24 Nisan 2020 Cuma

VERİ SINIFLANDIRMA UYGULAMA ALANLARI

Sinem Varol, Danışman
Veriler, kuruluşların işlevlerini gerçekleştirmeleri için hayati önem taşır. Çalışanın maaşının ödenmesinden, ürünün sevkiyatının gerçekleştirilmesine kadar kuruluş tüm faaliyetlerinde veriye ihtiyaç duyar. Verilerin bir kısmı dosya sunucuda, kurumsal uygulamalarda veya diğer bilgi sistemlerinde bulunabileceği gibi arşivlerde, çalışma ofisinde, çalışanların masaüstünde veya dolaplarda da bulunabilir, aynı zamanda web siteleri aracılığı ile tüm dünyaya açılabilir. Veriler bu kadar çeşitli platformlarda bulunduğu gibi bu verilerin iletimi için de farklı kanallar kullanılabilir. İlk akla gelen e-posta ya da kargo olmakla birlikte web entegrasyonları, File Transfer Protocol (FTP) gibi dosya transfer alanları, taşınabilir ortamlar (USB, DVD vb.), bulut çözümler ve sözlü olarak veri iletimi gerçekleşebilir. Söz konusu veri türleri kuruluşun iş ortakları, tedarikçileri, müşterileri, çalışanları gibi tüm paydaşlara ait olabilir. Veri türleri ve bulundurulduğu alanların çeşitli olması sebebiyle verinin güvenliğinin sağlanması konusunda sorumluluk giderek artmaktadır. Kuruluşun çalışanlarının kimlik bilgisi ya da tedarikçilerin açık adres bilgisinin yetkili olmayan kişilerin eline geçmesi kuruluş açısından eşit derecede zarara sebep olmaz.
Kuruluş için tüm veriler eşit derecede önem taşımayabilir. Verilerin yetkili olmayan kişilerin eline geçmesi durumunu ele alacak olursak kurumun bazı verilerinin yetkili olmayan kişilerin eline geçmesi kuruluşun itibarı ve geleceği açısından büyük tehlike oluştururken bu durum tüm veriler için aynı değildir. Basit bir örnek vermek gerekirse müşterilerin kimlik bilgilerinin yetkili olmayan kişilerin eline geçmesiyle kuruluşun yayınladığı bir finansal raporun yetkili olmayan kişilerin eline geçmesi kuruluş için eşit derecede etki yaratmaz.
Veri sınıflandırma, veriyi anlamlı şekilde gruplara ayırmaktır. Yüzlerce satır ve sütun arasından ihtiyacınız olanı aramak yerine birbirine benzeyen verileri bir araya getirip bir grup oluşturmanız halinde belirli filtrelerle ya da belirlediğiniz gruba uyguladığınız bir etiket sayesinde kolaylıkla ulaşabilirsiniz.  Bu sayede verinin yönetilmesi kuruluş için daha kolay hale gelmektedir.
Veri sınıflandırmanın bir diğer sebebi veri güvenliğinin etkin bir şekilde gerçekleştirilmesidir. Tüm verilerin yetkili olmayan kişilerin eline geçmesi durumunda kuruluşa vereceği zarar eşit olmamakla birlikte, tüm verilerin eşit derecede güvenliğin sağlanması mümkün değildir. Tüm veriler için eşit derecede ve en üst seviyeden güvenlik tedbirlerinin sağlanması kuruluş için maliyetli olacağı gibi kuruluşun operasyonlarını gerçekleştirmesini yavaşlatacaktır.
Veri sınıflandırma yöntemlerinin uygulanmasının kuruluş için birçok avantajı vardır. Verilerin sınıflandırılması ortak özelliklerine göre yapıldığı için bu veri sınıfları için belirli kurallar uygulamak daha kolay hale gelecektir. Hassas veya hassas olmayan bilgilerin neler olduğunu ayrıştırır ve hangileri için ne seviyede güvenlik tedbirleri alınmalıdır, uygulanan kontroller yeterli midir sorularına cevap niteliği taşır. Güvenlik tedbirlerinin sınıflandırılmış veriler aracılığıyla alınması veri sızıntısını engelleme açısından avantaj sağlar. Çalışanların daha hızlı kararlar almasına yardımcı olur, bu nedenle operasyon süreçleri daha hızlı ilerler.
Veri sınıflandırmasının kuruluşa birçok faydası olduğu gibi bazı kurumlar, standartlar ve çerçeveler bakımından zorunluluk haline getirilmiştir. Bu husus hakkında bazı örnekler aşağıda verilmiştir.
·     Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), 15.03.2020 tarihinde Resmi Gazetede yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğinde, bilgi sistemleri risklerinin yönetilmesi amacıyla bilgi varlıklarının sınıflandırılmasını ve bu sınıflara göre uygun güvenlik önlemlerinin alınmasını şart koşmuştur.
·   Sermaye Piyasası Kurulu (SPK), 05.01.2018 tarihinde Resmi Gazetede yayımlanan Bilgi Sistemleri Yönetimi Tebliğinde, bilgi varlıklarının önem derecesinde sınıflandırılmasını zorunlu kılmıştır.
·   6698 sayılı Kişisel Verilerin Korunması Kanununda kişisel verilerin sınıflandırılması, kişisel verilerin işlenmesi olarak tanımlanmıştır.  Ayrıca, veri sorumlusunun kişisel verilerin güvenliğini sağlama amacıyla her türlü güvenlik tedbirini alma sorumluluğu olduğu belirtilmiştir.
·     13.07.2014 tarihinde Resmi Gazetede yayımlanan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliğinde Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin kurulması, kapsamı ve yönetilmesi başlığı altında varlıkların sınıflandırılmasını elektronik haberleşme sektöründe faaliyet gösteren kuruluşlara şart koşmuştur.
·    ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardında Ek A kontrollerinde A.8.2 Bilgi Sınıflandırma olarak geçmektedir. Bu sebeple, ISO/IEC 27001 Bilgi Güvenliği Yönetimi Sistemi sertifikasına sahip olma zorunluluğu bulunan tüm kuruluşların bu koşulu yerine getirmeleri gerekmektedir. Bu kontrol maddesinde bilginin yasal şartlar, değeri, kritikliği ve yetkisiz ifşa veya değiştirilmeye karşı hassasiyet derecesine göre sınıflandırılması gerektiği belirtilmiştir. Yani bu kontrolde belirtildiği üzere, bir kuruluşta bilgi güvenliği yönetim sistemi kurulup işletilmek istendiğinde kuruluşun bilgi varlıklarının sınıflandırması, etiketlemesi ve kullanımı için prosedür geliştirip uygulamaları gerekmektedir. Tüm bu faaliyetlerin gerçekleştirilmesinin amacı bilginin kuruluş için önemi derecesinde korunması gereken seviyede korunmasını sağlamaktır.
·        Control Objectives for Information and Related Technology (CobiT) çerçevesinde çalışanların iş aktivitelerini destekleyecek bilgiyi sağlamak, bilinçli bir şekilde karar alabilmek ve verimliliği arttırmak için kuruluşun verilerini sınıflandırması gerektiği belirtilmiştir.
Verilen örneklerde açıkça görülmektedir ki, veri sınıflandırma gerekliliği hem kuruluş operasyon süreçleri açısından, hem maliyet hem de verilerin koruması açısından kuruluşa avantaj sağlamaktadır.

