Ar-Ge'ye Dayanan Yüksek Nitelikli Bilgi Temelli Hizmetler
+90 312 442 89 39

Haberler

ENISA’nın 2013 yılı sonu Tehdit Manzarası (Threat Landscape) Raporu Yayınlandı

Avrupa Birliği Ağ ve Bilgi Güvenliği Ajansı (ENISA) tarafından düzenli olarak yayınlanan ve bilişim alanındaki mevcut ve yaklaşan en önemli tehditleri özetleyen Tehdit Manzarası raporunun Aralık 2013 sürümü yayınlandı.
Raporun özeti saldırı türlerindeki teknik düzeyin yükselmesi, (Çin-ABD örneğinde görüleceği gibi) devletlerin saldırı kabiliyeti kazanması, mobil cihazlarıdaki güvenlik eksiğinin endişe verici boyuta ulaşması ve iki yeni uygulama alanındaki (Big Data ile Nesnelerin Interneti) güvenlik sorunlarını 2013’ün dikkate değer olumsuz gelişmeleri olarak sıralamakta. Bununla birlikte bilinen bazı sanal suç ağlarının uluslar arası işbirliği sayesinde çökertilmesi, kolluk güçlerinin kabiliyetlerinin artması ve devletlerin kabiliyetlerinin tartışmaya açılmasını da olumlu gelişmeler olarak sıralamakta.
Raporun sıralaması ile en yüksek tehdit hala rastgele indirmelerden ve solucan/truva atı türü yazılımlardan kaynaklanıyor. Bununla birlikte, bu tehditlerin sorun yaratacağı alanların sadece kullanıcıların kişisel bilgisayarları olmadığını, sosyal ağ sitelerinden bulut bilişim alt yapılarına bir çok serviste ve mobil cihazlarda da bu tehditlerin geçerli olduğunu gözardı etmemek gerekli.
Raporda bulut bilişim, tehditlerin arttığı bir alan olarak değerlendirilmekte. Bulut üzerinde çalıştırılan alt yapının yeterli güvenlik önlemlerinin alınmaması sonucu, truva atı yazılımlar, kod enjeksiyonu, botnetlere dahil olma, kimlik hırsızlığı gibi bir çok tehditle karşılaşacağının altı çizilmekte. Bulut konusunda saptanan önemli bir sorun, bulut güvenliği ile ilgili güvenlik önlemlerinin saydam olmaması olarak ifade ediliyor. Dolayısı ile varlığından bahsedilen bir güvenlik önleminin aslında ne kadar etkili olduğunun kullanıcılar tarafından izlenemiyor olması sorunu ENISA’nın raporunda vurgulanmakta. ENISA raporunda bulut bilişim için en önemli tehditler listesinin başında bilgi sızıntısı, kod enjeksiyonu, kimlik hırsızlığı, solucanlar ve truva atları ile phishing yer almakta. ENISA raporu, şifrelemenin verinin saklandığı ortamdaki güvenliğini artırdığını, ancak bulut alt yapısının veri işleme platformu olarak kullanılması nedeni ile verinin şifresiz olarak işlendiği veya aktarıldığı durumların gözardı edilemeyeceğini de hatırlatmakta.
ENISA raporu bu konudaki standartlara fazla bir atıfta bulunamıyor, çünkü bulut bilişim güvenliği konusundaki de jure standart eksikliği devam ediyor. Bununla birlikte, Cloud Security Alliance‘ın çalışmalarına atıflar dikkat çekmekte. Dolayısı ile CSA’nın projelerinin (örneğin CCM) bu konudaki ihtiyacı ENISA raportörleri için de kısmen doldurabildiğini söylemek mümkün.
Öte yandan standartlar konusundaki eksiklik sadece bulut güvenliği için geçerli değil. Standartlara atıflar raporun tüm başlıklarında düşük düzeyde. ISO 27005’den riskin tanımlanması için bahsedilirken, ISO 27001’in kardeş standartları diyebileceğimiz ISO/IEC 13335-1:2004 ve ISO/IEC 15408-1:2009 raporun yöntemine dair tartışma içinde yer buluyor. Raporda ISO 27001’den ve bulut güvenliğine dair geliştirilmekte olan ISO 27017 ve ISO 27018’den ise hiç bahsedilmiyor.
Big Data ile Nesnelerin Interneti ise iki yeni sorunlu alan olarak listelenmekte.
