Potentially Unwanted Applications-PUA

İstenmeyen türden olabilecek uygulamalar, zararlı olmayan fakat özellikle iş ortamında kullanılması uygun olmayan, güvenlik kaygısı oluşturabilecek yazılımlardır.

Doğru amaçlar için kullanıldığında faydalı olan fakat şirket ağları içerisinde kullanımı uygun olmayan uygulamalara örnek olarak, adware’ler (Reklam destekli yazılımlar), bilgisayarları uzaktan kontrol etmek için kullanılan araçlar ve sistem açıklıklarını taramak için kullanılan araçlar verilebilir.

Antivirüs programlar ve uç nokta güvenlik programları kullanıcı bilgisayarındaki istenmeyen türden olabilecek bu tip yazılımları (PUAs) tespit ederek, raporlama yapabilmektedir.

Uzaktan Çalışma ve Bilgi Güvenliği

EK-A 6.2.2 Uzaktan Çalışma

Kontrol: Uzaktan erişilen, işlenen veya depolanan bilginin korunması için bir politika ve destekleyici güvenlik önlemleri uygulanmalıdır.

Uygulama Kılavuzu:

Günümüzde uzaktan çalışma hızla yaygınlaşmaktadır. Kuruluşların uzaktan çalışmaya ilişkin koşulları ve sıkılaştırmaları tanımlarken aşağıdaki konu başlıklarını göz önünde bulundurması faydalı olacaktır;

-Uzaktan çalışma alanının fiziksel güvenliği

-İç ağa erişimin gerekliliği  ve erişilen sistemlerin hassaslığına bağlı olarak uzaktan sağlanan iletişimin güvenlik gereksimlerinin belirlenmesi

-Sanal masaüstü bağlantılarının, kişisel cihazlar üzerinde bilgi işlemesi veya bilgi depolamasının önüne geçilmesine ilişkin kontroller

-Uzaktan erişim yapılan alandan yetkisiz erişim tehditleri (Aile bireyleri v.b)

-Uzaktan çalışma yapılan alanda kablosuz ağ güvenliğine ilişkin sıkışlaştırma ve önlemler

-Kişisel cihazlar (uzaktan erişen) üzerinde, fikri mülkiyet haklarına ilişkin kısıtlamaları içeren politika ve prosedürler

- Uzaktan erişen kişisel cihazlara bilgi güvenliği gereksinimlerinin kontrolü veya bilgi güvenliği ihlal olayı araştırmaları gerçekleştirebilmek için erişim kurallarınının belirlenmesi

- Uzaktan erişen bileşenler için lisans yönetim esaslarının belirlenmesi

-Zararlı yazılamlardan korunma ve güvenlik duvarı yapılanadırma esasları

Kuruluş yukarıdaki maddelere ek olarak aşağıdaki maddelere ilişkin önlemler tanımlamalıdır;

-Kuruluşun kontrolü altında olmayan, uzaktan erişim bileşenlerine erişim hakkının verilmemesi

-Çalışma saatlerinin tanımlanması, gerekli yetkilenledirmelerin yapılması ve periyodik kontrollerin tanımlanması

-Uzaktan erişim yapacak bileşene ait minumum güvenlik gereksinimlerinin/sıkılaştırmalarının tanımlanması ve uygulanaması

-Bileşenlerin donanım ve yazılımına ilişkin destek ve bakımının sağlanması

-Teçhizat sigortlama

-Yedekleme ve iş sürekliliğine ilişkin kontrollerin tanımlanması

-Denetlenebilirlik ve izlenebilirliğin sağlanması

- uzaktan çalışma gereksinimi ortadan kalktığında, erişim haklarının kaldırılması ve teçhizatın iadesi ile ilgili kuralların belirlenmesi

Internet Worm (İnternet Solucanı)

İnternet solucanı aynı zamanda bilgisayar solucanı olarak da bilinir. Bu tip zararlı yazılımlar kendi kendilerini çoğaltarak, yerel ağlarda yada internet üzerinde yayılırlar. 

Trojan yada diğer virüslerin aksine kullanıcı müdahalesi gerektirmeden kendi kendilerine çoğalabilme özelliğine sahiptir. İnternet üzerinden yayılan bu virüsler bilgisayara girerek, kullanıcıdan habersizce çoğalabilirler. Bu özellik virüsleri oldukça tehlikeli hale getirmektedir.

