Dünya bir süredir ?de-perimeterisation? kavramıyla, güvenlik duvarları konusunda bir paradigma değişikliğini tartışıyor ve mevcut haliyle güvenlik duvarlarının mantığını ve varlığını sorguluyor. Kısa vadede güvenlik duvarlarını ortadan kaldırmak mümkün olmasa da, bu sorgulama, orta vadede ağ güvenliği kavramlarında önemli bir değişikliğe sebep olabilir ve güvenlik duvarı ürününün yeteneklerinin evrilmesinde etkili olabilir.

Dünyada durum bu haldeyken, ülkemizde bazı kuruluşların farklı markalarda birden fazla güvenlik duvarının arka arkaya yerleştirerek kullanmayı mimari bir alternatif olarak tercih edebildiği biliniyor. Kullanılan güvenlik duvarının taşıyabileceği bir güvenlik açığının bir sonraki güvenlik duvarında olmayacağı savından hareket eden bu mimari tercih, yukarıda bahsettiğim eğilimlerin tam tersi bir anlam taşımanın yanı sıra bir takım riskleri de beraberinde getiriyor.

Bilgi güvenliğinde her risk taşıdığı etki potansiyeli ve gerçekleşme olasılığı üzerinden değerlendirilir. Dolayısıyla, bu mimari ile çözülen riski değerlendirirken ne gibi bir olasılıktan bahsedildiği ve bu mimari ile ne gibi başka risklerin doğduğu dikkate alınmalıdır. Özellikle belirli bir olgunluğa ulaşmış, ve üzerinde taşıdığı yazılım hatası ve güvenlik açığı miktarı azalmış güvenlik duvarlarında bulunabilecek bir açığın, üstelik uzaktan kötüye kullanılabilecek yüksek öncelikli bir güvenlik açığı olmasın olasılığı oldukça düşüktür.

Ayrıca, hayli nadiren ortaya çıkabilecek bu açıkların tespit edilmesinden, yamanmasına kadar geçebilecek sürede, bu içerikte bir saldırı alınması olasılığı, açık ve açığı kullanma yöntemi henüz yaygınlaşmamış olacağından rahatlıkla düşük seviyeden ihmal edilebilir seviyeye düşecektir. Son yıllarda açıklanan güvenlik açıkları ve gelişmiş güvenlik duvarlarıyla ilgili deneyimler, bu yorumu destekler niteliktedir.

Internet kaynaklı ağ temelli güvenlik saldırıları neredeyse her zaman, güvenlik duvarının kural tanımı içerisinde tanımlanan TCP/IP portlarında meydana gelmektedir. Bu portlar da, zaten bir güvenlik duvarında açıldığı zaman, her güvenlik duvarında açılmak zorundadır. Dolayısıyla dizi dizi güvenlik duvarlarını arka arkaya dizmek bu açıdan bir fayda yaratmıyor.

Tersine, farklı markalardaki güvenlik duvarlarının bir arada kullanılması karmaşıklığı çok artırdığından, yönetim, bakım ve destekleme güçleşecek ve buralardan kaynaklanan güvenlik zaaflarının yaşanma olasılığı artacaktır. Örneğin, Internet arayüzünde yeni bir port açmaya kalktığınızda, yaşanacak bir problemin kaynağını anlamak çok zor olabilir ve giderek istenmeyen konfigürasyonların ortaya çıkmasına neden olabilir.

Bunun üzerine, bir de kaynak yetersizliği yaşayan kurumların iki, üç güvenlik duvarını aynı yetkinlikte yönetecek teknik elemanları yetiştirmek veya yetiştirdiği personeli elinde tutmak güçlüklerini de eklediğimizde, bu mimari tercihi sağladığı risk kontrolüne karşılık, misliyle yönetim ve işletim riskini doğuracaktır.Bu mimari tercihin, ülkemizde fazlaca ürün odaklı yürüyen güvenlik sektörünün bir ağ noktası için birden fazla güvenlik duvarı satabilmesi dışında bir işe yaradığı ve toplam riski azalttığı kabulü tartışılmalıdır.

Bu mimari tercihini yapabilen kurumların, Internet üzerinden gelebilecek risklere karşı hassas olduğu düşünülürse, riski azaltıyorum derken, aslında toplam riskin bu tercihle artırılıyor olması, bilgi güvenliği yönetimini risk yönetimi yaklaşımına oturtan bir yaklaşım içinde, önceden farkedilmelidir. Yoksa hayat bu riskleri daha sonra ödetecektir.

Bilgi güvenliği yönünden 2006 çok hızlı başladı. Yılın ilk günlerinde yaşadığımız WMF biçimindeki dosyalarla ilgili açık ve 3 Şubat?a programlanmış bir zaman bombası, dünyadaki tüm bilgi güvenliği çalışanlarını hareketlendirdi.

WMF açığı, Windows ilk çıktığı zamanlardan beri kullanılan bir resim dosyası biçimi olan WMF?in yapısındaki ?dosya dışından sistem çağrısı yapma? özelliği üzerine kurulmuştur. Açık ortaya çıkınca, Microsoft ve Oracle gibi büyük şirketlerin, yazılımlarındaki zayıflıkları yamama konusunda, büyüklükleri ile doğru orantılı olarak gösterdikleri atalete tepkiler geldi. Hatta Microsoft, WMF açığının ortaya çıkmasından günlerce sonra yamasını çıkaracağını duyurdu. Resmi yama çıkana kadar, söz konusu açığın nasıl istismar edilebileceğinin detayları çoktan yayılmıştı. Hatta bu işe yarayan kaynak kodları internet sitelerinden indirebiliyorduk. Bu gelişmeler, bu açığı istismar eden saldırıları ?0. Gün Saldırısı? kategorisine sokuyor. Resmi yamanın gecikmesinin sonucu, gayri resmi bir yama oldu ve SANS ve Security Focus gibi iki büyük güvenlik portalı, Rusyalı bir uzmanın yazdığı bu gayri resmi yamayı ilginç bir şekilde onayladılar. Bütün bu gelişmelerin sonucunda, bilgi güvenliğinin teknik bir faaliyet olmanın ötesinde bir yönetim faaliyeti olduğu bir kez daha yaşanarak anlaşılmış oldu.

Sıfırıncı gün saldırılarına karşı Güvenlik Yöneticisi?nin elinde bir yama, bir antivirüs imza dosyası gibi çözümler bulunmaz. Bu nedenle, bir etrafından dolaşma çözümü olarak, saldırının gelme ihtimali olan web ve e-posta tabanlı kaynaklara erişimlerin kısıtlanması, bazı kayıt defteri ayarlarının değiştirilmesi, halihazırda kullanılan bazı DLL?lerin kayıt dışı bırakılması gibi yöntemlere başvurmak gerekebilir. Bu tür ciddi kısıtlamalar, kullanıcıların normal hayatında bazı rahatsızlıklar doğuracağından ancak kurum yönetiminin onayı ile gerçekleştirilebilir. Bunun sonucu olarak diyebiliriz ki; Bilgi Güvenliği Yöneticisi ile kurumun en üst düzey yetkilileri arasındaki iletişim kanalları tanımlanmış olmalı ve bu kanallar her zaman açık olmalıdır.

Aksi durumda alınan önlemleri, ?Kurumsal Güvenlik Yönetimi? faaliyetlerinden saymak yerine ?Güvenlik Yöneticisinin Çaresiz Çırpınışı? olarak düşünmek daha doğru olurdu.
Antivirüs imzalarınız güncel yamalarınız ve yedekleriniz eksiksiz olsun

Altuğ Yavaş
C/S Bilgi Güvenliği Yöneticisi