CEH Sertifikasyon Sınavı Notları – 1: Introduction to Ethical Hacking

Bilgi güvenliği konusunda en çok tercih edilen sertifikalardan birisi de Certified Ethical Hacker (CEH) sertifikasıdır. Bu yazıda CEH sınavının konularından birisi olan “Introduction to Ethical Hacking” başlığı incelenecektir.

Saldırgan Sınıfları

Saldırganlar temel olarak üç (ilk 3 tanesi) sınıfa ayrılabilir. Bunun yanında farklı sınıflarda da tanımlamalar yapılabilir. Saldırgan sınıfları temel olarak aşağıdaki gibidir:

  • Siyah Şapkalı Saldırgan (Black Hat Hacker / Cracker): Güvenlik ve saldırı hakkında ileri seviyede bilgiye sahiptirler. Bu tür saldırganlar kötü niyetlidir. Kolay yoldan para kazanma veya ün sahibi olma amacı güderler.
  • Beyaz Şapkalı Saldırgan (White Hat Hackers / Security Analysts / Ethical Hacker): Bilgi ve becerilerini proaktif olarak koruma (defansif) amacıyla kullanırlar. Başkasının (ailesinin bile) mail hesaplarını karıştırmak için bu yeteneklerini kullanmazlar. Her şeyi (sızma testi ücretinin ödenmesi konusu dahil) yasal yollardan yapar. Uygulamada bir açıklık bulduğu zaman, uygulama geliştiricisine bu açıklığı bildirir ve kapatmasını söyler. Sızma testi sırasında kötü içerikli bir veri (çocuk istismarı gibi) ile karşılaşılırsa, devlet yetkililerine haber verilir. Sızma testi yaptıkları firmaların bilgilerini başka firmalar ile paylaşmazlar, sistemlere herhangi bir zarar vermezler, belli kurallara uygun şekilde testleri gerçekleştirirler. Sızma testi gerçekleştiren kişiler ile ilgili kuralları içeren bir NDA (Non Disclosure Agreement – Gizlilik Anlaşması) imzalanır.
  • Gri Şapkalı Saldırgan (Gray Hat Hackers): Bilgi ve becerilerini koruma (defansif) ve saldırı (ofensif) amaçlı kullanırlar. Bu saldırganlar kanuni yollarla çalışmalarını gerçekleştirseler de; yeteneklerini kötüye de kullanabilirler.
  • Suicide Hackers: Hapiste yıllarca yatayı göze alırlar ve bir sebep uğruna saldırırlar.
  • Script Kiddies: Hazır betikleri kullanan, sınırlı yeteneğe sahip saldırgandırlar.
  • Phreaker: Ücretsiz telefon konuşması gerçekleştirmek için Telco sistemlerine saldırırlar.
  • Hacktivist’ler: Politik ve sosyal sebepler başta olmak üzere, bir amaç uğruna, mesaj verme amacı olan kişilerdir. Genellikle web sitelerini devre dışı bırakma, sayfalarda değişiklik yapma gibi eylemlerde bulunurlar.
  • Hacker Grupları: Ünlü olma, adlarını duyurma,… amacı ile saldırı gerçekleştiren siyah sapkalı saldırganlardır.
  • Devlet Destekli Saldırganlar: Devletin/Hükümetin çıkarları için iç ve dış istihbarat sağlayan, 0. gün açıklıkları araştıran, ulusal amaçlar için belli hedeflere saldırı düzenleyebilen çalışanlardır.
  • Siber Teröristler: Politik veya dini amaçlar ile zarar verme hedefli eylemler gerçekleştirirler.

Ayrıntılı bilgi için bakınız: https://www.cybrary.it/0p3n/types-of-hackers/

 

Güvenlik Değerlendirme Kategorileri

Güvenlik değerlendirmelerinin (Security Assessment) ana amacı güvenlik fonksiyonlarının doğrulanmasıdır. Yani güvenlik ile ilgili belirtilen ile uygulamadaki durumu kontrol etmek, karşılaştırmaktır. Güvenlik değerlendirmelerinin kategorileri aşağıdaki gibidir:

  • Güvenlik Denetimleri (Security Audits): Politika ve Prosedür odaklıdır. Kurumun dokümanlarına bağlı olup olmadığı denetlenir/doğrulanır. Bu dokümanlarda uygulama/yazılım yapılandırmaları, fiziksel güvenlik çözümleri, veri işleme süreçleri, son kullanıcılara yönelik uygulamalar,… bulunur. Denetim sırasında çalışanlar ile de görüşülür. Güvenlik denetimleri ile tekrarlanabilir bir framework sağlanır.
  • Zafiyet Değerlendirmeleri (Vulnerability Assessments): Tespit edilen ağ ve sistemlerde gerçekleştirilen zafiyet taraması ile bilinen zafiyetler, tasarım zayıflıkları veya yapılandırma hataları tespit edilerek, muhtemel bir saldırı öncesinde bilgi elde etmeye yarar. Zafiyet değerlendirmesi sırasında zafiyet tarama aracının veritabanındaki (bilinen / ön tanımlı) zafiyetlere göre zafiyet değerlendirmesi yapılır; istismar işlemi gerçekleştirilmez veya güncelleme yapılmaz.
  • Sızma Testleri (Penetration Tests): Zafiyetler bir saldırgan gibi istismar edilir ve kuruma karşı tehditler ortaya konulur. Gerçek bir saldırının simülasyonu gerçekleştirilir.
  • Risk Değerlendirme
  • Tehdit Değerlendirme
  • Tehdit Modelleme: Uygulamanın güvenliğini etkileyecek risk değerlendirme yaklaşımıdır.
  • Bug Bounty: Hata tespiti için ödül / hediye verilir.

