Bilgi Teknolojileri Güvenlik Operasyonları v0.1 Hazırlayan: Çağlar Çakıcı – [email protected] Düzenleyen: Berkay Özuygur – [email protected] Lisans Bilgileri Copyright (c) 2016 – BESTCLOUDFOR.ME Bu döküman Çağlar Çakıcı tarafından yazılmış ve Berkay Özuygur tarafından düzenlenmiştir. Yazarların haklarına saygı duyarak her türlü kaynakta yazılması ve yayınlanması serbesttir. Bilgi Teknolojileri Güvenlik Operasyonları Bu doküman da şirketler için çok önemli olan fakat çoğu teknoloji yöneticisinin önem vermediği ve son dönemlerde kendinden sıkça bahsettiren bilgi teknolojileri güvenlik ilkeleri ve buna bağlı yapılan operasyonlardan bahsediyor olacağız. Belirli bir teknoloji departmanı yapısında ilgili görevlerde(BT Güvenlik Yönetimi, BT Sistem Yönetimi vb.) çalışıyorsanız aşağıdaki bahsettiğimiz konuları kavramanız ve anlamanız daha kolay olacaktır. Şirket içi bilgi güvenliğini iki ana başlık altında tanımlayabiliriz. Bunlardan ilki Operasyon güvenliği(Operation Security) diğeri ise Güvenlik operasyonu(Security Operations) konularıdır. Operasyon Güvenliği; Merkezi veya dağıtık yapılarda var olan ve işlenen bilginin korunması, kontrol edilmesi amaçlanmaktadır. Güvenlik Operasyonu; Periyodik görevler ile operasyonun işleyişinin güvenilir ve verimli şekilde sağlanması amaçlanmaktadır. Bu başlık altında incelenecek konular aşağıdaki gibidir: • • • • • • • • • • • • • • Minimum yetki ile kullanıcıların sadece ihtiyacını karşılayacak seviyede bilgilendirilmesi ve yürürlükte bulunan operasyonun sürekliliğinin sağlanması, Kullanıcıların sorumluluklarının belirlenmesi ve görevlerin ayrıştırılması, IT destek departmanı tarafından sağlanan geri dönüşler ile merkezi veri tabanı oluşturulması, karşılaşılan olaylar ile ilgili prosedürlerin hazırlanması, olayların sınıflandırılması ve raporlanması, Yüksek veya özel yetkiye sahip kullanıcıların yaptıkları işlemlerin takip ve analiz edilmesi Çalışanların farklı pozisyonlara atanması, Bilginin veya bulunduğu ortamın sınıflandırılması, işlenmesi, saklanması ve yok edilmesi Bilginin saklı tutulduğu medyaların yönetimi, Ekipmanların garanti, bakım ve çalışma sürelerinin takibi, Şirketin sahip olduğu yazılımlara ait lisansların takip edilmesi Olay yönetimi o Tespit o Tepki o Raporlama o Geri döndürme o İyileştirme Önleyici yöntemlerin sağlanması. (zararlı kodlar, sıfır gün zafiyetleri, servis engelleme saldırıları) Yama ve zafiyet yönetimi Değişiklik ve konfigürasyon yönetimi Esneklik ve hata toleranslarının(fault tolerance) anlaşılması Kullanıcı Yetkileri: IAM(Identity and Access Management): Güvenlik olarak en önemli konulardan biri olan fakat aynı zamanda göz ardı edilen konulardan biri kullanıcı yetkileri. Kullanıcı veya servis hesaplarının merkezi bir nokta üzerinden yönetilerek doğrulanması, yetkilendirilmesi ve takip edilmesini kapsayan süreçlerin tamamıdır. Bu süreçler içerisinde kullanıcı açılışı, hangi kaynak türüne hangi zaman diliminde erişeceği, bu tanımları yapan departmanlar arası iletişim ve prosedürler yer almaktadır. http://www.csoonline.com/article/2120384/identity-management/the-abcs-of-identity-management.html Yetkili Kullanıcılar dört farklı grupta tanımlanmıştır: • Root veya built-in Administrator Hesapları: Sistem üzerinde en yüksek yetkiye sahip kullanıcılardır. Bu kullanıcılar sıkı bir parola politikası ile yönetilmeli(mümkünse iki faktörlü doğrulama ile sisteme giriş yapılmalı), eğer sağlanabiliyor ise tek kullanımlık şifreler ile erişim imkanı sağlanmalıdır. Bu kullanıcılar 2 • • • ile uzak erişim(VPN) sağlanması engellenmeli, eğer uzak erişim gerekli ise bağlantı türünün kriptolu şekilde sağlanması gerekmektedir. Bu kullanıcıların eriştiği sistemlere ait kayıt defterleri farklı bir sunucu üzerinde toplanmalı ve analiz edilmelidir. Servis Hesapları(Service Accounts): Sistem üzerinde çalışan uygulama veya servislerin erişmesi gerektiği kaynaklara yetkili olan kullanıcı hesaplarıdır. Bu kullanıcılara sıkı bir parola politikası uygulanmalı, parolaların değiştirilme ihtiyacı bulunması durumunda bu işlemlerin gerçekleştirilme süreçleri ile ilgili prosedürler hazırlanmalıdır. Yönetici hesapları(Administrators): Bu hesaplar sadece belirli sistem veya sistemler üzerinde bakım ve destek sağlanması amacı ile oluşturulmuş kullanıcı hesaplarıdır. Bu kullanıcılara ait şifre ve yetkilendirme dağıtımı üst düzey bir yönetici tarafından onaylanması gerekmektedir. Bu yetki türü tanımlanmış kullanıcı hesapları çalışma tamamlandıktan sonra sistem üzerinden kaldırılmalıdır. Bu kullanıcılar sıkı bir parola politikası ile yönetilmeli, eğer sağlanabiliyorsa tek kullanımlık şifreler ile erişim imkanı verilmelidir. Bu kullanıcıların eriştiği sistemlere ait kayıt defterleri farklı bir sunucu üzerinde toplanmalı ve analiz edilmelidir. Power Users: Normal bir kullanıcı hesabından biraz daha fazla yetkiye sahip, yönetici hesaplarından daha az bir yetkiye sahip hesap türüdür. Örneğin; Bu kullanıcılar sahip oldukları sistem üzerine uygulama kurabilme yetkisine sahip olabilirler. Bu yetki türü tanımlanmış kullanıcı hesapları çalışma tamamlandıktan sonra sistem üzerinden kaldırılmalıdır. Bu kullanıcılar sıkı bir parola politikası ile yönetilmeli, eğer sağlanabiliyorsa tek kullanımlık şifreler ile erişim imkanı sağlanmalıdır. Sıradan veya Limitlendirilmiş Kullanıcı Hesapları: Genel olarak tanımlanmış ve herkese atanan ilk kullanıcı rolüdür. Bu kullanıcılar sadece en düşük yetki seviyesine sahip ve sadece ‘bilmeleri gerektiği kadar bilgilendirilme’ prensibine dahil kullanıcılardır. Görevlerin Ayrılması ve Sorumluluklar (Separation of Duties and Responsibilities): Bu bölümde iş görevlerine kullanıcıların atanması ve ayrıştırılması incelenerek operasyon içerisindeki birbirileri ile olan ilişkilerine yer verilecektir. • Sistem Yöneticileri (System Administrators): Sistem yöneticisi kullanıcıları yüksek yetkiler ile operasyon içerisinde yönetim ve bakım işlemlerini gerçekleştirmektedirler. Uzak ve yerel ağ üzerinde bulunan sunucular, iş istasyonları, ağ cihazları, uygulamalar ve veri tabanları üzerinde kritik işlemler gerçekleştirilmesinde önemli görevleri vardır.( işletim sistemi başlangıç sıralaması, zaman ayarları, kayıt defterleri ve parolalar). Bu role atanan kullanıcıların işe alınma sürecinde çok dikkat edilmelidir. Çünkü operasyonun işleyişi açısından bir çok varlığa yüksek yetkiler ile erişimler emanet edilmektedir. o En Az Yetki (Least Privilege): Bütün varlıklara tam erişim yetkisi tanımlamak yerine, çalışma gerçekleştirilecek sistemler üzerinde belirli servislere yetkilendirme yapılmalıdır. o İzleme (Monitoring): Bu yetkiye sahip kullanıcıların sistem üzerinde gerçekleştirdikleri işlemler kayıt altına alınmalı ve bu kayıt bilgileri farklı bir alanda yedeklenmelidir. o Görevlerin Ayrılması (Separation of Duties): Sistem yöneticisinin sisteme zarar verebilecek zararlı ve hileli aktivitelerde bulunmaması gerekir. o Geri Plan İnceleme (Background Investigation): Bu yetkinin verileceği kişiye ait sicil bilgileri incelenmeli, daha önce herhangi bir suç ilişkisinin olup/olmadığı araştırılmalıdır. o Vardiya Değişikliği (Job Rotation): Sistem yöneticisi hesabına ait farklı kullanıcıların bulunması ile olası bir aksaklık durumunda bu kullanıcının yedeklenmesi ve yapılan çalışmanın gözden geçirilmesine olanak tanır. • Operatörler (Operators): Tipik olarak mainframe bulunan data çenter alanlarında çalışan kullanıcı rollerinin tanımlanması için kullanılmaktadır. Bu kullanıcılar günlük operasyon içerisinde mainframe ait günlük işlemlerin düzenli çalışıp çalışmadığını ve çıkan problemlere müdahale edilmesi aşamasında görev almaktadır. Bu kullanıcı grubu mainfram'e sistemlerin el ve ayakları konumundadır; teyplerin yerleştirilmesi/çıkarılması ve gerçekleşen işlemlerin sonuçlarının raporlanması konusunda çalışmalar gerçekleştirmektedir. Diğer kullanıcılara göre yüksek, sistem yöneticilerine göre daha düşük seviyede bir yetkiye sahiptirler. Bu kullanıcıların gerçekleştirdiği işlemler kayıt defterleri ile takip edilmelidir. Bu kullanıcı grubunun gerçekleştirdikleri işlemlerin bazıları aşağıdaki gibidir; 3 • • • • • • • İşletim sisteminin düzgün bir biçimde ve en uygun zaman içerisinde başlatılması. Sistem olaylarının, hataların, kesintilerin ve tamamlanmış görevlerin incelenmesi Uygulamaların istediği sistem ve bilgiye erişimlerinin sağlanması Sistem üzerinde çalışan işlemlerin bekletilmesi yada sonlandırılmasını sağlayabilir. Farklı etiketlenmiş teyplerin çalıştırılmasının sağlanması. Teyplere ait etiketlerin isim değişikliği ve bu değişiklikler ile çalışabilir hale getirilmesi Port ve bağlantıların yönetilmesi Operatör grubuna ait kullanıcıların yetkileri aşağıdaki gibi tanımlanmalıdır. o o o o • • • En Az Yetki (Least Privilege): Bütün varlıklara tam erişim yetkisi tanımlamak yerine, çalışma gerçekleştirilecek sistemler üzerinde belirli servislere yetkilendirme yapılmalıdır. İzleme (Monitoring): Bu yetkiye sahip kullanıcıların sistem üzerinde gerçekleştirdikleri işlemler kayıt altına alınmalı ve bu kayıt bilgileri farklı bir alanda yedeklenmelidir. Görevlerin Ayrılması (Separation of Duties): Sistem yöneticisinin sisteme zarar verebilecek zararlı ve hileli aktivitelerde bulunmaması gerekir. Geri Plan İnceleme (Background Investigation): Bu yetkinin verileceği kişiye ait sicil bilgileri incelenmeli, daha önce herhangi bir suç ilişkisinin olup/olmadığı araştırılmalıdır. Güvenlik Yöneticileri (Security Administrators): Bu kullanıcı rolünün görevi operasyonun güvenliğinin gözlemlenmesini amaçlamaktadır. Hesap yönetimi, hassas bilgilerin etiketlenmesi, sistem güvenlik konfigürasyonları ve güvenlik kayıt bilgilerinin incelenmesi gerçekleştirmesi gereken görevlerden bazılarıdır. Operasyon içerisinde yer alan işletim sistemleri ve ağ cihazlarının barındırdığı konfigürasyonları güvenli bir şekilde uygulandığına ve çalıştığından emin olmalıdır. Bu konfigürasyonların gerçekleştirilmesi aşamasında sistem yöneticisi ile birlikte çalışmalı ve sonuçları gözlenmelidir. Bazı konfigürasyonlar sistemin çalışmasını olumsuz etkileyebilir. Bu kullanıcı rolü sistem yöneticilerinden daha az yetkiye sahip olmalı ancak sistem yöneticilerin gerçekleştirdikleri işlemleri takip edebilecek şekilde tanımlanmalıdır. Yardım Masası Personeli (Help Desk Personnel): Kullanıcılara destek verilmesi konusunda sorumlu bulunan kullanıcı rolüdür. Bu kullanıcı rolü bazen hesap yönetiminde de rol almaktadır. Örneğin: kullanıcı parolalarının yenilenmesi. Bu kullanıcıların gerçekleştirdikleri işlemler takip edilmeli ve bu konumda çalışan personelin geçmişine ait sicilin incelenmesi gerekmektedir. Sıradan Kullanıcılar (Ordinary Users): Bu kullanıcı rolü sistem üzerinde en az yetki ve kısıtlı alanlara erişim sağlayabilecek kullanıcı rolü olarak tanımlanmıştır. Özel Yetkiye Sahip Kullanıcıların İzlenmesi Konu ile ilgili olan güvenlik uzmanlarının hesaplar ile ilgili yetkileri ve atanmış oldukları rolleri düzenli olarak takip etmesi gerekmektedir. Sadece yetkiye sahip kullanıcıların kaynaklara erişmesi ve bunu belirlenen bir zaman aralığında gerçekleştirmesi gerekmektedir. Bu sayede var olan yetkiler doğrulanabilmektedir. Açıklık, Uygunluk ve Özgeçmiş İncelenmesi/Araştırılması (Clearances, Suitability and Background Checks / Investigations) Atanılacak rol veya görevlerde bulunacak kişilerin geçmişte gerçekleştirmiş oldukları eylemlerin incelenmesi bu role uygun olup/olmadıkları konusunda kuruma önbilgi sağlayacaktır. Özgeçmiş bilgisinin periyodik olarak belirli zaman aralıklarında tekrarlanması gerekmektedir. Periyodik olarak gerçekleştirilen bu çalışma kişiye olan güven seviyesinde oluşabilecek değişikliklerin izlenmesinde yardımcı olacaktır. Örneğin dolandırıcılık ile ilgili sabıkası olan bireylerin finans ile ilgili bir departman veya görevde çalıştırılmaması konusunda şirkete bir uyarı sağlayarak önlem almasına yardımcı olabilir. Kullanıcı Hesaplarının Doğrulanması(Account Validation): Kullanıcı hesaplarının aktivitelerinin incelenmesi kullanılmayan hesapların bulunmasında yardımcı olmaktadır. Kullanılmayan devre dışı hesaplar silinmelidir. Geçici olarak gerçekleştirilen çalışmalar için oluşturulan kullanıcı hesapları eğer kullanılmıyor ise devre dışı bırakılmalıdır. Departman yöneticileri kullanılmayan kullanıcı hesaplarını bildirmeli ve rapor etmelidir. Günlük yaşamda genel olarak bu sürecin işletilmesi aksatıldığı için güvenlik ile ilgili şirkette rol alan kişinin periyodik olarak kullanıcı hesaplarını gözden geçirmesi gerekmektedir. 