşımaktadır [4]. Risk ve tehdidin ortak özelliği, sürekli izlenerek kontrol altında bulundurulma zorunluluğudur. Gerekli tedbirler alınmadığı takdirde siber saldırganlar farklı atak vektörleri kullanarak zarara yol açabilirler. Bilişim sistemlerini oluşturan varlıkların zafiyet oluşturan tüm alanları siber saldırganlar tarafından birer atak vektörü olarak kullanılabilmektedirler.
Güvenlik Testleri ve Zafiyet Analizinin Farkları
Zafiyetlerin tetiklenmesi sonucu oluşabilecek bilgi güvenliğini ihlallerini önceden tespit etmek ve önlemek amaçlı iyi niyetli siber güvenlik uzmanla tarafından ilgili varlık üzerinde siber güvenlik testleri (sızma testi) gerçekleştirilmektedir. Gerçekleştirilen 16 güvenlik testleri belirlenen kapsam içerisindeki tüm varlıkları siber saldırgan gözüyle zarar vermeden incelenip raporlanmasını kapsamaktadır. Zafiyet analizi iletişim altyapısında, ağlarda veya bilgisayarlardaki zafiyetleri tanımlayan, belirleyen ve kategori eden bir süreçtir [5]. Zafiyet analizlerinde zafiyetin tespit edilmesine yönelik çalışmalar yapılırken, güvenlik testlerinde bu çalışmaya ek olarak zafiyetin sömürülmesi ve oluşabilecek ihlallerin test edilmesi de yer alır. Uzun zamana yayılı bir güvenlik testi izin verilmesi durumunda zafiyet analizine göre çok daha fazla alandaki (sosyal mühendislik, fiziksel erişim) testleri de kapsamaktadır [6]. Güvenlik testleri kendi içerisinde zafiyet analizini kapsarken, zafiyet analizleri daha çok otomatik araçlar ile ilerlenen ve derinlemesine inceleme gerektirmeyen bir süreci oluşturmaktadır.
1 - Akyazı, U. (2011). Gezgin Etmenler ve Doğadan Esinlenen Sezgiseller Kullanılarak Dağıtık Bilgisayar Güvenliğinin Sağlanması
2 - Internet: 2015 Web Application Attack Report(WAAR). URL: https://www.imperva.com/docs/HII_Web_Application_Attack_Report_ Ed6.pdf. Son Erişim Tarihi: 03.01.2017.
3 - Doupé, A., Cavedon, L., Kruegel, C., & Vigna, G. (2012). Enemy of the State: A State-Aware Black-Box Web Vulnerability Scanner. USENIX Security Symposium, 523–538.
4 - Feng, N., & Li, M. (2011). An information systems security risk assessment model under uncertain environment. Applied Soft Computing, 11(7), 4332–4340.
5 - Nelson, A. (2007). Penetration Testing and Vulnerability Assessments. Network Communications and Emerging Technologies (JNCET), (8), 1–2. 32. Knowles, W., Baron, A., & McGarr, T. (2016).
6 - The simulated security assessment ecosystem: Does penetration testing need standardisation? Computers and Security, 62, 296–316.