Bilgisayar Olaylarına Müdahale - Etkin Müdahale Yöntemi

Sektörde genel kabul görmüş yöntem 6 safhadan oluşuyor;
Hazırlık=>Tespit=>Sınırlama=>Ortadan Kaldırma=>Kurtarma=>Değerlendirme (Hasar Raporu)

• Hazırlık safhasında bilgisayar olayı meydana gelmeden önce önleyici mekanizmalar oluşturulur, talimatlar hazırlanır (bakınız University of Florida), gerekli kaynak ve personel planlaması yapılır ve müdahale mimarisi kurulur,rol ve sorumluluklar belirlenir, ihtiyaç halinde temas kurulacak personel listesi,kontak bilgileri politikalarla belirlenir.
• Tespit safhası bana göre en önemli safha, çünkü tespit edilmediği sürece bilgisayar olayının varlığından söz etmek, olayın etkilerini azaltacak ya da ortadan kaldıracak eylemlerde bulunmak yani müdahale etmek mümkün değil. Müdahale sürecini tetikleyen safhadır tespit,kimi zaman kullanıcının bildirimiyle başlar.Günümüz çalışma ortamlarında kullanılan ve işlenen verinin devasalığı,çalışan sayısının ve buna bağlı olarak artan işlem sayısı ve ağ trafiğinin artışı, güvenlik düşünülmeden iyi niyetle hazırlanan protokollerin kötüye kullanımı gibi etkenler düşünüldüğünde bilgisayar olaylarını tespit etmenin aslında ne kadar zor olduğunu tahmin edebilirsiniz.Neyse ki bu kritik safhada kullanılabilecek yazılım ve donanım ürünleri mevcut, aslına bakarsanız BT altyapısında kullanılan tüm ürünler bilgisayar (güvenlik) olaylarını tespitinde kullanılabilir. Size düşen bu ürünler varsayılan konfigürasyonların dışında ihtiyacınıza göre yapılandırmak,ihtiyacınız olduğu kadar daha doğrusu inceleyebileceğiniz kadar log toplamak, güvenlik ölçütleri belirlemek.Bu safhada dikkat edilmesi gereken bir diğer önemli konu da olay tespiti sonrası paniklememek,çevredekileri de panikletmemek.Soğukkanlılıkla bilgisayar olayının kapsamını belirmeye çalışmalısınız,bu hem ekibin işini hem de olay için öncelik belirlemeyi kolaylaştırır.Son olarak tespit safhasında yapılması gereken ilgili otoriteleri ve personeli bilgilendirmektir.CISO da denen bilgi güvenliğinin başındaki kişi,ekip üyeleri,varsa halkla ilişkiler bölümü ve bazen de hukuk departmanları olayla ilgili bilgilendirilmeli.Bilgilendirmenin nasıl ve ne şekilde yapılacağı (güvenli iletişim kanalları kullanılarak vb) bilgi güvenliği politikasında ya da bilgisayar olaylarına müdahale politikasında açıkça belirtilmelidir.Tavsiyem kurum intranet portalinde süreci başından sonuna kadar takip ve kayıt altında tutmanıza yardımcı olacak yazılımlar geliştirmeniz ya da geliştirtmeniz.Kullanıcıdan artık kağıt form doldurmasını beklemeyin,kullanıcı üşenir,bıkar. Örnek olay bildirim formu için tıklayın.

Bilgisayar Olaylarına Müdahale - Bilgisayar Olayı nedir? Etkin müdahalenin önemi ve gereği

