Güvenlik Denetimi Nasıl Yapılır ?

Güvenlik Denetimi Nasıl Yapılır ?

Günümüzde bilişim sistemleri hayatın her alanında aktif rol oynamaktadır. Bu sistemlerde kişiselden kurumsala, hassas olmayandan en kritik bilgilere kadar geniş bir yelpazede çok büyük miktarda veriler tutulmakta ve işlenmektedir. Hem bu kadar verileri barındırması hem de bilişim sistemlerinin iş ve özel hayattaki rolünün ciddi bir şekilde artmasından dolayı bilişim sistemleri güvenliği son derece önem kazanmıştır.

Bilişim sistemlerinde gerekli güvenlik önlemlerinin alınmaması bu sistemlerden verilerin çalınmasından, veri tahribatı ve yok edilmesine kadar farklı şekillerde sonuçlar doğurabilir. Buradaki tahribatın etkisi çalınan verinin hassasiyetiyle doğru orantılı olarak artmakta ve bazen geri dönülemez hasarlar verebilmektedir.

Bu tür geri dönülemez hasarların bir nebze olsun önüne geçmek ve sistemlerin güvenli bir şekilde çalışmasını sağlamak için bilişim sistemlerinin güvenlik denetimlerinin yapılması gerekmektedir. Güvenlik denetimleri belirli sürelerde tekrarlanmalı ve sistemlerde tespit edilen zafiyetler en kısa zamanda kapatılmalıdır.

Bilişim sistemleri için güvenlik denetimleriyle ilgili çok fazla kaynak bulunmaktadır. Bu kaynakların en başında denetleyeceğiniz sistemler üzerindeki uygulamaları sağlayan üretici firmalar gelmektedir. Örneğin; Microsoft sistemleri için Technet ya da Microsoft’un destek sayfasına başvurulabilir. Bu kaynakların yanında güvenlik denetimleriyle ilgili güvenlik alanında uzmanlaşmış çeşitli organizasyonların hazırladığı dökümanlardan faydalanılabilir. Bu aşamada SANS ve CIS organizasyonlarının işletim sistemi, veritabanı sistemleri, web uygulamaları vb. konular hakkında ve farklı ürünler ile ilgili dökümanları kullanılabilir.

Bu yazıda CIS(Center Of Internet Security)’nin hazırlamış olduğu benchmark’lar hakkında bilgi verilecektir. CIS İnternet sayfasında aşağıdaki benchmarklar mevcuttur:

İşletim Sistemi Benchmarkları

Windows (Xp, Vista, Server 2003, Server 2008, 7 vb.)

Unix (Solaris, IBM, HP-UX, FreeBSD vb.)

Linux (Debian, RedHat, SUSE vb.)

Veritabanı Sistemi Benchmarkları

Microsoft SQL Server (2000, 2005 vb.)

Oracle (9i, 10g, 11g vb.)

Sybase

DB2

DNS Benchmarkları

Bind

Mail Sunucuları Benchmarkları

Exchange (2003, 2007)

Web Benchmarkları

IIS

Apache

CIS benchmarklarındaki her bir denetim maddesi genel olarak aşağıdaki bileşenlerden oluşmaktadır.

Description: Gerçekleştirilecek olan denetim maddesi hakkında genel bilgiler içerir. Denetim maddesinin sistem üzerinde yaptığı kontroller hakkında bilgi verir.

Rationale: Denetim maddesinin sistem üzerinde gerçekleştirdiği sıkılaştırmaların sonucu hakkında bilgi verir. Denetim maddesinin ne tür saldırılara karşı koruma sağladığını ve etkisinin ne olduğunu belirtir.

Remediation: Denetim maddesinin gerçekleştirilmesi için gereken işlemlerin nasıl yapılacağı hakkında bilgi içerir.

Audit: Denetim maddesinde gerçekleştirilen adımların nasıl görülebileceği hakkında bilgi verir.

Default value: Denetim maddesinde gerçekleştirilen kontroller için varsayılan değerler varsa bu değerler bu kısımda belirtilir.

References: Denetim maddesinde gerçekleştirilen işlemler hakkında detaylı bilgi içeren referans kaynakları burada tanımlanır.

CIS, denetim maddelerinin her birisi için bir yapılandırma düzeyi belirlemektedir. Bu yapılandırma düzeyini iki seviyeli olarak tanımlamaktadır.