4 Görev Değişikliği (Job Rotation): Görev değişikliği ufak çaplı işletmelerde genel olarak uygulanması zor bir yöntemdir. Ancak büyük işletmelerde uygulanan görev değişiklikleri, bu rolde bulunan kullanıcının yetkiyi kötüye kullanmasının önüne geçilmesi ve oluşabilecek risklerin minimum seviyeye çekilmesine yardımcı olacaktır. http://extras.sltrib.com/Utah_Data_Center/security_clearance.pdf Hassas bilgilerin işaretlenmesi, işlenmesi, saklanması ve yok edilmesi (Marking, Handling, Storing and Destroying of Sensitive Information) Fiziksel varlıkların etiketlenmesi kadar, sistem üzerinde bulunan bilgilerin işaret ve etiketlenmesi de büyük önem taşımaktadır. Bilgisayar ile işletilen bilgilerin, gelecekte bunu zorunlu hale gelmesi konusunda çalışmalar gerçekleştirilmektedir. Ancak erişim denetimleri arasında bu konunun uygulanabildiği MAC(mandatory access control) yöntemidir. DAC(discretionary access control) tipik olarak bilginin etiketlendirilmesini zorunlu kılmaz ve bilginin başka bir sisteme taşınması durumunda yok olmasına sebebiyet vermektedir. Bilginin değerinin finansal olarak tespit edilmesi zor bir konudur. Hatta bilginin sahibinin bile bu konu hakkında fikir yürütmesi ve değer belirlemesi oldukça karmaşık bir hal almaktadır. Fiziksel varlıklardakinin aksine bilginin değerinin belirlenerek taslak haline getirilmesindeki güçlüklerden bazıları; bazen aynı sistem üzerinde bulunan bilginin önem seviyesi ve korunması gereken yöntemin birbirinden farklı olması gibi farklı sonuçlar doğurabilir. Bu gibi zorlukların önüne geçilebilmesi için bilginin sınıflandırılması (information classification) sıklıkla kullanılmaktadır. Bilginin sınıflandırılması konusunda, hangi bilginin hangi yöntemle korunmasını; gizlilik seviyesine göre belirlemektedir. Bilgiler gizlilik seviyesine göre belirli bir sınıflandırma yöntemine göre ayrıştırılabilir (Çok Gizli, Gizli ve Public). Kurumun sahip olduğu bilgi zaman içerisinde önem seviyesi olarak değişikliklere uğrayabilir. Daha öncesinde çok gizli bir bilgi zaman içerisinde herkes tarafından erişilebilir bir hale gelebilir. Bilginin bu şekilde sınıflandırılması şirketin yapacağı yatırımlarda fayda sağlamasında olanak tanır. Örneğin günlük olarak yedeklenen bir bilginin önem seviyesinin düşmesi durumunda kullanılan kartuş sayısının azalması veya yapılacak yeni storage yatırımında düşük seviyeye sahip bu bilginin yedeklenmesi gerekmediği için daha uygun bir storage seçimi yapılmasına olanak sağlanır. Diğer bir çok alanda olduğu gibi bilginin sınıflandırılma konusunda dökümante edilmeli ve güncelliği sağlanmalıdır. http://csrc.nist.gov/publications/nistpubs/800-60-rev1/SP800-60_Vol1-Rev1.pdf Medya: Hassas bilgilerin saklanacağı fiziksel veya mantıksal alanlardır. Güvenlik uzmanları yedeklenen şifrelenmemiş medyalar ile ilgili sürekli endişe duymaktadır. Bu sebepten ötürü medyaların taşınması ve saklanması büyük önem taşımaktadır. İşaretleme(Marking): Kurumun sahip olduğu bilgileri işaretlenmesi için uyguladığı politikaların bulunması gerekir. Kullanılan teypler veya storage medyaları fiziksel olarak etiketlenmelidir. Bu teypler kriptolu olarak saklanmalıdır. 5 İşlemek (Handling): Sadece kurum içerisinde yetkili kişilerin bu bilgilere erişebilmesi sağlanmalıdır. Bilginin işlenmesi ile ilgili konular politikalar ve prosedürler ile dökümante edilmelidir. Bu konu ile ilgili kişilerin politika ve prosedürler ile eğitilmesi ve bu bilgiler ile işleme ve işaretleme çalışmalarını gerçekleştirmesi beklenir. Verinin işlenmesi aşamasında oluşan kayıtlar düzenli olarak takip edilmelidir. Saklama (Storing): Hassas medyalar herkes tarafından erişilebilir bir alanda bulunmaması gerekir. Yedekleme medyaları kriptolu ve güvenli bir alan içerisinde muhafaza edilmelidir. Tercihen manyetik alandan ve yangından etkilenmeyen ve erişim denetimi uygulanan kasa tipleri içerisinde saklanmalıdır. Oluşabilecek bir yıkım durumuna karşı farklı bir ortamda muhafaza edilen medyalar ile oluşan uzaklık 25km uzak yada yakın olmaması gerekir. Yok etme (Destruction): Saklanan medyalar belirli bir süreden sonra ihtiyaç duyulmayacak hale gelebilir veya bozulabilir. Bu medyaların gerekliliği gözden geçirilerek tekrar kullanılabilir veya yok edilmesi gerekebilir. Çalışma üçüncü bir kurum veya şirket bünyesinde gerçekleştirilebilir. Çalışmanın gerçekleştirilmesi politika ve prosedürler ile sağlanmalıdır. Bu medyaların yok edilmesi ile ilgili çalışma kayıt altına alınmalıdır. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf Kayıt Tutma(Record Retention): Bilgi ve datalar ihtiyaç olduğu sürece saklanmalıdır. Kurumlar bağlı bulundukları endüstri standartları veya yasaların belirttiği süre boyunca saklamalıdır. Güvenlik uzmanlarının bilginin saklandığı alanı ve türünü bilmesi gerekir. Belirli zaman aralıkları ile elde bulunan bilgi gözden geçirilmeli, ihtiyaçlar doğrultusunda saklanmalı veya yok edilmelidir. Örneğin finansal bilgiler 10 yıl kadar bir süre oluşabilecek hukuki durumlara karşı saklanmalıdır. Yada sisteme ait kayıt bilgileri 6 ay kadar bir süre saklanarak daha sonrasında yok edilmelidir. Güvenlik uzmanları aşağıdaki konuların sağlandığından emin olunmalıdır. • • • Organizasyonun sahip olduğu ve tuttuğu kayıtların tamamı hakkında bilgisi olması gerekir Kayıt altında tutulan bilginin dökümante edilmesi ve güncel tutulması gerekir Gerekli görülmeyen kayıtların tutulmadığından emin olması gerekir Düzgün şekilde analiz edilmeyen bilgi, saklandığı alanda gereksiz yer tutabilir, bilginin işlenmesi aşamasında performans kaybına sebebiyet verebilir. http://www.acc.com/vl/public/ProgramMaterial/loader.cfm?csModule=security/getfile&pageid=20241 6 Kullanılan Kaynakların Korunması (Employ Resource Protection) Güvenlik konusu kurum içerisinde kullanılan varlıkların korunmasına yönelik çalışmaların gerçekleştirilmesine olanak sağlamaktadır. Bütün varlıkların korunması genelde mümkün olmamakta ve çok yüksek maliyetler oluşturmaktadır. Bu kaynakların korunması aşamasında şirket için gerçekten yüksek değere sahip olan varlıkların belirlenmesi ve buna uygun koruma yöntemlerinin geliştirilmesi gerekmektedir. Soyut ve Somut Varlıkların Karşılaştırılması(Tangible versus Intangible Assets): Şirketin sahip olduğu varlıklar soyut veya somut olabilir. Somut varlıklar fiziksel oldukları için belirli bir kategori altında değerlendirilebilir. Soyut varlıklar fiziksel olmadıkları için kategori edilmeleri oldukça zordur. Örneğin fiziksel bir sunucu somut varlıktır, içerisinde bulunan bilgi ise soyuttur. Bu varlıklara değer biçilmesinin farklı yöntemleri bulunmaktadır. Fiziksel Varlıkların Korunması (Protecting Physical Assets): Fiziksel varlıklara değer biçilmesi daha kolaydır çünkü finansal değerinin ne olduğu bellidir. Örneğin IT departmanına bağlı bulunan son kullanıcı (masaüstü ve dizüstü) bilgisayarlardan sunuculara kadar varlıklara değer biçilebilir. Fiziksel varlıkların korunması aşamasında potansiyel hasarlar ve hırsızlık konuları ele alınmaktadır. IT departmanı varlıkların korunması aşamasında hem sahiplik hem de sorumlu kişi rolünü üstlenmektedir. Varlıkların satın alınması, bakım ve lisanslama aşamalarının tamamına IT departmanı yardımcı olmaktadır. Güvenlik uzmanının bu aşamadaki rolü, varlıklara sahip olan kişilerin belirlenmesi ve doğru değerin biçildiğinden emin olunmasıdır. Ayrıca bu varlıkların uygun şekilde korunup muhafaza edilmesinde sorumlulukları arasında yer almaktadır. Tesisler (Facilities): Bilgi sistemleri altyapısı ve varlıklarının barındırıldığı alanlar için kullanılan tanımdır. Sistem odaları bu konu ile ilgili uygun örnek gösterilebilir. Yangın tespit ve önleme sistemleri ile varlıkların ve çalışanların korunması gerekmektedir. Bu alanın ısı seviyesinin ölçülmesi, belirli bir ısı seviyesinde tutulması, nem seviyesinin ölçülmesi ve belirli bir seviyede tutulması önerilmektedir. Ayrıca su baskını ve sel gibi felaketlere karşı gerekli önlemlerin alınmasında bu alanlarda uygulanması gereken kontrollerden bazılarıdır. IT altyapısındaki bir çok cihazın elektrik altyapısı ile çalıştığı düşünüldüğü zaman bu alanın elektrik ile ilgili altyapısının uygun şekilde tasarlanması ve yedeklilik büyük önem arz etmektedir. Sistem odası içerisinde bulunan envanter etiketlenmeli, dökümante edilmeli ve bu bilgilerin düzenli olarak güncellenmesi/gözden geçirilmesi gerekmektedir. Donanım(Hardware): Bilgi sistemleri altyapısında çalışan donanımların korunması; erişilebilirlik, bütünlük ve gizlilik ilkelerinin sağlanabilmesi için büyük önem taşımaktadır. Bu alanlara sadece yetkili kişilerin erişebilmesi, bu alanlar dışında bulunan taşınabilir donanımların masa kilitleri ile sabitlenmesi, yazıcıların yetkili kullanıcıların bulunduğu bir alanda barındırılması, ağ cihazlarının kilitli kabinler içerisinde muhafaza edilmesi gerekmektedir. Ayrıca bu donanımların bulunduğu alanların kapalı devre kamera sistemleri ile takip edilmesi önerilmektedir. 