Güvenlik değerlendirmeleri ile ilgili ayrıntılı bilgi için bakınız: https://danielmiessler.com/study/security-assessment-types/

 

Sızma Testleri

  • Kurumun politikalarına ve ağ mimarisine uygun olarak hareket edilip edilmediği değerlendirilir, güvenlik riskleri ortaya konur, IT tarafındaki ROI (Return of Investment) için argüman olarak kullanılır.
  • Beyaz şapkalı saldırganlar tarafından gerçekleştirilir.
  • İçeriden veya dışarıdan yapılabilir. İçeriden yapılan sızma testleri 5’e ayrılabilir:
    • Kara Kutu Testi (Black Box): Bilgi olmadan – sadece kurum adı bilgisine sahip olarak yapılır. Bu tür sızma testinde, sadece kurumun dış ağına erişim vardır.
    • Beyaz Kutu Testi (White Box): IP blokları, ağ mimarisi, FW/IPS detayları gibi bilgiler verilerek yapılır. Bu tür sızma testinde, kurumun iç işletişi ve iç sistemleri sızma testi yapan tarafından tam olarak biliniyordur veya bu bilgiler kendisine veriliyordur.
    • Gri Kutu Testi (Gray Box): Kurum içi standart çalışan profilindeki bir kişinin sahip olabileceği bir bilgi ile yapılır. İç/personel sızma testi olarak da düşünülebilir. Bu tür sızma testinde, kurumun bazı sistemlerine kısmen erişim vardır.
    • Haberli Testler: Kurumdaki birçok kişi bilir.
    • Habersiz Testler: Sınırlı sayıda yönetici bilir. Böylece kurumun saldırı karşısında tepki/cevap yeteneği de görülmüş olur. Özellikle sosyal mühendislik testlerinde habersiz sızma testi yapılır.
  • Güvenlik testinin 3 fazı vardır
    • Hazırlık (Preparation)
    • Değerlendirme – Yerine Getirme (Conduct)
    • Sonuç (Conclusion)
  • Sızma testleri öncesinde ROE (Rules of Engagement) üzerinde anlaşılır. Böylece müşteri ihtiyaçları, varlıklar, test kapsamı, süresi, ücreti, raporlaması,… üzerinde anlaşılır.
  • En çok kullanılan otomatik sızma testi araçları: Nessus, GFI Languard, Retina, CORE IMPACT, ISS Internet Scanner, XScan, SARA, QualysGuard, SAINT, MBSA, Canvas, Metasploit Framework,…
  • Sızma testleri sırasında kritik bir açıklık bulunduğunda (SQL enjeksiyonu görüldüğünde, ele geçirilen bir sunucu üzerinde kritik parolaların bulunduğuı dosya keşfedildiğinde,…) ilgili yöneticiye açıklık/bulgu hakkında hızlı bir şekilde bilgi verilir ve bu bulgunun kapatılması beklenir.

Sızma testleri ile ilgili ayrıntılı bilgi için bakınız: http://www.bga.com.tr/calismalar/bilgi_guvenliginde_sizma_testleri.pdf veya http://www.btrisk.com/Pentest-Sizma-Testi-Nedir.aspx veya https://www.linkedin.com/pulse/penetrasyon-testi-genel-güvenliğin-değerlendirilmesi-yekta-kibar.

 

 

Sızma Testi Raporu

Sızma testi raporu yönetici veya teknik rapor olmak üzere 2 formatta hazırlanır. Yönetici özetinde genel bilgiler yer alırken, teknik raporda bulgu ile ilgili detaylı bilgiler yer alır.

Teknik sızma testi raporunun içeriği aşağıdaki gibi olabilir.

