Güncel tehditler ve Kurumsal bilgi güvenliği!
Kurum ve kuruluşlar bilgilerini elektronik ortamlara açtıkça, elektronik ortamlarda yapılan iş ve işlemler artmakta karşılaşılan tehdit ve tehlikelerde de doğal olarak artışlar gözlenmektedir.
Son yıllarda yapılan araştırmalar ve çalışmalar incelendiğinde kurumsal bilgi güvenliğinin üst seviyede tehdit eden ve korunmasızlık seviyesinin en yüksek olduğu güncel tehditleri içeren ortam olan web uygulamaları bu bölümde ele alınmıştır.
Web uygulamaları, güncel bilgiye kurum, kuruluş veya bireylerin kolayca erişebilmesi için en kolay ve en etkin yöntem olarak karşımıza çıkmaktadır. Web denilince akla ilk olarak kurumların vitrini ve itibarı haline gelmiş kurumsal web siteleri gelmektedir. Web üzerinden verilen hizmetler çoğaldıkça web’e yönelik tehditler ve saldırılar da artışlar gözlemlenmektedir. Bunun nedeni, web uygulamaları güvenliğinin ilgisizlikten ve bilgisizlikten kaynaklanan sebeplerden ötürü yeterince ciddiye alınmaması ve güvenli yazılım geliştirme tekniklerinin bilinmemesi veya kullanılmaması olarak açıklanabilir.
Web sitelerinin çalışma prensipleri güncel web tehditlerinin daha iyi anlaşılabilmesi amacıyla kısaca aşağıda açıklanmıştır. Web uygulamalarının üzerinde çalıştığı Web siteleri Şekil.1’de şematik olarak gösterildiği gibi dinamik veya statik yapıda çalışan içerikler sunmaktadırlar. Şekil.1 ‘de gösterilen ve statik yapıda çalışan web siteleri, kullanıcıdan gelen talepler üzerine ilgili web sayfalarının gösterilmesini sağlayan statik HTML kodların içermektedirler.
Şekil.1. Web sitelerine ait çalışma yapılarının şematik gösterimi
Statik web siteleri günümüzde yerlerini artık dinamik içerikli web sitelerine veya portallarına bırakmaktadır. Dinamik web siteleri, kullanıcı istekleri doğrultusunda çalışan web uygulamaları içermektedir. Dinamik web siteleri Şekil.2’de şematik olarak gösterildiği gibi üç katmanlı bir yapı içerisinde çalışmaktadır.
Şekil.2’de gösterilen katmanlar aşağıda maddeler halinde kısaca açıklanmıştır.
(1) Web siteleri için taleplerin başladığı Web tarayıcılarıdır(Internet Explorer, Mozilla, Firefox, Netscape, vb.). Web tarayıcıları üzerinden kullanıcılar, web sunucusuna içerikle ilgili taleplerini iletirler.
(2) Dinamik sayfaların üretildiği uygulama katmandır (Hypertext Processor-PHP, Active Server Pages-ASP, Java Server Pages-JSP, WebSphere, ColdFusion, SunONE, vb.).
(3) Web uygulamaları tarafından kullanılan verilerin depolandığı veri tabanlarıdır (MS SQL, My SQL, Informix, Oracle, vb.).
Dinamik içerikli web sitelerinde, web tarayıcıları taleplerini web uygulamalarına ilettikten sonra bu istekler doğrultusunda veritabanı sorgulaması yapılır ve talep edilen isteklere ait sonuçların yer aldığı sayfalar üretilerek, tarayıcılar üzerinde gösterilir. Dinamik içerikli web sayfaların bu esnek çalışma yapısı birçok güvenlik tehdidini ve ihlâllerini beraberinde getirmektedir. Gartner Grup tarafından yapılan bir araştırmada bu durum açıkça ortaya konmaktadır. Günümüzde yapılan saldırıların %70’i uygulama seviyesindeki ataklardan kaynaklanmakta ve ticari içerikli web sitelerin %75’i ise korunmasız durumdadır. Web uygulamalarında oluşabilecek bir zafiyet, güvenlik önlemlerini (güvenlik duvarı, saldırı tespit ve önleme sistemleri, vb.) Şekil.2’de gösterildiği gibi devre dışı bırakarak güvenilir bölgede yer alan sistemleri üst düzeyde tehdit etmektedir.
