19. Akademik Bilisim Konferansi

BaşlıkAhtapot Bütünleşik Siber Güvenlik Sistemi
Yazar(lar) Yazar 1
Name: Uğur Çil
Org: Tubitak
Country: TR
E-mail: ugur.cil_AT_pardus.org.tr

Yazar 2
Name: Muharrem Aydın
Org: Tubitak
Country:
E-mail: muharrem.aydin_AT_tubitak.gov.tr
Diğer Yazar(lar)muharrem.aydin_AT_tubitak.gov.tr
Anahtar KelimelerBütünleşik Siber Güvenlik Sistemi
Özet
Siber Güvenlik
Ülkelerin, kurumların, toplumların ve bireylerin bilgi ve iletişim teknolojilerine bağımlılığı gün geçtikçe artmaktadır. Bilgi ve iletişim teknolojilerin sağladığı birçok faydanın yanı sıra bu teknolojiler ile birlikte yeni bir tehdit türü olarak siber tehditler hayatımıza girmiştir. 

Amerika Birleşik Devletleri,  22 Aralık 2009’da “Beyaz Saray Siber Güvenlik Koordinatörü”nün atamasını yapmıştır. Wall Street Journal’de 31 Mayıs 2011’de yayınlanan haberde, Pentagon tarafından hazırlanmakta olan siber strateji içerisinde Amerika Birleşik Devletleri bilgi sistemlerine yapılan siber saldırıların savaş nedeni sayılmasının yer alacağı bildirmiştir. 

Siber tehditlerin zararları son on senede ülkelerin güvenliğini çok ciddi seviyelerde etkileyecek boyuta gelmiştir. 2007 Nisan ve Mayıs aylarında Estonya bilgi sistemlerine Rus’ların yaptığı saldırılar bu konuda bir milat olarak sayılabilir. Bu saldırılardan dolayı Estonya’nın e-devlet yapısı etkilenmiş ve ülke ekonomik zarar görmüştür. Siber sistemler, barajlar, elektrik dağıtım santralleri gibi kritik altyapıların izlenmesi ve kontrol edilmesinde kullanılmaktadır. Bu nedenle siber tehditler sadece bilgisayar kullanıcılarını değil; tüm toplumu etkileyebilecek potansiyeldedir. 

Avustralya’da iş başvurusu reddedilen bilgisayar korsanı kanalizasyon sisteminin kapaklarını açarak parklara, nehre ve ekili arazilere kanalizasyon suyunu boşaltmış ve bu nedenle iki yıl hapis cezası almıştır. Amerika Birleşik Devletleri’nde bilgisayar korsanları nükleer santralin bilgi sistemlerine sızıp güvenlik izleme sistemini devre dışı bırakmıştır. Hemen hemen her hafta, kritik altyapılara yönelik çoğunluğu başarıya ulaşmış siber saldırılar basılı medyada ve Internet medyasında haber olmaktadır. 

Siber tehditlerden korunmak için bireyler seviyesinden ülkeler seviyesine kadar alınması gereken karşı önlemler bulunmaktadır. Bir BT ağında da gerekli önlemlerin alınması, öncelikle gerekli güvenlik bileşenlerinin yapılandırılması ve yönetilmesini gerektirir.

Derinlemesine Savunma (Defense in Depth)

Derinlemesine savunma ya da çok katlı savunma olarak kullanılabilecek "defense in depth", bir kurumda/firmada bilgi güvenliğinin sağlanması amacıyla birden çok güvenlik önleminin koordineli olarak kullanılmasıdır. Derinlemesine savunma, saldırganların başarıya ulaşması olasılığını en aza indirir. Saldırgan amacına ulaşmak için gittiği yolda bir güvenlik önlemini atlattığında bir başkası ile karşılaşacak, bu da en azından saldırganın işini zorlaştıracak ve amacına ulaşması için geçen süreyi artıracaktır.

İyi tasarlanmış bir derinlemesine savunma stratejisi, sistem yöneticilerine ve sistem güvenlik uzmanlarına, sisteme sızmaya ya da sistemleri kurcalamaya çalışan kişileri tespit etmelerinde de yardımcı olur. Bir saldırganın sisteme erişim hakkı kazanması durumunda da derinlemesine savunma, sızmanın kötü etkilerini minimumda tutar ve sistem yöneticilerine sızmanın tekrarlamaması adına önlem almak için zaman sağlar.

