Sibe

r Gü

venl

ik 4

.0 v

e Fe

lake

t Yön

etim

i

Bilişim dünyasında uçtan uca değişim ve gelişim, üstüne ekonominin de yeni bir seviyeye yükselmesi, kaçınılmaz olarak Siber Güvenlik 4.0 konseptini de hayatımıza yerleştiriyor. Bu konseptin temelleri en yeni

güvenlik ürününü almak, güncellemeleri yapmaktan çok daha fazlasını içeriyor ve gerektiriyor. Örneğin lütfen kurumsal verinizi iyi tanıyın, bu verinin sizin damarlarınızda akan kan olduğunu bilin, bu veriyi 7/24 korumak zorunda olduğunuz gerçeğini kabul edin. Bu yüzleşmenin ardından, kurumsal bir güvenlik yapılanması oluşturmak hiç de fena olmaz. Kurumsal BT biriminin günlük rutin işleri arasında güvenliğe öylesine bakmasından ziyade, bu konuda bir ekip, hadi olmadı ayrı bir kişinin sorumluluğunda bir birim

oluşturun. Bu birim, kurumsal güvenlikten uçtan uca sorumlu olsun, maalesef riskleri ve saldırıları takip etsin, yönetimsel destekle yapılan güvenlik yatırımları sonucunda kendi şirketinin (en azından bu sefer) zarar ziyanla karşılaşmadığını görsün. Üst yönetim, temelde kurumsal saygınlığın sürekliliği için güvenlik yatırımlarının 4.0 konseptine evrildiğini idrak etsin. “Benim güvenlikle ne işim olur ki” diyen bir departman çalışanı, bilsin ki, kendi mobil cihazında zararlı bir yazılım varsa, en basiti kurumsal ağ yapısına bu cihazıyla giriş yaparsa kendi eliyle kurumsal BT güvenliğine suikast yaptığını bilsin. Bu bilincin temeli; dosyamızda da okuyacağınız gibi, tüm departmanlarda tüm çalışanların bilgilendirilmesi, tek atışlık günlük toplantılarla değil, sürekliliği olan eğitim konseptlerinin hayat bulması. Bu arada, risklerin hedefinde

sadece bireyler veya özel sektör şirketleri yok. Yeni dünya savaşlarının bilişim güvenliğinin alt edilmesi çabasıyla çıkacağı gerçeği, tüm ülkeleri bu konuda önleyici adımlar atmaya itiyor. Burada denklemin bazı temel uçlarına dokunmaya çalıştık, ama dosyamızda yorumları ile yer alan isimlerin de belirttiği gibi, Siber Güvenlik 4.0 bütünsel bir algı ve uygulama değişimini gerekli kılıyor. Bu konuda adım atmayanları ise maalesef zorlu bir süreç bekliyor. Çünkü her yenilik, beraberinde riskleri ve tehditleri ile gelirken, artık yeniliklerden daha hızlı hareket eden bir risk dünyası var. Yerinde paranoya, yeterli farkındalık, bu farkındalığı besleyen ve sürekliliği olan icraatlar artık kurumsal ve bireysel güvenlikte gereklilik. Dosyamızda okuyacaksınız, riskler bir korku filminden hallice, ama hepsi maalesef gerçek.

‘Bana olmaz’ demeyin, en iyi ihtimalle pusuda bekliyordur

DOSY

A:BThaber

24 - 30 Nisan2017

www.bthaber.com.tr

Handan Aybars

güvenliğin ipuçları ele alınacakSiber Güvenlik 4.0 ve Felaket Yönetimi Teknoloji Platformu buluşması, sektörden önemli isimleri 25 Nisan'da İstanbul'da Gümüşsuyu'nda CVK Park Bosphorus Hotel'de buluşturacak. Detaylarına http://www.teknolojiplatformlari.com.tr/siber-guvenlik-4-0-ve-felaket-yonetimi-platformu/3/558 sitesinden ulaşılabilen etkinlik ile en güncel riskler ele alınacak, özel sektörün ve kamunun yaptıkları ve bunların üstüne yapması gerekenler taraflarca paylaşılacak. Kurumsal güvenlik ve bireysel risk farkındalığı konuları, akıllı şehir, IoT gelişimi gibi başlıkları da içerecek.

Siber alanda "farkındalık" ne yazık ki genelde bir siber felaket ile karşılaşıldığında öne çıkıyor.

Zaman zaman, tabiri caizse "Nasrettin Hoca'nın Türbesi” şeklinde her tarafı açık ama kapısı

kilitli biçimde yapılandırılan bilişim sistemlerinde, zaten açıkça saldırılar fark edilemediğinden siber başlıklar gündemde yer alamıyor. Bu alanda henüz milli bir politika olmadığından, gerek KOBİ seviyesinden başlayan özel sektörde, gerekse kamu sektöründe siber farkındalığın yeterli seviyeye geldiğini söylemek için oldukça erken. Siber Güvenlik, e-Devlet ve e-Yönetişim Kıdemli Uzmanı Mustafa Afyonluoğlu, şu bilgileri paylaştı: “2000'li yılların başından itibaren yaşamaya başladığımız e-Devlet deneyimi gibi siber güvenlik de sadece teknolojiden ibaret zannedilip, BT birimlerinin sorumluluğuna verilmekte. Oysa en zayıf halkanın "insan" olduğu gerçeği gözden kaçtığı için bu girişim genelde yeterli başarının yakalanmasına engel olmakta. Önerilen doğru yaklaşım; özel sektörde veya kamu kurumlarında, en üst düzey yöneticiye doğrudan bağlı siber güvenlik yapılanmasının olması ve bu yapılanmadaki insan kaynağının

teknoloji, hukuk, sosyoloji gibi çok disiplinli eğitime sahip olması, yeterli yetkilerle donatılması. İlk kural elimizdeki varlıkların farkına varmak, yani varlık envanterini hazırlamak, sonra da bunlardaki riskleri belirleyerek seviyelendirmek, yani önceliklendirme. Risk yönetiminin temel prensibi olan bu yaklaşım, NIST'nin siber güvenlik çerçevesinin de esasını oluşturmakta. Çalışanlarda, oluşacak siber riskin yıkıcı sonuçlarını somut olarak göstererek yeterli farkındalık ve sahiplenme oluşturulabilir. Sadece standart eğitimler, talimatlar veya taahhüt imzalatarak hukuki yöntemlere başvurmak, başarılı siber güvenlik yönetimi için yeterli ve doğru yaklaşımlar değil. Çalışan, önce ne yaparsa ne gibi riske sebep olacağı ve bunun sonuçlarının somut olarak neye yol açacağını bilirse, çalıştığı kurumun selameti için konuya sahip çıkar. Akabinde kurumsal güvenlik politikaları ve hukuki çerçeve işletilmeli.”

Siber güvenlik, alışılagelen tehditlerden daha farklı görünmekle birlikte, temelde korunma yöntemleri eski risklerden farklı değil. Kurumsal olarak iki kilit faktör var: Üst yönetimin liderliği ve çalışanların katılımı. Alınacak önlemler, uyulacak standartlar ve dokümantasyon çok daha rahat olabilir. Üst yönetim; risklerin değerlendirilmesi, işlenmesi ve buna yönelik kaynak sağlama fonksiyonunu yerine getirmeli. “Ne yazık ki birçok yönetim kaynak ayırmayı “para” ayırma olarak görmekte” eleştirisini yapan Denetik Uluslararası Belgelendirme ve Gözetim Hizmetleri Genel Müdürü Adnan Karadaş’ın da belirttiği gibi, işin gereği, tabii bir miktar “finansal kaynak” ayrılması gerekebilir, fakat “zaman kaynağı” sağlanması çok daha önemli. Çalışanların risklerin belirlenmesi, teknolojinin ve yeni tehditlerin öğrenilmesi, gerekli tedbir alınması konusunda gerekli kaynağın sağlanması, kurumsal savunma sistemini oldukça geliştirir. Adnan Karadaş’ın verdiği bilgiye göre, çalışanların katılımı ise standartlarda şu şekilde belirtilir: “Yapılan işin, kurum faaliyetine etkisinin farkında olunması”. “Bu farkındalık için eğitim, disiplin süreçlerinin çalışması gerekir” diyen Karadaş, şöyle devam etti:

“Fakat gerçek başarı, birçok örneğinde gördüğümüz şekliyle, alt ve orta seviye yönetimlerin başarı değerlendirmelerinde, çalışanların katılımı ve farkındalığı bir ölçüt olarak konulmalı. Bu şekilde kurum hedefleri, yönetim kademeleri üzerinden tüm çalışanlara yayılabilir. Genel olarak değerlendirdiğimizde ülkemiz kuruluşlarında farkındalığın olması gereken seviyenin altında olduğunu, kurumsal tedbirlerin ancak yaşanan felaketler sonunda alındığı görülmekte. Sürdürülebilirlik açısından diğer olası felaketler için kaynağın proaktif olarak alınması için kurum içi teknik personele çok iş düşüyor. Yapı tamamen kurumsal yeterlilik ve yetkinlik durumuna göre belirlenmeli. Personelin sayısal eksikliği, yeterliliğe sahip olan personelin istihdamı gibi sorunlar da dahil olmak üzere, kurumdan kuruma farklılık arz etmekte. Kurumsal güvenlik, farklı uzmanlık alanlarında bilgi ve tecrübeye sahip kişi(ler) tarafından gerçekleştirilebilir. Fiziksel güvenlik, dokümantasyon yönetimi, çalışanların yeterliliği, farkındalığı ve güvenlik gereklerine yönelik disiplin uygulamaları, yasal mevzuata hakimiyet ve gayet tabii bilişim altyapısının yönetimi bilgisine ihtiyacımız bulunmakta. Bu farklı

özellikleri tek bir kişide bulmak genelde mümkün olmamakta. Bu sebeple, kurumsal güvenlik gereklerini yerine getirecek bir ekibin üyeleri, söz konusu teknik yeterlilikleri kapsayacak şekilde oluşturulmalı. Bazı

özel durumlarda, kurumlar dışardan uzmanları çalışma ekibine geçici veya sürekli olarak dahil edebilmekte. Teknik ekip üyelerinin sayısal ve zaman kullanımı açısından desteklenmesi, mutlak başarımı kuruma kazandırır.”

