Bilgi Güvenliğinde Zafiyet, Tehdit, Sömürme ve Risk Kavramları

Yazarı:
Ertuğrul BAŞARANOĞLU
-
0
5593
views

 

Zafiyet, Tehdit, Risk, Sömürme ve Kontrol kavramları çok sık kullanılan bilgi güvenliği kavramlarındandır. Bu yazıda zafiyet (Açıklık), Tehdit, Risk, Sömürme ve Kontrol kavramlarının birbiri ile ilişkisi incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

  • Zafiyet / Açıklık (Vulnerability); herhangi bir saldırganın sisteme / yazılıma / varlığa / bilgiye zarar vermek için yararlanabileceği ve ilgili sistemde bulunan açıklıklar / eksiklikler / zayıflıklardır. Zafiyet; sistemin yapısal tasarım hatalarından, sisteme yüklenen programlardan ya da sistemlerdeki yanlış yapılandırma ayarlarından kaynaklanabilir. Sonuç olarak da bu varlığa yetkisiz erişim gibi sonuçlar doğurabilir.
  • Tehdit (Threat), isteyerek (bilinçli olarak) ya da istemeden (yanlışlıkla), mevcut bir zafiyetin istismarı (elde edilmesi, değiştirilmesi, imha edilmesi, zarar verilmesi,… gibi) ile ilişkili olarak bir kurum veya kuruluşa zarar verme ihtimali olan tüm potansiyel tehlikelerdir. Tehdit, yeri geldiğinde iç ağdan gelebilecek saldırılar olabileceği gibi, yeri geldiğinde internetten, usb bellek veya CD DVD gibi ortamlardan da gelebilir. Bilgi (Varlıklar), karşılaşılabilecek tehditlere karşı korunmalıdır. Bu kavram “A threat is what we’re trying to protect against” olarak da ifade edilir. Gelebilecek felaketler / tehditler ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı incelenebilir.
  • Risk, seçilen eylemin kayıpla sonuçlanma potansiyelidir (Wikipedia). Bir varlık için Tehdit ile Zafiyet, Şekil 1’deki çemberlerin örtüştüğü noktada ortaya çıkar. Herhangi bir saldırganın bir varlıkta bulunan bir Zafiyet’ten faydalanarak sisteme zarar verme (Tehdit oluşturma) ihtimali olarak tanımlanabilir. Bu kavram “Risk is the intersection of assets, threats, and vulnerabilities” olarak da ifade edilir. Risk, varlığın Gizlilik (Confidentiality), Bütünlük (Integrity) veya Erişilebilirlik (Availability) olarak bilinen bilgi güvenliğinin 3 unsurunun (CIA) kaybolma potansiyelidir. Bir eylemnin, risk olarak tanımlanabilmesi için iş etkisinin (business impact) olması gereklidir.
  • Sömürme – İstismar (Exploit), sistemde bulunan herhangi bir açıklıktan faydalanılarak sisteme zarar verilmesi işlemine denir. Bu sistemin açıklığından yararlanan bir kod parçası olabileceği gibi sosyal mühendislik saldırısı sonucu insanda bulunan açıklıkların sömürülmesi de olabilir.
  • Kontrol – Önlem – Koruma (Control – Countermeasure – Safeguard), Potansiye riski azaltmak / hafifletmek için yapılması gerekenlerdir.

 

 

Şekil - 1: Bilgi Güvenliği Temel Prensipleri
Şekil – 1: Bilgi Güvenliği Temel Prensipleri

 

Yukarıdaki çemberlerden, Açıklıklar çemberinde bir zincir mekanizmasının en zayıf halkası açıklık olarak tanımlanmıştır. Kurumlarda da bu tür açıklıklar bulunabilir ve bulunmaktadır. Güncelleştirmeleri gerçekleştirilmemiş işletim sistemleri, kurumlarda geliştirilen veya kullanılan açıklık barındıran bir yazılım, yeterli fiziksel güvenlik önlemlerinin alınmadığı bir sunucu odası, kurum ağının tasarımı, kolayca tahmin edilebilecek parolalar kullanılması gibi açıklıklar kurumlarda bulunabilecek açıklıklara örnek olarak verilebilir.

Tehditler çemberinde ise, zincir mekanizmasındaki en zayıf halka açıklığından faydalanılarak zincir mekanizmasına zarar verebilecek tüm tehditler yer alabilir. Tehditler, gerçek hayatta kurumdaki açıklıkları sömürebilecek herhangi bir şey olabilir. Bu bir exploit içeren kod parçacığı olabileceği gibi, yeri geldiğinde kurumda çalışan bir insan da olabilir.

Tehditler çemberi ile açıklıklar çemberlerinin kesiştiği alan riskli alanı oluşturacaktır. Sistemdeki açıklıkları sömürme ihtimali bulunan herhangi bir tehdit ise kurum için risk oluşturacaktır. Bu risk hiçbir zaman sıfıra indirilemez fakat kurum için bu risk kabul edilebilir bir seviyeye indirilebilir. Bu nedenle kurumda risk analizi çalışmalarının yapılması güvenlik açısından oldukça önem arz etmektedir.

