Bilgi Teknolojileri Güvenlik Operasyonları v0.1

advertisement
Bilgi Teknolojileri Güvenlik Operasyonları v0.1
Hazırlayan: Çağlar Çakıcı – caglar@caglarcakici.com
Düzenleyen: Berkay Özuygur – berkay.ozuygur@outlook.com
Lisans Bilgileri
Copyright (c) 2016 – BESTCLOUDFOR.ME
Bu döküman Çağlar Çakıcı tarafından yazılmış ve Berkay Özuygur tarafından düzenlenmiştir. Yazarların haklarına saygı
duyarak her türlü kaynakta yazılması ve yayınlanması serbesttir.
Bilgi Teknolojileri Güvenlik Operasyonları
Bu doküman da şirketler için çok önemli olan fakat çoğu teknoloji yöneticisinin önem vermediği ve son
dönemlerde kendinden sıkça bahsettiren bilgi teknolojileri güvenlik ilkeleri ve buna bağlı yapılan operasyonlardan
bahsediyor olacağız.
Belirli bir teknoloji departmanı yapısında ilgili görevlerde(BT Güvenlik Yönetimi, BT Sistem Yönetimi vb.)
çalışıyorsanız aşağıdaki bahsettiğimiz konuları kavramanız ve anlamanız daha kolay olacaktır.
Şirket içi bilgi güvenliğini iki ana başlık altında tanımlayabiliriz. Bunlardan ilki Operasyon güvenliği(Operation
Security) diğeri ise Güvenlik operasyonu(Security Operations) konularıdır.
Operasyon Güvenliği; Merkezi veya dağıtık yapılarda var olan ve işlenen bilginin korunması, kontrol edilmesi
amaçlanmaktadır.
Güvenlik Operasyonu; Periyodik görevler ile operasyonun işleyişinin güvenilir ve verimli şekilde sağlanması
amaçlanmaktadır.
Bu başlık altında incelenecek konular aşağıdaki gibidir:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Minimum yetki ile kullanıcıların sadece ihtiyacını karşılayacak seviyede bilgilendirilmesi ve yürürlükte
bulunan operasyonun sürekliliğinin sağlanması,
Kullanıcıların sorumluluklarının belirlenmesi ve görevlerin ayrıştırılması,
IT destek departmanı tarafından sağlanan geri dönüşler ile merkezi veri tabanı oluşturulması, karşılaşılan
olaylar ile ilgili prosedürlerin hazırlanması, olayların sınıflandırılması ve raporlanması,
Yüksek veya özel yetkiye sahip kullanıcıların yaptıkları işlemlerin takip ve analiz edilmesi
Çalışanların farklı pozisyonlara atanması,
Bilginin veya bulunduğu ortamın sınıflandırılması, işlenmesi, saklanması ve yok edilmesi
Bilginin saklı tutulduğu medyaların yönetimi,
Ekipmanların garanti, bakım ve çalışma sürelerinin takibi,
Şirketin sahip olduğu yazılımlara ait lisansların takip edilmesi
Olay yönetimi
o Tespit
o Tepki
o Raporlama
o Geri döndürme
o İyileştirme
Önleyici yöntemlerin sağlanması. (zararlı kodlar, sıfır gün zafiyetleri, servis engelleme saldırıları)
Yama ve zafiyet yönetimi
Değişiklik ve konfigürasyon yönetimi
Esneklik ve hata toleranslarının(fault tolerance) anlaşılması
Kullanıcı Yetkileri:
IAM(Identity and Access Management): Güvenlik olarak en önemli konulardan biri olan fakat aynı zamanda göz
ardı edilen konulardan biri kullanıcı yetkileri.
Kullanıcı veya servis hesaplarının merkezi bir nokta üzerinden yönetilerek doğrulanması, yetkilendirilmesi ve takip
edilmesini kapsayan süreçlerin tamamıdır. Bu süreçler içerisinde kullanıcı açılışı, hangi kaynak türüne hangi
zaman diliminde erişeceği, bu tanımları yapan departmanlar arası iletişim ve prosedürler yer almaktadır.
http://www.csoonline.com/article/2120384/identity-management/the-abcs-of-identity-management.html
Yetkili Kullanıcılar dört farklı grupta tanımlanmıştır:
• Root veya built-in Administrator Hesapları: Sistem üzerinde en yüksek yetkiye sahip kullanıcılardır. Bu
kullanıcılar sıkı bir parola politikası ile yönetilmeli(mümkünse iki faktörlü doğrulama ile sisteme giriş
yapılmalı), eğer sağlanabiliyor ise tek kullanımlık şifreler ile erişim imkanı sağlanmalıdır. Bu kullanıcılar
2
•
•
•
ile uzak erişim(VPN) sağlanması engellenmeli, eğer uzak erişim gerekli ise bağlantı türünün kriptolu
şekilde sağlanması gerekmektedir. Bu kullanıcıların eriştiği sistemlere ait kayıt defterleri farklı bir sunucu
üzerinde toplanmalı ve analiz edilmelidir.
Servis Hesapları(Service Accounts): Sistem üzerinde çalışan uygulama veya servislerin erişmesi gerektiği
kaynaklara yetkili olan kullanıcı hesaplarıdır. Bu kullanıcılara sıkı bir parola politikası uygulanmalı,
parolaların değiştirilme ihtiyacı bulunması durumunda bu işlemlerin gerçekleştirilme süreçleri ile ilgili
prosedürler hazırlanmalıdır.
Yönetici hesapları(Administrators): Bu hesaplar sadece belirli sistem veya sistemler üzerinde bakım ve
destek sağlanması amacı ile oluşturulmuş kullanıcı hesaplarıdır. Bu kullanıcılara ait şifre ve yetkilendirme
dağıtımı üst düzey bir yönetici tarafından onaylanması gerekmektedir. Bu yetki türü tanımlanmış kullanıcı
hesapları çalışma tamamlandıktan sonra sistem üzerinden kaldırılmalıdır. Bu kullanıcılar sıkı bir parola
politikası ile yönetilmeli, eğer sağlanabiliyorsa tek kullanımlık şifreler ile erişim imkanı verilmelidir. Bu
kullanıcıların eriştiği sistemlere ait kayıt defterleri farklı bir sunucu üzerinde toplanmalı ve analiz
edilmelidir.
Power Users: Normal bir kullanıcı hesabından biraz daha fazla yetkiye sahip, yönetici hesaplarından daha
az bir yetkiye sahip hesap türüdür. Örneğin; Bu kullanıcılar sahip oldukları sistem üzerine uygulama
kurabilme yetkisine sahip olabilirler. Bu yetki türü tanımlanmış kullanıcı hesapları çalışma
tamamlandıktan sonra sistem üzerinden kaldırılmalıdır. Bu kullanıcılar sıkı bir parola politikası ile
yönetilmeli, eğer sağlanabiliyorsa tek kullanımlık şifreler ile erişim imkanı sağlanmalıdır.
Sıradan veya Limitlendirilmiş Kullanıcı Hesapları:
Genel olarak tanımlanmış ve herkese atanan ilk kullanıcı rolüdür. Bu kullanıcılar sadece en düşük yetki seviyesine
sahip ve sadece ‘bilmeleri gerektiği kadar bilgilendirilme’ prensibine dahil kullanıcılardır.
Görevlerin Ayrılması ve Sorumluluklar (Separation of Duties and Responsibilities):
Bu bölümde iş görevlerine kullanıcıların atanması ve ayrıştırılması incelenerek operasyon içerisindeki birbirileri ile
olan ilişkilerine yer verilecektir.
•
Sistem Yöneticileri (System Administrators): Sistem yöneticisi kullanıcıları yüksek yetkiler ile operasyon
içerisinde yönetim ve bakım işlemlerini gerçekleştirmektedirler. Uzak ve yerel ağ üzerinde bulunan
sunucular, iş istasyonları, ağ cihazları, uygulamalar ve veri tabanları üzerinde kritik işlemler
gerçekleştirilmesinde önemli görevleri vardır.( işletim sistemi başlangıç sıralaması, zaman ayarları, kayıt
defterleri ve parolalar). Bu role atanan kullanıcıların işe alınma sürecinde çok dikkat edilmelidir. Çünkü
operasyonun işleyişi açısından bir çok varlığa yüksek yetkiler ile erişimler emanet edilmektedir.
o En Az Yetki (Least Privilege): Bütün varlıklara tam erişim yetkisi tanımlamak yerine, çalışma
gerçekleştirilecek sistemler üzerinde belirli servislere yetkilendirme yapılmalıdır.
o İzleme (Monitoring): Bu yetkiye sahip kullanıcıların sistem üzerinde gerçekleştirdikleri işlemler
kayıt altına alınmalı ve bu kayıt bilgileri farklı bir alanda yedeklenmelidir.
o Görevlerin Ayrılması (Separation of Duties): Sistem yöneticisinin sisteme zarar verebilecek
zararlı ve hileli aktivitelerde bulunmaması gerekir.
o Geri Plan İnceleme (Background Investigation): Bu yetkinin verileceği kişiye ait sicil bilgileri
incelenmeli, daha önce herhangi bir suç ilişkisinin olup/olmadığı araştırılmalıdır.
o Vardiya Değişikliği (Job Rotation): Sistem yöneticisi hesabına ait farklı kullanıcıların bulunması
ile olası bir aksaklık durumunda bu kullanıcının yedeklenmesi ve yapılan çalışmanın gözden
geçirilmesine olanak tanır.
•
Operatörler (Operators): Tipik olarak mainframe bulunan data çenter alanlarında çalışan kullanıcı
rollerinin tanımlanması için kullanılmaktadır. Bu kullanıcılar günlük operasyon içerisinde mainframe ait
günlük işlemlerin düzenli çalışıp çalışmadığını ve çıkan problemlere müdahale edilmesi aşamasında görev
almaktadır. Bu kullanıcı grubu mainfram'e sistemlerin el ve ayakları konumundadır; teyplerin
yerleştirilmesi/çıkarılması ve gerçekleşen işlemlerin sonuçlarının raporlanması konusunda çalışmalar
gerçekleştirmektedir. Diğer kullanıcılara göre yüksek, sistem yöneticilerine göre daha düşük seviyede bir
yetkiye sahiptirler. Bu kullanıcıların gerçekleştirdiği işlemler kayıt defterleri ile takip edilmelidir.
Bu kullanıcı grubunun gerçekleştirdikleri işlemlerin bazıları aşağıdaki gibidir;
3
•
•
•
•
•
•
•
İşletim sisteminin düzgün bir biçimde ve en uygun zaman içerisinde başlatılması.
Sistem olaylarının, hataların, kesintilerin ve tamamlanmış görevlerin incelenmesi
Uygulamaların istediği sistem ve bilgiye erişimlerinin sağlanması
Sistem üzerinde çalışan işlemlerin bekletilmesi yada sonlandırılmasını sağlayabilir.
Farklı etiketlenmiş teyplerin çalıştırılmasının sağlanması.
Teyplere ait etiketlerin isim değişikliği ve bu değişiklikler ile çalışabilir hale getirilmesi
Port ve bağlantıların yönetilmesi
Operatör grubuna ait kullanıcıların yetkileri aşağıdaki gibi tanımlanmalıdır.
o
o
o
o
•
•
•
En Az Yetki (Least Privilege): Bütün varlıklara tam erişim yetkisi tanımlamak yerine, çalışma
gerçekleştirilecek sistemler üzerinde belirli servislere yetkilendirme yapılmalıdır.
İzleme (Monitoring): Bu yetkiye sahip kullanıcıların sistem üzerinde gerçekleştirdikleri işlemler
kayıt altına alınmalı ve bu kayıt bilgileri farklı bir alanda yedeklenmelidir.
Görevlerin Ayrılması (Separation of Duties): Sistem yöneticisinin sisteme zarar verebilecek
zararlı ve hileli aktivitelerde bulunmaması gerekir.
Geri Plan İnceleme (Background Investigation): Bu yetkinin verileceği kişiye ait sicil bilgileri
incelenmeli, daha önce herhangi bir suç ilişkisinin olup/olmadığı araştırılmalıdır.
Güvenlik Yöneticileri (Security Administrators): Bu kullanıcı rolünün görevi operasyonun güvenliğinin
gözlemlenmesini amaçlamaktadır. Hesap yönetimi, hassas bilgilerin etiketlenmesi, sistem güvenlik
konfigürasyonları ve güvenlik kayıt bilgilerinin incelenmesi gerçekleştirmesi gereken görevlerden
bazılarıdır. Operasyon içerisinde yer alan işletim sistemleri ve ağ cihazlarının barındırdığı
konfigürasyonları güvenli bir şekilde uygulandığına ve çalıştığından emin olmalıdır. Bu konfigürasyonların
gerçekleştirilmesi aşamasında sistem yöneticisi ile birlikte çalışmalı ve sonuçları gözlenmelidir. Bazı
konfigürasyonlar sistemin çalışmasını olumsuz etkileyebilir. Bu kullanıcı rolü sistem yöneticilerinden daha
az yetkiye sahip olmalı ancak sistem yöneticilerin gerçekleştirdikleri işlemleri takip edebilecek şekilde
tanımlanmalıdır.
Yardım Masası Personeli (Help Desk Personnel): Kullanıcılara destek verilmesi konusunda sorumlu
bulunan kullanıcı rolüdür. Bu kullanıcı rolü bazen hesap yönetiminde de rol almaktadır. Örneğin: kullanıcı
parolalarının yenilenmesi. Bu kullanıcıların gerçekleştirdikleri işlemler takip edilmeli ve bu konumda
çalışan personelin geçmişine ait sicilin incelenmesi gerekmektedir.
