21 Ocak 2014 Salı

Bilgi Güvenliği ve Otoritelerle İletişim





 ISO 27001:2013 EK-A 6.1.3  Otoritelerle İletişim
Kontrol: İlgili otoritelerle uygun iletişim kurulmalıdır.
 Uygulama Kılavuzu;
Kuruluşlar, otorotilerle ne zaman ve kim tarafından iletişime geçileceğine dair prosedürleri geliştirmelidir. Bu prosedürler yaşanan bilgi güvenliği ihlal olaylarının nasıl raporlanacağını içermelidir. Bu konuda acil durum iletişim prosedürü hazırlanabileceği gibi, bilgi güvenliği ihlal olayları ile entegre bir süreç de oluşturulabilir.
Daha detaylı bakmak gerekirse, otoritelerle iletişim, bilgi güvenliği ihlal olaylarında veya iş sürekliliğini tehlikeye atan durumlarda ihtiyaç olacaktır. Örneğin, internet üzerinden karşılaşılan bir servis sonlandırma saldırısında servis sağlayacılarla çözüm üretmek için görüşme gereksinimi doğabilir. Öte yandan, otoritelerle iletişim halinde olmak yasal ve düzenleyici gereksinimlerde doğacak olası değişikliklerde sürekli iletişim halinde kalınarak, kuruluşun değişiklikleri uygun şekilde yönetmesini sağlayacaktır. (Ör: BDDK, BTK bünyesinde veya 5651 gibi yasal değişimler).
Bir diğer dikkat edilmesi gereken konu ise, yangın, sel, büyük çaplı elektrik kesintileri, büyük çaplı su kesintileri, acil durumları(ambulans, polis, jandarma) yönetmek için otoritelerle iletişim kurmak gereksinimdir.

20 Ocak 2014 Pazartesi

Hoax


Hoax (Asılsız Metinler), internet üzerinden yayılan, kullanıcıları kandırmak yada dolandırmak amacıyla, asılsız ve yanlış haberler içeren metinlerdir. Hoax’lar, para talebinde bulunmak, kullanıcı bilgisayara zararlı yazılım yüklemek yada bant genişliğinizi tüketmek amacıyla kullanılabilir. Hoax’lar yayılırken genellikle e-posta kullanılır ve e-postayı alan kullanıcılar mesajları sürekli çoğaltarak iletmeye teşvik edilir. (forward etmek)

Hoax’ların kullanıcıları kandırmaya yönelik içerik taşıdıkları birkaç ipucuyla anlaşılabilir. Hoax kullanıcıya ulaştığında;
  • Yeni bir zararlı yazılım hakkında sizi uyarıyor olabilir.
  • Özel bir konu başlığı ile gönderilerek, e-postanın zararlı yazılım içerdiğini söyleyebilir.
  • Uyarının önemli bir yazılım şirketi tarafından, internet servis sağlayıcınızdan yada bir devlet kurumu tarafından gönderildiğini iddia edebilir.
  • Bir zararlı yazılımın normalde olanaksız bir işlemi gerçekleştirebileceği konusunda bilgi içerebilir.
  • Metini birçok kişiye iletmeniz (forward etmeniz) için uyarı içeriyor olabilir.
  • Bir sosyal paylaşım sitesinde, bir hikayeyi, metini yada kişiyi beğenmenin yada paylaşmanın maddi bir yardım oluşturacağı gibi vaatler içeriyor olabilir.

Günümüzde de; internet ve sosyal paylaşım ortamlarında sıklıkla rastladığımız bu türden metin içerikleri ve örneklerini çoğaltmak mümkündür. Amaç, kullanıcıya aldatmaca bir hikayeyle istenilen işlemi yaptırmaktır. Hoax’ların paylaşılması e-posta seline neden olmakta ve e-posta sunucularının kapasitesini zorlamaktadır.

Hoax’lara karşı en iyi savunma yöntemi, kullanıcıların farkındalık düzeyini artırması ve bu türden asılsız metin örnekleri hakkında bilgilenerek dikkatli olunmasıdır.

17 Ocak 2014 Cuma

Boot Sector Malware

Bir bilgisayar başlatıldıktan hemen sonra, genellikle hard-disklerde bulunan Boot sektörü bularak işletim sistemini kullanıma hazırlar. Boot sektör üzerinde tutulan sistem bilgileri, bilgisayarın sözü edilen disk yada disketleri kullanabilmesi için gereken bazı temel verileri içerir. Bilgisayar yeniden açılışında Boot sektördeki verileri okuyarak düzgün çalışmak için gerekli temel verileri sağlar.

