Bir güvenlik şirketinin çözüm literatüründe olmayan bir güvenlik riski yoktur. Fakat, pazarlamacıların heyecanlı yaklaşımlarına karşın, kurumsal bilgi teknolojileri unsurlarını tehdit eden ve sektörün yeni yeni ortaya çıkardığı bazı riskler mevcuttur.
Son zamanlarda yaşanan e-posta ile dolandırıcılık olaylarını ele alın mesela. Buradaki olay çok basittir: bir kullanıcıya bir e-posta gönderiliyor ve nereden gönderildiği konusunda yalan söyleniyor (bir bankadan gelmiş gibi), acil olarak hesaba girilmesi gerektiği söyleniyor, mesajın gövdesinde resmî gibi görünen bir web linki konuluyor ve buna tıklanılması isteniyor ve orijinalmiş gibi görünen bir web sitesine hesap detayları girildiğinde, saldırıyı yapanlar bu bilgileri çalmış oluyor. Bu örnekte çok az teknolojik püf noktası vardır.
Bunlardan birincisi, standart e-posta protokollerinden bir çoğu bir mesajın nereden geldiği konusunda kolayca yalan söylenebilmesine olanak sağlıyor. Bu bir programlama hatası değildir, fakat ağda sadece birkaç bilgisayarın birbirine bağlı olduğu ve bunların birbirine güvendiği zamanlarda yapılmış bir tasarım seçimidir.
İkinci sorun ise, ortalama bir kullanıcının, gerçekten bir bankanın sitesinde mi yoksa yalancı bir sitede mi olduğunu bilmemesidir. Uzun ve karmaşık bir URL gibi görünen bir adresle karşı karşıya kalınıyor. Bunlar bir güvenlik yaması ile kolayca çözülecek türden sorunlar değil çünkü konu, internetin ana mimarisi ile ilgili.
E-posta dolandırıcılığı gibi saldırılar, IT güvenliğinin üzerinde kafa yorduğu en önemli problemi gündeme taşıyor: kullanıcı güveni.
Sorun Bilinci
Doğal olarak, eğer biri, bir kimsenin teknoloji kullanarak kendisine yalan söyleyebileceğini düşünmüyorsa, bu teknoloji kendisine güvenilen bir teknolojidir. Teknoloji ile kolayca kötü şeyler yapılabileceği konusunda bilinçli değilseniz – veya böyle bir şeyin mümkün olduğunu dahi bilmiyorsanız – bu durumda eğer bankanızdan acil bir mesaj alırsanız hesabınıza giriş yapmak gayet mantıklı gelir.
Bu noktada sorun teknolojiyi aşıyor
Şirketler içinde güvenlik bilinci düşük seviyelerde olabilir ve saldırganlar bunu biliyor ve kullanıyorlar. Mesela birisi gerçekten bir organizasyonun teknolojik altyapısına sızmak isterse, ilk önce orada çalışan bir kimseyi telefon ile arayıp BT departmanından arıyormuş gibi yapıp basitçe o çalışanın kullanıcı adı ve şifresini teyit etmesini isteyebilir.
Eğer birileri bir şirketin ağına sızmak konusunda çok istekli ise, bir çalışanı takip ederek bina içine girebilir ve boş bir ofiste, monitörün üzerine yapıştırılmış post-it kağıdına yazılı kullanıcı adı ve şifreyi aramaya çalışabilir.
Bu gibi tehditleri göz önünde bulundurduğumuzda anlıyoruz ki, savaş alanı sadece ağ güvenliği ile sınırlı değil. Aslında ağ güvenliği, savunmanın sadece ilk katmanı olarak düşünülmelidir. Bir saldırganın, sizin değerlerinize ulaşmasını zorlaştıran bir bariyer gibi, fakat sadece buna bağlı kalınamaz.
Derinlemesine bir savunma hattı kurmak çok önemlidir (teknoloji, süreç ve eğitim). Ancak bu şekilde, saldırganları dışarıda ve şirket varlıklarını içeride tutacak bir mekanizma geliştirilebilinir.
Saldırganı dışarıda tutma düşüncesinin şimdiden modası geçti çünkü başarılı saldırıların büyük bir kısmı, ağ güvenliğinin savunma hattını zaten geçmiş olan şirket çalışanları tarafından gerçekleştiriliyor.
Bir kere sızdıktan sonra, saldırganın elinde geniş bir saldırı seçeneği oluyor ve bunların her birinin kendine özel hedef alacağı zayıf noktaları var.
Yazının devamı için Bilgi İşlem Güvenliğinin Sınırları – 2 başlığını tıklayınız.