2000’li yıllarla birlikte ülkelerin gündemine giren siber güvenlik konusunun son yıllarda somut tehlike haline dönüşmesiyle birlikte konuya önem veren ülkeler tehlikeyle başa çıkabilmek için çeşitli yöntemler denemektedirler.
Bu yöntemlerden biri de siber güvenlik tatbikatlardır. Siber tatbikatlar geçmişi çok olmadığı için henüz bir standarta oturmamış, her ülke tarafından bağımsız olarak gerçekleştirilmektedir(2010 yılında Amerika ve 12 ülkenin ortak katılımıyla ilk kıtalararası/uluslararası siber güvenlik tatbiktı gerçekleştirildi).
Bazı ülkeler uzun yıllardır düzenli siber tatbikat gerçekleştirirken(Taiwan-2002) bazı ülkeler de 2006-2007 yılları arasında siber tatbikat programlarına başlamıştır.
Türkiye, Tubitak-UEKAE ve BTK öncülüğünde ilk siber güvenlik tatbikatını 2008 yılında 8 kurumla gerçekleştirmiştir.
İkinci siber güvenlik tatbikatı 2010 yılı Ekim ayında gerçekleştirilecek şekilde duyurusu yapıldığı halde çeşitli nedenlerden dolayı 2011 yılı Ocak ayına ertelendi.
Siber güvenlik tatbikatlarında amaç?
TUBITAK-UEKAE’a göre siber güvenlik tatbikatlarındaki amaç aşağıdaki gibidir:
Ülkemizde bilgi güvenliği konusunda idari, teknik ve hukuki kapasitenin geliştirilmesine, kurumlar arasında bilgi ve tecrübe paylaşımına ve farkındalık oluşumuna önemli katkılar sağlaması ve kurumların bilgi sistemi olaylarına müdahale yeteneğinin tespit edilmesi.
Meydaya çıkan haberlerden edindiğimiz bilgilere göre tatbikat planında göze çarpan en temel eksiklik siber tatbikatın TUBTAK(UEKAE)-BTK özelinde gerçekleştiriliyor olması. Adına ulusal denilen bir programda Türkiye’de her firmadan konusunda uzman kişilerin katılması daha faydalı bir tatbikat olmasını sağlayacaktır.
Siber tatbikat konusunda tecrübeli ülkelerin programı incelendiğinde yüzlerce(bazı ülkelerde binlerce) kurumdan bilgi güvenliği uzmanlarının davet edildiğini görmekteyiz.
Her ne kadar içerik ve yöntem olarak bilgi güvenliği uzmanları tarafından sert bir biçimde eleştirilse de Türkiye’nin bu konuda attığı bu ilk adımlar önemlidir. Zamanla daha ileri seviye ve olgun siber tatbikat programları yapılacağına inanıyorum.
Aşağıda tatbikatın uygulama ve sonuç değerlendirme süreçlerinin daha faydalı olması için çeşitli öneriler bulunmaktadır:
Siber tatbikatlarda en önemli madde kurumların basit saldırılar yerine gerçek hayatta karşılarına çıkabilecek kompleks saldırıları gerçekleştirmeye ikna edilmelidir. Zira gerçek saldırılarsa kesinlikle zaman, mekan ve hedef gözetilmez. Tatbikatın gerçeğe yakın olması demek sonuçlarının daha verimli olması anlamına gelir.
Siber tatbikatta neler gerçekleştirilmeli?