Veri Sınıflandırmada Kullanılan Genel Kategoriler
Veri sınıflandırırken, hassas ve hassas olmayan verilere yönelik uygun güvenlik tedbirlerinin alınabilmesi için veriler belirli kategorilere dâhil edilir. Bu kategoriler belirlenirken kuruluş kendine uygun olan kategoriler oluşturmalıdır. Bazı kuruluşlar için verileri gizli kalma hassasiyetleri açısından üç kategoriye ayırmak yeterli olabilir fakat bazı kuruluşlar dört ya da beş kategoriye ayırmaya ihtiyaç duyabilir. Örnek vermek gerekirse; “halka açık, kurum içi, gizli” şeklinde üç kategori bir kuruluşun bilgi varlıklarının gizli kalma hassasiyetleri açısından bilgi varlıklarını net bir çizgiyle anlaşılabilir bir biçimde ayırıyorsa bu kategoriler o kuruluş için yeterlidir diyebiliriz. Dört seviyede kategoriye ayrılmak istendiğinde “genel, dahili, gizli, çok gizli” şeklinde çeşitlendirilebilir, yeterli olmadığı takdirde beş seviyeli bir sınıflandırma da kullanılabilir.
Kuruluşlar çalışan sayısı, ciro, faaliyet alanı, veri paylaşılan taraflar ve daha birçok yönden birbirinden farklılık gösterdiği için bu kategoriler yeterli olmayabilir. Kategori sayısı ihtiyaca oranla az kullanıldığı takdirde veriler için yeterli güvenlik önlemleri sağlanamayabilir. Örneğin veri sınıflandırırken aslında gizli kategorisinde olması gereken bir veri, kararsız kalınıp, kurum içi olarak sınıflandırıldığında o veri için alınacak güvenlik tedbirleri kurum içi veriler seviyesinde olacağı için bu durumda yeterli güvenlik sağlanmamış olur. Bu durumda söz konusu veri için yetkisiz kişilerin eline geçme ihtimali artar.
Gizli kalma hassasiyeti açısından sınıflandırılmış veriler için farklı güvenlik tedbirleri uygulanmaktadır. Kuruluş “genel” ya da “halka açık” olarak sınıflandırdığı veriler için ek bir güvenlik tedbiri almaya ihtiyaç duymayabilir. Bu veriler kuruluş dışındaki kişilerle de paylaşılabildiği için görüntülenmesi, paylaşılması ve kullanılması açısından bir sakınca yoktur. “Dahili” ya da “kurum içi” sınıfındaki veriler genel olarak kuruluş içinde tüm çalışanlar tarafından görüntülenebilir. Bu sınıftaki veriler içinse yetkili olmayan kişiler haricinde erişilmemesi ve paylaşılmaması gerektiği için ek güvenlik tedbirleri alınmalıdır. Örneğin bu sınıftaki veriler için; e-posta yoluyla paylaşılırken şifreleme kullanılabilir ve eğer çalışanların kullandığı cihazda bulunuyorsa disk şifrelemeyle veriler korunabilir. “Gizli” ve “çok gizli” sınıflarındaki veriler genellikle kuruluştaki tüm çalışanların değil yöneticilerin veya üst yönetimin erişebildiği veya paylaşabildiği verilerdir. Bu verilerin bulunduğu ortam dosya sunucu ise erişim için dosyalar şifrelenebilir ya da basılı evrak ise kilitli dolapta tutulabilir. Ek olarak, bazı kuruluşlar tüm gizli kalma hassasiyetindeki verilerini korumak adına çalışanların kuruluş dışına e-posta gönderimini olanak dışı kılmaktadır. Bazı çalışanlara gerekli durumlarda yetki verilebilir.

