Bilgi, günümüzde kurumların en önemli sermayelerinden biridir. Bilgi teknolojileri ise bu sermayenin yaşam döngüsünde en kritik rollerden birini oynayan yapıdır. Bu yapının dinamiklerini oluşturan, teknik ve teknik olmayan birçok öğe bulunmaktadır. Bu öğelerin güvenliğinin bir tehdit altında bulunması, bilginin tehdit altında bulunması demektir. Dolayısı ile en önemli sermayelerden birinin tehdit altında bulunması, kurumları zor durumlarla karşı karşıya bırakmaktadır.

Bilginin güvenliğinin tehdit altında bulunmasını sağlayacak durumların önceden tespiti ve bilginin korunması gereken üç önemli özelliği olan “Gizlilik”, “Bütünlük”, “Erişilebilirlik” özelliklerinin doğru bir şekilde korunabilmesi için kurumlar denetimlerden geçmektedirler.  Bu denetimlerin bazıları kurumun kendi içindeki bir organizasyon tarafından kurumun kendisine yapılırken, bazıları da kurumdan bağımsız bir başka organizasyonun kuruma yapması ile gerçekleşir.

Yapılan denetimler sonucunda ortaya teknik ve teknik olmayan birçok bulgu çıkar. Güvenlikte kullanılan “bulgu” teriminin tanımı şu şekilde yapılabilir:

“Bir saldırganın verilmesi planlanmayan bir bilgiyi, dolaylı veya direkt yoldan ifşa etmesini veya bozmasını sağlayacak her tespit, bir bulgudur. Ayrıca, bir saldırganın verilmesi planlanan bir bilginin dolaylı veya direkt yoldan ifşa edilmesinin engellenmesini sağlayacak her tespit de bir bulgudur.”

Bulguların her biri bir güvenlik tehlikesine işaret eder. Ancak bu tehlikenin nasıl bir risk olarak değerlendirileceği konusu kurumun kendi inisiyatifindedir.

Teknik olan açıklarda risk değerlendirmesi yapılırken kullanılabilirlik ve güvenlik dengesi göz önünde bulundurulur.  Alınacak bir güvenlik önlemi eğer sistemi o anki şartlar için kullanılabilirlikten uzaklaştıracaksa ve iş akışını sekteye uğratacaksa, bu risk kurum tarafından değerlendirilerek belli koşullarda yönetilip, göze alınabilir. Ancak bu durum, açığın ve tehlikenin varlığı gerçeğini değiştirmez. Teknik açıklar için risk değerlendirmesi yapılırken kullanılabilirlik dışında bakılan başka öğeler de mevcuttur. Açığın tehlikesinin teknik derecesini oluşturan “Seviye” ve kurum için açığın tehlikesinin önemini ifade eden “Önem” öğeleri bunlardan bazılarıdır. Hiç kullanılmayan ve izole bir ortamda yaşamına devam eden bir test sisteminde bulunan kritik seviye bir açığın öneminin düşük olması çok rastlanabilen bir durum iken, hayati önem taşıyan bir noktada görev yapan bir sistemde çıkan düşük seviye bir açığın kritik önem arz etmesi de rastlanan durumlardandır. Genel anlamda teknik seviyelendirme yapılırken aşağıdaki tablodaki kriterler göz önüne alınabilir.

Buradaki kriterler ile seviyelendirilen bir açık, bilginin güvenliğini sağlayan üç özelliğinin bozulması ile sonuçlanan bazı etkileri doğurur. Temelde “Gizliliğin Bozulması”, “Bütünlüğün Bozulması” ve “Erişilebilirliğin Engellenmesi” etkilerinden türeyen bu açıkları ve etki türlerini şu şekilde toparlamak mümkündür.

Öğelerin hem bir bütün hem de tek tek ele alınmasıyla ortaya çıkan tabloyu iyi irdelemek güvenliğin önemli konularındandır. Bu konuyu anlatmak için kullanılan yaygın cümlelerden birisi: “Bir zincir en zayıf halkası kadar sağlamdır.” cümlesidir. Çıkan birkaç orta seviye açığı birleştirerek veya tek bir kritik açığı kullanarak sistemlere yetkisiz erişim sağlayan bir saldırgan, bu cümlenin anlamını iyi bilen ve hatta yaşayan biridir.

