Bilgi Güvenliğinde Açıklık, Tehdit, Sömürme ve Risk Kavramları

Açıklık, tehdit, risk ve sömürme kavramları çok sık kullanılan bilgi güvenliği kavramlarındandır. Bu yazıda açıklık, tehdit, risk ve sömürme kavramlarının birbiri ile ilişkisi incelenecektir.

Açıklık (Vulnerability); herhangi bir saldırganın sisteme zarar vermek için yararlanabileceği sistemde bulunan açıklıklardır. Açıklıklar sistemin yapısal tasarım hatalarından, sisteme yüklenen programlardan ya da sistemlerdeki yanlış yapılandırma ayarlarından kaynaklanabilir.

Tehdit (Threat), isteyerek ya da istemeden bir kurum veya kuruluşa zarar verme ihtimali olan her şey olarak tanımlanabilir. Tehdit, yeri geldiğinde iç ağdan gelebilecek saldırılar olabileceği gibi, yeri geldiğinde internetten, usb bellek veya CD DVD gibi ortamlardan da gelebilir.

Risk, seçilen eylemin kayıpla sonuçlanma potansiyelidir (Wikipedia). Tehdit ile Açıklık, Şekil 1’deki çemberlerin örtüştüğü noktada ortaya çıkar. Herhangi bir saldırganın sistemde bulunan bir açıklıktan faydalanarak sisteme zarar verme ihtimali olarak tanımlanabilir. Risk, bilginin gizlilik, bütünlük veya erişilebilirliğinin kaybolma potansiyelidir.

Sömürme – İstismar (Exploit), sistemde bulunan herhangi bir açıklıktan faydalanılarak sisteme zarar verilmesi işlemine denir. Bu sistemin açıklığından yararlanan bir kod parçası olabileceği gibi sosyal mühendislik saldırısı sonucu insanda bulunan açıklıkların sömürülmesi de olabilir.

Şekil - 1: Bilgi Güvenliği Temel Prensipleri

Şekil – 1: Bilgi Güvenliği Temel Prensipleri

 

Yukarıdaki çemberlerden, açıklıklar çemberinde bir zincir mekanizmasının en zayıf halkası açıklık olarak tanımlanmıştır. Kurumlarda da bu tür açıklıklar bulunabilir ve bulunmaktadır. Güncelleştirmeleri gerçekleştirilmemiş işletim sistemleri, kurumlarda geliştirilen veya kullanılan açıklık barındıran bir yazılım, yeterli fiziksel güvenlik önlemlerinin alınmadığı bir sunucu odası, kurum ağının tasarımı, kolayca tahmin edilebilecek parolalar kullanılması gibi açıklıklar kurumlarda bulunabilecek açıklıklara örnek olarak verilebilir.

Tehditler çemberinde ise, zincir mekanizmasındaki en zayıf halka açıklığından faydalanılarak zincir mekanizmasına zarar verebilecek tüm tehditler yer alabilir. Tehditler, gerçek hayatta kurumdaki açıklıkları sömürebilecek herhangi bir şey olabilir. Bu bir exploit içeren kod parçacığı olabileceği gibi, yeri geldiğinde kurumda çalışan bir insan da olabilir.

Tehditler çemberi ile açıklıklar çemberlerinin kesiştiği alan riskli alanı oluşturacaktır. Sistemdeki açıklıkları sömürme ihtimali bulunan herhangi bir tehdit ise kurum için risk oluşturacaktır. Bu risk hiçbir zaman sıfıra indirilemez fakat kurum için bu risk kabul edilebilir bir seviyeye indirilebilir. Bu nedenle kurumda risk analizi çalışmalarının yapılması güvenlik açısından oldukça önem arz etmektedir.