Şekil 2. Güncel web tehditleri
Web uygulamalarının güvenliğiyle ilgili birçok çalışma yapılmaktadır. Bu çalışmalardan birisi olan, Mark Curphey tarafından 2001 yılında kurulan, kâr amacı gütmeyen ve herkese açık bir ortam olan OWASP (The Open Web Application Security Project) web uygulama güvenliğinin artırılmasına yönelik ücretsiz araçlar, standartlar, web uygulamaları güvenliğiyle ilgili forumların yapılması, makalelerin yazılması konusunda çalışmaktadır. Diğer bir çalışma ise 2004 yılında Jeremiah Grossman ve Robert Auger tarafından kurulan ve web uygulamaları güvenliğiyle ilgili açık standartların geliştirilmesi, yaygınlaştırılması ve kullanımı gibi konularda çalışan Web Uygulamaları Güvenlik Konsorsiyumudur (The Web Application Security Consortium-WASC). Kurumsal Bilgi Güvenliğini üst seviyede etkileyen güncel tehditler takip eden alt başlıklarda kısaca açıklanmıştır.
A.Kimlik Doğrulama Tehditleri
Web uygulamalarında yer alan kimlik doğrulama mekanizmasın atlatmak veya istismar etmek için kullanılabilecek zafiyetlerin oluşturduğu tehditlerdir. Kimlik doğrulamasında “sahip olunan bir nesne”, “bilinen bir bilgi” veya “sahip olunan bir özellik” kullanılmaktadır. Kimlik doğrulama saldırıları, web sitesinin kullanıcı, servis veya uygulama kimliğini doğrulayan sistemleri hedef alan tehditleri kapsar.
B.Yetkisiz Erişim Tehditleri
Yetkilendirme saldırıları, bir web uygulamasının kullanıcı, servis veya uygulamanın istenen bir işlemi gerçekleştirmesi için gereken izinleri belirlemek için kullanılan yöntemleri hedef almaktadır. Yetkilendirme tehditlerini, oturum bilgisi tahmin etme, yetersiz yetkilendirme, yetersiz oturum sonlandırma, oturum sabitleme olmak üzere kendi arasında dört grupta sınıflandırmak mümkündür. Yetki veya oturum bilgisi tahmin etme, web uygulamasının kullanıcısı rolüne girme veya söz konusu kullanıcının oturumunun ele geçirilmesi yöntemidir. Yetersiz yetkilendirme, web uygulamalarının daha geniş erişim kontrol kısıtlamaları gereken hassas bilgiye, yapılandırma hatalarından kaynaklanan zayıflıklardan faydalanılarak erişme yöntemidir. Yetersiz oturum sonlandırma, web uygulamalarının yetkilendirme için kullanılan eski oturum kimlik bilgisini tekrar kullanma imkan vermesinden kaynaklanmaktadır. Oturum sabitleme, daha önceden belirlenen bir oturum numarasının çeşitli yöntemlerle kullanıcılara tahsis ettirilmesini sağlamaktadır.
C.Kullanıcı Taraflı Tehditler
Kullanıcı taraflı tehditler, web sitesi ve kullanıcı arasında kurulan güvenin istismar edilmesi üzerine odaklanır. Yasal olan web siteleriyle, kullanıcıları arasında teknolojik ve psikolojik bir güven kurulmaktadır. Kullanıcı, web uygulamalarının geçerli içerik sunmasını beklerken web uygulamasından herhangi bir saldırı gelmesini beklemez. İçerik sahteciliği (Content Spoofing) ve siteler arası kod çalıştırma (Cross Site Script-XSS) kurumsal bilgi güvenliğini etkileyen kullanıcı taraflı tehditlerdir. İçerik sahteciliği, kullanıcının ziyaret ettiği dinamik içerikli web sitesinde harici olarak çalışan web uygulamasının ziyaret edilen web sitesinin resmi içeriği olduğuna inandırılmasın sağlayan saldırı yöntemidir. Bu yöntem kullanıcı ile web sitesi arasındaki güveni istismar ederek giriş formları, tahrif edilmiş içerik ve yanlış yayın sürüm bilgileri içeren sahte web siteleri oluşturmak için kullanılmaktadır. Siteler arası kod yazma, kullanıcı ile web sitesi arasındaki güven ilişkisi istismar edilerek, web sitesinin saldırgan tarafından belirlenen çalıştırılabilir kodu kullanıcıya göndermesi ve bu kodun kullanıcı web tarayıcısında yüklenerek çalışmasıyla gerçekleşmektedir.