Sıradan Kullanıcılar (Ordinary Users): Bu kullanıcı rolü sistem üzerinde en az yetki ve kısıtlı alanlara
erişim sağlayabilecek kullanıcı rolü olarak tanımlanmıştır.
Özel Yetkiye Sahip Kullanıcıların İzlenmesi
Konu ile ilgili olan güvenlik uzmanlarının hesaplar ile ilgili yetkileri ve atanmış oldukları rolleri düzenli olarak
takip etmesi gerekmektedir. Sadece yetkiye sahip kullanıcıların kaynaklara erişmesi ve bunu belirlenen bir zaman
aralığında gerçekleştirmesi gerekmektedir. Bu sayede var olan yetkiler doğrulanabilmektedir.
Açıklık, Uygunluk ve Özgeçmiş İncelenmesi/Araştırılması (Clearances, Suitability and Background Checks /
Investigations)
Atanılacak rol veya görevlerde bulunacak kişilerin geçmişte gerçekleştirmiş oldukları eylemlerin
incelenmesi bu role uygun olup/olmadıkları konusunda kuruma önbilgi sağlayacaktır. Özgeçmiş bilgisinin
periyodik olarak belirli zaman aralıklarında tekrarlanması gerekmektedir. Periyodik olarak
gerçekleştirilen bu çalışma kişiye olan güven seviyesinde oluşabilecek değişikliklerin izlenmesinde
yardımcı olacaktır. Örneğin dolandırıcılık ile ilgili sabıkası olan bireylerin finans ile ilgili bir departman
veya görevde çalıştırılmaması konusunda şirkete bir uyarı sağlayarak önlem almasına yardımcı olabilir.
Kullanıcı Hesaplarının Doğrulanması(Account Validation):
Kullanıcı hesaplarının aktivitelerinin incelenmesi kullanılmayan hesapların bulunmasında yardımcı
olmaktadır. Kullanılmayan devre dışı hesaplar silinmelidir. Geçici olarak gerçekleştirilen çalışmalar için
oluşturulan kullanıcı hesapları eğer kullanılmıyor ise devre dışı bırakılmalıdır. Departman yöneticileri
kullanılmayan kullanıcı hesaplarını bildirmeli ve rapor etmelidir. Günlük yaşamda genel olarak bu sürecin
işletilmesi aksatıldığı için güvenlik ile ilgili şirkette rol alan kişinin periyodik olarak kullanıcı hesaplarını
gözden geçirmesi gerekmektedir.
4
Görev Değişikliği (Job Rotation):
Görev değişikliği ufak çaplı işletmelerde genel olarak uygulanması zor bir yöntemdir. Ancak büyük
işletmelerde uygulanan görev değişiklikleri, bu rolde bulunan kullanıcının yetkiyi kötüye kullanmasının
önüne geçilmesi ve oluşabilecek risklerin minimum seviyeye çekilmesine yardımcı olacaktır.
http://extras.sltrib.com/Utah_Data_Center/security_clearance.pdf
Hassas bilgilerin işaretlenmesi, işlenmesi, saklanması ve yok edilmesi (Marking, Handling,
Storing and Destroying of Sensitive Information)
Fiziksel varlıkların etiketlenmesi kadar, sistem üzerinde bulunan bilgilerin işaret ve etiketlenmesi de
büyük önem taşımaktadır. Bilgisayar ile işletilen bilgilerin, gelecekte bunu zorunlu hale gelmesi
konusunda çalışmalar gerçekleştirilmektedir. Ancak erişim denetimleri arasında bu konunun
uygulanabildiği MAC(mandatory access control) yöntemidir. DAC(discretionary access control) tipik
olarak bilginin etiketlendirilmesini zorunlu kılmaz ve bilginin başka bir sisteme taşınması durumunda yok
olmasına sebebiyet vermektedir.
Bilginin değerinin finansal olarak tespit edilmesi zor bir konudur. Hatta bilginin sahibinin bile bu konu
hakkında fikir yürütmesi ve değer belirlemesi oldukça karmaşık bir hal almaktadır.
Fiziksel varlıklardakinin aksine bilginin değerinin belirlenerek taslak haline getirilmesindeki güçlüklerden
bazıları; bazen aynı sistem üzerinde bulunan bilginin önem seviyesi ve korunması gereken yöntemin
birbirinden farklı olması gibi farklı sonuçlar doğurabilir. Bu gibi zorlukların önüne geçilebilmesi için
bilginin sınıflandırılması (information classification) sıklıkla kullanılmaktadır.
Bilginin sınıflandırılması konusunda, hangi bilginin hangi yöntemle korunmasını; gizlilik seviyesine göre
belirlemektedir. Bilgiler gizlilik seviyesine göre belirli bir sınıflandırma yöntemine göre ayrıştırılabilir
(Çok Gizli, Gizli ve Public).
Kurumun sahip olduğu bilgi zaman içerisinde önem seviyesi olarak değişikliklere uğrayabilir. Daha
öncesinde çok gizli bir bilgi zaman içerisinde herkes tarafından erişilebilir bir hale gelebilir. Bilginin bu
şekilde sınıflandırılması şirketin yapacağı yatırımlarda fayda sağlamasında olanak tanır. Örneğin günlük
olarak yedeklenen bir bilginin önem seviyesinin düşmesi durumunda kullanılan kartuş sayısının azalması
veya yapılacak yeni storage yatırımında düşük seviyeye sahip bu bilginin yedeklenmesi gerekmediği için
daha uygun bir storage seçimi yapılmasına olanak sağlanır.
Diğer bir çok alanda olduğu gibi bilginin sınıflandırılma konusunda dökümante edilmeli ve güncelliği
sağlanmalıdır.
http://csrc.nist.gov/publications/nistpubs/800-60-rev1/SP800-60_Vol1-Rev1.pdf
Medya:
Hassas bilgilerin saklanacağı fiziksel veya mantıksal alanlardır. Güvenlik uzmanları yedeklenen
şifrelenmemiş medyalar ile ilgili sürekli endişe duymaktadır. Bu sebepten ötürü medyaların taşınması ve
saklanması büyük önem taşımaktadır.
İşaretleme(Marking):
Kurumun sahip olduğu bilgileri işaretlenmesi için uyguladığı politikaların bulunması gerekir. Kullanılan
teypler veya storage medyaları fiziksel olarak etiketlenmelidir. Bu teypler kriptolu olarak saklanmalıdır.
5
İşlemek (Handling):
Sadece kurum içerisinde yetkili kişilerin bu bilgilere erişebilmesi sağlanmalıdır. Bilginin işlenmesi ile ilgili
konular politikalar ve prosedürler ile dökümante edilmelidir. Bu konu ile ilgili kişilerin politika ve
prosedürler ile eğitilmesi ve bu bilgiler ile işleme ve işaretleme çalışmalarını gerçekleştirmesi beklenir.
Verinin işlenmesi aşamasında oluşan kayıtlar düzenli olarak takip edilmelidir.
Saklama (Storing):
Hassas medyalar herkes tarafından erişilebilir bir alanda bulunmaması gerekir. Yedekleme medyaları
kriptolu ve güvenli bir alan içerisinde muhafaza edilmelidir. Tercihen manyetik alandan ve yangından
etkilenmeyen ve erişim denetimi uygulanan kasa tipleri içerisinde saklanmalıdır. Oluşabilecek bir yıkım
durumuna karşı farklı bir ortamda muhafaza edilen medyalar ile oluşan uzaklık 25km uzak yada yakın
olmaması gerekir.
Yok etme (Destruction):
Saklanan medyalar belirli bir süreden sonra ihtiyaç duyulmayacak hale gelebilir veya bozulabilir. Bu
medyaların gerekliliği gözden geçirilerek tekrar kullanılabilir veya yok edilmesi gerekebilir. Çalışma
üçüncü bir kurum veya şirket bünyesinde gerçekleştirilebilir. Çalışmanın gerçekleştirilmesi politika ve
prosedürler ile sağlanmalıdır. Bu medyaların yok edilmesi ile ilgili çalışma kayıt altına alınmalıdır.
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
Kayıt Tutma(Record Retention):
Bilgi ve datalar ihtiyaç olduğu sürece saklanmalıdır. Kurumlar bağlı bulundukları endüstri standartları
veya yasaların belirttiği süre boyunca saklamalıdır. Güvenlik uzmanlarının bilginin saklandığı alanı ve
türünü bilmesi gerekir. Belirli zaman aralıkları ile elde bulunan bilgi gözden geçirilmeli, ihtiyaçlar
doğrultusunda saklanmalı veya yok edilmelidir. Örneğin finansal bilgiler 10 yıl kadar bir süre oluşabilecek
hukuki durumlara karşı saklanmalıdır. Yada sisteme ait kayıt bilgileri 6 ay kadar bir süre saklanarak daha
sonrasında yok edilmelidir.
Güvenlik uzmanları aşağıdaki konuların sağlandığından emin olunmalıdır.
•
•
•
Organizasyonun sahip olduğu ve tuttuğu kayıtların tamamı hakkında bilgisi olması gerekir
Kayıt altında tutulan bilginin dökümante edilmesi ve güncel tutulması gerekir
Gerekli görülmeyen kayıtların tutulmadığından emin olması gerekir
Düzgün şekilde analiz edilmeyen bilgi, saklandığı alanda gereksiz yer tutabilir, bilginin işlenmesi
aşamasında performans kaybına sebebiyet verebilir.
http://www.acc.com/vl/public/ProgramMaterial/loader.cfm?csModule=security/getfile&pageid=20241
6
Kullanılan Kaynakların Korunması (Employ Resource Protection)
Güvenlik konusu kurum içerisinde kullanılan varlıkların korunmasına yönelik çalışmaların
gerçekleştirilmesine olanak sağlamaktadır. Bütün varlıkların korunması genelde mümkün olmamakta ve
çok yüksek maliyetler oluşturmaktadır. Bu kaynakların korunması aşamasında şirket için gerçekten
yüksek değere sahip olan varlıkların belirlenmesi ve buna uygun koruma yöntemlerinin geliştirilmesi
gerekmektedir.
Soyut ve Somut Varlıkların Karşılaştırılması(Tangible versus Intangible Assets):
Şirketin sahip olduğu varlıklar soyut veya somut olabilir. Somut varlıklar fiziksel oldukları için belirli bir
kategori altında değerlendirilebilir. Soyut varlıklar fiziksel olmadıkları için kategori edilmeleri oldukça
zordur. Örneğin fiziksel bir sunucu somut varlıktır, içerisinde bulunan bilgi ise soyuttur. Bu varlıklara
değer biçilmesinin farklı yöntemleri bulunmaktadır.
Fiziksel Varlıkların Korunması (Protecting Physical Assets):
Fiziksel varlıklara değer biçilmesi daha kolaydır çünkü finansal değerinin ne olduğu bellidir. Örneğin IT
departmanına bağlı bulunan son kullanıcı (masaüstü ve dizüstü) bilgisayarlardan sunuculara kadar
varlıklara değer biçilebilir. Fiziksel varlıkların korunması aşamasında potansiyel hasarlar ve hırsızlık
konuları ele alınmaktadır.
IT departmanı varlıkların korunması aşamasında hem sahiplik hem de sorumlu kişi rolünü üstlenmektedir.
Varlıkların satın alınması, bakım ve lisanslama aşamalarının tamamına IT departmanı yardımcı
olmaktadır. Güvenlik uzmanının bu aşamadaki rolü, varlıklara sahip olan kişilerin belirlenmesi ve doğru
değerin biçildiğinden emin olunmasıdır. Ayrıca bu varlıkların uygun şekilde korunup muhafaza
edilmesinde sorumlulukları arasında yer almaktadır.
Tesisler (Facilities):
Bilgi sistemleri altyapısı ve varlıklarının barındırıldığı alanlar için kullanılan tanımdır. Sistem odaları bu
konu ile ilgili uygun örnek gösterilebilir. Yangın tespit ve önleme sistemleri ile varlıkların ve çalışanların
korunması gerekmektedir. Bu alanın ısı seviyesinin ölçülmesi, belirli bir ısı seviyesinde tutulması, nem
seviyesinin ölçülmesi ve belirli bir seviyede tutulması önerilmektedir. Ayrıca su baskını ve sel gibi
felaketlere karşı gerekli önlemlerin alınmasında bu alanlarda uygulanması gereken kontrollerden
bazılarıdır. IT altyapısındaki bir çok cihazın elektrik altyapısı ile çalıştığı düşünüldüğü zaman bu alanın
elektrik ile ilgili altyapısının uygun şekilde tasarlanması ve yedeklilik büyük önem arz etmektedir. Sistem
odası içerisinde bulunan envanter etiketlenmeli, dökümante edilmeli ve bu bilgilerin düzenli olarak
güncellenmesi/gözden geçirilmesi gerekmektedir.
Donanım(Hardware):
Bilgi sistemleri altyapısında çalışan donanımların korunması; erişilebilirlik, bütünlük ve gizlilik ilkelerinin
sağlanabilmesi için büyük önem taşımaktadır. Bu alanlara sadece yetkili kişilerin erişebilmesi, bu alanlar
dışında bulunan taşınabilir donanımların masa kilitleri ile sabitlenmesi, yazıcıların yetkili kullanıcıların
bulunduğu bir alanda barındırılması, ağ cihazlarının kilitli kabinler içerisinde muhafaza edilmesi
gerekmektedir. Ayrıca bu donanımların bulunduğu alanların kapalı devre kamera sistemleri ile takip
edilmesi önerilmektedir.
7
Medya Yönetimi(Media Management):
Organizasyona ait bilgiler çeşitli medya tipleri üzerinde bulunabilir. Medya tipleri soft-copy ve hardcopy olarak ikiye ayrılabilir. Soft-copy medyalar manyetik, optik ve solid state olarak sınıflandırılır.