Kurumlara yapılan güvenlik denetimleri sonucu ortaya çıkan açıklar detaylara inildiğinde kurumdan kuruma farklılık gösterse de, büyük resme bakıldığında farklılıkların azaldığı ve birçok ortak noktanın bulunduğu gözlemlenmektedir. Bu ortak noktaların oluşmasına neden olan şey ise bulunan açıklara ait kök nedenlerdir. Kök nedenlerin kurumlar arasında genellenebilmesi ise istatistiksel bir durumdur.  Bu istatistiksel ve/veya ampirik olarak varılan sonucun altında yatan nedenler ise ayrı bir araştırma konusu olabilir.

Kök nedenler bir açığın var olma sebeplerini özetlemeye, açığın varlığını özet bir sebep üstünde toplamaya yarayan faktörlerdir. Bir açığın büyük resimde bir tane kök nedeni olabileceği gibi, detaylarda farklı yaklaşımlarla irdelendiğinde açık için birden fazla kök neden bulabilmek de mümkündür.  Bu yüzden kök nedenler seçilirken genelleme yapmak yerinde olmayacaktır.

Örnek vermek gerekirse, bir açığa ait kök neden eğer güncelleştirme yönetimi kaynaklı eksiklik ise, bu kök neden bir üst kümede kurumsal güvenlik kültürünün oluşmaması kaynaklı olarak da değerlendirilebilir. Böyle durumlarda alt küme sayısının azaldığı noktada olan ve sorunun çözümüne en yakın olan neden, kök neden olarak seçilir. Bir sistemde çalışan üçüncü parti bir uygulamada güvenli kodlama kriterlerinin uygulanmaması nedeniyle çıkmış bir uzaktan kod çalıştırma açığı için birçok neden öne sürülebilir. Ancak, açığın kurum bünyesinde barınma nedeni güncelleştirme politikası eksikliği ve açığın en kolay çözümünün güncelleştirme yapılması olduğu göz önünde bulundurulduğunda, bu açığa ait kök nedeni güncelleştirme politikası eksikliği olarak tanımlamak yerinde olacaktır. Öte yandan, açığı oluşturan nedenlerden biri olan güvenli kodlama yapılmaması nedenini kök neden olarak belirtmek, kurum yerine bu uygulamayı tasarlayan üçüncü parti yazılım firmasının işine yarayacak bir kök neden belirtmek olur. Bu da gösterir ki kök nedenlerde durumlara bağlı bir değişkenlik söz konusudur.

Burada anlatılmış olan bakış açısı kurumlara yapılmış olan denetimlerin sonuçlarının genellenerek yorumlanmasıyla ortaya çıkan bakış açısı olacaktır. Kök nedenler, kuruma yapılan bir denetimin bakış açısıyla ve büyük resme bakıldığında yoğun olarak görülen açıkların yorumlanmasıyla elde edilmiştir. Kullanılan veri tabanında Türkiye’de çok çeşitli alanlarda hizmet göstermiş şirketlerin denetim raporlarının sonuçları yer almaktadır ve bu yazı için 10 yıllık örnekleme süresi baz alınmıştır.

Yapılan araştırma sonucunda, kurumlara yapılan güvenlik denetimlerinde 10 adet kök nedene sık olarak rastlanmıştır. Bunlar şu şekildedir:

1. Güncelleştirme Eksiklikleri

2. Varsayılan/Zayıf Parola ile veya Parolasız Kullanılan Ağ Öğeleri

3. Oturum Açma Sistemlerinin Tasarımı

4. Etki Alanı (Domain) Politikalarının Yetersizliği

5. Konfigürasyon Yetersizlikleri

6. Anti Virüs Yönetimi Eksiklikleri

7. Uygulamalardaki  Tasarım ve Kodlama Eksiklikleri

8. Güvenlik Cihazlarının Yönetimindeki Yetersizlikler

9. Ağ Tasarımındaki Eksiklikler

10. Kurum Güvenlik Kültürü

Yazının devamında bu kök nedenler açıklanarak, örnek açıklarla beraber irdelenecektir.

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.