  • Bulgu ID: Bulgunun takibi için kullanılan ID değeridir. Firmaya veya projeye özel olarak ayarlanabilir.
  • Bulgu Kategorisi: Bulgunun yer aldığı kategoriyi belirtir. Örnek kategoriler aşağıdaki gibidir. “(+)” ile belirtilenler sızma testi ve denetim olarak gerçekleştirilebileceği için ayrı olarak da raporlanabilir.
    • Web Uygulamaları (+)
    • Web Sunucuları (+)
    • Etki Alanı Sistemleri (+)
    • Linux Sistemler (+)
    • E-posta Sistemleri (+)
    • DNS Sunucuları (+)
    • DHCP Sunucuları (+)
    • Aktif Cihazlar (Switch, router,…) (+)
    • Güvenlik Duvarı ve VPN Cihazları (+)
    • İletişim Altyapısı (İçerik filtreleyici gibi) (+)
    • Bilgi Toplama (İç ve dış) (+)
    • Sanallaştırma Sistemleri (+)
    • MSSQL Veritabanı (+)
    • Oracle Veritabanı (+)
    • Kablosuz Ağ (+)
    • Sosyal Mühendislik
    • DOS/DDOS
    • Kaynak Kod Analizi
    • ATM Sistemleri (+)
    • SCADA Sistemleri (+)
  • Bulgu Adı / Başlığı: Bulgunun genel adını belirtir.
  • Bulgu Özeti: Bulgunun çok genel tanımı verilir.
  • Bulgu Detayı: Bulgunun teknik detayı belirtilir. Resim, kaynak kod,… içerebilir.
  • Elde Edilen Bilgi: Bulgu sonucunda açığa/ortaya çıkan bilgi belirtilir.
  • Kritiklik: Bulgunun önem derecesi belirtilir. CIA gibi bileşenlere etkisine göre bir metadolojiye (DREAD gibi) göre de derecelendirme gerçekleştirilebilir.
  • Tahmini Kapatılma Süresi: Bulgunun kapatılma süresi belirtilir. Bu madde sistem yöneticileri ile beraber belirlenerek bulgunun kapatılmasının takibi için açılan talebin son tarihi olarak belirlenebilir.
  • Etkisi: Bulgunun etkisi belirtilir. Örnek: Hassas Bilgilerin İfşa Edilmesi, Bilgi İfşası, Yetkisiz Erişim, Hizmet Dışı Bırakma, İşletim Sistemini Ele Geçirme, Standartlara (PCI,…) Uyumsuzluk,…
  • Saldırgan Profili: Kullanıcının profili belirtilir.
  • Kullanılan Araç: Bulgunun açığa çıkarılması sırasında kullanılan araçlar belirtilir.
  • Etkilenen Bileşen: Bulguya sahip olan bileşen belirtilir. Örnek: Etki alanındaki bilgisayarlar, kurum personeli, 10.10.10.0/24, PC-Ali,…
  • Port / Servis: Bulguya sahip olan bileşenin portu/servisi belirtilir. Bazı kategorilerde bu alan kullanılmayabilir.
  • Çözüm Önerisi: Bulguyu kapatmak için gerçekleştirilmesi tavsiye edilen çözüm önerisi belirtilir.
  • Çözüm Referansı: Çözüm önerilerine yönelik bağlantılar belirtilir.

 

Sızma testi raporunda bulunabilecek grafikler aşağıdaki gibi olabilir.

  • Kritikliğine göre bulgu adetleri
  • Kategorisine göre bulgu adetleri
  • Kategori ve kritikliğine göre bulgu adetleri
  • Etkisine göre bulgu adetleri
  • Kullanıcı profiline göre bulgu adetleri
  • Erişim noktasına göre bulgu adetleri

 

Sızma testleri raporunda bulunmasa bile sızma testi bulgularının takibi ve doğrulaması için aşağıdaki alanlar da kayıt altına alınabilir.

  • Bulgu Takip Talep ID: Sızma testinin yapıldığı taraf (banka gibi) tarafından bulgunun kapanmasını takip etmek amacı ile ilgili ekibe açılmış talep ID değeridir.
  • Test Senaryosu: Bulgu doğrulaması sırasında gerçekleştirilebilecek adımlar belirtilir.
  • Saldırı Referansı: Saldırının gerçekleştirilmesine yönelik bağlantılar belirtilir. Bu alan rapor içerisinde olmasa da sızma testi ekibinin elinde olması tavsiye edilebilir.

 

TSE, BDDK, Tübitak gibi kurumlar tarafından sızma testleri raporlanması için oluşturulan doküman için bakınız: https://www.tse.org.tr/upload/tr/dosya/icerikyonetimi/1200/07012015133551-3.pdf

Örnek sızma testi raporlar için bakınız: https://github.com/juliocesarfort/public-pentesting-reports

 

Bir Saldırının Fazları

CEH metadolojisine göre bir saldırının temel olarak 5 fazı vardır:

  • Reconnaissance: Aktif veya pasif olarak bilgi toplanır, sosyal mühendislik yapılır, ağ tespit edilir. Pasif bilgi toplama ilk aşamadır.
  • Scanning-Enumaration: Ağ ve zafiyet taraması ile bilgi toplanır. Canlı sistemler / AP’ler’in yanında etkin hesaplar da araştırılır.
  • Gaining Access: Uygulama, ağ veya işletim sistemi üzerinde erişim elde edilir. Hak yükseltilebilir veya erişim sağlanabilen diğer sistemler de ele geçirilebilir. Oturum çalma, servis dışı bırakma, parola kırma,… gibi saldırılar gerçekleştirilir.
  • Maintaining Access: Hak yükseltilebilir (Sistem ele geçirilebilir); zararlı uygulamalar çalıştırılabilir; veri veya konfigürasyon ayarları indirilebilir, yüklenebilir, değiştirilebilir; dosya veya proses gizlenebilir. Ana amaç sisteme başka saldırganların girişine engel olarak veya sistem sahipleri tarafından sistemin güvenliğinin sağlanmasını önleyerek; bağlantının sürekliliğini sağlamaktır.
  • Clearing Tracks: İzler / Trafik / Loglar silinir veya değiştirilir; steganografi / arka kapılar / tünelleme protokolleri ile savunma mekanizmalarından (IDS, AV gibi) kaçılır ve şüphe çekilmemesi sağlanır.

