Uzun zamandır internet güveliği konusunda makaleler yazılmakta görüşler bildirilmekte. Konunun detayına baktığımızda aslında görüldüğünden de daha ciddi bir tehditle karşı karşıya olduğumuz bir gerçek. Belki 4-5 yıl öncesine dönmüş olsaydık, bu kadar ciddi önlemler almamıza gerek kalmazdı fakat bugün internetten yapılan saldırıların ciddi boyutlara ulaşması erişim güvenliğimizi tamamen tehdit etmektedir.
GÜVENLİK ÖNLEMLERİNİZE GÜVENİYOR MUSUNUZ?
YENİ NESİL GÜVENLİK SİSTEMLERİ : UTM (Unified Threath Management = Birleşik Tehdit Yönetimi)
Uzun zamandır internet güveliği konusunda makaleler yazılmakta görüşler bildirilmekte. Konunun detayına baktığımızda aslında görüldüğünden de daha ciddi bir tehditle karşı karşıya olduğumuz bir gerçek. Belki 4-5 yıl öncesine dönmüş olsaydık, bu kadar ciddi önlemler almamıza gerek kalmazdı fakat bugün internetten yapılan saldırıların ciddi boyutlara ulaşması erişim güvenliğimizi tamamen tehdit etmektedir.
Şu anki saldırı tipleri daha özel, yani karışık ve gelişmiştir. Yeni çıkan saldırı tiplerinin yanında klasik DoS saldırılarını arar olduk. Önceleri kurmuş olduğumuz firewall cihazları bugün neredeyse tamamen işlevini yitirmiş durumda. Talepler ise daha farklı boyutlara yöneliyor, daha tümleşik, farklı tehdit şekillerini aynı anda bertaraf edebilecek ve yönetilebilen sistemler; yani UTM ürünler. Adını birleşik tehdit yönetiminden alan sistemler tek başlarına kalkan görevini üstlenmekte ve kurumsal güvenliğin ana fonksiyonlarını üzerine alarak ciddi bir görevi yerine getirmekte. Virüs tehditleri, IPS (Saldırı Tespit ve Koruma), CFS (İçerik Filitreleme) gibi özellikler, UTM sistemlerin özelliklerinden yalnızca bazıları.
Yeni çıkan saldırı methodları incelendiğinde, derinlemesine bir paket analizinin zorunlu olduğu görülmektedir. Çok katmanlı olarak adlandırabilecek saldırı methodlarını incelenmesinin ardından ne tür bir koruma sistemine ihtiyacamız olacağı ortaya çıkcaktır. Daha sonra bugüne kadar almış olduğumuz güvenlik önlenmleri gerçekten bir önlem niteliğinde midir?, yoksa çaresizce bekleyen hackerların oyuncağı olmuş bir koruma önlemi midir? Bunlara geçmeden gözümüz istatistiklere takılıyor. Sektörün önde gelen firmalarının yapmış olduğu araştırmalar aslında oldukça ilginç ve bir o kadar da ürkütücü. 2001 yılının Temmuz ayında saat 02:00:00, ilk olarak Code Red virüsü dünya üzerinde görülüyor ve bundan yalnızca 15 saat sonra Code Red virüsü dünya üzerindeki 359,000 sisteme bulaşıyor. Yine benzer bir salgın Slammer Worm, 25 Ocak 2003 saat 05:36 da ilk defa görülüyor ve yaklaşık 1,5 saat gibi bir süre sonra salgın dünya üzerindeki 74,855 sisteme bulaşıyor. Zarar neredeyse tahmin edilemez boyutlarda. Akla gelen ilk soru; bu kadar bilgisayar sisteminin içerisinde hiç mi firewall yok? veya Firewall var ama yetersiz mi kalmıştır?