Manyetik medyalar; floppy diskler, teypler ve sabit sürücülerdir. CDROM, DVDROM ve Blueray diskler
optik medyalara örnek gösterilebilir. Solid-state medyalar ise USB depolama birimleri ve memory kartları
içerir. Hard-copy medyalara örnek ise kağıtlar ve mikro fişlerdir(microfiche)
Hassas veya gizli bilgiye sahip medyalar kriptolu olarak saklanmalıdır. Bu medyaların kriptolanması için
günümüzde bir çok seçenek mevcut durumdadır. Birçok sabit disk üreticisi artık halihazırda kriptolama
işlemini sağlayabilen teknolojilere destek vermektedir. Yedekleme teypleri, optik sürücüler ve USB
depolama birimleri kriptolamaya destek vermektedir. Bu aşamada güvenlik Uzman’ının kullanılması
uygun olan kriptolama çözümü konusunda yardımcı olması gerekmektedir.
Bazı durumlarda hassas bilgiler belirli bir noktadan başka bir noktaya ağ üzerinden taşınabilir. Elektronik
ortamda taşınması planlanan bilgiler ulaşması gereken uç noktaya taşınırken bir çok ağ katmanı ve cihaz
üzerinden geçmektedir. Bu trafiği dinleyen bir saldırgan gönderilen bilgiyi ele geçirebilir. Bu sebepten
ötürü bilgi ağ üzerinde taşınıyor ise kriptolu olarak taşınması gerekmektedir.
Bazı medya tipleri için özel güvenlik önlemlerinin sağlanması gerekebilir. Örneğin kullanılmakta olan
cihazlara ait yazılımlara erişim denetimi uygulanması, herkes tarafından erişilebilir durumda olmaması
gerekir. Yazılım içerisine zararlı kod enjekte edilebilir, arka kapı yerleştirilebilir, virüs ve trojan tipi
tehditlere maruz kalabilir. Bu medyaların aralıklarla bütünlüklerinin kontrol edilmesi bu tarz tehditlerin
önüne geçilmesine yardımcı olacaktır. Medyaların kurulum ve bakımları yine en az yetki seviyesine sahip
kullanıcılar ile sağlanmalı ve bu görevi üstlenen kişilerin görevleri ayrıştırılmalıdır.
Yazılımlara ait orijinal kopyalar farklı bir yazılım ile sınıflandırılmalı ve saklanmalıdır. Bu yazılım
üzerinden orijinal kopyaların, objelerin ve kaynak kodların bütünlüğü kontrol edilmelidir.
İşletim sistemi üzerinde kurulu bulunan yazılımlara ait dosyalara yetkisiz erişim sağlanması ve değişiklik
yapılması engellenmelidir. Sistem üzerinde çalışan yetkisiz kullanıcıların dosyaları sadece okuma ve
yazma haklarının olması gerekmektedir. Bu yetki seviyesi ile sistem dosyalarına, kütüphane ve
çalıştırılabilir içerikte kazara veya kasti olarak gerçekleştirilecek işlemler engellenir. Örneğin sistem
üzerinde çalışan zararlı bir kod, aktif kullanıcının yetkileri dahilinde işlemi gerçekleştirmeye çalışacağı
için üst düzey bir yetki ile bu işlemleri gerçekleştiremeyecektir, dosyaların silinmesi, değiştirilmesi veya
yeni bir dosya yaratılmasının önüne geçecektir.
Tak/Çıkar Medyalar(Removable Media):
Harici disk sürücüleri veya USB flash depolama birimleri organizasyonların bilgi kaybetmesi konusunda
büyüyen bir risk halini almaktadır. Kurumun kriptolu medya kullanımını politikalar ve prosedürler ile
bildirmesi çoğu zaman kullanıcıların kendi sahip oldukları diskleri kullanmasının önüne geçememektedir.
Bu konu bir çok probleme davetiye çıkarmaktadır:
•
•
Kurum sahip olduğu bilginin ne zaman dışarı çıkartıldığını tespit etmekte zorluklar yaşamaktadır
Kurum bilgi kullanımının ihlal edilip/edilmediği konusunda fikir sahibi olamayacaktır
Bu ihlallerin önüne geçilebilmesi için güvenlik Uzman’ının aşağıdaki önerilerde bulunması gerekir.
• Bilgi koruma yöntemi olarak aşağıdaki yöntemler uygulanmalıdır
o USB veya diğer bağlantı noktaları(portlar) izlenmeli veya kullanımı engellemelidir
o DVD, Blu-ray ve diğer yazdırma cihazları izlenmeli veya kullanımı engellenmelidir
• Eğer bu medyaların kullanımı gerekli ise aşağıdaki çözümler önerilmelidir.
o Kriptolama işlemi zorunlu hale getirilmeli ve güçlü bir erişim denetimi uygulanmalıdır
o Transfer edilen bilgiler kayıt altına alınmalı ve izlenmelidir
o Bu cihazlara ait envanter bilgileri tutulmalıdır
o Eğer gerekli ise uzaktan kazıma(wipe) işlemi gerçekleştirmeye elverişli teknolojiyi
barındıran ürünler kullanılmalıdır
o Eğer gerekli ise cihazın uzaktan yerinin tespit edilmesini sağlayan teknolojiyi barındıran
ürünler tercih edilmelidir.
8
Taşınabilir medya kullanımı beraberinde bir çok güvenlik problemi getirmektedir. Güvenlik uzmanının
uygun çözümü önermesi ve bilginin kaybolması veya çalınması durumunda oluşabilecek riski bilmesi
gerekmektedir.
Arşiv ve Çevrimdışı Depolama(Archival and Offline Storage):
Yedekleme ve arşivleme bilginin saklanması aşamasında iki farklı metot olarak kullanılmaktadır.
Yedekleme; yıkım oluşması durumunda bilginin tekrardan yüklenebilmesi için basit ve kullanışlı bir
yöntemdir. Yedekler sistem kullanıcı tarafından alınmış normal seviyedeki bilgilerdir. Geçmişe yönelik,
sıklıkla kullanılmayan ve ihtiyaç halinde erişilmesi gereken bilgiler ise arşiv kategorisinde
değerlendirilmektedir. Bu bilgilere erişim kısıtlanmalı, yetkili kişiler tarafından erişim sağlanmalı ve bu
alanlarda saklanan bilgiler periyodik olarak gözden geçirilmelidir.
Yedekler veya arşivler tekrardan canlı sistem üzerine yüklenerek kullanılması gerekebilir. Bu bilginin
sadece saklanması yeterli değildir. Belirli prosedürler ile bu verilerin tekrardan kullanılabilir olduğu
kontrol edilmelidir. Gerçekleştirilecek testler ile geri döndürülecek bilginin ne kadar sürede işleneceği
bilgisini elde edebilir ve duruma uygun yedekleme çözümü kullanabiliriz. Ayrıca bu testler geçmişe
yönelik alınan yedeklerin güncellenen sistemler üzerinde kullanılabileceği konusunda fikir sahibi
olunmasına yardımcı olacaktır.
Yok etme/Tekrar Kullanım(Disposal / Reuse):
Eğer bir medyanın farklı bir bilgi saklama amacı ile tekrar kullanılması gerekiyor ise, içerisinde bulunan
artık bilginin tamamen temizlenmesi gerekmektedir. Basit işlemlerle silinen veya biçimlendirilen
medyalar aslında bilgiyi gerçekten yok etmemektedir. Medyanın içerisindeki verinin silinmesi veya
biçimlendirilmesi sadece disk üzerinde bulundukları alanın işaretlenme bilgilerini temizlenmesini
sağlamaktadır. Çeşitli yazılım ve teknikler ile bu bilgilere erişim sağlayan bir çok teknolojik imkan
bulunmaktadır.
Özel donanımlar(degaussers) ile manyetik medyalar temizlenmektedir. Bu donanım, medyalara farklı
enerji yüklemesi uygulayarak manyetik alanları üzerindeki verinin bozulmasını sağlamaktadır. Tekrar
kullanılacak medyalar için uygun donanımın kullanıldığına emin olunması gerekir. Bazı donanımlar
medyaları tamamen kullanılmaz bir hale getirebilmektedir.
Geliştirilen bazı yazılımlar medya üzerindeki bilginin tamamen yok edilmesine ve tekrardan
kullanılmasını sağlayabilir. Manyetik medya üzerinde bulunan alanlara rastgele anlamı olmayan değerler
yazılmasını sağlayarak medya tekrar kullanılabilir. Üzerine yazma işlemi sadece-okuma(read only)optik
medya harici bir çok elektronik medya cihazı üzerinde işe yaramaktadır. Bu işlemin az sayıda
uygulanması verinin tekrardan okunabilir hale gelmesine sebebiyet verebilir. Hassas olmayan bilgiler için
bu işlemin 1 defa uygulanması yeterlidir. Daha kritik seviyede bilgilerin saklandığı medyalarda bu işlem
defalarca uygulanmalıdır.
Yok etme işlemi metotlarından bazıları; parçalama, yakma, öğütme ve toz haline getirilmesi medyalara
uygulanan fiziksel yöntemlerdir. Degaussing sadece medyanın tekrar kullanılmasını sağlayan bir yöntem
değil aynı zamanda yok edilmesinede kullanılan bir yöntemdir. Parçalama ve yakma işlemi katı olmayan
medyaların yok edilmesinde kullanılan bir yöntemdir. Bazı parçalama cihazları optik diskler gibi katı
medyalarında yok edilmesini sağlamaktadır. Bu işlemleri gerçekleştiren sertifikalı kuruluşlar
bulunmaktadır. Medyaları kurumdan teslim alarak yetkili personel gözetiminde yok edilmesini
sağlamaktadırlar.
https://www.nsa.gov/ia/_files/government/MDG/NSA_CSS-EPL-9-12.pdf
9
Varlık Yönetimi(Asset Management):
Varlık yönetimi bilgi güvenliğinin bir temelidir. Eğer bir kurum sabit sürücüler, sunucular veya sistemler
için hesaplama yapmaz ise kaybettiği bilginin ne olduğunu bilemeyecektir. Varlık sistemleri ayrıca erişim
denetimi içinde kullanılmaktadır.(Network Authentication/Access Control – NAC). Güvenlik uzmanı olan
kişinin varlık yönetimi konusunda gözden geçirmesi gereken iki konu bulunmaktadır. Yazılım ve ekipman
varlık yönetimi.
Yazılım Lisanslama(Software Licensing):
Korunması gereken önemli varlıklardan biride yazılımlardır. Orijinal yazılımlar ve lisanslar, kurumun
koruması gereken varlıklardandır. Kurum içerisinde çalışan kişiler etik olmayacak şekilde kuruma ait
illegal kopyaları kendi faydaları için kullanabilmektedir. Güvenlik uzmanlarının bu aşamada uygulaması
gerekenler aşağıdaki gibidir.
• Bu varlıkların fiziksel kontroller ile saklanması
• İllegal kopyalamanın engellenmesi
• İllegal dağıtımın engellenmesi
Yazılımlara ait kopyalar ve lisanslar, yazılım veya belirlenen sorumlu bir kişi tarafından kontrol edilmeli,
aralıklarla ile sistemler üzerinde yazılımlara ait envanter çalışması gerçekleştirilmelidir. Yapılan bu
envanter çalışması izinsiz yazılım ve lisans kullanımının tespit edilerek önlenmesine yardımcı olacaktır.
Ekipman Yaşam Döngüsü(Equipment Lifecycle):
Kurum içerisinde bulunan ekipmanlar bir çok bilgi ve görevin işlenmesinde etkin rol oynar. Ancak
ekipmanlarında bir ömür süresi bulunmaktadır. Şirket bünyesinde işlenen bilginin artması, ekipmanların
üzerine yüklenen görevleri yerine getiremeyecek kapasite üst sınırına ulaşması veya destek sürelerinin
bitmesi yaşanılan durumlar arasında yer almaktadır. Güvenlik uzmanlarının ekipmanlara ait yaşam
döngüsünü iyi inceleyerek duruma göre uygun çalışmayı gerçekleştirmesi beklenir. Konu ile ilgili bilgiler
aşağıda yer almaktadır.
•
•
•
•
İhtiyaçların Belirlenmesi
o Kurum için belirlenen güvenlik ihtiyaçlarını karşılayıp/karşılanmadığı
o Güvenlik özelliklerinin bulunduğu cihazların uygun fiyata sağlandığı
o Satın alınması yapılacak ürünün, organizasyonun mimarisine uygun olup/olmadığı
Varlıkların edinilmesi ve implementasyonu
o Ekipmandan talep edilen güvenlik özelliklerinin sağlanması
o Ekipman üzerine uygun yazılım, konfigürasyon ve özelliklerin uygulanması
o Ekipmanın belirli standartlar ve sertifikasyonları sağlayıp sağlamadığı
o Ekipman listesine kayıt edilmesi
Operasyon ve Bakım
o Kuruma uygun güvenlik özelliklerinin uygulanması ve analiz edilmesi
o Ekipmanın zafiyetlerinin analizi
o Güvenlik ile ilgili konularda ürüne sağlanan destek durumu
o Cihaz üzerine uygulanan konfigürasyonların değişiklik yönetimi ile takip edilmesi
Yok etme ve Devre Dışı Bırakma
o Ekipmanın güvenli bir şekilde temizlendiğinden veya yok edildiğinden emin olunması
o Devre dışı bırakılan veya operasyondan çıkartılan ekipmanı envanter listesinde
güncellenmesi
10
Olay Müdahale Yönetimi(Manage Incident Response):
Güvenlik uzmanlarının operasyon içerisinde çalışan bir çok güvenlik teknolojisini anlamak ve
kavramaktan sorumludur. Ayrıca operasyon içerisinde gerçekleştirilen; değişiklik, konfigürasyon, olay ve
problem yönetimi ile ilgili konulara da vakıf olması gerekmektedir.
