Bireysel tehditler yerini kurumsal tehditlere bırakıyor
Günümüzde güvenlik, artık bireysel faaliyet olmaktan çıktı, kurumsal bir boyut kazandı.
Siber güvenlik konusunda son dönemde yapılan saldırıların çeşitleri ve amaçları oldukça farklılaştı dolayısıyla kurumsal bir boyut kazandı.
Oldukça profesyonel olan saldırganların özellikle bulut bilişim teknolojileri içerisinde kullanılan kaynaklar ve servislere ilgi gösterdiklerini belirten 4S Ürün Teknolojileri Danışmanı Mehmet Özpolat, “O nedenle veri merkezleri içerisinde kullanılan sanal kaynakların yönetimi ayrıca önemli hale gelmiştir. Yine ülkemizde ve dünyada son yıllarda “Bilgiye erişimi durdurma/aksatma” (Ddos v.b.) ve maddi çıkar sağlama amaçlı gizlilik ihlali (banka ve kredi kartı dolandırıcılığı) gibi saldırılar popüler saldırılar arasında sayılabilir. Zamanla saldırı tipleri ve amaçları değişkenlik gösterebilmektedir. Öyle ki artık sayısal sistemlerle yönetilen enerji, savunma, eğitim, sağlık vb. gibi alanlara yönelik bilgi çalma ya da hizmet aksatma türü uluslararası saldırılar olabileceği unutulmamalıdır. Ağ yönetimi teknolojilerinin bu unsurları göz önünde bulundurması gerekmektedir” dedi.
Ağ yönetiminden kaynaklanan güvenlik risklerinin, daha çok, kullanılan güvensiz ağ yönetim protokolleri ve varsayılan parametrelerin değiştirilmemesinden kaynaklandığını gözlemlediklerini kaydeden Biznet Bilişim Kurucu Ortak ve Baş Danışmanı Onur Arıkan, “Bu yüzden ağ yönetim süreçlerini oluşturulurken, kullanılacak olan protokolün, yönetilen sistemlerde açılacak olan yönetim portlarının, sistemleri yapılandıracak yönetici hesaplarının dikkatle seçilmesi gerekiyor. İçerideki tehditlere baktığımızda ise personelin güvenlik konusundaki eğitimi ve yetkisi gündeme geliyor. Öncelikle kurumsal güvenlik politikası çok önemli. Bu şu demek, hangi personelin, hangi verilere ulaşabileceği iyi belirlenmeli. Tüm güvenlik uygulamaları ve yetkili personel tanımlanmalı. Ayrıca acil durum çizelgeleri hazırlanmalı. Ağ yapılanmasına üzerinde çalışmasını sürdüren tüm personel eğitilerek, güvenlik kuralları oluşturulmalı, örneğin şifreleri ortalıkta bırakılmamalı, daha önemli verilerin ulaşımında parolalar ve özel uygulamalar gündeme alınmalı” dedi.
Siber güvenlik açısından bakıldığında kişisel faktörlerin kurumsal risk faktörlerinden daha önemli olduğunun ortaya çıktığını ifade eden HP Türkiye Ağ Çözümleri Ülke Müdürü Ersin Uyar, “Mobil internet, kablosuz erişim ve bulut bilişim, internetteki anonim kullanıcıların sayısını artırdı. Kişisel cihazlarla ofise uzaktan erişim ise yepyeni bir risk faktörü doğurdu. Kurumsal veri güvenliğini sağlamak için mobil cihazların kötü amaçlı yazılımlara karşı korunması ve ağdaki kullanıcıları istismar eden saldırılara karşı önlem alınması gerekiyor. Bu yıl sadece tabletler ve akıllı telefonların değil, kahve makinelerinin bile internete girmesini sağlayacak olan IPv6 standardına geçildiğinde; kendini otomatik olarak yapılandıran SDN çözümleri büyük önem kazanacak. Veri güvenliği için sıkı kontrol ihtiyacını kaldıran “akıllı” SDN çözümleri kurumsal ağ yönetimine şeffaflık kazandırarak veri güvenliği ve iş sürekliliğini artıracak” şeklinde konuştu.
