Bilimsel birçok alanda olduğu gibi bilgi güvenliğinde de hesaplanabilir sebep ve sonuç ilişkileri dikkat çekmektedir. Bu ilişkileri iyi gözlemlemek ve sebepleri iyi analiz etmek, sonuçlar hakkındaki yorum gücünü arttırmak için kullanılabilir. Bu aşamada dinamikleri analiz etmekte kullanılacak ve sonuca uzanan yapıyı sağlam temeller üzerine oturtacak olan öğe, Temel Bilgi Güvenliği Prensipleri olacaktır.

Süreç veya teknik sebeplere dayalı olup olmadığına bakılmaksızın bir sistemi detaylarıyla dahi incelemeden çıkabilecek olası zafiyetler hakkında yorum yapabilmek mümkündür. Bilgi güvenliğinin genel resmine ve tasarımlarda kullanılan dinamiklere bakıldığında, aslında çoğu zafiyetin temel prensiplerin doğal bir sonucu olarak türediği görülebilmektedir. Doğası gereği oluşması muhtemel zafiyetlerin aktif kullanımda olan ortamlarda da hayat bulması nedeniyle oluşan bu zafiyetler artık hayatlarına riskler olarak devam edeceklerdir.

Olası zafiyetleri tahmin etmede kullanılacak yöntem, temel prensiplerden yola çıkmak olacaktır. Bu aşamada temel prensiplere hakim olmak ve hangi prensibin nasıl bir sonuca götürebileceğini önceden bilmek, yapılacak tahminler için anahtar rol oynayacaktır. Temel prensiplerin götürebileceği sonuçlar bilindiğinde ise geriye kalan sadece var olan problemin ters çözüm yoluyla hangi prensibe işaret ettiğini bulmak olacaktır.

Prensiplerin nasıl kullanılacağına geçmeden önce bu prensiplerin ve temel bilgi güvenliği kavramlarının ne olduğunun bilinmesi gereklidir. Bu nedenle işin “A, B, C”si sayılan kavramlara değinmek gereklidir.



Bilgi Nedir?
Bilgi güvenliğinden söz edebilmek için bilginin ne olduğu, önemi ve neden güvenliğinin sağlanması gerektiği konularında temel kavramları bilmek gerekmektedir. TDK bilgiyi şu şekilde tanımlamıştır: “İnsan zekâsının çalışması sonucu ortaya çıkan düşünce ürünü, malumat, vukuf.” Bu durumda bilgiye bir ürün olarak bakıldığında kişiler ve kurumlar için nasıl bir önem taşıyabileceği konusunda fikir sahibi olmak mümkün olabilmektedir.

Bilginin geçtiği ortamlar çok çeşitli olabilmektedir. Kurumlarda bilgi çoğunlukla bilgi sistemleri (bilgisayarlar, sunucu ve sistemler) üzerinde bulunmaktadır. Ancak bununla beraber bilgi insan hafızasında, sosyal ortamlarda (jargon), yazılı-basılı kağıt gibi ortamlarda da bulunmaktadır. Bu nedenle bilginin geçtiği yerler, bilginin korunması açısından önem arz etmektedir.

Bilgiyi korumayı hedefleye bir kurum, bilginin geçtiği yerleri sınıflandırmalı ve nasıl koruma altına alacağına dair kendine bir yol haritası çizmelidir. Kurumlar sermayelerini ürünlerden ve birikimlerden oluştururlar. Birçok kurumun ürettiği ve paraya çevirdiği ticari metaların başında bilgi gelmektedir. Bu nedenle hangi cepheden bakılırsa bakılsın bilgi, kurum sermayelerinden biridir. Kişiler açısından ise bilgi, çoğunlukla gizli kalması gereken veya erişilebilir olması hedeflenen ve bir bütünlük içinde kullanılabilir olması gereken bir araçtır.

