2000’li yıllarla birlikte ülkelerin gündemine giren siber güvenlik konusunun son yıllarda somut tehlike haline dönüşmesiyle birlikte konuya önem veren ülkeler tehlikeyle başa çıkabilmek için çeşitli yöntemler denemektedirler.

Bu yöntemlerden biri de siber güvenlik tatbikatlardır. Siber tatbikatlar geçmişi çok olmadığı için henüz bir standarta oturmamış, her ülke tarafından bağımsız olarak gerçekleştirilmektedir(2010 yılında Amerika ve 12 ülkenin ortak katılımıyla ilk kıtalararası/uluslararası siber güvenlik tatbiktı gerçekleştirildi).

Bazı ülkeler uzun yıllardır düzenli siber tatbikat gerçekleştirirken(Taiwan-2002) bazı ülkeler de 2006-2007 yılları arasında siber tatbikat programlarına başlamıştır.

Türkiye, Tubitak-UEKAE ve BTK öncülüğünde ilk siber güvenlik tatbikatını 2008 yılında 8 kurumla gerçekleştirmiştir.

İkinci siber güvenlik tatbikatı 2010 yılı Ekim ayında gerçekleştirilecek şekilde duyurusu yapıldığı halde çeşitli nedenlerden dolayı 2011 yılı Ocak ayına ertelendi.

Siber güvenlik tatbikatlarında amaç?

TUBITAK-UEKAE’a göre siber güvenlik tatbikatlarındaki amaç aşağıdaki gibidir:

Ülkemizde bilgi güvenliği konusunda idari, teknik ve hukuki kapasitenin geliştirilmesine, kurumlar arasında bilgi ve tecrübe paylaşımına ve farkındalık oluşumuna önemli katkılar sağlaması ve kurumların bilgi sistemi olaylarına müdahale yeteneğinin tespit edilmesi.

Meydaya çıkan haberlerden edindiğimiz bilgilere göre tatbikat planında göze çarpan en temel eksiklik siber tatbikatın TUBTAK(UEKAE)-BTK özelinde gerçekleştiriliyor olması. Adına ulusal denilen bir programda Türkiye’de her firmadan konusunda uzman kişilerin katılması daha faydalı bir tatbikat olmasını sağlayacaktır.

Siber tatbikat konusunda tecrübeli ülkelerin programı incelendiğinde yüzlerce(bazı ülkelerde binlerce) kurumdan bilgi güvenliği uzmanlarının davet edildiğini görmekteyiz.

Her ne kadar içerik ve yöntem olarak bilgi güvenliği uzmanları tarafından sert bir biçimde eleştirilse de Türkiye’nin bu konuda attığı bu ilk adımlar önemlidir. Zamanla daha ileri seviye ve olgun siber tatbikat programları yapılacağına inanıyorum.

Aşağıda tatbikatın uygulama ve sonuç değerlendirme süreçlerinin daha faydalı olması için çeşitli öneriler bulunmaktadır:

Siber tatbikatlarda en önemli madde kurumların basit saldırılar yerine gerçek hayatta karşılarına çıkabilecek kompleks saldırıları gerçekleştirmeye ikna edilmelidir. Zira gerçek saldırılarsa kesinlikle zaman, mekan ve hedef gözetilmez. Tatbikatın gerçeğe yakın olması demek sonuçlarının daha verimli olması anlamına gelir.

Siber tatbikatta neler gerçekleştirilmeli?

• Kurumlar hakkında açık istihbarat toplama yöntemleriyle bilgi toplama senaryoları
• Kurum ağ altyapısı keşif çalışmaları
• Kurum güvenlik sistemlerini atlatma saldırıları
  • Sınır güvenliği bileşenlerinden ilki olan router(yönlendirici) güvenliği testleri
  • İç ağ kullanıcılarının güvenlik duvarını atlatma senaryoları
  • Dışardan gelecek saldırganların güvenlik duvarını atlatma senaryoları
  • IPS cihazlarını atlatma senaryoları
  • Anonim ağlardan saldırı düzenleme ve kurum gözlemcilerinin aksiyonlarının izlenmesi
• DNS servisine yönelik saldırı senaryoları
• Sahte IP adreslerinden yapılan saldırıların kurum güvenlik sistemleri tarafından algılanıp algılanmadığı
  • Örnek:A kurumundan geliyormuş gibi B kurumuna bir saldırı gözüküyorsa bu saldırının gerçekten A’dan gelip gelmediğinin incelenmesi
• Bilgi sızdırma denemeleri //Kurum verileri internet üzerinden elde edilebiliyor mu?
• Güncel güvenlik açıklıklarına ait exploit denemeleri
• Özellikle servis dışı bırakma saldırıları(DDoS) mutlaka her kurum için mesai saatleri dışında denenmelidir.
  • DDoS saldırılarında sadece klasik flood saldırıları değil, günümüzde sık kullanılan yöntemler de denenmelidir.
  • Herhangi bir ülkeden geliyormuş gibi DDoS saldırısı gerçekleştirip alınması gereken aksiyonların tartışılması(Ülke ip bloklarının engellemesinin avantaj ve dezavantajları) senaryoları
• Son kullanıcıya yönelik hazırlanmış testler(phishing) gerçekleştirilerek kullanıcı bilinç seviyesinin ölçülmesi
  • Son kullanıcılara özel hazırlanmış çeşitli web sayfaları, e-postalar gönderek(Antivirüs, İçerik filtreleme ve antispam sistemlerinden geçip geçmediği kontrol edilmeli)
  • Kurumların en zayıf halkası olan alan adına yönelik saldırı senaryoları ve olası sonuçları
• Daha önce çeşitli ülke(Estonya, İsrail, Amerika, Türkiye, Gürcistan, İran) ve şirketlere(Google, adobe vs) gerçekleştirilmiş siber saldırıların sebep ve sonuçlarının incelenmesi
• Siber tatbikata katılanlara hızlandırılmış “siber tehditler, sebepleri ve sonuçları” konulu gerçek hayattan derlenmiş olayları içeren eğitim verilmesi.
• Şirketlerde kurulacak temel CSIRT yapısının faydalarının uygulamalı olarak gösterilmesi
• GSM sistemleri kullanılarak gerçekleştirilecek saldırı senaryoları
• 3G altyapısı kullanılarak gerçekleştirilecek saldırı senaryoları
• VOIP altyapılarına yönelik saldırı senaryoları ve sonuçlarının incelenmesi
• Her kurumun gerçek sistemler yanında bir adet honeypot tarzı sistem kurması ve testlerde bu sistemi de dahil etmesi tatbikatın hem işleyiş hem de sonuçları açısından daha verimli olmasını sağlayacaktır. Zira tatbikattaki ana amaçlardan birisi kurum çalışanlarının saldırı analiz yeteneğinin ölçülmesi ve geliştirilmesidir.

Son olarak da medyanın sağlıklı bir şekilde bilgilendirilmesi ve sürece dahil edilmesi önem taşımaktadır. Medya doğru ağızlar tarafından bilgilendirilmediği müddetce konu hakkında bilgi sahibi olmayan kişiler tarafından halkın yanlış bilgilendirilmesine aracı olmaktadır

The post Ulusal Siber Güvenlik Tatbikatı Nasıl Olmalı? first appeared on Complexity is the enemy of Security.