7 Medya Yönetimi(Media Management): Organizasyona ait bilgiler çeşitli medya tipleri üzerinde bulunabilir. Medya tipleri soft-copy ve hardcopy olarak ikiye ayrılabilir. Soft-copy medyalar manyetik, optik ve solid state olarak sınıflandırılır. Manyetik medyalar; floppy diskler, teypler ve sabit sürücülerdir. CDROM, DVDROM ve Blueray diskler optik medyalara örnek gösterilebilir. Solid-state medyalar ise USB depolama birimleri ve memory kartları içerir. Hard-copy medyalara örnek ise kağıtlar ve mikro fişlerdir(microfiche) Hassas veya gizli bilgiye sahip medyalar kriptolu olarak saklanmalıdır. Bu medyaların kriptolanması için günümüzde bir çok seçenek mevcut durumdadır. Birçok sabit disk üreticisi artık halihazırda kriptolama işlemini sağlayabilen teknolojilere destek vermektedir. Yedekleme teypleri, optik sürücüler ve USB depolama birimleri kriptolamaya destek vermektedir. Bu aşamada güvenlik Uzman’ının kullanılması uygun olan kriptolama çözümü konusunda yardımcı olması gerekmektedir. Bazı durumlarda hassas bilgiler belirli bir noktadan başka bir noktaya ağ üzerinden taşınabilir. Elektronik ortamda taşınması planlanan bilgiler ulaşması gereken uç noktaya taşınırken bir çok ağ katmanı ve cihaz üzerinden geçmektedir. Bu trafiği dinleyen bir saldırgan gönderilen bilgiyi ele geçirebilir. Bu sebepten ötürü bilgi ağ üzerinde taşınıyor ise kriptolu olarak taşınması gerekmektedir. Bazı medya tipleri için özel güvenlik önlemlerinin sağlanması gerekebilir. Örneğin kullanılmakta olan cihazlara ait yazılımlara erişim denetimi uygulanması, herkes tarafından erişilebilir durumda olmaması gerekir. Yazılım içerisine zararlı kod enjekte edilebilir, arka kapı yerleştirilebilir, virüs ve trojan tipi tehditlere maruz kalabilir. Bu medyaların aralıklarla bütünlüklerinin kontrol edilmesi bu tarz tehditlerin önüne geçilmesine yardımcı olacaktır. Medyaların kurulum ve bakımları yine en az yetki seviyesine sahip kullanıcılar ile sağlanmalı ve bu görevi üstlenen kişilerin görevleri ayrıştırılmalıdır. Yazılımlara ait orijinal kopyalar farklı bir yazılım ile sınıflandırılmalı ve saklanmalıdır. Bu yazılım üzerinden orijinal kopyaların, objelerin ve kaynak kodların bütünlüğü kontrol edilmelidir. İşletim sistemi üzerinde kurulu bulunan yazılımlara ait dosyalara yetkisiz erişim sağlanması ve değişiklik yapılması engellenmelidir. Sistem üzerinde çalışan yetkisiz kullanıcıların dosyaları sadece okuma ve yazma haklarının olması gerekmektedir. Bu yetki seviyesi ile sistem dosyalarına, kütüphane ve çalıştırılabilir içerikte kazara veya kasti olarak gerçekleştirilecek işlemler engellenir. Örneğin sistem üzerinde çalışan zararlı bir kod, aktif kullanıcının yetkileri dahilinde işlemi gerçekleştirmeye çalışacağı için üst düzey bir yetki ile bu işlemleri gerçekleştiremeyecektir, dosyaların silinmesi, değiştirilmesi veya yeni bir dosya yaratılmasının önüne geçecektir. Tak/Çıkar Medyalar(Removable Media): Harici disk sürücüleri veya USB flash depolama birimleri organizasyonların bilgi kaybetmesi konusunda büyüyen bir risk halini almaktadır. Kurumun kriptolu medya kullanımını politikalar ve prosedürler ile bildirmesi çoğu zaman kullanıcıların kendi sahip oldukları diskleri kullanmasının önüne geçememektedir. Bu konu bir çok probleme davetiye çıkarmaktadır: • • Kurum sahip olduğu bilginin ne zaman dışarı çıkartıldığını tespit etmekte zorluklar yaşamaktadır Kurum bilgi kullanımının ihlal edilip/edilmediği konusunda fikir sahibi olamayacaktır Bu ihlallerin önüne geçilebilmesi için güvenlik Uzman’ının aşağıdaki önerilerde bulunması gerekir. • Bilgi koruma yöntemi olarak aşağıdaki yöntemler uygulanmalıdır o USB veya diğer bağlantı noktaları(portlar) izlenmeli veya kullanımı engellemelidir o DVD, Blu-ray ve diğer yazdırma cihazları izlenmeli veya kullanımı engellenmelidir • Eğer bu medyaların kullanımı gerekli ise aşağıdaki çözümler önerilmelidir. o Kriptolama işlemi zorunlu hale getirilmeli ve güçlü bir erişim denetimi uygulanmalıdır o Transfer edilen bilgiler kayıt altına alınmalı ve izlenmelidir o Bu cihazlara ait envanter bilgileri tutulmalıdır o Eğer gerekli ise uzaktan kazıma(wipe) işlemi gerçekleştirmeye elverişli teknolojiyi barındıran ürünler kullanılmalıdır o Eğer gerekli ise cihazın uzaktan yerinin tespit edilmesini sağlayan teknolojiyi barındıran ürünler tercih edilmelidir. 8 Taşınabilir medya kullanımı beraberinde bir çok güvenlik problemi getirmektedir. Güvenlik uzmanının uygun çözümü önermesi ve bilginin kaybolması veya çalınması durumunda oluşabilecek riski bilmesi gerekmektedir. Arşiv ve Çevrimdışı Depolama(Archival and Offline Storage): Yedekleme ve arşivleme bilginin saklanması aşamasında iki farklı metot olarak kullanılmaktadır. Yedekleme; yıkım oluşması durumunda bilginin tekrardan yüklenebilmesi için basit ve kullanışlı bir yöntemdir. Yedekler sistem kullanıcı tarafından alınmış normal seviyedeki bilgilerdir. Geçmişe yönelik, sıklıkla kullanılmayan ve ihtiyaç halinde erişilmesi gereken bilgiler ise arşiv kategorisinde değerlendirilmektedir. Bu bilgilere erişim kısıtlanmalı, yetkili kişiler tarafından erişim sağlanmalı ve bu alanlarda saklanan bilgiler periyodik olarak gözden geçirilmelidir. Yedekler veya arşivler tekrardan canlı sistem üzerine yüklenerek kullanılması gerekebilir. Bu bilginin sadece saklanması yeterli değildir. Belirli prosedürler ile bu verilerin tekrardan kullanılabilir olduğu kontrol edilmelidir. Gerçekleştirilecek testler ile geri döndürülecek bilginin ne kadar sürede işleneceği bilgisini elde edebilir ve duruma uygun yedekleme çözümü kullanabiliriz. Ayrıca bu testler geçmişe yönelik alınan yedeklerin güncellenen sistemler üzerinde kullanılabileceği konusunda fikir sahibi olunmasına yardımcı olacaktır. Yok etme/Tekrar Kullanım(Disposal / Reuse): Eğer bir medyanın farklı bir bilgi saklama amacı ile tekrar kullanılması gerekiyor ise, içerisinde bulunan artık bilginin tamamen temizlenmesi gerekmektedir. Basit işlemlerle silinen veya biçimlendirilen medyalar aslında bilgiyi gerçekten yok etmemektedir. Medyanın içerisindeki verinin silinmesi veya biçimlendirilmesi sadece disk üzerinde bulundukları alanın işaretlenme bilgilerini temizlenmesini sağlamaktadır. Çeşitli yazılım ve teknikler ile bu bilgilere erişim sağlayan bir çok teknolojik imkan bulunmaktadır. Özel donanımlar(degaussers) ile manyetik medyalar temizlenmektedir. Bu donanım, medyalara farklı enerji yüklemesi uygulayarak manyetik alanları üzerindeki verinin bozulmasını sağlamaktadır. Tekrar kullanılacak medyalar için uygun donanımın kullanıldığına emin olunması gerekir. Bazı donanımlar medyaları tamamen kullanılmaz bir hale getirebilmektedir. Geliştirilen bazı yazılımlar medya üzerindeki bilginin tamamen yok edilmesine ve tekrardan kullanılmasını sağlayabilir. Manyetik medya üzerinde bulunan alanlara rastgele anlamı olmayan değerler yazılmasını sağlayarak medya tekrar kullanılabilir. Üzerine yazma işlemi sadece-okuma(read only)optik medya harici bir çok elektronik medya cihazı üzerinde işe yaramaktadır. Bu işlemin az sayıda uygulanması verinin tekrardan okunabilir hale gelmesine sebebiyet verebilir. Hassas olmayan bilgiler için bu işlemin 1 defa uygulanması yeterlidir. Daha kritik seviyede bilgilerin saklandığı medyalarda bu işlem defalarca uygulanmalıdır. Yok etme işlemi metotlarından bazıları; parçalama, yakma, öğütme ve toz haline getirilmesi medyalara uygulanan fiziksel yöntemlerdir. Degaussing sadece medyanın tekrar kullanılmasını sağlayan bir yöntem değil aynı zamanda yok edilmesinede kullanılan bir yöntemdir. Parçalama ve yakma işlemi katı olmayan medyaların yok edilmesinde kullanılan bir yöntemdir. Bazı parçalama cihazları optik diskler gibi katı medyalarında yok edilmesini sağlamaktadır. Bu işlemleri gerçekleştiren sertifikalı kuruluşlar bulunmaktadır. Medyaları kurumdan teslim alarak yetkili personel gözetiminde yok edilmesini sağlamaktadırlar. https://www.nsa.gov/ia/_files/government/MDG/NSA_CSS-EPL-9-12.pdf 9 Varlık Yönetimi(Asset Management): Varlık yönetimi bilgi güvenliğinin bir temelidir. Eğer bir kurum sabit sürücüler, sunucular veya sistemler için hesaplama yapmaz ise kaybettiği bilginin ne olduğunu bilemeyecektir. Varlık sistemleri ayrıca erişim denetimi içinde kullanılmaktadır.(Network Authentication/Access Control – NAC). Güvenlik uzmanı olan kişinin varlık yönetimi konusunda gözden geçirmesi gereken iki konu bulunmaktadır. Yazılım ve ekipman varlık yönetimi. Yazılım Lisanslama(Software Licensing): Korunması gereken önemli varlıklardan biride yazılımlardır. Orijinal yazılımlar ve lisanslar, kurumun koruması gereken varlıklardandır. Kurum içerisinde çalışan kişiler etik olmayacak şekilde kuruma ait illegal kopyaları kendi faydaları için kullanabilmektedir. Güvenlik uzmanlarının bu aşamada uygulaması gerekenler aşağıdaki gibidir. • Bu varlıkların fiziksel kontroller ile saklanması • İllegal kopyalamanın engellenmesi • İllegal dağıtımın engellenmesi Yazılımlara ait kopyalar ve lisanslar, yazılım veya belirlenen sorumlu bir kişi tarafından kontrol edilmeli, aralıklarla ile sistemler üzerinde yazılımlara ait envanter çalışması gerçekleştirilmelidir. Yapılan bu envanter çalışması izinsiz yazılım ve lisans kullanımının tespit edilerek önlenmesine yardımcı olacaktır. Ekipman Yaşam Döngüsü(Equipment Lifecycle): Kurum içerisinde bulunan ekipmanlar bir çok bilgi ve görevin işlenmesinde etkin rol oynar. Ancak ekipmanlarında bir ömür süresi bulunmaktadır. Şirket bünyesinde işlenen bilginin artması, ekipmanların üzerine yüklenen görevleri yerine getiremeyecek kapasite üst sınırına ulaşması veya destek sürelerinin bitmesi yaşanılan durumlar arasında yer almaktadır. Güvenlik uzmanlarının ekipmanlara ait yaşam döngüsünü iyi inceleyerek duruma göre uygun çalışmayı gerçekleştirmesi beklenir. Konu ile ilgili bilgiler aşağıda yer almaktadır. • • • • İhtiyaçların Belirlenmesi o Kurum için belirlenen güvenlik ihtiyaçlarını karşılayıp/karşılanmadığı o Güvenlik özelliklerinin bulunduğu cihazların uygun fiyata sağlandığı o Satın alınması yapılacak ürünün, organizasyonun mimarisine uygun olup/olmadığı Varlıkların edinilmesi ve implementasyonu o Ekipmandan talep edilen güvenlik özelliklerinin sağlanması o Ekipman üzerine uygun yazılım, konfigürasyon ve özelliklerin uygulanması o Ekipmanın belirli standartlar ve sertifikasyonları sağlayıp sağlamadığı o Ekipman listesine kayıt edilmesi Operasyon ve Bakım o Kuruma uygun güvenlik özelliklerinin uygulanması ve analiz edilmesi o Ekipmanın zafiyetlerinin analizi o Güvenlik ile ilgili konularda ürüne sağlanan destek durumu o Cihaz üzerine uygulanan konfigürasyonların değişiklik yönetimi ile takip edilmesi Yok etme ve Devre Dışı Bırakma o Ekipmanın güvenli bir şekilde temizlendiğinden veya yok edildiğinden emin olunması o Devre dışı bırakılan veya operasyondan çıkartılan ekipmanı envanter listesinde güncellenmesi 10 Olay Müdahale Yönetimi(Manage Incident Response): Güvenlik uzmanlarının operasyon içerisinde çalışan bir çok güvenlik teknolojisini anlamak ve kavramaktan sorumludur. Ayrıca operasyon içerisinde gerçekleştirilen; değişiklik, konfigürasyon, olay ve problem yönetimi ile ilgili konulara da vakıf olması gerekmektedir. Olay Yönetimi(Incident Management): Oluşan ihlallerin