Page 50 - bilgem-teknoloji-dergisi-5
P. 50
Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliğinde TÜBİTAK BİLGEM
sunuyor okurlarına. 2500’e yakın kullanıcı, bilgisayarlar ve ikna kabiliyetiniz ile “ben eksiklikler, bu araçların etkinliği Bilgi Güvenliği Alanında Ar-Ge Bu iki Ar-Ge faaliyetimize benzerlerini dokümanlarda yer alan içeriğin
100’den fazla yazara sahip sitede güncel de bu işi yapabiliyorum” dememeniz için konusunda ciddi soru işaretleri oluşturuyor. Çalışmaları eklemek amacıyla 2009 yılında yoğun bir anlamlandırılması ve gizlilik düzeyinin
bilgi güvenliği konularını ele alan teknik bir neden yok. Her bilgi sistemi, kendine özgü kurulum çalışma gerçekleştirdik. Araştırmalarımız, saptanmasına yönelik kullanılan
yazılar, bilgi güvenliği varlıklarının ve yapılandırması ile farklı karakteristiğe Bilişim Sistemleri Güvenliği Bölümü ülkemizde bilgi güvenliğinin sağlanması yöntemlerdeki önemli eksiklikler bizi bu
güvenliğinin sağlanmasını amaçlayan Son yıllarda bilişim sistemleri güvenlik sahiptir. Bu nedenle güvenlik testlerinde olarak geçtiğimiz on yılı aşkın sürede çok yolunda, üzerinde durulması gereken alanda çalışmaya teşvik etti.
kapsamlı kılavuz dokümanlar ciddiyet ve testlerine rağbetin artması, BDDK gibi farklı yöntemlerin kullanılması ve insan önemli bilgi birikimleri elde ettik. Gelecek onlarca konu olduğunu ortaya koydu.
özenle hazırlanıyor. Bilişim sistemlerinde bazı düzenleyici kurumların güvenlik zekâsının dahil edilmesi oldukça önemli. yıllara bu bilgi birikimimizi güncel bir Çalışmalarımızı belirli alanlarda Önemsediğimiz bir başka konu da açık
yeni ortaya çıkarılan güvenlik açıkları takip testlerini zorunlu kılması işin ehli olmayan Tabii ki bu tespit, otomatik araçların hiç şekilde taşıyabilmemiz için Ar-Ge yoğunlaştırabilmek için, potansiyel kaynak kodlu sistemler. Yine TÜBİTAK
edilerek önem düzeyi ve ülkemizdeki kişilerin iştahını kabarttı. Diğer taraftan, kullanılmaması anlamına da gelmiyor. çalışmalarımıza hız kesmeden devam konuları önceliklendirmeye çalıştık. BİLGEM tarafından desteklenen Pardus
yaygınlığına göre okuyucularına kurumların ihtiyaç duydukları güvenlik etmenin doğru olacağını düşünüyoruz. Sonuçta, beş ana konuda çalışmalara işletim sisteminin her geçen gün daha
ulaştırılıyor. testleri için hazırladıkları şartnamelerin Üçüncü kritik nokta ise raporlama. Ülkemizde TÜBİTAK BİLGEM ve benzeri başlayarak, yakın gelecekte somut çıktılar fazla ilgi görmesi, açık kaynak kodlu
işin niteliğini tarif edememesi kolay yoldan Özellikle kurumların en çok dert kurumlar pek çok Ar-Ge faaliyetine imza ortaya koymayı kendimize hedef seçtik. sistemlerin güvenliğinin sağlanması adına
Bugüne kadar 1000’e yakın içeriğe yer para kazanmak isteyenlerin ekmeğine yağ yakındıkları konuların başında, güvenlik atarak bu anlamda önemli kazanımlar elde bazı çalışmaların gerçekleştirilmesini
veren Ulusal Bilgi Güvenliği Kapısı’nda sürdü. Bu anlamda gerçekleştirmiş testi projeleri sonucunda üretilen ettiler. Bizim de hedefimiz, özellikle bilgi Birincisi, sanal ordular olarak da gerekli kıldı. Özellikle merkezi yönetim
5.000.000’u aşkın sayfa görüntülendi. oldukları güvenlik testi projelerinden raporların kurumları daha güvenli bir güvenliği alanında çözüm bekleyen nitelendirilen ‘botnet’ler. İhtiyaç ve güvenlik yönetimi konularında Pardus
Kurulduğundan bu yana hızla artan ilgiye verim alamayan, kendilerine hiçbir katma noktaya taşıma noktasındaki eksiklikleri sorunlara eğilmek. Bu nedenle işi sadece durumunda, yönetenleri tarafından bir projelerine önemli katkılarda bulunuyoruz.