Bilgi, bazı sektörlerde bilgi kurumun sahip olduğu tek sermaye olmaya aday bile olabilir. Bunun güzel örneklerine bilişim sektöründe sıkça rastlayabiliriz. Bir yazılım şirketinin ürettiği tek şeyin bir yazılım olması halinde sadece bilgiden oluşan bu know-how ve dokümante edilmiş salt bilginin korunması önemli olacaktır.
Kurumlarda bilgi güvenliği üç ana başlık altında incelenmektedir. Bu başlıklar, Teknoloji, İnsan ve Süreç olarak bilginin geçtiği her alanda bilgiyi korumaya yönelik yol haritasını çıkarırken ideal yaklaşımı belirlemede kurumlara yardımcı olmaktadır. Bilgi güvenliği ile ilgili çeşitlilik de tam bu aşamada ortaya çıkmaktadır. Bilgiyi korumak için sadece Teknoloji yatırımlarının yeterli olmayacağını ve bilgi güvenliğinin İnsan ve Süreç’ten oluşan iki ayağının daha olduğunu bilmek gereklidir. Günümüzde teknoloji altyapı yatırımı yaparken oldukça cömert davranan bazı şirketler, kurumun ihtiyaçları için satın aldıkları ürünleri olması gerektiği gibi yönetecek insan kaynağına yatırımda yetersiz kalabilmektedir.
Bilgi güvenliği, bilginin üç özelliğinin korunması demektir. Bu özellikler; gizlilik, erişilebilirlik ve bütünlük özellikleridir.

Gizlilik
Bilginin sadece erişmesine izin verilen kişi veya kitleler için erişilebilir halde olmasıdır. Hedeflenen kişi ve kitleler dışında bilginin başkaları tarafından okunabilir ve/veya yazılabilir, değiştirilebilir, kısaca erişilebilir olması durumunda bilginin gizliliği bozulmuş olur. Bir yetkilendirme durumu söz konusudur.

Erişilebilirlik
Bilginin ihtiyaç duyulduğunda erişilebilir halde olmasıdır. Gizlilikten farkı, kimlerin bilgiye erişebildiğinden çok, bilginin erişilebilir olup olmaması ile ifade edilmesidir.

Bütünlük
Bilginin kaynağında olduğu şekliyle, bozulmadan, değiştirilmeden, tutarlı bir şekilde hedeflenen kişi ve kitleler için erişilebilir olmasıdır. Bir bilginin kısmen bozulmuş veya kısmen değiştirilmiş olması bütünlüğün bozulması anlamına gelmektedir. Gizliliğin ve/veya Erişilebilirliğin kısmen bozulduğu durumlar için geçerli olan bir özelliktir.

Bu üç özellik dışında bir de “inkâr edilemezlik” özelliği vardır. Ancak bu özellik bilginin yukarıdaki üç özelliğinden biri bozulduğunda devreye girecek bir önlem olarak hayat bulacaktır.

Tehdit
Bir zafiyeti (kontrol zayıflığını) kullanarak bilgi güvenliğinin üç temel özelliğinden (gizlilik, bütünlük, erişilebilirlik) biri veya birkaçını bozma olasılığı bulunan etkene tehdit denilir. Tehdit, doğası gereğince bir gerçekleşme olasılığı ile beraber varlığını sürdürmelidir.

Bazı tehdit örnekleri:

  • Saldırganlar;
    • Siyah şapkalı Hacker’lar,
    • Hacking meraklısı insanlar,
    • Kötü niyetli eski çalışanlar,
    • Kötü niyetli aktif çalışanlar,

  • Zararlı yazılımlar;
    • Virüs,
    • Worm (solucan),
    • Truva atları (trojan),
    • Casus yazılımlar (spyware),

  • Diğer;
    • Farkındalığı düşük iyi niyetli kullanıcılar,
    • Yönetimsel yetersizlikler,
    • Yasa ve sözleşmelere uygunsuzluk.
  • Çevresel;
    • Doğal afetler,
    • Zamanla yıpranma,
    • Kazalar,

Zafiyet
Gerçekleşme olasılığı bulunan bir tehdidin gerçekleşmesi sonucunda bilgi güvenliğinin gizlilik, bütünlük, erişilebilirlik özelliklerinden biri veya birkaçını bozabilmesini sağlayan, kontrol eksikliğine zafiyet denir.

Etki
Bir tehdidin bir zafiyeti kullanılması ve bu sayede bir riskin gerçekleşmesi sonucunda ortaya çıkan veya çıkabilecek sonuçlara etki denir.

Risk
Fayda beklentisi ile bir kontrol zayıflığına (zafiyete) karşı gerçekleşme olasılığı bulunan bir tehdidin, göze alınması durumuna risk denir. Riskin varlığından bahsedebilmek için en az bir tehdit olasılığı, bir etki ve bir de bilgi varlığı ile bu varlığın öneminden söz etmek gerekir. Ancak, zafiyet (kontrol zayıflığı) değerinin denkleme katılmadığı bu durumda söz konusu olacak risk, varlığa ilişkin “doğal risk” olacaktır. Gerçek riski bulmak için bu değerlendirme içine söz konusu varlığın üzerindeki zafiyet de eklenmelidir.

