ISR Bilgi Güvenliği

13 Nisan 2015

2015'te Gmail Güvenliği

Gmail, 2012 yılında netleşen rakamlar ile dünyanın en çok kullanılan mail servisi oldu. Birçok son kullanıcı dışında, birçok şirket ve kurumda Gmail altyapısını kullanıyor. Gün geçtikçe Google gibi şirketler güvenlik önlemlerini artırsa da, son kullanıcılarında yapması gereken şeyler var. Google yapısı gereği bu güvenlik önlemlerini almamız için de çok basit bir şekilde yapılandırmamızı sağlıyor. Bunları yaparken herhangi bir teknik bilgiye ihtiyaç duymuyoruz. Aşağıda son yenilikler ile kontrol etmeniz gereken güvenlik önlemlerini sıraladık.

Gmail Güvenliği

2 faktörlü doğrulama

2 faktörlü doğrulama en iyi güvenlik önlemlerinden bir tanesidir. Hesabınızı sadece parola ile değil, telefonunuz ile de koruma altına almaktadır. Gmail’de telefon numaranızı veriyorsunuz ve telefonunuzu doğruluyorsunuz. Birisi olur ki parolanıza erişse bile telefonunuza gelecek 6 haneli doğrulama koduna (sms/sesli) ulaşamayacağı için hesabınıza erişemeyecektir.

2 Faktörlü Doğrulama

Her zaman kullandığınız cihazlarınızı (PC, tablet, telefon) , 30 gün süreyle doğrulama kodu almadan giriş yapmak için seçebilirsiniz. Bu daha basit hale getirebilir sizin için ama güvenlik için 10 saniyelik bir işlemden kaçmamak gerekir. Hesabınıza eriştiklerinde yaşayacağınız sıkıntı daha fazla olacaktır.

Peki “Şarjım biterse ve ya yurtdışında telefonuma erişim imkanım olmadığı durumlarda ne olacak?” diye düşünebilirsiniz. Google bu tür bir sıkıntı için ise yedek kod imkanı sunuyor. Tek seferde kullanacağınız kodları alarak böyle bir durum olduğunda hesabınıza bu doğrulama kodları ile ulaşmanızı sağlıyor.

Son aktiviteleri takip

Herhangi bir şeyden şüphelenirseniz son etkinlikler sayfasından hesabınıza giriş yapılan browser, IP adresi, konum, tarih ve saat bilgilerini kontrol edebilir, hepsinde oturumu kapatabilirsiniz. Ayrıca dışarıda hesabınıza giriş yapmak zorunda kalabilirsiniz ve çıkış yapmayı unutmuş olabilirsiniz. Bu tür durumlarda da son etkinlikler sayfasından açık olan bütün hesaplardan çıkış yapabilirsiniz. Aynı zamanda “Uyarı Tercihi” kısmından herhangi bir şüphe olduğunda sizi uyarmasını isteyebilirsiniz.

Son Aktiviteler

Ayarları ve hesap izinlerini kontrol etmek

Gmail ayarlarını sık sık gözden geçirmek gerekir. Herhangi bir sorun görünmüyor olabilir ama başka bir kişi hesabınıza giriş yapıp herhangi bir yönlendirme yaparak hareketlerinizi takip ediyor olabilir. Yönlendirme ve POP/IMAP ayarlarını kontrol edip şüphelendiğiniz durumlarda müdahale etmeniz gerekir.

Gmail Ayarlar

Hesap izinleri de dikkat edilmesi gereken bir husustur. İnternette bugün birçok site/uygulama Facebook, Twitter, Linkedin, Gmail v.s. ile direkt kayıt imkânı sağlıyor. Bu birçok kullanıcı için kolay olsa da, bu sitelerin bizden nelere ulaşacağını kontrol etmek gerekir. Bu yüzden önceden izin verdiğiniz site/uygulamaları ve bunlardan kullanmadıklarınızı veya bilmediklerinizi kaldırmanız bilgilerinizin dolayısıyla hesabınızın ulaşılmasını daha güç hale getirecektir.

Gmail Hesap İzinleri

Doğru parola seçmek ve onu korumak

Yukarıda saydığımız güvenlik önlemleri sizi korumak için yeterli olmayacaktır. En önemli güvenlik unsuru kullanıcılardır. İlk önlem güçlü ve doğru parola seçmektir. Bu en çok dikkat edilmesi gereken konudur. Güçlü ve doğru parola seçmek başka bir yazının konusu olacaktır. Ama sizler için bu yazımızda da kısaca birkaç öneride bulunalım.

Parola Güvenliği

Eğer parolanızı hemen aklınıza geliyorsa, herkesin aklına gelebilir.

