Mobil Cihazlar ve Bilgi Güvenliği

EK-A 6.2.1 Mobil Cihaz Politikası
Kontrol: Mobil cihazların kullanımından kaynaklanan risklerin yönetimi için bir politika ve destekleyici güvenlik önlemleri uygulanmalıdır.


Uygulama Kılavuzu:
Kurumsal verilere zarar gelmemesi adına, mobil cihazlar kullanılırken özen gösterilmesi faydalı olacaktır. Mobil cihaz politikası, mobil cihazların korunmasız ortamlarda kullanıldığı riskini her zaman göz önünde bulundurmalıdır.
Mobil cihaz politikası aşağıdaki konu başlıklarına ilişkin çözümler sunmalıdır;
-Mobil cihazların kayıt altına alınması, ek olarak zimmet formu doldurulması
-Mobil cihaz kullanımında fiziksel şartların uygunluğu (Delici, kesici aletler, sıcaklık, nem su v.b)
-Yazılım yüklemeye ilişkin kısıtlamalar
-Mobil cihaz yazılımlarının sürüm takibi ve yama yönetimi
-Bilgi servislerine erişim kısıtlamaları
-Erişim kontrolleri
-Kriptografik kontoller
-Zararlı yazılımlardan korunma
-Uzaktan devre dışı bırakma, silme
-Yedekleme
-Kablosuz ağ kullanımı
-Web uygulamaları ve web servislerinin kullanımı
Mobil cihazlar halka açık alanlarda kullanılırken ekstra özen gösterilmelidir.  Yetkisiz erişim ve bilgi ifşasını engelleyecek kontroller uygulanmalıdır. Bu kontroller kriptografik önemler(VPN v.b), parola kullanımı ve diğer kimlik doğrulama mekanizmaları olarak sınıflandırılabilir.
Çalınma ve kaybolmaya ilişkin riskler göz ardı edilmemelidir. Sigortalama ve kuruma özgü diğer ek kontroller uygulanmalıdır. Kritik bilgi taşıyan kurumsal mobil cihazlar, gözetimsiz bırakılmamalı,  mümkün olan yerlerde fiziksel olarak kilitli alanlarda saklanmalı(Ör: Dizüstü bilgisayarları mesai saati dışında ofiste kilitli alanlarda saklamak), bu cihazlar güçlü parola ve yetkilendirme mekanizmaları ile kontrol altına alınmalıdır.
Kuruluş, BYOD(bring your own device) gibi bir politika benimsedi ise aşağıdakiler göz önünde bulundurulmalıdır;
-Şahsi ve kurumsal kullanımın ayrımına gidilebilir. Böylelikle kişiye ait olan bir cihazda kurumsal verinin kullanımı daha güvenli olacaktır. (Bu işlemi gerçekleştirme için özelleşmiş yazılımlar kullanılabilir.)
-Kurumsal verilere erişimin sağlanabilmesi için yalnızca sözleşmeyle gerekli yetkiye sahip kullanıcı atanmasıyla, veri kaybı ve çalınmasının önüne geçilebilir.

Zombie

Zombi, bilgisayarın bir saldırgan tarafından istediği zaman uzaktan kontrol edilmesi işlemidir. Bilgisayarınız internet üzerinden bir saldırgan tarafından kontrol edilebiliyorsa, bilgisayarınız bir zombi olmuş demektir.

,

Zombiler, genellikle spam gönderimi, denial of service (DOS) saldırılarının başlatımı ve diğer sistemlere bulaştırılması için kullanılırlar. Saldırganlar ele geçirilen bilgisayarın bağlantısını kullanarak hedeflere saldırı düzenlerler. Kurban sayısı arttıkça bu saldırıların gücü artmaktadır.

Proje Yönetiminde Bilgi Güvenliği

   ISO 27001:2013 EK-A 6.1.5  Proje Yönetiminde Bilgi Güvenliği

Kontrol: Bilgi güvenliği, projenin türü ne olursa olsun proje yönetimi içerisinde adreslenmelidir.