Konu çok kapsamlı olduğu için birkaç yazıyla ele almak ve bu ilk yazıya "Olay (Incident)" kavramına netlik kazandırarak başlamak iyi olacak. BT dünyası için "olay" ya da "bilgisayar olayı", bilgisayar ve ağ altyapısını ( "ağ olayı" gibi farklı bir kavram yok ne yazık ki :) ama siz çalıştığınız kurumda olayları kendi içinde sınıflandırabilirzini sizi tutan bir şey yok ) olumsuz etkileyen,yani bu altyapılarda kullanılan donanım,yazılım varlıkları çalışmaz,bu varlıkları ve varlıklar üzerinde işlenen veriyi kullanılmaz-erişilemez hale getiren hadiselerdir. Su,yangın gibi altyapıyı etkileyebilecek doğal felaketler, güç kesintileri,sistem çökmesi,ağ altyapısının saldırılarla işlemez hale getirilmesi, zararlı kod yayılımı (virüs/solucan),web sitesinin ele geçirilmesi,hizmet dışı bırakma (DOS) saldırıları,bir çalışanın kişisel bilgisayarını yerel ağa dahil etmesi ve benzeri hayal gücünüzle sınırlı olaylar "bilgisayar olay"larına örnektir.Klasik CIA (Confidentiality-Integrity-Availability) özelliklerini dikkate alarak? verinin güvenliğini yani gizliğini-bütünlüğünü-erişilebilirliğini tehdit eden olaylar da "bilgisayar güvenlik olayları" şeklinde adlandırılır.

BDDK - Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi üzerine

BDDK sızma testlerini zorunlu kıldıktan,hele hele bu testleri TUBITAK'ın yapacağını duyurduktan sonra uzun uzun tartışıldı bu karar.TUBITAK'ın kısıtlı personeli ve kaynaklarıyla 50'ye yakın bankanın sızma testlerini zamanında yapıp yapamaycağı düşünülmeden verilmiş,tepki çeken bir karardı. Tepki çekti çünkü güvenlik sektöründe sızma testi,eğitim,danışmanlık gibi hizmetler en fazla kazanç getiren hizmetler,ve bunu bir zorunluluk haline getirmek sızma testi için bütçe ayırmada pinti davranan bankalara bu kazançlı hizmeti satmayı kolaylaştıracaktı ancak BDDK bu testleri TUBITAK'ın yapacağını duyurarak sulanan ağızlara biber sürdü.Daha sonra yapılan değişiklikle sızma testi hizmetinin sektördeki diğer firmalardan da alınmasının önü açıldı zaten. Tüm bu harala-gürele arasında bankalar testlerini tamamladılar,düzeltici faaliyet süreçleri bile tamamlandı neredeyse, BDDK nedense 1 yıl kadar sonra - 2 gün önce- bu konuda (buradan ulaşabileceğiniz ) bir genelge yayınlamaya karar verdi.
Biraz geç kalınmasının yanında,kısa ve aceleye getirilmiş bir havası var genelgenin.Okumadan önce, sızma testi yapabilecek firmalar için bir tanım-kriter-gereksinim (ne bileyim bir ISO 27001 sertifikası gereksinim olarak belirlenebilir,bu testi yaptıracağınız firma sizinle alakalı en kritik bilgilere sahip olacak, bu bilgileri nasıl saklaması gerektiğini bilmeli ve bunu göstermeli) var mı acaba diye merak ediyordum,olmadığını görünce de pek şaşırmadım. Şuan için sızma testi yaptığını iddia eden 10-15 firma var bunları da akredite etmeye kalkarlarsa listede hangi firmalar kalır acaba?