Olay Yönetimi(Incident Management):
Oluşan ihlallerin hızlıca tespit edilmesi ve adreslemesi olay yönetiminde çok önemli bir yer almaktadır.
Potansiyel oluşabilecek vakalara karşı önleyici önlemlerin alınması ve yayılmasını engellemek hızlı tespit
ve adresleme ile sağlanabilmektedir.
Başarılı bir olay yönetimi için; insan, işlem ve teknolojinin kombine edilmesi gerekmektedir. Olay
yönetimi için; bu iş ile ilgili tecrübesi bulunan personelin görev alması ve uygulanacak işlemi teknoloji
ile harmanlayarak hızlı ve düzgün sonuç alınması gerekir.
Daha önce yaşanmış olaylar düzgün bir biçimde dökümante edilerek gelecekte yaşanılacak benzer
olaylarda uygulanması gereken çözümler, prosedürler ile tanımlanmalıdır. Olayın türü ve cinsine göre
farklılıklar olabilir, her olay için farklı bir prosedür hazırlanması önerilmektedir. Hazırlanan bu doküman
ve prosedürler gelecekte karşılaşılacak olaylara müdahaleyi hızlandırmasının yanında en doğru çözümün
uygulanmasında kuruma yol gösterecektir.
Güvenlik ölçekleri, ölçümler ve raporlama(Security Measurements, Metrics, and Reporting):
Güvenlik ölçekleri kurumun bulunduğu güvenlik seviyesinin tespit edilmesinde büyük önem taşımaktadır.
Ölçümler ise kurumun uyguladığı güvenlik teknolojilerinin ne seviyede olduğunu belirlemede rol oynar.
Bir çok güvenlik teknolojisi ölçüm ve ölçekleri desteklemektedir. Saldırı tespit ve önleme sistemleri
tespit edilen ve engellenen saldırılar ve bunları gerçekleşme sürelerini bizlere bildirebilir. Güvenlik
duvarları yapılan saldırının hangi IP adresi üzerinden tekrarlandığı veya diğer atak türleri hakkında bize
bilgi verebilir. E-posta güvenliğini sağlayan bir ürün, kuruma gönderilen kaç adet spam mesaj olduğunu,
kaçta mesajın engellendiğini, kaç tanesinin tespit edildiğinin bilgisini sağlayabilir. Bir çok güvenlik ürünü
bu gibi istatiksel bilgileri bizimle paylaşabilir.
Bu istatiksel bilgilerin kurum yöneticileri ile paylaşmak, kuruma yapılacak yatırımlar konusunda bir yol
izleme yöntemi olabilmektedir.
Raporlama çalışmaları güvenlik operasyonunun başarılı bir şekilde ilerlemesine yardımcı olacaktır.
Teknik detaylı raporlar, uzmanlarca ve operasyonu yöneten kişilerce değerlendirilmelidir. Yöneticilere
ise daha az teknik bilgi içeren, servislerin şuanda bulundukları durumu belirten ve grafik ağırlıklı
raporlar sunmak daha yardımcı olacaktır.
Bu bilgilerin raporlanması, kurumun veya verilen hizmetin durumuna göre zaman farklılıkları
gösterebilmektedir. Yönetimin belirlediği süreler; yıllık, aylık, haftalık ve bazen günlük olabilmektedir.
Güvenlik Teknolojilerinin Yönetilmesi(Managing Security Technologies):
Bir çok büyük kurumsal şirkette çok sayıda güvenlik teknolojisi bulunabilmektedir. Bu teknolojilerin
uygun bir şekilde bakımının yapılması ve yönetilmesi gereklidir. Kullanılan teknolojinin korudukları varlık
veya bilgiler kritik seviyede olabilmektedir. Ayrıca bu teknolojilerde oluşabilecek hatalara karşı uyarı
mekanizması bulunması ve sorumlu kişilere bilgilendirme mesajlarının iletilmesi gerekir. İletilen bu
mesajlar ile oluşan olay veya duruma göre çok hızlı aksiyon alınması sağlanabilir.
11
Sınır Kontrolleri(Boundary Controls):
Güvenlik uzmanlarını ilgilendiren önemli güvenlik teknolojilerinden biri sınır kontrolleridir. Sınır
kontrolleri; bir veya birden fazla güvenli ve güvensiz varlığın arasında bulunabilir. Sınır kontrollerine
örnek olarak güvenlik duvarları, yönlendiriciler(routers), proxy veya diğer güvenlik teknolojilerini
gösterebiliriz. Benzer teknolojiler çalışan envanter üzerinde farklı işlemleri korumak için
kullanılabilmektedir. Örneğin işletim sisteminin çekirdeğinde çalışan işlemler ile son kullanıcının
gerçekleştirdiği işlemler aynı zararlı içerik yazılımı ile güvenli hale getirilebilmektedir.
Güvenlik operasyonlarında bu teknolojilerin gerçekten düzgün bir biçimde kurgulandığına ve takip
edildiğine emin olmak gerekmektedir. Güvenlik duvarlarında veya erişim denetimi listelerinin titizlikle
düzenlendiği, oluşturulan kuralların diğer varlıkları olumsuz etkilemediği ve performans kaybına
sebebiyet verebilecek bir konfigürasyon bulunup bulunmadığı operasyon güvenliğinden sorumlu kişi veya
kişilerce takip edilmelidir.
Tespit(Dedection):
Saldırı tespit ve önleme sistemleri, anlık veya an’a yakın bir sürede gerçekleşen saldırıları analiz
edebilme yetisine sahip teknolojilerdir. Saldırı tespit sistemleri(IDS) sadece oluşan saldırının tespit
edilmesi ve konu ile ilgili sorumlu kişilere uyarı gönderebilmesini sağlamaktadır. Saldırı önleme
sistemleri(IPS) ise sorumlu kişilere uyarı göndermenin yanı sıra oluşan saldırının tespit ve engellemesinde
rol oynamaktadır.
Saldırı tespit/önleme sistemleri ağ ve sunucu seviyesinde bulunabilmektedir. Ağ temelli saldırı
tespit/önlem sistemleri, ağ trafiğini izleyerek çalışır. Sunucu tabanlı saldırı tespit/önleme sistemleri ise
sunucu üzerinde çalışan işlemleri ve kayıt defterlerini inceleyerek çalışmasını gerçekleştirir.
Saldırı tespit/önleme sistemlerinde dikkat edilmesi gereken bir konu ise cihazın konumlandırılmasıdır.
Saldırı önleme(IDS) sistemleri genel olarak ağ trafiğinin üzerinden geçmesini zorunlu kılacak bir alandan
bulundurulmaz. Oluşabilecek bir ihlal durumunda saldırı gerçekleşir ve sadece bu saldırının gerçekleştiği
bilgisi ulaştırılır. Saldırı önleme sistemleri(IPS) benzer şekilde konumlandırılabilir. Ancak saldırı tespit
sistemleri(IPS) genellikle ağ trafiğinin tam ortasına konumlandırılır. Bu ağ trafiğinin tamamen
izlenmesine ve oluşabilecek saldırıların engellenmesine yardımcı olacaktır. Ancak bu konumlandırma
işlenen trafiğin incelenmesi sebebi ile gecikmelere sebebiyet verebilmektedir.
Saldırı tespit sistemleri aşağıda belirtilen özelliklerle çalışabilmektedir:
• İmza temelli: Saldırı tespit/önleme sistemine ait veri tabanında bulunan ve bilinen saldırılar ile
trafiğin karşılaştırılması
• Protokol anormalliği temelli: Protokollerin çalışma prensiplerini belirleyen RFC dokümanlarında
bildirilen çalışma şeklinin dışına çıkan trafiğin tespit edilmesi
• İstatiksel anormallik temelli: Ağ trafiğinde herhangi bir engelleme yapılmadan sadece
dinlenmesi ve normal trafiğin tespit edilmesi. Daha sonrasında engelleme özelliğini devreye
alarak normal trafik ile karşılaştırılarak anormalliğin tespit edilmesi amaçlanmaktadır. Günümüz
teknolojilerinde bu temel özelliklerden bir veya birden fazlası kombine edilmektedir.
Bazı durumlarda IDS ve IPS sistemleri hatalı sonuçlar üretebilmektedir. Normal bir trafiği zararlı bir
içerik olarak tespit edebilir(false-positive) veya zararlı bir içeriği normal bir trafik olarak algılayarak
geçmesine izin verebilmektedir(false-negative). Bu tarz durumların önüne geçilebilmesi için bu ürün
ailesinin düzgün şekilde konfigüre(tuned) edilmesi gerekmektedir.
Bu ürünlere ait çıktılar düzgün bir biçimde takip edilmesi ve gerekli önlemlerin alınması gerekmektedir.
12
Kötü amaçlı yazılım sistemleri(Anti-Malware Systems):
Günümüzde bu yazılımlar kurum içerisinde birden fazla alana entegre edilerek çalışabilmektedir.
İstemciler, e-posta sunucuları ve anahtar noktada bulunan ağ geçitleri veya birleşik tehdit yönetim(UTM)
teknolojileri üzerinde çalışabilmektedir. Saldırı tespit/önleme, içerik filtreleme ve güvenlik duvarları ile
de entegre çalışabilmektedirler.
Kötü amaçlı yazılım sistemlerinin efektif olarak kullanılması için güncel veri tabanına sahip olmaları ve
aktif olarak sistem üzerinde çalıştıklarından emin olmak gerekmektedir. Bu yazılımların sisteme yeni
bağlanan medyaları ve e-posta mesajlarını izlemesi, belirli zaman aralıkları ile sistemi gözden geçirmesi
operasyona fayda sağlayacaktır.
Güvenlik olay bilgilerinin yönetimi(Security Event Information Management):
Güvenlik ile ilgili oluşan kayıtların anlık olarak izlenmesi operasyonun düzgün bir şekilde ilerleyebilmesi
için gereklilik arz etmektedir. Sistem audit kayıtları operasyonun işleyici için değerli bilgiler
barındırabilir ancak bu kayıtlar sorumlu kişilere bildirim yapamaz ve farklı sistemlerde oluşan kayıtların
karşılaştırmasını gerçekleştiremezler.
Güvenlik ile ilgili kayıt bilgileri genel olarak başarılı ve başarısız erişim bilgilerini, servis hataları ve
benzer bilgileri bize sunmaktadır. Tek bir sistem üzerinden bu kayıt bilgilerinin tutulması, saklanan
bilginin disk alanı üzerinde fazla yer tutmasına ve gerekli olan bilgiye erişim sağlanması aşamasında
performans kayıplarına yol açacaktır. Örneğin başarılı erişimlerin kayıt altına alınması bazı kurumlarda
gerekli görülmemektedir.
Kayıt bilgilerinin bir diğer dezavantajı ise sadece tek bir sistem için kayıt üretmekte olmalarıdır. Birden
fazla sistemde oluşan hatanın tespit edilmesi veya bir olayın geriye dönük bir biçimde incelenmesine
olanak sağlamamaktadır. Bu sorunlara çözüm olarak güvenlik olay bilgilerinin yönetimi devreye
girmektedir. Bu teknoloji, farklı türdeki sistemlerin bir çoğundan gelen kayıt bilgilerinin toplanması,
karşılaştırılması ve analiz edilmesinde bizlere hızlı ve pratik çözümler üretmektedir. Ayrıca anlık oluşan
olayların izlenme ve takip edilmesi konusunda operasyonu yöneten kişilere kolaylık sağlayacaktır.
Bu teknoloji ayrıca geçmişe yönelik bir çok farklı sistem ile ilgili raporların oluşturulmasında yardımcı
olmaktadır.
Kayıt yönetim sistemleri(log management systems) benzer özellikleri barındırmaktadır. Genel olarak
SEIM çözümleri ile benzer özellikleri sağlasalar da genel olarak geçmişe yönelik raporların
oluşturulmasından kullanılmaktadır. En uygun kullanım biçimi ise Kayıt yönetim sistemleri ve SEIM
çözümlerinin bir arada kullanılması olacaktır.
Bu çözümler üzerinde saklanan kayıt bilgilerinin yedeklenmesi ve arşivlenmesi gerekmektedir. Bir çok
SEIM ürünü kayıtların incelenmesi ve rapor oluşturma işlemlerinde belirli kapasitelere sahiptir. 30 ile 180
gün arasında bulunan kayıtların aktif disk alanında bulundurulması. Daha uzun süreli kayıtların farklı bir
disk alanında bulundurulması, daha eski kayıtların ise arşivlenerek başka bir alana taşınması
gerekmektedir. Daha sonrasında ihtiyaç bulunmayan eski kayıt bilgilerinin kurumun prosedürüne uygun
şekilde silinmesi veya yok edilmesi gerekmektedir.
SEIM çözümleri şirketlerin ölçümleri yapabilmesine ve sağlaması gereken standartlardaki uyumluluk
seviyesine ulaşabilmesi için gereklilik göstermektedir.
13
Yanıt(Response):
Bir olayın tespit edilmesinin ardından çevreleyici bir stratejinin belirlenmiş olması gerekir. Çevreleyici
strateji(containment strategy); cihazın ağ trafiğinden çıkartılması, sistemin kapatılması veya ağ
trafiğinin izole edilmesi gibi aksiyonlar içerebilir. Çevreleyici strateji birçok kriter içermektedir:
•
•
•
•
•
Adli analizler için uygun aksiyonun uygulanması
Etkilenen bileşene ait diğer servislerin erişilebilirliği
Etkilenen bileşenin oluşturabileceği potansiyel zararın tespiti
Çevreleyici stratejinin efektif olarak uygulanabilmesi için gerekli zaman
Etkilenen bileşen için ayrılmış olan kaynaklar
Çevreleyici önlemin uygulanması konusunda yaşanılacak zaman kaybı diğer bileşenlerin etkilenme sinede
sebebiyet verebilmektedir. Ayrıca bu aşamada toplanacak bilgiler gelebilecek saldırılar için alınan
önlemlere kaynak oluşturabilecektir. Bu sebeple deneyimli güvenlik uzmanlarınca gelen saldırıların
analizleri için dış ağlara honeypot sistemleri konumlandırılmaktadır.
