Bilgisayar Ağlarında Saldırı ve Savunma kitabının yazarı Gökhan USTA'nın kaleminden Güvenlik Nedir



Güvenlik Nedir ve Güvenlik Üzerine Mülahazalar
Güvenlik üzerine düşünmeye başlarken sorulması gereken ilk ve en doğru soru güvenlik nedir sorusudur.

Bir saniye durun ve düşünün ve kendi kendinize güvenliğin ne olduğunun tanımını yapmaya çalışın. Aslında güvenliğin ne olduğu ile alakalı bir bilginizin olmadığını fark edeceksiniz. Evet, Türkçe de güven kelimesini ” güvende olmak” “güvenilir olmak” “çevre güvenliği almak ” gibi kalıplar içerisinde kullanıyoruz ve bunların anlamını biliyoruz. Fakat güvenlik nedir? Sorusunun tam bir cevabına sahip değiliz. Şimdi güvenlik teriminin tanımını yapacağız ve tanımından yola çıkarak onu anlamaya çalışacağız. Fakat bundan önce söylemek istediğim bazı şeyler var.

Değerli arkadaşlar. Bize öğretilen en büyük yanlışlardan biri okuduğumuz bir terim veya tanımı ilk okumada tamimiyle anlayabileceğimiz veya anlamamız gerektiğidir. Bir terimi o konu ile alakası olmayan bir kişinin ilk okumada anlaması neredeyse imkânsızdır. Bunun nedenlerine aşağıda değineceğim.

Diğer taraftan bir konuda uzmanlaşabilmenin en önemli adımı o konuya ait ana terimlerin anlamlarını yani terminolojiyi hakkı ile bilmektir.

Bu nedenle öncelikle güvenliğin tanımını bilmek çok önemlidir. Güvenliğin ne olduğuna dair bir tanıma sahip olmayan bir güvenlikçi (bilgisayar ağlarında güvenlik ile uğraşan personel.)  güvenliği sağlama faaliyetlerinde üretken olamaz.

Şimdi bu ne demek?

Dilerseniz size daha aşina olduğumuz ve daha kolay empati yapabileceğimiz bir meslek üzerinden bu meseleyi anlatayım.

Eğitimin tanımını bilmeyen bir öğretmen eğitim faaliyetlerinde üretken olamaz.

Şimdi bu ne demek?

Öğretmen derse girebilir. Öğrencilere bir konuyu anlatabilir. Çocuklar bir şeyler de öğrenebilir hatta bazı öğrenciler veya veliler öğretmeni başarılı bile bulabilir. Fakat eğitimin tanımını bilmeyen ve belirli aralıklarla bunun üzerine düşünerek yaptığı faaliyetleri değerlendirmeyen öğretmen ancak gördüğünün tekrarını yapmaktan öteye gidemez.

Öğretmen ilkokul sıralarından üniversiteye geçerken hayatında gördüğü eğitim faaliyetlerini bire bir kopyalayarak veya kendisine gösterilenleri tekrar ederek öğretmenlik yapmaktadır. Ben buna copy paste cilik (kopyala yapıştırıcılık) diyorum. Aslında bu durumu bütün meslek dallarına genişletebilirsiniz. Ve kopyala yapıştırıcılık ülkemizde çok yaygın bir hastalıktır.

Zaman içerisinde çocuklar değişir, müfredat değişir, konular değişir. Fakat eğitimin tanımını yapamayan öğretmene eğer birisi bire bir yeni yapıyı göstermemişse, onun değişmesine imkân yoktur. Eğitim tanımına sahip olmayan bir öğretmen eğitim üzerine hiç bir şey düşünemez ve üretemez.

Şimdi eğitimin tanımının ne olduğuna bakalım ve ne demek istediğimi açıklayayım.

Eğitim “öğrencide kalıcı davranış değişikliği oluşturma sürecidir.” sadece eğitim hakkında bu kadar bile bilgisi olan öğretmen sınıfta kendine şu soruyu sorabilir. Bu konunun veya ünitenin sonunda öğrencilerde nasıl bir davranış değişikliği gözlemlemeliyim.  Veya bu davranış değişikliklerinin sınıf ortamında nasıl gözlemleye bilir veya ölçebilirim. Veya öğretmen bir tık daha ileri gidebilir. “Biyoloji de her konuya ait davranış değişikliği gözlemlenebilir mi” sorusunu sorup bu konu üzerine akademik bir çalışma yapabilir.  Çocukların profilline göre aktiviteler oluşturarak çocuklarda en etkili davranış değişikliğini oluşturacak yöntemleri uygulayabilir.

Bir terimi bilmek, biz dede değişikliğe neden oldu. Bizde artık ne olacak bu eğitimin hali demektense,

Hocam bizim oğlan 3. sınıfın sonunda hangi davranışları gösterebiliyor olmalı diyebiliriz.

Veya daha somut bir örnek verelim

Kendince doğru bir sandalye tanımına sahip olmayan bir sandalye üreticisi sandalye üretim faaliyetlerinde üretken olmaz.