Sadece harf ve numaralardan oluşan parolaları unutun. Bugün birçok uygulama buna zaten izin vermemektedir. Onlara kızmayın.

Sembol, sayı, harf ile mantıklı kombinasyonlar hem unutulmaz hem de güçlü parola oluşturmanızı sağlayacaktır.

Kimseye güvenmeyin

Evinizin anahtarını bugün kimseye güvenip vermiyorsanız, parolanızı vs de kimseye vermeyiniz. Phishing maillere çok dikkat etmeniz gerekir. Birçok veri hırsızlığı bu tür mailler ile gelmektedir. Son zamanlarda popüler olan cryptolocker ransomware çok tehlike yaratmaktadır. Arkadaşlarınız sizden mail ile maddi yardım talebinde bulunmaz. Olası bir durumda ulaşabiliyorsanız kişiye veya yakınlarına ulaşıp durumu netleştiriniz. Bu ve daha birçok sebepten dolayı internette kimseye güvenmeyiniz. Çünkü arkadaş ve ya yakınlarınızdan geliyor gibi görünebilir ama hesaplarının başkalarının eline geçebileceğini unutmayınız.

Kimseye Güvenmeyin

Virtually nothing is impossible in this world if you just put your mind to it.

30 Mart 2015

Trend Tehdit: Fidye Yazılımları / Ransomware

Adını neredeyse her mecrada duymaya başladığımız yeni bir kavram "Ransomware". Bu kısa makalede Ransomware kavramını ve hayatımıza etkilerini ve alabileceğimiz önlemlere değinmek istedik.

Ransomware nedir?

Bu kavram kısa ve en temel anlamı ile "Fidye isteyen yazılım" olarak özetlenebilir. En çok adını duyduğumuz ransomware "cryptolocker". Ancak bir çok benzeri de var. Torrentlocker, bitlocker, TeslaCrypt, PGPLocker pek populer olmayan Crytolocker benzerleri. Ayrıca yerel olarak geliştirilmiş benzerleri de var, örneğin Avustralya'da trafik kameralarından ceza kesildiğine dair e-posta gönderen benzeri, ülkemizde sıkça karşılaştığımız TTnet, ardından Turkcell ve son olarak da PTT kargo 'dan geldiğini iddaa eden cryptolocker benzerleri mevcut.

Tarihçe;

Esasında 90'larda var olan ancak çok populer olmayan bu saldırı metodu, Internet hızlarının artması ve Internet'te dönen bilginin nitelikli (para eden) bilgi olması ile gittikçe populer hale geldi ve son geldiği noktada "Ransomware" yani fidye yazılımları ortaya çıktı. Ransomware'lerin daha adı belli olmadığı yıllarda bu saldırıyı "manuel" yani direkt olarak saldırganın bizzat kendi gerçekleştirdiği çok sayıda ihbar ile karşılaşmıştık. Bu ihbarlar genellikle mevcut bir yazılım ya da işletim sistemi zafiyeti ile sunucu ya da istemciye sızan saldırgan bulduğu tüm dosyaları (sql sunucu, MS office ya da benzeri) Truecrypt ya da benzeri kriptolama uygulamaları ile şifreler ve kurbandan para isterdi. Bu saldırı genellikle kurbanın ödediği para karşılığında aldığı şifre ile sonuçlanırdı. Ancak çoğu zaman saldırgan ile iletişime geçilemediği, buna rağmen bırakılan mesajda istenen bedelin yatırılmasına rağmen şifrelenen dosyalara hiç bir zaman ulaşılamadığı senaryolar da oldukça sık rastladık.

Nasıl Çalışır?

Bu makalemiz teknik bir inceleme değil ancak ransomware'ler nasıl çalışır biraz değinmemiz iyi olacak.

Çoğu tehdit türünde olduğu gibi Ransomware'ler de mail yolu ile kullanıcıları tuzağa düşürmeye çalışıyor. Ancak belirtmek gerekir ki gördüğümüz en başarılı mail içeriklerinden birine sahip. Bırakın son kullanıcıları, çoğu IT profesyonelleri bile bu maili açıp, tuzağa düşebiliyor. Aşağıdaki ekran görüntüsünde tarafımıza ulaşmış bir ransomware (cryptolocker) saldırısını görebilirsiniz.

Çok net olarak göreceğiniz gibi, daha önce geliştirilmiş benzeri tehditlerden farklı olarak son derece düzgün Türkçe kullanılarak hazırlanmış. Ayrıca e-posta'nın ulaştığı tarih ile içerikte geçen tarihin uyuşması, resmi duruşu ile son derece başarılı bir oltalama saldırısı.

