520 likes | 933 Views
Kurumsal Bilgi Güvenliği ve Siber Güvenlik Nesrin KAMIŞ Siber Güvenlik Enstitüsü. Genel bilgi güvenliği prensipleri Kullanıcı kimlik tespiti ve şifre güvenliği Bilgisayarda donanım ve yazılım değişiklikleri yapma Dizüstü bilgisayar kullanımı Yazıcı kullanımı Taşınabilir medya kullanımı
E N D
Kurumsal Bilgi Güvenliği ve Siber Güvenlik Nesrin KAMIŞ Siber Güvenlik Enstitüsü
Genel bilgi güvenliği prensipleri Kullanıcı kimlik tespiti ve şifre güvenliği Bilgisayarda donanım ve yazılım değişiklikleri yapma Dizüstü bilgisayar kullanımı Yazıcı kullanımı Taşınabilir medya kullanımı Virüsten korunma İnternet erişim güvenliği 5651 sayılı kanun E-posta güvenliği Yedekleme Sosyal mühendislik Dosya erişim ve paylaşımı Bilgisayar güvenlik olayları ihbarı Gündem
Değişik Formdaki Bilgi İstemci Dizüstü bilgisayar Kablosuz ağlar Medya Sunucu Yazıcı çıktıları Radyo-televizyon yayınları Dokümanlar Kurum çalışanları Cep telefonları, PDA’lar Fotoğraf makineleri Yazılımlar
Herkes bilgi işlem servislerine büyük oranda bağlı ... Güvenliğin sadece küçük bir yüzdesi teknik güvenlik önlemleri ile sağlanıyor. Büyük yüzde ise kullanıcıya bağlı. Bilgi Güvenliğinden Herkes Sorumludur
Sorumlu herkes: Bilginin sahibi Kullanıcılar Bilgi sistemini yönetenler En zayıf halka bilgi güvenliğinin seviyesini belirlemektedir. Çoğunlukla en zayıf halka insandır. Bilgi Güvenliğinden Herkes Sorumludur
Bilginiz başkalarının eline geçebilir Kurumun onuru, toplumdaki imajı zarar görebilir (en kötü durum) Donanım, yazılım, veri ve kurum çalışanları zarar görebilir Önemli veriye zamanında erişememek Parasal kayıplar Vakit kayıpları Can kaybı! BT’nin Kötüye Kullanımı Sonucu Oluşan Zararlar
Bilgi güvenliğinin en önemli parçası kullanıcı güvenlik bilincidir. Oluşan güvenlik açıklıklarının büyük kısmı kullanıcı hatasından kaynaklanmaktadır. Saldırganlar (Hacker) çoğunlukla kullanıcı hatalarını kullanmaktadır. Sosyal mühendislik içerikli bilgi edinme girişimleri yaşanmaktadır. Kullanıcı Bilincinin Önemi • Bir kullanıcının güvenlik ihlali tüm sistemi etkileyebilir. • Teknik önlemler kullanıcı hatalarını önlemede yetersiz kalmaktadır. • Kullanıcılar tarafından dikkat edilebilecek bazı kurallar sistemlerin güvenliğinin sağlanmasında kritik bir öneme sahiptir.
Güvenlikten bilgi işlem sorumludur. Antivirüs yazılımımız var, dolayısıyla güvendeyiz! Kurumumuz güvenlik duvarı (firewall) kullanıyor, dolayısıyla güvendeyiz! Bilgimin kopyasını alıyorum, güvenlikten bana ne! Bir çok güvenlik saldırısı kurum dışından geliyor! Bazı Yanlış Düşünceler
Bilgisayarınıza girerken şifrenin başkaları tarafından görülmemesi sağlanmalıdır. Kullanıcı isminizi ve kullanıcı haklarınızı kullanarak başka bir kimsenin işlem yapmasına izin verilmemelidir. Kullanıcı Kimlik Tespiti • Şifrelerinizi korumazsanız başkalarının günahını da üstlenmek zorunda kalabilirsiniz …
Bilgisayar başından kalkarken ekran kilitlenmelidir. Bilgisayarı Kullanırken • Şifre korumalı ekran koruyucusu ayarlanmalıdır.
