RED TEAM

Red Team bir kurumun güvenlik cihazlarını, ağlarını, çalışanlarını, uygulamalarını

ve fiziksel güvenlik kontrollerini gerçekte bir saldırıya ne kadar dayanabileceğinin
ölçülmesi için tasarlanan tam kapsamlı ve çok katmanlı saldırı simülasyonudur.
Şirketlerin güvenlik ekiplerinin, kurumun gerçek bir saldırı karşısında ne kadar iyi
bir sonuç alacağını test etmeleri için özel bir yol sunmaktadır. İyi kurgulanmış bir
Red Team güvenlik açıklarını, teknoloji altyapısındaki, insan gücündeki ve fiziksel
güvenlik ile alakalı risk tutarlarını ortaya çıkarmaktadır.

Red Team operasyonları sırasında, yüksek eğitimli güvenlik danışmanları

potansiyel fiziksel, donanım, yazılım ve insan zafiyetlerini ortaya çıkarmak için
saldırı senaryolarını yürürlüğe koymaktadır. Bu durumda Red Team, kötü niyetli
kişilerin şirket sistemlerini ve ağlarını tehlikeye atma veya veri ihlallerine olanak
verme fırsatlarını da ortaya çıkarmaktadır. Red Team Metodolojisinin detayları 6
ana maddede incelenmektedir.

Keşif (Reconnaissance)

Red Team operasyonundaki ilk ve en kritik aşamadır. Bu aşamada hedefle ilgili

mümkün olduğunca fazla bilgi toplamaya çalışılır. Hedefin insanları, teknolojisi,
çevresi ve çerçevesi hakkında çok şey öğrenmek çoğu zaman mümkündür. Bu adım
ayrıca, hedefe özel belirli araçlar oluşturmayı yâda edinmeyi de içermektedir.

Silahlanma (Weaponization)

Keşif faaliyetlerinden elde edilen bilgilere dayanarak, hedefe özel komuta kontrol
merkezlerinin inşa edilmesi ve zararlıların geliştirilmesinin adımıdır. Bu adımlar
genellikle; yazılımsal ve donanımsal zararlıların hazırlanması, RFID klonlamalarını
cihazlarının hazırlanması, sosyal mühendislik için senaryoların hazırlanması, sahte
kişilerin veya şirketlerin oluşturulması şeklindedir

Gönderim (Delivery)

Gönderim aşaması, operasyonun hedef ile ilk temasını içerir ve kritik aşamalardan
bir tanesidir. Bu, işlemin tamamını aktif olarak başlatıldığını gösterir. Red Team
ekipleri bu adımda belirlenen senaryolardaki hedeflere ulaşmak için hedef kişi veya
kişilere yönelik eylemleri gerçekleştirirler. Fiziksel olarak kimlik kartlarını
klonlamak, yüz yüze veya iletişim kanallarında sosyal mühendislik saldırıları,
teknoloji altyapısındaki zafiyet veya zafiyetlerin analizi gibi eylemler
kullanılmaktadır.

İstismar (Exploitation)
Gönderim aşamasında gerçekleştirilen eylemin veya eylemlerin başarıya ulaşması
sonucu hedefin teknoloji altyapısından erişimin elde edilmeye çalışmaktadır. Bu
durumda hedef özel geliştirilen zararlı ilgili hedef veya hedeflere bulaşmış
olacaktır.

Komuta ve Kontrol (Command & Control)

Hedef sistem veya sistemlerde çalışmaya başlayan zararlı yazılım Red Team
komuta ve kontrol sunucuları ile iletişime geçtiği aşamadır. Bu aşama için
oluşturulan komut ve kontrol sunucuları normal şartlarda legal sistemler gibi
görünmektedir. Ayrıca zararlının oluşturduğu ağ trafiğin de legal ağ trafiğine ait
gibi görünmesi için çaba sarf edilmektedir.

Hedefe İlerleme (Actions on Objective)

Bu adımda kurum tarafından belirlenmiş bir hedeflere erişmek için çalışmaların

başladığı adımdır. Amaç en kısa sürede ve açığa çıkmadan konumlandırılan hedefe
ulaşmaktır.