İnternet solucanları herhangi bir virüs çeşidi, komut dosyası yada program olabilir. İnternet solucanları genellikle, sistemlerin güvenlik açıklıklarından yaralanarak sistemlere bulaşırlar. Örnek olarak Conficker solucanı verilebilir.

Bazı internet solucanları ise bilgisayar üzerinde backdoor (arka kapı) oluşturarak bilgisayarın kötü niyetli bir saldırgan tarafından kontrol edilebilmesine neden olabilirler. Bu durum ise bilgisayarın zombi olmasına neden olmaktadır.

Parasitic Viruses (Parazit Virüsler)

Dosya virüsleri olarak bilinen bu virüsler kendilerini programlara ekleyerek yayılırlar. Parazit virüslerden etkilenmiş bir programı çalıştırdığınızda, çalıştırılan programla birlikte aktive olurlar ve çalışmaya başlarlar. İşletim sistemi ise virüsü programın bir parçası olarak algılar ve programdan ayırt edemez. Programın işletim sisteminde sahip olduğu tüm haklara virüs yazılımı da sahip olur. Böylelikle kendini kopyalama şansı bulur ve bilgisayar belleğine kendini yükler yada bilgisayarda izinsiz değişiklikler yapar.

Parazit virüsler, virüs tarihine göre oldukça eski virüslerdir. Yaygınlık oranları ise giderek azalmıştır. Buna rağmen yeni türleri ile tekrar yaygınlaşmaya başladıkları gözlemlenmektedir.

Mobil Cihazlar ve Bilgi Güvenliği

EK-A 6.2.1 Mobil Cihaz Politikası
Kontrol: Mobil cihazların kullanımından kaynaklanan risklerin yönetimi için bir politika ve destekleyici güvenlik önlemleri uygulanmalıdır.


Uygulama Kılavuzu:
Kurumsal verilere zarar gelmemesi adına, mobil cihazlar kullanılırken özen gösterilmesi faydalı olacaktır. Mobil cihaz politikası, mobil cihazların korunmasız ortamlarda kullanıldığı riskini her zaman göz önünde bulundurmalıdır.
Mobil cihaz politikası aşağıdaki konu başlıklarına ilişkin çözümler sunmalıdır;
-Mobil cihazların kayıt altına alınması, ek olarak zimmet formu doldurulması
-Mobil cihaz kullanımında fiziksel şartların uygunluğu (Delici, kesici aletler, sıcaklık, nem su v.b)
-Yazılım yüklemeye ilişkin kısıtlamalar
-Mobil cihaz yazılımlarının sürüm takibi ve yama yönetimi
-Bilgi servislerine erişim kısıtlamaları
-Erişim kontrolleri
-Kriptografik kontoller
-Zararlı yazılımlardan korunma
-Uzaktan devre dışı bırakma, silme
-Yedekleme
-Kablosuz ağ kullanımı
-Web uygulamaları ve web servislerinin kullanımı
Mobil cihazlar halka açık alanlarda kullanılırken ekstra özen gösterilmelidir.  Yetkisiz erişim ve bilgi ifşasını engelleyecek kontroller uygulanmalıdır. Bu kontroller kriptografik önemler(VPN v.b), parola kullanımı ve diğer kimlik doğrulama mekanizmaları olarak sınıflandırılabilir.
Çalınma ve kaybolmaya ilişkin riskler göz ardı edilmemelidir. Sigortalama ve kuruma özgü diğer ek kontroller uygulanmalıdır. Kritik bilgi taşıyan kurumsal mobil cihazlar, gözetimsiz bırakılmamalı,  mümkün olan yerlerde fiziksel olarak kilitli alanlarda saklanmalı(Ör: Dizüstü bilgisayarları mesai saati dışında ofiste kilitli alanlarda saklamak), bu cihazlar güçlü parola ve yetkilendirme mekanizmaları ile kontrol altına alınmalıdır.
Kuruluş, BYOD(bring your own device) gibi bir politika benimsedi ise aşağıdakiler göz önünde bulundurulmalıdır;
-Şahsi ve kurumsal kullanımın ayrımına gidilebilir. Böylelikle kişiye ait olan bir cihazda kurumsal verinin kullanımı daha güvenli olacaktır. (Bu işlemi gerçekleştirme için özelleşmiş yazılımlar kullanılabilir.)
-Kurumsal verilere erişimin sağlanabilmesi için yalnızca sözleşmeyle gerekli yetkiye sahip kullanıcı atanmasıyla, veri kaybı ve çalınmasının önüne geçilebilir.