İsterseniz öncelikle saldırı tiplerine kısaca bakalım, daha sonra bizler ne tip bir bakış açısı ile konuya yaklaşmalıyız onu tespit edelim. Bugüne kadar SPI (stateful paket inspection) yaklaşımı ile durumu idare ettik. Fakat sonrasına baktığımızda yazılım sektörünün bu denli gelişmesinin ardından güvenlik sorunları bir o kadar artmıştır, bu nedenle yeni güvenlik yaklaşımları kaçınılmaz olmuştur. Klasik firewall yaklaşımları, yeni çıkan bu tip saldırıları anlamakta yetersiz kalmakta ve tehdidin devam etmesine sebep olmaktadırlar. Genel olarak saldırı tiplerine baktığımızda Smurf Attack, Kötü Niyetli yazılımlar (Virus, Trojan Horses, Worms, Bots, Keylogger vs), DoS, Syn Flood, Flood Attacks karşımıza çıkmaktadır. Bu saldırı tiplerini teknik olarak ele aldığımızda yapı gereği farklı yaklaşımlar içerdiği ortadadır. Örneğin, bilgisayar üzerindeki kullanıcı aktivitelerini karşıya rapor eden programlar içeriye sızma şeklinde olan kötü amaçlı programlardır. Kısaca “Malware” olarak adlandırılan sistem açıklarından ve kullanıcıların dikkatsizliğinden faydalanarak dışarıya bilgi sızdıran bu yazılımlar bilgi güvenlğini tehdit eden unsurların başında gelmektedir. Benzer şekilde Spyware yazılımlar yine aynı kategori içinde yer alır. Bir şekilde iç networke sızarak bilginin dışarı çıkması sağlanır. Bunun yanında “phising” diye adlandırılan “aldatma” usulu ile bilgi elde etme saldırıları ise işin bir başka boyutu. Önceden beri bilinmekte olan MAN (Man in the middle) ortadaki adam metodudur ki bu herhangi bir sızmayı gerektirmeden, gitmesi gereken paketin asıl alıcıya değil orta noktada bulunan hacker tarafından ele geçirilmesini sağlayan bir sistemdir ki bu diğer saldırı tiplerinden çok daha farklıdır. Yani kurbanın sistemine herhangi program sızdırmadan gerçekleştirilebilen bir saldırıdır. Bir DoS saldırı olarak adlandırılan, Flood saldırı tipleri diyebileceğimiz saldırılar artık neredeyse bütün firewall sistemleri tarafından engellensede halen tehdit oluşturmaya devam etmektedir. Wormlar ise sistem açıklarından faydalanarak (Exploits) yazılan scriptlerin doğrudan sistem kaynaklarını çökertmeye dayalı saldırı türleri arasında yer almaktadır.
Saldırı tekniklerini incelediğimizde bunlardan bahsetmemizin tek amacı herşeyin tek tıklama kadar kolay olmayacağını anlatmak amaçlıdır. Tehdit ve boyutları dahası bunların vereceği zararlar gerçekten çok ciddidir ve konuya baştan itibaren ciddi olarak yaklaşmak gerekmektedir. Yukardaki saldırı tiplerine genel olarak bakıldığında, çok katmanlı bir saldırı mimarisinin var olduğu ortaya çıkmaktadır. Paket içeriğinden kaynaklanabilecek saldırıların engellenmesi için Derin Paket Analizinin (Deep Packet Inspection) yapılması zorunlu olup, tüm paketin detaylı analizinden sonra Kabul/Red kararı verilerek bu paketin iç networke alınmasına karar verilmelidir. Gelecekte ise bizi belkide çok daha karmaşık saldırı methodları bekliyor olacaktır. İşin en ilginç tarafı saldırı yöntemi ile bilgi elde etmek artık bu işle uğraşan kişilerin merak ya da bilgi deneyimini test etme boyutundan öteye gitmiş bir örgütsel faaliyet haline gelmiştir. Yani maddi menfaat karşılığında bilgi hırsızlığı..! Bu aşamadan sonra güvenlik olayına baktığımızda, belkide bugüne kadar olan bütün yaklaşımlarımızı tamamen gözden geçirmemiz gerekmekte ve yeni tehdit sistemlerini ele alıp bunlara çözüm üreten firmalara yönelmemiz gerekmektedir. Belki de çok güvenmiş olduğumuz partner firmamızı değiştirmemiz gerekmektedir.
Bilgi güvenliği ciddi deneyim ve bilgi birikimi gerektiren bir iştir. Bir anda ortaya çıkıp, ben herşeyi bu ürünle çözüyorum demek, olaya ciddiyetten daha çok ticari boyut ile yaklaşıldığı imajını vermektedir. Daha önceden de belirtmiş olduğumuz gibi çok katmandan geçen bir bilgi güvenliği zorunlu. Yukarıda, yalnızca çok kısa olarak vermiş olduğumuz saldırı methodlarını göz önüne aldığımızda, güvenlik olayına bakış açımız da çok katmanı kontrol eden bir yapıyı zorunlu kılmaktadır.
Internet üzerinde %100 güvenlik diye bir şeyin söylenmesi en azından şimdilik imkansız görünmektedir. Fakat, bilindiği üzere birçok UTM üreticisi bu konuya kesin çözüm getirmeye çalışırken farklı yönetmler kullanmakta ve bu farklarını da katma değer olarak ücretlendirmektedirler. Firma veya marka seçiminde önemli unsurlar, firmanın işe odaklı olup olmadığı, güvenlik işi için ayrı bir Ar-Ge ekibi bulunup bulunmadığı, yeterli bilgi birikimine sahip olup olmadığı, katmanlı güvenlik mimarisine sahip olup olmadığı şeklinde sıralanabilir.
07.01.2021