Cumhurbaşkanlığı - Devlet Denetleme kurulu Siber güvenlik, e-Devlet ve e-Yönetişim kıdemli uzmanı

mustafa Afyonluoğlu

12 24 - 30 Nisan2017

BThaberSiber Güvenlik 4.0 ve Felaket YönetimiDOSYA

EN zAYIf hALKA MAALESEf İNSAN!

ÇALIŞANLARIN KATILIMI vE SÜREKLİ EğİTİM BİR GEREKLİLİK

Üst yönetimin katılımı esasÜst yönetim ve çalışan sorumluluklarından bahsettik. Güvenli yapıyı oluşturan temel bileşen etkin bir risk yönetimini içermekte. Risk yönetimi, birçok kuruluş tarafından dinamik olarak algılanmakta, değişen koşullar göz ardı edilmekte. “Ne yazık ki, yaşadığımız çağ, dinamik bir risk yönetimini kaçınılmaz hale getirmekte” yorumunu yapan Adnan Karadaş, şu önerileri paylaştı: “Kurumsal tehdit olan siber güvenlik riskleri ISO 27000 serisi rehberlerde de ele alınmakta. Genel olarak bu rehberlerden faydalanılabilir. Tüm risklere önlem alma hem çalışan sayısı hem de finansal bütçe açısından mümkün olmamakta. Risklerin etkileme derecelerinin göz önüne alınması, yüksek risklerin, maliyet ve bedelleri göz önüne alınarak yok edilmesi çalışması yapılmalı. Siber güvenlik risk değerlendirmesi, sadece matematiksel bir işlemden

ibaret değil. Derecelendirme ve değerlendirme kriterleri muhakkak sayısal ve karşılaştırma yapılabilecek şekilde belirlenmeli. Farklı kuruluşlar örnek alınsa da değerlendirme kurumun kendi gerçeklerine göre şekillendirilmeli. Siber risklerin zarar verme ihtimali ve zararın boyutu çalışanların bilgi açısından yeterliliği ve farkındalığı ile doğrudan ilişkili. Teknoloji seçiminden, kullanımına birçok alanda çalışanın olumlu veya olumsuz etkisini görmek mümkün. Kuruluşun güvenlik politikası, kuruluş hedefleri göz önüne alınarak belirlenmeli. Bunun, basit, kısa sürede hazırlanacak veya havada kalacak ifadelerden ibaret olması hiçbir anlam taşımamakta. Güvenlik politikası, tüm kuruluş faaliyetlerine çerçeve oluşturacak, üst yönetimin iradesini içerecek şekilde belirlenmeli. Bu ise sistem kurulumu aşamasından itibaren üst yönetimin çalışmalara katılımını gerektirmekte.”

Siber güvenlik risklerinin gün geçtikçe artmakta olduğu konusunda artık bilgi sahibi olmayan kalmadı denilebilir. Ancak konunun ne kadar vahim olduğu konusunda bilinç düzeyi hala tartışmaya açık. “Kurumların farkındalık düzeylerinin bu açıdan büyük değişiklikler gösterdiğini araştırmalarımızda gözlemleyebiliyoruz” diyen Accenture Security Kıdemli Yöneticisi Gürol Erdoğan, şu önemli

detayı paylaştı: “Birçok kurum konunun aciliyetini idrak etmiş, hatta ciddi sayıda kurum bizzat yıkıcı saldırılara maruz kalmış ve toparlanmaya çalışmakla uğraşırken, bazı sektörlerin konuya ne kadar uzakta kaldıklarını da görmek ürkütücü. Bizim bu konuda önerimiz her zaman bir temel yaklaşım uygulamak ve bu yaklaşımı üst yönetimden en alt kademelere kadar, siber güvenlik farkındalığını kurum kültürünün değişmez bir parçası haline getirmeyi hedeflemekten geçiyor.”Gürol Erdoğan’ın dikkat çektiği gibi, kurumsal bilgi güvenliğinin nasıl yönetileceği ve kurumdaki esas sahibinin hangi birimde olması gerektiği konusu da çok tartışılan konular. Kurumda BT yönetiminden ayrı bir Kurumsal Güvenlik birimi kurulma gerekliliğini; Accenture olarak kurumun yapısı, bulunduğu sektör, birimlerin birbiriyle olan dinamiklerini göz önüne alarak yaptıkları kapsamlı analizler sonucunda ortaya çıkardıklarını ifade eden Gürol Erdoğan, “Kurumlara etkin ve güçlü bir şekilde çalışabilecek, optimum fayda sağlayacak bir organizasyonel model öneriyoruz” bilgisini verdi. Erdoğan, önemle vurguladıkları başlıkları

şöyle sıraladı:

Hatalı algıdan artık uzaklaşılmalı“Kurumlar, güvenlik stratejilerini belirleyip güvenlik mimarilerini ve buna bağlı güvenlik altyapılarını oluştururlarken, her zaman bulundukları iş alanı ile uyumlu olduklarına emin olmalılar. İş birimlerinin çalışma modelleri ve süreçleri ile çatışmamak, kurumun esas varlık sebeplerinden uzaklaşmamak için güvenlik ekipleri ve iş birimlerinin uyum içinde olmalarını sağlamalılar. Bu noktanın sağlanabilmesinin tek yolu güvenlik stratejisinin en üst yönetimin onayı, bilgisi ve desteği ile her zaman sahiplenmesi, ciddiyetinin ve önceliğinin yönetim kurulu tarafından korunması ve tüm kuruma bu mesajın sürekli verilebilmesinde yatıyor.”Kurumların, var olma sebepleri olan iş bağlamlarından uzaklaşmadan güvenlik stratejilerine yatırım yapmaları çok önemli ve bunu sağlamak için en üst yönetimin, güvenlik politikalarını her zaman öncelikli tutmaları gerekiyor. Accenture olarak, 2016 yılında 15 ülkede, 12 sektörde 2 bin güvenlik profesyonelinin katılımıyla yaptıkları “Yüksek Performanslı Güvenlik” araştırmasının sonuçlarını Erdoğan, şöyle

paylaştı: “Buna göre, güvenlik yöneticilerinin yüzde 75’i şirketlerinin, bilgi güvenliği stratejilerine güvendiklerini ifade ediyor. Oysa gerçekleşen siber tehditlere baktığımızda, bu algının ne kadar sorunlu olduğunu görüyoruz. Dünya çapındaki çok büyük firmalara yapılan her 3 saldırıdan 2’si hasara yol açıyor ve bu saldırı teşebbüslerinin sayısı artık binlerle ifade ediliyor. Yöneticilerin, bu hatalı algılarından uzaklaşması ve sorunla yüzleşmeye başlaması gerek. Yöneticiler, kurumlarının en öncelikli “iş” ve “veri” varlıklarının ne olduğunu tespit etmeli, saldırılara karşı koyacak araç ve tekniklere sahip olma planlarını bir an önce oluşturmalı ve hayata geçirmeli, savunma duvarlarını örmeye ve güçlendirmeye sürekli yatırım yapmalılar. Kurumlara, şu adımları uygulayarak güvenlik yaklaşımlarını “restart” etmelerini öneriyoruz: Güvenlik yeteneklerinizi zorlayın, güvenliği herkesin işi haline getirin, savunma duvarlarınızı içten dışa doğru örün, inovasyona yatırım yapıp manevra yeteneğinizi arttırın, güvenliği en tepeden yönetin ve son olarak, işinizi güvenle büyütün.”