D.Komut Çalıştırma
Komut çalıştırma, web uygulamalarında uzaktan çalıştırılan komutlar yardımıyla yapılan tehditlerdir. Web uygulamaları HTTP üzerinden gelen istekler (kullanıcı girdileri) doğrultusunda nasıl davranacağına karar vermektedir. Çoğu zaman bu kullanıcı girdileri dinamik web sitesi içeriğinin hazırlanılmasında kullanılan komutların çalıştırılmasını sağlarlar. Eğer dinamik web sitelerinin içeriğinin hazırlanmasında kullanılan bu komutların kodlanmasında güvenlik ölçütleri göz önüne alınmaz ve girdi doğruluğu sınanmazsa, çalıştırılan komutların saldırganlar tarafından manipüle edilmesi sonucu web siteleri üzerinde güvenlik ihlalleri oluşur.
E.Bilgi Açığa Çıkarma
Bilgi açığa çıkarma, web uygulamalarının kendisi veya çalıştığı platformlarla ilgili sisteme özel (versiyon, çalıştığı platform, yama seviyesi, yedek veya geçici dosyaların yeri, vb.) bilgilerin elde edilmesi için yapılacak işlemleri kapsamaktadır. Çoğu durumda, web uygulamaları kendileri hakkında bir kısım bilgiyi gösterecektir. Ancak burada önemli olan mümkün olduğunca, uygulamalar hakkında gösterilen bilgilerin boyutu en aza indirgenmektedir. Uygulamalar ve çalıştığı platformlar hakkında ne kadar çok bilgi toplanırsa saldırganlar tarafından zafiyetlerin belirlenmesi ve kullanılması da o kadar kolay olur.
F.Genel Değerlendirme
Güncel tehditler ve çalışmalar incelendiğinde kurumsal bilgi güvenliği tehditlerinin ağ ve sistemlerden web uygulamalarına doğru hızlı bir şekilde kaymakta olduğu görülmektedir. Dünyada olduğu ve literatürde de vurgulandığı gibi ülkemizde en fazla güvenlik açığına web uygulamalarında rastlanmaktadır. Kurumların genelde sınır ağ güvenliğinin (Perimeter Network Security) sağlanmasıyla ilgili çözümleri (güvenlik duvarı, saldırı tespit sistemleri, anti-virüs programları, vb.) ve farkındalıkları olduğu saptanmıştır. Ancak web uygulama güvenliği kavramının dünyada olduğu gibi ülkemizde de, uygulamayı geliştiren yazılımcılarında dahil olduğu büyük bir çoğunluk tarafından anlaşılamadığı, bilinmediği veya bilinse dahi uygulanamadığı görülmektedir.
Kurum veya kuruluşların üst düzeyde bilgi güvenliğini ve iş sürekliliğini sağlamaları için standartlar çerçevesinde teknik önlemlerin uygulanmasının yanında teknik olmayan (insan faktörü, prosedürel faktörler, vb.) önlemlerin ve denetimlerin alınması, tüm bu süreçlerin devamlılığının sağlanılması ve bilgi güvenliği standartlarına uygun olarak yönetilebilmesi amacıyla yönetim tarafından desteklenen insanları, iş süreçlerini ve bilişim teknolojilerini kapsayan bilgi güvenliği standartlarına uygun olarak BGYS kurmaları gerekmektedir.