Ayrıca güvenlik takımının bellek ve sabit sürücüden adli bir süreç oluşma ihtimaline karşı uygun yapıda
‘image’ alması ve bilgiler ile gerçekleştireceği analizlerin zafiyetin ne olduğu konusunda tespitler
yapabilmesine olanak sağlayacaktır.
Olaylar sonucunda gerçekleştirilen çalışmanın dokümante edilmesi, bu çalışmanın nasıl
gerçekleştirileceği ile ilgili prosedürlerin hazırlanması ve benzer vakalara hızlı çözümler ürütebilmek için
kayıt altına alınması gereklidir. Bu bilgiler doğrultusunda oluşan olayın üçüncü şahıslara analiz edilmesi
için kurumun elinde veri bulunacaktır.
Raporlama(Reporting):
Bazı kurumlar daha önceden belirlenmiş olay türlerini raporlamak ile sorumludur. Güvenlik uzmanının
hangi durumlarda üst yönetime ve adli mercilere durumu bildirmesi gerektiği konusunda bilgi sahibi
olması gerekmektedir. Politika ve prosedürlerde hangi olayın bir suç olabileceği detaylı bir şekilde
belirtilmiş olması gerekir.
• Media veya kurumun dış ilişkileri kapsanmalı mı?
• Organizasyonun yasal inceleme ekibi konuya dahil olmalı mı?
• Hangi durumlarda organizasyonun üst yönetim birimleri bilgilendirilmeli?
• Olayın dururumu ile ilgili bilgi nasıl bir gizlilik ile saklanmalı?
• Olayı raporlamak için ne tür bir yöntem kullanılmalı? Raporlar e-posta sistemi ile iletiliyor
olabilir, peki e-posta sistemi saldırıya uğradıysa? Alternatif metotlar belirli mi?
http://www.whitehouse.gov/sites/default/files/omb/memoranda/fy2006/m06-19.pdf
Kurtarma(Recovery):
Kurtarma işlemi temel geri yükleme işlemleri ile sağlanabilir. Örneğin sisteme ait yedekleme dosyaları
ile sistem eski haline getirilebilir. Ancak sistem üzerinde bulunan veriler anlık olarak güncelleniyor ve
bilgiler yüksek önem seviyesine sahip ise bilgi kaybına yol açılacaktır. İlk aşamada yapılması gereken
sisteme yedekten geri yükleme yapılması yerine sistemi tehditten temizleyerek çalışır hale
getirilmesidir(eradication). Eğer sistem kötü yazılım veya virüsten temizlenemiyor ise bu aşamada
sistemin daha öncesinde elde edilen ve stabil çalıştığına emin olunan bir sürüm ile geri yüklenmesi
sağlanır. Bazı durumlarda bu stabil yedek, benzer zafiyetleri barındırabilir. Alınan yedek düzgün bir
şekilde geri yüklemeye elverişli olmayabilir. Bu tarz hatalar ile karşılaşmamak için belirli aralıklar ile
alınan yedeklerin farklı bir alana geri yüklenerek test edilmesi gerekmektedir.
14
İyileştirme ve Yorum(Remediation and Review):
Olay yönetiminde en önemli konu daha önce gerçekleşmiş olayların gözden geçirilmesi ile ilişkilidir.
Organizasyonların daha önce gerçekleşen olayları incelemesi ve analiz etmesi gelecekte yaşanılacak
problemlere karşı fırsat oluşturacaktır.
Kök Neden Analizi(Root Cause Analysis):
Bu analiz yönteminde olaylara ‘Neden?’ sorusu yöneltilir.. Olaya karşı sorulan ‘neden’ sorusu olayın
neden geliştiği ve gelecekte bu olaya karşı nasıl bir önlem alınması gerektiğini ortaya koymaktadır. RCA
gerçekleştirme aşamasında sisteme ait kayıt defterlerinin incelenmesi, politikalar, prosedürler, güvenlik
dokümanları ve mümkün ise olayın gerçekleştiği zamana ait elde edilen ağ trafik bilgileri bir araya
getirilerek analiz işlemi gerçekleştirilir. RCA takımı geriye yönelik çalışarak olayın başladığı ilk noktayı
bulmayı hedefler. Sisteme güvenlik yaması yüklenmemiş mi? Eğer doğru ise, Neden sisteme güvenlik
yaması yüklenmemiş? Sistem yama ekibi sistemin kapalı olduğunu belirtmiş. Peki sistem neden
kapalıymış? Yeni politikalar gereği kullanılmayan sistemlerin kapalı olması gerekmekteymiş. Peki yeni
yama yayınlanacağı zaman sistem ağ üzerinden açılarak internet bağlantısı devre dışı bırakılarak yama
yükleme işlemi gerçekleştirilebilir mi? Eğer sorunun cevabı ‘evet’ ise çözüme ulaşılmış demektir. Eğer
sorunun cevabı ‘hayır’ ise takım soru sormaya devam edecektir.
Yukarıda bahsedilen basit bir eksik yama uygulanmasının anlaşılması ve önlenmesi ile ilgili verilen bir
örnekti. Saldırganların bir sistem üzerinde farklı zafiyetler ile gerçekleştirdikleri saldırıları olayın
çözümünü hızlı bir şekilde zorlaştıracaktır. Güvenlik uzmanı ve kıdemli yöneticinin(senior management)
RCA takımını desteklemesi gerekmektedir. RCA takımının çıkartacağı risk seviyesi ile alınacak önlemler
kurumun gelecekte karşılaşabileceği hataları en az seviyeye indirme ve hızlı bir şekilde çözüm bulmasına
yardımcı olacaktır.
Problem Yönetimi(Problem Management):
Olay ve problem yönetimi birbirleri ile bağlantılı konulardır. Olay yönetimi öncelik olarak olumsuz
olayları yönetmekte, problem yönetiminin önceliği geriye dönük olarak olayı takip etme, altta yatan
sorunu ele almaktadır.
Problem yönetimi bazı sebeplerden ötürü olay yönetiminden farklı gözükmektedir. Öncelikle iki yönetim
şeklinindi hedefleri farklıdır. Olay yönetimi daha çok olayın etkilerinin azaltılmasına, problem yönetimi
ise potansiyel olayları ve kusurları adresleme yönelik çalışmayı ortaya koymaktadır. Problem yönetiminin
bir diğer özelliği ise uzun vadede envanter üzerinde oluşabilecek olayları görmeyi hedefler. Sıklıkla
yaşanmayan olayların altında yatan nedenlerin analiz edilmesi uzun bir zaman alabilmektedir.
Güvenlik Denetimleri ve İncelemeler(Security Audits and Reviews):
Güvenlik denetimleri kurumdan bağımsız üçüncü şahıs veya kurumlarca gerçekleştirilmektedir. Güvenlik
denetimleri kurumun uyguladığı güvenlik kontrollerinin ne seviyede bulunduğunu derecelendirmektedir.
Güvenlik incelemeleri sistem için gerçekleştirilen bakım çalışmalarının yeterliliği ve zafiyetleri içerebilir.
Bazı zafiyetler politikaların uygulanmaması, konfigürasyon eksikliği, donanım veya yazılımda bulunan
kusurlardan
meydana
gelebilmektedir.
Güvenli
incelemeleri
bazen
güvenlik
açığı
değerlendirmesi(vulnerability assessment) ile bağdaştırılabilir.
Penetrasyon testleri sistem üzerinde yetki elde etmek veya taviz yaratmaya yönelik çalışmalardır.
Penetrasyon testleri fiziksel olarak sisteme erişimle veya kuruma dışardan gerçekleştirilen yöntemler ile
sağlanabilir.
Güvenlik denetimleri iç ve dış olarak ikiye ayrılır. İç denetimler organizasyon içerisinde bulunan ancak
sistem üzerinde yönetim yetkisi bulunmayan kişilerden oluşmaktadır. Dış denetimler kurumun dışardan
güvenlik ihtiyaçlarının incelenmesine yardımcı olacaktır. Bu incelemelerin üst yönetim ile paylaşılması
ve zayıflıkların izah edilmesi önem taşımaktadır.
15
Saldırılara Karşı Önleyici Tedbirler(Preventative Measure against Attacks):
Güvelik uzmanlarının, yaygın güvenlik zafiyetlerini ve gelebilecek güvenlik tehditlerini iyi anlaması
gerekmektedir. Kuruma ait varlıkların korunmasında en uygun çözümün belirlenmesi ve kurumun iş yapış
şekline uygun esnek yapının belirlenmesinde yardımcı rol oynamaktadır.
Operasyon bir çok tehditten etkilenebilmektedir. Bu tehditler kimi zaman bireysel kimi zaman ise
çevresel faktörlerden kaynaklanabilmektedir. Güvenlik uzmanlarının bu tehditler ile ilgi farkındalığı
arttırması ve oluşabilecek zararı en az seviyeye veya limite çekmesi için önleyici tedbirler
uygulanmasında destek olması gerekmektedir. Bu güvenlik önlemleri erişe bilirlik, gizlilik ve bütünlük ile
sağlanabildiği gibi gelen tehditler ise karşılığı olan: ifşa, bozma ve tahrip gibi zararlara yol açabilir.
Yetkisiz İfşa(Unauthorized Disclosure):
Bilginin yetkisiz bir kişi tarafından ifşa edilmesi önemli bir tehdit oluşturmaktadır. İfşa kimi zaman bir
saldırganın sistem üzerinde yetkisiz bir hak elde etmesi sonucu gizli bilgiye erişmesi ile oluşabilir. Bazen
de sisteme bulaşan zararlı bir yazılım vasıtası ile gerçekleşebilmektedir. Bazen ise şirket içinde çalışan
kötü niyetli bir personel veya iş ortaklarınca ifşa edilebilmektedir. Operasyon açısından bakıldığında
uygun teknik kontroller ve yetkilendirmeler ile gizli bilginin korunması ve izlenmesi ifşa tehditti için
önleyici bir yöntem olacaktır.
İmha, Kesinti ve Hırsızlık(Destruction, Interruption, and Theft):
Kötü niyetli, kasıtsız ve kontrol edilemeyen onarılamaz hatalar , sistemin bilgisinin ve kaynaklarının
zarar görmesine sebebiyet verecektir. Kötü niyetli personel ve yazılımlar bilgiye zarar verebileceği gibi
kötü niyetli olmayan bir personelin bir dosyayı yanlışlıkla silmesi de bilgiyi zarara uğratacaktır. Güvenli
bir operasyonun bilginin korunduğundan ve hatalara karşı çeşitli önlemler ile korunduğundan emin
olunması gerekir.
Kesintiler günlük operasyon için büyük sorunlar teşkil edebilmektedir. Ekipmanın bozulması, servisler
veya operasyonel prosedürler sistemin devre dışı kalmasına sebebiyet verebilmektedir. Servis engelleme
saldırıları ve kötü niyetli kodlarda sistemin kesintiye uğramasına sebebiyet verebilmektedir.
Erişilebilirlikteki kayıp kimi zaman teknoloji ile kimi zaman ise el ile en uygun şekilde eski haline
getirilebilmelidir.
Hırsızlıkta yaygın güvenlik tehditlerinden biridir. Büyük ölçekli hırsızlıklar, bileşenlere karşı
gerçekleştirilen hırsızlıklara göre daha düşüktür. Bu ve benzer tehditler ve soruşturmalarda göz önünde
bulundurulmalıdır.
Yolsuzluk ve yanlış değişiklikler(Corruption and Improper Modification):
Çevresel faktörler sistem ve bilginin zarar görmesinde önemli bir rol oynamaktadır. Isı seviyesindeki
dalgalanmalar veya güç kabloları bilginin yazılma aşamasında hatalara sebebiyet verebilir. Uygunsuz
veya kazara yapılan değişiklikler tablo yetkilerinin veya bilginin bozulmasına sebebiyet verebilmektedir.
Güvenlik uzmanlarından beklenen: önemli sistemler üzerindeki verinin bütünlüğünün sağlanması,
prosedürler aracılığı ile yetkili kişilerce bu değişikliklerin yapılması ve izlenmesine yönelik çalışmalar
olacaktır.
16
Yama ve Zafiyet Yönetimi(Patch and Vulnerability Management):
Konfigürasyon ve değişiklik yönetiminin anahtarlar unsurlarından biriside yazılım güncellemeleri yada
diğer adıyla yama yönetimidir. Üreticilere ait ürünlerde bulunan kusurlar sürekli olarak
keşfedilmektedir. Çalışan sistemlerin ihtiyaç duyması sebebi ile bu yamaların uygulanması hiç bitmeyen
bir döngü olarak karşımıza gelmektedir. Kurum için bu güncelleştirmelerin uygulanması bir kaç seferlik
bir çalışmadan ibaret değildir. Yama yönetimi, konfigürasyon ve değişiklik yönetimi ile tam bir uyum
içerisinde sağlanmalıdır.
Güvenlik ile ilgili yamalar da diğer yama türlerinde olduğu gibi ortaya çıkan güvenlik zafiyetlerinden yola
çıkarak hazırlanmaktadır. Üreticiler hızlı bir şekilde uygulamada veya gömülü yazılımlarda(firmware)
tespit edilen zafiyetlere sürüm güncellemeleri ile çözümler üretmektedir. Bazı durumlarda üretici
çıkardığı yazılım güncellemelerinde detaylı bir bilgi paylaşmıyor olabilir. Güvenlik ile ilgili yayınlanan
bilgilendirmelerin takip edilebileceği içeriklerden aşağıda bahsedilmektedir.