Şekil - 2: Apple Store Oyunu
Şekil – 2: Apple Store Oyunu

 

Açıklık, tehdit, sömürme ve risk kavramlarına gerçek bir oyundan örnek verecek olursak, Şekil – 2’de gösterilen Apple Shooter oyunu anlatılan tüm kavramları içinde barındıran basit ve sade bir oyundur. Oyunda varlık olarak kendisini koruması gereken kişi oyun gereği canı pahasına okçunun hedefteki elmayı vurabilmesi için, başının üstünde elma tutma servisi vermektedir. Oyundaki açıklık elma tutma servisini sunan kişinin kendisini koruma adına herhangi bir önlem almadan bu servisi sunmaya çalışmadır. Tehdit ise okçunun elma yerine elma servisini sunan adamı vurması olarak tanımlayabiliriz. Sömürme kavramını ise sadist bir okçunun doğrudan elma servisini sunan adamı hedeflemesi ve elma servisi sunma açıklığının sömürülmesi olarak tanımlayabiliriz. Burada elma servisini sunan adamın vurulma ihtimali ise riski tanımlamaktadır ve yukarıdaki gibi bir senaryo için kabul edilemeyecek seviyede yüksektir. Gerçi oyunu heyecanlı ve oynanabilir kılan adamı vurma riskinin yüksek olması ve adamı vurmadan elmayı vurabilmenin oyuncu tarafında ciddi yetenek gerektirmesidir. Oyunda servisi sunan adamın oyunun bu haliyle hayatta kalma ve hizmet vermeye devam etme ihtimali oldukça düşüktür ve tamamıyla riskli bir işlemdir. Burada risk oranını okçunun yeteneği, oku attığı mesafe, oyunun oynandığı hava koşulları, elma servisinin sunan adamın almadığı önlemler gibi faktörler belirler. Şans faktörünün biraz da olsa etkili olduğu da söylenebilir.

Yukarıdaki örnek, rahatça herhangi bir güvenlik önlemi alınmadın internette hizmet veren bir WEB sunucusu olarak düşünülebilir. Sıkılaştırma işlemleri yapılmadan, son güncelleştirmeleri gerçekleştirilmeden, güvenlik duvarı kurulup gerekli önlemler alınmadan internette hizmet verecek bir WEB sunucusu, üzerinde çok sayıda açıklığı üzerinde barındıracaktır ve bir saldırgan tarafından sömürülme ihtimali oldukça yüksektir. Bir başka örnek olarak şu da verilebilir: BOTNET, DDOS tehditleri ile karşı karşıya olan bir web sunucusunda açıklık bulunması durumunda, sunucuya erişilememe riski bulunmaktadır.

Tehdit, “isteyerek ya da istemeden bir kurum veya kuruluşa zarar verme ihtimali olan her şey” olarak tanımlanmıştı. Tehdit olarak aşağıdaki örnekler verilebilir:

  • Donanımın bulunduğu ortamdaki toz, nem, güneş ışığı
  • Yazılımdaki açıklıkları kullanan bilgisayar korsanları
  • Verinin bulunduğu medyanın çalınması
  • Politikaların açık noktaların kullanılarak kötüye kullanılması
  • Bilgisayar virüsleri

Tehdit, bilgi varlığı / açıklık ve risk kavramlarının birbirleri ile ilişkisi için aşağıdaki tablo incelenebilir.

Tehdit
Bilgi Varlığı
Risk
Servis dışı bırakma saldırıları
Kurumun WEB Sitesi
WEB sitesinin servis veremez duruma düşmesi – maddi kayıp
Sistem odası sıcaklığında ve nem düzeyinde dalgalanmalar
Sunucu sabit diskleri / sınırlı dayanıklılık
Sabit disk arızası – kurumsal bilginin kaybedilmesi
Sistem yöneticilerinin iş yoğunluğu / prosedürsüz çalışması
Güvenlik duvarı kural listesi
Personel hatası – sunucuların Internet’ten saldırıya açık hala gelmesi.
Zararlı yazılımlar
Antivirüs kurulu olmayan sistemler
Sistemlere zararlı yazılım bulaşarak kurumdan veri çalışması
Yangın
Yangın söndürme sistemi olmayan yerleşkeler
Binanın, çalışanların ve cihazların zarar görmesi
Üçüncü parti çalışanlar
Erişim kontrol mekanizması olmayan sistemler
Kuruma ait bilgilerin çalınması
Hırsız
Fiziksel güvenliği sağlanmayan ortamlar
Cihazların çalınması, kurum repütasyonunun düşürülmesi

Tablo : Bilgi Güvenliği Temel Prensipleri Örnekleri

 

Kaynaklar:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php
https://www.siberportal.org/white-team/governance/bilgi-guvenligi-bakis-acisi-ile-site-ve-tesis-planlama#tehdit-turleri

 

İlişkili Yazılar:
Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Benzer YazılarYAZARIN DİĞER İÇERİKLERİ

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.