BLUE TEAM

Bu kategoride incelenen yazıların ana konusu, kurumların sistemlerine karşı

gerçekleştirilebilecek saldırılara karşı alınması gereken tedbir ve saldırı belirleme
yöntemleridir. Sızma testleri sonrasındaki test raporlarında belirtilen sıkılaştırma
adımları, bu kategori içerisindeki yazılarda incelenmektedir. Ayrıca, bilgi güvenliği
ve sistem yönetimi ile ilgili temel konular, zararlı yazılım analizi gibi konular da bu
kategori altında listelenmektedir. Mavi takım becerileri aşağıda verildiği gibidir:

Organize ve detay odaklı

Bir şirketin güvenlik altyapısında boşluk bırakılmasını önlemek için olağanüstü

derecede ayrıntı odaklı bir çalışmanın gerekliliğidir.

Siber güvenlik analizi ve tehdit profili

Bir şirketin veya kuruluşun güvenliğini değerlendirirken, bir risk veya tehdit profili
oluşturmanız gerekir. İyi bir tehdit profili, potansiyel tehdit saldırganlarını ve
gerçek hayattaki tehdit senaryolarını içerebilecek tüm verileri ve zayıf olabilecek
cephelerde çalışarak gelecekteki saldırılar için tam hazırlık yapmayı içerir.

Sertleştirme teknikleri

Herhangi bir saldırı ya da ihlale tam anlamıyla hazırlıklı olmak için, tüm yüzeylerin
teknik sertleştirme tekniklerinin ortaya çıkması gereklidir, bu da saldırı yüzeyindeki
korsanların faydalanmasını sağlayabilir. Sertleştirme politikalarında en çok göz ardı
edilenlerden biri olduğu için kesinlikle gerekli olan DNS'in sertleştirilmesidir.

Algılama sistemlerinin bilgisi

Olağandışı ve muhtemel kötü niyetli faaliyetler için ağın izlenmesine izin veren
yazılım uygulamalarına aşina olunmalıdır. Tüm ağ trafiğini takiben, paket
filtreleme, mevcut güvenlik duvarları ve benzeri, şirket sistemlerindeki tüm
aktiviteler için daha iyi bir tutuş sağlayacaktır.

SIEM

SIEM veya Güvenlik Bilgileri ve Olay Yönetimi, güvenlik olaylarının gerçek

zamanlı analizini sunan bir yazılımdır. Belirli bir kritere göre veri analizi yapabilme
yeteneği ile dış kaynaklardan veri toplar.

PURPLE TEAM

Purple Team, Red ve Blue Team'ın etkinliğini en üst düzeye çıkarmak için var olan
gruplardır.

RED TEAM BLUE TEAM ARASINDAKİ FARKLAR

- Red Team, Blue Team ile asla bilgi paylaşmaz. Kendilerini seçilmiş görürler.
- Red Team oluşumun içine çekilir ve kısırlaştırır.
- İki ekipte sürekli olarak birbirleriyle etkileşim içinde olmazlar.
- İki tarafında öğrendiği bilgiler hemen kaybolur.

NAC

NAC network güvenliğinin ilk adımı en basiti ama en etkili yöntemlerinden biridir.
Erişim denetimi ile ağ üzerinde izin verilmeyen hiçbir istemci ve kullanıcı
bulunamaz. NAC 802.1x protokolü kullanılarak ağa dahil olmak isteyen kullanıcı
bilgisayarlarının MAC adresleri kullanılarak yapılır. NAC yetki ve izin
denetimlerini kimlik ve erişim yönetimi olarak adlandırılan identity and access
management (IAM) bileşeni üzerinden yapar. IAM’in sağladığı izin bilgilerinin ve
önceden belirlenmiş kuralların yardımıyla NAC ağa gelen erişim isteklerini kabul
veya red eder. NAC çözümü ilk uygulandığında, ağa o anda erişmekte olan tüm
cihazları bulmak, ne tür cihazlar olduğunu saptamak, kurumun belirlediği
politikalara göre bu cihazlarla ilgili ne tür bir işlem yapılacağını belirlemek gibi
süreçleri işletir. NAC sistemleri genel olarak geniş bir ürün listesine ait kuralları ve
izinleri belirlemeyi sağlayan ince ayarları içerir.