Derinlemesine savunma, antivirüs yazılımları, güvenlik duvarları, saldırı tespit ve önleme sistemleri gibi bir çok bileşenden oluşur.

Doğru Yapılandırmanın Önemi

Araştırmalar göstermiştir ki, saldırganlar bir sisteme sızdıktan ya da sistemden bilgi sızdırdıktan sonra sızmanın tespit edilmesine kadar ortalama 7 ay süre geçmektedir (Game Changer: Identifying and Defending Against Data Exfiltration Attempts, SANS, 2015). Yine aynı araştırmada, BT sistemlerine sahip firmaların/kurumların kullandığı saldırı tespit/önleme sistemlerinin ve olay kaydı (log) inceleme sistemlerinin, iyi yapılandırılmadığı için sızıntıların sadece %3'ünü tespit edebildiği belirlenmiştir.

Bütün bu araştırmalar, doğru yapılandırılmamış ve ilişkilendirilmemiş (korale edilmemiş) güvenlik bileşenlerinin amacına ulaşmaktan çok uzak olduğu açıkça ortaya koymaktadır. Yine aynı araştırmadan, güvenlik bileşenlerinin yapılandırılmalarının kolay olmadığı ya da yeterince anlaşılamadığı sonucunu çıkarmak da mümkündür.

Açık Kaynak Kodlu Bütünleşik Siber Güvenlik Sistemi
Buraya kadar siber güvenliğin, derinlemesine bir savunma yapmanın ve doğru yapılandırmanın ne kadar önemli olduğu üzerinde durulmuştur. Tüm bunlarla birlikte, açık kaynak kodlu siber güvenlik çözümleri kullanılması da oldukça önemli bir husustur. Mavi Marmara olayının yaşanmasının ardından ilgili kuruluşa ait web sitesinin “Hate” kategorisine alınması ile başlayan süreç, yabancı menşeli ve açık kaynak kodlu olmayan güvenlik cihazlarının güvenilirliğinin sorgulanması gerektiği gerçeğini ortaya koymuştur. Bu güvenlik çözümleri internet erişiminin farklı adreslere yönlendirilmesi veya bilgi toplama gibi amaçlar için de kullanılabilir mi sorusu da akıllara gelmektedir.

  Siber güvenlik alanında birçok açık kaynak kodlu yazılım mevcuttur. Bunlar arasında en çok desteklenen ve en iyi çözümleri sunan bileşenler Pardus üzerinde entegre edilerek derinlemesine bir siber güvenlik çözümü oluşturmak mümkündür.

  Bu sayede 
Açık kaynak kodlu siber güvenlik çözümlerinin ticari ürünlerinin yerine kullanılabileceğinin görülmesi,
Açık kaynaklı olmayan ticari ürünler yerine her fonksiyonunun denetlenebileceği açık kaynak çözümlerle daha "güvenilebilir" siber güvenlik önlemi alınabilmesi,
Ağdaki birçok sunucu ve güvenlik bileşeni tarafından üretilen milyonlarca satır logların anlamlandırılabilmesi ve ilişkilendirilmesi,
Kurulum ve yapılandırmadan kaynaklanmakta olan ve ürünlerin etkili bir şekilde kullanımını engelleyen zorlukların önüne geçilmesi,
Merkezi kurulum ve yönetim yoluyla daha az insan gücüyle daha sağlam güvenlik önlemleri alınabilmesi sağlanacaktır.

Yerli bir işletim sistemi çözümü olan Pardus üzerinde geliştirilmesi planlanan bu projenin en önemli çıktılarından biri de hiç şüphesiz Türkçe dokümantasyon olacaktır. Hazırlanacak kurulum, yönetim ve yapılandırma şablonları ile sistemi kullanmak isteyen herkesin tüm bileşenleri rahatça kullanabilmesi ve yönetebilmesi planlanmaktadır. Böylece ülke siber güvenliği için çok önemli bir eksik de giderilmiş olacaktır.