hızlıca tespit edilmesi ve adreslemesi olay yönetiminde çok önemli bir yer almaktadır. Potansiyel oluşabilecek vakalara karşı önleyici önlemlerin alınması ve yayılmasını engellemek hızlı tespit ve adresleme ile sağlanabilmektedir. Başarılı bir olay yönetimi için; insan, işlem ve teknolojinin kombine edilmesi gerekmektedir. Olay yönetimi için; bu iş ile ilgili tecrübesi bulunan personelin görev alması ve uygulanacak işlemi teknoloji ile harmanlayarak hızlı ve düzgün sonuç alınması gerekir. Daha önce yaşanmış olaylar düzgün bir biçimde dökümante edilerek gelecekte yaşanılacak benzer olaylarda uygulanması gereken çözümler, prosedürler ile tanımlanmalıdır. Olayın türü ve cinsine göre farklılıklar olabilir, her olay için farklı bir prosedür hazırlanması önerilmektedir. Hazırlanan bu doküman ve prosedürler gelecekte karşılaşılacak olaylara müdahaleyi hızlandırmasının yanında en doğru çözümün uygulanmasında kuruma yol gösterecektir. Güvenlik ölçekleri, ölçümler ve raporlama(Security Measurements, Metrics, and Reporting): Güvenlik ölçekleri kurumun bulunduğu güvenlik seviyesinin tespit edilmesinde büyük önem taşımaktadır. Ölçümler ise kurumun uyguladığı güvenlik teknolojilerinin ne seviyede olduğunu belirlemede rol oynar. Bir çok güvenlik teknolojisi ölçüm ve ölçekleri desteklemektedir. Saldırı tespit ve önleme sistemleri tespit edilen ve engellenen saldırılar ve bunları gerçekleşme sürelerini bizlere bildirebilir. Güvenlik duvarları yapılan saldırının hangi IP adresi üzerinden tekrarlandığı veya diğer atak türleri hakkında bize bilgi verebilir. E-posta güvenliğini sağlayan bir ürün, kuruma gönderilen kaç adet spam mesaj olduğunu, kaçta mesajın engellendiğini, kaç tanesinin tespit edildiğinin bilgisini sağlayabilir. Bir çok güvenlik ürünü bu gibi istatiksel bilgileri bizimle paylaşabilir. Bu istatiksel bilgilerin kurum yöneticileri ile paylaşmak, kuruma yapılacak yatırımlar konusunda bir yol izleme yöntemi olabilmektedir. Raporlama çalışmaları güvenlik operasyonunun başarılı bir şekilde ilerlemesine yardımcı olacaktır. Teknik detaylı raporlar, uzmanlarca ve operasyonu yöneten kişilerce değerlendirilmelidir. Yöneticilere ise daha az teknik bilgi içeren, servislerin şuanda bulundukları durumu belirten ve grafik ağırlıklı raporlar sunmak daha yardımcı olacaktır. Bu bilgilerin raporlanması, kurumun veya verilen hizmetin durumuna göre zaman farklılıkları gösterebilmektedir. Yönetimin belirlediği süreler; yıllık, aylık, haftalık ve bazen günlük olabilmektedir. Güvenlik Teknolojilerinin Yönetilmesi(Managing Security Technologies): Bir çok büyük kurumsal şirkette çok sayıda güvenlik teknolojisi bulunabilmektedir. Bu teknolojilerin uygun bir şekilde bakımının yapılması ve yönetilmesi gereklidir. Kullanılan teknolojinin korudukları varlık veya bilgiler kritik seviyede olabilmektedir. Ayrıca bu teknolojilerde oluşabilecek hatalara karşı uyarı mekanizması bulunması ve sorumlu kişilere bilgilendirme mesajlarının iletilmesi gerekir. İletilen bu mesajlar ile oluşan olay veya duruma göre çok hızlı aksiyon alınması sağlanabilir. 11 Sınır Kontrolleri(Boundary Controls): Güvenlik uzmanlarını ilgilendiren önemli güvenlik teknolojilerinden biri sınır kontrolleridir. Sınır kontrolleri; bir veya birden fazla güvenli ve güvensiz varlığın arasında bulunabilir. Sınır kontrollerine örnek olarak güvenlik duvarları, yönlendiriciler(routers), proxy veya diğer güvenlik teknolojilerini gösterebiliriz. Benzer teknolojiler çalışan envanter üzerinde farklı işlemleri korumak için kullanılabilmektedir. Örneğin işletim sisteminin çekirdeğinde çalışan işlemler ile son kullanıcının gerçekleştirdiği işlemler aynı zararlı içerik yazılımı ile güvenli hale getirilebilmektedir. Güvenlik operasyonlarında bu teknolojilerin gerçekten düzgün bir biçimde kurgulandığına ve takip edildiğine emin olmak gerekmektedir. Güvenlik duvarlarında veya erişim denetimi listelerinin titizlikle düzenlendiği, oluşturulan kuralların diğer varlıkları olumsuz etkilemediği ve performans kaybına sebebiyet verebilecek bir konfigürasyon bulunup bulunmadığı operasyon güvenliğinden sorumlu kişi veya kişilerce takip edilmelidir. Tespit(Dedection): Saldırı tespit ve önleme sistemleri, anlık veya an’a yakın bir sürede gerçekleşen saldırıları analiz edebilme yetisine sahip teknolojilerdir. Saldırı tespit sistemleri(IDS) sadece oluşan saldırının tespit edilmesi ve konu ile ilgili sorumlu kişilere uyarı gönderebilmesini sağlamaktadır. Saldırı önleme sistemleri(IPS) ise sorumlu kişilere uyarı göndermenin yanı sıra oluşan saldırının tespit ve engellemesinde rol oynamaktadır. Saldırı tespit/önleme sistemleri ağ ve sunucu seviyesinde bulunabilmektedir. Ağ temelli saldırı tespit/önlem sistemleri, ağ trafiğini izleyerek çalışır. Sunucu tabanlı saldırı tespit/önleme sistemleri ise sunucu üzerinde çalışan işlemleri ve kayıt defterlerini inceleyerek çalışmasını gerçekleştirir. Saldırı tespit/önleme sistemlerinde dikkat edilmesi gereken bir konu ise cihazın konumlandırılmasıdır. Saldırı önleme(IDS) sistemleri genel olarak ağ trafiğinin üzerinden geçmesini zorunlu kılacak bir alandan bulundurulmaz. Oluşabilecek bir ihlal durumunda saldırı gerçekleşir ve sadece bu saldırının gerçekleştiği bilgisi ulaştırılır. Saldırı önleme sistemleri(IPS) benzer şekilde konumlandırılabilir. Ancak saldırı tespit sistemleri(IPS) genellikle ağ trafiğinin tam ortasına konumlandırılır. Bu ağ trafiğinin tamamen izlenmesine ve oluşabilecek saldırıların engellenmesine yardımcı olacaktır. Ancak bu konumlandırma işlenen trafiğin incelenmesi sebebi ile gecikmelere sebebiyet verebilmektedir. Saldırı tespit sistemleri aşağıda belirtilen özelliklerle çalışabilmektedir: • İmza temelli: Saldırı tespit/önleme sistemine ait veri tabanında bulunan ve bilinen saldırılar ile trafiğin karşılaştırılması • Protokol anormalliği temelli: Protokollerin çalışma prensiplerini belirleyen RFC dokümanlarında bildirilen çalışma şeklinin dışına çıkan trafiğin tespit edilmesi • İstatiksel anormallik temelli: Ağ trafiğinde herhangi bir engelleme yapılmadan sadece dinlenmesi ve normal trafiğin tespit edilmesi. Daha sonrasında engelleme özelliğini devreye alarak normal trafik ile karşılaştırılarak anormalliğin tespit edilmesi amaçlanmaktadır. Günümüz teknolojilerinde bu temel özelliklerden bir veya birden fazlası kombine edilmektedir. Bazı durumlarda IDS ve IPS sistemleri hatalı sonuçlar üretebilmektedir. Normal bir trafiği zararlı bir içerik olarak tespit edebilir(false-positive) veya zararlı bir içeriği normal bir trafik olarak algılayarak geçmesine izin verebilmektedir(false-negative). Bu tarz durumların önüne geçilebilmesi için bu ürün ailesinin düzgün şekilde konfigüre(tuned) edilmesi gerekmektedir. Bu ürünlere ait çıktılar düzgün bir biçimde takip edilmesi ve gerekli önlemlerin alınması gerekmektedir. 12 Kötü amaçlı yazılım sistemleri(Anti-Malware Systems): Günümüzde bu yazılımlar kurum içerisinde birden fazla alana entegre edilerek çalışabilmektedir. İstemciler, e-posta sunucuları ve anahtar noktada bulunan ağ geçitleri veya birleşik tehdit yönetim(UTM) teknolojileri üzerinde çalışabilmektedir. Saldırı tespit/önleme, içerik filtreleme ve güvenlik duvarları ile de entegre çalışabilmektedirler. Kötü amaçlı yazılım sistemlerinin efektif olarak kullanılması için güncel veri tabanına sahip olmaları ve aktif olarak sistem üzerinde çalıştıklarından emin olmak gerekmektedir. Bu yazılımların sisteme yeni bağlanan medyaları ve e-posta mesajlarını izlemesi, belirli zaman aralıkları ile sistemi gözden geçirmesi operasyona fayda sağlayacaktır. Güvenlik olay bilgilerinin yönetimi(Security Event Information Management): Güvenlik ile ilgili oluşan kayıtların anlık olarak izlenmesi operasyonun düzgün bir şekilde ilerleyebilmesi için gereklilik arz etmektedir. Sistem audit kayıtları operasyonun işleyici için değerli bilgiler barındırabilir ancak bu kayıtlar sorumlu kişilere bildirim yapamaz ve farklı sistemlerde oluşan kayıtların karşılaştırmasını gerçekleştiremezler. Güvenlik ile ilgili kayıt bilgileri genel olarak başarılı ve başarısız erişim bilgilerini, servis hataları ve benzer bilgileri bize sunmaktadır. Tek bir sistem üzerinden bu kayıt bilgilerinin tutulması, saklanan bilginin disk alanı üzerinde fazla yer tutmasına ve gerekli olan bilgiye erişim sağlanması aşamasında performans kayıplarına yol açacaktır. Örneğin başarılı erişimlerin kayıt altına alınması bazı kurumlarda gerekli görülmemektedir. Kayıt bilgilerinin bir diğer dezavantajı ise sadece tek bir sistem için kayıt üretmekte olmalarıdır. Birden fazla sistemde oluşan hatanın tespit edilmesi veya bir olayın geriye dönük bir biçimde incelenmesine olanak sağlamamaktadır. Bu sorunlara çözüm olarak güvenlik olay bilgilerinin yönetimi devreye girmektedir. Bu teknoloji, farklı türdeki sistemlerin bir çoğundan gelen kayıt bilgilerinin toplanması, karşılaştırılması ve analiz edilmesinde bizlere hızlı ve pratik çözümler üretmektedir. Ayrıca anlık oluşan olayların izlenme ve takip edilmesi konusunda operasyonu yöneten kişilere kolaylık sağlayacaktır. Bu teknoloji ayrıca geçmişe yönelik bir çok farklı sistem ile ilgili raporların oluşturulmasında yardımcı olmaktadır. Kayıt yönetim sistemleri(log management systems) benzer özellikleri barındırmaktadır. Genel olarak SEIM çözümleri ile benzer özellikleri sağlasalar da genel olarak geçmişe yönelik raporların oluşturulmasından kullanılmaktadır. En uygun kullanım biçimi ise Kayıt yönetim sistemleri ve SEIM çözümlerinin bir arada kullanılması olacaktır. Bu çözümler üzerinde saklanan kayıt bilgilerinin yedeklenmesi ve arşivlenmesi gerekmektedir. Bir çok SEIM ürünü kayıtların incelenmesi ve rapor oluşturma işlemlerinde belirli kapasitelere sahiptir. 30 ile 180 gün arasında bulunan kayıtların aktif disk alanında bulundurulması. Daha uzun süreli kayıtların farklı bir disk alanında bulundurulması, daha eski kayıtların ise arşivlenerek başka bir alana taşınması gerekmektedir. Daha sonrasında ihtiyaç bulunmayan eski kayıt bilgilerinin kurumun prosedürüne uygun şekilde silinmesi veya yok edilmesi gerekmektedir. SEIM çözümleri şirketlerin ölçümleri yapabilmesine ve sağlaması gereken standartlardaki uyumluluk seviyesine ulaşabilmesi için gereklilik göstermektedir. 