 

Detaylandırmak gerekirse, sızma testleri 9 adımda gerçekleştirilir:

  • Bilgi Toplama
  • Topoloji Çıkarma / Ağ Tarama
  • Zafiyet Tespiti
  • Hak Elde Etme
  • Hak Yükseltme
  • Yayılma
  • Kalıcı Olma
  • Temizlik
  • Raporlama

 

Bir sisteme karşı 4 temel saldırı türü vardır:

  • İşletim sistemi: Varsayılan kurulumlar, güncellemelerin yapılmaması,… zayıflığa sebep olur.
  • Uygulama: SDLC süreçlerinin ve güvenlik değerlendirmelerinin etkin şekilde yapılmaması zayıflığa sebep olur.
  • Shrink-Wrap Kod: Kaynağı belirsiz/güvenilir olmayan yerlerden alınan kodların/kütüphanelerin uygulamaya eklenmesi veya varsayılan olarak gelen bazı kodların/betiklerin kaldırılmaması sonucunda; bu kod parçacıklarında kullanıcının bilgisi dışında komut çalıştırılabilmesi,,, zayıflığa sebep olur.
  • Hatalı Yapılandırma Ayarlamaları: Sıkılaştırmaların yapılmaması, kullanım kolaylığı sebebi ile güvenliğin göz ardı edilmesi,… zayıflığa sebep olur.

 

Sızma testleri sırasında kullanılan bir çok araç bulunmaktadır. Bu araçlardan en önemlileri için bakınız: http://www.softwaretestinghelp.com/penetration-testing-tools/

Diğer saldırı metadolojileri için bakınız: http://resources.infosecinstitute.com/penetration-testing-methodologies-and-standards

 

Güvenlik ile İlgili Dokümanlar

  • Politikalar: Üst yönetim talimatlarını ve genel bilgileri içeren uzun süreli kurallar listesidir. Örneğin kurumun bir parola politikası olmalıdır.
  • Prosedürler: Amaca/hedefe yönelik gerçekleştirilmesi gereken detaylandırılmış / adım adım tanımlanmış kurallardır. Personellerin uymak zorunda olduğu bütün detaylı aksiyonlar bu dokümanda tanımlanır. Bir çalışanın iş yerine kişisel bilgisayarını getirememesi gibi kurallar yazılır.
  • Standartlar: Politikaları destekleyecek kurallar ve işlemlerin tanımlandığı uyulması gereken kurallar bütünüdür. Böylece kurumdaki sistemler arasında tutarlılık sağlanır. Örneğin; parolalar en az 8 karakter olmalı ve alfa-numerik karaterlerden oluşmalıdır.
  • İş Talimatı: İşin (Sistem yönetimi gibi) nasıl yapılacağını belirten dokümanlardır.
  • Baseline: Minimum güvenlik gereksinimleridir.
  • Kılavuz: Alınması tavsiye edilen aksiyonlardır.

Bu dokümanları veya yapılandırma ayarları periyodik olarak gözden geçirilmeli, güncellenmelidir. Ve bı çalışmalar Değişiklik Yönetimi ile bu değişiklikler kontrol edilmeli ve kayda alınmalıdır.

 

Güvenlik Politikaları

Güvenlik Politikaları’nın temel özellikleri aşağıdaki gibidir:

  • Güvenlik programlarında Top-down yaklaşımı benimsenirse ve üst yönetim desteği olursa, güvenlik politikası çalışanlar tarafından daha kabul görür ve uygulanırlığı artar.
  • Güvenlik politikaları açık olmalıdır.
  • Roller ve sorumluluklar tanımlanmış olmalıdır. Örneğin Olay Yönetim Politikası’nda bir ihlal durumunda hangi ekibin hangi görevi yapacağı belirtilmiş olmalıdır.

Güvenlik politikaları sıkılığına/kısıtına göre 4’e ayrılır:

  • Seçici Olmayan (Promiscuous): Kısıt yoktur.
  • İsteğe Bağlı (Permissive): Sadece zafiyetli/tehlikeli durumlar kısıtlıdır.
  • Tedbirli (Prudent): Her şey loglanır, gerektiği kadar erişim verilir.
  • Paranoyak( Paranoid): İnternet erişimi, uygulama çalıştırabilme dahil olmak üzere, neredeyse her şey kısıtlıdır.

 

Temel güvenlik politikaları aşağıdaki gibidir:

  • Bilgi Güvenliği Politikası (Information Security Policy – ISP): Kurum kullanıcılarının kısıtlarını; kaynaklarının/sistemlerinin kullanımını belirtir. Kabul Edilebilir Kullanım Politikası (Acceptable Use Policy) olarak da adlandırılır. Çalışanlar bunu imzalayarak yaptıkları işlemlerin izlendiğini ve kötü niyetli işlemlerden sorumlu tutulacağını kabul eder.
  • Bilgi Koruma Politikası (Information Protection Policy): Bilgilerin kritiklik seviyelerini, bu bilgilere erişimleri, verilerin depolanması/iletimi/imhası gibi konuları belirtir.
  • Bilgi Denetimi Politikası (Information Audit Policy): Kurumdaki güvenlik denetimi kurallarını belirtir. Denetimlerin zamanını, yerini, nasıl olacağını, sıklığını, gerçekleştirecek tarafları,… belirtilir.