Bütünleşik Siber Güvenlik Sistemi Bileşenleri

Güvenlik Duvarı

İnternet kullanımının getirdiği riskler sonucunda basit ya da karmaşık her türlü ağın bir güvenlik duvarı ile korunması zorunluluk haline gelmiştir. Gelişen pek çok ağ güvenlik ürününün yanı sıra güvenlik duvarları her zaman önemini korumuş, kurumsal ağların giriş noktalarında her geçen gün sahip oldukları yeni özellikleriyle birlikte güvenliğin sağlanmasında en temel bileşen olmaya devam etmiştir. 
Güvenlik Duvarları bir kurumun en temel ağ güvenlik sistemidir. Tüm ağ trafiğinin yönlendirilmesin ilk başvurulan bileşendir. Bu sebeple güvenlik duvarları çeşitli siber saldırı, casusluk veya saldırı olaylarının, endişelerinin ve senaryolarının da merkezinde bulunmaktadır. 

Piyasada bulunan birçok güvenlik duvarı ürünü yabancı menşelidir. İsrail menşeli Checkpoint şirketinin UTM-1 Edge adlı güvenlik ürününün dünya üzerinde çalışan bütün aygıtlarının aynı anda yeniden başlatması, bu ve benzeri ağ güvenlik ürünlerinin güvenirliliklerinin sorgulanmasına sebep olmuştur. Benzer şekilde istenen ağ trafikleri kritik anlarda durdurulabilir, çalınabilir, gerçek hedefleri yerine başka hedeflere yönlendirilebilir ya da istatistiksel çalışmalarda kullanılabilir. Yabancı menşeli güvenlik duvarları kritik altyapıların korunması için kullanıldığında, bu cihazlardan kaynaklı ortaya çıkabilecek tehditlerin önlenebilmesi pratik olarak imkânsızdır. Bu sebeple açık kaynak ürünler kullanmak ya da milli çözümler üretmek çok önemlidir.

İçerik Filtreleme Sistemleri

İçerik filtreleme sistemleri internet erişim denetim politikalarının uygulanması, statik web içeriğinin sistem ön belleğine alınarak hızlı bir biçimde tekrardan sunulması ve internet erişim istatistiklerinin ayrıntılı raporlanması gibi farklı işlevleri yerine getirmektedir.

İçerik filtreleme sistemleri antivirüs yazılımları ile entegre bir biçimde çalışarak, son kullanıcı bilgisayarlarına bulaşabilecek olan kötücül yazılımlara karşı güvenlik mekanizması oluşturabilmektedir. Özellikle son zamanlarda oldukça etkin bir biçimde gerçekleştirilen sosyal mühendislik saldırılarında kullanılan tünelleme teknikleri ile kurum dışından kurum içerisine bağlantı kurulabilmesi mümkün olmaktadır.  Her ne kadar son kullanıcı bilgisayarlarındaki güvenlik yazılımları bu tarz saldırı teknikleri için güvenlik kalkanı oluşturuyor olsa da, içerik filtreleme sistemlerinin merkezi konumlandırılması ve protokol analizi gibi yetenekleri göz önüne alındığında bu tarz saldırılar için daha etkin önlem oluşturmasına imkan vermektedir. 

Piyasada kullanılan içerik filtreleme sistemlerinin çoğu yabancı menşeli ticari ürünlerdir. Mavi Marmara olayının yaşanmasının ardından ilgili kuruluşa ait web sitesinin “Hate” kategorisine alınması ile başlayan süreç, yabancı menşeli ve açık kaynak kodlu olmayan güvenlik cihazlarının güvenilirliğinin sorgulanmasına sebep olmuştur. Bu şekilde internet erişiminin farklı adreslere yönlendirilmesi veya bilgi toplama gibi amaçlar içinde kullanılabilir mi sorusu akıllara gelmektedir. Bu bağlamda özellikle kritik bilgi sistemleri alt yapısına sahip kurumlar için açık kaynak kodlu ya da milli içerik filtreleme sistemi büyük önem arz etmektedir.

Saldırı Tespit/Önleme Sistemleri

Gün geçtikçe artan Internet kullanıcı sayısı, çevrim içi çalışan sistemler, kritik altyapılar, e-ticaret siteleri, sosyal medya siteleri ve elektronik belge yönetim sistemi gibi sistemler saldırganların ilgisini çekmektedir. Saldırganlar çeşitli saldırı çeşitleri ile kişisel bilgisayarlara veya kurum ağlarına sızmaya çalışmaktadır.
Ağ güvenliğinin en önemli bileşenlerinden birisi olan saldırı tespit/önleme sistemleri barındırdığı imzalar ve içerdiği çeşitli algoritmalar yardımı ile saldırıları tespit edip önleyebilmektedir. 