Kar amaçlı tehditler
Günümüzde karşımıza çıkan tehditlerin büyük bir çoğunluğunun kâr amaçlı oluşturulduğunu belirten Itway VAD Türkiye Ürün Müdürü Korman Akman, “Kişisel tehditlerden ziyade kurumsal tehditlerin daha ön planda olduğunu söyleyebiliriz. Ortaya çıkan tehditleri gözlemlediğimiz zaman, kurumsal ve kişisel tehditlere ek olarak devlet kurumlarını hedef alan saldırılar/tehditler de son zamanlarda fazlasıyla ön plana çıkmaktadır. Özellikle devlet destekli olduğu düşünülen siber saldırı/tehdit türleri, devleti ve devlet kurumlarını hedef almaya devam etmektedir. İlerleyen süreç içerisinde de yine devlet kurumları ideolojik ve politik konular nedeniyle hedef olmaya devam edecek. Dolayısıyla, ağ yönetiminde kişisel ve kurumsal tehditler ile ilgili önlem almaya ek olarak, mutlaka devlet nezdinde de farkındalık oluşturmak ve farklı önlemler almak gerekmektedir” dedi.
Dünyada sosyal ağların gelişimiyle birlikte bulut bilişim ve ağ sistemlerini hedefleyen yeni tehditlerin arttığına dikkat çeken Kaspersky Lab Pazarlama Müdürü Pınar Uylum Terzioğlu, “Bu nedenle işletmelerin, artık ağ yönetimine bakışının ve stratejilerinin değişmesi gerekiyor. Kişisel bilgilerinin önemli bir bölümü artık bulutta saklanıyor; üstelik çalışanlar ofis cihazlarından bu ağlara erişim sağlıyor. DropBox ve LinkedIn gibi büyük web hizmetlerindeki şifre sızıntıları, artık kurumların kurumsal ya da çalışan tehdidi gözetmeksizin ortak güvenlik çözümleri oluşturmaları gerektiğini ortaya serdi. Bu konu yakın gelecekte daha yüksek oranda gündeme gelecek” dedi. Kaspersky Lab tarafından yapılan bir diğer araştırma sonuçlarına göre dünyadaki şirketlerin dörtte üçü, 2013’te daha da fazla çevrimiçi cihazla yönetileceğini kaydeden Terzioğlu, sözlerini “Mobil personel sayısının artacağı konusunda ise hiç şüphe yok. Dolayısıyla mobil cihazların da geleneksel bilgisayarlarla aynı güvenlik politikaları ve çözümleri ile korunması gerekiyor. Bununla birlikte, Türkiye’deki şirketlerin yalnızca yüzde 32’sinin mobil cihazlara yönelik ayrı güvenlik politikaları bulunuyor, daha da önemlisi mobil veri şifreleme ise bundan çok daha az şirkette kullanılıyor. Bu önlemleri uygulayan şirketler bunları görece etkisiz olarak değerlendiriyor. İşletmelerin yüzde 36’sının (dünyada yüzde 32) mobil çalışmayı benimsemenin fazlasıyla riskli olduğunu düşünmesi ise şaşırtıcı değil” şeklinde bitirdi.
İnternet Güvenliği İş ve Yönetim Danışmanı ve Bilgi Üniversitesi Bilişim Hukuku Öğretim Görevlisi Murat Göçe ise bu konuda şunları söyledi:
“Her zaman ve her ortamda zincirin zayıf halkası insandır. Yazılım ve cihazların hata yapma oranı insanların kuralları delmek, merak, hata ve unutmak suretiyle yaptığı hataların yanında çok küçük kalmaktadır. Bu durumda hata kişiden başlayabilir ama tehdit hem kişiler hem de kurumlar için geçerlidir.”
Symantec Güneydoğu Avrupa ve Türkiye, Bölge Teknoloji Müdürü A. Burak Sadıç’a göre ise 2012 Nisan sonunda Symantec tarafından 17. sayısı yayınlanan İnternet Tehditleri Raporu’nda hedefli saldırılardaki devamlı yükseliş devam etmekle birlikte, 2010 senesine göre tekil tehditlerde yaklaşık yüzde 50 oranında bir artış yaşanmış bulunuyor.
Tesan İletişim Bilgi Güvenliği Ürünleri Yöneticisi Serdar Karaveli, konu hakkında şunları söyledi:
“Kurumsal tehditler artık daha ön plana çıkmaktadır. Artık tehditler sizin bilgisayarınızın içine girip veri çalmaktan öte bir noktaya taşındı. Kurumsal bir firmanın web sitesine ulaşılamamasını sağlamak (DDOS Atakları), şirketinin itibar kaybına uğraması ve iş kaybı gibi etkenler daha önemli rol oynamaya başladı.”
