Bilgisayar Sistemler Güvenliği Jargonu
Genel olarak, teknik alanlar kısaltmalar ve anlaşılması zor kelimelerle doludur. Ne yazık ki güvenlik de bu kuralın bir istisnası değildir. Başlangıç için bilmeniz gereken en önemli üç kısaltma CIA, AAA ve DRY'dir.
CIA
Merkezi İstihbarat Teşkilatı'nın bilgi güvenliğinde oynayacağı bir rol olsa da, bizim amaçlarımız doğrultusunda CIA, üç temel bilgi güvenliği ilkesini hatırlamak için kullanılan bir kısaltmadır: gizlilik, bütünlük ve kullanılabilirlik. Bu fikirler güvenliğin temel taşlarını oluşturur ve düşüncelerinizde her zaman mevcut olmalıdır.
Gizlilik, gizli bilgilerin gizli tutulması uygulamasını ifade eder. Örneğin, bir e-ticaret sitesi kredi kartı numaralarını saklıyorsa (başlangıçta şüpheli bir uygulama) bu kredi kartı numaraları gizli tutulmalıdır. Sitenin diğer kullanıcılarının veya yabancıların kredi kartı numaranıza erişmesini istemezsiniz. Kullanıcı kredi kartı numaralarının gizliliğini sağlamak için birçok adım atılabilir, ancak bu noktada gizliliğin korunmasının bir güvenlik ilkesi olduğunu anlamak yeterlidir.
Bütünlük, verilerin bozulmadığına veya kasıtlı olarak tahrif edilmediğine dair bir güvencedir. Daha önce de tartıştığımız gibi, veriler çok değerlidir, ancak sağlam ve güvenilir olduğundan emin olamazsanız ne kadar değerlidir? Güvenlik alanında, sistemin ve hatta sistemi korumak için uyguladığımız kontrollerin güvenilir olabilmesi için bütünlüğü korumaya çalışırız. E-ticaret sitesini tekrar hayal edin. Bir saldırgan sistemde kayıtlı teslimat adreslerini keyfi olarak değiştirebilseydi ne olurdu? Paketler yanlış adreslere yönlendirilebilir, çalınabilir ve dürüst müşteriler sipariş ettikleri ürünleri dürüstlük ihlali nedeniyle alamayabilir.
Kullanılabilirlik, geçerli kullanıcıların ihtiyaç duyduklarında verilere erişebilmelerini sağlamak için bir sistemin çalışır durumda kalması gerektiği anlamına gelir. En basit anlamda, sistemi devre dışı bırakarak ve herhangi bir erişime izin vermeyerek gizliliği ve bütünlüğü sağlayabilirsiniz. Böyle bir sistem faydasız olacaktır ve bu son ilke de bunu ele almaktadır. Sistemler erişilebilir olacak şekilde tasarlanmıştır ve güvenlik planınızın bir parçası da erişilebilir olmalarını sağlamak olmalıdır. Gizlilik ve bütünlüğü uygulamanın maliyetlerini hesaba katmanız ve sistemi çalışır durumda tutmak için kaynakların mevcut olduğundan emin olmanız gerekecektir. Aşırı bir durumda, hizmet reddi (DoS) saldırıları aslında kullanılabilirliği hedef alabilir. Bu ilkeyi aklınızda tutarak, bu risklerden bazılarını azaltabileceğinizi umuyoruz.
AAA
Birçok farklı bağlamda karşılaşacağınız bir diğer kısaltma da AAA'dır. Kimlik Doğrulama, Yetkilendirme ve Muhasebe anlamına gelir ve protokollerin tasarlanmasında ve uygulanmasında kullanılır. Güvenlik planları tasarlanırken bu kavramlar hatırlanmalıdır.
Kimlik doğrulama, bir kişinin kimliğini onaylama sürecidir. Bu, kullanıcı adları ve parolalarla veya daha sık olarak yalnızca bildiğiniz bir şeyi değil, sahip olduğunuz bir şeyi de (parmak izi, anahtarlık vb.) gerektiren çok faktörlü kimlik doğrulama (MFA) yoluyla yapılabilir.
Yetkilendirme, bir varlığın hangi kaynaklara erişimi olduğunu takip etmeyi ifade eder. Bu, bir izin şeması veya erişim kontrol listesi (ACL) aracılığıyla yapılabilir. Bazen, yetkilendirmenin kullanıcıları günün belirli bir saatinde veya belirli bir IP adresinden etkileşimlerle sınırladığı daha egzotik bir şeyle karşılaşırsınız.
Muhasebe, kaynakların kullanımının izlenmesini ifade eder. Bu, kullanıcının tam olarak hangi hizmetleri kullandığını ve ne kadar süre kullandığını takip etmek için bir kullanıcının ne zaman giriş yaptığını bir günlük dosyasında not etmek kadar basit olabilir. Muhasebe son derece önemlidir çünkü yalnızca olası sorunları izlemenize değil, aynı zamanda bir sorunla karşılaşıldıktan sonra neler olduğunu denetlemenize de olanak tanır. Muhasebe ayrıca sistem yöneticilerinin bir kullanıcının hangi eylemleri gerçekleştirdiğini reddedilemez bir şekilde göstermesine olanak tanır. Bu, mahkemede çok önemli bir kanıt olabilir.
DRY
Bilgiyi üç harfli kısaltmalar (TLA'lar) şeklinde dağıtırken, akılda tutulması gereken bir diğer önemli kısaltma da DRY: Kendinizi Tekrar Etmeyin.
| “Bir şeyi bir kez söyleyin, neden tekrar söyleyesiniz?” Talking Heads Psycho Killer |
Bu elbette tamamen gerçekçi değildir. Bir iş arkadaşınıza bir şeyi bir kez açıklamış olmanız, bunu tekrar açıklamamanız gerektiği anlamına gelmez. Daha çok otomasyondan nasıl yararlanacağınıza ve sistemleri nasıl tasarlayacağınıza dair bir rehber niteliğindedir. Giderek artan bir şekilde güvenlik uzmanlarından tek bir sistemi değil, binlerce olmasa da yüzlerce sistemden oluşan bir ağı analiz etmeleri istenmektedir. Bu durumda, aynı şeyi tekrar tekrar manuel olarak yapmadığınızdan emin olmak için komut dosyaları ve araçlardan yararlanmalısınız. Bir sistemin bir parçasının güvenli olup olmadığını test etmek için iyi bir yol buldunuz mu? Testi diğer sistemlerde yeniden kullanabilmek için bir komut dosyasına koyun. Aynı mantık sistemlerin tasarlanış şekli için de geçerlidir. Kullanıcı giriş bilgilerinden oluşan bir veritabanınız mı var? Bu veritabanını birden fazla sistemde yeniden kullanın. Kısacası, "Kendinizi tekrar etmeyin!"
Yorumlar
Yorum Gönder