Örnek Politikalar: Kabul edilebilir kullanım politikası, Hesap / Parola politikası, Uzaktan erişim politikası (Kurum ağında izinsiz modem kullanımının yasaklanması), güvenlik duvarı yönetimi politikası, mail sunucusu yönetim politikası… politikaları.

 

Bilgi Güvenliği ile İlgili Yasalar, Standartlar, Kurumlar

  • SOX (Sarbanes-Oxley Act – SoX Kanunları): ABD’de finansal aktivitelerin doğruluğunu kontrol eder, problemlerden CEO ve CFO gibi üst yöneticileri sorumlu tutulur ve bu kanunları imzalarlar.
  • DMCA (Digital Milenium Copyright Act): Blog, köşe yazısı gibi fikri mültiyet hakkını savunur.
  • GLBA (Gramm-Leech Bliley Act): Bireylerin finansal verilerini korur.
  • HIPPA (Health Imformation Portability and Protection Act): Tıbbi kayıtların mahremeyetini korumak amaçlı kuralları belirtir.
  • CSIRT (Computer Security Incident Response Team): Bilgisayar güvenliği olaylarına bakar. Kullanıcılara, şirketlere, devlet kurumlarına güvenilir, merkezi bir olay yönetimi (IR) hizmeti sağlar.
  • 18 U.S.C 1030 – Fraud and Related Activity in Connection with Computers: Bilgisayar güvenliğinliğinde Fraud, maillerde oltalama saldırılarına bakar.
  • 18 U.S. Code 1029 – Fraud and related activity in connection with access devices: Sahte erişim / telekomünikasyon cihazları ile 1000$ üzerinde fraud olaylarını düzenler.
  • Federal Bilgi Güvenliği Yönetimi Kanunu (Federal Information Security Management Act – FISMA): ABD’nin iktisadi ve ulusal güvenlik çıkarları için üç yılda bir kamu sistemlerini denetler ve akredite eder.
    • NIST (National Institute of Standards and Technology): Türkiye’deki TSE gibi standart oluşturmakla görevli bir kurumdur. FISMA kapsamında standartlar, kılavuzlar, kontrol listeleri,… hazırlar. Bu standartlar Federal Information Processing Standards (FIPS) olarak da bilinir. NIST tarafından hazırlanan kontrol listeleri için bakınız: https://web.nvd.nist.gov/view/ncp/repository
    • Federal Bilgi İşleme Standartı (Federal Information Processing Standards – FIPS): ABD’de askeri olmayan devlet kurumları (federal hükümetler gibi) ve devletle çalışan kurumların bilişim sistemlerinde kullanacağı standartlar topluluğudur.
  • OSSTMM (Open Source Security Testing Methodology Manual): Güvenlik testi ve güvenlik analizi için metodoloji sunar, kontrolleri ortaya koyar (OWASP ise kontrolleri içermez). Denetçilerin neye, nasıl bakacaklarına, denetleyeceklerine, raporlayacaklarına yardımcı olur, yol haritası sunar. Hukuki (Legislative), sözleşmeye dayalı (contractual), standard temellidir.
  • OWASP (Open Web Application Security Project): Web uygulamalarının güvenliğini sağlamak için araç ve gerekli dokümanları sağlayan açık kaynaklı bir proje ve gruptur.
  • ISSAF (Information Systems Security Assessment Framework): Bilgi sistemlerinin güvenliğini sağlamak için bir alt yapı öneren açık kaynaklı bir projedir. Sızma testi metodolojisi, parola güvenliği, ağ cihazı güvenliği, işletim sistemi güvenliği,kaynak kod güvenliği,… gibi bir çok alanda metod sunar.
  • PCI-DSS (Payment Card Industry Data Security Standard): Kredi kartı bilgisini taşıyan, işleyen veya depolayan tarafların uyması gereken kuralları belirtir. Bu kurallara göre PCI profiline uygun olarak en az 3 ayda bir dış ağ zafiyet testi yapılmasını (11. gereksinim –>Nessus kullanılabilir); senede 2 kere ağ şemasının, kredi kartı akış şemasının, güvenlik duvarı kurallarının, cihazların güvenlik konfigürasyonlarının gözden geçirilmesini; senede en az 1 kere (veya sistemdeki büyük bir değişiklik / güncelleme sonrasında) iç ve dış sızma testleri gerçekleştirilmesini,… belirtir. PCI-DSS standardındaki maddeler için bakınız (Türkçe): https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_05Nov13_Final_TR.pdf. Siber güvenlik açısından PCI-DSS incelemesi için bakınız: https://www.linkedin.com/pulse/siber-g%C3%BCvenlik-ve-pci-dss-ate%C5%9F-s%C3%BCnb%C3%BCl
  • ISO 27001: BGYS’ni tanımlar. Eskisi kadar olmasa da PUKO (Planla – Uygula – Kontrol Et – Önlem Al) döngüsünün çalıştırılmasını amaçlar . Şu anda ISO 27001:2013 kullanılmaktadır. Temel olarak Majör bir bulgu (ana maddelerinin bir tanesinin yerine getirilmemesi durumu) olduğu zaman sertifikasyondan geçilememektedir. ISO 27002 ise bu güvenlik kontrolleri için bir rehberdir, uygulamalı detay verir. Ayrıntılı bilgi için bakınız: https://www.bilgiguvenligi.gov.tr/bt-guv.-standartlari/iso-27001-2013-bilgi-guvenligi-yonetim-sistemi-standardindaki-degisiklikler-ve-yenilikler.html

 

Risk Analizi

Risk; bir açıklığın/zafiyetin sisteme zarar verme ihtimalidir. Diğer bir deyişle risk; bilginin gizlilik, bütünlük veya erişilebilirliğinin (CIA) kaybolma potansiyelidir. Risk değerlendirmesin temel 3 öğesi; varlık, tehdit ve zafiyettir.