Şekil 1 - Risk Hesaplama

Riski işlemek için dört yöntem mevcuttur. Riski azaltmak, riskten kaçınmak, riski kabul etmek ve riski transfer etmek, riske karşı alınacak aksiyonların hedefini belirler. Bilgi güvenliğinde %100 güvenlik diye bir yaklaşım olmadığından dolayı “riski ortadan kaldırmak” gibi bir işleme yönteminin bu yöntemler arasında olmadığı rahatça görülebilir.

Şekil 2 - Risk İşleme

Sömürülebilme Kolaylığı
Bir tehdidin (saldırgan) bir zafiyeti hangi kolaylık seviyesinde sömürebileceğini (kullanabileceğini) anlatmak için sömürülebilme kolaylığı ifadesinden yararlanılır. Bunun için söz konusu tehdit bir saldırgan ise, zafiyeti sömürmek için ne kadar nitelikli olduğuna bakmak gereklidir. Her zafiyeti sömürmek için gerekli olacak motivasyon ve bilgi birikim farklı olacaktır. Bu durum, tehdidin gerçekleşme olasılığını da etkileyen bir faktör olarak hesaba katılmalıdır.

Bilgi Güvenliğinin Temel İlkeleri
Bilgi güvenliğinde genel bir kontrol öğesi olarak uygulanan bazı prensipler, birçok riski riski yapıya özgün konulan kontrollerden bile önce engelleyebilmektedir. Her uygulanan tasarım ve mimariye yaklaşımda anahtar rol oynayan bu prensiplerden en çok kullanılanları; en az yetki, izin verilmedikçe her şey yasak, görevler ayrılığı, kullanılmayan öğrelerin devre dışı bırakılması, kullanılabilirlik-güvenlik dengesi ve derinlemesine savunma ilkeleridir.

Bu ilkelerden önce bu ilkelerin türediği temel prensipleri bilmek gereklidir.
  • Security through (prevention);
    Minority, (azınlık)
    Obscurity, (bilinmezlik)
    Obfuscation, (yanıltma)
    Simplicity, (basitlik, yalınlık)
    Complexity (karmaşıklık)
  • Security through (detection);
    Monitoring, (izleme)
    Response, (müdahale)
    Investigation, (inceleme)
    Deterrence, (caydırma)
Şekil 3 - İhlallere Karşı Yaklaşım
Örneklerle prensipler:
Şekil 4 - Örneklerle Prensipler
En Az Yetki (Security through Complexity)
Bir hesaba, kişiye, sisteme veya role bir yetki verilirken, o yetkinin gerçekleştirilmesi planlanan işi yapabilmek için en az kapsama sahip olduğundan emin olunmalıdır. Örnekle, bir sistem içinde sadece bir dosyayı okumak için yetkiye ihtiyacı olan bir hesaba, o dosyaya yazma hakkı verilmelidir. Benzer şekilde, hesabın bütün sistemde yönetici hakkı yetkisine de sahip olmaması gereklidir.



İzin Verilmedikçe Her Şey Yasaktır (Security through Simplicity)
Bir sistem üzerinde yetkilendirme tanımlanırken, her öğe için varsayılan değerin “her şey yasak” yaklaşımı ile tanımlı olması gereklidir. Bu sayede gözden kaçabilecek yetkilendirme adımlarının önüne geçilir ve sadece ihtiyaç duyulan erişim yetkileri sistem üzerinde tanımlanmış olur. Buna en yaygın örnek Firewall (güvenlik duvarı) üzerinde yapılan Port ve IP filtreleme ayarları gösterilebilir. Birçok güvenlik duvarı bu ilkeye bağlı kalarak çalıştırılmaktadır. Böylece gözden kaçabilecek Port, protokol ve IP adresleri daha en başından engellenmiş olur.



Görevler Ayrılığı (Security through Complexity)
Bir işin gerçekleştirilmesi sırasında işi yapan ve bu işin yapılmasına onay veren mekanizma ayrı tutulmalıdır. İşi yapan aynı zamanda yapacağı iş için bir onay beklemiyorsa ya da bir başka deyişle onayı kendisi veriyorsa, bu durum hata ve suistimal tehditlerinin olasılığını yükseltecektir.

