Bilgi güvenliği yönünden 2006 çok hızlı başladı
Bilgi güvenliği yönünden 2006 çok hızlı başladı. Yılın ilk günlerinde yaşadığımız WMF biçimindeki dosyalarla ilgili açık ve 3 Şubat?a programlanmış bir zaman bombası, dünyadaki tüm bilgi güvenliği çalışanlarını hareketlendirdi.
WMF açığı, Windows ilk çıktığı zamanlardan beri kullanılan bir resim dosyası biçimi olan WMF?in yapısındaki ?dosya dışından sistem çağrısı yapma? özelliği üzerine kurulmuştur. Açık ortaya çıkınca, Microsoft ve Oracle gibi büyük şirketlerin, yazılımlarındaki zayıflıkları yamama konusunda, büyüklükleri ile doğru orantılı olarak gösterdikleri atalete tepkiler geldi. Hatta Microsoft, WMF açığının ortaya çıkmasından günlerce sonra yamasını çıkaracağını duyurdu. Resmi yama çıkana kadar, söz konusu açığın nasıl istismar edilebileceğinin detayları çoktan yayılmıştı. Hatta bu işe yarayan kaynak kodları internet sitelerinden indirebiliyorduk. Bu gelişmeler, bu açığı istismar eden saldırıları ?0. Gün Saldırısı? kategorisine sokuyor. Resmi yamanın gecikmesinin sonucu, gayri resmi bir yama oldu ve SANS ve Security Focus gibi iki büyük güvenlik portalı, Rusyalı bir uzmanın yazdığı bu gayri resmi yamayı ilginç bir şekilde onayladılar. Bütün bu gelişmelerin sonucunda, bilgi güvenliğinin teknik bir faaliyet olmanın ötesinde bir yönetim faaliyeti olduğu bir kez daha yaşanarak anlaşılmış oldu.
Sıfırıncı gün saldırılarına karşı Güvenlik Yöneticisi?nin elinde bir yama, bir antivirüs imza dosyası gibi çözümler bulunmaz. Bu nedenle, bir etrafından dolaşma çözümü olarak, saldırının gelme ihtimali olan web ve e-posta tabanlı kaynaklara erişimlerin kısıtlanması, bazı kayıt defteri ayarlarının değiştirilmesi, halihazırda kullanılan bazı DLL?lerin kayıt dışı bırakılması gibi yöntemlere başvurmak gerekebilir. Bu tür ciddi kısıtlamalar, kullanıcıların normal hayatında bazı rahatsızlıklar doğuracağından ancak kurum yönetiminin onayı ile gerçekleştirilebilir. Bunun sonucu olarak diyebiliriz ki; Bilgi Güvenliği Yöneticisi ile kurumun en üst düzey yetkilileri arasındaki iletişim kanalları tanımlanmış olmalı ve bu kanallar her zaman açık olmalıdır.
Aksi durumda alınan önlemleri, ?Kurumsal Güvenlik Yönetimi? faaliyetlerinden saymak yerine ?Güvenlik Yöneticisinin Çaresiz Çırpınışı? olarak düşünmek daha doğru olurdu.
Antivirüs imzalarınız güncel yamalarınız ve yedekleriniz eksiksiz olsun
Altuğ Yavaş
C/S Bilgi Güvenliği Yöneticisi
WMF açığı, Windows ilk çıktığı zamanlardan beri kullanılan bir resim dosyası biçimi olan WMF?in yapısındaki ?dosya dışından sistem çağrısı yapma? özelliği üzerine kurulmuştur. Açık ortaya çıkınca, Microsoft ve Oracle gibi büyük şirketlerin, yazılımlarındaki zayıflıkları yamama konusunda, büyüklükleri ile doğru orantılı olarak gösterdikleri atalete tepkiler geldi. Hatta Microsoft, WMF açığının ortaya çıkmasından günlerce sonra yamasını çıkaracağını duyurdu. Resmi yama çıkana kadar, söz konusu açığın nasıl istismar edilebileceğinin detayları çoktan yayılmıştı. Hatta bu işe yarayan kaynak kodları internet sitelerinden indirebiliyorduk. Bu gelişmeler, bu açığı istismar eden saldırıları ?0. Gün Saldırısı? kategorisine sokuyor. Resmi yamanın gecikmesinin sonucu, gayri resmi bir yama oldu ve SANS ve Security Focus gibi iki büyük güvenlik portalı, Rusyalı bir uzmanın yazdığı bu gayri resmi yamayı ilginç bir şekilde onayladılar. Bütün bu gelişmelerin sonucunda, bilgi güvenliğinin teknik bir faaliyet olmanın ötesinde bir yönetim faaliyeti olduğu bir kez daha yaşanarak anlaşılmış oldu.
Sıfırıncı gün saldırılarına karşı Güvenlik Yöneticisi?nin elinde bir yama, bir antivirüs imza dosyası gibi çözümler bulunmaz. Bu nedenle, bir etrafından dolaşma çözümü olarak, saldırının gelme ihtimali olan web ve e-posta tabanlı kaynaklara erişimlerin kısıtlanması, bazı kayıt defteri ayarlarının değiştirilmesi, halihazırda kullanılan bazı DLL?lerin kayıt dışı bırakılması gibi yöntemlere başvurmak gerekebilir. Bu tür ciddi kısıtlamalar, kullanıcıların normal hayatında bazı rahatsızlıklar doğuracağından ancak kurum yönetiminin onayı ile gerçekleştirilebilir. Bunun sonucu olarak diyebiliriz ki; Bilgi Güvenliği Yöneticisi ile kurumun en üst düzey yetkilileri arasındaki iletişim kanalları tanımlanmış olmalı ve bu kanallar her zaman açık olmalıdır.
Aksi durumda alınan önlemleri, ?Kurumsal Güvenlik Yönetimi? faaliyetlerinden saymak yerine ?Güvenlik Yöneticisinin Çaresiz Çırpınışı? olarak düşünmek daha doğru olurdu.
Antivirüs imzalarınız güncel yamalarınız ve yedekleriniz eksiksiz olsun
Altuğ Yavaş
C/S Bilgi Güvenliği Yöneticisi
posted by Altuğ Yavaş @ 10:56 AM
Yorumlar:
0