Ransomware'ler her versiyonunda farklı bir şekilde zararlı dosyayı kullanıcıya bilgisayarına yüklemeye zorlar. Yukarıdaki örnekte adres değişikliği formu doldurtarak zararlı yazılımı çalıştırmaya zorlamakta. Elbette adres değişikliği formu bir .zip dosyası ve bu dosya içerisinde bir .exe barındırıyor.

Bu exe çalıştırıldığında rastgele üretilmiş bir URL'ye bağlanarak (Command and control server) RSA Public Key'i download eder. Bu key ile her bir dosyayı encrypt edeceği AES256 key'i üretir ve her dosyayı bu key ile şifreler. Elbette bu key her bilgisayar için farklı üretilir. Böylelikle para transferi edilerek alınan bir şifre her kurbanda kullanılamaz. Bu esnada bilgisayarınızdaki tüm dosyaların şifrelendiği ve ödeme yapılmadığı taktirde açılamayacağı da Windows arka planınızı değiştirerek bildirir. Ödeyi yapmak için 72 saat süreniz bulunuyor. Bu süre içerisinde ödemeyi gerçekleştirmezseniz ödemeniz gereken fiyat artıyor.

Hangi dosyalarım tehlikede?

Bilgi çok kullanılan ve içerisinde şahsi ya da kurumsal bilgileriniz olma ihtimali en yüksek olan uzantılar; " .odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c " uzantılı dosyalar cryptolocker tarafından şifreleniyor. Bu dosya sayıları her versiyonda azabilir, ya da artabilir.

Kurban olursam ne yapacağım?

Eğer bu saldırı ile karşılaştıysanız ve artık kurban statüsünde iseniz iki seçiminiz var,

a- Parayı öder, şifreyi alır, hayatınıza devam edebilirsiniz.

b- Veri kaybını göze alır, bilgisayarınızı formatlayıp hayatınıza devam edebilirsiniz.

Hemen belirtelim, şifrelenen bu dosyaları decrypt etmek (şifrelerini açmak) matematiksel olarak mümkün olsa da, yüzyıllar boyu sürebileceğinden, pratikte mümkün değildir.

Peki ödeme yapıp, bizden para isteyenleri tuzağa düşürsek? Maalesef bu da pek mümkün değil. Ransomware'lere yapacağınız ödemeler bitcoin ile gerçekleşmekte bu ödemeyi takip etmemiz imkansız hale gelmektedir. Cryptolocker'in ilk versiyonlarında kullandığı şifreleme algoritmasının zafiyeti nedeni ile dosyalara ulaşılabiliyordu. Hatta bazı güvenlik firmaları ücretsiz olarak decrypt hizmeti de veriyordu. Ancak cryptolocker'in bugün geldiği durumda bu söz konusu değil. Dosyalarınızı açmak için size yardımcı olup para talep eden kişilere itibar etmemenizde fayda var.

Ransomware'lerden nasıl korunabilirim?

Ransomware'lerden korunmak için %100 güvenli bir teknik yol maalesef bulunmuyor. Her tehdit türünde olduğu gibi, ransomware'lerde de farkındalık ve bilinçlilik en önemli silah. Ancak sık sık alınan backuplar ransomware saldırılarında neredeyse sıfır zarar görülmesini sağlayabiliyor. Günlük olarak çalışan bir yedekleme prosedürünüz varsa dosyalarınızın şifrelenmesini önemsemezsiniz. Ancak Gdrive, Dropbox gibi işletim sisteminize mount edilmiş bulut tabanlı çözümlerin de ransomware'ler tarafından istismar edilebildiğini unutmayalım.

Bireysel Önlemler

Eğer lisanslı bir antivirus yazılımınız varsa bunu sık sık güncellemeyi ihmal etmeyin. Zero day olarak (Yani ilk çıktıkları gün) yakalanmasalar da, her yeni çıkan ransomware zararlı yazılımını antivirusler bir süre sonra yakalayabilir. Bireysel önlemlerin en önemlisi farkındalık. PTT'nin asla e-posta yolu ile bildirim yapmadığını, TTnet faturası içeren bir e-posta alırsanız dikkatli davranmak tamamen bireyin alması gereken bir önlem.

Kurumsal Önlemler

Kurumsal tarafta işler biraz daha ciddi ve karışık.

Firewall'larda bulunan web filtreleme sistemleri ise maalesef yetersiz kalıyor. Indirilen .exe dosyanın erişmek istediği URL'yi (Command and control center) bloklamak teoride bir çözüm gibi duruyor ancak firewall'lar bir kaç gün, bazen bir kaç haftada bu siteleri öğrenebiliyor. Dolayısı ile bir kaç günde verebileceği tüm zararı verebilen bu zararlılar için firewall ve web filtreler kesinlikle bir çözüm olamıyor.