Boot Sector Malware ise, kendi boot sektörünü orijinal boot sektörleri ile değiştirir ve genellikle orijinalini erişemez hale getirir. Bu aşamadan sonra bilgisayar ilk çalıştırıldığın da zararlı yazılım içeren boot sektör üzerinden işletim sitemini çağıracak ve zararlı yazılım aktif hale gelecektir. Dikkat edilecek nokta ise zararlı yazılımın işletim sisteminden önce aktif olmasıdır.

Boot Sektör nedir?>> Bir diskin veya disketin işletim sistemini yüklemeye yarayan 1 sektör (512 byte) uzunluğundaki bir programdır. Sabit disklerin ve disketlerin sistem bilgileri kısımları Boot sektör üzerinde tutulur.

16 Ocak 2014 Perşembe

Bilgi Güvenliği İç Organizasyonu ve Görevler Ayrılığı



ISO 27001:2013 EK-A 6.1.2  Görevler Ayrılığı
Kontrol:
Kuruluşun varlıklarının yetkisiz veya farkında olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için, görevler ve sorumluluk alanları ayrılmalıdır.


Uygulama Kılavuzu;
Kurum içinde  yetkilendirme ve farkında olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için; bir varlığa erişim, değiştirme ve varlığın kullanımına ilişkin önlemler alınması faydalıdır.
Görevler ayrılığını uygulamak özellikle çalışan sayısı görece az olan organizasyonlarda çeşitli güçlükler yaratabilmektedir. Bununla birlikte görevler ayrılığını mümkün olduğunca gerçekleştirmenin kuruma fayda sağlayacağı da göz ardı edilmemelidir. Görevler ayrılığı, varlıkların kazara ya da istemli olarak kötüye kullanımını önlemek için kullanılan bir yöntem olarak düşünülmelidir.

15 Ocak 2014 Çarşamba

Backdoor Trojan

Backdoor Trojan’lar kullanıcıdan habersiz olarak bilgisayarın kontrolünü ele geçiren zararlı yazılım türüdür. Bu zararlı yazılımlar, yasal bir yazılım gibi kullanıcı bilgisayarında görüntülenebilir. Sıklıkla kullanılan bir diğer yol ise, kullanıcılara gönderilen spam niteliğindeki e-postalardan kullanıcı bilgisayara bulaşması yada zararlı/kötücül bir websayfasını ziyaretle farkında olmadan bulaşmasıdır. Bu türden zararlı yazılım bir kez bulaştıktan sonra kendisini bilgisayarın başlangıç rutinine ekler ve kullanıcı internete çıktıktan sonra kullanıcı bilgisayarını uzaktan kontrol edebilir hale gelir. 

Kullanıcı bilgisayarı internete çıkarak online olduğunda virüs yollayan kötü niyetli olarak birçok eylem gerçekleştirebilir. Örneğin; program çalıştırma, kişisel dosyalara erişme, dosyalarda değişiklik yapma, dosya yükleme, kullanıcının klavye hareketlerini izleme, spam e-postaları gönderme vb.

Bilinen en ünlü Backdoor Trojan’lara örnek olarak Netbus, OptixPro, Subseven, BackOrifice, Zbot ve ZeuS verilebilir.

Backdoor Trojan’lardan korunmak için bilgisayarda yüklü olan işletim sisteminin en son çıkan yamalarını takip ederek, işletim sistemi açıkları kapatılmaya çalışılmalıdır. Anti-spam ve anti-virüs programlarını kullanmak da bu tür zararlı yazılımlara karşı alınabilecek güvenlik önlemleri arasında yer alır. İşletim sistemi güvenlik duvarı (Firewall) kullanarak ise, Trojan yazılımlarının internet erişimi yoluyla saldırganla iletişim kurması engellenebilir.

14 Ocak 2014 Salı

Bilgi Güvenliği İç Organizasyonu Nasıl Olmalı?



ISO 27001:2013 A-6 Bilgi Güvenliği Organizasyonu

ISO 27001:2013 A 6.1 İç Organizasyon
Hedef: Kuruluş içerisinde bilgi güvenliği uygulaması ve işletimini başlatmak ve kontrol etmek için bir yönetim çerçevesi oluşturmak.




     ISO 27001:2013 A 6.1.1 Bilgi Güvenliği Rol ve Sorumlulukları
Kontrol: Tüm bilgi güvenliği sorumlulukları tanımlanmalı ve atanmalıdır.