SONUÇ
Elektronik ortamlar ülkemizde her geçen gün hızla yaygınlaşmakta, ticari ve günlük yaşantımızdaki varlığın hissedilir oranda arttırmaktadır. Elektronik ortamın doğasında var olan güvensizlik unsuru, elektronik ortamlardaki uygulamaları tehdit eden en büyük unsurdur. Geçmiş yıllarda saldırılar, yaygın ve hedef gözetmeksizin yapılmaktayken artık nokta hedefi gözeten ve bölgesel olarak düzenlenen saldırılar yapılmaktadır. E-posta ve anlık mesajlaşma yoluyla gelen tehditlerin yan sıra, web’in kendisi de ciddi bir tehdit unsuru haline gelmiştir. Günümüzde e-posta ve web tehditlerinin birleşmesiyle çok zararlı ve bulaşıcı virüsler doğmaktadır. Son yıllarda bilgi ve bilgisayar güvenliğini zaafa uğratmaya hatta yıkmaya çalışan, kurumlar üzerinde maddi manevi büyük zararlara yol açan, kişi, kurum ve kuruluşları tehdit ederek zararlara uğramasına yol açan bilgi güvenliği tehditlerinin engellenmesi için kurumsal bilgi güvenliği sağlanmalıdır.
Kurumsal bilgi güvenliğini tehdit eden saldırıların bilinmesi, bilgi güvenliğinin sağlanmasına yönelik kurumsal stratejilerin geliştirilmesinde önemli bir role sahiptir. Bilgi sistemlerine yönelik olarak yapılan saldırılar incelendiğinde; saldırıların çok geniş bir yelpazede yapıldığı, otomatik teknikler kullanılarak saldırıların kolayca yapılmasının sağlanmasında önemli artışların görüldüğü tespit edilmiştir. Otomatik saldırı araçları sayesinde kurumsal bilgi güvenliğini tehdit eden usta saldırganların yanında bilinçsiz ve bilgi eksiği olan birçok acemi saldırgan türemiştir. Virüs yazarları, eskiye göre çok daha gelişmiş araçlarla çalışmaktadır. Bu araçları kullanan virüs yazarları, yazılım robotları ve rootkitler, sosyal mühendislik, casusluk ve reklâm amaçlı yazılımlardan yararlanarak karmaşık virüslerle bilgi sistemlerini üst düzeyde tehdit etmektedirler.
Kurumsal bilgi güvenliğinin sağlanması amacıyla, saldırı türlerinin takip edilmesi, saldırganların kullandığı yöntemlerin saptanması, ülkemizde ve dünyada bu konuda yapılan araştırmaların, raporların ve çalışmalar ile tespit edilen açıkların takip edilmesi ve giderilmesi bilgi güvenliği ihlalinin yaşanmaması için gerekli önlemlerin zamanında alınması, güvenlik ihlallerine anında müdahale edilerek saldırıların zararlarından en az şekilde etkilenme, felaket anında uygulanabilecek felaket ve iş sürekliliği planlarının uygulanması gibi stratejiler, kurumlar tarafından uygulanmalıdır.
Ülkemizde genellikle güvenlik politikaları standartlara uygun olmadan yazılı veya sözlü, onaylı veya onaysız bir biçimde kuruluşlar tarafından uygulanmakta ve çoğu kurum tarafından da bilgi güvenliği yönetimi için yeterli görülmektedir. Bu yanlış anlamanın giderilmesi için dünya genelinde kabul görmüş ve uygulanabilirliği test edilmiş bilgi güvenliği standartları esas alınarak kuruluşların bilgi güvenliği yönetimi konusunda eksikliklerini gidererek BGYS kurmaları ve belgelendirilmeleri gerekmektedir. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve tüm çalışanların destek vermesi ve tavizsiz bir şekilde uygulanması, işbirliğinde bulunulan tüm kişi ve kuruluşlarında bu politikalara uyma zorunluluğu, kurumsal bilgi güvenliğinin üst düzeyde sağlanmasında önemli bir faktördür.
Kurumsal Bilgi güvenliği standartlarının yüksek seviyede bir güvenlik sağlanmasında etkili olduğu muhakkaktır. Bunun ötesinde de sistemlerde açıklar olabileceği, özellikle web uygulamalarında daha dikkatli olunması gerektiği, yeni eğilim ve yaklaşımların keşfedildikçe kurumsal güvenliğinin artırılması yönünde hayata geçirilmesi gerektiği de asla unutulmamalıdır.