Zombie

Zombi, bilgisayarın bir saldırgan tarafından istediği zaman uzaktan kontrol edilmesi işlemidir. Bilgisayarınız internet üzerinden bir saldırgan tarafından kontrol edilebiliyorsa, bilgisayarınız bir zombi olmuş demektir.

,

Zombiler, genellikle spam gönderimi, denial of service (DOS) saldırılarının başlatımı ve diğer sistemlere bulaştırılması için kullanılırlar. Saldırganlar ele geçirilen bilgisayarın bağlantısını kullanarak hedeflere saldırı düzenlerler. Kurban sayısı arttıkça bu saldırıların gücü artmaktadır.

Proje Yönetiminde Bilgi Güvenliği

   ISO 27001:2013 EK-A 6.1.5  Proje Yönetiminde Bilgi Güvenliği

Kontrol: Bilgi güvenliği, projenin türü ne olursa olsun proje yönetimi içerisinde adreslenmelidir.

Uygulama Kılavuzu:

Bilgi güvenliği risklerinin tanımlanması ve adreslenmesi için bilgi güvenliği; kuruluşun proje yönetim süreçlerine dahil edilmelidir. Kuruluş projelerin türünden bağımsız olarak örneğin IT projeleri, iş geliştirme projeleri, fiziksel ve çevresel proje süreçlerinde bilgi güvenliği risklerini adreslemelidir.

Hali hazırda kullanılan proje yönetim metotları aşağıdakilere gereksinim duyacaktır;

-Proje hedeflerinin bilgi güvenliği hedeflerini içermesi

-Proje’nin ilk aşamalarında gerekli kontrollerin tespiti için bilgi güvenliği risk değerlendirme çalışmasının yapılması

-Uygulanan proje metodolojisinde bilgi güvenliğinin tüm proje evrelerine dahil edilmesi

Buffer Overflow (Arabellek Taşması)

‘Buffer’ yani arabellekler verilerin belleğe yazılmadan önce kullanıldıkları ara alanlardır.

Arabellek  ya da tampon/ara bölgelerin taşması, ilgili alanlara kabul edebileceğinden daha fazla veri göndermesiyle oluşur. Bu açıklık kullanılarak gerçekleştirilen saldırılarda, veriler bozulabilir, kötücül/zararlı program parçacıkları çalıştırılabilir ya da uygulamanın/sistemin çökmesine neden olabilir.

Genel kanının aksine arabellek taşması sadece servis (Örneğin Microsoft işletim sistemi) yada çekirdek programlarda gerçekleşmeyip, uygulamalarda da görülmektedir.

Buffer Overflow saldırılarında hatalı kodlanmış programların sınır kontrolü yapılmamış değişkenine alabildiğinden daha fazla veri yüklenerek bellek hatası vermesi ve özel hazırlanmış kodların sistemde zararlı işlemler yapması amaçlanır.

Browser Hijacker

Browser Hijacker, bilgisayarın varsayılan tarayıcı ayarlarını değiştirerek, sizi istemediğiniz bir web sitesine yönlendiren zararlı yazılım türüdür.

Bu yazılım bilgisayara bulaştığında, manual olarak tarayıcı ayarları değiştirmeye çalışıldığında değiştirilemediği görülecektir. Bazı Hijackerlar, tarayıcı araçları bölümünden seçenekler kısmını kaldırarak, başlangıç sayfasını yeniden yapılandıramaz hale getirilebilmektedir.

Browser Hijacking yöntemi arama sonuçları sıralamasında bazı sitelerin Page Rank( Sayfa sırası) değerlerini değiştirmek için de kullanılır. Bir açıdan, Siyah şapka SEO (Search Engine Optimization) yöntemlerinde olduğu gibi, reklam gelirlerini artırmanın bir yolu olarak kullanılır.

Saldırganlar ClickJacking olarak  bilinen, web sayfası üzerine şeffaf ve opak katmanlar ekleme işlemi de gerçekleştirmektedirler. Bu tuzak sayfalar aracılığı ile web sayfasına yönlenen kurbanları, sayfa üzerinde bir butona yada linke tıklamaları için kandırarak, amaçlanan diğer bir tıklama işlemi gerçekleştirmelerini sağlarlar.

Bu türden saldırılar bilgisayar üzerinde bir etki sağlayamasalarda, tarayıcı performansınızı düşürürler.