NAC pre-admission ve post-admission olmak üzere iki şekilde uygulanabilir. Pre-

admission kullanıcının ön izinle ağa dahil olup olmayacağına karar verilmesi
işlemidir. Reddedilen kullanıcılar ağa dahil edilmeden reddedilirler. Post-admission
ise kullanıcı ağa dâhil edildikten sonra hangi haklara sahipse o haklar karşılığında
izin verilen uygulamalara erişebilir durumda olur.

NAC önemli özellikleri ve faydaları:

- Ayrı bir cihaz veya modül gerektirmeden işlem yapan tüm sistemlere belirlenen
kuralları zorunlu kılar.
- Herhangi bir ZeroDay saldırısına karşı önlemdir,
- Kullanıcıların ve cihazlarının tanınmasını ve profil çıkarılmasını
yetkilendirilmesini sağlar.
- Konuk (Guest) kullanıcıların ağ erişimini kontrol için konuk kullanıcı kaydı,
kimlik doğrulaması gibi önlemlerin yanı sıra guest yönetim portalı gibi servisleri
sağlar.
- Güvenlik politikalarına uyumu kullanıcı tipi, cihaz tipi ve işletim sistemi bazında
denetler.
- Uyumlu olmayan cihazlar için bloklama, izole etme ve onarma gibi güvenlik
politikalarını müdahale gerekmeden uygulayarak tehditleri elimine etmeye çalışır.
- Kullanıcıların, cihazların ve uygulamaların rol tabanlı kontrollerinin yapılmasına
olanak sağlar
- Open/RESTful API yardımıyla diğer güvenlik ve ağ çözümleri ile entegre çalışır.
- EAP türevi kimlik doğrulama protokolleri kullanılarak 802.1x için kablolu ve
kablosuz ağlarda şifreleme yapılmasına izin verir

Değişik lokasyonlardaki verilerin korunması, çeşitli güvenlik risklerini potansiyel

olarak taşıyan BYOD (Bring Your Own Device), yeni veya henüz tanımlanmamış
IoT cihazları, konuk-guest kullanıcı kontrolü ve sahte kablolu ya da kablosuz uç
noktaları gibi denetlenmesi gereken bileşenler NAC’ın daha çok yaygınlaşmasına
yol açmaktadır. Ayrıca NAC ürününün hem kablolu hem kablosuz ağlar için erişim
kontrolü sağlaması önemli bir ayrıntıdır.

CTF
CTF(Capture the flag), ‘’bayrağı yakala’’ adıyla bilinen siber güvenlik alanında
düzenlenen uygulamalı öğretici yarışmalardır.Yarışmaların asıl amacı, hack
konusunda öğrenilen bilgiye sahip olan insanların bu bilgileri pratiğe dökerek
kendilerini test etmelerini sağlamaktır.

CTF yarışmalarına katılanlar, korsanlardan, güvenlik uzmanlarından, bilgi

güvenliği araştırma gruplarından, öğrencilerden, bireyden kolektif olarak geniş bir
yelpazeye yayılıyor. CTF yarışması, materyal açısından büyük olmayabilir, ancak
büyük bir takdir olan önemli bir “ölçüm” olabilir.

CTF yarışmalarına katılmanın bilgi güvenliği ve güvenlik alanında çalışmaya ve

araştırmaya başlamak için “yararlı” olabileceği söylenebilir. Yarışmalar genelde
gruplar halinde yapılır.

CTF yarışmalarında 2 farklı tür vardır.

- Jeopardy - Attack - Defense

Jeopardy

Bu tür, iletilen güvenlik sorularına doğru yanıt vererek adım adım bayrakları
yakalamaya çalışır.Soruların zorluk seviyeleri ve puanları birbirinden farklıdır.Bir
soruyu yanıtlamadan diğer bir soruya geçemez.

Attack - Defense

Bu türde, bir takım savunma yaparken diğer takım saldırı yapmaktadır. Gruplara
sunulan sistemde zafiyetleri kapatmaya çalışırken rakipler açıkları bulmak için
uğraşırlar.

Tipik CTF Özellikleri :

- Genelde Hacking konferansları bünyesinde gerçekleştirilir.

- Takım olarak yarışılır. ( Lokal ya da Uzaktan )
- Farklı konularda uzmanlığı olan kişilerin takımınızda olması bir avantajdır.
- Takım içi iş paylaşımı önemlidir.