Veri Sınıflandırmasının Desteklediği Diğer Güvenlik Alanları
Veri sınıflandırmanın kuruluşa sağladığı diğer avantajlar da Veri Sızıntısı Önleme (Data Loss Prevention -DLP), erişim yönetimi gibi verinin güvenliğini sağlamaya yönelik alanlarda kullanılmasıdır. Kuruluşlar için hassas veriyi takip etmek giderek zorlaşmıştır. Bu ihtiyaç doğrultusunda zaman içinde verinin güvenliğini sağlamak adına farklı araçlar geliştirilmiştir.
Erişim yönetimi, veri sınıflandırmanın fayda sağladığı bir güvenlik alanıdır. Erişim yönetiminin uygulanmasında kullanılan yöntemlerden biri kullanıcı kimliklerinin yönetilmesidir.  Tüm kullanıcı kimliklerinin erişebileceği alanlar belirlendiğinde, hassas verilerin yetkili olmayan kişilerin eline geçmemesi için iyi bir yol kat edilmiştir denebilir. Kimlik ve erişim yönetimi alanında en çok kullanılan araçlara Azure Active Directory, IBM Security and Access Assurance ve Oracle Identity Cloud Service örnek verilebilir.
Veri Sızıntısı Önleme (Data Loss Prevention - DLP) teknolojisi, kuruluş içinde hassas olarak nitelendirilen verileri sanal ortamda takip eder ve verilerin kuruluş dışına sızmasını engeller. Farklı veri sınıfları için verilerin iletilmesi ve erişilmesi için farklı kurallar oluşturulur. Verinin geçtiği kanalları ve yetkisiz erişimleri izler. Kuralları farklı iletişim kanallarında (web, e-posta, cloud) uygulayabilme gibi özellikleri vardır. Verilerin bulunduğu dosyalar seçilerek etiketler uygulanır, aynı zamanda belirlenmiş kullanıcıların erişmesi hariç tutulabilir. Etiketleme işlemi belirli veri türleri ya da sözcükleri içeren dosyalar olarak otomatik olarak da yapılabilir. Bu alanda en çok kullanılan uygulamalara Symantec DLP, Checkpoint, Digital Guardian ve Microsoft 365 DLP aracı örnek verilebilir.

Veri Sınıflandırma İçin Kullanılan Uygulamalar
Verilerin sınıflandırılmasını tamamıyla gerçekleştirmek ve bu süreci tam olarak yönetebilmek bir kuruluş için oldukça efor gerektiren bir çalışmadır. Çalışanların saatlerini hatta haftalarını bu süreci tamamlamak için yapacakları çalışmalarla, görüşmelerle geçirmeleri gerekebilir. Kuruluşların hassas verilerinin güvenliğini sağlama ihtiyacı arttıkça ve teknoloji geliştikçe bu alanda yeni araçlar geliştirilmiş ve kullanılmaya başlanmıştır. Bu uygulamaların kullanılması aynı zamanda kullanıcıları hassas verilerin kullanılması ve iletilmesi konusunda daha sorumlu hale getirir. Bu makalede herhangi bir ürüne yönlendirme amacı bulunmamaktadır. Bilgilendirme amacıyla ürünlerin özelliklerinden bahsedilmiştir.
Bu uygulamalardan biri olan TITUS Classification, kullanıcı cihazlarının (mobil veya değil) eriştiği belgelerdeki hassas veririn güvenliğinin sağlanması için politikalar belirleyerek bunların uygulanmasını zorunlu tutar. Mobil cihazlarda, MS Office programlarında, e-postalarda ve dokümanlarda kullanılabilir. E-postalara görseller yerleştirilerek kullanıcılar için hassas verilerin iletilmesi konusunda farkındalık sağlanabilir. Aynı zamanda e-postalardaki eklerin görüntülenmesi de kullanıcı bazlı kısıtlanabilir.
Veri sınıflandırma için kullanılan bir diğer araç olan Boldon James; ağdaki dosyaları, e-postaları, Sharepointteki dosyaları ve bulutta paylaşılan dosyaları sınıflandırmada kullanılabilir. Veri sınıflandırma etiketleri, kuruluşun veri güvenliği politikasına uygun bir şekilde uygulanır. Boldon James aynı zamanda güvenli mesajlaşma çözümünde sahiptir. Bu sayede hassas verilerin iletimindeki güvenliği sağlanmış olur.
Symantec Information Centric Tagging (ICT) uygulaması ile MS Office programlarındaki ve e-postalardaki verilere kolaylıkla gizlilik etiketi uygulanabilir. Symantec DLP uygulaması ile bütünleşik bir şekilde çalışır ve hassasiyeti yüksek verilerin sızmasını engellemeye yardımcı olur. Kuruluşun veri gizliliği politikasına uyum sağlamasına ve kullanıcı farkındalığını arttırmaya yardımcı olur.
Office 365 uygulamasıyla birlikte gelen veri sınıflandırma özelliğinde etiketler tanımlanır ve etiket kuralları oluşturulur. Bu etiketler Outlook, OneDrive ve Sharepoint gibi uygulamalarda da kullanılabilir. Örneğin bir etiket için sınırlı bir süre seçilip, bu süre sonunda bu etikete sahip verinin silinmesi sağlanabilir ya da çok gizli etiketine sahip bir verinin e-posta yoluyla iletilmesi engellenebilir.
Tüm bu uygulamaların ortak özelliği KVKK, ISO/IEC 27001, COBIT gibi yasal uyumluluk gerektiren düzenlemelere ve çerçevelere uyum sağlama konusunda fayda sağlamalarıdır. KVKK’ya uyum sağlama konusunda örnek vermek gerekirse kişisel verileri işleyen kurumların bu verileri tutmak için yasal olarak bazı süreler belirlenmiştir ve bu sürelerin sonunda verilerin silinmesi gerekmektedir; bunu sağlamak adına verilerin tutulduğu dosyalar etiketlendiğinde yasal saklama süresi tanımlanırsa bu süre bittiğinde veriler silinmiş olur. Bu sürecin takibini yapmak kullanıcılar için oldukça vakit alan bir işlem olabilir fakat veriler sınıflandırılıp etiketlendiği takdirde bu hususun takibi kullanıcıların dakikalarını alır. KVKK’ya uyum konusunda bir diğer husus ise veri sorumlusuna başvuru sürecidir. İlgili kişi, veri sorumlusuna yaptığı başvuruda kişisel verisinin işlenip işlenmediğini, kişisel verileri işlenmişse hangi amaç doğrultusunda işlendiği, yurt içinde veya yurt dışında olmak üzere kişisel verilerinin hangi üçüncü kişilere aktarıldığı konusunda bilgileri almayı talep edebilir. Veri sorumlusunun bu hususta yasal bir sonuçlandırma süresi vardır. Bu bilgilere ulaşmak, verilerini sınıflandırmadan saklayan, kullanan ve işleyen bir kuruluş için çalışanların günlerce efor sarf etmesine sebep olabilir çünkü verilerin kaynağı olarak çok fazla dosya ve uygulamanın kontrol edilmesi gerekebilir. Veri sınıflandırma için uygulamaların ve araçlarının kullanılması zaman ve maliyet açısından tasarruf sağlayacağı gibi, yasal düzenlemelere ve çerçevelere uyum sağlama konusunda kuruluşun başvurması gereken temel kaynaklardan olmalıdır.
 