“Nokta hedefe saldırı yapılıyor”
Aslında, güvenliği kişisel veya kurumsal olarak ayırmak yerine bir bütün olarak düşünmek ve bu eksenin içine eklenebilecek tüm parametreleri eklemek gerektiğini ifade eden Trend Micro Akdeniz Ülkeleri Pazarlama Müdürü Sibel Yılmaz, “Bu eksenin içine mutlaka son kullanıcının dâhil edilmesi ve buna göre önlemler alınması gereklidir. Bir örnek vermek gerekirse; günümüzdeki hedefe odaklı saldırılarda hem donanım hem yazılım hem de kullanıcı hedef alınmaktadır. Son zamanlarda tehditlerin yapısına baktığımızda APT dediğimiz hedefli saldırılarla kurum çalışanlarının herhangi birindeki güvenlik zafiyetlerini kullanarak zararlı yazılımın orada belirli bir süre yaşayıp, uygun bir zamanda kurum içinde asıl hedeflenen noktaya saldırılar yapıldığı gözlenmektedir. Bu da ağ yönetiminde güvenliği bir bütün olarsak ele almanın önemini vurgulamaktadır. Trend Micro Deep Discovery ürünü ağ güvenlik durumunuzu aktif olarak görebilmenizi sağlayarak, olası hedefli saldırılara karşı raporlama sistemi ile güvenlik yapınıza ek bir katman sağlayabilmektedir” dedi.
Websense Bölge Direktörü Hüsamettin Başkaya ise bu konuda şunları söyledi:
“Bu konuyu kişisel veya kurumsal olarak ayırmak çok kolay olmamakla birlikte gün geçtikçe atakların daha hedef odaklı olduğunu görmekteyiz. Bu ataklar kurumsal bilgiyi hedef alan, sphare phishing gibi en zayıf halkaya yönelik, sosyal mühendislik teknikleri ile düzenlenmiş ataklardır. Kurumsal olmayan kullanıcıları daha çok kimlik hırsızlığı, sayısal dolandırıcılık veya zombi makine oluşturmak icin kullanıldığını görüyoruz. Yine öne çıkan diğer bir konu da klasik imza tabanlı güvenlik katmanlarının yetersiz kalması ve kişilere gerçek olmayan bir güvenlik hissi yaratarak daha büyük riskler oluşturması.”
İç ve dış tehditler
Konuyu iki boyutlu ele almak gerektiğinin altını çizen Eset Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu, “Dışarıdan gelebilecek tehditler ve içeriden oluşabilecek tehditler söz konusu. Dışarıdan yani ağın dışından gelebilecek tehditlere karşı korunmak amacıyla işleve uygun korunma programları en büyük yardımcı olacaktır. Kurum, yapısal özelikleri doğrultusunda böyle bir yazılımı, kullandığı sistem doğrultusunda uygulamaya geçirmeli” şeklinde konuştu.
En zayıf halka kullanıcılar
Günümüzde kişisel tehditlerin önemini arttığına değinen Infonet Kıdemli Bilgi Güvenliği Uzmanı Çağdaş Ulucan, “Çünkü burada en zayıf halka insan faktörü yani son kullanıcıdır. Gelişen teknoloji ile erişebilirlik yeteneği artan kullanıcılar haklayıcılar içinde motivasyon kaynağıdır. Bu konudaki güvenlik eğilimini yakalayan üreticiler ise rakiplerine göre avantajlı hale gelmişlerdir. Günümüzde ağ güvenliğinden bahsedebilmek için artık kullanıcının internet yönünde çıkan trafiğinin uygulama seviyesinde detaylı analiz edilebilmesi gerekmektedir, bu analiz yeteneği sadece kişisel bilgisayarlar için değil mobil cihazlar içinde desteklenmelidir” dedi.
Kişisel tehditler arka planda kaldı
Kişisel tehditlerin kurumsal tehditlerden daha fazla olduğunu kaydeden Prolink Sistem Mühendisi Sefer Kayar, “Kişisel cihazlar merkezi olarak kontrol edilmediği ve yönetilemediği için tehditlere karşı daha açık durumdadır. Merkezi bir yönetim ve raporlama kişisel cihazlar için yapılamadığı için takip edilmesi zordur. Dolayısıyla takip edemediğiniz bir yerden ne tür tehditlerin gelebileceğini bilemezsiniz” dedi.
Kurumsal tehditler büyük önem taşıyor
Teknoser Ağ Ve Güvenlik Çözümleri Departmanı Güvenlik Danışmanı Serhat Yediel, bu konu hakkında ise şunları söyledi:
“Buradaki en önemli nokta verilerin önemi. Kurumsal veriler kişisel verilere göre daha değerli olduğu için kurumsal tehditler daha büyük bir önem taşıyor. Ama insan faktörünün olduğu yerlerde güvenlik tehdidi mutlaka vardır ve var olmaya devam edecektir.”