1.düzeydeki denetim maddeleri

  • Pratik ve geleceğe yönelik tavsiyeler sunar.
  • Sağladığı güvenlik faydaları net ve açıktır.
  • Kullanılan teknoloji ile ilgili yasaklayıcı durumlar içermez.

2.düzeydeki denetim maddeleri

  • Güvenliğin en üst düzeyde olması gereken çevre ve koşullar için tasarlanmıştır.
  • Derinlemesine bir güvenlik sağlar.
  • Kullanılan teknoloji ile ilgili yasaklayıcı durumlar içerebilir.

Ayrıca denetim maddelerinin her biri için yapılandırma düzeyinin yanında verilen maddenin manuel ya da otomatik olarak yapılıp yapılamayacağını belirten bir değerlendirme parametresi vardır. Bu parametre “Scorable” ve “Not scorable” olmak üzere iki farklı değer almaktadır.

“Scorable” değeri denetim maddesinde belirtilen tavsiyelerin sistemler üzerinde otomatik olarak gerçekleştirilebileceğini belirtir.

“Not Scorable” değeri denetim maddesinde belirtilen tavsiyelerin sistemler üzerinde otomatik olarak gerçekleştirilemeyeceğini belirtir.

Aşağıda MsSql Server 2005 veritabanları için sa hesabına güçlü parola verilmesini gerektiğini belirten bir denetim maddesi örnek olarak verilmiştir.

7.png

CIS-CAT (Center for Internet Security Configuration Assessment Tool)

Sistemlerin güvenlik denetimlerini benchmarklar üzerinden manuel gerçekleştirebileceğimiz gibi bu denetimleri otomatik olarak yapabilen araçlar da mevcuttur. Bu araçlardan bir tanesi de CIS’e ait olan CIS-CAT aracıdır. CIS-CAT aracı temel olarak CIS benchmarklarında bulunan denetim maddelerini kullanarak sistemlerde var olan açıklıkları raporlar. CIS-CAT aracı herhangi bir kurulum işlemine gerek duymadan çalışabilmektedir. CIS-CAT aracının çalışması için sadece sistemde kurulu java olması yeterlidir. CIS-CAT aracı Xml formatındaki benchmarkları kullanır.

CIS-CAT aracını çalıştırdığımızda karşımıza aşağıdaki gibi bir ekran gelecektir. Bu ekrandan güvenlik denetimini yapmak istediğimiz ürünü seçiyoruz.

2.png

Denetimi yapılacak ürünü seçtikten sonra kullanılan ürünün kullanım amacına uygun bir profil seçilir. Profil seçim işlemi tamamlandıktan sonra ürün üzerinde güvenlik denetimlerini başlatabiliriz.

3.png

Güvenlik denetimlerini başlattıktan sonra CIS-CAT aracı seçtiğimiz ürüne ait benchmark’da bulunan denetim maddelerini tek tek sistemimiz üzerinde kontrol eder.

4.png

Sistem üzerindeki denetimler tamamlandıktan sonra CIS-CAT aracı bize denetimler sonucu elde edilen bulguları içeren bir rapor oluşturur. CIS-CAT aracı raporu XML, HTML, CSV ve Text formatlarında oluşturabilmektedir.

5.png

Sistem üzerindeki denetimler sonucunda CIS-CAT aracı HTML formatında rapor oluşturdu. Raporun kapak sayfasında sistem üzerinde denetlenen ürün, ürünün kurulu olduğu bilgisayar adı ve denetlemenin gerçekleştirildiği zaman bilgileri bulunmaktadır. Giriş kısmında ise denetleme ile ilgili bir özet kısmı bulunmaktadır. Özet kısmında denetlenen maddelerin sayısı ve bu maddelerden kaçının başarılı kaçının başarısız olduğu her bir bölüm için ayrı ayrı raporlanmıştır. Raporun kalan kısmında ise denetlenen tüm maddelerle ilgili detaylı bilgiler yer almaktadır. Denetleme sonucunda oluşan rapordaki özet kısmı aşağıdaki şekilde gösterilmiştir.

8.png

 

Son Yazılar
Bir cevap bırakın
Malazgirt Meydan Muharebesi kaç yılında yapıldı ?