Bilgi Sistemleri Araştırma Merkezi bünyesindeki BÜSİBER (Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Siber Güvenlik Merkezi) ve BThaber katkılarıyla 8 Mayıs 2017 Pazartesi günü Boğaziçi Üniversitesi Albert Long Hall’da “Türkiye’de SOME’ler ve Siber Güvenlikte Yerli Milli Çözümler” konferansında milli siber stratejisinde önemli rol oynayan SOME birimleri ve ulusal üreticileri bir araya gelecek. İstanbul Kalkınma Ajansı desteğiyle çalışan BÜSİBER, akademik bakış açısıyla kamu siber direncini artırmayı ve bu alanda ihtiyaç duyulan insan kaynağını yetiştirmeyi hedefliyor. Buradan yola çıkarak, sanayi ile akademi dünyası milli siber güvenlik teknolojilerini bu platformda konuşacak, önemli veriler ve raporlar ile günümüzü ve geleceğimizi tehdit

eden, teknolojinin en önemli noktası olan bu konuyu gündeme taşıyacak. Söz konusu platform, Boğaziçi Üniversitesi Öğretim Üyesi ve BÜSİBER - Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Siber Güvenlik Merkezi Yöneticisi Doç. Dr. Bilgin Metin önderliğinde hayata geçiriliyor. Kayıt ve program için https://siber.boun.edu.tr/tr/milli adresini ziyaret etmek mümkün. Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından ‘’Ulusal 2016-2019 Siber Güvenlik Stratejisi Ve Eylem Planı’’ kapsamında üniversitelere önemli bir rol verildi. Bu yolda kamu kurumları, özel sektör, sivil toplum kuruluşları, denetleyici kurumlar, üniversiteler, geliştirici firmaların bir araya gelerek ulusal siber güvenlik ekosisteminin oluşturulması

konusu da stratejik amaç olarak belirlendi. Siber olaylara müdahale ekiplerinin (SOME) kurulup işler hale gelmesi ve siber güvenlikte milli çözümler geliştirilmesi siber saldırıların her geçen gün arttığı günümüzde artık kaçınılmaz bir gereklilik. Siber güvenlik alanında milli yazılımlarla güvenlik duvarı, saldırı tespit ve önleme sistemi, log analizi, veri sızıntısı önleme, siber tatbikat, siber istihbarat, kötücül yazılım, adli bilişim, bilgi güvenliği süreç, risk ve uyum yönetimi gibi alanlarda yerli ve milli çözümlerin geliştirilmesi stratejik öneme sahip.

Accenture Security kıdemli Yöneticisigürol Erdoğan

1324 - 30 Nisan2017

BThaber Siber Güvenlik 4.0 ve Felaket Yönetimi DOSYA

KURUM KÜLTÜRÜNÜN DEğİŞMEz PARÇASI OLMALI

ULUSAL STRATEjİ, MİLLİ ÇÖzÜMLERLE GÜÇLENECEK

IBM’in her yıl Ponemon Enstitüsü ile gerçekleştirdiği Siber Dayanıklı Kuruluş araştırmasının sonuçları, kuruluşlarının yüksek düzeyde siber dayanıklılığa sahip olduğunu söyleyen BT ve güvenlik profesyonellerinin oranının yalnızca yüzde 32 olduğunu ortaya koydu. Araştırmaya katılan kuruluşların yüzde 66'sının, kuruluşlarının siber saldırıların ardından yeniden çalışabilir duruma gelmek için hazırlıklı olmadığını belirttiği de görüldü. Ülkemizde de yaşadığımız siber güvenlik vakalarında benzer

sonuçlar görüyoruz. IBM Türk Güvenlik İş Birimi Ülke Lideri Engin Özbay, bu sonuçları ve atılması gereken adımları şöyle anlattı: “Bu sonuçlar bize tüm dünyada kuruluşların halen bir siber saldırıyı yönetmek ve bu gibi bir saldırının etkilerini azaltmak için hazırlıklı olmadığını gösteriyor. Güvenlik liderleri, sorunlara yanıt verilmesini en önemli öncelik haline getirerek ve planlamaya, hazırlığa ve istihbarata odaklanarak önemli ölçüde iyileşme elde edebilir. Katılımcılara göre, güvenlik

vakalarına müdahale platformu (Incident Response Platform), kimlik yönetimi ve doğrulaması ile izinsiz girişi saptama ve önleme sistemleriyle birlikte kuruluşların siber dayanıklı hale gelmesine yardımcı olma konusunda en etkili güvenlik teknolojileri arasında. Planlama ve hazırlık eksikliği ise en önemli engeli teşkil ediyor. IBM Security olarak geçtiğimiz yıl güvenlik alanındaki yatırımlarımıza devam ederek Siber Olaylara Müdahale ve Yönetim alanında dünya lideri olan Resilient System

firmasını bünyemize kattık. Yetkin kaynak azlığını adreslemek için hızla önem kazanan konulardan birisi de kognitif ve AI teknolojilerinin siber güvenlikte kullanılmaya başlanması. Bu yıl IBM Security olarak kognitif güvenlik operasyonları merkezlerini (SOC) desteklemek üzere tasarlanan ilk zenginleştirilmiş istihbarat teknolojisi Watson Siber Güvenlik çözümünü hayata geçirdik. Son bir yılda bir milyonun üzerinde güvenlik belgesini kullanarak siber güvenlik diliyle ilgili olarak eğitilen Watson, artık güvenlik analistlerine daha önce modern güvenlik araçlarının erişemediği binlerce araştırma raporunu ayrıştırma konusunda yardımcı olabiliyor. Güvenlik olaylarında artış devam ederken, IBM, ayda 1 trilyonun üzerinde güvenlik olayını yöneten X-Force Command Center ağında kognitif araçları getirmek için yatırımlarını sürdürüyor. IBM, üretim, enerji, perakende, bankacılık ve eğitim de dâhil pek çok sektörden müşterileri için son 5 yıldır kurduğu 300'ü aşkın güvenlik operasyonu merkezi ile güvenlik olaylarıyla mücadeleyi destekliyor. Önümüzdeki yıllarda siber güvenlikte kognitif teknolojilerin kullanımının çok daha hızlı şekilde artacağını, “Watson for Cyber Security” ve Resilient Systems Siber Olaylara Müdahale ve Otomasyon teknolojileri sayesinde siber olaylara müdahale sürelerinin kısalacağını, insan-makine iş birlikteliğinin artarak güvenlik operasyon merkezi analistlerinin AI teknolojileri sayesinde hayatının kolaylaşacağını göreceğiz.”

KÜRESEL BİR ‘hAzIRLIKSIzLIK’ vAR

14 24 - 30 Nisan2017

BThaberSiber Güvenlik 4.0 ve Felaket YönetimiDOSYA

ıBm türk güvenlik İş Birimi Ülke lideriEngin Özbay

1524 - 30 Nisan2017

BThaber Siber Güvenlik 4.0 ve Felaket Yönetimi DOSYA

Günümüzde beklenmedik bir siber saldırı senaryosuna tepki vermek ve bir güvenlik ihlali sırasında dinamik olarak değişen durumlara hazır olmak için kurgusal, yani insan odaklı bir bakış açısına ihtiyaç var. Bunun için en son siber güvenlik bilgisine sahip, güvenlik tehditlerini tespit edebilecek ve bunlarla baş edebilecek güvenlik mühendisleri ile donanmış güvenlik operasyon merkezleri oluşturulması ya da kullanılması gibi bir güvenlik yönetim kültür değişimi kaçınılmaz. Zira veri merkezlerinde, sunucularda, bilgisayarlarda ve mobil cihazlarda saklanan kurumsal bilgi miktarı üssel bir hızda artmakta. Dolayısı ile birden fazla giriş noktası bulunan çok daha fazla platformda siber saldırı senaryolarını çeşitlendirecek riskler oluşmakta. “Yani hızla güvenlik tehditlerinin listesi artmakla beraber daha sofistike bir hale gelmekte” yorumunu yapan Fujitsu Türkiye Çözüm Tasarım Mimarı Turgut Haspolat, güvenlikte kurumsal farkındalığı ve gereklerini şöyle anlattı: “İşiniz açısında kritik olan verilerin ne olduğunu tanımlayamıyorsanız, onu koruyamazsınız. Kurumun BT hizmetleri üzerinde kontrolsüz ve belirsiz olaylardan kaynaklanan hizmet kesintilerinin olma olasılığı ve etkisini belirleyemiyorsanız, onları orantılı savunacak bir şeyiniz yok demektir. Birçok kurum halâ iş riski yönetimi ve tehditleri hakkında çok temel bir anlayışa sahip. Prensip olarak, kurumlar bilgi varlıklarının olduğu her yerde çevresini savunmaya odaklanırlar. Ancak siber saldırı, kaleye atılan top güllesine benzemez, daha çok kalenin içine atılmış bir göz yaşartıcı gaz gibidir. Sonuçta kurumlar korku, belirsizlik ve şüphe içinde yanlış problemlere pahalı teknik çözümler satın almakla güvende oldukları rehavetlerini gözden geçirmeli. İyi bir siber güvenlik mekanizması; iş riski yönetimi ile insanı, süreci ve teknolojiyi kapsayan ve kurumun tepesinden gelen aktif liderlik tarafından yönlendirilen tamamen bütüncül bir yaklaşımdır. Unutmayın ki, yıkıcı saldırılar sadece dışarıdan yapılanlar değildir. Ya da konuyu sadece savunma bakış açısı ile ele alamayız. Çoğu sektördeki büyük işletmeler en az bir defa yıkıcı bir siber saldırıya ya da güvenlik ihlaline maruz kalmıştır. Hatta şu anda sistemlerine nüfuz etmiş yıkıcı bir sibernetik organizmanın farkında bile olmayabilirler. Bir saldırıya maruz kaldıktan sonra normal operasyonlara geri dönmek için bir iyileştirme planı uygulanması,