Hayli pahalı olan yabancı ürünlere ülkemizde maalesef çok sınırlı sayıda büyük çaplı firma sahip olabiliyor. Bu ürünlerinde de %100 başarılı olma garantisi asla yok.

Her tehditin olduğu gibi ransomware'lerin de bir geçerlilik süresi olacaktır elbette, ancak bu süre boyunca onları tanımalı, önlem almalı, gerek son kullanıcı, gerekse kurumsal tarafta bu zararlıların nasıl çalıştığını bilmeli ve durdurmak için yeni teknolojiler geliştirmeliyiz.

ISR Bilgi Güvenliği olarak ransomware ve benzeri tehditler konusunda ülkemizde ve dünyadaki eksiği uzun süredir farkındayız ve bu konularda Tübitak - Martek bünyesinde ar-ge çalışmalarımızı tüm hızıyla sürdürüyoruz. Nihayet bu çalışmaların meyveleri oluşmaya başladı. Lansmanını kısa süre içerisinde gerçekleştireceğimiz ürünümüz, statik imza kullanan teknolojilerden (UTM, Firewall, IDS, IPS) oldukça farklı bir teknolojiye sahip olan, bu saldırıları henüz zero-day halinde tespit edip durdurmaya odaklanmış bir ürün. Pilot çalışmalarında beklentilerimiz üzerinde başarılı olan "ürünümüzün" çok kısa sürede ülkemizden yurtdışına ihraç edilen bir teknoloji olacağından endişemiz yok.

Ürünümüz ile ilgili tüm gelişmeleri www.isr.com.tr adresinden takip edebilirsiniz.

22 Mart 2015

Artan ve Maalesef Başarılı Olan Oltalama (Phishing) Saldırıları

Phishing (oltalama) bilgi güvenliği dünyasının dışında kalan pek çok kullanıcının da artık farkına vardığı bir konu.

Bu saldırı metodu ile saldırganlar bizden;

- finansal, kişisel, kullanım bilgilerimiz vb. bilgiler çalıyor,
- bilgilerimizin teyidini yaparak daha emin tuzaklar kurabiliyor,
- bilgisayarlarımıza uzaktan erişim sağlama avantajı ile yine bizden faydalanıyorlar.

Türkiye'de son aylarda başarı yüzdesinin arttığı bu saldırı metodu yoğun olarak e-posta ile bizlere ulaşıyor. Son haftaların en popüler faciası ise "PTT Posta Hizmetleri" maskesi ile meydana çıktı.

Bu son saldırıda gerçekten başarılı bir çalışma yapan (!) hırsızların, bizim gündelik zaaflarımızı nasıl takip ettiklerini, bizi pek çok firmayı taklit ederek yakalamaya çalıştıklarını görmekteyiz.

Üstelik bizden bilgi çalma aşaması bir sonraki aşamaya, fidye istemeye kadar uzandı!

Kargo, telefon operatörü, internet servis sağlayıcı gibi dev firmalarımızın adreslerini ve kimliklerini taklit eden saldırganlar Türkiye'de faaliyet göstermeye oldukça kararlı görünüyor.

Gönderilen oltalama (phishing) mesajları ile indirilen dosya neticesinde sistemimizde yer alan ve genellikle bizim için önem taşıyan dosyalar kriptolanarak bu dosyaların kullanımı engelleniyor.

Bir ücret karşılığında da kullanıma açılabileceğine dair mesaj gönderilip, peşin ödeme indirimi (!) de sunuluyor.

Ransomware (fidye) olarak bilinen bu metot maalesef dünya genelinde teknoloji yatırımını kısmen yapan ancak henüz "güvenlik" alışkanlıkları ve altyapı yatırım seviyesi yetersiz ülkeleri özellikle hedef almakta.

Günümüzde artık saldırganlar "hedef" seçerek daha akıllıca ilerliyor

Saldırganların artık daha tertipli ve organize olarak düzenledikleri bu saldırılar karşısında güvenlik camiası bir çok noktada ilk saldırılara önlem almakta yetersiz kalıyor. Çünkü saldırı türleri çeşitleniyor ve değişik coğrafyalara yaygınlaşıyor. Bu tip saldırıların ise ilk görüldüğü andan itibaren tespiti ayrı bir uzmanlık konusu.

Geliştirilen önlemlerin çoğunda insan faktörü dolayısıyla başarı düzeyinin yetersiz olduğu görülüyor. Zincirin en önemli parçası ve zafiyet kaynağı olan insanlar her ne kadar bilinçli olsalar dahi yeni metotlar karşısında yetersiz kalıyor, sorumluluklarını yerine getirmeyi unutuyor, ya da çoğu zaman "dalgınlığına geliyor".