Katagoriler :

- Web
- Mobile
- Crypto (Kriptografi)
- Forensics
- Network
- Exploiting
- Reversing
- Steganography(Bilgi gizleme)
- Binary analysis
- Mobile

Yarışmacılardan beklenen nitelikler açıklık bulma, exploit geliştirme , toolkit

geliştirme ve grup çalışması yetenekleridir. Başarılı olabilmek için grup üyelerinin
bu alanlardan en az birinde , ideal olarak ise hepsinde bilgi sahibi olması gereklidir;

Bilgi toplama

- Port tarama ve IPS atlatma

- Network analizi ve network saldırıları
- Kablosuz ağlara sızmak, WPA/WPA-2 kırılması
- Paket analizi
- TCP/IP düzeyinde saldırılar
- Brute force, Parola saldırıları, wordlistler
- Dns saldırıları
- Exploit geliştirme ve kullanma
- Zafiyet tespiti (Vulnerability Discovery)
- Güvenlik duvarı, IDS, IPS, WAF gibi sistemleri aşmak
- Süreç içerisinde ihtiyaç duyulan toolkit'lerin geliştirilmesi

CTF’in Kazanımları Nelerdir?

- Ekip ruhu , Takım çalışması ve İş dağılımı

- Çözüm odaklı ve daha hızlı karar verme becerisi
- Stratejik bakış açısı
- Hacking deneyimi
- Saldırı ve Koruma için güvenlik bilgisi
- Yarışma deneyimi
- Hack konusunda kendinizi geliştirmiş ve yeni bilgiler
- Olası durumlar da bir saldırgan gibi düşünme becerisi
- Yarışma güvenlik açıkları, bilgisayar korsanları ve güvenlik konusunda yeni
teknikler hakkındaki bilgiler kazandırır.

CTF Yarışmalarına Nasıl Hazırlanılır ?

- Capture the flag (CTF) yarışmalarına hazırlanırken geçmişte çıkmış soruları

çözerek deneyim elde edilebilir.
- Yarışmada çıkabilecek konulardan en az birinde uzman seviyesine gelebilecek
şekilde bilgi sahibi olunmalı
- CTF yarışmalarında uygulanmış metodları ve hangi mantıkla hazırlanmış
olduklarını inceleyip , yarışmada çıkabilecek senoryolara hazırlık yapılmalıdır.
- Uzmanlık seviyesine gelinilen konunun yanı sıra diğer konularda da bilgi sahibi
olunulmalıdır.
- Kişi kendini ekip ruhuna adapte etmelidir.

LOGLAMA – SIEM

Loglama

Log izleme, tüm kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği
olay kayıtlarının(loglarının) belirlenen kurallara göre analiz edilmesi olarak
tanımlanmaktadır.  Logların kapsamlı bir şekilde toplanması, birleştirilmesi,
orijinal haliyle saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan
log yönetimi ise saldırının göstergelerini ve delillerini elde etmeye olanak
sağlamaktadır. Aynı zamanda saldırıların adli olarak incelenmesine de yardımcı
olarak saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokollerin
kullanıldığı ve atağın nereden start aldığı gibi önemli bilgileri elde etmeye yardımcı
olmaktadır. Logların günlük olarak izlenmesi ve yüksek riskli olaylar için gerçek
zamanlı alarmlar kurulması gerekmektedir.

Log yönetiminin daha verimli gerçekleştirilebilmesi için:

- Büyük hacimli log kayıtlarının hızlı arama ve çabuk erişim sağlama

seçenekleriyle saklanması verimliliği artırır.
- Olayların erken tespiti saldırının etkilerinin azaltılabilmesi adına hızlı bir şekilde
karşılık verilmesini ve aksiyon alınmasını sağlar.
- Olayları tespit yeteneğinin gelişmiş olması doğru aksiyonları araştırma ve uygun
yanıtı kararlaştırma için kontrol mekanizmaları sunar.
- İhlalleri, sızmaları ve yetkilendirilmemiş erişimleri tespit; analiz için veri akışı
sağlamak, denetim izlerini ve takibini sağlamak gibi birçok rutinin otomatize bir
şekilde gerçekleştirilebilmesi için uyarı ve istisna kurallarının belirlenmesi fayda
sağlar.