2012 yılı içerisinde çeşitli kamu kurum ve kuruluşlarına dağıtık servis dışı bırakma saldırıları yapılmıştır. Bazı kurumlarda saldırı anında tespit edilmiş ve hızlı müdahale ile etkisiz hale getirilmiş olmasına rağmen bazı kurumlar saldırıyı çok geç fark etmişlerdir. Aynı şekilde farklı siber saldırı teknikleri ile birçok kurumun ağına sızılmış ancak ilgili kurumlar bunu fark edememiştir. Yapılan saldırıların analizlerinin bir kısmı ilgili kurumların saldırı tespit/önleme sistemlerinin yetersiz olduğunu ve dağıtık servis dışı bırakma saldırılarını engelleyemeyecek düzeyde olduğunu göstermiştir.

Sistem Kayıtlarını İlişkilendirme ve Yönetim Sistemi
Özellikle kurumsal ağlarda saldırı tespit sistemleri, güvenlik duvarları gibi pek çok güvenlik mekanizmasının ile pek çok sunucu ve ağ cihazının birlikte kullanılması ihtiyacı, bu sistemlerin etkin yönetimini de başlı başına bir problem haline getirmiştir. Her sistemin kendisine özgü ürettiği kayıtların takibi, yanlış bilgilendirmelerin filtrelenmesi ciddi işgücü ile gerçekleştirilebilecek çalışmalardır. Bu karmaşıklığın önüne geçebilmek amacıyla tüm sistemlerden gelen kayıtları tek merkezde toplayan, kayıtlar arasında ilişkiler oluşturarak gereksiz kayıtları temizleyen sistemlere ihtiyaç bulunmaktadır. Sistem Kaydı İlişkilendirme ve Yönetim Sistemi olarak adlandırılan bu tür sistemler çok daha az sayıda ve etkin alarmlar oluşturulmasını, çalışan sistemler ve ağ trafiği hakkında raporlar üretilmesini ve kanunen saklanması zorunlu olan kayıtların zaman damgası ile imzalanmasını sağlar. 

Normal şartlarda orta büyüklükteki bir kurumun kullandığı saldırı tespit sistemi günlük binler mertebesinde kayıt üretir. Benzer şekilde güvenlik duvarları yüzbinlerce, e-posta sistemleri ise yine binler mertebesinde kayıt üretir. Kayıt sistemlerinin bağımsız yönetildiği ortamlarda saldırı tespit sistemi tarafından üretilen kayıtların teker teker incelenmesi ve diğer sistemlerin ürettiği kayıtlar ile birebir eşleştirilmesi gerekirken kayıt ilişkilendirme ve yönetim sistemine aktarılan kayıtların eşleşmeleri otomatik olarak yapılır ve sadece tüm ilgili sistemlerde kaydı görülen saldırı teşebbüslerinden alarm üretilir. 

Piyasada bulunan ücretli çözümlerde fiyatlar yüksek olup farklı tipteki kayıtların sisteme eklenebilmesi için ek ücret ödemek gerekebilmektedir. Açık kaynak kodlu çözümlerde toplanmış olan kayıt sayısı arttığında veya sistemlerden gönderilen anlık kayıt sayıları yükseldiğinde performans problemleri yaşanmaması için ürünün doğru yapılandırılması ve yönetilmesi oldukça önemlidir.

Ek olarak, 5651 sayılı yasanın getirdiği zorunluluk sebebiyle, bazı sistem ve kullanıcı loglarının toplanarak, değişmezliğinin kanıtlanarak depolanması gerekmektedir. Log yönetim sistemleriyle, bu yasanın gereği karşılanabilmektedir.

Zafiyet Tarama
Zafiyet; sistemlerde tehditlere kaynak ya da hedef olarak kullabılabilecek açıklıklara verilen genel isimdir. Bir BT sisteminde zafiyet taraması, 3 temel yöntemle gerçekleştirilir:

Marka ve versiyon tespiti: Uygulamaların ve protokollerin belirli sürümlerinde bulunan zafiyetler zamanla tespit edilmekte, bu bilgiler zafiyet veritabanlarında toplanmaktadır. Bu veritabanlarına bakılarak uygulama üzerinde bir zafiyet olup olmadığı hakkında bilgi sahibi olunabilir.