Şimdi bu ne demek.

Tabi ki sandalye üretebilir. Hatta ürettiği sandalyeleri seve de bilirsiniz. Fakat ürettiği sandalye muhakkak bir tasarımın taklididir. Sandalye tanımının sandalye üretimine birebir etkisi vardır.

Şöyle düşünelim bir sandalyeci sandalyenin tanımını “insanların konforlu bir şekilde oturmasını sağlayan araç” olarak tanımlasın. Bir diğer sandalyecide sandalyenin tanımını “insanların oturmak için kullandıkları bir mobilya ” olarak tanımlasın.  Sandalye yi araç olarak tanımlayan üretici ile mobilya olarak tanımlayan üreticinin tasarımları arasında büyük farklılıklar görülür.

Birde öyle sandalye üreticileri vardır ki. Onların tasarladığı sandalyeyi gördüğünüzde şaşırır ve hayretler içerisinde kalırsınız. Ve dersiniz ki, “ben bu sandalyeyi görene kadar böyle bir sandalye olabileceğini aklımın ucuna getirememiştim. ”

İşte bu derecede üretken bir sandalye üreticisine sorduğunuzda size çok farklı bir sandalye tanımı yapacaktır.

Ve bu sandalyecinin yaptığı tanımı duyduğunuzda hemen anlayabilmeniz beklenemez. Size zaman kazandırabilir. Bir ustanın 30 yılda geldiği yolu size 20 yıl kısaltabilir. Ama tanımı anlayabilmek ve o ölçüde üretken olabilmek için daha 10 yılınız vardır.

İşte burası önemli, aslında basit bir tanım bile olsa o tanımı yapan o konuya ait bir dönemin en üretken kişisidir. Ve hemen anlayabilmeniz imkânsızdır.

Şimdi konumuza geri dönelim. Güvenlik nedir bilmeyen bir güvenlik uzmanı güvenlik meseleleri üzerinde üretken olamaz. Demiştik yukarıdaki örneklerde bir meslek dalında üretkenliğin ne kadar önemli olduğu ve mesleğe ait ana tanım ile ne kadar bağıntılı olduğu anlatılmaya çalışıldı.

Şimdi güvenlik nedir tanımını inceleyelim.

Güvenlik Nedir?

Güvenlik İç ve dış tehditlere karşı korunabilme yeteneği ve kapasitedir.  Bu tarz terimleri ilk duyduğunuzda hemen anlamaya çalışmayın. Unutmayın ki bu tanım da kendi konusunda uzman bir guru (ne demekse:)) tarafından yapılmıştı. Yukarıdaki güvenlik tanımı göreceli olarak kısa bir tanımdır. Daha uzun bir güvenlik tanımı da olabilirdi. Böyle tanımlara şöyle yaklaşmanızı tavsiye ederim. Önce başlığı daha sonra paragrafın son kısmını okuyun. Yani güvenlik en basit haliyle korunabilme yeteneği ve kapasitesidir, Eğitim bir süreçtir veya sandalye bir araçtır gibi.  Terim’in geriye kalan kısımlarını anlayabilmek için uğraşmayın.

O zaman şimdi güvenlik üzerine düşünmeye başlayabiliriz. Ve eğer güvenlik korunabilme kabiliyeti ve kapasitesi ise o zaman bir güvenlik sorumlusunun kendisine sorması gereken en önemli soru mevcut yeteneklerinin ve bu yetenekleri uygulayabilme kapasitesinin ne olduğudur.

O zaman cevabını bulmamız gereken yeni bir soru aklımıza geliyor.

Bir ağ güvenlikçisinin ne gibi yetenekleri olmalı veya olabilir?

1-Bilgi toplayabilme yeteneği
Bir güvenlikçinin en önemli yeteneği sistemleri üzerinden bilgi toplayabilmesidir. Bu konuya bir ulusal güvenlik meselesi gözü ile bakabilirsiniz. Bir ülke güvenliğinde istihbarat örgütlerinin önemini düşünün. Bir ülkeye ait tüm güvenlik konsepti istihbarat örgütünün ortaya koyduğu verilere göre biçimlendirilir.

Peki bir network de bir güvenlikçiye bilgi toplama kabiliyeti verebilecek sistemler ve cihazlar nelerdir.

Sunucu sistemlerinden gelen syslog bilgilerini analiz eden syslog log toplama ve analiz sunucuları ve SIEM
Nagios, MRTG gibi SNMP ile veri toplayan veri hattı ve sistem sunucusu durumu monitör araçları
Uygulama seviyesinde trafiği kontrol edebilen application firewall raporları
Kullanıcı kimlik doğrulama ve yetkilendirme çözümlerinin sunduğu log kayıtları (Active Directory, NAC kayıtları)
Open flow, Net flow gibi network cihazları üzerinden akan flowların bilgilerini tutan bize aktaran flow analiz logları
IDS ve IPS raporları
Sistem üzerinde çeşitli noktalara konumlandırılan sensör sistemler. Örneğin broadcast trafiğini izleyen capture programları.
Virüs tarama programlarının sunduğu loglar.