Faydalanılan Kaynaklar


· https://www.isaca.org/resources/news-and-trends/newsletters/cobit-focus/2015/using-cobit-5-to-deliver-information-and-data-governance
· 6698 Sayılı Kişisel Verilerin Korunması Kanunu
· ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı
· https://www.park.com.tr/wp-content/uploads/2016/02/TITUS-Siniflandirma-cozumu1.pdf
· https://innoset.net/boldonjames
· https://docs.microsoft.com/tr-tr/cloud-app-security/dcs-inspection
· https://www.platinbilisim.com.tr/TR/IsOrtaklari/symantec-information-centric-tagging-ict
· https://www.cozumpark.com/office-365-security-compliance-center-veri-siniflandirma-data-classification-labels-bolum-1/

2 Nisan 2020 Perşembe

Red Team Ve Blue Team Nedir?

                                                                     

                                                                                                                                               Tuğcan Özel, Sızma Testi Uzmanı



Herhangi bir arabanın güvenli olduğundan nasıl emin olmaktayız? Kaza testi yaptırarak. Özellikle teknoloji konusunda bir şeyi güçlendirmek için izlenecek en iyi yol, bu konuyla alakalı testler gerçekleştirmektir. Doğal olarak aynı prensipler siber güvenlik bileşenlerinde de geçerlidir. Güvenlik altyapılarınızdaki zafiyetleri ve zayıflıkları efektif bir şekilde ortaya çıkarmanın ve gidermenin yolu Red/Blue Team testleri gerçekleştirmektir. İki takım arasındaki farklılıklardan ortaya çıkan Purple Team anlayışı ile de organizasyonda iyileştirmeler yapılmaktadır.

Red Team, Blue Team ve Purple Team isimleri ve modelleri hali hazırda uygulanan ordu stratejileri baz alınarak ortaya çıkmıştır. Ordular, askerlerin savaşa hazır olduklarına emin olmak için, belli başlı stratejiler uygulamaktalardır. Bu süreçte uygulanan stratejilere uygun aksiyonlar alınmaktadır. Saldırı için alınan aksiyonlar ile ilgili takım kırmızı (red), savunma için alınan aksiyonlar ile ilgili takım mavi (blue) ve bu alınan aksiyonların yönetilmesi için oluşturulan takım ise mor (purple) takım olarak belirlenmiştir. Aynı orduda olduğu gibi siber güvenlik arenasında bu roller dijital ortama taşınmıştır.

Red Team Nedir?

Red Team, kavramı saldırgan gibi düşünmek üzerine ortaya çıkmıştır. Red Team testleri, organizasyonların siber güvenlik konusunda savunma hatlarını güçlendirmek için gerçekleştirilir. Test yaklaşımları zafiyet değerlendirmesi, sızma testi ve sosyal mühendislik testleri gibi konuları içermektedir. Red Team testlerinde, tasarlanan simülasyonları en iyi şekilde gerçekleştirmek için sızma testlerinde yaygın olarak kullanılan araçlar kullanılmaktadır.


Red Team operasyonları gerçekleştiriliyorken, IT takımları ve mavi takımları da dahil olmak üzere bir çok çalışanının, genellikle operasyon bitene kadar bu operasyonun gerçekleştirileceğine dair bilgileri bulunamamaktadır. Bu durum hizmeti alan kuruluşun tercihine göre değişiklik gösterebilir.

Bazı kurumlar, bu operasyonları iç kaynaklara yürütebilmek için Red Team takımları oluşturmaktadır. Red Team hizmeti çoğunlukla, bağımsız bir gözlemci tarafından yapılmasının daha sağlıklı olması nedeniyle  Güvenlik Danışmanlığı sağlayan şirketler tarafından gerçekleştirilmektedir.  Bu sayede kuruma ait çalışanların gözünden kaçabilecek zayıflıklar ve açıklıklar  tespit edilebilmektedir. 

Blue Team Nedir?

Blue Team çalışanları, kurumlara dış dünyadan gelebilecek bir saldırıya karşı önlem almak ve saldırıya sebep olan zayıflıkları iyileştirmek ile görevlilerdir.  Bu ekibin diğer görevi ise saldırı anında gelen vektörleri engellemek ya da azaltmaktır. Olası bir saldırı öncesi hazırlıklı olmak adına, düzenli olarak sistemleri ve prosedürleri güçlendirmek/güncellemek, kurumda kullanılan yazılımlar konusunda ise yazılımlarda yer alan gereksiz ve güvensiz özellikleri tespit edip kullanımını sonlandırmak ile görevlilerdir.  Gelebilecek olası bir saldırıya her an hazırlıklı olabilmek için SIEM çözümleri ile sistemleri dinamik olarak izleyerek hızlıca müdahaleye hazır durumda bulunurlar.