Şekil - 2: Apple Store Oyunu

Şekil – 2: Apple Store Oyunu

 

Açıklık, tehdit, sömürme ve risk kavramlarına gerçek bir oyundan örnek verecek olursak, Şekil – 2’de gösterilen Apple Shooter oyunu anlatılan tüm kavramları içinde barındıran basit ve sade bir oyundur. Oyunda varlık olarak kendisini koruması gereken kişi oyun gereği canı pahasına okçunun hedefteki elmayı vurabilmesi için, başının üstünde elma tutma servisi vermektedir. Oyundaki açıklık elma tutma servisini sunan kişinin kendisini koruma adına herhangi bir önlem almadan bu servisi sunmaya çalışmadır. Tehdit ise okçunun elma yerine elma servisini sunan adamı vurması olarak tanımlayabiliriz. Sömürme kavramını ise sadist bir okçunun doğrudan elma servisini sunan adamı hedeflemesi ve elma servisi sunma açıklığının sömürülmesi olarak tanımlayabiliriz. Burada elma servisini sunan adamın vurulma ihtimali ise riski tanımlamaktadır ve yukarıdaki gibi bir senaryo için kabul edilemeyecek seviyede yüksektir. Gerçi oyunu heyecanlı ve oynanabilir kılan adamı vurma riskinin yüksek olması ve adamı vurmadan elmayı vurabilmenin oyuncu tarafında ciddi yetenek gerektirmesidir. Oyunda servisi sunan adamın oyunun bu haliyle hayatta kalma ve hizmet vermeye devam etme ihtimali oldukça düşüktür ve tamamıyla riskli bir işlemdir. Burada risk oranını okçunun yeteneği, oku attığı mesafe, oyunun oynandığı hava koşulları, elma servisinin sunan adamın almadığı önlemler gibi faktörler belirler. Şans faktörünün biraz da olsa etkili olduğu da söylenebilir.

Yukarıdaki örnek, rahatça herhangi bir güvenlik önlemi alınmadın internette hizmet veren bir WEB sunucusu olarak düşünülebilir. Sıkılaştırma işlemleri yapılmadan, son güncelleştirmeleri gerçekleştirilmeden, güvenlik duvarı kurulup gerekli önlemler alınmadan internette hizmet verecek bir WEB sunucusu, üzerinde çok sayıda açıklığı üzerinde barındıracaktır ve bir saldırgan tarafından sömürülme ihtimali oldukça yüksektir. Bir başka örnek olarak şu da verilebilir: BOTNET, DDOS tehditleri ile karşı karşıya olan bir web sunucusunda açıklık bulunması durumunda, sunucuya erişilememe riski bulunmaktadır.

Tehdit, “isteyerek ya da istemeden bir kurum veya kuruluşa zarar verme ihtimali olan her şey” olarak tanımlanmıştı. Tehdit olarak aşağıdaki örnekler verilebilir:

  • Donanımın bulunduğu ortamdaki toz, nem, güneş ışığı
  • Yazılımdaki açıklıkları kullanan bilgisayar korsanları
  • Verinin bulunduğu medyanın çalınması
  • Politikaların açık noktaların kullanılarak kötüye kullanılması
  • Bilgisayar virüsleri

Tehdit, bilgi varlığı / açıklık ve risk kavramlarının birbirleri ile ilişkisi için aşağıdaki tablo incelenebilir.

Tehdit
Bilgi Varlığı / Açıklık
Açıklık
Servis dışı bırakma saldırıları
Kurumun WEB Sitesi
WEB sitesinin servis veremez duruma düşmesi -maddi kayıp
Sistem odası sıcaklığında ve nem düzeyinde dalgalanmalar
Sunucu sabit diskleri / sınırlı dayanıklılık
Sabit disk arızası – kurumsal bilginin kaybedilmesi
Sistem yöneticilerinin iş yoğunluğu / prosedürsüz çalışması
Güvenlik duvarı kural listesi
Personel hatası – sunucuların Internet’ten saldırıya açık hala gelmesi.

Tablo : Bilgi Güvenliği Temel Prensipleri Örnekleri

 

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.