13 Yanıt(Response): Bir olayın tespit edilmesinin ardından çevreleyici bir stratejinin belirlenmiş olması gerekir. Çevreleyici strateji(containment strategy); cihazın ağ trafiğinden çıkartılması, sistemin kapatılması veya ağ trafiğinin izole edilmesi gibi aksiyonlar içerebilir. Çevreleyici strateji birçok kriter içermektedir: • • • • • Adli analizler için uygun aksiyonun uygulanması Etkilenen bileşene ait diğer servislerin erişilebilirliği Etkilenen bileşenin oluşturabileceği potansiyel zararın tespiti Çevreleyici stratejinin efektif olarak uygulanabilmesi için gerekli zaman Etkilenen bileşen için ayrılmış olan kaynaklar Çevreleyici önlemin uygulanması konusunda yaşanılacak zaman kaybı diğer bileşenlerin etkilenme sinede sebebiyet verebilmektedir. Ayrıca bu aşamada toplanacak bilgiler gelebilecek saldırılar için alınan önlemlere kaynak oluşturabilecektir. Bu sebeple deneyimli güvenlik uzmanlarınca gelen saldırıların analizleri için dış ağlara honeypot sistemleri konumlandırılmaktadır. Ayrıca güvenlik takımının bellek ve sabit sürücüden adli bir süreç oluşma ihtimaline karşı uygun yapıda ‘image’ alması ve bilgiler ile gerçekleştireceği analizlerin zafiyetin ne olduğu konusunda tespitler yapabilmesine olanak sağlayacaktır. Olaylar sonucunda gerçekleştirilen çalışmanın dokümante edilmesi, bu çalışmanın nasıl gerçekleştirileceği ile ilgili prosedürlerin hazırlanması ve benzer vakalara hızlı çözümler ürütebilmek için kayıt altına alınması gereklidir. Bu bilgiler doğrultusunda oluşan olayın üçüncü şahıslara analiz edilmesi için kurumun elinde veri bulunacaktır. Raporlama(Reporting): Bazı kurumlar daha önceden belirlenmiş olay türlerini raporlamak ile sorumludur. Güvenlik uzmanının hangi durumlarda üst yönetime ve adli mercilere durumu bildirmesi gerektiği konusunda bilgi sahibi olması gerekmektedir. Politika ve prosedürlerde hangi olayın bir suç olabileceği detaylı bir şekilde belirtilmiş olması gerekir. • Media veya kurumun dış ilişkileri kapsanmalı mı? • Organizasyonun yasal inceleme ekibi konuya dahil olmalı mı? • Hangi durumlarda organizasyonun üst yönetim birimleri bilgilendirilmeli? • Olayın dururumu ile ilgili bilgi nasıl bir gizlilik ile saklanmalı? • Olayı raporlamak için ne tür bir yöntem kullanılmalı? Raporlar e-posta sistemi ile iletiliyor olabilir, peki e-posta sistemi saldırıya uğradıysa? Alternatif metotlar belirli mi? http://www.whitehouse.gov/sites/default/files/omb/memoranda/fy2006/m06-19.pdf Kurtarma(Recovery): Kurtarma işlemi temel geri yükleme işlemleri ile sağlanabilir. Örneğin sisteme ait yedekleme dosyaları ile sistem eski haline getirilebilir. Ancak sistem üzerinde bulunan veriler anlık olarak güncelleniyor ve bilgiler yüksek önem seviyesine sahip ise bilgi kaybına yol açılacaktır. İlk aşamada yapılması gereken sisteme yedekten geri yükleme yapılması yerine sistemi tehditten temizleyerek çalışır hale getirilmesidir(eradication). Eğer sistem kötü yazılım veya virüsten temizlenemiyor ise bu aşamada sistemin daha öncesinde elde edilen ve stabil çalıştığına emin olunan bir sürüm ile geri yüklenmesi sağlanır. Bazı durumlarda bu stabil yedek, benzer zafiyetleri barındırabilir. Alınan yedek düzgün bir şekilde geri yüklemeye elverişli olmayabilir. Bu tarz hatalar ile karşılaşmamak için belirli aralıklar ile alınan yedeklerin farklı bir alana geri yüklenerek test edilmesi gerekmektedir. 14 İyileştirme ve Yorum(Remediation and Review): Olay yönetiminde en önemli konu daha önce gerçekleşmiş olayların gözden geçirilmesi ile ilişkilidir. Organizasyonların daha önce gerçekleşen olayları incelemesi ve analiz etmesi gelecekte yaşanılacak problemlere karşı fırsat oluşturacaktır. Kök Neden Analizi(Root Cause Analysis): Bu analiz yönteminde olaylara ‘Neden?’ sorusu yöneltilir.. Olaya karşı sorulan ‘neden’ sorusu olayın neden geliştiği ve gelecekte bu olaya karşı nasıl bir önlem alınması gerektiğini ortaya koymaktadır. RCA gerçekleştirme aşamasında sisteme ait kayıt defterlerinin incelenmesi, politikalar, prosedürler, güvenlik dokümanları ve mümkün ise olayın gerçekleştiği zamana ait elde edilen ağ trafik bilgileri bir araya getirilerek analiz işlemi gerçekleştirilir. RCA takımı geriye yönelik çalışarak olayın başladığı ilk noktayı bulmayı hedefler. Sisteme güvenlik yaması yüklenmemiş mi? Eğer doğru ise, Neden sisteme güvenlik yaması yüklenmemiş? Sistem yama ekibi sistemin kapalı olduğunu belirtmiş. Peki sistem neden kapalıymış? Yeni politikalar gereği kullanılmayan sistemlerin kapalı olması gerekmekteymiş. Peki yeni yama yayınlanacağı zaman sistem ağ üzerinden açılarak internet bağlantısı devre dışı bırakılarak yama yükleme işlemi gerçekleştirilebilir mi? Eğer sorunun cevabı ‘evet’ ise çözüme ulaşılmış demektir. Eğer sorunun cevabı ‘hayır’ ise takım soru sormaya devam edecektir. Yukarıda bahsedilen basit bir eksik yama uygulanmasının anlaşılması ve önlenmesi ile ilgili verilen bir örnekti. Saldırganların bir sistem üzerinde farklı zafiyetler ile gerçekleştirdikleri saldırıları olayın çözümünü hızlı bir şekilde zorlaştıracaktır. Güvenlik uzmanı ve kıdemli yöneticinin(senior management) RCA takımını desteklemesi gerekmektedir. RCA takımının çıkartacağı risk seviyesi ile alınacak önlemler kurumun gelecekte karşılaşabileceği hataları en az seviyeye indirme ve hızlı bir şekilde çözüm bulmasına yardımcı olacaktır. Problem Yönetimi(Problem Management): Olay ve problem yönetimi birbirleri ile bağlantılı konulardır. Olay yönetimi öncelik olarak olumsuz olayları yönetmekte, problem yönetiminin önceliği geriye dönük olarak olayı takip etme, altta yatan sorunu ele almaktadır. Problem yönetimi bazı sebeplerden ötürü olay yönetiminden farklı gözükmektedir. Öncelikle iki yönetim şeklinindi hedefleri farklıdır. Olay yönetimi daha çok olayın etkilerinin azaltılmasına, problem yönetimi ise potansiyel olayları ve kusurları adresleme yönelik çalışmayı ortaya koymaktadır. Problem yönetiminin bir diğer özelliği ise uzun vadede envanter üzerinde oluşabilecek olayları görmeyi hedefler. Sıklıkla yaşanmayan olayların altında yatan nedenlerin analiz edilmesi uzun bir zaman alabilmektedir. Güvenlik Denetimleri ve İncelemeler(Security Audits and Reviews): Güvenlik denetimleri kurumdan bağımsız üçüncü şahıs veya kurumlarca gerçekleştirilmektedir. Güvenlik denetimleri kurumun uyguladığı güvenlik kontrollerinin ne seviyede bulunduğunu derecelendirmektedir. Güvenlik incelemeleri sistem için gerçekleştirilen bakım çalışmalarının yeterliliği ve zafiyetleri içerebilir. Bazı zafiyetler politikaların uygulanmaması, konfigürasyon eksikliği, donanım veya yazılımda bulunan kusurlardan meydana gelebilmektedir. Güvenli incelemeleri bazen güvenlik açığı değerlendirmesi(vulnerability assessment) ile bağdaştırılabilir. Penetrasyon testleri sistem üzerinde yetki elde etmek veya taviz yaratmaya yönelik çalışmalardır. Penetrasyon testleri fiziksel olarak sisteme erişimle veya kuruma dışardan gerçekleştirilen yöntemler ile sağlanabilir. Güvenlik denetimleri iç ve dış olarak ikiye ayrılır. İç denetimler organizasyon içerisinde bulunan ancak sistem üzerinde yönetim yetkisi bulunmayan kişilerden oluşmaktadır. Dış denetimler kurumun dışardan güvenlik ihtiyaçlarının incelenmesine yardımcı olacaktır. Bu incelemelerin üst yönetim ile paylaşılması ve zayıflıkların izah edilmesi önem taşımaktadır. 15 Saldırılara Karşı Önleyici Tedbirler(Preventative Measure against Attacks): Güvelik uzmanlarının, yaygın güvenlik zafiyetlerini ve gelebilecek güvenlik tehditlerini iyi anlaması gerekmektedir. Kuruma ait varlıkların korunmasında en uygun çözümün belirlenmesi ve kurumun iş yapış şekline uygun esnek yapının belirlenmesinde yardımcı rol oynamaktadır. Operasyon bir çok tehditten etkilenebilmektedir. Bu tehditler kimi zaman bireysel kimi zaman ise çevresel faktörlerden kaynaklanabilmektedir. Güvenlik uzmanlarının bu tehditler ile ilgi farkındalığı arttırması ve oluşabilecek zararı en az seviyeye veya limite çekmesi için önleyici tedbirler uygulanmasında destek olması gerekmektedir. Bu güvenlik önlemleri erişe bilirlik, gizlilik ve bütünlük ile sağlanabildiği gibi gelen tehditler ise karşılığı olan: ifşa, bozma ve tahrip gibi zararlara yol açabilir. Yetkisiz İfşa(Unauthorized Disclosure): Bilginin yetkisiz bir kişi tarafından ifşa edilmesi önemli bir tehdit oluşturmaktadır. İfşa kimi zaman bir saldırganın sistem üzerinde yetkisiz bir hak elde etmesi sonucu gizli bilgiye erişmesi ile oluşabilir. Bazen de sisteme bulaşan zararlı bir yazılım vasıtası ile gerçekleşebilmektedir. Bazen ise şirket içinde çalışan kötü niyetli bir personel veya iş ortaklarınca ifşa edilebilmektedir. Operasyon açısından bakıldığında uygun teknik kontroller ve yetkilendirmeler ile gizli bilginin korunması ve izlenmesi ifşa tehditti için önleyici bir yöntem olacaktır. İmha, Kesinti ve Hırsızlık(Destruction, Interruption, and Theft): Kötü niyetli, kasıtsız ve kontrol edilemeyen onarılamaz hatalar , sistemin bilgisinin ve kaynaklarının zarar görmesine sebebiyet verecektir. Kötü niyetli personel ve yazılımlar bilgiye zarar verebileceği gibi kötü niyetli olmayan bir personelin bir dosyayı yanlışlıkla silmesi de bilgiyi zarara uğratacaktır. Güvenli bir operasyonun bilginin korunduğundan ve hatalara karşı çeşitli önlemler ile korunduğundan emin olunması gerekir. Kesintiler günlük operasyon için büyük sorunlar teşkil edebilmektedir. Ekipmanın bozulması, servisler veya operasyonel prosedürler sistemin devre dışı kalmasına sebebiyet verebilmektedir. Servis engelleme saldırıları ve kötü niyetli kodlarda sistemin kesintiye uğramasına sebebiyet verebilmektedir. Erişilebilirlikteki kayıp kimi zaman teknoloji ile kimi zaman ise el ile en uygun şekilde eski haline getirilebilmelidir. Hırsızlıkta yaygın güvenlik tehditlerinden biridir. Büyük ölçekli hırsızlıklar, bileşenlere karşı gerçekleştirilen hırsızlıklara göre daha düşüktür. Bu ve benzer tehditler ve soruşturmalarda göz önünde bulundurulmalıdır. Yolsuzluk ve yanlış değişiklikler(Corruption and Improper Modification): Çevresel faktörler sistem ve bilginin zarar görmesinde önemli bir rol oynamaktadır. Isı seviyesindeki dalgalanmalar veya güç kabloları bilginin yazılma aşamasında hatalara sebebiyet verebilir. Uygunsuz veya kazara yapılan değişiklikler tablo yetkilerinin veya bilginin bozulmasına sebebiyet verebilmektedir. Güvenlik uzmanlarından beklenen: önemli sistemler üzerindeki verinin bütünlüğünün sağlanması, prosedürler aracılığı ile yetkili kişilerce bu değişikliklerin yapılması ve izlenmesine yönelik çalışmalar olacaktır. 