Purple Team Nedir?

Purple Team terimi, Red Team ve Blue Team operasyonlarında alınan aksiyonların ortak bir noktada buluşturulup yönetilmesi konusuyla ortaya çıkmıştır. Purple Team kavramı, güvenliğin teknik operasyonlardan nispeten uzak, sürecin yönetimiyle ilgili operasyon kaynağını temsil etmektedir. Purple Team çalışanları, meydana gelen olayları Red Team ve Blue Team disipliniyle  beraber yorumlamaktadır. Bu sayede, güvenliği seviyesi en yüksek seviyeye ulaştırılmaya çalışılmaktadır. Genel olarak ifade etmek gerekirse, Red Team bu süreçte zafiyetleri inceleyip bulurken Blue Team’i geliştirmekte, Blue Team gerekli savunma aksiyonlarını alırken Red Team’i geliştirmektedir. Bu iki takımın saldırı ve savunma noktasında yönetimsel olarak geliştirilmesi ise Purple Team tarafından gerçekleştirilmektedir.





Özet
  1. Red Team, organizasyonun içinde bulunan savunma noktalarında zafiyet bulmak için saldırganlar gibi davranarak bir simülasyon düzenler.

  2. Blue Team, organizasyonunun güvenlik konusunda güçlü noktada olması ve saldırganlara karşı savunulması noktasında devamlı olarak güvenlik geliştirmeleri yapar.

  3. Red/Blue Team aksiyonlarında, devamlı gelişim sağlamak amacıyla iki takım arasında bilgiler paylaşılmaktadır. Böylece kurumlar siber güvenlik konusunda daha iyi noktalara ulaşırlar.

  4. Purple Team kavramı, iki takımın birbiri arasındaki devamlı entegrasyonu sağlamak, iletişimi kolaylaştırmak ve süreci yönetmek amacıyla meydan gelmiştir.

  5. Purple Team kavramı,gereksiz veya geçici çözüm olarak ortaya çıkmış bir kavram değildir. Şuan çok yaygın olmasa da gelecekte kurumlar içinde daha gerekli ve kavramsallaşmış bir yapı olacaklardır.

BTYÖN red team hizmetinin detaylarını öğrenmek ve teklif istemek için tıklayınız.

30 Mart 2020 Pazartesi

DoS/ DDoS Nedir? OSI Katmanlarına Göre DoS/DDoS Saldırıları


DoS ve DDoS Nedir?


Kübra Eskalan, Sızma Testi Uzmanı

Denial of Service yani DoS atağı kötü niyetli kişiler tarafından yapılarak sistemin normal işleyişini kesintiye uğratarak kullanılamaz hale getirmesini amaçlamaktadır. DoS atağını başlatmak için tek bir cihaz yeterlidir. Bu atak türünde hedef bilgisayara eş zamanlı ve mümkün olduğunca çok sayıda istek gönderilir. Sistemlerin ağ trafiğinin bir kapasitesi vardır. Sistemin sahip olduğu bu kaynaklara saldırganlar tarafından aşırı yüklenildiğinde dolan kapasitenin karşısında, firewall gelen paketlerin hangisinin gerçek veya saldırı olduğunu anlamakta yetersiz kalmaktadır. Bu yüzden sistem hizmetleri yavaşlamakta hatta verilen hizmetler bu saldırılar sonrasında tamamen çökebilmektedir. Fark edilmesi ve engellenmesi DDoS ataklara göre kolaydır. Nedeni ise tek sunucu üzerinden yapıldığı için bu sunucu adresinden gelen paketleri engelleyerek atağın önlenmesi mümkündür. DoS atakları genel olarak önemli bilgi yahut varlıkların ele geçirilmesi ile sonuçlanmasa bile mağdur için büyük miktarlarda para ve zamana mal olabilmektedir.

Distributed Denial of Service yani DDoS atakları, en etkin saldırı yöntemleri arasında bulunmaktadır. Bu saldırı bir saldırı kaynağından değil de birçok farklı kaynaktan gelen bir DoS saldırısı türüdür. Yani birden fazla sistem senkronize edilerek bir DoS saldırısını tek bir hedefe düzenlediğinde gerçekleşmektedir.  Temel fark bir yerden saldırıya uğranması yerine aynı anda birçok yerden saldırıya uğranmasıdır. DDoS saldırıları, Ping, HTTP, Slowloris, SYN vb. saldırı türleriyle yapılabilir üstelik çok uzun süreler devam edebilir. Sunucuların açık bulunun portları sebebiyle kötücül kişiler, hassas verilere erişebilir, bu verileri kullanabilir ya da satabilir. Başarılı bir DDoS saldırısı, tüm çevrimiçi kullanıcı tabanını etkileyen oldukça dikkat çekici bir olaydır.
DoS ve DDoS saldırılarıyla hedeflenen sisteme sızmaktan çok sistemin verdiği hizmetleri aksatmaktır. Saldırı hedefi olan taraf hizmet veremediği süre boyunca maddi ve itibar olarak zarara uğramaktadır. Durum böyle olunca bu saldırılar bazı ülkelerin de kullanmaktan kaçınmadığı bir silah haline gelmiştir. Çünkü ülkelerin elindeki bu silah çok daha maliyetsiz ve çok daha etkili olabilecek seviyede olduğu görülmüştür. Günümüzde çok rahat bir şekilde yapılabilir hale gelmesi ile basit vasıtalarla bu saldırılar gerçekleştirilmektedir. Bu saldırıların kurbanları genel olarak ticaret şirketleri, devlet kuruluşları ve bankacılık gibi yüksel profilli kuruluşların sunucularıdır. Toparlayacak olursak saldırganlar saldırıyı tek bir ana bilgisayardan yaparsa buna bir DoS saldırısı denir. Lakin saldırgan çoklu makineler ile kurbana DoS saldırısı düzenlerse bu saldırılar DDoS saldırısı olarak sınıflandırılır.