•
•
•
cve.mitre.org: The common Vulnerability and Exposures veri tabanı standart isim ve
numaralandırmalar ile zafiyet hakkında bilgilendirme yapmaktadır.
nvd.nist.gov: US National Institute of Standart Technogoy(NIST) tarafından sağlanan, bilinen
güvenlik zafiyetleri ile ilgili bilgilendirme yapmaktadır.
www.cert.gov: Güvenlik zafiyetleri ve iyileştirmeler ile ilgili geniş bir veri tabanı ile
bilgilendirme yapmaktadır.
Her yıl çok sayıda güvenlik zafiyeti tespit edilmektedir. Güvenlik uzmanları sistemleri analiz ederek
bilinen güvenlik zafiyetlerine karşı tedbir almalı ve iyileştirmeleri sistemler üzerine uygulamalıdır.
Kusurları takip ve tespit edebilen bir çok otomatize ve el ile kullanılabilen test cihazları, sistemler ve
uygulamalar bulunmaktadır. Bu sistemlerin bir çoğu otomatize olarak çalışarak bilinen güvenlik
zafiyetlerini sistemler üzerinde bulunup/bulunmadığını tespit etmektedir. Bu ürünlerin güncel olması ve
düzgün bir şekilde konfigre edilmeleri gerekmektedir. Bu ürünler diğer otomatize yazılımlarda olduğu
gibi false-positive sonuçlar üretebilmektedir. Güvenlik uzmanlarının aldıkları çıktıları çok iyi analiz
ederek bu alarmların gerçekten bir zafiyet yada yazılımın hatası olup olmadığını anlaması
gerekmektedir.
Öncelikle kusurlu sistemde zafiyet araştırması yapabilmek için ürün hakkında keşif çalışması yapmak
gerekmektedir. Bulunan zafiyet için gerçekten yama uygulanması gerektiğine ise güvenlik uzmanı karar
vermelidir. Güvenlik zafiyetleri de bu başlık altında farklı kollara ayrılmaktadır. Örneğin, Sistem üzerine
yama uygulanmadı ise risk nedir? Bu zafiyetin kullanılabilmesi için yetki gerekli mi? Bu güvenlik zafiyeti
kullanılarak sistem üzerinde yüksek yetkilere çıkılabiliyor mu? Bu güvenlik zafiyetini kullanmak kolay mı?
Güvenlik zafiyetini kullanabilmek için sisteme fiziksel olarak erişmek gerekiyor mu? Bu ve buna benzer
sorular ile güvenlik yamasının sistem üzerine uygulanması konusuna güvenlik uzmanları karar vermelidir.
Güvenlik yamaları sistem üzerine uygulanırken sistem yöneticisi ile ortak bir çalışma gerçekleştirilmesi
gerekmektedir. Bazı üreticilerin geliştirdikleri yamalar, konfigürasyonları ve güvenlik ayarlarını
değiştirebilmektedir. Bazı yama çeşitleri hassas dosyalar üzerindeki erişim listelerini değiştirebilmekte
ve başka güvenlik zafiyetlerine sebebiyet verebilmektedir. Güncellenen sistemler bu yamalar sebebi ile
operasyonun aksamasına ve uygulanan şirket politikasını olumsuz etkilenmesine yol açabilmektedir.
Bu güvenlik yamalarının uygun bir şekilde test edilmesi ve sistemler üzerine yüklenmesi gerekmektedir.
Bu çalışma zamanı genel olarak çalışma saatleri dışında gerçekleştirilmeli ve oluşabilecek sistem
hatalarının operasyonu aksatmaması göz önünde bulundurulmalıdır.
Güvenlik yamaları sistemlere uygulanmadan önce tamamen yedeklenmelidir. Yama sonrası sistemde
oluşabilecek hatalarda veri kaybını minimize edebilmek için gerekli çalışma bu yedekler ile
gerçekleştirilecektir.
Güncelleştirmeler toplu bir şekilde değil, belirli bir sıra ile uygulanmalı ve tüm işlem tamamlandıktan
sonra tekrardan sistemler üzerinde kontroller sağlanmalıdır. Bütün sistemler üzerine yamaların
uygulandığı otomatize yazılımlar yardımıyla kontrol edilmelidir.
Yama yönetiminin son aşaması yapılan değişikliklerin yazılı bir hale getirilmesidir. Bu dokümantasyon
bilgisi içerisinde çalışmanın başarılı olup olmadığı ve tespitler yer almalıdır. Ayrıca yama uygulanamayan
sistemler ve bu sistemlere neden yama uygulanamadığı ile ilgili bilgiler yer almalıdır.
17
Zafiyet Yönetim Sistemleri(Vulnerability Management Systems):
Sun Tzu sözünden yola çıkarak 'Başkasını ve kendini bilirsen, yüz kere savaşsan tehlikeye düşmezsin;
başkasını bilmeyip kendini bilirsen bir kazanır bir kaybedersin; ne kendini ne de başkasını bilmezsen, her
savaşta tehlikedesin'. kurumun kendisi hakkında bilmesi gereken iki temel etken unsur olduğunu
kavrayabiliriz. Bunlardan biri konfigürasyon yönetimi diğeri ise zafiyet taramalarıdır. Konfigürasyon
yönetimi kurumun sahip olduğu varlıklar hakkında bilgi sahibi olmasına, zafiyet taraması ise bu varlıklara
ait kusurların ortaya çıkartılmasında kuruma yardımcı olacaktır. Ortaya çıkan bu bilgiler doğrultusunda
güvenlik uzmanlarınca gerekli tedbir ve önlemler alınmalıdır.
Zafiyet genellikle konfigürasyon hataları, yazılım veya donanıma ait kusurlar veya eksik politika
uygulamasından ortaya çıkmaktadır. Yazılımlarda tespit edilen genel hatalardan biriside bellek
taşması(buffer overflow) zafiyetleridir. Zafiyetler güvenlik yamaları, yeni bir kod yazımı veya donanım
değiştirilmesi ile giderilebilmektedir. Konfigürasyon hataları da sistemin zayıf olmasına sebebiyet
verebilmektedir. Konfigürasyon hatalarına; zayıf erişim denetim listeleri, kullanılmayan açık portlar ve
gereksiz servislerin çalışması örnek gösterilebilir. Politika hatalarına; zayıf parola politikalarının
uygulanması, yetkilendirilmemiş ağ cihazları ve izinsiz yazılımlar örnek gösterilebilir.
Politika ihlalleri, yetkilendirilmemiş cihazlar, iş istasyonları ve sunucuları içerir. Bu cihazların tespiti
kapsamlı bir ağ tarama ürünü ile tespit edilebilir. Sunucu temelli yapılan bu taramalar sistemin
konsoluna bağlanarak bilgiler edinilmesini sağlamaktadır. Sistemler üzerindeki eksik güvenlik yamaları,
yerel politikalar ve güvenlik konfigürasyonları(audit kayıtlarının yanlış konfigre edilmesi), sistemler
üzerindeki gereksiz servisler gibi kusurları tespit edilebilmektedir. Ağ veya sunucu temelli güvenlik
tarama yazılımlarının yanı sıra uygulama temelli güvenlik zafiyeti tarama yazılımları da bulunmaktadır.
Bu yazılımlar ürünlere ait güvenlik yamalarının kontrolü, yazılımdaki kusurlar veya bağlı bulundukları
veri tabanına ait zafiyetlerin tespit edilmesinde güvenlik uzmanlarına yardımcı olmaktadır.
Değişiklik ve Konfigürasyon Yönetimi(Change and Configration Management):
Sistem kendi içerisinde sürekli değişiklikler yaşar. Yazılım paketleri eklenir, çıkarılır veya değiştirilir.
Yeni donanımlar eklenir veya var olan donanımlar yenileri ile değiştirilir. Bu değişikliklerin düzenli bir
şekilde takip edilmesi, sistemin bütünlüğü için gereklidir.
Sistemin bütünlüğünün bakımı, değişiklik yönetimi süreci ile gerçekleştirilebilir. Değişikliklerin
uygulanabilmesi için ise şirket bünyesinde bulunan belirli grup veya komitelerin(sıradan kullanıcılar,
güvenlik, sistem operasyonu, üst yönetim) kararına ihtiyaç duyulmaktadır. Her grup kendi
perspektifinden uygulanacak değişiklik için faklı bir tutum sergiler. Her kullanıcı sistemin nasıl çalıştığı
hakkında fikir sahibi olması gerekir. Güvenlik grubu değişiklik sonucunda oluşacak riskleri belirler.
Güvenlik operasyonu değişikliğin nasıl uygulanacağı ve bakımının sağlanacağı ile ilgilenir. Üst yönetim ise
değişikliğin kabulü ve reddi konusunda kurumun stratejik yol haritasına göre karar verir.
Değişiklik yönetimi yapısı organizasyonun politikası olarak belirlenmelidir. Değişik yönetiminin yönleri ve
gerçekleştirilecek işlemler prosedür haline getirilmelidir. Değişik yönetimi politikaları ve prosedürleri
talimat niteliğindedir. Değişiklik yönetimi ile ilgili önerilen yapı aşağıda belirtilmiştir.
•
•
•
•
Talepler(Requests): Önerilen değişikliklerin yazılı bir şekilde komiteye sunulması
gerekmektedir. Talebin kurumun argümanlarına uygun olacak şekilde detaylı bir gerekçesinin
sunulması, implemente edilmesinin faydaları ve eğer implemente edilmez ise oluşacak zararın
açıklamaları yer almalıdır.
Etki Değerlendirmesi(Impact Assessment): Komitenin yapılacak değişiklik ile operasyona
sağlanan fayda veya zararı tespit etmesi gerekir.
Onay/Ret(Approval / Disapproval): Değişiklik yönetimine resmi bir biçimde onay veya ret
kararının verilmesi.
Geliştirme ve Test(Build and Test): Onay verilmesinden sonraki aşamada test ve entegrasyon
için operasyonun desteğinin sağlanması gerekir. Yazılım veya donanımda gerçekleşecek
değişimin canlı sistem üzerinde olmayan bir ortamda test edilmesi sağlanmalıdır. Yapılacak
değişikliler tam olarak test edilmeli ve dökümante edilmelidir. Güvenlik takımının yapılan
değişiklikten sonra test ortamında bulunan sistemde herhangi bir güvenlik zafiyetini bulunup
bulunmadığını kontrol etmesi gerekir. Aynı çalışma sistem üzerinde bulunan bir yazılım veya
bileşenin devre dışı bırakılması aşamasında da gerçekleştirilmelidir.
18
•
•
•
•
Bilgilendirme(Notification):
Değişikliğin
yapılacağı
sistemi
kullanan
kullanıcılara
gerçekleştirilecek operasyon ile ilgili zaman bilgisinin verilmesi gerekir.
Implementasyon(Implemention): Aşamalı olarak değişiklik implemente edilmeli ve sistem
üzerindeki diğer süreçler izlenmelidir.
Doğrulama(Validation): Operasyondan sorumlu kişilerce hazırlanan sistem tarafından alındığını
kontrol etmeleri gerekir. Güvenlikten sorumlu kişilerin herhangi bir zafiyet olup olmadığını
kontrol etmeleri gerekir. Sistemin kararlı bir biçimde çalıştığı yazılımlar veya sorumlu olan
kişilerce takip edilmesi gerekir.
Dökümante Edilmesi(Documentation): Yapılan değişikliğin ardından gerçekleştirilen işlemler ve
alınan dersler kayıt altına uygun bir şekilde kayıt altına alınmalı. Bu bilgiler doğrultusunda
konfigürasyon değişiklik yönetimine ara yüz oluşacaktır.
Konfigürasyon yönetimi(Configration Management):
Kuruma ait donanım ve yazılımlar takip edilmeli, implementasyon testleri gerçekleştirmeli ve dağıtım
metotları belirlenmelidir. Konfigürasyon yönetimi; donanım bileşenleri, yazılımlar ve bu varlıklarla ait
ayarlar ile ilgili bilgilerin belirlenmesi ve dökümante edilmesini belirleyen süreçtir. İyi dökümante
edilmiş bir envanter yönetimi varlıkların düzgün bir biçimde görevlendirilmesini ve yönetilmesini sağlar.
Güvenlik uzmanları konfigürasyon yönetimi ile kontrol eksikliklerini tespit edebilir.