Herkesin satın alabileceği ve içi rahat şekilde uzmanı olmadıkları bu tehlikeli konuları emanet edebileceği bir çözüm ne kadar güzel olurdu değil mi?

Neyse ki ISR Bilgi Güvenliği bu konudaki çalışmalarını neredeyse tamamlamak üzere. Bu tip saldırıların etkilerini daha ortaya çıktıkları ilk günden bertaraf edecek çözümler geliştirmek üzerine çalışmalarını hızla sonuçlandırıyor..

22 Ekim 2014

ISR 1 Yaşında..

İyi ki Doğduk..

Geçtiğimiz yıl bugün (22 Ekim 2013) faaliyetlerimizi ISR Bilgi Güvenliği firması adı altında gerçekleştireceğimizi İstanbul Ticaret Odası kanalıyla ülkemizin her yerine duyurmuştuk.

Kafalarımızda pek çok proje ile bir araya gelip yürümeye başladığımız bu yolda genç girişimciler olarak oldukça keyifli ve çalışkanlığımızı ortaya koyduğumuz uzun bir "1 yıl" geride kaldı.

ISR çatısı altında nice yılları siz sevgili takipçilerimize duyurmayı ve paylaşmayı ümit ettiğimizi belirterek bizi takip eden herkese teşekkürlerimizi sunuyoruz.

04 Ekim 2014

Penetrasyon - Sızma testi yaptırmalı mıyım?

Şirketimizin Ar-Ge faaliyetlerinin yanı sıra yoğunlaştığımız ve tüm ekip arkadaşlarımız ile birlikte keyifle gerçekleştirdiği projeler arasında güvenlik testleri projeleri (Zafiyet tarama, Uygulama Güvenliği Testleri, Kaynak Kod Analizi, APT v.s) özellikle "Sızma / Penetrasyon Testi" bulunuyor.

Çeşitli kanallar üzerinden bize ulaşan sızma testi müşterilerimizin aklında en çok "Bu testi yaptırmalı mıyım? Bu hizmete gerçekten ihtiyacım var mı?" sorusu var. Bu konudaki farkındalığın günden güne arttığını, BT sorumlusu, yöneticisi, CIO 'ların ve şirket sahiplerinin "zafiyetlerimiz neler?" sorusunu gündeme getirdiğini mutlulukla söyleyebiliriz.

Burada bizi esas mutlu eden, "Herkes bu hizmeti satın almalı" mottosu ile geliştirdiğimiz sızma testi modelimizin her geçen gün daha uzaklara, kurumsal yapıların yanı sıra oluşturduğumuz seçkin kanal yapısı ile ülkemizin en uç noktasındaki KOBİ 'lere ulaşması.

Bizim "Bu testi yaptırmalı mıyım? Bu hizmete ihtiyacım var mı?" sorusuna cevabımız çok net.

- "Gizli ya da değil, digital ortamda bilginiz var mı?"

- "Evet"

- "Gizli ya da değil, eğer bir bilginiz varsa bu bilgilerin güvende olup olmadığını, değiştirilip değiştirilmeyeceğini, kötü niyetli kişilerin bu bilgileri çalıp, sizin aleyhinize kullanıp kullanmayacağını, rakiplerinize satıp satmayacağı faktörlerini test ettirmelisiniz. Üstelik bu bilgiler sizin için çok önemsiz olabilir. Ancak bu işi profesyonel olarak yapan saldırganlar için dayınızın adının ve soyadının bile çok önemli bir bilgi olduğunu unutmayınız."

Teknolojinin, özellikle BT sistemlerinin her gün değil, artık neredeyse her saat geliştiği bir dünyada aynı donanım ihtiyaçları gibi, hizmet ihtiyaçlarının da türü ve modeli değişiyor. Sızma testleri bu değişimin getirdiği artık neredeyse "zorunlu" hizmetlerden biri. Bir çok büyük boyutta firma bu testleri kendi içlerinde oluşturduğu kadrolar ile oluştursa da bunun doğrusu dışarıdan gerçek bir saldırıyı simüle ederek gerçekleştirmek.

Sızma ya da genel kullanım şekli ile "Penetration Test" çeşitli adımlar sonunda gerçekleştirilir.

"Projelendirme - Tekliflendirme - NDA - Test - Raporlama - RCe" şeklinde özetlenebilecek bu süreç sonunda müşterilerimiz gerçek bir saldırı sonunda ne kadar zarar görebileceklerini, hangi bilgilerinin kötü niyetli kişilerin eline geçebileceğini, ağ yapılarının ne kadar güvenliği olduğunu ya da olmadığını öğrenir / önlemlerini alabilmek üzere gerekli teknik ve idari tavsiyelerini alır ve önlemleri uygular.