DoS ve DDoS saldırılarının çok yaygın olmasından dolayı birçok insan bu saldırılara dair birtakım fikirlere sahiptir. Bu fikir çokluğundan dolayı oluşan yanlış bilgiler ise azımsanamayacak kadar fazladır. Linux sistemlerinin bu saldırılara karşı çok daha dayanıklı olduğu bilgisi kesinlikle gerçeği yansıtmamaktadır. Kısaca hiçbir Firewall ve IPS’in tek başına DDoS’u engelleyemeyeceğini belirtmekte fayda vardır.

Son olarak belirtmek isterim ki, kanuni açıdan bu saldırılar her ne kadar sayıca fazla olsa da firmaların hizmetlerini engellemeye neden olduğu için suç sayılmıştır.


Peki Bu Saldırıları Engellemek Mümkün Mü?



DoS/DDoS saldırılarının yüzde yüz engellenmesi gibi bir durum söz konusu olmasa bile bu saldırıları hafifletmek adına kurumlar bir dizi önlem alabilirler.  Olası bir duruma karşı hazırlıklı olmak için aşağıdaki önlemleri sayabiliriz;


  •  Düzenli olarak sızma testi yaptırılarak, sistemlerin hangi noktada durduğu tespit edilmeli buna göre gerekli önlemler alınmalıdır.
  •   Bütün sistemler vaktinde güncellenmelidir.
  •   Güvenilirliği yüksek anti virüs yazılımları ve donanımı kullanılmalıdır.
  • Gelebilecek saldırılar önceden düşünülüp bant genişliği kurumun ihtiyacından fazlası olmalıdır.
  •   Verilerin birden çok sunucuda saklanılması ve kullanılması.
  •  Olağan dışı durumlar için ağ cihazları yapılandırılmalı ve ağ trafiği izlenmelidir.

OSI Nedir? Katmanlarına Göre DoS/DDoS Saldırıları


OSI (Open System Interconnect) nedir sorusuna basitçe farklı kişilerin geliştirdiği network bileşenlerinin uyumlu olarak çalışmasını sağlayan kurallar bütünüdür diyebiliriz. Yani OSI, ağ sistemleri için bir kılavuz niteliği taşır. Network ürünleri geliştirmekte olan bütün firmalar OSI kurallarına uygun bir şekilde cihaz geliştirmek zorundadır. OSI kurallarına uygun geliştirilmemiş cihazlar, farklı cihazlarla oluşturulmuş networkler ile konuşamazlar.

OSI bilindiği üzere yedi katmana ayrılmıştır ve iletişim sırasında kullanılan protokoller ve donanımlar bu katmanlarda bulunur. OSI modelinde katmanlar birbirlerinden bağımsız değildir ve her katman kendinden önce olan katmana hizmet eder. İki cihaz arasında veri iletimi gerçekleştirileceğinde, veriyi gönderen için iletim uygulama katmanından başlayarak fiziksel katmana doğru devam eder. Bu işleme encapsulation denir. Veri alan cihaz için durum tam tersidir. Yani verinin iletimi fiziksel katmandan başlayarak uygulama katmanına doğru olur.



Her katman için farklı DoS saldırı çeşitleri vardır.

7. Katman için DoS ve DDoS
Misal verecek olursak, herhangi bir web sitesine girebilmek için tarayıcıyı açan son kullanıcı bu işlemi http protokolünden dolayı 7. katmanda gerçekleştirir. Son kullanıcı tarafından çalıştırılabilecek tüm uygulamalar bu seviyede yer almaktadır. Bu katmanda Telnet, FTP, DHCP, DNS, HTTP, SMTP, POP protokolleri kullanılır. Elektronik posta, veri tabanı yönetimleri, dosya paylaşımları gibi işlemler gerçekleştirilir. Olabilecek sonuçları arasında kaynakların kullanım sınırlarına erişmesinden dolayı sistemi çalışması için gerekli kaynaklarda kıtlığın yaşanması gösterilebilir.

6. Katman için DoS DDoS
Bu katmanda sıkıştırma ve şifreleme protokolleri kullanılır. Veri sıkıştırma, şifreleme ve çözme işlemleri, veri formatının değiştirilmesi gibi işlemler bu katmanda gerçekleştirilmektedir. Bu katmanda yapılacak saldırılara örnek olarak, kötü niyetle biçimlendirilmiş SSL istekleri gösterilebilir. Bu saldırıda kötü niyetli saldırgan sunucuyu hedef almak için http ataklarını SSL ile tüneller.

5. Katman için DoS ve DDoS
Session katmanında oturum açma ve kapatma protokolleri kullanılır. Ağdaki işletim sistemleri içerisinde oturumun kurulması, sonlandırılması ve senkronizasyonunun sağlanması bu katmanda gerçekleşir. Bir saldırı örneği olarak Telnet servisinin durdurulması gösterilebilir.

4. Katman için DoS ve DDoS
Transport katmanı, üstündeki ve altındaki katmanları arasındaki bağlantıyı sağlar. SPX, SCTP, TCP, DCCP gibi verinin iletimi üzerinde rol alan protokolleri kullanır. Verinin alıcısına ulaşıp ulaşmadığını kontrol eder. Bu katmanda gerçekleştirilen saldırılar için SYN Flood ve Smurf saldırısı örnek gösterilebilir.