BGYS - Nass oluyor da oluyor ? ISO/IEC 27001:2005

Bu yazıda Bilgi Güvenliği Yönetim Sistemleri (BGYS) oluşturmada referans olarak kullanılan ISO 27001:2005 standardından bahsedeceğim,ister istemez BGYS konusunu da - derinlemesine olmasa da - ele alacağım.
Bilgi güvenliği ile alakalı-alakasız (güzel ülkemde bilgi güvenliği uzmanı ilanı verip görüşmede "bize checkpoint'te yılda 2-3 bug bulabilecek biri lazım" diyen zihniyet de var) hemen her iş ilanında varsayılan (default) gereksinimlerden biridir; ISO 27001 hakkında bilgi sahibi olmak. Bildiniz! bir diğeri de COBIT.Bu konuyla ilgilenen genç okuyucuların şevkini yazının başında kırmak istemiyorum bu nedenle serzenişleri sona bırakayım.
Politika ve prosedürlerle ilgili yazıda yazdığım gibi, bakkal dükkanından farklı ve risklerinizin farkında olmak,riskleri ortadan kaldırmaya ya da azaltmaya çalışmak, kaynaklarınızı verimli kullanmak, faaliyet gösterdiğiniz sektörde rekabet gücü oluşturmak istiyorsanız yönetim sistemleri kullanacaksınız. Ek olarak, bilgi ve bilginin gizliliği, doğruluğu, erişilebilirliği sizin için önemliyse bilgi güvenliği yönetim sistemi kurmalı ve işletmelisiniz.İşte ISO 27001:2005 size elinize yüzünüze bulaştırmadan bu işin altından nasıl kalkabileceğiniz konusunda yol gösteriyor.

BGYS - Nass oluyor da oluyor? Politika,prosedür,klavuz,talimat

Kurumları bakkallardan ayıran birtakım özellikler var, yönetim sistemleri (managemenet systems) bunların en önemlisi. Odak noktamız bilgi ve bilişim güvenliği olduğu için bizi ilgilendiren yönetim sistemi "Bilgi Güvenliği Yönetim Sistemi (BGYS)". BGYS'nin esasları,nasıl olması gerektiği gibi konular ISO 27001 standartları kümesiyle belirlenmiş,açın okuyun demek isterdim ama sağolsun ISO bunu bile parayla satıyor. Çok da önemli değil çünkü bu yazının konusu farklı. Yönetim sistemlerinin yapı taşlarından yönetim dökümanları, daha da spesifik olarak politikalardan,prosedürlerden,talimatlardan bahsedeceğim.
Belli bir yaşa gelene kadar güzel memleketimde bu terimlerden bir kısmını duyarak okuyarak büyüyoruz zaten,özellikle askerlikte ;  tv , musluk vb kullanma talimatları, personel yönetmelikleri,atama yönergeleri  vs vs. Benzer terimler iş hayatında da bolca karşınıza çıkar,hani ağzı olan konuşuyor denir ya, yalan yanlış her dökümanın sonuna " ... politikası, ... talimatı" gibi ekler eklemeye de meraklıyız. Benim diyen kurumlarda bile içeriği talimat içeriği olan döküman politika olarak adlandırılıyor.Her ne kadar pratik hayatta bu terimler birbirine girmiş ve birbiri yerine çokça kullanılır olsa da bu terimleri birbirinden ayıran ince farklar var.
Yaptığınız iş,çalıştığınız pozisyon ne kadar teknik olursa olsun,kağıt işlerinden ne kadar çok nefret ederseniz edin, eğer işlerin düzen içinde yerine getirilmesini, hata payını azaltmayı, iş kalitesini, personel verimliğini artırmak, iş yerinde abi-kardeş ilişkilerini de azaltmak istiyorsanız, profesyonellik ve zaman kaybı sizin için önemliyse -bir yönetim sistemi olmasa bile - bu tip dökümanları ihtiyacınız var.
Peki politika,prosedür,klavuz ve talimat nedir?

Yama Yönetimi - Masal

Masal duymaya,dinlemeye alışık olduğumuz,sevdiğimiz ve bu konu da çoğu insana masal gibi geldiği için örnek bir yanlış uygulamayı yine bu dille anlatmak istiyorum.