Sızma testlerini kime yaptırmalıyım... Merdiven altı testler sorunu...

Sızma testi yaptırmayı düşündüğümüz iş ortağını seçmek bu sürecin en önemli adımıdır. Her sektörde bulunan ve "merdiven altı" şeklinde tabir edilen hizmet türü, (!) sızma testi gibi kritik, büyük gizlilik ve hassasiyet ile içerisinde gerçekleştrilmesi gereken hizmet türü için de geçerli. Bu firmayı seçerken aşağıdaki kriterleri göz önünde bulundurmanızı öneririz.

Firmanın ilgi odağı nedir?
Geçerli bilgi güvenliği sertifikasyonlarına sahip mi?
Referansları var mı?
Bir otorite tarafından onaylı bir ya da birden çok bilgi güvenliği projesi var mı?
Gerektiğinde size özel zafiyetleriniz için istismar kodları geliştirebilecekler mi?

İlgi odağı sadece bilgi güvenliği olan, sızma ve diğer tüm testleri (Zafiyet taraması, kaynak kod analizi, APT analizi, Uygulama güvenliği testi) kendi kadroları ile yapan firmaları tercih etmeniz, projeniz sonunda sahip olacağınız raporunuzun çok daha verimli olmasını sağlayacaktır.

Geçerli bilgi güvenliği sertifikalarına sahip, kendi kadrolarını bu konuda eğitmiş ve uzmanlaştırmış firmalar hem gizlilik, hem de zafiyetlerinizi en doğru şekilde size raporlamak için doğru tercihtir.

Referanslarını sizinle rahatlıkla paylaşamayan firmaları seçmeniz, sizin de gizliliğiniz için en doğru seçimdir.

Yetkili bir otorite tarafından onaylı, gerçekleştirilmiş ve gerek ülkemizde, gerekse global boyutta bilgi güvenliği projesi gerçekleştirmiş bir iş ortağı ile çalışmak sizin seçtiğiniz iş ortağını bu konuda odaklı ve uzman olduğunu kanıtlayacaktır.

Gerektiğinde zafiyet istismar kodu geliştirmek sızma testi ile maliyeti çok daha düşük olan ve otomatik araçlar ile yapılan zafiyet taraması testi arasındaki en büyük farktır. Sızma testi konusunda iş ortaklığı yapacağınız firmanın bu kodları geliştirebileceğinden emin olun.

ISR, kendi standartları ile geliştirdiği ve Tübitak- MARTEK tarafından onaylı sızma testi metodolojisi ile gerçeğe en yakın ve verimli testleri müşterilerine sunar. Bu standartlar gereği testlerin raporları, tüm test sürecinde olan gizlilik ilkeleri ve prensipleri içerisinde müşterilerine "Güvenli" bir kanaldan teslim eder. Raporun tesliminin ardından kapatılan açıklar tarafımızdan tekrar kontrol edilir. Ayrıca ISR tarafından sağlanan tüm test hizmetleri global boyutta kabul görmüş, CEHv8, OSCE ve OSCP sertifikalı uzmanları tarafından gerçekleştirilir.

11 Haziran 2014

Ağ Güvenliği ve Risk Analizi

Güvenlik bir ürün değil, süreçtir (Bruce Schneier)

Bilgilerinizin ve ağınızın güvenliği için bir cihaz veya bir hizmet satın almak ve tüm sorununuzu çözmesini beklemek maalesef gerçekçi ve uygulanabilir değil.

Çünkü bilgileriniz ve ağınız sürekli gelişen, kendini yenileyen, yaşayan varlıklar. Bu varlıkları korumak için yaşam döngülerini periyodik olarak takip etmeli ve ihtiyaçlarını tespit etmeliyiz. Bu tespitlerde ortaya çıkan bulguları değerlendirerek, gerekli tedavileri, iyileştirmeleri elbette bütçemiz çerçevesinde gerçekleştirmeli, kurumumuzun amaçlarına yönelik kuruma özgü önlemleri almalı ve tüm bu süreçleri kurumsal ekibimizin tamamında uygulayabilmeliyiz.

Tıpkı vücudumuzun sağlığı gibi bilgi ve ağ güvenliğinin de sağlığı, sağlıklı çalışırlığı belirli periyodlarda gözden geçirilmeli.

Periyodik kontroller ile desteklenen sistemlerin daha güvenli, sağlıklı ve dolayısıyla verimli çalışması söz konusudur.

Nereden başlayacağız?