3. Katman için DoS ve DDoS
Transport katmanından gelen istekleri cevaplandırarak bunları data link katmanına iletir. IPX, ARP, IP, ICMP gibi protokoller kullanılır.  Network katmanında ağdaki cihazların adresleme işlemleri gerçekleştirilir ayrıca gelen veri paketlerinin ağ adresleri kullanılarak uygun ağlara yönlendirilmesi sağlanır. Router bu katmanda yer alır. ICMP Flood saldırısı bu katmanda yapılan saldırılara örnek gösterilebilir.

2. Katman için DoS ve DDoS
Data Link katmanında 802.3 & 802.5 protokolleri kullanılır. Bu katmanda fiziksel katmana erişim ile ilgili kurallar düzenlenir. Bunlar fiziksel katman üzerinden transferin kurulması, sürdürülmesi ve nasıl gerçekleştirileceğine karar verilmesi gibi kurallardır. Ayrıca bu katmanda gerçekleştirilen işlemlerin büyük kısmı ağ arayüz kartı içerisinde gerçekleştirilir. Bu katmanda gerçekleştirilebilecek saldırılara MAC Flood saldırısı örnek gösterilebilir. Bu saldırılar sonucunda ise kullanıcı kaynağından hedefine giden veri akışının bozulması ihtimali vardır.

1. Katman için DoS ve DDoS
Bu katmanda verilerin fiziksel cihazlar üzerinden sinyal olarak gönderilmesi ve alınması sağlanır. 100Base – T & 1000Base – X gibi protokoller kullanılır. Bu katmanda direkt olarak fiziksel saldırılar yapılır. Bu saldırılar sonucunda fiziksel varlıklar yeniden ayarlanamaz yahut kullanılamaz hale gelebilir. Bu saldırılara, ağ kablolarına ve donanımlara zarar vermek, frekans bozumu (jamming) saldırısı örnek gösterilebilir.

DOS ve DDOS hizmetini de içeren sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

KAYNAK

https://www.cloudflare.com/learning/ddos/layer-3-ddos-attacks/
https://tr.wikipedia.org/wiki/Denial-of-service_attack
https://hostnoc.com/ddos-vulnerabilities-on-separate-layers-of-the-osi-model-how-to-mitigate-them/

13 Mart 2020 Cuma

SMB Anonim Oturumla Nasıl Sömürülür?


                                                             Tuğcan Özel, Sızma Testi Uzmanı


SMB Nedir?

Server Message Block (Sunucu İleti Bloğu), sunucu istemci (server-client) arasındaki iletişimi sağlayan bir ağ protokolüdür. SMB protokolü, Windows sistemlerinin 139 ve 445 portlarını kullanarak, paylaşılan dosyalara erişimi, ağlar, yazıcılar ve çeşitli bağlantıları sağlar. Bu bağlantıların yanında oplock, dosya ve kayıt kitleme, dosya ve dizin değişikliği gibi işlemler de SMB üzerinden gerçekleşmektedir.


Kullanılan Araçlar

Nmblookup – TCP/IP üzerinden NetBIOS isimleri hakkında bilgi toplamaktadır.
Smbclient – FTP protokolü gibi SMB paylaşımlarına erişmeye yaramaktadır.
Smbmap – Host üzerindeki paylaşıma açık dosyaları ve izinlerini göstermektedir.
Nmap – Scriptleri ile genel bir tarayıcıdır.
Rpcclient – Kullanıcı tarafındaki MS-RPC fonksiyonlarını çalıştırmaya yaramaktadır.
Enum4Linux – Çeşitli SMB fonksiyonlar

Host İsimleri Hakkında Bilgi Toplama

Nmblookup – A [IP]
- A parametresi, IP adresine göre bilgi toplamamıza izin vermektedir.


Dizin Listeleme


Smbmap –H [ip/hostname]
-H parametre host ismi veya ip adresimi belirtmemizi istemektedir.


Eğer kimlik bilgileri ele geçirilirse, erişim sağlanması için aracımız şu şekilde kullanılabilmektedir.

Smbmap –H [ip] –d [domain] –u [user] –p [password]


Smbclient –L \\[ip]
             -L parametresi ilgili hosttaki dizinleri getirmektedir.

Nmap  --script –smb-enum-shares –p 139,445 [ip]
-script smb-enum-shares -> smb hakkında bilgi toplamak için çalıştırılan bir scripttir.

            -p 139,445 ilgili portları belirtmektedir.


Smbmap –H [ip/hostname] belirli kimlik bilgileri ile veya null oturum ile dizinlerde neler gerçekleştirilebileceği hakkında bilgi vermektedir.
Rpcclient –U “” –N [ip]

-U “” null oturumlar anlamına gelmektedir.

-N parola yok anlamına gelmektedir.(No password)



Bu noktadan itibaren rpc komutları çalıştırılabilmektedir.


NULL Oturum Kontrolü

Smbclient //[ip]/[dizin_adı] şeklinde host üzerindeki dizine kimlik bilgileri yollanmadan erişilmeye çalışılmaktadır. Erişim sağlanırsa NULL session meydana gelmektedir.










Zafiyet Kontrolü

Nmap –script smb-vuln* -p 139,445 [ip]

--script smb-vuln* smb zafiyetleri ile ilgili bünyesinde barındırdığı tüm scriptleri çalıştıracaktır.

-p 139,445 smb portları






GENEL TARAMA

Enum4Linux –a [ip]
-a host hakkındaki bütün(all) bilgileri toplamamıza yaramaktadır.
Çıktı çok uzun olmakta, özet olarak ifade edilirse:
Nmblookup’a benzer host çıktıları
Otomatik Null oturum kontrolü
Dizinleri listeleme
Domain bilgileri
Password politikaları gibi bilgiler elde edinmektedir.