Uygulama Kılavuzu;
Bilgi güvenliği sorumlulukları Bilgi Güvenliği Politikaları ile paralel olacak şekilde tahsis edilmesi gerekmektedir.
Genel olarak;
-  Her bir varlığın korunmasına ve özel bilgi güvenliği süreçlerinin uygulanmasına ilişkin sorumluluklar belirlenmelidir.
-  Bilgi güvenliği risk yönetim aktiviteleri ve artık riskin kabülüne ilişkin sorumluluklar tanımlanmalıdır.
-  Gerekli görülen noktalarda, özel konular ve bilgi işleme olanakları için tüm sorumluluklar, kılavuzluk edecek şekilde detaylandırılmalıdır.
-  Varlıkların korunması ve bilgi güvenliği aksiyonlarına alınmasına ilişkin sorumluluklar tanımlanmalıdır.
Bilgi güvenliğinin etkin olarak sürdürülebilmesi için sorumluluk sahibi kişiler sorumluklarını kurum içi diğer çalışanlara aktarabilirler. Burada en önemli nokta sorumluluklarını paylaşan kişilerin halen ‘accountable’ kişi olduğu unutulmamalıdır. Sorumluklarını delege eden kişi, görevlerin doğru olarak yerine getirip getirilmediğini takip etmekle sorumludur. Yetki delegasyonu sorumluluğu tümden ortadan kaldırmamalıdır.

Kişilerin hangi alanlardan sorumlu oldukları  belirlenmelidir. Bu süreçte;
-  Varlıklar ve bilgi güvenliği süreçleri belirlenmeli ve tanımlanmalıdır.
-  Her bir varlık veya bilgi güvenliği süreci ile atamalar yapılmalı ve sorumluluklara ilişkin detaylar dokümante edilmelidir. (ISO 27002:2013 8.1.2 gözden geçirilebilir)
-  Yetkilendirme mekanizmaları ve seviyeleri tanımlanmalı ve dokümante edilmelidir.
- Sorumlukları atanmış kişilerin yeterli yetkinlikte olması veya yeterli yetkinliğe gelmesi sağlanmalıdır.
-  Tedarikçi veya üçüncü tarafların koordinasyonu ve gözetimine ilişkin roller tanımlanmalı ve dokümante edilmelidir.

13 Ocak 2014 Pazartesi

Autorun Worm

Autorun bir dosyayı otomotik olarak çalıştırmaya yarayan bir program parçacığıdır. Autorun Worm (Türkçe olarak Otomatik Çalıştırma Solucanı olarak adlandırılabilir) işletim sistemindeki Autorun özelliğinden faydalanan zararlı yazılımlardır. Bu yazılımlar, bir depolama cihazı (CD, DVD, Flash Bellek gibi) bilgisayara bağlandığında otomotik olarak çalıştırılırlar. Taşınabilir cihazın içine gömülü olan virüs yazılımları Autorun özelliği sayesinde otomatik olarak aktifleşir.

Autorun Worm’lar sıklıkla USB sürücüler üzerinden bilgisayara zararlı yazılım bulaştırırlar.

Autorun özelliği virüs bulaştırma yöntemiyle birlikte tehlikeli hale gelmektedir. Autorun virüsü son kullanıcı bilgisayarlarına zararlı yazılım bulaşmasına neden olabilir. Zararlı yazılım bulaşan bileşen aracılığıyla USB Portlarını kullanan tüm taşınabilir depolama cihazlarına zararlı yazılım bulaşması olasıdır. Bu yüzden Autorun virüsünün hızla yayılımı oldukça kolay hale gelmektedir.

Virüs bulaştığının belli başlı etkileri ise; Autorun.exe dosyalarının çalışmaması, gizli dosyaların görüntülenememesi Bu virüsten korunmanın yolu bilgisayarınız üzerindeki Autorun dosyasının otomotik çalışmasını engellemektir. Bu engellemeye sağlamak için; Microsoft yeni işletim sistemlerinde bu özelliği default (öntanımlı) olarak kapalı bir şekilde sunmaktadır.

10 Ocak 2014 Cuma

Anonymizing Web Proxy

Proxy sunucu, bir web tarayıcısı (Internet Explorer, Chrome gibi) ve Internet arasında aracı (Vekil) işlevi gören bileşendir. Anonim Vekil Sunucular, IP adresini ve web kimliğini gizleyen vekil sunucularıdır. Anonymizing Proxy yöntemi kullanıcıların web tarayıcıları üzerindeki aktivitelerini gizlemekte kullanılır. Bu yöntemle Web güvenlik önlemleri bypass edilebilmektedir. Bu şekilde bir iş bilgisayarından engellenmiş bir web sitesine erişim sağlamak mümkün olabilir.