- Kurumlar hakkında açık istihbarat toplama yöntemleriyle bilgi toplama senaryoları
- Kurum ağ altyapısı keşif çalışmaları
- Kurum güvenlik sistemlerini atlatma saldırıları
- Sınır güvenliği bileşenlerinden ilki olan router(yönlendirici) güvenliği testleri
- İç ağ kullanıcılarının güvenlik duvarını atlatma senaryoları
- Dışardan gelecek saldırganların güvenlik duvarını atlatma senaryoları
- IPS cihazlarını atlatma senaryoları
- Anonim ağlardan saldırı düzenleme ve kurum gözlemcilerinin aksiyonlarının izlenmesi
- DNS servisine yönelik saldırı senaryoları
- Sahte IP adreslerinden yapılan saldırıların kurum güvenlik sistemleri tarafından algılanıp algılanmadığı
- Örnek:A kurumundan geliyormuş gibi B kurumuna bir saldırı gözüküyorsa bu saldırının gerçekten A’dan gelip gelmediğinin incelenmesi
- Bilgi sızdırma denemeleri //Kurum verileri internet üzerinden elde edilebiliyor mu?
- Güncel güvenlik açıklıklarına ait exploit denemeleri
- Özellikle servis dışı bırakma saldırıları(DDoS) mutlaka her kurum için mesai saatleri dışında denenmelidir.
- DDoS saldırılarında sadece klasik flood saldırıları değil, günümüzde sık kullanılan yöntemler de denenmelidir.
- Herhangi bir ülkeden geliyormuş gibi DDoS saldırısı gerçekleştirip alınması gereken aksiyonların tartışılması(Ülke ip bloklarının engellemesinin avantaj ve dezavantajları) senaryoları
- Son kullanıcıya yönelik hazırlanmış testler(phishing) gerçekleştirilerek kullanıcı bilinç seviyesinin ölçülmesi
- Son kullanıcılara özel hazırlanmış çeşitli web sayfaları, e-postalar gönderek(Antivirüs, İçerik filtreleme ve antispam sistemlerinden geçip geçmediği kontrol edilmeli)
- Kurumların en zayıf halkası olan alan adına yönelik saldırı senaryoları ve olası sonuçları
- Daha önce çeşitli ülke(Estonya, İsrail, Amerika, Türkiye, Gürcistan, İran) ve şirketlere(Google, adobe vs) gerçekleştirilmiş siber saldırıların sebep ve sonuçlarının incelenmesi
- Siber tatbikata katılanlara hızlandırılmış “siber tehditler, sebepleri ve sonuçları” konulu gerçek hayattan derlenmiş olayları içeren eğitim verilmesi.
- Şirketlerde kurulacak temel CSIRT yapısının faydalarının uygulamalı olarak gösterilmesi
- GSM sistemleri kullanılarak gerçekleştirilecek saldırı senaryoları
- 3G altyapısı kullanılarak gerçekleştirilecek saldırı senaryoları
- VOIP altyapılarına yönelik saldırı senaryoları ve sonuçlarının incelenmesi
- Her kurumun gerçek sistemler yanında bir adet honeypot tarzı sistem kurması ve testlerde bu sistemi de dahil etmesi tatbikatın hem işleyiş hem de sonuçları açısından daha verimli olmasını sağlayacaktır. Zira tatbikattaki ana amaçlardan birisi kurum çalışanlarının saldırı analiz yeteneğinin ölçülmesi ve geliştirilmesidir.
Son olarak da medyanın sağlıklı bir şekilde bilgilendirilmesi ve sürece dahil edilmesi önem taşımaktadır. Medya doğru ağızlar tarafından bilgilendirilmediği müddetce konu hakkında bilgi sahibi olmayan kişiler tarafından halkın yanlış bilgilendirilmesine aracı olmaktadır
Siber Tatbikat düzenleme konusunda bilgi sahibi bir kişi olarak yazıdaki bazı hususlara katılmadığımı belirtmek isterim. Yorumlarım:
— Türkiye, Tubitak-UEKAE ve BTK öncülüğünde ilk siber güvenlik tatbikatını 2008 yılında 8 kurumla gerçekleştirmiştir.
*** İlk tatbikat sadece UEKAE koordinatörlüğünde 8 kamu kurumu tarafından gerçekleştirildi. Yani gerçekleştirenler UEKAE ile beraber 8 kurum.