En önemli kişisel bilgi şifrenizdir. Hiç kimseyle herhangi bir şekilde paylaşılmamalıdır. Mümkünse bir yere yazılmamalıdır. Yazılması gerekiyorsa güvenli bir yerde muhafaza edilmelidir. Güvenli olmadığını düşündüğünüz mekanlarda kurumsal şifrelerinizi kullanmanızı gerektirecek uygulamaları kullanmayınız. Şifre Güvenliği - 1
Şifre Güvenliği - 2 • En az sekiz karakterli olmalıdır. • Rakam ve özel karakterler (?, !, @ vs) içermelidir. • Büyük ve küçük harf karakteri kullanılmalıdır. • Örnek güçlü bir şifre: AG685kt?!
Şifre Güvenliği - 4 • Kişisel bilgilerle ilişkili olmamalıdır (çocuğunuzun ismi, evlenme yıldönümü, doğum günü vs.). • Sisteme erişimde kullandığınız şifreler oyun siteleri, bilgilendirme siteleri gibi yerlerde kullandığınız şifrelerle aynı ya da benzer olmamalıdır. • Farklı sistemler için aynı şifre kullanılmamalıdır.
Şifreler - Kötü Şifre Örnekleri celik Kullanıcının soyismi. 8 karakterden az.Sadece harfler kullanılmış. Özel karakterler, rakamlar kullanılmamış. alicelik Kullanıcının adı ve soyadı Ali_celik1234 İçerisinde kullanıcı ismi ve soyismi geçiyor. ali123 Kullanıcı isminin türevi de zayıf bir şifredir. 8 karakterden az. antalya Özel isim. Kullanıcının doğum yeri ise daha zayıf bir şifredir. 34bg356 Araç plakası. 13nisan1967 Doğum tarihi ya da önemli bir tarih. Qwerty123 Çok kullanılan karakter sıraları. Mercedes Özel isim Kalem Sözlüklerde bulunan bir kelime. Bunun yanında 8karakterden az. Kalem111 Kelimenin türevi
Şifreler sakız gibidir ... Taze olduklarında işe yararlar. Grup tarafından değil de, bireysel olarak kullanılmalıdırlar. Etrafa atıldıklarında, büyük yapışkan sorunlar çıkarırlar. Şifreler - Son Söz
Kurum tarafından belirlenmiş yazılımların dışında bilgisayarlarda program bulunmamalıdır. Her bir programın açıklık oluşturma ihtimali vardır. Güvenilir olmayan sitelerden indirilen yazılımlar indirilmemeli ve kullanılmamalıdır. Yazılım Yükleme - Güncelleme
İnternet’e erişim için kurum tarafından kabul edilmiş yöntemler kullanılmalıdır. Bilgisayarlara modem takılmamalıdır. Bluetooth ve 3G modemler ile İnternet bağlantısı yapılmamalıdır. Donanım Ekleme
Çalınmalara karşı fiziksel güvenlik sağlanmalıdır. Şifre güvenliği sağlanmış olmalıdır. İçinde kurumsal veri olmamalıdır. Eğer veri şifreleme sistemi kurumda kullanılıyor ise gizli bilgiler şifrelenmelidir. Dizüstü Bilgisayar Kullanımı
Floppy, USB, CD vs. gibi taşınabilir medya kullanımına özen gösterilmelidir. Başkaları ile paylaşıldığında bu ortamlar içerisinde gereğinden fazla bilgi bulunmamalıdır. İşlevi sona ermiş taşınabilir medya içindeki bilgi tekrar ortaya çıkarılamayacak şekilde yok edilmelidir. Taşınabilir medya, masa gibi açık alanlarda bırakılmamalıdır. Kağıt üzerindeki bilgiler de taşınabilir medya tanımına girebilir. Taşınabilir Medya Güvenliği • Bir USB bellek, 1 milyon adet kağıtta yer alan bilgi kadar veri içerebilir.