layık olabilmek için aynı ciddiyetle değer sağlayamayan birçok kurumun geliyor. Raporlar test bulgularını ayrıntılı Ar-Ge yapmak olan personel istihdam hedefe saldırabilecek biçimde hazırolda
çalışmalarımıza devam etme niyetindeyiz. yetkilileriyle dertleşme imkânımız oldu. olarak ele alırken çözüme yönelik ediyor ve geniş olanaklar sağlamaya gayret bekleyen ‘botnet’ler, önümüzdeki yıllarda Kimlik yönetimine dayalı bir güvenlik
Ülkemizde bir benzeri olmadığını tavsiyeleri de içermeli. Hatta testler gösteriyoruz. gerçekleşeceği tahmin edilen siber sisteminin, kurumları pek çok bilgi
düşündüğümüz bu bilgi paylaşım Bu konuda kurumlara tavsiyemiz, sırasında kurum personeli ile ortak çalışma savaşların önemli bir enstrümanı olarak güvenliği tehdidi karşısında güçlü
platformunun dünyada da emsalleri ile kalitesinden şüphe ettikleri güvenlik testi yürüterek açıklıkların daha net anlaşılması İlk Ar-Ge çalışması olarak Milli Güvenlik görülüyor. Ülkemizde ‘botnet’lere karşı kılacağını düşünüyoruz. Bu nedenle, bu
yarışabilir olduğunu görmek bizi çok firmalarına bir ön test yapma zorunluluğu sağlanmalı. Kurumların almış oldukları Duvarı projesini gerçekleştirdik. Dağıtık alınan önlemlerin eksikliği ve alandaki çalışmalarımızı yoğunlaştırdık.
memnun ediyor. getirmeleri. Ayrıca, hazırlanmış örnek bir ek güvenlik önlemleri de göz önünde (distributed) yapıda çalışabilen, aynı anda uygulanabilecek önlemlerin de yetersiz Kurumsal uygulamalarda kimlik
Türkçe test sonuç raporu istemeleri. Bu bulundurularak risk değerleri gerçekçi bir onlarca noktanın tek merkezden olması bizi bu alanda çalışmalar yürütmeye doğrulama ve yetkilendirme gibi
şekilde hem testlerin kalitesini bir nebze biçimde belirlenmeli. yönetimine olanak sağlayan, yüksek itti. Amacımız özellikle ülkemizdeki kritik fonksiyonların ayrı sistemler üzerinden
olsun ölçme olanağına kavuşurlar hem de kapasiteli hatlarda üst düzey performans noktalar için ‘botnet’leri saptayan, gerçekleştirilmesi, kullanıcı hesaplarının
oluşan raporun bazı araçlar tarafından Kurumların Bilgi Güvenliğine gösteren bir ürün ile sonuçlanan bu proje faaliyetlerini engelleyen ve tespiti sırasında tekil olarak oluşturulması, uygulamalar
otomatik hazırlanan raporların bileşkesi Bakışları Nasıl Olmalı? ülkemiz adına önemli bir kazanım oldu. diğerlerini uyarabilen sistemler geliştirmek arasında tümleşik kimlik doğrulama ile
olmadığından emin olurlar. 200’den fazla kritik noktada çalışan Milli ve faaliyete geçirmek. geçişlerin gerçekleştirilebilmesi, İnsan
Ülkemizde bilgi sistemlerinin güvenlik Güvenlik Duvarı, ülkemizin farklı Kaynakları Bölümleri ile bütünleşerek
Konunun özüne gelecek olursak... Sağlıklı testlerine ilişkin, oturmaya başlayan bir Üzerinde çalışmalar gerçekleştirdiğimiz yetki verilmesi ve iptali işlemlerinin
bir güvenlik testi nasıl yapılmalı? Şu ana kültür var. Bu oldukça güzel bir gelişme. kurumlarında siber savunma kalkanı bir diğer alan ise zararlı yazılımlar. Son otomatize edilmesi gibi konularda
kadar gerçekleştirmiş olduğumuz güvenlik Fakat bilgi güvenliğinin kurumsal bir olarak görev yapıyor. Güvenlik ürünleri yıllarda bilişim sistemlerine gerçekleştirilen kurumların gereksinimlerine göre projeler
testleri başarının üç sihirli kelimede politika olarak ele alınmadığı ortamlarda alanında dış ülkelere olan bağımlılığımızı saldırılar irdelendiğinde zararlı gerçekleştirmekteyiz.