ÖZET

Hostname bilgi toplama
 nmblookup –A [ip]
Dizin Listeleme
Smbmap –H [ip/hostname]
Smbclient –L \\[ip]
Nmap –script smb-enum-shares –p 139,445 [ip]
Null Oturum Kontrolü
Smbmap –H [ip/hostname]
Rpcclient –U “” –n [ip]
Smbclient //ip/dizin_adı
Zafiyet kontrolü
 nmap –script smb-vuln* -p 139,445 [ip]
Genel Tarama
 enum4Linux –a [ip]

Sızma testi Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

10 Mart 2020 Salı

Kr00k Nedir, Tehlikeleri Nelerdir?


Kr00k Nedir, Tehlikeleri Nelerdir?

Kübra Eskalan, Sızma Testi Uzmanı

Kr00k-CVE-2019-15126, ESET güvenlik şirketi tarafından 17 Ağustos 2019’da keşfedilmiştir. 24-28 Şubat 2020 tarihide gerçekleşen RSA 2020 etkinliğinde güvenlik ürünleri geliştiricisi olan ESET firmasın araştırmacıların yaptığı sunum ile detayları açıklanmıştır. Bu açıklık şifreli Wi-Fi trafiğinin şifresinin çözülmesine izin veren bir güvenlik açığıdır. Aslında herkesin kullandığı yazılımlarda her gün keşfedilen birçok hata gibi bir hatadır. Aradaki fark ise, Kr00k'un bir Wi-Fi bağlantısı üzerinden gönderilen veri paketlerini korumak için kullanılan şifrelemeyi etkilemesidir. Çoğunluk ile bu paketler kullanıcının Wi-Fi şifresine bağlı benzersiz bir anahtarla şifrelenir. Çok sayıda iOS ve Android cihaz da bu donanımla kullanıcılarla buluştuğu için tehlike içinde olduğu belirlenmiştir. Üstelik sadece akıllı telefonlar değil, ASUS ve Huawei tarafından üretilen Wi-Fi cihazlarının da bu anteni kullandığı bilinmektedir.
Broadcom üretimi Wi-Fi antenlerinde bu güvenlik açığı keşfedilip, istismar edilerek kullanıcıların şifrelenmiş verilerinin kolayca okunabildiği fark edilmiştir. En yaygın kullanılan protokoller arasında yer alan WPA2-Personal ve WPA2-Enterprise zafiyetten etkilenmektedir.
Bu konuyu daha teknik ifade edecek olursak, kablosuz haberleşmenin doğasında  bulunan  “Bağlantıyı kesmek” veya ” Deauthentication” durumu bir Wi-Fi bağlantısında doğal olarak gerçekleşen olaydır. Bu durum genellikle düşük Wi-Fi sinyali alındığında otomatik olarak gerçekleşerek bağlantı kesme durumu meydana gelir. Wi-Fi cihazlarının gün boyunca birkaç kez bağlantısı kesilir ve bu durum yaşandığında, istemciler geçmişte kullanılan ağa yeniden bağlanmak için otomatik olarak talep iletir.
ESET araştırmacıları, saldırganların; aygıtları uzun bir bağlantı kesme durumuna sokabileceklerini ve bu sayede aygıta gelmesi beklenen Wi-Fi paketlerini dinleyebileceklerini ve daha sonra gerçekleşen trafiği deşifre etmek için Kr00k açıklığını kullanabileceklerini belirtmişlerdir. Bu işlemlerin gerçekleşmesiyle normalde güvenli olduğu düşünülen trafik, saldırganlar tarafından okunabilir hale gelmektedir.
Bu açıklıkta dikkat edilmesi gereken en önemli nokta ise kr00k açıklığının sadece AES-CCMP şifrelemeli WPA2-Personal veya WPA2-Enterprise güvenlik protokollerini kullanan WiFi bağlantılarını etkilemesidir.

Kimler Etkilendi, Ne Yapılmalı?
ESET araştırmacıları tarafından, birçok popüler cihazın savunmasız olduğu doğrulanmıştır. Araştırma sonuçlarına göre kr00k, henüz yamalanmamış olan Broadcom ve Cypress Wi-Fi çiplerini kullanan tüm cihazlar bu açıklıktan etkilenmektedir. Bu cihazlara akıllı telefonlar, tabletler, dizüstü bilgisayarlar örnek gösterilebilir. Ayrıca bu güvenlik açığından yalnızca istemci aygıtları değil, Wi-Fi erişim noktaları ve yönlendiricileri de etkilenmiştir.
Bilinen savunmasız cihazlardan bazıları şunlardır:
·         Amazon Echo 2. nesil
·         Amazon Kindle 8. nesil
·         Apple iPad mini 2
·         Apple iPhone 6 , 6S , 8 , XR
·         Apple MacBook Air Retina 13 inç 2018
·         Google Nexus 5
·         Google Nexus 6
·         Google Nexus 6S
·         Samsung Galaxy S4 GT-I9505
·         Samsung Galaxy S8
·         Xiaomi Redmi 3S

Firmalar ise bu güvenlik açığını kapatmak için yamalar yayınlamaktadırlar. ESET’in yayınladığı raporda diğer markalar tarafından üretilen Wi-Fi donanımlarında da zafiyet araması yapıldığı ve Qualcomm, Realtek, Ralink, Mediatek donanımlarında herhangi bir zafiyet bulunmadığı belirtilmiştir.
Bu güvenlik açığından korunabilmek adına telefonlar, tabletler, dizüstü bilgisayarlar, Wi-Fi erişim noktaları ve yönlendiriciler dahil olmak üzere tüm Wi-Fi özellikli cihazların en son işletim sistemi, yazılım ve / veya ürün yazılımı sürümlerine güncellendiğinden emin olunması önerilmektedir

Wifi kablosuz ağ  güvenlik testini de içeren sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

Kaynaklar
https://en.wikipedia.org/wiki/Kr00k
https://www.eset.com/tr/kr00k/