Güvenlik, pek çok bileşene sahip bir yapı, bir sistemdir. Güvenlik sisteminiz ihtiyacınız doğrultusunda uzmanlar tarafından yapılan tespite ve bütçenize göre dizayn edilir.

Bu sistemin çok küçük bir bölümünü oluştursa da ihtiyaç duyulan pek çok bileşenden akla gelen ilk çözüm hem fiyat hem de uygulama yaygınlığı açısında güvenlik duvarlarıdır.

Dış dünya ile aranıza bir güvenlik duvarı (Firewall) konumlandırdınız. Bu duvar güvenlik ilgili tüm ihtiyaçlarınızı çözemeyecek fakat yine de internete karşı tamamen korunmasız olmanızı önleyecektir.

Peki en temel yapı olan bu duvar (firewall) sağlıklı durumda mı, duvarınız zafiyet içeriyor mu?

Almış olduğunuz önlemler gelişen teknoloji, değişen ihtiyaçlar ve kullanım alışkanlıkları doğrultusunda zafiyet (zayıflık, eksiklik) içerebilir.

Bu durumu kontrol etmez isek korunduğumuzu düşünürken oysa risklere açık şekilde sistemimizi kullanmaya devam ediyoruz demektir.

Kurumunuzda kullanılması gereken güvenlik çözümlerinin neler olduğunu, ihtiyaçları tespit etmek, yatırımınızı doğru yapmak amacıyla risk analizi gerçekleştirilmesi önerilir.

Risk Analizi

Çeşitli uzmanlık seviyelerinde gerçekleştirilebilen bu kontrol (test) süreçlerinde ilk adım "Zafiyet Taraması" dır.

Zafiyet taraması

Ağ yapısı ve ağ bileşenleri üzerinde "bilinen" güvenlik zafiyetlerinin taranması ve raporlanmasından oluşmaktadır.

Bu tarama sonucunda ağınızın güvenlik bakış açısıyla ilk resmi çekilmiş olur. Bu resim ağa yapılabilecek ilk saldırının ne şekilde gerçekleşebileceğinin haritasını çıkartmayı sağlar.

Zayıf noktanın tespiti ile gerekli önlemlerin alınması üzerine çalışmalara başlanır.

Bu tip risk analizi çalışmaları uluslararası standartlar kapsamında pek çok firmada artık rutin olarak gerçekleştirilmekte, hatta pek çok kalite standardına göre 3'er aylık periyodlarda tekrarlanmak zorundadır.

Herhangi bir zayıf nokta bulunamaz ise?

Bu durumda işletmenin şikayetleri, sorunları ve/veya güvenlik ihtiyacı doğrultusunda araştırmalar, analiz sürdürülebilir.

Sızma Testi

Zafiyet testinden bir sonraki aşama olan "Sızma Testi"nde saldırgan gibi düşünerek, saldırganın bilgiye erişme, ağa sızma işlemi simüle edilir.

Bulunan zafiyetler ya da uzman tarafından tahmin edilen açıklıklar irdelenerek izinsiz erişimin nasıl yapılacağı gözden geçirilir ve uygulanır.

Bu esnada izlenilen yol ve kullanılan metot raporlanır. Bu kimi zaman çok kapsamlı uzun süren bir çalışma olabilir, kimi zaman da ihtiyaç ve bütçe doğrultusunda kısıtlı zaman aralağında gerçekleştirilir.

Sızma testinin gerçekleştirilmesi gereken ideal süresi için öncelikle uzman kişilerce ağ keşfinin yapılması ve bu keşif sonucunda firma ile birlikte bütçe doğrultusunda bir süre kararlaştırılması gerekir.

Daha fazla bilgi edinmek ya da sorularınıza yanıt bulmak için bilgi [ at ] isr.com.tr adresinden bizimle iletişime geçebilirsiniz.

Bilgi Güvenliğiniz, İşyeri Ağınızdaki Tehlikeler ve Risklerin Analizi

Bilgi Güvenliği Risk Analizi (Sızma Testi) Nedir, Neden Önemlidir?

Bu yazımızda adım adım bilgi güvenliğinin önem sebeplerini irdeleyerek çağımızda bilgi güvenliğinin sağlanmasında önemli bir adım olan "Risk Analizi" kavramını açıklayacağız.

İletişim İhtiyacının A,B,C'si: Bilişim Sistemleri İletişimi ve İnternet

İşletmeler ciro ve karlılıklarını artırmak hedefiyle gün geçtikçe teknolojiden daha fazla faydalanmaktalar.

Nihai hedef belli, peki işletmede teknoloji hangi amaçlarla kullanılıyor ve bize getirileri nelerdir?

Hangi amaç için kullanıyoruz?