mali zararların en aza indirgenmesi ve itibarın tekrar kazanılması için önemli. Veri güvenliği (koruma) mimarisinin temel hedefi iş sürekliliğini garanti altına almak. İş sürekliliği planlaması, potansiyel tehditler, denetim ve test sonuçları ile ortaya çıkan değişiklikler kapsamında zamanla gelişen sürekli bir döngüde olmalı. Kurum politikaları, standartları ve değişen süreçleri de iş süreklilik planına entegre edilmeli. Dijital dönüşüm çağında yenilikçilik ve değer yaratma bağlamında bozulumu (değişimi),

global ölçekte siber alanda ülke sınırları olmadan hiper bağlanmış bir dünyanın getirdiği fırsatları izliyoruz. Bu durum özellikle genel veri korunması yönetmelikleri, mevzuatları, standartları yaklaşımları ile önemli bir hal alacak. Kurumların riskleri göz önüne alması, korunması gereken en önemli veriyi bulması ve ağlarını dikkatli bir şekilde izlemesi ve yönetmesi gerekecek. Önümüzdeki yıllarda düzenli aralıklarla gerçekleşecek siber saldırılar ve güvenlik ihlallerini sık sık göreceğiz. Tüm bu zarar verici

unsurlar insan odaklı olarak en iyi bilinen büyük şirketleri, hükümetleri ve artık ev halkını da etkileyecek. Güvenliğin hiçbir zaman teknolojik mutlak bir sonu olmayacak. Bize düşen, belli bir noktada gerekli riskleri ve karşılık önlemleri alarak teknoloji, süreç ve insan etkileşimi ile esnek bir güvenlik mekanizması oluşturmak. Esnek güvenlik sistemi anlayışı; insan metabolizması sürekliliğini sağlayan bağışıklık sistemi gibi sürdürülebilir bir yapıda kurgulanması temel odak noktası olmalı.”

ESNEK GÜvENLİK SİSTEMİ ANLAYIŞI BENİMSENMELİ

C

M

Y

CM

MY

CY

CMY

K

Günümüzde en önemli riskin son kullanıcılardan kaynaklanan riskler olduğu gözlemlenmekte. Bu, tehditlerin değişen karakteristiğinden de anlaşılmakta. Özellikle son kullanıcı tarafındaki güvenlik konusunda istenilen farkındalık oranlarının yakalanamaması, kurumların yaptıkları büyük bütçeli sınır güvenliği çözümlerini de riske atmakta. Kurumların çalışanların bilgi güvenliğinin sağlanması konusundaki bilgi düzeylerini, daha işe giriş aşamasından başlayarak, sürekli olarak güncel tutmaya yönelik ve yeni ortaya çıkacak tehditleri de kapsayacak şekilde bir kurum içi eğitim modeli oluşturması artık bir mecburiyet. İGA Havalimanları

İnşaatı IT Altyapı ve Güvenlik Grup Müdürü Emrah Bayarçelik, bu yorumunu şu sözlerle detaylandırdı: “Kurumsal güvenlik; BT biriminin kapsamında ancak kuvvetler ayrılığı prensibi ile sağlanmasıdır. Bu aşamada siber güvenlik operasyonu yöneten ekip ile kurumun kullandığı güvenlik ekipmanlarını yöneten ekipler tamamen birbirinden bağımsız olmalı. Ayrıca, kurumun iş süreçlerine bilgi güvenliği yaklaşımın uygulanmasını sağlayan, eğitimlerin içeriğini belirleyen, tatbikatları ve kurumun güvenlik seviyesinin sürekli test edilmesini organize eden iş sürekliliği ekibi de olmalı.”Kurumlar, bulundukları sektörün

maruz kaldığı siber tehdit ve saldırıları göz önünde bulundurarak mutlaka stratejik bir eylem planı oluşturmalı. Bu stratejik eylem planını kurgularken göz önünde bulundurulması gereken temel prensipleri Emrah Bayarçelik şöyle sıraladı: • Kurum; kuvvetler ayrılığını göz

önünde bulundurarak kendi güvenlik birimlerini kurmalı ya da yapılandırmalı.

• Özellikle bin kullanıcının üzerinde kullanıcıya sahip kurumlar kendi güvenlik operasyon merkezlerini oluşturmalı.

• Sanallaştırma ve bulut mimarilerin yaygınlaşmasından dolayı, Kuzey-

Güney yönündeki trafiğin yanında Doğu-Batı trafiğinin de güvenliği sağlanmalı.

• Sadece sınır güvenliği değil, son kullanıcıların güvenliğinin sağlanmasına yönelik de yeni teknolojilere öncelik verilmeli.

• Kurum içi farkındalık eğitimleri sürekli ve güncellenerek tekrarlanmalı.

• Kurumun güvenlik operasyonunu yöneten ekibin yetkinlikleri sürekli izlenmeli ve yeni eğitim programları ile güncel tutulmalı.

• İnsan kaynağının sürekliliği için akademik kurumlarla işbirliği yapılmalı.

Siber saldırıların, kurumların entelektüel sermayesini hedef aldığı, kurumlardan hem rekabet, ürün, fiyat gibi gizli bilgilerin, hem de paranın sızdırılması amacını taşıdığı günümüz dünyasında, kurumsal güvenliğin sadece BT ekiplerinin sorumluluğunda olan bir konu olduğu düşünülmemeli. Kurumlarda iş birimlerinin ve yönetim, icra kurullarının korunmasından sorumlu olduğu bilgiler var ise bu bilgilerin siber saldırılara karşı da hem iç, hem dış tehditlerden korunması gerekliliğinden bahsediyoruz artık. “Kurumlarda tüm paydaşları içine alacak şekilde yeni bir yapılanma ile konunun ele alınmasını ve bu konuya en üst düzeyde önem verilmesi gerek” vurgusunu yapan Forcepoint Türkiye Satış Mühendisliği Ekip Yöneticisi Murat Bayraktar, bu alanda kurumsal

farkındalığı ise şu sözlerle anlattı: “Siber güvenlik konusuna bakışımızın temelinde insan faktörü yer almakta. Bu nedenle bu seneki sloganımızı “Protecting the Human Point” olarak belirledik. Yapılan araştırmalara göre, hala tüm kurumlarda kullanıcıların siber güvenlik tehditleri ve önlemleri konusunda bilinçlendirilmesi ve bilgilendirilmesi en büyük risk kaynağı olarak öne çıkmakta. Bilgiye ulaşımın son derece kolaylaştığı ve her türlü mobil cihazdan da veriye ulaştığımız günümüz dünyasında,

siber atakların nereden ve nasıl geleceğini öngörmek artık imkansız. Buzdolaplarının, klima cihazlarının, sensörlerin ele geçirildiği ve siber saldırı aracı olarak kullanıldığı bir dünyada yaşıyoruz. Sosyal mühendislik tekniklerinden, kandırma ve yanlış yönlendirme odaklı ataklara, DDoS gibi dağıtık ataklardan, sıfırıncı gün ataklarına kadar binlerce kötü niyetli saldırı tipinden korunmak; teknoloji ve süreçlerden çok daha önce, bilinçli ve bilgili kullanıcılar gerektiriyor. Tüm müşterilerimize, tasarlayacakları teknoloji çözümlerinde öncelikle bu konuya dikkat etmelerini tavsiye ediyoruz. Tüm Forcepoint ürün ve çözümleri, özellikle bu konu özelinde geliştirmiş olduğumuz “Forcepoint Insider Threat” ile müşterilerimize bu konuda en üst

güvenlik seviyesinde destek vermeye de devam ediyoruz. Hem özel hem kamu olsun, kurumsal firmalar, uzun zamandır bu konuda BT yatırımlarını arttırmış durumdalar. Devletlere yönelik siber savaşların son yıllarda büyük tehdide dönüşmesi üzerine, ülkemizde de buna yönelik olarak önemli adımlar atıldı. Siber Olaylara Müdahale Ekipleri’nin (SOME) kuruluş, görev ve çalışmalarına ilişkin tebliğ uzun zaman önce yayınlandı. Bu açıdan, kamu kurumlarının önümüzdeki dönemde bu konuda çok daha aktif olacağı öngörülebilir. Özel sektörde ise öncelikle finans ve üretim sektöründen başlayarak tüm büyük firmalarda, siber güvenlik konusunda bilinçlenme görmekteyiz. Özellikle büyük firmalarda entelektüel sermayenin korunması amacı ile sürekli artan hızlarda güvenlik yatırımları başlamış durumda.”