Kullanılmayan Öğelerin Devre Dışı Bırakılması (Security through Simplicity, Obscurity)
İzin verilmedikçe her şey yasaktır ilkesinin bir kırılımı sayılabilecek ilke kullanılmayan öğelerin devre dışı bırakılması ilkesidir. Bu ilkenin amacı saldırıya açık olan yüzeyin azaltılmasını sağlamaktır. Kullanılmayan bir sistem veya bir bilgi, içinde bulundurduğu bir zafiyet nedeniyle kullanılan ve öneme sahip olan başka bir sistem veya bilgiyi etkileyebilir. Bu ilkeye verilebilecek en yaygın örneklerin başında kullanılmayan uygulamaların kaldırılması ve Port’ların kapatılması gelmektedir.



Derinlemesine Savunma (Security through Complexity)
Klasik güvenlik anlayışının temelinde olduğu gibi bilgi güvenliği felsefesinde de tedbir almada iki temel çeşit vardır. Bunlardan biri; bir güvenlik ihlalinin gerçekleşmesinin önüne geçilmesi için alınan tedbir, diğeri ise bir güvenlik ihlalinin gerçekleştiği durumlarda hasarı en aza indirecek ve olası zincirleme ihlallerin önüne geçecek olan tedbirdir. Bu iki çeşit tedbiri somut bir örnekle anlatmak gerekirse; tedbir çeşitlerinden biri arabanın lastik basıncının, fren sisteminin, lastik diş derinliğinin kontrol edilmesi, diğeri ise hava yastıklarının konması ve sürücünün emniyet kemerini takmasıdır. İlk tedbirler kazanın olmasını engellemeye yönelik iken, ikinci tedbirler ise kaza olduktan sonra meydana gelebilecek can kayıpları ve yaralanmaları engellemeye yöneliktir.

Şekil 5 - Defense in Depth

Kullanılabilirlik-Güvenlik Dengesi
Bilgi güvenliğinin temel kavramları arasında yer alan konulardan biri kullanılabilirlik-güvenlik dengesidir. Bu denge terazinin iki kefesine konmuş ağırlıklara veya matematikteki ters orantıya benzetilebilir. Kullanılabilirliğin arttığı her senaryoda güvenliğin bir tehdit altında bulunması durumu ortaya çıkabilir.

Şekil 6 - Kullanılabilirlik-Güvenlik Dengesi

Kullanılabilirlik ve güvenlik dengesinin anlaşılması için bir örnekle konuyu somutlaştırmak yerinde olacaktır:

Günümüzde İnternet’ten bankacılık işlemleri gerçekleştirilirken oturum açmak için birçok doğrulama adımından geçmek gerekmektedir. Bu doğrulama adımlarından birçoğu çok faktörlü doğrulama (Multi Factor Authentication) ile (kullanıcının bildiği bir şeye, kendisine ve/veya sahip olduğu bir faktöre dayandırılması ile) gerçekleştirilirken, birçoğu da sadece kullanıcının bildiği (PIN, parola, gizli soru cevabı, vs.) faktörlere dayanmaktadır.

Sadece bir kullanıcı adı ve parola kullanılarak giriş yapılabilen bir İnternet bankacılığı uygulaması günümüzde bulunmamaktadır. En az 2 adet parolanın ve/veya cep telefonuna gelen bir de PIN (Personal Identification Number) kodunun sorulduğu uygulamalar ağırlıktadır. Bu durum, İnternet bankacılığına giriş yapabilmek için sarf edilen çabayı arttırmakta, oturum açma işini zahmetli bir hale getirmektedir ancak zahmetli hale gelerek kullanılabilirliği düşen sistem daha güvenli hale gelmiş olmaktadır. 