Bilgi Güvenliği ve Özel İlgi Grupları ile İletişim

ISO 27001:2013 EK-A 6.1.4  Özel İlgi Grupları ile İletişim

Kontrol: Özel ilgi grupları veya diğer uzman güvenlik forumları ve profesyonel dernekler ile uygun iletişim kurulmalıdır.

 

Uygulama Kılavuzu;

Kuruluşların bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi adına özel ilgili grupları ile iletişim halinde olması fayda sağlar. Bu özel ilgi gruplarına örnek olarak, e-posta listeleri, e-posta grupları, sosyal paylaşım platformlarındaki gruplar, üretici bilgilendirme forumları, açıklık bildirim platformları verilebilir.

Özel ilgi grupları ve prosfesyonel gruplarla aşağıdaki konular için iletişim kurma gereksinimi vardır.

-  Bilgi Güvenliği ile ilgili konularda güncel bilgilerden haberdar olmak ve en iyi çözüm önerilerini takip etmek

-  Üreticilerin yayımladığı güvenlik bildirimlerini takip etmek,

-  Bilgi güvenliği ihlal olayları ile ilgili çözüm önerileri paylaşmak ve takip etmek,

-  Bilgi güvenliği ile ilgili fikir paylaşımında bulunmak.

Keylogging/Keylogger

Keylogging, kötü niyetli kişiler tarafından son kullanıcıların klavye üzerindeki tuş hareketlerini kayıt altına alınmasıdır. Keylogging işlemi, kullanıcı adları, parolaları, banka hesap bilgileri ve birçok hassas bilgiyi zararlı yazılımlar aracılığıyla uzaktan ele geçirmeyi amaçlar.

Keylogging, bir yazılım yada donanım  ile gerçekleştirilebilir.

Keyloggerlar kimi firmalarda Bilgi Teknolojileri bölümü tarafından teknik sorunları giderebilmek için de kullanıldığı bilinmektedir.

Bazı keylogger  yazılımları ile yalnızca klavye tuş hareketlerini kaydetmekle kalmayıp, ekran görüntüsü yakalama, mikrofon ile ses kaydı yapma özelliğine de sahiptir. Normal keylogging programları yerel sabit disk üzerine verileri kaydederken, bazıları ise bir ağ üzerinden uzaktaki bir web sunucu yada bilgisayara verilerin aktarılmasını sağlayabilir.

Keylogger yazılımları, kullanıcıların bilgisi olmadan bilgisayarları üzerine zararlı bir yazılım paketi aracılığı ile yüklenebilirler. Bilgisayarda bir keylogger’ın varlığını tespit etmek zor olabilmektedir. Keylogging sistemlerinin tespiti içinse, anti-keylogging programları geliştirilmiştir.  

Bilgi Güvenliği ve Otoritelerle İletişim

 ISO 27001:2013 EK-A 6.1.3  Otoritelerle İletişim

Kontrol: İlgili otoritelerle uygun iletişim kurulmalıdır.

 Uygulama Kılavuzu;

Kuruluşlar, otorotilerle ne zaman ve kim tarafından iletişime geçileceğine dair prosedürleri geliştirmelidir. Bu prosedürler yaşanan bilgi güvenliği ihlal olaylarının nasıl raporlanacağını içermelidir. Bu konuda acil durum iletişim prosedürü hazırlanabileceği gibi, bilgi güvenliği ihlal olayları ile entegre bir süreç de oluşturulabilir.

Daha detaylı bakmak gerekirse, otoritelerle iletişim, bilgi güvenliği ihlal olaylarında veya iş sürekliliğini tehlikeye atan durumlarda ihtiyaç olacaktır. Örneğin, internet üzerinden karşılaşılan bir servis sonlandırma saldırısında servis sağlayacılarla çözüm üretmek için görüşme gereksinimi doğabilir. Öte yandan, otoritelerle iletişim halinde olmak yasal ve düzenleyici gereksinimlerde doğacak olası değişikliklerde sürekli iletişim halinde kalınarak, kuruluşun değişiklikleri uygun şekilde yönetmesini sağlayacaktır. (Ör: BDDK, BTK bünyesinde veya 5651 gibi yasal değişimler).

Bir diğer dikkat edilmesi gereken konu ise, yangın, sel, büyük çaplı elektrik kesintileri, büyük çaplı su kesintileri, acil durumları(ambulans, polis, jandarma) yönetmek için otoritelerle iletişim kurmak gereksinimdir.