— Adına ulusal denilen bir programda Türkiye’de her firmadan konusunda uzman kişilerin katılması daha faydalı bir tatbikat olmasını sağlayacaktır.
*** 34 kurum/kuruluşun katıldığı bir tatbikat ulusal olsa gerek diye düşünüyorum. Her firmadan konusunda uzman kişileri tespit etmek bile ayrı bir iş. Bu ilk geniş katılımlı tatbikat ama ileride daha da geniş bir alana yayılabilir. Ama “her firmadan konusunda uzman kişilerin katılması” konusu bana biraz iddialı geldi.
— (2010 yılında Amerika ve 12 ülkenin ortak katılımıyla ilk uluslararası siber güvenlik tatbiktı gerçekleştirildi)
*** Benim bildiğim CyberStorm tatbikatı ilk uluslararası tatbikatlardan ve 2006-2008-2010 da yapıldı. APCERT Drill ise Asya Pasifik ülkelerinin tatbikatı ve 2005’den beri her yıl gerçekleştiriliyor. Ayrıca 2009 ve 2010’da NATO Cyber Defence Exercise bizim de katıldığımız siber güvenlik tatbikatları. Yani ilk uluslararası tatbikat 2010’da değil.
— tatbikat planında göze çarpan en temel eksiklik siber tatbikatın TUBTAK(UEKAE)-BTK özelinde gerçekleştiriliyor olması.
*** Tatbikat TÜBİTAK UEKAE-BTK özelinde değil. Bu kurumlar koordine eden kurumlar. Kamu ve özel sektörden 34 katılımcı kurum/kuruluş var. Tatbikat 34 katılımcı kurum/kuruluş ve TÜBİTAK-BTK tarafından gerçekleştiriliyor. Telekomünikasyondan sağlığa, silahlı kuvvetlerden finansa, hukuktan kolluk kuvvetlerine kadar farklı alanlardan katılımcıların olduğu bir tatbikat ulusal denilmeyi hak ediyor kanaatindeyim.
— Siber tatbikatlarda en önemli madde kurumların basit saldırılar yerine gerçek hayatta karşılarına çıkabilecek kompleks saldırıları gerçekleştirmeye ikna edilmelidir. Zira gerçek saldırılarsa kesinlikle zaman, mekan ve hedef gözetilmez. Tatbikatın gerçeğe yakın olması demek sonuçlarının daha verimli olması anlamına gelir.
*** Güzel bir öneri fakat tatbikat düzenleme faaliyetini yakından bilen biri olarak belirtmek isterim ki katılımcıları buna ikna etmek hiç de kolay değil. Öncelikle şunu belirtmekte fayda var, bu tatbikata katılmak gönüllülük esasıyla, yani bir kurum ben katılmıyorum diyebilir. Mesela davet ettiğimiz kurum/kuruluşlardan ben katılmak istemiyorum diyenler oldu. Tatbikata katılmayı isteyen kurumlar, kendisine saldırıların seçmeli değil de zorunlu olarak yapılacağını öğrendiğinde katılımcı sayısı daha da düşebilecektir. Ayrıca gerçek saldırılar için basit, sistemlere zarar vermeyecek saldırıları bile teklif edildiğinde ne olur ne olmaz diye kabul etmeyen çok sayıda kurum/kuruluş oldu. Kısacası yazıda önerilen türde saldırılar ancak tatbikatın kapsamı bir kurumu kapsıyorsa kurum üst yönetiminden alınacak izinle mümkün olabilecek şeyler. Nitekim en büyük siber tatbikatlardan olan CyberStorm’da bile gerçek sistemlere temas edilmiyor, her şey simülasyon ortamında yapılıyor. Ayrıca NATO tatbikatında da aynısı oldu.
Pingback: Ulusal Siber Güvenlik Tatbikatı 2013 Eleştirisi | Complexity is the enemy of Security