Gizli bilgi içeren dokümanların çıktıları alınırken, Doküman çıktısının eksik olmadığı kontrol edilmelidir (sayfa ve kopya sayısı bazında) Yazıcı hataları ile karşılaşıldığında gönderilen doküman iptal edilmeli ve yanlışlıkla basılmadığı kontrol edilmelidir. Çıktının yazıcıda basılması süresinde dokümanın başında bulunulmalıdır. Yazıcı Kullanımı
Tüm bilgisayarlarda virüs koruma programı çalıştırılmalı ve güncellemesi yapılmalıdır. Antivirüs programı kapatılmamalıdır. Dosyalar virüs taramasından geçirilmelidir. Uzantısı exe, scr, zip, rar olan dosyalara özel dikkat göstermelidir. Zararlı Programlar - Virüsler
Zararlı Programlar - Truva Atları Giriş Bulaşma Şekilleri • E-posta eklentileri • Sohbet programları • İnternet sayfaları • Paylaşımlar Saldırgan Kurban
Spyware (Casus Yazılım) saldırısının belirtileri şunlardır: Bitmek bilmeyen pop up pencereleri Tarayıcımızda istem dışında kurulan araç çubukları Web tarayıcımızda giriş sayfasının değişmesi Tab tuşu gibi bazı özel tuşların çalışmaması Rastgele karşımıza gelen hata mesajları Bilgisayarla çalışırken karşılaştığımız aşırı yavaşlık Zararlı Programlar - Spyware - 1
İstem dışı kurulan spyware yazılımlarından korunmak için, Karşınıza çıkan pop-up pencerelerindeki bağlantılara tıklanmamalıdır. Pop-up pencerelerini kapatırken, pencere içindeki kapat tuşunu kullanmak yerine, pencerenin sağ üst köşesinde bulunan “X” işareti kullanılmalıdır. Karşınıza çıkan pencerelerde beklemediğiniz bir soru çıktığında, doğrudan “Evet” seçeneği seçilmemelidir. Spyware ile mücadele için kullanılan bir çok yazılım da aslında başlı başına casus yazılımdır. Sistem yöneticisine danışmadan bu tip yazılımlar kurulmamalıdır. Ücretsiz yazılımlara dikkat edilmelidir. Zararlı Programlar - Spyware - 2
Internet’i kullandığınızda arkanızda saldırganlar için önemli izler bırakırsınız ... Eğer Spyware Bulaştıysa …
Şüpheli durumlarda bilgi işlem merkezine haber vermekte tereddüt etmeyiniz. Zararlı Programlar - Şüpheleniyorsanız …
Onu göremeseniz de... O size yine de zarar verebilir. Antivirüs yazılımınızı güncel tutun! Zararlı Programlar - Son Söz
HTTP ve FTP veri alışverişini sağlayan erişim protokolleridir. Spyware, arkakapı (backdoor) programları genellikle HTTP veya FTP erişimleri ile bilgisayara girer. Güvenilmeyen web ve FTP siteleri ziyaret edilmemelidir. Şifreli iletişimlerde (SSL) pencerede çıkan sertifika kontrol edilmelidir. Şifrenizin değişmesi gerektiği ile ilgili gelen web sayfaları ya da e-posta mesajlarının kaynağı gerektiğinde bilgi sistemlerine danışarak kontrol edilmelidir. HTTP ve FTP Erişimleri
5651 Sayılı Kanun İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun (kabul tarihi: 4/5/2007) Madde 1: Bu Kanunun amaç ve kapsamı, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik üzerinden mücadeleye ilişkin esas ve usülleri düzenlemektir. 36
Kurumsal dokümanlar yedeği alınan dizinin altına konumlandırılmalıdır. Yedeklenmesi gereken tüm dokümanlar bu dizinde olmalıdır. Diğer dizinlerdeki dosyaların yedeklerini alma kullanıcı sorumluluğundadır. Yedekleme
Sistemin güvenliğinin kullanıcı adı ve şifreye dayandığını unutmayınız. Şifrenizi başkasının öğrenmesi durumunda sizin e-postalarınızı okuyabileceğini, sizin adınıza kurum içindeki ve dışındaki kişilere e-posta gönderebileceğini ve bunun kurum açısından ve sizin açınızdan doğuracağı sakıncaları aklınızda bulundurunuz. İnternet kafe ve diğer genel yerlerden yapacağınız bağlantılarda sistemden çıkmayı unutmayınız, gizli olduğunu düşündüğünüz ekleri açmayınız. E-posta Güvenliği
Virüslerin en fazla yayıldığı ortam e-postalardır. Kaynağı tanınmayan e-postalar kesinlikle açılmamalıdır. Güvenilmeyen eklentiler açılmamalıdır. Gizli bilgi şifrelenmedikçe e-postalarla gönderilmemelidir. E-posta Güvenliği • Spam e-postalara cevap verilmemelidir. • E-posta adres bilgisi güvenilir kaynaklara verilmelidir.