Anonymizing Proxy işlemi güvenlik ve sorumluluk riski taşımaktadır. Web güvenlik önlemlerini atlayarak (bypass ederek), kullanıcıların web sayfalarına yetkisiz erişimlerini sağlar. Kullanıcılar yasadışı MP3, film, yazılım vb. indirmeleri üçüncü parti lisans haklarını ihlal edilmesi gibi etkileri de bulunmaktadır. Organizasyonlar kullanıcıların erişimi engellenmiş sitelere ulaşması durumunda yasal sorumluluk altına girebilirler. Proxy sunucular, bazı web içeriklerine ve kötü amaçlı yazılımlara filtre uygulayarak güvenliğin artırılmasını sağlarken, Anonymizing Proxy yöntemi bu güvenlik önlemini ortadan kaldırır.

9 Ocak 2014 Perşembe

Bilgi Güvenliği Politikalarını Gözden Geçirme




ISO 27001:2013 EK-A
5.1.2 Bilgi Güvenliği için Politikaların Gözden Geçirilmesi
Kontrol: Bilgi güvenliği politikaları, belirli aralıklarda veya önemli değişiklikler ortaya çıktığında, sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için gözden geçirilmelidir.



 
Uygulama Kılavuzu;
Her bir politikaya üst yönetim/yönetim tarafından onaylanmış bir politika sahibi atanmalıdır. Politika sahipleri ilgili politikaların; değiştirilmesinden, gözden geçirilmesinden ve geliştirilmesinden sorumlu olacaklardır. Bu gözden geçirme aktivitesi, organizasyonun yaşadığı yasal, teknik veya regülatif değişimlerde, bilgi güvenliği yönetim yaklaşımını destekleyecek şekilde fırsatları belirlemeli ve geliştirilmelidir. Politika gözden geçirmelerinde Yönetim Gözden Geçirme sonuçları gözardı edilmemelidir. Politika gözden geçirmeleri, organizasyonun doküman yönetim sistemine uygun olarak yönetim tarafından onaylanmalı ve revize edilmelidir.

8 Ocak 2014 Çarşamba

Adware (Advertising-Supported Software)


Adware’ler reklam destekli yazılımlardır. Bu yazılımlar bir uygulama kullandığınızda bilgisayarınızda pop-up veya banner reklamlarınızı görüntülemeye olanak tanır. Adwareler mutlaka kötücül yazılımlar değillerdir. Bu türden reklamlar özellikle ücretsiz yazılımların geliştirilme aşamasında fon sağlamak için kullanılmaktadır.


Ancak Adwareler aşağıda belirtilen durumlarda sorun teşkil edebilirler;

  •      İzin verilmeden kendisini bilgisayara yüklemesi
  •      Sizin kullandığınız uygulamaların dışında ekrana gelmesi ve reklam görüntülemesi
  •      Internet tarayıcınızı ele geçirerek (Hijacking), daha fazla reklam görüntülemesi
  •      İzin verilmeden web tarayıcı bilgilerinizi toplaması ve internet aracılığı ile bilgilerin  başkalarıyla paylaşımı (Spyware)
  •      Adware’i kaldırmanın zor olacak şekilde tasarlanmış olması

Adware’ler bilgisayarı ve reklamların indirilmesi internet bağlantı hızını yavaşlatabilir. Adware’daki programlama hataları bilgisayarı üzerinde beklenmedik hatalara yol açabilir.

Adware programlarını yetkilendirebilir yada bilgisayarınızdan kaldırabilirsiniz. 

Not: Adwarelerin tespiti için de özel programlar bulunmaktadır.

7 Ocak 2014 Salı

Bilgi Güvenliği Politikaları

A-5 Bilgi Güvenliği Politikaları (EK-A 5.1 Bilgi Güvenliği için Üst Yönetim Yönlendirmesi)
Hedef: İş gereksinimleri ve ilgili yasal gereksinimlere uyum için bilgi güvenliği yönetim yönlendirmesi ve desteğinin sağlanması.



 
5.1.1 Bilgi Güvenliği Politikaları
Kontrol: Bilgi güvenliği için politikalar tanımlanmalı, yönetim tarafından onaylanmalı, yayınlanmalı, tüm çalışanlar ve ilgili dış taraflara bildirilmelidir.