16 Yama ve Zafiyet Yönetimi(Patch and Vulnerability Management): Konfigürasyon ve değişiklik yönetiminin anahtarlar unsurlarından biriside yazılım güncellemeleri yada diğer adıyla yama yönetimidir. Üreticilere ait ürünlerde bulunan kusurlar sürekli olarak keşfedilmektedir. Çalışan sistemlerin ihtiyaç duyması sebebi ile bu yamaların uygulanması hiç bitmeyen bir döngü olarak karşımıza gelmektedir. Kurum için bu güncelleştirmelerin uygulanması bir kaç seferlik bir çalışmadan ibaret değildir. Yama yönetimi, konfigürasyon ve değişiklik yönetimi ile tam bir uyum içerisinde sağlanmalıdır. Güvenlik ile ilgili yamalar da diğer yama türlerinde olduğu gibi ortaya çıkan güvenlik zafiyetlerinden yola çıkarak hazırlanmaktadır. Üreticiler hızlı bir şekilde uygulamada veya gömülü yazılımlarda(firmware) tespit edilen zafiyetlere sürüm güncellemeleri ile çözümler üretmektedir. Bazı durumlarda üretici çıkardığı yazılım güncellemelerinde detaylı bir bilgi paylaşmıyor olabilir. Güvenlik ile ilgili yayınlanan bilgilendirmelerin takip edilebileceği içeriklerden aşağıda bahsedilmektedir. • • • cve.mitre.org: The common Vulnerability and Exposures veri tabanı standart isim ve numaralandırmalar ile zafiyet hakkında bilgilendirme yapmaktadır. nvd.nist.gov: US National Institute of Standart Technogoy(NIST) tarafından sağlanan, bilinen güvenlik zafiyetleri ile ilgili bilgilendirme yapmaktadır. www.cert.gov: Güvenlik zafiyetleri ve iyileştirmeler ile ilgili geniş bir veri tabanı ile bilgilendirme yapmaktadır. Her yıl çok sayıda güvenlik zafiyeti tespit edilmektedir. Güvenlik uzmanları sistemleri analiz ederek bilinen güvenlik zafiyetlerine karşı tedbir almalı ve iyileştirmeleri sistemler üzerine uygulamalıdır. Kusurları takip ve tespit edebilen bir çok otomatize ve el ile kullanılabilen test cihazları, sistemler ve uygulamalar bulunmaktadır. Bu sistemlerin bir çoğu otomatize olarak çalışarak bilinen güvenlik zafiyetlerini sistemler üzerinde bulunup/bulunmadığını tespit etmektedir. Bu ürünlerin güncel olması ve düzgün bir şekilde konfigre edilmeleri gerekmektedir. Bu ürünler diğer otomatize yazılımlarda olduğu gibi false-positive sonuçlar üretebilmektedir. Güvenlik uzmanlarının aldıkları çıktıları çok iyi analiz ederek bu alarmların gerçekten bir zafiyet yada yazılımın hatası olup olmadığını anlaması gerekmektedir. Öncelikle kusurlu sistemde zafiyet araştırması yapabilmek için ürün hakkında keşif çalışması yapmak gerekmektedir. Bulunan zafiyet için gerçekten yama uygulanması gerektiğine ise güvenlik uzmanı karar vermelidir. Güvenlik zafiyetleri de bu başlık altında farklı kollara ayrılmaktadır. Örneğin, Sistem üzerine yama uygulanmadı ise risk nedir? Bu zafiyetin kullanılabilmesi için yetki gerekli mi? Bu güvenlik zafiyeti kullanılarak sistem üzerinde yüksek yetkilere çıkılabiliyor mu? Bu güvenlik zafiyetini kullanmak kolay mı? Güvenlik zafiyetini kullanabilmek için sisteme fiziksel olarak erişmek gerekiyor mu? Bu ve buna benzer sorular ile güvenlik yamasının sistem üzerine uygulanması konusuna güvenlik uzmanları karar vermelidir. Güvenlik yamaları sistem üzerine uygulanırken sistem yöneticisi ile ortak bir çalışma gerçekleştirilmesi gerekmektedir. Bazı üreticilerin geliştirdikleri yamalar, konfigürasyonları ve güvenlik ayarlarını değiştirebilmektedir. Bazı yama çeşitleri hassas dosyalar üzerindeki erişim listelerini değiştirebilmekte ve başka güvenlik zafiyetlerine sebebiyet verebilmektedir. Güncellenen sistemler bu yamalar sebebi ile operasyonun aksamasına ve uygulanan şirket politikasını olumsuz etkilenmesine yol açabilmektedir. Bu güvenlik yamalarının uygun bir şekilde test edilmesi ve sistemler üzerine yüklenmesi gerekmektedir. Bu çalışma zamanı genel olarak çalışma saatleri dışında gerçekleştirilmeli ve oluşabilecek sistem hatalarının operasyonu aksatmaması göz önünde bulundurulmalıdır. Güvenlik yamaları sistemlere uygulanmadan önce tamamen yedeklenmelidir. Yama sonrası sistemde oluşabilecek hatalarda veri kaybını minimize edebilmek için gerekli çalışma bu yedekler ile gerçekleştirilecektir. Güncelleştirmeler toplu bir şekilde değil, belirli bir sıra ile uygulanmalı ve tüm işlem tamamlandıktan sonra tekrardan sistemler üzerinde kontroller sağlanmalıdır. Bütün sistemler üzerine yamaların uygulandığı otomatize yazılımlar yardımıyla kontrol edilmelidir. Yama yönetiminin son aşaması yapılan değişikliklerin yazılı bir hale getirilmesidir. Bu dokümantasyon bilgisi içerisinde çalışmanın başarılı olup olmadığı ve tespitler yer almalıdır. Ayrıca yama uygulanamayan sistemler ve bu sistemlere neden yama uygulanamadığı ile ilgili bilgiler yer almalıdır. 17 Zafiyet Yönetim Sistemleri(Vulnerability Management Systems): Sun Tzu sözünden yola çıkarak 'Başkasını ve kendini bilirsen, yüz kere savaşsan tehlikeye düşmezsin; başkasını bilmeyip kendini bilirsen bir kazanır bir kaybedersin; ne kendini ne de başkasını bilmezsen, her savaşta tehlikedesin'. kurumun kendisi hakkında bilmesi gereken iki temel etken unsur olduğunu kavrayabiliriz. Bunlardan biri konfigürasyon yönetimi diğeri ise zafiyet taramalarıdır. Konfigürasyon yönetimi kurumun sahip olduğu varlıklar hakkında bilgi sahibi olmasına, zafiyet taraması ise bu varlıklara ait kusurların ortaya çıkartılmasında kuruma yardımcı olacaktır. Ortaya çıkan bu bilgiler doğrultusunda güvenlik uzmanlarınca gerekli tedbir ve önlemler alınmalıdır. Zafiyet genellikle konfigürasyon hataları, yazılım veya donanıma ait kusurlar veya eksik politika uygulamasından ortaya çıkmaktadır. Yazılımlarda tespit edilen genel hatalardan biriside bellek taşması(buffer overflow) zafiyetleridir. Zafiyetler güvenlik yamaları, yeni bir kod yazımı veya donanım değiştirilmesi ile giderilebilmektedir. Konfigürasyon hataları da sistemin zayıf olmasına sebebiyet verebilmektedir. Konfigürasyon hatalarına; zayıf erişim denetim listeleri, kullanılmayan açık portlar ve gereksiz servislerin çalışması örnek gösterilebilir. Politika hatalarına; zayıf parola politikalarının uygulanması, yetkilendirilmemiş ağ cihazları ve izinsiz yazılımlar örnek gösterilebilir. Politika ihlalleri, yetkilendirilmemiş cihazlar, iş istasyonları ve sunucuları içerir. Bu cihazların tespiti kapsamlı bir ağ tarama ürünü ile tespit edilebilir. Sunucu temelli yapılan bu taramalar sistemin konsoluna bağlanarak bilgiler edinilmesini sağlamaktadır. Sistemler üzerindeki eksik güvenlik yamaları, yerel politikalar ve güvenlik konfigürasyonları(audit kayıtlarının yanlış konfigre edilmesi), sistemler üzerindeki gereksiz servisler gibi kusurları tespit edilebilmektedir. Ağ veya sunucu temelli güvenlik tarama yazılımlarının yanı sıra uygulama temelli güvenlik zafiyeti tarama yazılımları da bulunmaktadır. Bu yazılımlar ürünlere ait güvenlik yamalarının kontrolü, yazılımdaki kusurlar veya bağlı bulundukları veri tabanına ait zafiyetlerin tespit edilmesinde güvenlik uzmanlarına yardımcı olmaktadır. Değişiklik ve Konfigürasyon Yönetimi(Change and Configration Management): Sistem kendi içerisinde sürekli değişiklikler yaşar. Yazılım paketleri eklenir, çıkarılır veya değiştirilir. Yeni donanımlar eklenir veya var olan donanımlar yenileri ile değiştirilir. Bu değişikliklerin düzenli bir şekilde takip edilmesi, sistemin bütünlüğü için gereklidir. Sistemin bütünlüğünün bakımı, değişiklik yönetimi süreci ile gerçekleştirilebilir. Değişikliklerin uygulanabilmesi için ise şirket bünyesinde bulunan belirli grup veya komitelerin(sıradan kullanıcılar, güvenlik, sistem operasyonu, üst yönetim) kararına ihtiyaç duyulmaktadır. Her grup kendi perspektifinden uygulanacak değişiklik için faklı bir tutum sergiler. Her kullanıcı sistemin nasıl çalıştığı hakkında fikir sahibi olması gerekir. Güvenlik grubu değişiklik sonucunda oluşacak riskleri belirler. Güvenlik operasyonu değişikliğin nasıl uygulanacağı ve bakımının sağlanacağı ile ilgilenir. Üst yönetim ise değişikliğin kabulü ve reddi konusunda kurumun stratejik yol haritasına göre karar verir. Değişiklik yönetimi yapısı organizasyonun politikası olarak belirlenmelidir. Değişik yönetiminin yönleri ve gerçekleştirilecek işlemler prosedür haline getirilmelidir. Değişik yönetimi politikaları ve prosedürleri talimat niteliğindedir. Değişiklik yönetimi ile ilgili önerilen yapı aşağıda belirtilmiştir. • • • • Talepler(Requests): Önerilen değişikliklerin yazılı bir şekilde komiteye sunulması gerekmektedir. Talebin kurumun argümanlarına uygun olacak şekilde detaylı bir gerekçesinin sunulması, implemente edilmesinin faydaları ve eğer implemente edilmez ise oluşacak zararın açıklamaları yer almalıdır. Etki Değerlendirmesi(Impact Assessment): Komitenin yapılacak değişiklik ile operasyona sağlanan fayda veya zararı tespit etmesi gerekir. Onay/Ret(Approval / Disapproval): Değişiklik yönetimine resmi bir biçimde onay veya ret kararının verilmesi. Geliştirme ve Test(Build and Test): Onay verilmesinden sonraki aşamada test ve entegrasyon için operasyonun desteğinin sağlanması gerekir. Yazılım veya donanımda gerçekleşecek değişimin canlı sistem üzerinde olmayan bir ortamda test edilmesi sağlanmalıdır. Yapılacak değişikliler tam olarak test edilmeli ve dökümante edilmelidir. Güvenlik takımının yapılan değişiklikten sonra test ortamında bulunan sistemde herhangi bir güvenlik zafiyetini bulunup bulunmadığını kontrol etmesi gerekir. Aynı çalışma sistem üzerinde bulunan bir yazılım veya bileşenin devre dışı bırakılması aşamasında da gerçekleştirilmelidir. 18 • • • • Bilgilendirme(Notification): Değişikliğin yapılacağı sistemi kullanan kullanıcılara gerçekleştirilecek operasyon ile ilgili zaman bilgisinin verilmesi gerekir. Implementasyon(Implemention): Aşamalı olarak değişiklik implemente edilmeli ve sistem üzerindeki diğer süreçler izlenmelidir. Doğrulama(Validation): Operasyondan sorumlu kişilerce hazırlanan sistem tarafından alındığını kontrol etmeleri gerekir. Güvenlikten sorumlu kişilerin herhangi bir zafiyet olup olmadığını kontrol etmeleri gerekir. Sistemin kararlı bir biçimde çalıştığı yazılımlar veya sorumlu olan kişilerce takip edilmesi gerekir. Dökümante Edilmesi(Documentation): Yapılan değişikliğin ardından gerçekleştirilen işlemler ve alınan dersler kayıt altına uygun bir şekilde kayıt altına alınmalı. Bu bilgiler doğrultusunda konfigürasyon değişiklik yönetimine ara yüz oluşacaktır. Konfigürasyon yönetimi(Configration Management): Kuruma ait donanım ve yazılımlar takip edilmeli, implementasyon testleri gerçekleştirmeli ve dağıtım metotları belirlenmelidir. Konfigürasyon yönetimi; donanım bileşenleri, yazılımlar ve bu varlıklarla ait ayarlar ile ilgili bilgilerin belirlenmesi ve dökümante edilmesini belirleyen süreçtir. İyi dökümante edilmiş bir envanter yönetimi varlıkların düzgün bir biçimde görevlendirilmesini ve yönetilmesini sağlar. Güvenlik uzmanları konfigürasyon yönetimi ile kontrol eksikliklerini tespit edebilir. Detaylı donanım envanterleri bütünlük ve kurtarma süreçleri için gereklidir. İş istasyonları, sunucular ve diğer ağ cihazlarına ait envanter bulunması değişim gerektiğinde operasyona yardımcı olacaktır. Bütün cihaz ve ağa bağlı cihazların bir listesinin bulunması ve minimum düzeyde aşağıdaki bilgileri sağlanması gerekmektedir; • • • • • • • • • Üretici Model MAC Adresi Seri numarası İşletim sistemi veya firmware versiyonu Cihazın bulunduğu lok asyön bilgisi BIOS ve diğer donanıma bağlı parola bilgileri Mümkün ise sahip olduğu IP adres bilgisi Barkod numarası Yazılım envanter çalışmasında ise minimum düzeyde aşağıdaki bilgilerin sağlanması gerekmektedir; • • • • • • • • • Uygulama Adı Uygulama üreticisi(ve ürünü satan satıcı bilgisi) Anahtarlar ve aktivasyon kodları (donanım için kullanılan aktivasyon numaraları da içerebilir) Lisans tipi ve hangi sürümlerde geçerli olduğu Lisans sayısı Lisans bitiş süresi Yazılımın bulunduğu alan veya varlık yönetiminde bulunduğu yer Bu yazılımdan sorumlu olan kişinin iletişim bilgileri Yükseltme, tam veya limitli lisans türü bilgisi Ayrıca sistemin doğrulanması açısından yazılım ve donanımlara ait envanter listesinin bulunması operasyona çeşitli faydalar sağlar. Bu envanter bilgisi sayesinde güvenlik uzmanları sahip olunan versiyon bilgileri ile ürüne ait herhangi bir zafiyet olup olmadığını tespit edebilir. Donanıma ait marka ve model numarasında bu zafiyetlerin tespit edilmesine yardımcı olacaktır. Envanter listesinde bulunan lok asyön bilgisi cihaza hızlı bir şekilde ulaşılmasına ve diğer sistemlere zarar vermeden engellenmesi konusunda performans sağlayacaktır. Envanter listesinin bir diğer özelliği ağ ‘da bulunan ve yetkisiz sistemlerin bulunmasında karşılaştırma tablosu görevi görecektir. Güvenlik duvarı, yönlendirici ve switch tarzı ürünler çok sayıda konfigürasyon bilgisi barındırmaktadır. Bu cihazlar üzerinde gerçekleştirilen konfigürasyon değişikliklerinin tespit edilmesi, bütünlüğün ve erişilebilirliğin sağlanmasında faydalı olacak ayrıca yapılan yetkisiz değişimler konusunda bilgi sahibi olunmasını sağlayacaktır. 