Kendinize özel güvenlik politikası geliştirinKonu sürekli gelişen siber risklere karşı güvenlik ve çalışanların farkındalığının artırılması olduğunda, Murat Bayraktar’a göre, bu konuda yaklaşımı ‘siber güvenlik konusunda her şirket ve sektör için farklı ve o kuruma özel savunma teknikleri geliştirilmesi, buna yönelik teknoloji, süreç ve insan yatırımları yapılması’ sözleri ile özetledi. Zafiyet taraması testlerinden, bilgi güvenliği süreç yönetimi projelerine, iç tehditlerin belirlenmesi ve engellenmesi projelerinden, regülasyonlara uyumluluk çalışmalarına kadar, müşterileri önünde çok fazla

çözüm var. “Yapılacak siber güvenlik yatırımının, fayda / maliyet analizini, kuruma geri dönüşünü hesaplamadan, yol haritası ve yatırım planlanması yapılması da son derece yanlış olur” uyarısını yapan Bayraktar, şöyle devam etti: “Sanılanın aksine, çok küçük teknoloji ve süreç yatırımları ile bile çok ciddi önlemler alınması mümkün. Siber tehditlerin, kurum içine sızmak için kullandığı kanalların Forcepoint çözümleri ile sürekli ve proaktif olarak izlenmesi, tehditlerin daha kuruma zarar vermeden tespit edilmesi ve engellenmesi mümkün. Uçtan uca bir siber savunma çözümü için web, e-posta, dosya, veritabanı ve kurumsal uygulamalar kanallarının izlenmesi ve tehditlerin ortaya çıktığı anda bertaraf edilmesi gerek. Diğer siber güvenlik üreticilerinden en önemli farkımız, tüm çözümlerimizin birbirine ve DLP mimarisine entegre olarak çalışması. 2017’de çeşitli satınalmalar ve işbirlikleri ile çözüm ailemize kattığımız CASB (Cloud Access Security Broker) ve AMD (Advanced Malware Detection) de bu entegre ürün ve çözüm ailemizin birer parçası oldu. Daha detaylı çözüm farkındalığı için, ilgili tüm müşterilerimizi, bu yıl yeni bir inisiyatif olarak başlattığımız ve ilk yarıyıl programını sitemizden ve sosyal medya kanallarımızdan duyurduğumuz “Forcepoint Türkiye Siber Güvenlik Akademisi” seminerlerine de davet etmek isteriz. Detayları http://www.forcepoint.com/tr adresinden takip etmek mümkün.”

16 24 - 30 Nisan2017

BThaberSiber Güvenlik 4.0 ve Felaket YönetimiDOSYA

KUvvETLER AYRILIğI PRENSİBİ ESAS OLMALI

SALDIRI hER YERDEN GELEBİLİR, YETER Kİ Sİz hAzIRLIKLI OLUN

Forcepoint türkiye Satış mühendisliği Ekip Yöneticisi Murat Bayraktar

En büyük veri güvenliği sorunları; veriyi barındıran yöneticilerinin bilmediği sorunlar. Gerçek şu ki birçok işletme, hangi pozisyonda olduğunu bilmiyor. Güvenlik genellikle temel korumaları kapsayan güvenlik duvarı, sistemlere yama ve yedeklemeyi, kullanıcı hesaplarında güçlü parolaları ile mevcut stratejinin yeterli olduğunun düşünüyor. “Ancak, kötü niyetli bir saldırganın bakış açısına bakılıncaya kadar, ne kadar iyi korunduğunuzu asla bilemezsiniz” uyarısını yapan Biltam Güvenlik Danışmanı Gürsel Arıcı’ya göre, bilgi güvenliği, olaya müdahale ile doğrudan bağlantılı. Olaya müdahale; temelde veri ihlallerine, kötü amaçlı yazılım salgınlarına ve benzerlerine düzgün şekilde yanıt vermek için atılan adımlar. Olay tepkisi, doğrudan iş devamlılığını sağlamak için atılan adımlar ve sonuçta felaket kurtarma ile doğrudan bağlantılı. Bu nedenle olaylar gerçekleşmeden önce riskleri analiz edip önlemleri almak şart. Gürsel Arıcı, şu detayları paylaştı: “Kuruluşunuzun verilerini korumak amacıyla, çeşitli felaketlerden koruyacak kapsamlı ve verimli bir felaket kurtarma planı hazırladınız. Oluşturulan senaryolarda sakladığımız verinin erişilebilirlik, zaafiyet, yedeklilik ve yedekli verinin güvenli saklandığı konularına odaklanılmalı. Unutmayın ki, kurumların birçoğunun ransomeware atağı sonrası kayıpları, doğru yedek almama veya alınan yedeğin de şifrelenmesi sonrası ciddi mali kayıplara sebep olması ile sonuçlandı. Felaket kurtarma senaryolarını planlarken perimeter güvenliği, veri güvenliği,

zaafiyet analizi, kimlik denetimi göz ardı edilmemeli. Maalesef günümüzde kurumlarda gördüğüm yaklaşım, maliyet oluşturduğu gerekçesiyle bu alanlara güvenlik yatırımının yapılmıyor olması. Halbuki çok ciddi çabalar sarf ederek şirket içerisinde korumaya çalıştığımız veriyi, kendi elimizde güvensiz bir ortama depolamaktayız.”

Üçüncü gözü hayata geçirinEndüstri 4.0 döneminde akıllı şehirler, evler gibi yaklaşımlar duymaktayız. Kurumlar bir şekilde kendi felaket

kurtarma senaryolarını oluşturuyor. Fakat belediyeler tarafından yönetilen akıllı şehirler siber güvenlik konusunda ne yapıyor? Bu soruyu soran Gürsel Arıcı, yanıtı da şöyle paylaştı: “Scada network’lerine karşı yapılan özelleştirilmiş saldırıların dikkate alınması gerek. Bir şehrin, kurumun veya herhangi bir organizasyonun elektrik veya su sistemlerine siber müdahale sonucunu tahmin edebiliyoruz. Bunlar oluşmadan önce, doğal afetler için aldığımız önlemlerin yanına siber güvenlik önlemlerini de mecburi görerek eklememiz gerek. Olası bir felaket anında, yedek olarak beklettiğimiz verilerimizin, sistemlerimizin işlevsel olmadığını görmek kadar yıkıcı bir durum olmadığını sanıyorum. Oluşturulan tüm prosedürlerin sıklıkla işletilebilirliği, güvenlik açısından analizlerinin günlük rutin işin bir parçası olarak kaydedilmesi gerek. Üçüncü bir gözün sistemleri nasıl gördüğünü denetletmek, farkındalık seviyenizi arttıracak bir adım olur. Son olarak, önerim profesyoneller ile çalışın.”

Güvenlik için kaynak ayırın! Gelinen noktada, klasik güvenlik yaklaşımından biraz uzaklaşarak, proaktif yaklaşım sergilenmesi gerektiğini anlamak için çok geç değil. Her kurum dış tehditlere karşı önlemler alırken, iç tehditler ve felaket kurtarma merkezlerinde depoladıkları verilere karşı yeterince

hassas davranmamakta. Durum böyle olunca, bir ihtiyaç anında verinizi yerinde bulamayabilirsiniz veya işlevselliğini kaybetmiş verilerle sizi zor durumda bırakabilirler. “Hazırlıklı olmak için mutlaka kurumunuza ait bir verinin, kurumun organları gibi olduğunu unutmayarak, veri neredeyse ve erişim hangi noktada mümkünse güvenlik seviyesini üst seviyede tutmaya özen gösterin” tavsiyesini yapan Gürsel Arıcı, sözlerine şöyle devam etti: “Kurumsal güvenliğin, BT biriminin altında kurulacak bir güvenlik ekibi ile sağlanabileceğini düşünüyorum, ki çoğu kurum ihtiyaçlarını bu şekilde karşılamakta. Fakat problem şudur ki, bu birim her şey ile ilgilenen tek kişiden oluşuyorsa, bu yapılanmanın faydasının az olacağı kanaatindeyim. Güvenlik için ayırabileceğimiz bir kaynak yoksa, bu konuyu dış kaynak kullanımı ile çözüp, elimizdeki kaynakları denetleyici mekanizma olarak kullanmak daha fazla fayda sağlar. Kurumlarda birbirleri arasında tehdit zekasını paylaşabilen ve olay anında aksiyon alabilen çözümlerle siber güvenlik sistemlerini otomatikleştirmeleri önemli. Kurumların ölçeği ne olursa olsun, öncelikle değerli verisini sınıflandırıp, risk haritasını çıkartması gerek. Sonrasında güvenlik mimarisini bu ölçüde şekillendirebilirler. Çeşitli dönemlerde siber saldırı simülasyonları ve etkinliklerle çalışanlarını eğitmeyi, bilinçlendirmeyi hedeflemeliler.”