E-postalar - Spam E-posta Örneği E-posta’nın kimden bölümündeki adres yanlış. E-posta’nın kime bölümündeki adres E-postanın geldiği kişiye ait değil. İlgi çekici bir konu. Genellikle her spam E-postada olan üyelik sildirme bölümü.
E-postalar - Spam’den Nasıl Korunulur? Bilmediğiniz haber ve e-posta gruplarına üye olmayınız. Kişisel dosyaları fıkra, karikatür, ses dosyası vs. kurumun size tahsis ettiği posta adresinizden yollamayınız. Çoğu Spam’ın sonunda bulunan üyelik sildirme formu kullanılmamalıdır.
Bu teknikte öncelikli amaç güven sağlamaktır.Güven sağladıktan sonra gerekli bilgi yavaş yavaş alınır. Kötü niyetli kişi, her konuşmada küçük bilgi parçaları elde etmeye çalışabilir. Konuşmalar daha çok arkadaş sohbeti şeklinde geçer. Bu konuşmalarda önemli kişilerin adları, önemli sunucu bilgisayarlar veya uygulamalar hakkında önemli bilgiler elde edilir. Sosyal mühendislik için en etkin yol telefondur. Sosyal mühendislik her zaman telefonla olmaz, bunun dışında kuruma misafir olarak gelen kötü niyetli kişiler bilgisayarların klavye veya ekran kenarlarına yapıştırılan kullanıcı adı ve şifre kağıtlarını da alabilirler. Sosyal Mühendislik • Kurumun çöplerini attığı yerleri karıştırabilirler. • Bu nedenle çöplerinize kurumsal bilgi içeren kağıtlar atmayınız.
Sosyal Mühendislik Örnekleri • Tarafımızca başka kurumlara yapılan sosyal mühendislik saldırılarından bazı örnekler … • 1. kayıt: 2. kayıt: 3. kayıt:
Taşıdığınız, işlediğiniz verilerin öneminin bilincinde olunmalıdır. Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edin. Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edin. Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgilerinizi kimseye söylemeyin. Şifre kişiye özel bilgidir, sistem yöneticinize bile telefonda veya e-posta ile şifrenizi söylemeyin. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da yapacaktır. Sosyal Mühendislik - Alınacak Tedbirler
Oluşturulan dosyaya erişecek kişiler ve hakları “bilmesi gereken” prensibine göre belirlenmelidir. Erişecek kişilerin hakları yazma, okuma, değiştirme ve çalıştırma yetkileri göz önüne alınarak oluşturulmalıdır. Verilen haklar belirli zamanlarda kontrol edilmeli, değişiklik gerekiyorsa yapılmalıdır. Eğer paylaşımlar açılıyorsa ilgili dizine sadece gerekli haklar verilmelidir. Kazaa, emule gibi dosya paylaşım yazılımları kullanılmamalıdır. Dosya Erişim ve Paylaşımı
Aşağıdaki durumlarda bilgi sistem personeline başvurunuz. Bilgisayarınızda gereksiz bir yavaşlama durumunda, Sizin müdahaleniz olmadan bir bilgi kaybı veya değişikliği ile karşılaştığınızda, Kontrol dışı programların çalışması durumunda, Kontrol dışı web sayfalarının açılması durumunda, Virüs tespit ajanlarının çalışmadığını fark ettiğinizde. Güvenlik Olayı Bildirme
Tüm bu anlatılan maddeler “BİLGİ GÜVENLİĞİ POLİTİKASI” olarak kurum yönetimi tarafından uygulatılmalıdır. Kullanıcı sorumlulukları bu politika içerisinde ifade edilmelidir. Ayrıca bilgi işlem personelinin görevleri de politikada yer almalıdır. Kullanıcı bilinçlendirme çalışmaları düzenli olarak tekrar edilmelidir. İç Denetim biriminin düzenli olarak uygulamayı denetlemesi gerekmektedir. Bilgi Güvenliği Politikası’nın uygulanması ve gözden geçirilmesi Kurum Yönetimi tarafından sağlanmalıdır. Sonuç – Bilgi Güvenliğinin Kurumsallaşması