SIEM(Security Information and Event Management)

Daha gelişmiş bir sistem olarak görülen SIEM ise log analizine göre daha ince
detaylı yapılandırma ve raporlama seçenekleri sunmaktadır. SIEM’in en önemli
özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi
görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit
etmeye yardımcı olan korelasyon tekniğidir. SIEM ürünleri çevre birimlerden uç
kullanıcılara kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve
analiz eden sistemlerdir. SIEM’in çeşitli sistemlerden loglanan farklı formatlardaki
olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme
denir.  Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı
sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik
tehditlerinin tespitine ve harekete geçilmesine yardımcı olur.
Birleştirme(aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları
bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri
hızlandırmaya yardımcı olmaktadır.

SIEM’in çalışma mekanizması:

- Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine

göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme
adımlarını uygulamak
- Bağımsız gibi görünen olayları birbiriyle bağlantılandırmak ya da olayları datayla
ilişkilendirmek
- Yöneticilere mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak
- Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik
uzmanlarına sunan izleme paneli sağlamak
- SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor
üretmek

SIEM’in Önemi

SIEM ürünleri gerçek zamanlı raporlama ve güvenlik olayları analizi sağlayarak

ağlara yönelik en son tehditleri tespit edebilme imkânını sunarlar. Ağ güvenliğine
yönelik tehditler hızla yayılmakta ve her geçen gün yenileri ortaya çıkmaktadır.
Uzaktan erişim noktalarının ve ağlara bağlanan cihazların sayısındaki artış ağlara
sızma noktalarının da çoğalmasına neden olmaktadır. Bilişimciler ağın karşı karşıya
kaldığı tehditleri algılayabilmek için birden fazla kaynaktan toplanan veriyi analiz
etmek ve bunların sonucunda atılacak adımları kararlaştırmak durumundadırlar.
Saldırıların tespit edilmesi, dijital delillerin kaybedilmesine olanak vermeyecek
şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi
raporlaması ve güvenlik tehditlerinin gerçek zamanlı olarak izlemeye alınması gibi
önemli hizmetleri sunan SIEM ürünleri ağ geçidi, sunucular, güvenlik duvarları ve
diğer kritik BT bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda
ayrıntılı rapor üretirler.

UTM

UTM (Unified Threat Management) – Bütünleşik Güvenlik Cihazı Nedir?

Bilgisayar güvenliği, günümüz bilişim dünyasının en önemli sorunu haline
gelmiştir. Virüsler, trojanlar, spamlar, saldırılar hızla artmaktadır. İnternetin
yaygınlaşması ile bu zararlı uygulamalar ve ağın iş dışında başka amaçlarla
kullanılması çok yaygınlaşmıştır. Bu nedenle Antivirus Gateway (Ağ Geçidinde
virüs ve zararlı programları tarama) teknolojisi tüm büyük networkler için zorunlu
hale gelmiştir. Aksi takdirde bu zararlı uygulamaların verdiği zarar (sistemlerin
kapalı olması, şifrelerin ve bilgilerin çalınması, zaman kaybı gibi) AV Gateway’e
verilen paraların kat kat üstündedir.
Ayrıca yine büyük networkler için dışarıdan gelen saldırıları engelleyebilmek için
Saldırı Tesbit ve Engelleme Sistemleri gerekli hale gelmiştir.

Kullanıcıların iş dışında başka şeylerle uğraşmalarını engellemek ve zararlı

programcıklar içeren web sayfalarını önlemek için ise Web Filtreleme sistemlerine
ihtiyaç vardır. Yine network trafiği ve kullanıcı zamanını oldukça çalan bir diğer
sorun spam maillerdir. Bunları da engelleyen Anti Spam teknolojileri hızla
gelişmektedir.