‘ASLA GÜvENDE OLMADIğINIz’ GERÇEğİNİ UNUTMAYIN

1724 - 30 Nisan2017

BThaber Siber Güvenlik 4.0 ve Felaket Yönetimi DOSYA

Biltam güvenlik Danışmanıgürsel Arıcı

2016’nın son günlerinde yeni bir saldırı türü ile karşı karşıya kaldık: Bilindik Mirai kaynak kodunda bulunan Telnet tabanlı deneme yanılma mekanizmasından farklı bir yayılma mekanizması kullanan yeni bir Mirai türevi. Bu yeni türev, İnternet kullanıcılarının geniş bant yönlendiricilerini uzaktan yönetmek üzere İnternet servis sağlayıcıları (İSS) tarafından kullanılan TR-064/TR-069 protokolünün savunmasız uygulamalarından faydalanıyor. Bu Mirai türevi hakkında çokça makale yayımlanmasına karşın, önemli ayrıntıların gözden kaçtığını ya da sansasyonel bir havada sunulduğunu gözlemliyoruz. Siber saldırganlar, online erişimi engellemeye yönelik DDoS saldırılarını para sızdırma amacıyla kullanmayı sürdürüyor. DDoS saldırıları giderek artarken, bu tehdidin artık geniş bant erişimli cihazları hedef almasıyla birlikte, İnternet servis sağlayıcılarının Mirai'nin etkisini azaltmak için yönlendirilmesi önem taşıyor. Çünkü İSS’ler aynı zamanda müşterilerinin ağ güvenliği ve performansından da sorumlu… TR-064/TR-069 Mirai türevine dayanan botnet saldırısının, bazı medya organlarında “hizmet olarak DDoS formu”nda kullanıldığı yazıldı. Bu sözde Booter/Stresser veya kiralık DDoS hizmetleri, ücretini ödeyen herkesin istediği yere DDoS saldırısı düzenlemesine izin veriyor. Elbette, Mirai tabanlı olsun veya olmasın, bir botnet saldırısının para kazanmak amacıyla gerçekleştirilmesi kimse için şaşırtıcı olmamalı. Aslında bu botnet ağının var oluş amacı da budur. Ekonomik modeli, mobil sanal ağ operatörlerinin (MVNO) ekonomik modelini genel hatlarıyla taklit ediyor. Wikipedia'ya göre:

Mobil sanal ağ operatörü (MVNO) veya farklı lisanslı mobil operatör (MOLO), müşterilerine hizmet sunmak üzere kullandığı kablosuz ağ altyapısının sahibi olmayan bir kablosuz iletişim sağlayıcısıdır. MVNO, ağ hizmetlerine toptan fiyatlarla geniş çaplı erişim sağlamak üzere bir mobil ağ operatörü ile iş anlaşması gerçekleştirir ve sonrasında perakende fiyatları bağımsız olarak belirler. MVNO kendi müşteri hizmetini, faturalandırma destek sistemlerini, pazarlama ve satış personelini kullanabilir veya bir mobil sanal ağ sağlayıcısının (MVNE) hizmetlerinden faydalanabilir.Bu örneğe baktığımızda, Mirai botnet ağını tasarlayan ve bunu işleten tehdit aktörleri, mobil ağ operatörleridir. Botnet alt yapısının sahibidirler ve diğer tehdit aktörlerine (bu örnekte MVNO'lar) yönetilen erişim sağlarlar. 2. düzey tehdit aktörleri (bu örnekte MVNO'lar) ise kendi fiyat tablolarını hazırlayıp istedikleri şekilde pazarlayarak, son müşterilerine kiralık DDoS hizmeti sunar. Bazı durumlarda Mirai'yi kullanabilirler; diğer durumlarda ise kendi botnet altyapılarını pazarlamaya çalışırlar. Mirai kaynak kodunda botnet altyapısına MySQL hesap veritabanı, API ve CLI seviyelerinde erişime sahip böyle bir model için yerleşik destek bulunuyor.

Mirai nasıl yayıldı?Bu en yeni Mirai türevinin kullandığı yayılma mekanizması, sızan orijinal Mirai kaynak kodunda kullanılan yayılma mekanizmasından biraz farklı. Sızan orijinal Mirai kodu, Telnet tabanlı deneme yanılma yöntemini kullanarak, tasarım ve yapılandırma alanlarında güvenli olmayan IoT cihazlarını ele geçirir. Varsayılan kullanıcı adları ve parolalardan oluşan önceden belirlenmiş liste, genelde web kameraları ve DVR'ların ele geçirilmesiyle elde edilir. Bu yeni Mirai türü ise müşterilerin konumlarında bulunan ekipmanları (öncelikle ev yönlendiricileri) uzaktan yönetmek üzere ISP'ler tarafından kullanılan TR-064/TR-069 protokolünün savunmasız durumdaki uygulamalarından faydalanıyor. Protokolün savunmasız durumdaki uygulaması (CPE WAN Yönetim Protokolü - CWMP olarak da bilinir), istenen kodun HTTP üzerinden 7547

no'lu porta yapılandırma parametresi içeren bir SOAP mesajı gibi iletilmesi sayesinde etkilenen yönlendiricilerde çalıştırılmasına olanak tanıyor. İstenen kodun yürütülmesi, Mirai veri yükünün indirilip yönlendiriciye yüklenmesine izin veriyor; böylece cihazın Mirai Botnet altyapısına katılması sağlanıyor. IoT cihazı botnet altyapısının parçası haline geldiğinde, komut verildiği zaman DDoS saldırıları başlatabiliyor ve ele geçirilecek diğer cihazları taramaya başlıyor.Son kesintiler neden yaşandı?"Krebs on Security" blogu, Fransız barındırma sağlayıcısı OVH, Yönetilen DNS sağlayıcısı Dyn ve Liberya'daki bir mobil operatör gibi hedeflere yapılan bazı yüksek profilli DDoS saldırılarının ardında Mirai botnet altyapısı olduğunun bilinmesi nedeniyle birçok kişi yanlış kanıya vardı. Avrupa'nın iki büyük genişbant sağlayıcısında ve Alman Bilgi Güvenliği Federal Ofisi'nde (BSI) yaşanan son kesintilerin de Mirai tabanlı DDoS saldırılarından kaynaklandığını düşündüler. Bu son kesintilerin nedeni kesinlikle DDoS saldırıları değildir! Bu kesintilerin nedeni agresif yatay tarama ve bir önceki bölümde anlatılan yayılma mekanizmasını kullanarak ev yönlendiricilerinin ele geçirilmeye çalışılmasıdır.

Mirai saldırıları karşısında neler yapılmalı?Arbor’ın güvenlik çözümlerini kullanan şirketler, Mirai tabanlı DDoS saldırılarının etkisini azaltmak için Arbor ATAC veya yerel danışman mühendisleri aracılığıyla, Mirai IoT Botnet Tanımı ve DDoS Saldırısının Etkilerini Azaltmakla Görevli ASERT Tehdit Danışmanlığı'na başvurabilir.

Arbor kullanıcısı olmayanlar ise aynı başlığı taşıyan ASERT bloguna bakabilirler. Genişbant erişimli ISP'ler ele geçirilmiş ve/veya savunmasız durumdaki düğümleri tespit etmek için müşterilerinin erişim ağlarını proaktif olarak taramalı ve cihazlarının savunmasız olması durumunda kullanıcıları bu konuda bilgilendirmek için harekete geçmelidir. Kendi CPE cihazlarının savunmasız olduğu durumlarda ISP'ler bu cihazları değiştirmek için gerekli adımları hiç vakit kaybetmeden atmalıdır. Çünkü saldırganlar yoğun bir tarama aktivitesi sonucunda cihazların yeniden başlatılmasıyla birlikte bu cihazları yeniden ele geçirebilir. Bu CPE cihazlarındaki uzaktan ağ yönetimi olanaklarına sadece ISP'lerin özel ağ yönetimi sistemlerinin erişebilmesini sağlamak için DSL genişbant ağlarını işleten ISP'lerin En İyi Güncel Yöntemleri (BCP'ler) uygulamaları gerekir. Kablolu modem operatörlerinin, ağlarındaki CPE cihazlarını uzaktan yönetmek için kullandıkları DOCSIS ağ yönetimi sistemlerinde aynı işlemi gerçekleştirmeleri gerekir. Buna ek olarak, ARP'lere ve ele geçirilmiş cihazların savunmasız durumdaki diğer CPE cihazlarını botnet altyapısına dahil etmek üzere gerçekleştireceği taramalarla oluşabilecek kontrol düzeyi trafiğe hız sınırı getirmek için ISP'lerin ağ cihazlarında tümleşik olarak bulunan ağ altyapısı kendini koruma mekanizmalarını kullanması gerekir. Bu tarz taramaların neden olduğu yan etkilerin sınırlanması sayesinde, ele geçirilen CPE cihazlarının yoğun tarama etkinliği büyük kullanıcı gruplarını etkileyemeyecektir.