2-Gözlemleyebilme yeteneği
Bir güvenlikçinin bir diğer önemli kabiliyeti ise gözlemleyebilmektir. Bir bilgisayar ağında gözlemleyemediğiniz bir trafik var ise o zaman o trafik sizin kontrolünüz dışında akıyordur. Nereye bakacağınızı öğrenmeden önce istediğiniz yere bakabilme yeteneğine sahip olmanız gerekir. Bir saldırıya karşı tedbir geliştirememiş olmak bir zafiyetken o saldırıyı tespit bile edememek farkına varamamak çok daha büyük bir zafiyettir. Bazen rasgele bakmak bile sonuç doğurabilir. Buradaki gözlemlemek akan paketlerin veri kısmının değil de katman 7 başlığına kadar olan kısmının incelenebilmesidir. Paket in veri kısmı kişisel verilerin korunmasına tabi olup yasal ve ahlaki engeller bulunmaktadır.

Burada dikkat edilmesi ve üzerine düşünülmesi gereken konu bilgi toplayabilme ile gözlemleyebilme yeteneklerinin bir birinden farklı olduğudur. Bilgileri topluyor olabilirsiniz fakat topladığınız bilgiyi anlamlı bir şekilde takip edemiyorsanız. Topladığınız bilgi etkin bir şekilde değerlendirilemiyor demektir. Bu hali ile topladığınız bilgiler sizin için ancak olaylar olup bittikten sonra, olay hakkında delil sunacak kaynaklar olabilirler.

Bu yetenek bilgi toplayabilme yeteneğinden çok daha zor geliştirilebilen bir yetenektir. Toplanan bilgilerin gözlemlenebilmesinin önünde birçok engel vardır.

Toplanan bilgilerin gözlemlenebilmesinin önündeki en büyük engel. Bir bilişim ağında bilgi toplama sistemleri üzerinden muazzam ölçüde bilgilendirme verisi üretilmesidir.

Bu verilerin ayıklanması, sınıflandırılması tablo grafik gibi göstergenlere dönüştürülmesi ve anlaşılır şekilde ekranlara yansıtılması veya mail, alarm, gibi uyarganlar oluşturulması uzun ve zahmetli bir süreçtir.

Burada cevabi bulunması gereken önemli bir soru daha vardır. Kim hangi bilgileri takip edecek ve güvenlikçiler hangi bilgileri takip etmeli? Her bilgiyi güvenlik ile sorumlu kişilerin takip etmesi mümkün değildir.

3- Engelleyebilme yeteneği

Bir diğer önemli yetenek engelleyebilmektir. Peki size engelleyebilme kabiliyetini hangi araçlar sağlar.

Ateş duvarı (Firewall)
IPS cihazı
Mail Gateway
Ethernet anahtar cihazlar(switch)
Sunuculara ve kullanıcı sistemlere kurulan ajan programlar
Örn: Antivirüs programı, NAC ajanı, firewall programı gibi programlar.

Active Directory gibi domain çözümleri
Bir güvenlikçi yukarıdaki yetenekleri ne ölçüde sağlayabildiğini kendine sormalıdır. Eğer yukarıdaki bahsedilen yeteneklerde bir eksiklik var ise orada bir güvenlik zafiyeti var demektir.

Biz yukarıda güvenlik konusuna sadece giriş yaptık. Fakat bilinmelidir ki güvenlik üzerine uzun uzun düşünülmesi gereken önemli bir meseledir.

Az önce sadece güvenlik teriminin anlamını hakkıyla bilmenin sizi ve düşünme tarzınızı nasıl değiştirdiğini anlatmaya çalıştım. Bir konuda uzman olmanın şartlarından ilki o konuya ait terminolojiye (terimlerin anlamlarını içeren bilgi dağarcığı) hâkim olmaktır. Bütün meslek dallarının bir terminolojisi vardır. Öğleki terminoloji bir meslek dalının doğmasını sağlayan o meslek dalına ait kimselerin o mesleğe ait konular üzerine hızlı bir şekilde konuşup anlaşabilmelerini sağlayan bir araçtır. Sizde bilgisayar güvenliği dünyası ile ilgileniyor ve uzman olmak istiyorsanız terimleri hakkıyla öğrenmeli ve bu terimler üzerine konuşabilmelisiniz.

Güvenlik üzerine çalışmaya ve düşünmeye başladığınızda karşınıza;

Sürdürülebilir ve yönetilebilir güvenlik yaklaşımı nasıl sağlanır?

Doğru güvenlik bakış açısı nasıl geliştirilir?

Güvenlik üzerine çalışan personelde iş bölümü gibi daha özel sorular karşınıza çıkacaktır.

Kaynak: http://www.bilgidairesi.com/2018/10/16/guvenlik-nedir-ve-guvenlik-uzerine/




Bu Habere Yorum Yap