Risk analizinin temel aşamaları aşağıdaki gibidir:

  • Kapsam ve varlıklar belirlenir. Örneğin, IT tarafında bir risk değerlendirme yapılacaksa kurumun güvenlik mimarisinin de analiz edilmesi ve varlık envanterinin elde edilmesi gerekir.
  • Tehditler ve bu tehditlerin kullanabileceği açıklıklar / zafiyetler belirlenir. Zafiyet, sistemin ele geçirilmesine veya zarar görmesine sebep olabilecek zayıflık, açıklık veya hatadır. Tehdit; istemli veya istemsiz olarak sisteme zarar verebilecek her şeydir. Bu kavramlar ile ilgili ayrıntılı bilgi için bakınız: http://www.siberportal.org/blue-team/securing-information/vulnerability-threat-risk-and-exploit-concepts-in-information-security/
  • Olasılık değerlendirmesi (Yüksek, orta, düşük gibi) gerçekleştirilir.
  • Likelihood (tehditin olma ihtimali) hesaplanır.
  • Tehditlerin iş etkisi hesaplanır. Bu etki hesaplanırken; CIA değerleri çarpılabilir, toplanabilir veya bir katsayı (standart bilgisayarlar için 1, veritabanları için 2, yönetici bilgisayarları için 3 gibi değerler) ile CIA çarpım sonucu çarpılabilir.
  • Riskin nicel hesaplaması tehditin olma ihtimali ve iş etkisi ile bulunur. Yani; “Risk = Tehditin Olma İhtimali (likelihood) * Tehditin Etkisi (impact)” denebilir.
  • Risk derecelendirilir.
  • Teknik, yönetimsel ve operasyonel güvenlik kontrolleri gerçekleştirilir. Teknik Güvenlik kontrolleri 3’e ayrılabilir:
    • Önleyici (Preventative – Precaution): Kimlik doğrulama, Yetkilendirme, Erişim kontrolü, Güvenli iletişim trafiği, şifreleme gibi
    • Tespit Edici (Detective): Saldırı Tespiti, Alarm mekanizmaları, Bütünlük koruma mekanizmaları, Denetimler
    • Düzeltici (Corrective): Yedekleme gibi
  • Dokümantasyon hazırlanır.

Özetlemek gerekirse, risk değerlendirmesinin 3 temel aşaması; tehditleri belirleme, zafiyet tanımlama, kontrollerin gerçekleştirilmesidir.

Ayrıntılı bilgi için bakınız: https://www.bilgiguvenligi.gov.tr/dokuman-yukle/bgys/uekae-bgys0004-bgys-risk-yonetim-sureci-kilavuzu/download.html

 

Risk İşleme Yöntemleri

Risk analizi sonrası; belirlenen bir risk değerinin üstündeki riskler işlenir. Risk işleme yntemleri aşağıdaki gibidir:

  • Risk kabul edilir.
  • Riskten kaçınılır, riskin ortadan kaldırılması için önlemler/kontroller alınır.
  • Risk azaltılır, riskin etkisi düşürülür.
  • Risk transfer edilir, zarar başkasına (3. Taraf firmaya veya sigorta şirketine) aktarılır.

Riskleri işlerken gerekli kontroller uygulanmalıdır. Riskler önceliklendirildikten sonra kontroller değerlendirilir, seçilir, sorumluları atanır, planlanır ve uygulanır. Uygulanan kontroller sonrasında risk kalmış ise bu riske “Artık (Residual) Risk” denir. Eğer bir risk işlendikten sonra kabul edilebilir bir düzeye inmişse, o risk kabul edilebilir.

Gerçekleştirilen çalışalar sırasında güvenliğin artışını ölçmek için metrikler kullanılır.

Ayrıntılı bilgi için bakınız: https://www.bilgiguvenligi.gov.tr/risk-analizi/zafiyet-temelli-risk-degerlendirme-metodolojisi-ornegi.html

 

Kurum İçi Tehditler

Tehditler temel olarak 3’e ayrılır:

  • Doğal Tehditler: Afet, sel, deprem,… gibi doğal afetlerdir.
  • Fiziksel Güvenlik Tehditleri: Sistem kaynaklarının zarar görmesi, fiziksel saldırılar, sabotaj, hatalar, doğal afetler,…
  • İnsani (Beşeri) Tehditler: Saldırganlar (Hacker), iç tehditler (insiders), sosyal mühendislik saldırıları, bilgi güvenliği farkındalık eksikliği,… insanlardan kaynaklanan tehditlerdir. Bunun yanında beşeri tehditler kendi içerisinde de 3’e ayrılabilir:
    • Ağ: Bilgi toplama, araya girme, DOS,…
    • Sistem: Zararlı yazılımlar, parola saldırıları, DOS, Hak yükseltme saldırıları,…
    • Uygulama: BOF, girdi kontrolünü atlatma, bilgi sızdırma,…