20 24 - 30 Nisan2017

BThaberSiber Güvenlik 4.0 ve Felaket YönetimiDOSYA

MİRAİ SALDIRILARINA KARŞI ÖNLEMLER

Arbor networks türkiye müşteri İlişkileri Yöneticisi Melih Artar

IoT’nin hayatımıza girmesi ile internete bağlı cihazların sayısı hızla artmakta. Mirai saldırısı ile bu cihazların DDoS saldırılarında kullanılabildiğini gördük. IoT cihazlarının kullanımının artması ile DDoS saldırılarının boyutu artacak. Fidye yazılımları artan ivme ile daha da sofistike hale gelerek devam edecek. Yeni dönemde bulut ortamları da fidye saldırılarının hedefi olabilir. Son kullanıcılar, güvenlik zincirinin en zayıf halkası olarak, yoğun bir şekilde sosyal mühendislik ve oltalama saldırılarına maruz kalacaklar. Kargo taşıyan drone’lar, kargoları ele geçirmek isteyen siber saldırganların hedefi olabilir. Güvenlik ürünlerinde yapay zeka ve makine öğrenmesi

kullanılmaya başlandı. Önümüzdeki dönemlerde, saldırganlar da yapay zeka ve makine öğrenmesi kullanılan siber saldırı yöntemlerini deneyecek. Kurum ve şirketlerimizi daha güvenli hale getirmek için birçok yazılım ve donanım kullanıyoruz. Artan güvenlik ürünleri popülasyonunun meydana getirdiği karmaşıklık da önümüzdeki dönemlerin en önemli risklerinden olacak. SOC faaliyetleri önem kazanacak ve regülatif kısıtlaması olmayan kurum ve firmalar “as a service” olarak SOC hizmeti almaya yönelecek. Bu tablo karşısında “Kurumsal farkındalık seviyesi düne göre daha iyi” yorumunu yapan Türkiye Sigorta Birliği Bilgi Teknolojileri

Bölüm Yöneticisi Mustafa Özen’e göre, bunun ana nedeni, geniş etkisi olan başarılı siber saldırılar. “Üst yönetimlere güvenlik ile ilgili yatırımları kabul ettirmek biraz daha kolaylaştı. Devlet tarafında da bu konuda farkındalık ve hareketlenme var. Ancak aksiyon alma tarafı hantal ilerliyor” eleştirisini yapan Mustafa Özen, siber savaşın ortasında daha dinamik olmanın ve daha hızlı aksiyon almanın önemine işaret etti. Bu noktada güvenliğin de yönetim seviyesinde ve organizasyondaki birimlerden yetkililerin yer aldığı kurul tarafından ele alınan bir konu olması gerektiğine dikkat çeken Mustafa Özen, şu bilgileri paylaştı: “Siber saldırıların yüzde 30’luk bölümü

sıfırıncı gün zafiyetlerinden kaynaklı ve en temelde, yüzde 70 olan ve bilinen zafiyetlere karşı gerekli önlemleri almak gerekir. Şirketler, başarılı bir güvenlik için hem kendilerini hem düşmanlarını tanımalı. Şirketler, kendilerini, yani neye sahip olduklarını ve neyi korumaları gerektiklerini mutlaka bilmeli. Sonrasında, önceliklerine göre maliyet etkin tedbirler almaya çalışmalılar. “Güvenlikten X birimi sorumludur” anlayışı ortadan kaldırılmalı ve “Güvenlikten herkes sorumludur” mottosu çalışanlara benimsetilmeye çalışılmalı. Yaşanmış senaryolar ile örneklendirme yapılarak, güvenlik konusunun herkesin sorumluluğunda olduğu pekiştirilmeli.”

Eski nesil güvenlik anlayışında BT ekipleri yeterli oluyordu. Gün geçtikçe yeni tehditlerin eklenmesiyle birlikte, güvenlik birimlerinin diğer ekipler tarafından yarı zamanlı yapılması yerine, sadece güvenlikten sorumlu ekiplerin oluşturulması büyük öneme sahip. Güvenlik birimlerinin, aynı zamanda BT birimlerinin sorumluluğunda olmaması, özellikle yapılacak hataları önlemek ve bağımsız bir gözün bakması açısından da önemli. Ayrıca, BT birimlerinin aldığı eğitimler genellikle ağ ve sistem alanında olup, güvenlik kapsamı sınırlı. Bunun dışında, BT birimlerinin çalışma düzeni 8-5 olmasına karşın, güvenlik

birimleri 7/24 çalışmalı. İşin kritikliğine göre, izleme ve analiz faaliyetleri sürekli yapılmalı. “Özelikle finansal kurumlarda yaşanan son vakaları göz önüne alırsak, bu tür izlemenin ne kadar önemli olduğu, log analizinin ne kadar hayat kurtarabileceği görülüyor” yorumunu yapan Morten Genel Müdür Yardımcısı Cumhur Kızıları’nın da dikkat çektiği gibi, tehditler tek bir noktadan gelmez. Klasik manada tehdidi hep dışarıdan bekleyen yapı, aslında son olaylarda da olduğu gibi, tehdidi içeriden de alabilmekte. Bu nedenle her iki noktada kontrolün doğru yapılması, alarm ve izleme araçlarının doğru konumlandırılması önemli. “Paranoyak olmaya gerek yok, ama kontrolün de, kontrolü

ve onun da kontrolü yapılmalı. Log’lar doğru şekilde saklanmalı ki, bir olayın oluşması durumunda, geriye dönük log’lara bakıldığında, o vakanın neden olduğunu doğru bir şekilde görebilelim” uyarısını yapan Cumhur Kızıları, bu konuda şirketlere yönelik önerilerini şöyle anlattı: “Şirketleri boyutlarına göre yönlendirmeye çalışıyoruz. Çünkü KOBİ’lerde böyle bir güvenlik birimi açmak maddi açıdan kolay değil. Onlara, bizim gibi şirketlerden bağımsız danışmanlık almalarını öneriyor, gelecekteki yapılarına dair BT ekiplerini güvenlik açısından bilgilendiriyoruz.

Neticede, BT ekibinin içindeki yetkin kişilerin eğitilerek ayrı bir gruba çekilmesiyle yeni bir güvenlik ekibi kurulabilir. BT, ağ, güvenlik, bilgi sistemleri ekiplerinin bilgilendirilmesi dışında, en önemli bilgilendirme de son kullanıcı bilgilendirmesi. Son kullanıcıların düzenli olarak bilgilendirilmesi ve düzenli olarak oltalama testlerinin yapılması da diğer araçlar kadar önemli. Maalesef “en güvenli sistem” diyebileceğimiz bir sistem yok, sadece “çok güvenli sistem” var. Buradaki önemli nokta, tüm sistemdeki hareketlerin izlenmesi ve kaydedilmesi. En önemli şey, log’ların kaydedilmesi ve iyi analiz edilmesi. Bir diğer önemli nokta da sistemde kullanılacak donanımların birbiriyle harmonik konuşabilmesi ve bunu da yukarıda yapacak olan orkestrasyon aracı. Eğer ağınızda kullandığınız ağ cihazları, firewall’lar, yük dengeleyiciler, IPS, IDP gibi cihazlar birbirinden çok farklı markalarda olup, endüstri standardında olmazsa, bunlardan gelecek log’ların ve alarmların birbirleri arasındaki iletişimi de mümkün olmaz. Log’ların ve olay aksiyonlarının tüm cihazlar içerisinde birbirleriyle iletişim halinde olması önemli. Aksi halde, bir sürü cihazın birbirlerinden habersiz alarm ürettiğini görürsünüz. Ama hiçbir cihaz alarma karşı aksiyon alabilecek yeteneğe sahip olmayacak.”