Uygulama Kılavuzu:

Bilgi güvenliği risklerinin tanımlanması ve adreslenmesi için bilgi güvenliği; kuruluşun proje yönetim süreçlerine dahil edilmelidir. Kuruluş projelerin türünden bağımsız olarak örneğin IT projeleri, iş geliştirme projeleri, fiziksel ve çevresel proje süreçlerinde bilgi güvenliği risklerini adreslemelidir.

Hali hazırda kullanılan proje yönetim metotları aşağıdakilere gereksinim duyacaktır;

-Proje hedeflerinin bilgi güvenliği hedeflerini içermesi

-Proje’nin ilk aşamalarında gerekli kontrollerin tespiti için bilgi güvenliği risk değerlendirme çalışmasının yapılması

-Uygulanan proje metodolojisinde bilgi güvenliğinin tüm proje evrelerine dahil edilmesi

Buffer Overflow (Arabellek Taşması)

‘Buffer’ yani arabellekler verilerin belleğe yazılmadan önce kullanıldıkları ara alanlardır.

Arabellek  ya da tampon/ara bölgelerin taşması, ilgili alanlara kabul edebileceğinden daha fazla veri göndermesiyle oluşur. Bu açıklık kullanılarak gerçekleştirilen saldırılarda, veriler bozulabilir, kötücül/zararlı program parçacıkları çalıştırılabilir ya da uygulamanın/sistemin çökmesine neden olabilir.

Genel kanının aksine arabellek taşması sadece servis (Örneğin Microsoft işletim sistemi) yada çekirdek programlarda gerçekleşmeyip, uygulamalarda da görülmektedir.

Buffer Overflow saldırılarında hatalı kodlanmış programların sınır kontrolü yapılmamış değişkenine alabildiğinden daha fazla veri yüklenerek bellek hatası vermesi ve özel hazırlanmış kodların sistemde zararlı işlemler yapması amaçlanır.

Browser Hijacker

Browser Hijacker, bilgisayarın varsayılan tarayıcı ayarlarını değiştirerek, sizi istemediğiniz bir web sitesine yönlendiren zararlı yazılım türüdür.

Bu yazılım bilgisayara bulaştığında, manual olarak tarayıcı ayarları değiştirmeye çalışıldığında değiştirilemediği görülecektir. Bazı Hijackerlar, tarayıcı araçları bölümünden seçenekler kısmını kaldırarak, başlangıç sayfasını yeniden yapılandıramaz hale getirilebilmektedir.

Browser Hijacking yöntemi arama sonuçları sıralamasında bazı sitelerin Page Rank( Sayfa sırası) değerlerini değiştirmek için de kullanılır. Bir açıdan, Siyah şapka SEO (Search Engine Optimization) yöntemlerinde olduğu gibi, reklam gelirlerini artırmanın bir yolu olarak kullanılır.

Saldırganlar ClickJacking olarak  bilinen, web sayfası üzerine şeffaf ve opak katmanlar ekleme işlemi de gerçekleştirmektedirler. Bu tuzak sayfalar aracılığı ile web sayfasına yönlenen kurbanları, sayfa üzerinde bir butona yada linke tıklamaları için kandırarak, amaçlanan diğer bir tıklama işlemi gerçekleştirmelerini sağlarlar.

Bu türden saldırılar bilgisayar üzerinde bir etki sağlayamasalarda, tarayıcı performansınızı düşürürler.

Bilgi Güvenliği ve Özel İlgi Grupları ile İletişim

ISO 27001:2013 EK-A 6.1.4  Özel İlgi Grupları ile İletişim

Kontrol: Özel ilgi grupları veya diğer uzman güvenlik forumları ve profesyonel dernekler ile uygun iletişim kurulmalıdır.

 

Uygulama Kılavuzu;

Kuruluşların bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi adına özel ilgili grupları ile iletişim halinde olması fayda sağlar. Bu özel ilgi gruplarına örnek olarak, e-posta listeleri, e-posta grupları, sosyal paylaşım platformlarındaki gruplar, üretici bilgilendirme forumları, açıklık bildirim platformları verilebilir.

Özel ilgi grupları ve prosfesyonel gruplarla aşağıdaki konular için iletişim kurma gereksinimi vardır.

