300 ve Bilişim Güvenliği Analojisi - Nass oluyor da oluyor?

2006 yapımı "300" filmi pers ordusuna karşı kral Leonidas liderliğinde topraklarının bağımsızlığı için mücadele eden 300 spartalının öyküsünü ve Termopylae savaşını anlatır. Beni en fazla etkileyen savaş sahnelerinden bazıları bu filmdedir. Yakın zamanda bir tv kanalında tekrarını izlerken spartalıların mücadelesi oldukça tanıdık geldi, bundan sonra yapacağım sunumlarda da filmden çeşitli kareleri kullanmayı düşünüyorum.

Bilişim güvenliği uzmanlık dalında çalışanları,özellikle de kurumların bilişim güvenliği ekiplerini 300 kişilik sparta ordusuna benzetirim.Dış dünyaya açık olmanın doğurduğu riskler,muhtemel tehditler,saldırı ve saldırganların sayısı o kadar fazladır ki, bazen kendinizi yetersiz,sayıca az hisseder umutsuzluğa kapılırsınız. Çoğu zaman tek başınıza uzman olmadığınız onlarca ürünün güvenliğinden sorumlu olursunuz. Oysa kendisini bu ürünlerden herhangi birindeki zaafiyetleri tespit etmeye adamış binlerce,milyonlarca saldırgan vardır.Nereden geldiği belli olmayan port taramaları filmde gökten yağan oklara benzer. DDoS saldırılarının boyutu fil savaşçıları kadar büyük olabilir. Saldırgan profilini,kimi zaman ne bulduysa eline alıp saldırmaya kalkışan piyadeler gibi "script kiddie" terimiyle ifade edilen yeterli teknik bilgiden yoksun ve yaş ortalaması düşük zararlılardan veya, Pers kralı XerXes'in seçkin askerlerinden oluşan "ölümsüzler"i gibi tecrübeli ve nasıl saldırması gerektiğini bilen,işinin ehli hatta bir başka devletin desteklediği uzmanlardan da oluşabilir. Ephialtes'ın ihaneti kadar olmasa da,bilerek ya da bilmeyerek kurumun güvenliği için gereken hassasiyeti göstermeyen iç tehditlerle de mücadele edersiniz. Savaşma konusunda ne kadar yetkin olunursa olunsun, kralın dahi arkasında kararlarını destekleyecek bir meclis olması,yönetimin desteğine benzer.

Bütçe ve RTO gibi mazeretlerle çalışan sayısı bir elin parmaklarını geçemeyen güvenlik ekipleri bu ve sayamadığım daha fazla ve türlü saldırıyla baş edebilmek,başarılı olabilmek için spartalı askerler gibi kendi içinde ve diğer birimlerle uyum içinde hareket etmelidir. Ekip üyelerinin savunma becerileri kadar saldırı kabiliyetleri de önem kazanır. Sparta'lılar gibi ordunuzu genç yaşta vahşi doğada kendilerini ıspatlamış savaşçılardan oluşturamayabilirsiniz, ama "çok yetkin ve tecrübeli olmasın,az maaş istesin" zihniyetiyle seçtiğiniz savaşçılarla vereceğiniz mücadelelerde hezimete uğrarsınız. Penetrasyon becerileri,kılıç,kalkan ya da mızrak gibi elinizdeki güvenlik araçlarının kabiliyetlerini bilmek ve en iyi şekilde kullanmak,savunma hattınızın mümkün olduğu kadar ilerde, ISP saflarında başlaması sizi zafere götürecektir.

Saldırılara karşı kazanacağınız zaferlerin tarihe geçeceğini ya da dilden dile dolaşacağını sanmayın. Saldırı başarılı olmadıkça sizin dışınızda kimse olanın bitenin farkında olmayacak :) Bir fırsatını bulursanız 300 filmini bir de bu bakış açısıyla seyredin.