  • Big Data bir çok kişi için kapalı devre çalışan veri analiz yazılımları gibi gözükmekle birlikte, kavramın esas gücü ağ üzerinden toplanan çeşitli verilerin birlikte analizi ile ortaya çıktığı düşünülmeli. Dolayısı ile Big Data girişimleri, çok kaynakla olan bağlantısı nedeni ile özellikle kötü niyetli yazılım içeren dosyaların yanlışlıkla indirilmesi, solucanlar ve truva atlarının bulaşması, phishing gibi, kişisel bilgisayarların muhatap olduğu tehditlerle de muhatap. Örneğin İnternet sitelerini gezerek veri toplayan ve analiz eden bir yazılım, iyi-kötü ayrımı yapmaksızın sayısız kaynaktan veri toplayacak ve bunları açmaya çalışacaktır. Dikkatli tasarlanmış bir sire bu tür yazılımların dikkatini çekerek, bir truva atını indirmelerine neden olabilir. Raporda, kişilerin profillenmesinin Big Data ile ilgili önemli bir endişe kaynağı olduğuna da dikkat çekiliyor. Geleceğe dair bir tehdit olarak ise Big Data alt yapılarını yanıltmaya ve/veya bazı faaliyetleri gizlemeye dönük önceden üretilmiş verinin İnternet’e bırakılması ile iş zekası sistemlerinin “beslenmesi” öngörülmekte. Çok basit bir örnek olarak bir kişi fiziki olarak bulunduğu mekana dair yanıltıcı bilgi vermek için önceden planlanmış bir biçimde GPS verisi içeren çeşitli kayıtlar, Foursquare gibi sitelere girişler, kamuya açık ortamlarda sohbet kayıtları, vb bilgiler üreterek, sanki başka bir mekandaki normal bir kişinin davranışını taklit edebilir. Big Data alt yapısı bu bilgileri işlediği zaman kişinin nerede bulunduğu konusunda yüksek güvenilirliği olan bir profil çıkartacaktır. Bu tür bir kabiliyerin bir kişinin sanal ortamdaki itibarını zedelemek için de kullanılabileceği gözardı edilmemelidir.
  • Nesnelerin İnterneti ise sadece sistemlerin saldırıya uğraması değil aynı zamanda çeşitli hizmet engelleme saldırıları ve veri hırsızlığının gerçekleşmesi için de uygun bir ortam sunuyor. Sensör ağlarında sensör uç noktalarının aşırı sade donanım, yazılım ve protokol tasarımları aynı zamanda sistemlerin zayıf noktasını da oluşturmakta. Bu zayıflıklar kullanılarak yanlış bilginin yerleştirilmesi ve yayınlanmasına kadar çok çeşitli saldırı senaryolarının gerçekleştirilmesi mümkün. ENISA raporuna göre bu alandaki en önemli tehditler solucanlar/truva atları, bilgi sızıntısı, kimlik hırsızlığı, phishing ve spam olarak öne çıkıyor. Raporda evlerdeki akıllı aygıt ağlarının genellikle çok düşük bir güvenlik düzeyine sahip olduğu ve bu aygıtlar üzerinden erişimin sağlanabileceği hatırlatılıyor. Örneğin wi-fi üzerinden veri aktarabilmesi için WPA2 parolaları yüklenmiş bir bahçe sulama, kapalı devre sinema, ses düzeni, vb ev otomasyon sisteminin zayıflığı kullanılarak bir evin kablosuz ağına sızmak ve bu sayede daha önemli verilerin trafiğine müdahale etmek mümkün olabilir. Raporda ayrıca bu tür sistemlerin ürettiği verinin izlenmesi sayesinde kişiler hakkında profillemenin de kolayca yapılabileceği ifade ediliyor. ENISA raporu daha çok ev otomasyonu risklerinden bahsetmekle birlikte fabrikalar, hastanaler, vb ortamlardaki otomasyon sistemlerinin de benzeri saldırılara açık olduğunu, dolayısı ile planlı bir saldırının öngörülmesi güç hasarlara yol açabileceği gözardı edilmemeli.

ENISA raporu, bu alanda yayınlanan tek rapor değil ama dikkat çekici eğilimleri özetlemekte başarılı olduğu kesin.

Comments are closed.