azaltmak adına da güzel bir örnek
Bilişim Sistemleri Güvenlik saklandığını gösterdi: Kapsam, insan sadece testler ile bu ihtiyacın karşılanmaya oluşturuyor. yazılımların yüksek oranlarda
Özetleyecek olursak, günümüze değin
Testlerine Nasıl Bakıyoruz? etkileşimi ve raporlama. çalışılması yeterli değil. Firmaların büyük kullanıldığını görüyoruz. Özellikle, bilinen gerek Bilişim Sistemleri Güvenliği Bölümü
Öncelikle güvenlik testlerinin tüm kritik çoğunluğu önemli yatırımlar yapmadan Akıllı kartlar için gerçekleştirdiğimiz Yan zararlı yazılımların saldırganlar tarafından
İnternetin günümüzde en önemli bilgi bilgi sistemi varlıklarını kapsadığından önce gerekli fizibilite çalışmalarını, risk Kanal Çözümlemesi çalışmaları da değiştirilerek tespit edilmesinin gerekse ülkemiz adına, bilgi güvenliği
kaynağı haline gelmesi bize birçok kolaylık emin olunmalı. Varlıklar ağ, işletim sistemi, hesaplamalarını yapmaktalar. Özellikle üzerinde durulması gereken bir diğer Ar- zorlaştırılması, önleyici sistemleri çaresiz konusunda önemli mesafeleri kat ettiğimizi
sağlarken bazı yan etkileri de beraberinde platform ve uygulama düzeyinde ele alınıp, prestij ve maddi kayıpların olabileceği Ge faaliyetimiz. Kredi kartları, vatandaşlık bırakıyor. Bu anlamda, ülkemizde zararlı söyleyebiliriz. Bundan sonra da aynı
getirdi. Artık merak ettiğimiz bir konu güvenlik bakış açısıyla incelenmedikçe alanlardan da kaçınmaktalar. Aynı kartları gibi yaşamın pek çok alanında yazılımların tespit ve çözümlemesini motivasyon içerisinde ve büyüyerek
hakkında pek çok dokümana hızlı bir sağlıklı bir sonuç elde etmek mümkün modelin, gerçekleştirdiğimiz işlerle kullanılmaya başlayan akıllı kartların gerçekleştirecek altyapının oluşturulmasını çalışmalarımıza devam etmeyi
biçimde ulaşabiliyor ve kısa sürede o değil. Örneğin, uygulamada alınan bir doğrudan ilişkili bilişim sistemlerinde de güvenliği oldukça önemli bir konu. Akıllı ihtiyaç olarak görüyoruz. hedefliyoruz. Bir taraftan ülkemizin bilgi
konunun uzmanı (!) haline geliveriyoruz. güvenlik önlemi ağ katmanındaki bazı uygulanması gerekiyor. Bu amaçla Bilgi kartların çalışması sırasında ortaya güvenliği konusunda bilinçlenmesi adına
Bilgi Güvenliği sektörü de bundan nasibini zafiyetler nedeniyle işlevselliğini yitirebilir. Güvenliği Yönetim Sistemi kurulumu, İş çıkardığı güç, elektromanyetik alan ve Yürüttüğümüz diğer bir Ar-Ge çalışması yüklenmiş olduğumuz misyonu yerine
alıyor tabii. Özellikle konunun ilgi çekici Tabii böyle bir çalışmayı Sürekliliği için gerekli plan ve altyapıların işlem zamanı gibi bilgilerle kartın da veri kaçağı önleme mekanizmaları getirirken diğer taraftan Ar-Ge
olması, saldırganların paylaşımcılığa önem gerçekleştirebilmek konunun temeline hazırlanması gibi projeler hayata barındırdığı PIN numarası, gizli anahtar üzerine. Özellikle son iki yılda çalışmalarımız ile geleceğimizi aydınlatmak
vermesi ve topluluk çalışmaları sonucunda hâkim olmayı gerektiriyor. geçirilmeli ve kurumsal bir kültür gibi kritik bilgilerin açığa çıkarılması kurumlardan kontrolsüz bilgi çıkışı ile ilgili istiyoruz.
üretilen araçlar ve platformlar ile pek çok oluşturulmalı. Bu konuyu önemsemeyen hedefli yürütülen bu testlerde oldukça pek çok haber kulağımıza çalındı. Dünyada
saldırının kolayca gerçekleştirilebilir Otomatik güvenlik testi araçlarıyla firma ve kurumların önümüzdeki yılların başarılı sonuçlara ulaştık. Bu testleri şu an da bu konunun popüler hale gelmesiyle,
olmasından ötürü bu işe soyunanların gerçekleştirilen çalışmaların etkinliği rekabet ortamında gerilerde kalacağını yapabiliyor olmamız gelecekte özellikle anti-virüs firmalarının bazı
sayısı az değil. Yapılan iş çok önemli bir konusu da üzerinde durulması gereken düşünüyoruz. kullanacağımız akıllı kartların seçiminde ürünler çıkardığını söylemek mümkün.
sermaye gerektirmiyor. Bir internet bir diğer başlık. Ürettikleri yanlış uyarılar veya tasarımında yanlış adımlar Öte yandan, bu ürünleri incelememiz
bağlantısı, test için kullanabileceğiniz ve test uzayını doğru tespit edememe gibi atmamamıza imkân tanıyacak. sonucunda bulduğumuz, özellikle Türkçe
48 Sayı 05 Ocak-Nisan 2011 http://www.bilgem.tubitak.gov.tr/ 49
·