19 İşletim sistemleri ve yazılımlarda konfigürasyon değişikliği yönetiminde yer almalıdır. Organizasyonun işletim sistemlerinin ve yazılımlara ait konfigürasyonlar konusunda kılavuz ve standartlarının bulunması gerekmektedir. Bu standartlar ile oluşturulan işletim sistemi konfigürasyonları ve yazılım konfigürasyonları, sistemlerin birbirleri ile entegrasyonu için kolaylık sağlayacaktır. Sistem esnekliği ve hata toleransı gereksinimleri(System Resilience and Fault Tolerance Requirements): Bir çok sayıda bulunan tehlike, sistemleri güvenilmez bir hale getirebilir. Neyse ki bilgi sistemlerini korumak içinde bir çok yol bulunmaktadır. Sistemin esnekliğinin sağlanması için başlangıç noktasından itibaren sürecin geliştirilmesi gerekir. Çoğu sistem genel tehditlere karşı düzenli bir biçimde kurgulanmaktadır, ve genellikle bu tehditlerin başarılı olmasının önüne geçmektedir veya oluşacak riski minimize etmektedir. Örneğin sistemlerde oluşabilecek temel hatalar noktalarının dikkatlice tespit edilmesi gerekmekte, anahtar bileşenler için oluşabilecek tahmini hata süresi belirlenmelidir. Bileşenler; soğutucular, güç kaynakları ve sabit sürücüler genellikle kolay arızalanan donanımlardır. Bu sebeple kritik sistemler üzerinde bir veya birden fazla güç kaynağı ve yedek soğutucular bulunmaktadır. Sunucu üzerinde oluşabilecek tek bir bileşenden kaynaklanan hata noktası(point of failure) minimum seviyeye indirilmelidir. Güvenilir yol ve Hata Çalışma Mekanizmaları(Trusted Path and Fail Secure Mechanisms): Sistemlerin korunması amacı ile bir çok güvenlik mekanizması geliştirilmiş, bir çoğu operasyon tarafından yönetilmektedir. Güvenilir yol olarak bahsedilen konu, sistemler arası veya sistem ile kullanıcı arasında kullanılmakta olan iletişim metodunun güvenilir bir biçimde sağlanmasını ele alır. Bir sunucuya ağ üzerinden giriş yapılmasını engellemek ve sadece fiziksel erişim ile oturum açmasına izin verilmektedir. Bu sisteme ait hesap bilgilerinin operasyon içerisinde gizli bir şekilde iletilmesi güvenilir yol kavramına örnek verilebilir. Bir çok güvenlik zafiyeti iletişim trafiğin manipüle ederek, bozarak veya yetkileri ele geçirerek bu güvenilir yol üzerinden sağlanmaktadır. Güvenilir yol ile ilgili alınacak bazı önlemler şu şekilde belirlenmiştir: kayıtların analiz edilmesi, zafiyet taraması, yama yönetimi ve sistem bütünlüğünü kontrol eden yazılımlar. Bu önlemlerin kombine edilmesi güvenilir yol ile ilgili zafiyetlerin asgari seviyeye indirilmesi ve tespit edilmesine yardımcı olacaktır. Operasyon ile ilgili kişilerin ‘Hata Çalışma Mekanizmaları’ ile ilgili düzgün bir durum analizi yapması ve istenilen şekilde çalışıp çalışmadığını kontrol etmeleri gerekmektedir. Güvenlik uzmanlarının aşağıda belirtilen iki konu üzerinde bilgi sahibi olması gerekmektedir. • • Fail-Safe: Bu mekanizma hata durumunda personelin veya sistemin en az hasara uğramasına odaklanmaktadır. Fail-Secure: Bu mekanizma hata durumunda sistemin güvenliğinin ön planda tutulması için tasarlanmıştır. Örneğin bir sistem odasının kapısının elektrik kesintisi durumunda fail-safe mekanizması ile çalışmasını sağlanması, içeride bulunan personelin dışarı çıkmasına izin vermesi gerekmektedir. Fail-Secure olarak çalışan bir kapı ise her türlü tehlike durumunda kapalı olarak kalmak durumunda ve erişime izin vermemelidir. Bu mekanizmaların belirli aralıklar ile kontrol edilmeleri ve çalışmaları gereken dizayn tipine uygun çalışıp çalışmadıkları kontrol edilmelidir. 20 Yedeklilik ve Hata Toleransı(Redundancy and Fault Tolerance): Redundancy kelimesinin tam olarak Türkçede karşılığı bulunmadığı için tanım v diğer örneklemeler yapılırken orijinal kelime kullanılacaktır. Redundancy bağlı bileşenler çalışan sistemdeki hatayı tolere etmek için kullanılır. Bunun anlamı; sistem içerisinde bulunan bir bileşenin bozulması durumunda aynı özelliklerdeki diğer bileşenin devreye girmesi şeklinde açıklanabilir. Bu bileşenler yedek parçalar, sunucular, ağ ve depolama alanları olabilir. • Spare(Yedek-Fazla): Yedek bileşenler, çalışmakta olan öncelikli sistemin herhangi bir sebepten devre dışı kalması veya zarar görmesi durumunda devreye alınması şeklinde tanımlanır. Spare üç farklı şekilde kullanılmaktadır. o Cold Spare: Bu bileşen henüz elektrik ve ağ ile sisteme bağlı bulunmayan, ancak ihtiyaç halinde sisteme atanan çalışmakta olan öncelikli sistem ile benzer konfigürasyona sahip yedeklilik türüdür. Tipik olarak bu yedekleme bileşenleri sistemin bulunduğu alana yakın bir mesafede bulunup el ile bir insan tarafından sisteme eklenmesi gerekir. o Warm Spares: Sisteme bağlı bulunan ancak herhangi bir kablolama gerçekleştirilmemiş yedekililik türü. İhtiyaç bulunması durumunda elektriksel ve diğer kablolar bağlanarak sisteme dahil edilebilir. o Hot Spares: Sadece sisteme bağlı olmakla kalmayıp, tüm kablolamaları ve diğer bileşenleri ile tamamen çalışmaya hazır durumda bulundurulan, öncelikli bileşenin devre dışı kalması sonucu insan unsuruna ihtiyaç kalmadan devreye alınan yedekleme türüdür. Bu üç farklı yedekleme özelliği kendilerine özgü problemleri de beraberinde getirebilir. Cold spare olarak çalışan yedeklilikte insana ihtiyaç bulunmakta ve öncelikli sistemin devre dışı bırakılarak yeni sistemin devreye alınması gerekmektedir. Cold ve Warm yedeklilik ihtiyaç olma halinde her zaman başarılı bir biçimde devreye alınmamaktadır. Hot spare olarak kullanılan yedek parçalar ise sürekli elektriğe bağlı bulunması sebebi ile çalışma ömrü diğer bileşenlere göre daha kısa olmaktadır. Bazı sebeplerden ötürü bazı işletmeler tek bir cihaza bağlı çalışmaz ve redundancy kullanmaktadır. Ancak operasyon içerisinde redundancy özelliğini aktif-pasif şeklinde devreye alabilmektedir. Aktif sistem bütün talepleri karşılarken pasif pozisyonda bulunan cihaz sistemi izler ve herhangi bir problem oluşması durumunda bütün iş yükünü üzerine alır. Bu şekilde çalışan sistemler çok az bir hata veya stabil bir biçimde çalışmaya devam edebilir. Reduandant ağ tasarımı da benzer şekilde çalışmaktadır. İlk ağ devre dışı kaldığı zaman trafik ikinci bir yol ile çalışmaya devam etmektedir. Örneğin servis sağlayıcı ile şirketin arasında bulunan iki farklı bağlantı tipi bulunabilir. Kiralık devre ile çalışan ilk ağ herhangi bir sebepten ötürü devre dışı kaldığı zaman radio link üzerinden servis sağlayıcı ile arasında bulunan bağlantı sağlanabilir. Tabi ki bu ihtiyaçların karşılanabilmesi için belirli bir bedel ödemek gerekir. Bağlantı sayısı ikiye çıktığı zaman ödenecek miktarda ikiye katlanacaktır. Kümeleme(Clustering) özelliği de kullanılan sistem yedekleme özelliklerinden biridir ancak reduandancy ile karıştırmamak gerekmektedir. Kümeleme, bir veya birden fazla bileşenin bir arada çalışması ve her birinin kendi servisini sunması ile gerçekleştirilir. Problem halinde sistemlerden herhangi birinin devre dışı kalması durumunda çalışmakta olan diğer küme üyeleri servisin devamlılığını sağlayacaktır. Bazı kritik servislerde verinin hiç bir koşulda bozulmaması yada devre dışı kalmaması gerekir. Bu sebeple kümeleme(clustering) sistemlerde (passive partners) olarak hazırlanmış küme bileşenleri bir diğerinin bozulması sonucu devreye alınmaktadır. 21 Güç Kaynakları(Power Supplies): Eğer elektrik ile ilgili bir sorun olması veya güvenilmez bir koşul oluştuğu takdirde çalışmakta olan sistem devre dışı kalabilmekte veya güvenilemez bir hale gelebilmektedir. Genel olarak kritik sistemler çift güç kaynağı ve yedeği ile çalışmaktadır. Sorun sadece sistemin bulunduğu donanım üzerinde gerçekleşmeyebilir. Şirket dışından veya diğer etkenlerden ötürü yaşanacak bir problem sebebi ile UPS ve jeneratörler kullanılmalıdır. Sürücüler ve Veri Depoları(Drives and Data Storage): Genel olarak rastlanılan hatalardan bir diğeri ise disk sürücüleridir. Eski tip diskler yazma ve okuma için bir çok hareket meydana getirmektedir. Hareketin fazla olması sebebi ile arızalar meydana gelebilmektedir. Yeni bir disk teknolojisi olan SSD disk sürücüleri ise çok fazla yazma işlemi sonucunda hataya düşebilmektedir. Verinin kaybolmaması veya bozulmaması için yıllardır geliştirilen bir çok yöntem bulunmaktadır. Basit konfigürasyonlarda sistem üzerinde bulunan disk veya disklerin üzerinde veriler saklanmaktadır. Bir diğer veri saklama özelliği ise ağ üzerinden veya çeşitli kontrol bileşenleri ile verinin sistem dışında bulunan bir alanda saklanmasıdır. Veri depolama alanları aynı kaynağı bir veya birden fazla sistem tarafından erişilebilir olması ve diğer kaynaklar ile hızlı bir paylaşım sağlanması için kullanılmaktadır. Güvenlik uzmanlarınca verinin güvenli bir şekilde saklanması için bir çok yöntemi bilmesi ve anlaması gerekmektedir. Diskler tek bir sisteme bağlı olabilir, SANs(Storage Area Networks) üzerinde bulunabilir veya NAS(Network Attached Storage) üzerinde bulunabilir. Bu bahsedilen seçenekler ile ilgili gereksinimler göz önünde bulundurulmalı ve esneklik sağlanmalıdır. SAN sistemler kendilerine özel ağ üzerinde bulunan bir veya birden fazla cihazın block level veri sakladıkları yapı şeklidir. FCP veya ISCSI ile sunuculara bağlanabilir ve işletim sistemi seviyesinde yerel disk servisi olarak hizmet verebilmektedir. NAS tipinde çalışan veri depolama çözümleri SAN ile benzer özellikler taşır. NAS çözümleri veriyi file level olarak saklamaktadır. NAS çözümleri basitçe veriyi saklamak ve dosyaları sunmak amacı ile kullanılmaktadır. NAS kullanımı genellikle FTP ve diğer dosya paylaşım servislerine hizmet vermektedir. Veri yerel disk servisi gibi hizmet veremez ancak ağ diski olarak işletim sistemi seviyesinde çalışabilmektedir. Tek bir sistem üzerinde eğer performans ve yedeklilik gerekli ise genel olarak birden fazla disk sistem üzerine eklenmektedir. Tek bir sistem üzerindeki bir çok disk sunucunun çalışma yapısı ve gerekliliği göz önünde bulundurularak farklı şekillerde konfigürasyon edilebilmektedir. Eğer veri basit bir biçimde saklanacak ise JBOD(Just -a-Buch - Of - Drives) en uygun yöntemdir. Eğer diskler bu şekilde kon figüre edildi ise her bir disk birbirlerinden bağımsız ve izole edilmiş bir şekilde çalışmalıdır. Her disk kendi başına çalışmakta ve her disk tek tek sıra ile kullanılmaktadır. Disklerden birinin arızalanması durumunda o bölümdeki veri kaybolur ancak sistem çalışmaya devam edebilir. Bir çok disk sürücüyü birbirleri ile bağlayarak tek bir dosya sistemi olarak kullanmak kullanıcılara cazip gelebilmektedir. Bu tanım(concatenation) olarak refede edilmektedir. Bu şekilde birbirlerine bağlanan diskler işletim sistemi seviyesinde tek bir parça olarak gözükmektedir. İşletim sisteminde kullanılan büyük parçalar halindeki disk alanları ihtiyaç olabilir ancak disklerin bozulması sonucu verinin bir kısmı veya tamamı yok olabilmektedir. 