 

Bunun yanında bir kuruma gelecek saldırılar açısından bakıldığında temel tehditler aşağıdaki gibi sıralanabilir:

  • Insider Attacker: Kurum için en büyük tehlikedir. Bu saldırganlar; işten kovulmuş veya kötü bir şekilde ayrılmış olan eski çalışanlar, işinden memnun olmayan çalışanlar, müşteriler, partner firmalar, tedarikçiler, satışçılar (vendor), tam zamanlı olmayan çalışanlar (stajyer dahil), anlaşmalı taraflar (contractors), danışmanlar olabilir. Bu saldırganlara karşı temel önlemler: Görevler ayrılığını uygulama, En az yetki prensibini hayata geçirme, Erişim kontrolü, Loglama, İzleme, Güvenlik politikaları uygulama, Yedekleme,…
  • Pure insider: Standart çalışan yetkileri vardır.
  • Elevated Pure Insider: Yönetici çalışan yetkileri vardır.
  • Insider Associates: Güvenlik veya temizlik personeli gibi sınırlı yetkileri vardır. Yetki yükseltmeye çalışırlar.
  • Insider Affiliates: Kurum çalışanının arkadaşı, tanıdığı veya müşterisi olabilir. Kurum çalışanının güvenini kazanarak, o kişinin kimliğine bürünürler.
  • Outsider Affiliates: Bırakılan/Unutulan bir açığı kullanarak erişim sağlarlar. Kurum veya çalışanı ile direk bir ilişkisi yoktur.

 

Çoklu Kimlik Doğrulama

  • Sahip Olunan (Something you have): USB/Security/SMS/Donanımsal token, Sayısal sertifika / Akıllı Kart (Kurulumu ve yönetimi maliyetlidir)
  • Bilinen (Something you know): Kullanıcı adı, PIN kodu, parola, doğum tarihi
  • Biyometrik Bir Karakteristiği Olan (Something you are): Parmak izi, retina izi (kan damarı seviyesi taranır), iris izi

Bu 3 yöntemden farklı 2 tanesinin yöntemleri beraber kullanılırsa (USB ve PIN; Kullanıcı adı ve parmak izi; …) buna iki faktörlü kimlik doğrulama adı verilir.

 

Erişim Kontrol Mekanizmaları

  • TCSEC (Trusted Computer Security Evaluation Criteria): Orange Book içerisindeki gereksinimlere göre bir kontrolün etkinliği test edilir. 7 seviyesi vardır. TCSEC’e göre temel erişim kontrolleri (Access Control) 2’ye ayrılır:
    • Zorlayıcı (Mandatory): Erişimi güvenlik yöneticisi kısıtlar / tasnifler. Bu kısıtlama sırasında verinin önem derecesine göre etiketler kullanılır ve kullanıcıların derecesine (clearance) göre veriye erişimler düzenlenir. Örnek: Kimlik doğrulama mekanizması.
    • İsteğe Bağlı (Discretionary): Erişim, o nesnenin sahibinin inisiyatifine/yönetimine bırakılmıştır.
  • Ortak Kriterler (Common Criteria – CC): 1-7 arasındaki EAL (Evaluation Assurance Level) adındaki seviyelere göre bir IT varlığının test, tasarım, implementasyon gibi tüm süreçlerinin güvenli bir şekilde gerçekleştirildiği garanti altına alınır.
  • ITSEC (Information Technology Security Evaluation Criteria): Güvenlik ve fonksiyonalite ayrı ayrı olarak değerlendirilir. Uluslararası yaygın kullanımı yoktur.

 