Günümüzde çeşit çeşit marka ve teknolojide çözümler bulunmaktadır. Ancak

sektör, genel olarak tüm tehditleri engelleyen bütünleşik cihazlara yönelmektedir.
Bütünleşik Güvenlik Cihazları, güvenlik duvarı cihazı piyasasında gelişen bir
eğilimdir. Bu amaçla birçok marka tüm tehditleri tek cihazda engelleyebilen
“Bütünleşik Güvenlik Sistemleri” (UTM) ürünler çıkartmaya başlamıştır. Bu
sayede hem merkezi ve kolay kontrol sağlanmakta hem de lisans maliyetleri farklı
teknolojileri parça parça almaya kıyasla daha ucuz olmaktadır. UTM, sadece
saldırılara karşı koruyan geleneksel güvenlik duvarları ve VPN (sanal özel ağ)
hizmetini değil, aynı zamanda çoklu sistemler tarafından kullanılan içerik
filtreleme, spam mail filtreleme, saldırı tespit sistemi, casus yazılım engelleme ve
ağ geçitinde anti virüs görevlerini   de yürüten gelişmiş cihazlardır. Bu gibi
görevler daha önce çoklu sistemler tarafından yerine getiriliyorlardı. UTM cihazları
aynı zamanda tümleşik yönetim, kontrol, log tutabilme servislerini sağlarlar.

Günümüz işletmelerinin güvenlik duvarını sağlayan donanım yapısı kalabalaştıkça

normalde bulunmayan özellikleri güvenlik duvarına eklemek gerekli oldu. Bundan
sonra güvenlik duvarları “güvenlik duvarı cihazları” oldular. Bu noktada bütünleşik
güvenlik cihazları devreye giriyor. Anti-virüs, içerik filtreleme, saldırı tespit sistemi
ve spam filtreleme kullanan çoklu sistemler yerine, kurumlar yukarıda sayılan tüm
özellikleri barındıran tek bir ağ cihazını UTM güvenlik cihazı olarak alabilirler.
UTM cihazının bu çoklu işlevselliği güvenlik duvarlarının yerine geçmesi için
yeterli bir sebeptir. UTM cihazları, çoklu tehditlere karşı kapsamlı güvenlik
sağlarlar. UTM tümleşik paketinde tipik olarak bir güvenlik duvarı, antivirüs
yazılımı, içerik filtreleme ve spam filtreleme özellikleri bulunur. Ek olarak ağ
geçidi, saldırı tespit ve engelleme sistemini de tek bir platformda toplar. UTM
cihazı, karmaşıklığı indirgeyerek kullanıcıları karışık tehditlerden korumak için
tasarlanmıştır.

Bütünleşik Güvenlik Cihazı ilk defa IDC tarafından güvenlik özelliklerini tek bir
cihazda birleştiren güvenlik cihazları kategorisini tanımlamak için kullanılmıştır.
UTM sağlayıcıları Fortinet, Sonicwall ve Juniper olarak sıralanabilir. UTM’in
temel avantajları kullanım basitliği, hızlı kurulum ve kullanım ayrıca tüm güvenlik
uygulamalarının eş zamanlı güncellenebilmesi yetenekleridir.

UTM ürünleri, internet tehditlerinin yapısı gereği karmaşık şekilde gerçekleşen

gelişimine ve büyümesine ayak uydurabilir. Bu ise sistem yöneticilerinin çoklu
güvenlik programları kullanımı ihtiyacını ortadan kaldırır. Hackerlar bir IT
işletmesinin öncelikli odak noktası olduğu sıralar güvenlik duvarları çoğu ağı
koruma konusunda başarılıydı. Virüsler yaygınlaştıkça, kurumlar anti-virüs ağ
geçidini takiben web içerik filtreleme ve daha sonra spam filtreleme yöntemlerini
kullandılar. Bu durum yöneticilere yüksek maliyetli karmaşık sistemler getiriyor ve
hatırı sayılır bir alan tutuyordu.

Anti-virüs, Anti Spam, Web Filtreleme, IPS gibi güncelleme gerektiren bu tür
sistemleri satın alırken dikkat edilmesi gereken en önemli noktalardan birisi yıllık
güncelleme ücretidir. Her bir ürün ayrı ayrı güncellendiğinde güncelleme ücreti çok
fazla olmaktadır. Ürün tek merkezden birçok sıkıntıyı engelleyerek network
performansının artmasını, network personelinin başka işlere vakit ayırabilmesini,
personelinin iş dışında başka şeylerle uğraşmasının engellenmesini
sağlayacağından ödenen ücretlerin kat kat fazlasını kısa sürede çıkartacaktır.