22 Birden fazla disk sürücüsünün bir arada güvenilir ve iyi bir performans ile çalışması için RAID yapıları kullanılmaktadır. Bazı RAID yapılır performans, bazıları yedeklilik veya her iki özelliğinde sağlanması için kullanılabilmektedir. Güvenlik uzmanlarının bu yapıya hakim olmaları, avantaj ve dezavantajlarını bilmeleri gerekmektedir. • • • • • • RAID 0: Bu teknik verinin hızlı bir biçimde yazılması veya okunması amacı ile kullanılmaktadır. Parity bilgisi iki disk üzerinde de bulunmamaktadır. Bu sebeple disklerden herhangi birisi arızalandığı zaman veri kaybolacaktır. Bu RAID türü kesinlikle yüksek erişilebilirlik ihtiyacı bulunan sistemler üzerinde kullanılmamalıdır. Geçici veya kısa ömürlü verilerin sağlanması aşamasında kullanılmalıdır. RAID 1: Bu teknik disk üzerine yazılan her verinin bire bir aynısının bir diğerine yazılması şeklinde gerçekleştirilmektedir. Bir diğer ismi ise veri yansıtma(data mirroring) olarak kullanılmaktadır. Bir disk arızalandığında diğer disk çalışmaya devam edecektir. Yüksek erişilebilirlik gereken sistemlerde işletim sistemine ait verilerin saklanması amacı ile kullanılmalıdır. Bu teknik genel olarak çok maliyetlidir. Az disk alanı için çok fazla yatırım yapmak gerekmektedir. Her verinin bir diğer disk alanına yazılması sebebi ile performans gerektirmektedir. RAID 2: Genel olarak teorik olarak kullanılmakta olan bir yöntemdir ve pek yaygın değildir. Veri birden fazla disk alanına bit-level olarak yayılmaktadır. En az 14 disk gereklidir, bunların 10 tanesi veri için, 4 tanesi de ECC (Error Correction Control yani hata düzeltme kontrolü) için kullanılır. Artık Raid kartlarında ECC olduğu için Raid 2 günümüzde kullanılmamaktadır. ECC olmayanlar için ufak bir not; 14 diskli yapıda toplam kapasitenin yaklaşık %70’i kullanılmaktadır. RAID 3-4: Bu teknik ile çalışan disk yapısı için minimum 3 disk gerekmektedir. RAID 0 yapısında olduğu gibi veri farklı disk alanlarına yazılır ve bu bilginin nereye yazıldığı ile ilgili bir diğer bilgi için farklı bir disk sürücüsü(parite) kullanır. Eğer disklerden birisi arızalanır ise bu disk üzerinde bulunan bilgi ile disk yapısı tekrardan oluşturulabilir. RAID 3 ile RAID 4 arasındaki fark: RAID 3 için veri farklı disklere byte-level olarak yazılırken RAID 4 yapısında block-level olarak yazılmaktadır. RAID 3 yapısında disk alanı daha verimli kullanılırken, RAID 4 yapısında ise biraz daha performanslı olarak çalışmaktadır. Bu tekniklerde veri bilgisinin saklandığı sürücü(parite) çok fazla işlem yaptığı için çabuk arızalanabilmektedir. RAID 5: Bu tekniğin kullanılabilmesi için minimum 3 disk sürücüsü gerekmektedir ve bir çok özelliği ile RAID 4 yapısına benzemektedir. Bu yapı çalışma şeklinde en büyük fark ise verinin saklandığı sürücü(parite) ile ilgili alandır. Disklerden herhangi birinin bozulması durumunda diğer disklerden elde edilen bilgiler ile veri tekrardan erişilebilir hale gelmektedir. Bu bilgi tek bir disk üzerinde tutulmaktansa her sürücü üzerinde bulundurulmaktadır. Genel olarak en çok kullanılan yöntemlerden birisidir. Genel veri depolama çözümlerinde kullanılmaktadır. RAID 6: RAID 5 ile neredeyse aynı olan RAID 6’nın farkı en az 4 disk gerektirir ve 2 ayrı parite disk oluşturur. Bu sebeple de Yazma hızı Raid 5’e göre oldukça yavaştır. Genel olarak kullanılan bir yöntem değildir. RAID yapıları birbirleri üzerine eklenerek kullanılabilmektedir. RAID 0 + 1 ve RAID 1 + 0 örnek olarak gösterilebilir. RAID 0 + 1 yapısında en az 4 disk gerekmektedir. Tek bir grupta toplanan disk sürücülerinde veri yayılarak yazılmaktadır. Diğer bir grupta bulunan disklere bu verinin bir kopyası oluşturulmaktadır. RAID 1+0 veya bir diğer ismi olan RAID 10 yapısında en az 4 adet disk bulunması gerekmektedir. İki farklı disk grubu aynı anda çalışmaktadır, verinin yazıldığı disk alanının bir kopyası öncelikli olarak ikinci disk grubuna da yazılmaktadır. Veri tabanı hizmeti verilen sunucularda kullanılmasında fayda vardır. Yüksek maliyetli olabilir ancak iyi performans ve yedekliliği beraberinde getirmektedir. Teyp medyalar içinde redundancy yedeklilik tipi kullanılmaktadır. Bir diğer ismi ise RAIT(Redundant Array Independent Tapes) olarak adlandırılır. Teyplerin mekanik bir aksam ile veri depoları veya teyp okuyucular arasında yer değiştirmek için kullanılmaktadır. Verinin birden fazla teyp alanına yedeklenmesi içinde kullanılan bir yöntemdir. 23 SANs çözümleri performans, kapasite ve yedeklilik ile ilgilide bir çok seçenek sunmaktadır. SANs çözümlerinde birden fazla sistemin özel kontrol mekanizmaları veya Internet Protokolü(IP) ile sisteme erişim sağlanmasına olanak sağlamaktadır. Yukarıdaki yazıda bahsedilen RAID yapıları bu çözümler üzerinde kullanılabilmektedir. Warm veya Hot spare ile birlikte çalışmakta olan sistemlere yedeklilik için, geçici disk alanlarında oluşan ihtiyaçların karşılanması veya yedekleme ve geri yükleme işlemlerine performans sağlanması içinde kullanılabilmektedir. NAS çözümleri birden fazla sistemin ağ üzerinden erişimlerini desteklemekte, yedeklilik için çözüm olabilmektedir. Yukarıda bahsedilen RAID yapılarını destekleyen çözümler mevcut olmakla birlikte uygulama ve veri tabanlarının yedeklenmesi ve güncellenmesi aşamasında imkanlar sağlamaktadır. Yedekleme ve Geri Yükleme Sistemleri(Backup and Recovery Systems): Donanımsal olarak yedekleme işlemleri ve hata törele yöntemlerinin avantajları bulunsa da çoğu zaman problem çözümü yedeklenen verinin geri yüklenmesi ile giderilebilmektedir. Yedekleme ve geri yükleme sistemleri; verinin bir alandan başka bir alana kopyalanmasını model olarak kullanır. Veriler kimi zaman kritik sunuculara ait verileri kimi zaman ise son kullanıcıya ait verileri barındırabilmektedir. Verilerin yedekleme işlemleri genel olarak sistemin kullanılmayan saatleri içerisinde çalıştırılmalı ve performansa kayıplarına sebebiyet vermemelidir. Verilerin yedeklenmesi aşamasında farklı yöntemler kullanılmaktadır. Eğer yeterli kapasite ve disk alanı bulunuyor ise veriler tamamen yedeklenmektedir. Ancak disk alanı ve bu konu ile ilgili yatırım yeterli değil ise farklı yedekleme yöntemleri kullanılmaktadır. Bu yedekleme yöntemleri artan(Incremental) ve farklı olan(differential) olarak isimlendirilmektedir. Incremental yedeklemede, veri ilk olarak tamamen yedeklenir ve sadece sistem veya kullanıcı tarafından değiştirilen veriler yedeklenir. Differential yedeklemede ise alınan tam yedeğin üzerinde oluşan değişiklikler yedeklenir. Differential yedeklemede disk alanı fazla tüketilmektedir ama verinin yeniden yüklenmesi aşamasında performans sağlamaktadır. Genellikle veri yedekleme; canlı sistem üzerinde bulunan verinin çıkarılabilir sürücü, uzak lokasyonda bulunan teyp yazıcılara gönderilerek farklı lokasyonda yedeklenmesine amacı ile de kullanılabilmektedir. Genel olarak kullanılan yöntemlerden biri şu şekildedir, 3 adet orijinal yedek alınır, bunlardan birincisi sistemin bulunduğu alanda barındırılır ve acil kullanımlarda hız ve performans sağlar. Yedeklenen diğer veri ise aynı bina içerisinde bulunmayan farklı bir lokasyonda barındırılabilir. Son olarak yedeklenen veri uzak lokasyonda(disaster recovery site) alanına gönderilir. Uzak lokasyon birincil lokasyona göre uygun bir uzaklıkta bulunmalıdır. Çok uzak bir mesafede bulunan lokasyona verinin taşınması veya geri getirilmesi uzun sürebilmektedir. Yakın bir mesafede olan lokasyon ise felaket durumlarında birincil lokasyon ile aynı benzer tehditlere maruz kalarak kullanım dışı kalabilmektedir. Bu sebeple diğer lokasyon seçimlerinde karar verilmesi oldukça güç bir hal almaktadır. Verinin kopyalanması ile ilgili günümüzde farklı teknikler kullanılmaktadır. Bunlardan birisi Vaulting bir diğeri ise Journaling olarak adlandırılmaktadır. Vaulting işlemi verinin yedeğinin elektronik seviyede bir lokasyondan başka bir lokasyona ağ üzerinden taşınmasını sağlar. Veriler Vault-Site adı erilen farklı bir coğrafi alanda yedeklenir. Bu teknik genel olarak yedeklemede kullanılan incremental veya differential olabileceği gibi mirroring yöntemi ile de kullanılabilmektedir. Verinin işlendiği alandan uzak bir alana gerçek zamanlı kopyalanması şeklinde gerçekleştirilebilir. Ancak bu tarz bir yedekleme işlemi gerçekleştirilecek ise verinin üçüncü bir alana da kopyalanması gerekmektedir. Veride oluşabilecek tutarsızlık veya zararlı bir durum iki tarafta bulunan verinin de kullanılamaz hale gelmesine sebebiyet verebilmektedir. Vault sunucuları yedekleme cihazları gibide kullanılabilmektedir. Incremental ve diffirential olarak kullanılan teknikler ile veri bir noktandan diğer bir noktaya yedeklenebilmektedir. Journaling, veri tabanı yönetim sistemlerinde yedekliliğin sağlanması amacı ile kullanılmaktadır. Veri tabanı üzerinde gerçekleştirilen işlemin(transcation) tamamlanmasının ardından verinin diğer bir lokasyona gönderilmesini amaçlar. Veri tabanında bozulma veya verinin tutarsızlığı gibi durumlarda bir önceki işlemin geriye alınmasına olanak sağlamaktadır. 24 Esneklik İçin Personel(Staffing for Resilience): Bir çok sistem insan desteği olmadan tamamen otomatize halde çalışamamaktadır. Operasyonun sorunsuz ve düzgün bir şekilde ilerleye bilmesi için eğitilmiş ve bilinçli personelin bulunması gerekmektedir. Kritik sistemler için farklı vardiyalarda çalışan yeterli personel bulunması, iş akışının düzgün bir şekilde sağlanmasına ve olası bir aksaklık durumda operasyonun eskiye dönmesine olanak tanır. Operasyonun başarılı olabilmesi için eğitim kritik seviyededir. Operasyon içerisinde görev alan bireylerin sorumluluklarını yerine getirebilecek yeteneklerde olmaları gerekir. Ve bu yeteneklerin gelişen teknoloji karşısında sürekli güncellenmesi ve yenilenmesi gerekmektedir. Tek veya gruplara verilecek eğitimler diğer bireylerinde konu hakkında fikir sahibi olmasına olanak sağlayacaktır. Referanslar: CISSP All-in-One Exam Guide, 6th Edition Official (ISC)2 Guide to the CISSP CBK, Fourth Edition ((ISC)2 Press) NIST NSA 25