-  Bilgi Güvenliği ile ilgili konularda güncel bilgilerden haberdar olmak ve en iyi çözüm önerilerini takip etmek

-  Üreticilerin yayımladığı güvenlik bildirimlerini takip etmek,

-  Bilgi güvenliği ihlal olayları ile ilgili çözüm önerileri paylaşmak ve takip etmek,

-  Bilgi güvenliği ile ilgili fikir paylaşımında bulunmak.

Keylogging/Keylogger

Keylogging, kötü niyetli kişiler tarafından son kullanıcıların klavye üzerindeki tuş hareketlerini kayıt altına alınmasıdır. Keylogging işlemi, kullanıcı adları, parolaları, banka hesap bilgileri ve birçok hassas bilgiyi zararlı yazılımlar aracılığıyla uzaktan ele geçirmeyi amaçlar.

Keylogging, bir yazılım yada donanım  ile gerçekleştirilebilir.

Keyloggerlar kimi firmalarda Bilgi Teknolojileri bölümü tarafından teknik sorunları giderebilmek için de kullanıldığı bilinmektedir.

Bazı keylogger  yazılımları ile yalnızca klavye tuş hareketlerini kaydetmekle kalmayıp, ekran görüntüsü yakalama, mikrofon ile ses kaydı yapma özelliğine de sahiptir. Normal keylogging programları yerel sabit disk üzerine verileri kaydederken, bazıları ise bir ağ üzerinden uzaktaki bir web sunucu yada bilgisayara verilerin aktarılmasını sağlayabilir.

Keylogger yazılımları, kullanıcıların bilgisi olmadan bilgisayarları üzerine zararlı bir yazılım paketi aracılığı ile yüklenebilirler. Bilgisayarda bir keylogger’ın varlığını tespit etmek zor olabilmektedir. Keylogging sistemlerinin tespiti içinse, anti-keylogging programları geliştirilmiştir.  

Bilgi Güvenliği ve Otoritelerle İletişim

 ISO 27001:2013 EK-A 6.1.3  Otoritelerle İletişim

Kontrol: İlgili otoritelerle uygun iletişim kurulmalıdır.

 Uygulama Kılavuzu;

Kuruluşlar, otorotilerle ne zaman ve kim tarafından iletişime geçileceğine dair prosedürleri geliştirmelidir. Bu prosedürler yaşanan bilgi güvenliği ihlal olaylarının nasıl raporlanacağını içermelidir. Bu konuda acil durum iletişim prosedürü hazırlanabileceği gibi, bilgi güvenliği ihlal olayları ile entegre bir süreç de oluşturulabilir.

Daha detaylı bakmak gerekirse, otoritelerle iletişim, bilgi güvenliği ihlal olaylarında veya iş sürekliliğini tehlikeye atan durumlarda ihtiyaç olacaktır. Örneğin, internet üzerinden karşılaşılan bir servis sonlandırma saldırısında servis sağlayacılarla çözüm üretmek için görüşme gereksinimi doğabilir. Öte yandan, otoritelerle iletişim halinde olmak yasal ve düzenleyici gereksinimlerde doğacak olası değişikliklerde sürekli iletişim halinde kalınarak, kuruluşun değişiklikleri uygun şekilde yönetmesini sağlayacaktır. (Ör: BDDK, BTK bünyesinde veya 5651 gibi yasal değişimler).

Bir diğer dikkat edilmesi gereken konu ise, yangın, sel, büyük çaplı elektrik kesintileri, büyük çaplı su kesintileri, acil durumları(ambulans, polis, jandarma) yönetmek için otoritelerle iletişim kurmak gereksinimdir.