Yedekliliği doğru anlamak gerekGüvenlik politikasında önceliklendirme insandan başlamalı. Bilgi sistemleri ekipleri son kullanıcıyı, yani çalışanı

bilgilendirirken, paralel şekilde, özellikle internete bakan sunucu ve ağ cihazlarının kontrolünü yapmalı ve güncellemeli. Ayrıca, en az iki ayrı güvenlik yazılım üreticisi tarafından dış tarama hizmeti de almalı. Bu öneriyi yapan Cumhur Kızıları’ya göre, böylece bir açık çıkıp çıkmadığına emin olabilirler. “Burada bizler için en önemli noktalardan biri de yedeklilik” diyen Kızıları, şu bilgileri verdi: “Sunduğunuz hizmete ve yaptığınız işe göre yedekliliğinizi doğru planlamanız gerek. DNS’inizin, e-posta sunucunuzun ve onun üzerindeki anti-spam ve anti virüs yazılımlarının yedekliliği çok önemli. Yedekliliği olmayan sistemler ne kadar güvenli olursa olsun, kısa sürede işlemez hale getirilebiliyor. Yedekliliği de doğru anlamak gerek. Bazı kurumlarda aynı bina içerisinde veri merkezinin kurulması, aynı il içerisinde farklı noktalarda FKM (Felaket Kurtarma Merkezi) kurulması gibi durumlarla karşılaşıyoruz. Bunlar günü kurtarmak üzere yapılmış çalışmalar. Doğru yedekliliğin, en az iki farklı coğrafi lokasyonda ve mümkünse bulutta yapılması gerek. Bunları yaptıktan sonra, aslında sizin için iki önemli nokta kalıyor. Birincisi sürekli izlemek; ikincisi de herhangi bir atağa maruz kaldığınızda, bunu ilk sizin öğrenmenizi sağlayacak alarmları kurmak. Aksi durumda, yaptığınız tüm yatırım çöpe gidecek. Son kullanıcılardaki bilinç çok önemli. Son kullanıcıların düzenli olarak bilgilendirilmesi ve oltalama testlerinin yapılması da diğer araçlar kadar önemli.”

fELSEfEMİz‘GÜvENLİKTEN hERKES SORUMLU’ OLMALI

ÖNCE İNSANI BİLGİLENDİRİN vE BİLİNÇLENDİRİN

2124 - 30 Nisan2017

BThaber Siber Güvenlik 4.0 ve Felaket Yönetimi DOSYA

morten genel müdür YardımcısıCumhur kızıları

“Siber dünyanın ilk dönemlerinde saldırgan olarak hatırlanan, saçları dağınık ergenlik dönemindeki asosyal ama bilgisayar dahisi dediğimiz gençler, yerlerini son derece eğitimli ve organize, ulusal ve uluslararası düzeyde çalışan saldırı gruplarına bıraktı. Bunları siber suçlular, hactivistler, hacker grupları, egemen devletler ve suç örgütleri olarak tanımlayabiliriz. Saldırganlardaki evrimleşme, saldırıların da evrimleşmesine ve yeni risklerin öne çıkmasına neden oldu. Siber saldırılarla kişisel verilerimiz, fikri mülkiyet haklarımız, ticarı sırlarımız ve hatta ulusal güvenliğimiz artık risk altında. Organize saldırılarla, saldırganlar tarafından sistemdeki kontrol eksiklikleri tespit edilerek veriler ele geçirilebilmekte veya kullanılamaz hale getirilmekte. ISACA’nın en son dünya çapında gerçekleştirilen bilgi teknolojisi yönetimi, denetçileri ve güvenlik yöneticileri anketi; yüzde 80’in üzerinde şirketin “bilgi güvenliği risklerinin bilinmediği ya da sadece kısmen değerlendirildiğini” ve bu “bilgi teknolojisi risklerinin bilinmemesi ve farkındalık eksikliği” nedeniyle risklerin doğru yönetilemediklerine inandıklarını göstermiştir. Konuya sadece ISACA Istanbul Chapter Genel Sekreteri olarak değil, Türkiye’nin lider alternatif telekom

operatörü İşNet’in İç Denetim Grup Müdürü (CAE) olarak da baktığımız zaman, daha netlik kazanıyor. Saldırganlar sizin hizmet verdiğiniz bankaları, askeri birimleri, akaryakıt, giyim, gıda ve teknoloji firmalarını biliyor. En yoğun zamanlarınızı, mesai günlerinizi, hangi saatlerde uyuduğunuzdan ve yemek yediğinize kadar izliyor. En zayıf olduğunuzu düşündükleri anda saldırıyor. İşNet bu konuda başarılı ise tek nedeni güvenlikçilerinin kurumu daha iyi tanıması ve çözüm ortakları ile beraber saldırganların bir adım önünde yer alması. Bu farkındalığı oluşturduğunuz zaman kazanırsınız. Eskiden kurumlarda çok fazla önemsenmeyen, hatta sihirli bir iki program kullanılarak her şeyin önleneceği düşünülen siber güvenlik kavramı, öne çıkan yeni risklerle, kurumların da farkındalığını arttırmıştır. Kurumlarda bu kapsamda siber güvenlik süreçleri ve ekipleri oluşturulmaya başlandı. Türkiye’de de genel olarak bu ilk seviye yakalanmış durumda. Söz konusu seviye çok önemli bir adım olmakla beraber yeterli değil. Günümüzde saldırganlar kurumları yakından takip etmekte, kurumlara özgü sürekli yeni ataklar geliştirmekte. Bu nedenle siber güvenlik uzmanlarının bulundukları ortama ilişkin yüksek farkındalığa sahip olmaları gerek.

Bu farkındalığın temelinde; anahtar iş ve BT faktörlerinin bilgi güvenliği üzerindeki etkilerini anlamak yatar. Bu tip farkındalığı geliştirmek zaman alır, çünkü farkındalık bir organizasyon içinde genellikle deneyim yoluyla gelişir. Türkiye’de de siber saldırılara maruz kalan kurumların ortak yönü bu farkındalık seviyesine ulaşmamış olmaları. Kurumsal güvenlik; politikanın, trendin ve bilginin analiz edilmesini içerir. Problem çözme ve ortaya çıkarma becerilerini kullanarak karşı tarafın ne şekilde düşüneceğini ya da davranacağını daha iyi anlamak için çaba göstermeyi gerektirir. İşlerinin doğasında olan karmaşıklık nedeniyle kurumsal güvenlik konusu, geniş bir teknik BT becerisine sahip olmanın yanı sıra ileri seviyede analitik kabiliyete sahip olmayı da gerektirir. Bu nedenle kurumsal güvenlik, bir uygulayıcı ya da üst yönetimin bir parçası olabilir. Genel olarak değerlendirdiğimiz zaman, kurumsal güvenliğin sadece BT biriminin sorumluluğu olmayacağı çok açık. Güvenlik daha geniş bir yelpazeyi içermekte. Bu nedenle icraya bağlı “güvenlik” başlığı altında doğrudan ya da dolaylı yapılanma daha etkili ve verimli olarak faaliyetlerini sürdürebilir. Gelişen siber riskler karşısında, en güvenli yapıyı oluşturmak için risk bazlı ve uyum bazlı yaklaşımların

kombinasyonu kullanılmalı. Güvenli yapıların tesis edilebilmesi için güvenlik mimarisi prensiplerinin şirketlerde çok iyi bir şekilde uygulanması, ağ sistem ve veri güvenliğinin sağlanması çok önemli. Siber risklere karşı doğru ve zamanında müdahale edilmesini teminen olay yönetim, iş sürekliliği ve felaketten kurtarma süreçlerinin tesis edilmesi gerekli. Bununla beraber, öğrenilmiş derslerin kayıt altına alınması ve gelişen teknolojilerin takip edilmesi de temel kurallar arasında. Bilgi güvenliği politikaları; siber güvenliğin ve yönetişimin temel unsuru. Şirket misyon, vizyon ve hedefleri ile örtüşecek şekilde hazırlanmış bir bilgi güvenliği politikası ve bağlı prosedürleri bulunması gerek. Değişen güvenlik ihtiyaçları ve şirket hedeflerine göre ilgili prosedürlerin gerektiğinde güncellenmesi zaruri. Boyutlarına bakılmaksızın tüm şirketler için bilgi güvenliği politikası, açıkça tanımlanmış bir kapsama ihtiyaç duyar. Diğer olası güvenlik politikaları veya prosedürleri ise erişim kontrolü, personel bilgisi ve güvenlik vakalarını da içerebilir. Büyük işletmelerde ise bilgi güvenliğini bütünüyle ele almak için politikaları konuya göre alt bölümlere ayırmak yaygın bir uygulama. COBIT 5 Bilgi Güvenliği göz önüne alındığı zaman, politika kümesi risk yönetimi, uyum, iş sürekliliği ve felaketten kurtarma, varlık yönetimi, tedarikçi yönetimi, davranış kuralları ve iletişim gibi bölümleri barındırabilir. Çalışanlar, farkındalık eğitimleri, farkındalık sınavları, yemleme testleri, duyuru e-postaları gibi unsurlar ile sürekli olarak bilinçlendirme çalışmalarına dahil edilmeli. Farkındalık eğitimleri sadece yeni işe başlayan kişilerle sınırlı kalmayıp, sınavlar ve yemleme testleri gibi unsurların sonuçlarına göre farkındalığının arttırılmasına gerek duyulan tüm kişiler için tekrarlanmalı. Örnek vermek gerekirse, İşNet’te genel müdüründen çaycısına kadar herkes, defalarca farkındalık sınav ve testlerine tabi tutulmakta ve takibinde, eksiklikler kapatılmaya çalışılmakta. Unutmayın, güvenlik konusunda ne kadar yatırım yaparsanız yapın, en az bilinçlendirdiğiniz çalışanınız kadar güçlüsünüz.”

22 24 - 30 Nisan2017

BThaberSiber Güvenlik 4.0 ve Felaket YönetimiDOSYA

fARKINDALIğI OLUŞTURDUğUNUz zAMAN KAzANIRSINIz

İşnet İç Denetim grup müdürü ve ıSACA ıstanbul Chapter genel SekreteriCem Ergül