Genel Notlar

  • Bilgi Güvenliği Unsurları: Gizlilik, Bütünlük, Erişilebilirlik, Kimlik Doğrulama, İnkar Edilememezlik,… Temel bilgi güvenliği kavramları için bakınız: http://www.siberportal.org/blue-team/securing-information/concepts-of-information-security
  • Görevler Ayrılığı (Segregation of Duties) Prensibi: Sistemi yöneten, değerlendiren ve denetleyen kişiler/gruplar birbirinden farklı olmalıdır. Benzer olarak ağ altyapısını kuran/tasarlayan/onaylayan, yedekleyen, yöneten taraflar da farklı olabilir.
  • Bir ihlal/saldırı olayı olduğunda kurumun güvenlik politikasına uygun olarak hareket edilmelidir. Saldırı anında olabildiğince fazla kanıt toplanmalıdır.
  • False Negative: AV’ün/IDS’in virüsü yakalayamaması / algılayamaması. Ürün işini düzgün yapamıyor demektir.
  • False Positive: AV’ün/IDS’in normal (legal / yasal) dosyayı virüs olarak sanıp alarm vermesi. Çok fazla olursa, güvenlik yöneticisi artık gelen sonuçları umursamayabilir.
  • Kurum içi çalışan saldırısına maruz kalmamak için çalışanların öz geçmişleri iyi araştırılmalıdır. Bunun yanında bilgi güvenliği farkındalığını arttırmak için, eğitimler verilmeli, politikalar oluşturulmalı, güvenliğin önemi anlatılmalı, yani farkındalık çalışmaları yapılmalıdır.
  • Günümüzde saldırıların yaygınlaşmasının ana sebebi, internette saldırı araçların çok kolay bir şekilde erişilebilir olmasıdır.
  • Örnek saldırılar: Hizmet dışı bırakma saldırıları, veri sızdırma, veri değiştirme, parola çalma, fidye yazılımları, siber istihbarat amaçlı saldırılar ve gelişmiş yazılımlar (APT), siber savaşlar,…
  • Daisy Chaining: Bir makineyi/ağı ele geçirdikten sonra yakalanmadan saldırının amacını gerçekleştirmek için yapılan eylemlerdir. Loglar başta olmak üzere geride kalan izleri silmek, farklı sistemleri ele geçirerek bu sistemler üzerinden saldırıyı sürdürmek,… gibi.
  • Information Warfare (InfoWar): Saldırı veya koruma amaçlı olarak, “Bilgi”’yi rakiplerinin önüne geçmek için kullanmaktır. “Siber Savaş” olarak da kullanılmaktadır.
  • Yüzde yüz güvenlik diye bir şey yoktur. Her zaman bir saldırı gerçekleşebilir. Ancak alınacak önlemler ile bu saldırılara karşı en iyi önlemler alınmaya çalışılır.
  • Genel olarak; güvenlik ile işlevsellik ve kullanım kolaylığı ters orantılıdır.
  • Bilgi güvenliğinin en kritik kollarından birisi fiziksel güvenliktir. Kişileri, sunucuları, uygulamaları, ağları, verileri,… fiziksel olaylara/tehditlere karşı doğabilecek zararlardan korumak için fiziksel güvenliğe önem verilmelidir. Fiziksel güvenlik ile ilgili ayrıntılı bilgi için bakınız: http://www.siberportal.org/blue-team/securing-information/controls-for-physical-security-of-critical-systems-on-corporations/
  • CTF (Capture The Flag): Temelinde eğitim amaçlı yarışmalardır. Sadece Saldırı şeklinde olabileceği gibi, Saldır/Savun şeklinde de olabilir. CTF hakkında ayrıntılı bilgi için bakınız: http://blog.btrisk.com/2016/06/ctf-nedir.html veya http://resources.infosecinstitute.com/tools-of-trade-and-resources-to-prepare-in-a-hacker-ctf-competition-or-challenge/. Katılım sağlanabilecek CTF listeleri için bakınız: https://canyoupwn.me/en-ctf-lists/

 

CEH v9 Eğitimi Konu Başlıkları

  • Internet is Integral Part of Business and Personal Life – What Happens Online in 60 Seconds
  • Information Security Overview
    • Case Study
      • eBay Data Breach
      • Google Play Hack
      • The Home Depot Data Breach
    • Year of the Mega Breach
    • Data Breach Statistics
    • Malware Trends in 2014
    • Essential Terminology
    • Elements of Information Security
    • The Security, Functionality, and Usability Triangle
  • Information Security Threats and Attack Vectors
    • Motives, Goals, and Objectives of Information Security Attacks
    • Top Information Security Attack Vectors
    • Information Security Threat Categories
    • Types of Attacks on a System
      • Operating System Attacks
        • Examples of OS Vulnerabilities
      • Misconfiguration Attacks
      • Application-Level Attacks
        • Examples of Application-Level Attacks
      • Shrink Wrap Code Attacks
    • Information Warfare
  • Hacking Concepts, Types, and Phases
    • What is Hacking
    • Who is a Hacker?
    • Hacker Classes
    • Hacking Phases
      • Reconnaissance
      • Scanning
      • Gaining Access
      • Maintaining Access
      • Clearing Tracks
    • Ethical Hacking Concepts and Scope
      • What is Ethical Hacking?
      • Why Ethical Hacking is Necessary
      • Scope and Limitations of Ethical Hacking
      • Skills of an Ethical Hacker
    • Information Security Controls
      • Information Assurance (IA)
      • Information Security Management Program
      • Threat Modeling
      • Enterprise Information Security Architecture (EISA)
      • Network Security Zoning
      • Defense in Depth
      • Information Security Policies
        • Types of Security Policies
        • Examples of Security Policies
        • Privacy Policies at Workplace
        • Steps to Create and Implement Security Policies
        • HR/Legal Implications of Security Policy Enforcement
      • Physical Security
        • Physical Security Controls
      • Incident Management
        • Incident Management Process
        • Responsibilities of an Incident Response Team
      • What is Vulnerability Assessment?
        • Types of Vulnerability Assessment
        • Network Vulnerability Assessment Methodology
        • Vulnerability Research
        • Vulnerability Research Websites
      • Penetration Testing
        • Why Penetration Testing
        • Comparing Security Audit, Vulnerability Assessment, and Penetration Testing
        • Blue Teaming/Red Teaming
        • Types of Penetration Testing
        • Phases of Penetration Testing
        • Security Testing Methodology
        • Penetration Testing Methodology
    • Information Security Laws and Standards
  • Payment Card Industry Data Security Standard (PCI-DSS)
    • ISO/IEC 27001:2013
    • Health Insurance Portability and Accountability Act (HIPAA)
    • Sarbanes Oxley Act (SOX)
    • The Digital Millennium Copyright Act (DMCA) and Federal Information Security Management Act (FISMA)
    • Cyber Law in Different Countries

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.