Hoax

Hoax (Asılsız Metinler), internet üzerinden yayılan, kullanıcıları kandırmak yada dolandırmak amacıyla, asılsız ve yanlış haberler içeren metinlerdir. Hoax’lar, para talebinde bulunmak, kullanıcı bilgisayara zararlı yazılım yüklemek yada bant genişliğinizi tüketmek amacıyla kullanılabilir. Hoax’lar yayılırken genellikle e-posta kullanılır ve e-postayı alan kullanıcılar mesajları sürekli çoğaltarak iletmeye teşvik edilir. (forward etmek)

Hoax’ların kullanıcıları kandırmaya yönelik içerik taşıdıkları birkaç ipucuyla anlaşılabilir. Hoax kullanıcıya ulaştığında;

• Yeni bir zararlı yazılım hakkında sizi uyarıyor olabilir.
• Özel bir konu başlığı ile gönderilerek, e-postanın zararlı yazılım içerdiğini söyleyebilir.
• Uyarının önemli bir yazılım şirketi tarafından, internet servis sağlayıcınızdan yada bir devlet kurumu tarafından gönderildiğini iddia edebilir.
• Bir zararlı yazılımın normalde olanaksız bir işlemi gerçekleştirebileceği konusunda bilgi içerebilir.
• Metini birçok kişiye iletmeniz (forward etmeniz) için uyarı içeriyor olabilir.
• Bir sosyal paylaşım sitesinde, bir hikayeyi, metini yada kişiyi beğenmenin yada paylaşmanın maddi bir yardım oluşturacağı gibi vaatler içeriyor olabilir.

Günümüzde de; internet ve sosyal paylaşım ortamlarında sıklıkla rastladığımız bu türden metin içerikleri ve örneklerini çoğaltmak mümkündür. Amaç, kullanıcıya aldatmaca bir hikayeyle istenilen işlemi yaptırmaktır. Hoax’ların paylaşılması e-posta seline neden olmakta ve e-posta sunucularının kapasitesini zorlamaktadır.

Hoax’lara karşı en iyi savunma yöntemi, kullanıcıların farkındalık düzeyini artırması ve bu türden asılsız metin örnekleri hakkında bilgilenerek dikkatli olunmasıdır.

Boot Sector Malware

Bir bilgisayar başlatıldıktan hemen sonra, genellikle hard-disklerde bulunan Boot sektörü bularak işletim sistemini kullanıma hazırlar. Boot sektör üzerinde tutulan sistem bilgileri, bilgisayarın sözü edilen disk yada disketleri kullanabilmesi için gereken bazı temel verileri içerir. Bilgisayar yeniden açılışında Boot sektördeki verileri okuyarak düzgün çalışmak için gerekli temel verileri sağlar.

Boot Sector Malware ise, kendi boot sektörünü orijinal boot sektörleri ile değiştirir ve genellikle orijinalini erişemez hale getirir. Bu aşamadan sonra bilgisayar ilk çalıştırıldığın da zararlı yazılım içeren boot sektör üzerinden işletim sitemini çağıracak ve zararlı yazılım aktif hale gelecektir. Dikkat edilecek nokta ise zararlı yazılımın işletim sisteminden önce aktif olmasıdır.

Boot Sektör nedir?>> Bir diskin veya disketin işletim sistemini yüklemeye yarayan 1 sektör (512 byte) uzunluğundaki bir programdır. Sabit disklerin ve disketlerin sistem bilgileri kısımları Boot sektör üzerinde tutulur.

Bilgi Güvenliği İç Organizasyonu ve Görevler Ayrılığı

ISO 27001:2013 EK-A 6.1.2  Görevler Ayrılığı

Kontrol:

Kuruluşun varlıklarının yetkisiz veya farkında olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için, görevler ve sorumluluk alanları ayrılmalıdır.

Uygulama Kılavuzu;

Kurum içinde  yetkilendirme ve farkında olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için; bir varlığa erişim, değiştirme ve varlığın kullanımına ilişkin önlemler alınması faydalıdır.

Görevler ayrılığını uygulamak özellikle çalışan sayısı görece az olan organizasyonlarda çeşitli güçlükler yaratabilmektedir. Bununla birlikte görevler ayrılığını mümkün olduğunca gerçekleştirmenin kuruma fayda sağlayacağı da göz ardı edilmemelidir. Görevler ayrılığı, varlıkların kazara ya da istemli olarak kötüye kullanımını önlemek için kullanılan bir yöntem olarak düşünülmelidir.