Detaylı donanım envanterleri bütünlük ve kurtarma süreçleri için gereklidir. İş istasyonları, sunucular ve
diğer ağ cihazlarına ait envanter bulunması değişim gerektiğinde operasyona yardımcı olacaktır. Bütün
cihaz ve ağa bağlı cihazların bir listesinin bulunması ve minimum düzeyde aşağıdaki bilgileri sağlanması
gerekmektedir;
•
•
•
•
•
•
•
•
•
Üretici
Model
MAC Adresi
Seri numarası
İşletim sistemi veya firmware versiyonu
Cihazın bulunduğu lok asyön bilgisi
BIOS ve diğer donanıma bağlı parola bilgileri
Mümkün ise sahip olduğu IP adres bilgisi
Barkod numarası
Yazılım envanter çalışmasında ise minimum düzeyde aşağıdaki bilgilerin sağlanması gerekmektedir;
•
•
•
•
•
•
•
•
•
Uygulama Adı
Uygulama üreticisi(ve ürünü satan satıcı bilgisi)
Anahtarlar ve aktivasyon kodları (donanım için kullanılan aktivasyon numaraları da içerebilir)
Lisans tipi ve hangi sürümlerde geçerli olduğu
Lisans sayısı
Lisans bitiş süresi
Yazılımın bulunduğu alan veya varlık yönetiminde bulunduğu yer
Bu yazılımdan sorumlu olan kişinin iletişim bilgileri
Yükseltme, tam veya limitli lisans türü bilgisi
Ayrıca sistemin doğrulanması açısından yazılım ve donanımlara ait envanter listesinin bulunması
operasyona çeşitli faydalar sağlar. Bu envanter bilgisi sayesinde güvenlik uzmanları sahip olunan versiyon
bilgileri ile ürüne ait herhangi bir zafiyet olup olmadığını tespit edebilir. Donanıma ait marka ve model
numarasında bu zafiyetlerin tespit edilmesine yardımcı olacaktır. Envanter listesinde bulunan lok asyön
bilgisi cihaza hızlı bir şekilde ulaşılmasına ve diğer sistemlere zarar vermeden engellenmesi konusunda
performans sağlayacaktır. Envanter listesinin bir diğer özelliği ağ ‘da bulunan ve yetkisiz sistemlerin
bulunmasında karşılaştırma tablosu görevi görecektir.
Güvenlik duvarı, yönlendirici ve switch tarzı ürünler çok sayıda konfigürasyon bilgisi barındırmaktadır.
Bu cihazlar üzerinde gerçekleştirilen konfigürasyon değişikliklerinin tespit edilmesi, bütünlüğün ve
erişilebilirliğin sağlanmasında faydalı olacak ayrıca yapılan yetkisiz değişimler konusunda bilgi sahibi
olunmasını sağlayacaktır.
19
İşletim sistemleri ve yazılımlarda konfigürasyon değişikliği yönetiminde yer almalıdır. Organizasyonun
işletim sistemlerinin ve yazılımlara ait konfigürasyonlar konusunda kılavuz ve standartlarının bulunması
gerekmektedir. Bu standartlar ile oluşturulan işletim sistemi konfigürasyonları ve yazılım
konfigürasyonları, sistemlerin birbirleri ile entegrasyonu için kolaylık sağlayacaktır.
Sistem esnekliği ve hata toleransı gereksinimleri(System Resilience and Fault
Tolerance Requirements):
Bir çok sayıda bulunan tehlike, sistemleri güvenilmez bir hale getirebilir. Neyse ki bilgi sistemlerini
korumak içinde bir çok yol bulunmaktadır.
Sistemin esnekliğinin sağlanması için başlangıç noktasından itibaren sürecin geliştirilmesi gerekir. Çoğu
sistem genel tehditlere karşı düzenli bir biçimde kurgulanmaktadır, ve genellikle bu tehditlerin başarılı
olmasının önüne geçmektedir veya oluşacak riski minimize etmektedir.
Örneğin sistemlerde oluşabilecek temel hatalar noktalarının dikkatlice tespit edilmesi gerekmekte,
anahtar bileşenler için oluşabilecek tahmini hata süresi belirlenmelidir. Bileşenler; soğutucular, güç
kaynakları ve sabit sürücüler genellikle kolay arızalanan donanımlardır. Bu sebeple kritik sistemler
üzerinde bir veya birden fazla güç kaynağı ve yedek soğutucular bulunmaktadır. Sunucu üzerinde
oluşabilecek tek bir bileşenden kaynaklanan hata noktası(point of failure) minimum seviyeye
indirilmelidir.
Güvenilir yol ve Hata Çalışma Mekanizmaları(Trusted Path and Fail Secure Mechanisms):
Sistemlerin korunması amacı ile bir çok güvenlik mekanizması geliştirilmiş, bir çoğu operasyon tarafından
yönetilmektedir. Güvenilir yol olarak bahsedilen konu, sistemler arası veya sistem ile kullanıcı arasında
kullanılmakta olan iletişim metodunun güvenilir bir biçimde sağlanmasını ele alır. Bir sunucuya ağ
üzerinden giriş yapılmasını engellemek ve sadece fiziksel erişim ile oturum açmasına izin verilmektedir.
Bu sisteme ait hesap bilgilerinin operasyon içerisinde gizli bir şekilde iletilmesi güvenilir yol kavramına
örnek verilebilir. Bir çok güvenlik zafiyeti iletişim trafiğin manipüle ederek, bozarak veya yetkileri ele
geçirerek bu güvenilir yol üzerinden sağlanmaktadır.
Güvenilir yol ile ilgili alınacak bazı önlemler şu şekilde belirlenmiştir: kayıtların analiz edilmesi, zafiyet
taraması, yama yönetimi ve sistem bütünlüğünü kontrol eden yazılımlar. Bu önlemlerin kombine edilmesi
güvenilir yol ile ilgili zafiyetlerin asgari seviyeye indirilmesi ve tespit edilmesine yardımcı olacaktır.
Operasyon ile ilgili kişilerin ‘Hata Çalışma Mekanizmaları’ ile ilgili düzgün bir durum analizi yapması ve
istenilen şekilde çalışıp çalışmadığını kontrol etmeleri gerekmektedir. Güvenlik uzmanlarının aşağıda
belirtilen iki konu üzerinde bilgi sahibi olması gerekmektedir.
•
•
Fail-Safe: Bu mekanizma hata durumunda personelin veya sistemin en az hasara uğramasına
odaklanmaktadır.
Fail-Secure: Bu mekanizma hata durumunda sistemin güvenliğinin ön planda tutulması için
tasarlanmıştır.
Örneğin bir sistem odasının kapısının elektrik kesintisi durumunda fail-safe mekanizması ile çalışmasını
sağlanması, içeride bulunan personelin dışarı çıkmasına izin vermesi gerekmektedir. Fail-Secure olarak
çalışan bir kapı ise her türlü tehlike durumunda kapalı olarak kalmak durumunda ve erişime izin
vermemelidir. Bu mekanizmaların belirli aralıklar ile kontrol edilmeleri ve çalışmaları gereken dizayn
tipine uygun çalışıp çalışmadıkları kontrol edilmelidir.
20
Yedeklilik ve Hata Toleransı(Redundancy and Fault Tolerance):
Redundancy kelimesinin tam olarak Türkçede karşılığı bulunmadığı için tanım v diğer örneklemeler
yapılırken orijinal kelime kullanılacaktır. Redundancy bağlı bileşenler çalışan sistemdeki hatayı tolere
etmek için kullanılır. Bunun anlamı; sistem içerisinde bulunan bir bileşenin bozulması durumunda aynı
özelliklerdeki diğer bileşenin devreye girmesi şeklinde açıklanabilir. Bu bileşenler yedek parçalar,
sunucular, ağ ve depolama alanları olabilir.
•
Spare(Yedek-Fazla): Yedek bileşenler, çalışmakta olan öncelikli sistemin herhangi bir sebepten
devre dışı kalması veya zarar görmesi durumunda devreye alınması şeklinde tanımlanır. Spare üç
farklı şekilde kullanılmaktadır.
o Cold Spare: Bu bileşen henüz elektrik ve ağ ile sisteme bağlı bulunmayan, ancak ihtiyaç
halinde sisteme atanan çalışmakta olan öncelikli sistem ile benzer konfigürasyona sahip
yedeklilik türüdür. Tipik olarak bu yedekleme bileşenleri sistemin bulunduğu alana yakın
bir mesafede bulunup el ile bir insan tarafından sisteme eklenmesi gerekir.
o Warm Spares: Sisteme bağlı bulunan ancak herhangi bir kablolama gerçekleştirilmemiş
yedekililik türü. İhtiyaç bulunması durumunda elektriksel ve diğer kablolar bağlanarak
sisteme dahil edilebilir.
o Hot Spares: Sadece sisteme bağlı olmakla kalmayıp, tüm kablolamaları ve diğer
bileşenleri ile tamamen çalışmaya hazır durumda bulundurulan, öncelikli bileşenin devre
dışı kalması sonucu insan unsuruna ihtiyaç kalmadan devreye alınan yedekleme türüdür.
Bu üç farklı yedekleme özelliği kendilerine özgü problemleri de beraberinde getirebilir. Cold spare
olarak çalışan yedeklilikte insana ihtiyaç bulunmakta ve öncelikli sistemin devre dışı bırakılarak yeni
sistemin devreye alınması gerekmektedir. Cold ve Warm yedeklilik ihtiyaç olma halinde her zaman
başarılı bir biçimde devreye alınmamaktadır. Hot spare olarak kullanılan yedek parçalar ise sürekli
elektriğe bağlı bulunması sebebi ile çalışma ömrü diğer bileşenlere göre daha kısa olmaktadır.
Bazı sebeplerden ötürü bazı işletmeler tek bir cihaza bağlı çalışmaz ve redundancy kullanmaktadır.
Ancak operasyon içerisinde redundancy özelliğini aktif-pasif şeklinde devreye alabilmektedir. Aktif
sistem bütün talepleri karşılarken pasif pozisyonda bulunan cihaz sistemi izler ve herhangi bir problem
oluşması durumunda bütün iş yükünü üzerine alır. Bu şekilde çalışan sistemler çok az bir hata veya stabil
bir biçimde çalışmaya devam edebilir.
Reduandant ağ tasarımı da benzer şekilde çalışmaktadır. İlk ağ devre dışı kaldığı zaman trafik ikinci bir
yol ile çalışmaya devam etmektedir. Örneğin servis sağlayıcı ile şirketin arasında bulunan iki farklı
bağlantı tipi bulunabilir. Kiralık devre ile çalışan ilk ağ herhangi bir sebepten ötürü devre dışı kaldığı
zaman radio link üzerinden servis sağlayıcı ile arasında bulunan bağlantı sağlanabilir. Tabi ki bu
ihtiyaçların karşılanabilmesi için belirli bir bedel ödemek gerekir. Bağlantı sayısı ikiye çıktığı zaman
ödenecek miktarda ikiye katlanacaktır.
Kümeleme(Clustering) özelliği de kullanılan sistem yedekleme özelliklerinden biridir ancak reduandancy
ile karıştırmamak gerekmektedir. Kümeleme, bir veya birden fazla bileşenin bir arada çalışması ve her
birinin kendi servisini sunması ile gerçekleştirilir. Problem halinde sistemlerden herhangi birinin devre
dışı kalması durumunda çalışmakta olan diğer küme üyeleri servisin devamlılığını sağlayacaktır.
Bazı kritik servislerde verinin hiç bir koşulda bozulmaması yada devre dışı kalmaması gerekir. Bu sebeple
kümeleme(clustering) sistemlerde (passive partners) olarak hazırlanmış küme bileşenleri bir diğerinin
bozulması sonucu devreye alınmaktadır.
21
Güç Kaynakları(Power Supplies):
Eğer elektrik ile ilgili bir sorun olması veya güvenilmez bir koşul oluştuğu takdirde çalışmakta olan sistem
devre dışı kalabilmekte veya güvenilemez bir hale gelebilmektedir. Genel olarak kritik sistemler çift güç
kaynağı ve yedeği ile çalışmaktadır. Sorun sadece sistemin bulunduğu donanım üzerinde
gerçekleşmeyebilir. Şirket dışından veya diğer etkenlerden ötürü yaşanacak bir problem sebebi ile UPS
ve jeneratörler kullanılmalıdır.
Sürücüler ve Veri Depoları(Drives and Data Storage):
Genel olarak rastlanılan hatalardan bir diğeri ise disk sürücüleridir. Eski tip diskler yazma ve okuma için
bir çok hareket meydana getirmektedir. Hareketin fazla olması sebebi ile arızalar meydana
gelebilmektedir. Yeni bir disk teknolojisi olan SSD disk sürücüleri ise çok fazla yazma işlemi sonucunda
hataya düşebilmektedir. Verinin kaybolmaması veya bozulmaması için yıllardır geliştirilen bir çok
yöntem bulunmaktadır.
Basit konfigürasyonlarda sistem üzerinde bulunan disk veya disklerin üzerinde veriler saklanmaktadır. Bir
diğer veri saklama özelliği ise ağ üzerinden veya çeşitli kontrol bileşenleri ile verinin sistem dışında
bulunan bir alanda saklanmasıdır. Veri depolama alanları aynı kaynağı bir veya birden fazla sistem
tarafından erişilebilir olması ve diğer kaynaklar ile hızlı bir paylaşım sağlanması için kullanılmaktadır.
Güvenlik uzmanlarınca verinin güvenli bir şekilde saklanması için bir çok yöntemi bilmesi ve anlaması
gerekmektedir. Diskler tek bir sisteme bağlı olabilir, SANs(Storage Area Networks) üzerinde bulunabilir
veya NAS(Network Attached Storage) üzerinde bulunabilir. Bu bahsedilen seçenekler ile ilgili
gereksinimler göz önünde bulundurulmalı ve esneklik sağlanmalıdır.
SAN sistemler kendilerine özel ağ üzerinde bulunan bir veya birden fazla cihazın block level veri
sakladıkları yapı şeklidir. FCP veya ISCSI ile sunuculara bağlanabilir ve işletim sistemi seviyesinde yerel
disk servisi olarak hizmet verebilmektedir.
NAS tipinde çalışan veri depolama çözümleri SAN ile benzer özellikler taşır. NAS çözümleri veriyi file
level olarak saklamaktadır. NAS çözümleri basitçe veriyi saklamak ve dosyaları sunmak amacı ile
kullanılmaktadır. NAS kullanımı genellikle FTP ve diğer dosya paylaşım servislerine hizmet vermektedir.
Veri yerel disk servisi gibi hizmet veremez ancak ağ diski olarak işletim sistemi seviyesinde
çalışabilmektedir.