Uygulama davranış analizi: Zafiyet tarayıcıları uygulamalara ağ üzerinden farklı türde paketler gönderir. Uygulamanın bu trafiğe karşı davranışlarını inceler ve bu davranışların belirli zafiyetleri içeren uygulamalardaki davranışlar ile benzerliği olup olmadığını inceler.

Yapılandırma incelemesi: Bir uygulamanın yapılandırması incelenerek uygulama üzerinde zafiyet olup olmadığının tespiti yapılabilir. Örneğin parola politikalarının yönetildiği bir sistemde parolaların yeterli uzunlukta olmasının politikalarla zorlanması, ön tanımlı parolaların da mutlaka değiştirilmesi beklenir. Bu şekilde yapılandırılmamış bir sistem, çok ciddi sorunlara yol açabilir.

Ağdaki "yaşayan" ve "sürekli değişen" bileşenlerin güncelliği, doğru yapılıp yapılandırılmadıkları ve uygulamaların doğru davranış sergileyip sergilemedikleri düzenli periyotlarla takip edilmelidir. Buun için de zafiyet tarama araçları ile belirli aralıklarla taramalar yapmak önemli bir siber güvenlik adımıdır.

E-Posta Güvenlik Sistemi
Bir bilişim sisteminin en zayıf halkası insandır. Saldırganlar için de bir insanı kandırarak kritik bilgileri elde etmenin en kolay, rahat ve tehlikesiz yolu oltalama (phising) saldırılarıdır. Bu saldırılar genellikle kötü niyetli e-postalarla yapılmaktadır. Bu yüzden e-posta güvenliği son derece önemlidir. E-posta sunucu ve istemcilerinde ve ağ trafiği protokolünde gerekli güvenlik önlemlerinin alınması, bu tür kötü niyetli e-postaların son kullanıcıya erişmesini ya da erişse bile kötü niyetli eklentilerin çalıştırılmasını engelleyecektir.

Bilgi sızdırma amaçlı yada hizmet dışı bırakma amaçlı postaların tespiti ve engellenmesi, bu kategorideki güvenlik bileşenlerinin temel hedefidir.

Örün Uygulama Güvenlik Duvarları
Örün uygulamaları, kurumların dış dünyaya açık olan penceleridir. Bu nedenle kurum dışı saldırıların en önemli hedefi halindedirler.
Klasik güvenlik duvarları IP adresi, port numarası, bağlantı durumu gibi bir paketi OSI katmanında 4. seviyeye kadar inceleyerek karar verirler. Önceki zamanlarda yapılan saldırılar genelde ağ seviyesinde olmakta ve network servislerini hedef almaktaydı. Uygulamaların hızlı bir şekilde web üzerine kayması ile birlikte internet uygulamaları için ön tanımlı portlar olan 80 ve 443 daha önemli bir hale geldi. Firmalar gereksiz servisleri güvenlik duvarları aracılığı ile kapatmakta fakat internete açılan kapılar olan örün sunucular için 80 ve 443 portları zorunlu olarak açık kalmaktadır. Bu nedenle saldırılar da bu portlar ve üzerinde çalışan uygulamara yönelmiştir. Örün üzerinden sunulan servislerin çeşitliliği ve bu konuda oturmuş bir standart olmaması, geliştirilen uygulamaların güvenlik yönünden yeteri olgunluğa erişememesine sebep olmaktadır.

Örün Uygulama Guvenlik Duvarı olarak adlandırılan sistemler, örün trafiği üzerinde detaylı inceleme yaparak anormal trafiği engellemeye yarayan güvenlik bileşenleridir. HTTP/HTTPS/SOAP/XML-RPC/Web Servisleri üzerinde detaylı paket incelemesi yaparak zararlı istekleri bloklamak için kullanılmaktadır.

Sanal Özel Ağ (Virtual Private Network – VPN) Sistemi
VPN, İnternet ya da başka bir açık ağ üzerinden özel bir ağa bağlanmayı sağlayan bir bağlantı çeşididir. VPN üzerinden bir ağa bağlanan kişi, o ağın fonksiyonel, güvenlik ve yönetim özelliklerini kullanmaya da devam eder.