Bir varmış,bir yokmuş..evvel zaman içinde kalbur saman içinde Checkpoint konsolunda kural tanımlayabilen ya da Backtrack indirebilen herkesin kendisini güvenlik uzmanı kabul ettiği bir ülkede büyük bir banka ve bu bankanın bilişim altyapısının güvenliğinden sorumlu ancak bilişim güvenliğinden zerre kadar anlamayan bir güvenlik müdürü varmış. O dönemlerde conficker kımılı ortalığı kasıp kavuruyormuş. Herkes conficker'dan korkar,  ne zaman tetikleneceğini merak edermiş. Gel zaman git zaman,Microsoft'un bu kımılın kullandığı zaafiyeti giderici bir güvenlik güncellemesini yayınlayacağı duyulmuş, hem de normal güncelleme yayınlama seyrinin dışında ve acil olarak. Bu haber tek bildiği es-es-el-vi-pi-en,en-ti-el-em otantıkeyşın demek olan güvenlik müdürünün de kulağına gelmiş. Yüksek rakımlı mevkilerdekiler de haberi gazetelerde okuyunca paniye kapılıp güncelleştirmenin tiz uygulanmasını buyurmuşlar güvenlik müdürüne. Ve yayınlandığı günün gecesinde güvenlik yaması banka genelinde uygulanmış, istemci ve sunucu bilgisayarların tümüne,hem de test edilmeden.

Ne kadar acil olursa olsun, özellikle genele ya da kritik sistemlerinize uygulayacağınız güncellemeleri/yamaları mutlaka öncesinde gerçek ortama eş veya yakın test ortamınıza uygulayın ve test edin. Yamanın aciliyetine göre test süresini kısaltabilir ya da hızlandırabilirsiniz ,ama mutlaka test edin. Neden olabileceği olumsuz sonuçlar yüzünden yağmurdan kaçarken doluya tutulmayın.


(Masalda bahsi geçen olay ve kişilerin gerçekle ilişkisi yoktur, ama olabilir de)


İlgili Yazılarım
Yama Yönetimi - Nass oluyor da oluyor? Microsoft Güvenlik Bültenleri
Yama Yönetimi - Nass oluyor da oluyor? İdeal Yama Yönetim Süreci
Yama Yönetimi - Nass oluyor da oluyor? Yama dağıtım merkezini korumak
Yama Yönetimi - Nass oluyor da oluyor? Örnek Yama Yönetimi Politikası Dökümanı
Bilgisayar Olaylarına Müdahale - Masal

Yama Yönetimi - Nass oluyor da oluyor? Örnek Yama Yönetimi Politikası Dökümanı

Bilgi güvenliği yönetim sisteminde (BGYS) politikalar, üst yönetimin rızasını, desteğini ve onayını gösteren ve nasıl yapılacağından ziyade (nasıl yapılacağını gösteren dökümanlar standartlar ve prosedürlerdir) ne yapılması gerektiğini anlatan dökümanlardır. BGYS hakkında da fırsat bulabilirsem yazılar yazarım, o zaman politika nasıl hazırlanır,prosedür talimat nasıl olmalıdır ayrıntılı bilgi veririm.
Bu yazının konusu yama yönetimi için kullanılabilecek örnek "Yama Yönetimi Politikası" hazırlamak. Her süreç dokümanında olması gerekiği gibi Yama Yönetimi Politikası dokümanın da versiyon bilgisi,hazırlayanı, ilk yayın tarihi,varsa gözden geçireni ama olmazsa olmazı "onaylayanı" -burası önemli,onay makamı ne kadar yüksek olursa politka da o derece ciddiye alınır- mutlaka olmalı,doküman tüm personelin kolaylıkla erişebileceği bir yerde kopyası bulunmalıdır. Dediğim gibi, işin nasıl yapılması gerektiği ayrıntılarıyla standartlar ve prosedürlerde anlatılmalı o yüzden politkada çok fazla ayrıntıya girmeyin ve uzatmayın,kullanıcıyı bunaltmayın ki bir solukta okunabilsin ve politikayı okuduktan sonra kullanıcının kafasındaki "neden böyle bir politika var?beni ilgilendiriyor mu? uymazsam ne olur? yaptırımı ne?" gibi sorular cevapsız kalmasın, politikanın -denetimlerde veya ters birşeyler olması durumunda işverenin elini güçlendirmesi dışında -tüm amacı bu. Siz de aşağıdakine benzer bir politikayı mutlaka hazırlayın,bunu standartlarla,prosedürlerle,talimatlarla destekleyin. Halihazırda yürürlükte olan politikalar varsa şablon olarak kullanabilirsiniz