Tek bir sistem üzerinde eğer performans ve yedeklilik gerekli ise genel olarak birden fazla disk sistem
üzerine eklenmektedir. Tek bir sistem üzerindeki bir çok disk sunucunun çalışma yapısı ve gerekliliği göz
önünde bulundurularak farklı şekillerde konfigürasyon edilebilmektedir.
Eğer veri basit bir biçimde saklanacak ise JBOD(Just -a-Buch - Of - Drives) en uygun yöntemdir. Eğer
diskler bu şekilde kon figüre edildi ise her bir disk birbirlerinden bağımsız ve izole edilmiş bir şekilde
çalışmalıdır. Her disk kendi başına çalışmakta ve her disk tek tek sıra ile kullanılmaktadır. Disklerden
birinin arızalanması durumunda o bölümdeki veri kaybolur ancak sistem çalışmaya devam edebilir.
Bir çok disk sürücüyü birbirleri ile bağlayarak tek bir dosya sistemi olarak kullanmak kullanıcılara cazip
gelebilmektedir. Bu tanım(concatenation) olarak refede edilmektedir. Bu şekilde birbirlerine bağlanan
diskler işletim sistemi seviyesinde tek bir parça olarak gözükmektedir. İşletim sisteminde kullanılan
büyük parçalar halindeki disk alanları ihtiyaç olabilir ancak disklerin bozulması sonucu verinin bir kısmı
veya tamamı yok olabilmektedir.
22
Birden fazla disk sürücüsünün bir arada güvenilir ve iyi bir performans ile çalışması için RAID yapıları
kullanılmaktadır. Bazı RAID yapılır performans, bazıları yedeklilik veya her iki özelliğinde sağlanması
için kullanılabilmektedir. Güvenlik uzmanlarının bu yapıya hakim olmaları, avantaj ve dezavantajlarını
bilmeleri gerekmektedir.
•
•
•
•
•
•
RAID 0: Bu teknik verinin hızlı bir biçimde yazılması veya okunması amacı ile kullanılmaktadır.
Parity bilgisi iki disk üzerinde de bulunmamaktadır. Bu sebeple disklerden herhangi birisi
arızalandığı zaman veri kaybolacaktır. Bu RAID türü kesinlikle yüksek erişilebilirlik ihtiyacı
bulunan sistemler üzerinde kullanılmamalıdır. Geçici veya kısa ömürlü verilerin sağlanması
aşamasında kullanılmalıdır.
RAID 1: Bu teknik disk üzerine yazılan her verinin bire bir aynısının bir diğerine yazılması
şeklinde gerçekleştirilmektedir. Bir diğer ismi ise veri yansıtma(data mirroring) olarak
kullanılmaktadır. Bir disk arızalandığında diğer disk çalışmaya devam edecektir. Yüksek
erişilebilirlik gereken sistemlerde işletim sistemine ait verilerin saklanması amacı ile
kullanılmalıdır. Bu teknik genel olarak çok maliyetlidir. Az disk alanı için çok fazla yatırım
yapmak gerekmektedir. Her verinin bir diğer disk alanına yazılması sebebi ile performans
gerektirmektedir.
RAID 2: Genel olarak teorik olarak kullanılmakta olan bir yöntemdir ve pek yaygın değildir. Veri
birden fazla disk alanına bit-level olarak yayılmaktadır. En az 14 disk gereklidir, bunların 10
tanesi veri için, 4 tanesi de ECC (Error Correction Control yani hata düzeltme kontrolü) için
kullanılır. Artık Raid kartlarında ECC olduğu için Raid 2 günümüzde kullanılmamaktadır. ECC
olmayanlar için ufak bir not; 14 diskli yapıda toplam kapasitenin yaklaşık %70’i kullanılmaktadır.
RAID 3-4: Bu teknik ile çalışan disk yapısı için minimum 3 disk gerekmektedir. RAID 0 yapısında
olduğu gibi veri farklı disk alanlarına yazılır ve bu bilginin nereye yazıldığı ile ilgili bir diğer bilgi
için farklı bir disk sürücüsü(parite) kullanır. Eğer disklerden birisi arızalanır ise bu disk üzerinde
bulunan bilgi ile disk yapısı tekrardan oluşturulabilir. RAID 3 ile RAID 4 arasındaki fark: RAID 3
için veri farklı disklere byte-level olarak yazılırken RAID 4 yapısında block-level olarak
yazılmaktadır. RAID 3 yapısında disk alanı daha verimli kullanılırken, RAID 4 yapısında ise biraz
daha performanslı olarak çalışmaktadır. Bu tekniklerde veri bilgisinin saklandığı sürücü(parite)
çok fazla işlem yaptığı için çabuk arızalanabilmektedir.
RAID 5: Bu tekniğin kullanılabilmesi için minimum 3 disk sürücüsü gerekmektedir ve bir çok
özelliği ile RAID 4 yapısına benzemektedir. Bu yapı çalışma şeklinde en büyük fark ise verinin
saklandığı sürücü(parite) ile ilgili alandır. Disklerden herhangi birinin bozulması durumunda diğer
disklerden elde edilen bilgiler ile veri tekrardan erişilebilir hale gelmektedir. Bu bilgi tek bir disk
üzerinde tutulmaktansa her sürücü üzerinde bulundurulmaktadır. Genel olarak en çok kullanılan
yöntemlerden birisidir. Genel veri depolama çözümlerinde kullanılmaktadır.
RAID 6: RAID 5 ile neredeyse aynı olan RAID 6’nın farkı en az 4 disk gerektirir ve 2 ayrı parite
disk oluşturur. Bu sebeple de Yazma hızı Raid 5’e göre oldukça yavaştır. Genel olarak kullanılan
bir yöntem değildir.
RAID yapıları birbirleri üzerine eklenerek kullanılabilmektedir. RAID 0 + 1 ve RAID 1 + 0 örnek olarak
gösterilebilir. RAID 0 + 1 yapısında en az 4 disk gerekmektedir. Tek bir grupta toplanan disk
sürücülerinde veri yayılarak yazılmaktadır. Diğer bir grupta bulunan disklere bu verinin bir kopyası
oluşturulmaktadır. RAID 1+0 veya bir diğer ismi olan RAID 10 yapısında en az 4 adet disk bulunması
gerekmektedir. İki farklı disk grubu aynı anda çalışmaktadır, verinin yazıldığı disk alanının bir kopyası
öncelikli olarak ikinci disk grubuna da yazılmaktadır. Veri tabanı hizmeti verilen sunucularda
kullanılmasında fayda vardır. Yüksek maliyetli olabilir ancak iyi performans ve yedekliliği beraberinde
getirmektedir.
Teyp medyalar içinde redundancy yedeklilik tipi kullanılmaktadır. Bir diğer ismi ise RAIT(Redundant
Array Independent Tapes) olarak adlandırılır. Teyplerin mekanik bir aksam ile veri depoları veya teyp
okuyucular arasında yer değiştirmek için kullanılmaktadır. Verinin birden fazla teyp alanına
yedeklenmesi içinde kullanılan bir yöntemdir.
23
SANs çözümleri performans, kapasite ve yedeklilik ile ilgilide bir çok seçenek sunmaktadır. SANs
çözümlerinde birden fazla sistemin özel kontrol mekanizmaları veya Internet Protokolü(IP) ile sisteme
erişim sağlanmasına olanak sağlamaktadır. Yukarıdaki yazıda bahsedilen RAID yapıları bu çözümler
üzerinde kullanılabilmektedir. Warm veya Hot spare ile birlikte çalışmakta olan sistemlere yedeklilik
için, geçici disk alanlarında oluşan ihtiyaçların karşılanması veya yedekleme ve geri yükleme işlemlerine
performans sağlanması içinde kullanılabilmektedir.
NAS çözümleri birden fazla sistemin ağ üzerinden erişimlerini desteklemekte, yedeklilik için çözüm
olabilmektedir. Yukarıda bahsedilen RAID yapılarını destekleyen çözümler mevcut olmakla birlikte
uygulama ve veri tabanlarının yedeklenmesi ve güncellenmesi aşamasında imkanlar sağlamaktadır.
Yedekleme ve Geri Yükleme Sistemleri(Backup and Recovery Systems):
Donanımsal olarak yedekleme işlemleri ve hata törele yöntemlerinin avantajları bulunsa da çoğu zaman
problem çözümü yedeklenen verinin geri yüklenmesi ile giderilebilmektedir. Yedekleme ve geri yükleme
sistemleri; verinin bir alandan başka bir alana kopyalanmasını model olarak kullanır. Veriler kimi zaman
kritik sunuculara ait verileri kimi zaman ise son kullanıcıya ait verileri barındırabilmektedir. Verilerin
yedekleme işlemleri genel olarak sistemin kullanılmayan saatleri içerisinde çalıştırılmalı ve performansa
kayıplarına sebebiyet vermemelidir. Verilerin yedeklenmesi aşamasında farklı yöntemler
kullanılmaktadır. Eğer yeterli kapasite ve disk alanı bulunuyor ise veriler tamamen yedeklenmektedir.
Ancak disk alanı ve bu konu ile ilgili yatırım yeterli değil ise farklı yedekleme yöntemleri
kullanılmaktadır. Bu yedekleme yöntemleri artan(Incremental) ve farklı olan(differential) olarak
isimlendirilmektedir. Incremental yedeklemede, veri ilk olarak tamamen yedeklenir ve sadece sistem
veya kullanıcı tarafından değiştirilen veriler yedeklenir. Differential yedeklemede ise alınan tam yedeğin
üzerinde oluşan değişiklikler yedeklenir. Differential yedeklemede disk alanı fazla tüketilmektedir ama
verinin yeniden yüklenmesi aşamasında performans sağlamaktadır.
Genellikle veri yedekleme; canlı sistem üzerinde bulunan verinin çıkarılabilir sürücü, uzak lokasyonda
bulunan teyp yazıcılara gönderilerek farklı lokasyonda yedeklenmesine amacı ile de kullanılabilmektedir.
Genel olarak kullanılan yöntemlerden biri şu şekildedir, 3 adet orijinal yedek alınır, bunlardan birincisi
sistemin bulunduğu alanda barındırılır ve acil kullanımlarda hız ve performans sağlar. Yedeklenen diğer
veri ise aynı bina içerisinde bulunmayan farklı bir lokasyonda barındırılabilir.
Son olarak yedeklenen veri uzak lokasyonda(disaster recovery site) alanına gönderilir. Uzak lokasyon
birincil lokasyona göre uygun bir uzaklıkta bulunmalıdır. Çok uzak bir mesafede bulunan lokasyona
verinin taşınması veya geri getirilmesi uzun sürebilmektedir. Yakın bir mesafede olan lokasyon ise
felaket durumlarında birincil lokasyon ile aynı benzer tehditlere maruz kalarak kullanım dışı
kalabilmektedir. Bu sebeple diğer lokasyon seçimlerinde karar verilmesi oldukça güç bir hal almaktadır.
Verinin kopyalanması ile ilgili günümüzde farklı teknikler kullanılmaktadır. Bunlardan birisi Vaulting bir
diğeri ise Journaling olarak adlandırılmaktadır.
Vaulting işlemi verinin yedeğinin elektronik seviyede bir lokasyondan başka bir lokasyona ağ üzerinden
taşınmasını sağlar. Veriler Vault-Site adı erilen farklı bir coğrafi alanda yedeklenir. Bu teknik genel
olarak yedeklemede kullanılan incremental veya differential olabileceği gibi mirroring yöntemi ile de
kullanılabilmektedir. Verinin işlendiği alandan uzak bir alana gerçek zamanlı kopyalanması şeklinde
gerçekleştirilebilir. Ancak bu tarz bir yedekleme işlemi gerçekleştirilecek ise verinin üçüncü bir alana da
kopyalanması gerekmektedir. Veride oluşabilecek tutarsızlık veya zararlı bir durum iki tarafta bulunan
verinin de kullanılamaz hale gelmesine sebebiyet verebilmektedir.
Vault sunucuları yedekleme cihazları gibide kullanılabilmektedir. Incremental ve diffirential olarak
kullanılan teknikler ile veri bir noktandan diğer bir noktaya yedeklenebilmektedir.
Journaling, veri tabanı yönetim sistemlerinde yedekliliğin sağlanması amacı ile kullanılmaktadır. Veri
tabanı üzerinde gerçekleştirilen işlemin(transcation) tamamlanmasının ardından verinin diğer bir
lokasyona gönderilmesini amaçlar. Veri tabanında bozulma veya verinin tutarsızlığı gibi durumlarda bir
önceki işlemin geriye alınmasına olanak sağlamaktadır.
24
Esneklik İçin Personel(Staffing for Resilience):
Bir çok sistem insan desteği olmadan tamamen otomatize halde çalışamamaktadır. Operasyonun
sorunsuz ve düzgün bir şekilde ilerleye bilmesi için eğitilmiş ve bilinçli personelin bulunması
gerekmektedir. Kritik sistemler için farklı vardiyalarda çalışan yeterli personel bulunması, iş akışının
düzgün bir şekilde sağlanmasına ve olası bir aksaklık durumda operasyonun eskiye dönmesine olanak
tanır.
Operasyonun başarılı olabilmesi için eğitim kritik seviyededir. Operasyon içerisinde görev alan bireylerin
sorumluluklarını yerine getirebilecek yeteneklerde olmaları gerekir. Ve bu yeteneklerin gelişen teknoloji
karşısında sürekli güncellenmesi ve yenilenmesi gerekmektedir. Tek veya gruplara verilecek eğitimler
diğer bireylerinde konu hakkında fikir sahibi olmasına olanak sağlayacaktır.
Referanslar:
CISSP All-in-One Exam Guide, 6th Edition
Official (ISC)2 Guide to the CISSP CBK, Fourth Edition ((ISC)2 Press)
NIST
NSA
25
Download