Hızlı iletişim, hızlı yanıt almak
Daha kontrollü ve doğru sonuçlar elde etmek, daha fazla iş ile başa çıkabilmek
Zaman bağımsız çalışmak, esnek çalışma saatleri oluşturmak
Mekan bağımsız çalışmak, mobil verimlilikten faydalanmak, zamandan tasarruf
Bilgiyi kolay paylaşmak, anlık veya sürekli bilgi paylaşımı
Daha geniş kitlelere erişmek, mesafelerden etkilenmeksizin daha fazla alıcıya ulaşabilmek
7/24 tanıtım yapabilmek, ürün ve hizmet bilgisini sürekli erişilebilir tutmak
Veri toplamak, geçmiş işlerden gelecekte faydalı bilgi elde edinmek

Temel kullanım sebepleri oldukça tanıdık, bunlar genellikle ortak sebepler. Peki getirilerinin yanı sıra işletmenin teknolojiyi kullanarak aldığı ek sorumluluklar nelerdir?

 Bu soruya yanıt vermek için öncelikle teknolojiyi nasıl kullanıyoruz sorusunu irdelemek gerekli.

Bir işletme teknolojiyi nasıl kullanıyor?

Hızlı iletişime elverişli olan e-posta yazışma program ve/veya altyapıları oluşturarak
E-posta yazışmalarını saklayarak ve her yerden erişilebilir platformlar kullanarak
Geçmiş verilerden faydalanmak için onlara hızlıca ulaşmak amacıyla her türlü şirket verisini elektronik ortamda saklayarak
Sakladığı verilere zaman sınırı olmaksızın erişim sağlayarak
Taşınabilir cihazlar ile ofis-bina dışarısında da bağlantı kurarak dosyalara erişerek ve/veya çalışmayı sürdürerek

Bilgisayarlar, tablet pc'ler, telefonlar gibi cihazlar erişim ve işlem kolaylığı sağlarken bu bileşenlerden oluşan işyeri ağları dış erişime sahip cihazların getirdiği riskleri de işyeri ağı içerisine taşımaktadır.

Sıklaşan, artan elektronik ortam kullanımı, artan riski de beraberinde getirmekte ve bu doğrultuda şirketin kontrol etmesi gereken yeni alanlar ortaya çıkmaktadır.

Pek çok firma gizli herhangi bir bilgisi olmadığı, yapmakta olduğu faaliyetlerin rutin faaliyetler olduğunu belirtmektedir.

Fakat yine de bu firmalar bilgilerini sadece ilgili kişilerin görmesi ve ilgili firmalar ile kontrolü dahilinde paylaşılmasını istemektedir.

Çağımızda bir şirketin gündelik operasyonlarının kesintisiz sürmesi, ticari değerlerinin ve kazançlarının gerekli gizlilik ölçüsünde saklanması ve korunabilmesinin şirketin varlığını sürdürebilmesi için gereklilik taşıdığı oldukça açık durumdadır.

İstenmeyen trafiğe bağlı gelişen bu risk göz ardı edildiği takdirde sonuç tahmin edilemez, bilinmez derecede sakıncalı olabilmektedir.

Bazı şirketler için bilgi gizliliği değerli bulunmaz iken bilgi kaybının telafi edilemez derecede önemli olduğu maalesef kayıp yaşandıktan sonra fark edilmektedir.

Bilgi güvenliği yalnızca gizliliği içermemektedir; bilgi kaybı, bilginin yetkisiz ve sehven erişimi, değiştirilmesi, bütünlüğünün bozulması gibi etkenleri de bilgi güvenliği konusunda dikkate alınmaktadır.

Çözüm bilgisayarlar arasındaki bağı ya da İnternet'i kesmek değil!

Getirilerini incelediğimizde İnternet bağlantısı bir şirket için vazgeçilemez bir avantaj; kurumsal ve bireysel yaşantıda teknolojinin yaşamasında en önemli altyapı noktalarından birisi.

Tehlikelerini bilmek ve önlemlerini alarak bu risklerden korunmak ise tek çözüm.

Ağınızda Sizi Bekleyen Tehlikeler ve Risk Analizi

Güvenlik bir ürün değil, süreçtir (Bruce Schneier)

Bilgilerinizin ve ağınızın güvenliği için bir cihaz veya bir hizmet satın almak ve tüm sorununuzu çözmesini beklemek malesef gerçekçi ve uygulanabilir değil.

Tıpkı vücudumuzun sağlığı gibi bilgi ve ağ güvenliğinin de sağlığı, sağlıklı çalışırlığı belirli periyodlarda gözden geçirilmeli.

Periyodik kontroller ile desteklenen sistemlerin daha güvenli, sağlıklı ve dolayısıyla verimli çalışması söz konusudur.