Uygulama Kılavuzu;
İlk olarak organizasyon en üst seviye olarak üst yönetim tarafından onaylı bir “Bilgi Güvenliği Politikası” tanımlamalı ve bu politika bilgi güvenliği hedeflerinin nasıl yöneticileğine dair kuruluşun yaklaşımını belirlemelidir.

En iyi uygulama örneği olarak Bilgi Güvenliği Politikasının aşağıdaki ihtiyaçları karşılar nitelikte olması fayda sağlayacaktır;
-İş Stratejileri
-Yasalar, regülatif düzenlemeler ve sözleşmelerden doğan gereksinimler
-Bilgi Güvenliği tehditleri

Bilgi Güvenliği Politikası oluşturulurken aşağıdaki maddeler göz ardı edilmemelidir;
-Bilgi Güvenliğine ilişkin tüm aksiyonlara kılavuzluk edecek bir bilgi güvenliği tanımı
-Bilgi Güvenliğine ilişkin Roller ve Sorumluklarının tayini
-Beklentileri ve istenmeyen sapmaları yönetecek süreçlerin belirlenmesi

Üst seviye Bilgi Güvenliği Politikasını destekleyecek alt seviye politikaların tanımlanması gereklidir. Bu politikalar tüm paydaşlar tarafından anlaşılabilir olması ve bilgi güvenliği kontrollerinin uygulanmasına kılavuzluk edecek detayda olması fayda sağlar.

Bu politikalara örnek olarak aşağıdakiler sunulabilir;
-Erişim Kontrol Politikası
-Bilgi Sınıflandırılması
-Fiziksel ve Çevresel Güvenlik
-Son Kullanıcıya ilişkin;
   o Kabul Edilebilir Kullanım Politikası
   o Temiz Masa Temiz Ekran Politikası
   o Bilgi Değişim Politikası
   o Mobil Cihazlar ve Uzaktan Çalışma Politikası
   o Yazılım Yükleme ve Kullanım Politikası
-Yedekleme Politikası
-Kötücül Yazılımlardan Korunma Politikası
-Teknik Açıklık Yönetim Politikası
-Kriptografik Kontrol Politikası
-Ağ Güvenlik Politikası
-Tedarikçi Güvenliği Politikası
-Kişisel Bilgileri Koruma Politikası

6 Ocak 2014 Pazartesi

Advanced Persistent Threat (APT) - (Gelişmiş Kalıcı Tehditler)

Advanced Persistent Threat (APT), Gelişmiş Kalıcı Tehditler olarak Türkçe adlandırabileceğimiz hedefli bir saldırı türüdür. APT ticari ve siyasi hedeflere yönelik siber suç kategorisinde yer almaktadır. Bu türden saldırılarda hedeflenen bir ağ içine sızma planı için zaman ve bilgi birikimi iki önemli parametredir. APT ler hedeflerde zarara yol açmaktan çok hedefteki hassas verileri ele geçirmek için gerçekleştirilir.

Saldırganlar, açıklığı bilinen ve çok sayıda kişi tarafından kullanılan popüler bir program/yazılım aracılığıyla kötücül bir ortam hazırlar (Örneğin MS Office, Adobe). Saldırgan oluşturduğu bu ortamı/dosyayı/program parçacığını kurbanların ilgisini çekecek şekilde onlara iletir ve arka planda kötücül program parçacığı çalışarak saldırganın uzak bileşen (PC, Sunucu, Ağ) üzerinde kontrolü ele geçirmesini sağlar. Buradaki amaç, bileşenleri ele geçirmekten çok, daha gelişmiş etkili ve kalıcı saldırıları tasarlamak ve yönetmektir.

Gerçek dünyadan: Stuxnet bu saldırıya örnek gösterilebilir.

3 Ocak 2014 Cuma

ISO 22301 İş Sürekliliği Yönetim Sistemi Bilgilendirme

İş Sürekliliği yönetimi konusunda en yaygın olarak kullanılan standart, “ISO 22313:2012 İş Sürekliliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standart, işletmeler içerisinde iş sürekliliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO 22313:2012 rehber edinilerek kurulan İSYS’nin belgelendirmesi için “ISO 22301:2012 Sosyal Güvenlik – İş Sürekliliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir İş Sürekliliği Yönetim Sistemini kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır.

ISO 22301 standardı ile ilgili detaylı bilgi almak için lütfen tıklayınız.