VPN istemcisi, İnternet üzerinden bağlantı kurmak istediği kaynakla sanal bir noktadan-noktaya (point-to-point) bağlantı kurar; kaynak ya da uzaktan erişime geçmek istediği sunucu, kimlik bilgilerini kontrol eder ve doğrulama sonrasında VPN istemcisiyle uzaktan erişime geçtiği sunucu arasında veri akışı gerçekleşir. Veriler, akış sırasında noktadan-noktaya bağlantı gibi üst bilgi kullanılarak kapsüllenir. Üst bilgi, verilerin bitiş noktasına erişimleri için paylaşılan veya ortak ağ üzerinden yönlendirme bilgileri sağlar.  Özel ağ bağlantısını taklit etmek için, gönderilen veriler gizlilik amacıyla şifrelenir. Paylaşılan veya ortak ağda ele geçirilen paketlerin şifreleri, şifreleme anahtarları olmadan çözülemez. Özel ağ verilerinin kapsüllendiği ve şifrelendiği bağlantı, VPN bağlantısı olarak bilinir.

Saldırı Erken Uyarı Sistemleri: Balküpleri (Honeypots)

Balküpü; bilgi sistemlerinin kullanımında yetkisiz veya kötü amaca sahip erişimleri tespit etmek, zararlarından kaçınmak ya da önlemek amacıyla kurulan bir çeşit tuzaktır. Balküpü genelde, bir ağın parçasıymış gibi görünen bilgisayar veya veri barındıran herhangi bir sunucu makine olabilir, ama aslında saldırganlara göre, saldırmak için sebep olabilecek bilgi veya değer taşıyan bir hedef gibi duran, izole edilmiş ve hareketleri özellikle izlenen bir kaynaktır. Bilinçli olarak zafiyetler barındıran bu tuzak sisteme gelen trafik sürekli izlenerek sıradışı talepler yakalanır ve ağdaki kötü  niyetli aktiviteler ve kişiler erkenden tespit edilmiş olur.

Ağ Trafiği Yakalama, İzleme ve İnceleme Sistemleri
Ağ trafiği izleme araçları, ağ uzmanları tarafından ağ ile ilişkili problemleri tespit etmek için yoğun olarak kullanılan araçlardır. Bununla birlikte saldırganlar (hacker) tarafından da ağı gizlice dinlemek ve hassas veri ve parola toplamak niyetiyle de kullanılırlar. Siber güvenlik açısından düşünüldüğünde, ağ üzerinde akan trafikte hassas verilerin açık metin olarak taşınıp taşınmadığının tespiti ve ağ performansının izlenmesi için sistem yöneticileri ve siber güvenlik uzmanları tarafından da kullanılan çok önemli araçlardır. 
Doğru yapılandırılmış ve konumlandırılmış bir ağ trafiği izleme aracı, kötü niyetli bir aktivitenin işareti olabilecek sıradışı ağ trafiği örüntülerinin erken tespitine yardımcı olur.

Ağ Erişim Kontrol Sistemi (Network Access Control – NAC)
Ağ Erişim Kontrol Sistemi, ağa bağlanan cihazların diğer ağ bileşenlerine nasıl güvenli bir şekilde ulaşacağını belirleyen bir politika tanımlamak ve uygulamak için çeşitli protokoller kullanan bir bilgisayar ağı çözümüdür.
NAC çözümlerinin ana faydası, antivirüs, yama yönetimi ya da saldırı tespit sistemleri kurulu olmayan son kullanıcı sistemlerinin kontrolsüz bir şekilde ağa dahil olmasını ve ağdaki diğer sistemleri de tehlikeye sokmasını engellemektir. Bununla birlikte NAC çözümleri, ağ yöneticilerine kullanıcılar için rolleri ve erişebilecekleri alanları belirleyecek politikalar tanımlamalarına da izin verir.
Başlıklar AB-Çalıştay
AB-Seminer
Ağ Teknolojileri ve Güvenliği
Bilişim Güvenliği ve Güvenlik Sistemleri
Dosya
 

 

Powered by OpenConf®
Copyright ©2002-2015 Zakon Group LLC