Olası Zafiyetlerin Tahmini
Rapid7 2013 yılında milyonlarca ağ cihazında aktif halde bulunan UPnP servisi ile ilgili bir açık bulduğunu yayınlamıştır. (https://community.rapid7.com/docs/DOC-2150)

Zafiyet, İnternet üzerinden gelen isteklere cevap verebilecek şekilde tasarlanmış UPnP servisleri nedeniyle ortaya çıkmıştır. Kullanılabilirlik-güvenlik dengesini etkileyen bu protokolün “Security through Complexity” ilkesine uygun yönetilmemesi nedeniyle kontrolün düzgün yapılandırılmadığı bu alanda zafiyet ortaya çıkmıştır.
Şekil 7 - UPnP Zafiyeti
2013 yılında gündeme gelen bu konu ile ilgili daha zafiyet bilinmiyorken 1 yıl önce, 2012 yılındaTÜBİTAK Ulusal Bilgi Güvenliği Kapısında aşağıdaki makale yayınlanmıştır.
(https://www.bilgiguvenligi.gov.tr/ag...k-dengesi.html)

Makalede şu cümlelere yer verilmiştir:


“Kullanılabilirliği arttırmak adına tasarlanan sistemlerden biri de Evrensel Tak ve Çalıştır, UPnP (Universal Plug & Play) teknolojisidir. Bu teknoloji ağa dahil olan cihazların kullanıcı müdahalesine gerek kalmadan ihtiyaç duyduğu ayarları diğer aygıtlarla konuşarak kendi kendilerini yapılandırmalarına olanak tanır.”
“Güvenlik felsefesinden ve temel bilgilerinden yola çıkılmak gerekirse, bu kullanılabilirliği arttıran teknolojinin güvenlik tarafındaki dengeyi bozmamasını beklemek çok pozitif bir yaklaşım olur. UPnP ile kendine bir Port açan uygulamaların veya cihazların açtıkları bu Port’lar genellikle Router/Modem arayüzlerinde listelenmezler. Birçok ADSL Modem üzerinde UPnP açık olarak gelmektedir. Hatta açık olarak UPnP servisi Firewall kuralları üzerinde de değişiklik yapma hakkına sahiptir.”
“Hali hazırda iç ağda bulunan kötü niyetli bir kullanıcı İnternet’e çıkış yapmak veya İnternet’ten bağlantı kabul edebilmek için bu özelliği kullanabilir. Bu ve bunun gibi durumlarla karşı karşıya kalmamak için atılması gereken adımlar yine bilgi güvenliğinin temel ilkelerinin birinde gizlidir. Bu ilke “kullanılmayan servislerin kapatılması” ilkesidir. UPnP servisi kullanılmıyorsa kapatılmalı, kullanılıyor ise uygun güvenlik ihtiyaçlarına göre konfigüre edilmelidir.“
Zafiyet olasılığı tahmin edilirken aşağıdaki noktalar referans olarak belirlenmiştir:

• UPnP kullanıcı tarafınca kullanılabilirliği arttıran bir sistemdir
• UPnP sistemi birçok cihaz üzerinde kullanılmasa bile aktif olarak gelir
• UPnP kendi inisiyatifi ile NAT ve Firewall üzerinde Port açabilmektedir

Etkilenen ilkeler/prensipler sırayla;

• Kullanılabilirlik-Güvenlik Dengesi
• Kullanılmayan Öğelerin Devre Dışı Bırakılması
• İzin Verilmedikçe Her Şey Yasaktır

Bir bilgi güvenliği uzmanı için mesleğinin “A, B, C”si sayılan bu prensipler, gerek tekniğe gerekse sürece dayalı birçok sistem üzerinde bilgi güvenliğinin büyük resmini çizmekte önemli rol oynamaktadır. Bu prensiplerin sistem tasarımcıları tarafından da bilinmesi olası zafiyetlerin önüne geçecektir.
Referanslar

[1]-Ev ve Ofis Ağlarındaki Gizli Tehlike: UPnP & Kullanılabilirlik-Güvenlik Dengesi - https://www.bilgiguvenligi.gov.tr/ag...k-dengesi.html
[2]-Security Flaws in Universal Plug and Play: Unplug, Don't Play- https://community.rapid7.com/docs/DOC-2150
[3]-Kurumsal Bilgi Güvenliğinde Zafiyet, Saldırı Ve Savunma Öğelerinin İncelenmesi - YL Tezi, İstanbul Üniversitesi, Muharremoğlu, G. 2013 - https://kutuphane.istanbul.edu.tr/

[4]-IOSEC.ORG-https://www.iosec.org

[5]-Wikipedia- https://en.wikipedia.org/wiki/Security_through_obscurity

[6]-Wikipedia- https://en.wikipedia.org/wiki/Security_through_obscurity#Security_through_minori ty


Gökhan MUHARREMOĞLU - bilgiguvenligi.gov.tr