Neler barındırırlar?

IDC, bir güvenlik cihazının UTM olarak adlandırılabilmesi için tanımlamalar

getirmiştir. Öncelikle bir işletim sistemi ve minimum insan müdahalesi gerektiren
bir kurulum süreci olmalıdır. Cihazın ağ güvenlik duvarı, saldırı tespiti ve saldırı
engelleme ve anti-virüs ağ geçidi özelliklerinin olması gerekir. Her yeteneğin
müşteri tarafından kullanılması gerekmez fakat bu fonksiyonlar cihazın içinde
bulunmalıdır. Bir UTM cihazı aynı zamanda bir grup veya kullanıcı için güvenlik
ve gizlilik yönetimi gibi diğer özellikleri de barındırabilir.

Bir UTM cihazı kullanmanın avantajları nelerdir?

Birçok harika yazılım tabanlı güvenlik uygulamaları piyasada çoktan varken neden
insanlar tehdit yönetimi güvenliği cihazlarını satın alıyorlar?

Tehdit yönetim güvenliği cihazları piyasası büyük oranda şunlardan dolayı

büyüyor:

Daha az karmaşıklık: Hepsi-bir arada yaklaşımı ürün seçimini, ürün

entegrasyonunu ve sürekli desteği kolaylaştırıyor. Kolay kurulum: Müşteriler veya
daha çok bayii ve sertifikalı kişiler ürünleri kolayca kurabilir ve kullanabilirler. Bu
süreç artan bir şekilde uzaktan yapılmaktadır. Üst düzey yazılım çözümleri:
Cihazlar, güvenlik uzmanları bulunmayan işletmelerin eriştiği uzak konumlarda
kullanılır. Bir tak ve kullan cihazı uzaktan kurulup yönetilebilir. Bu yönetim geniş,
merkezi yazılım tabanlı güvenlik duvarlarıyla yapılabilir. Sorun giderme kolaylığı:
Bir kutu hata verdiğinde sorun gidermektense yedekli kullanım ile bu sorun
aşılabilir.Bu süreç sistemi daha hızlı şekilde çalışır duruma geçirir ve teknik
olmayan bir kişi de bu işlemi gerçekleştirebilir. Bu özellik özellikle teknik
elemanları olmayan uzak ofisler için önemlidir.
Ayrıca önerilen bu cihazların aşağıdaki ek avantajları bulunmaktadır:

VPN: Dışarıdan (mesela evden internete bağlanarak) iç ağa şifreli bir network

kanalı ile ulaşılabilir.
IM FILTERING: Messenger gibi mesajlaşma uygulamaları belli kullanıcılara izin
verilebilir veya yasaklanabilir.
P2P FILTERING: Kullanıcılar arası veri alışverişini sağlayan, trafiği boğan ve
zararlı içeriklerin de yayılmasına neden olan P2P uygulamalarını (Kazaa, Skype,
bitTorrent, eDonkey, Gnutella vb.) kişi bazlı kısıtlayabilir veya komple
engelleyebilir.
TRAFFIC SHAPING: İşle ilgili uygulamalara ağda öncelik verilerek, Messenger
gibi çok gerekli olmayan uygulamalara düşük bant genişliği ayrılabilir.

Bir UTM cihazını değerlendirirken göz önünde bulundurulması gerekenler

nelerdir?

Aşağıda UTM cihazlarını alırken lehinde ve aleyhinde değerlendirme yapmak için

5 temel unsur bulunmaktadır:

1- Güvenlik kurulumunuzda bir açık olmadığından emin olun. Bir UTM cihazı
internet tabanlı tehditlere karşı geniş kapsamlı güvenlik koruması sağlar.
2- Bütünleşik Güvenlik Cihazı’nı tam olarak sağlayabilmek için cihazın güvenlik
duvarı, anti-virüs filtresi, anti-spam filtresi, URL filtresi ve saldırı tespit sisteminin
olması gerekir.
3- UTM cihazı kusursuz olmalıdır; anti-virüs filtresi veritabanı gibi bileşenler
güncel ve kullanımı kolay olmalıdır.
4- Bir UTM cihazı yılda 7 gün 24 saat çalışıyor halde olmalıdır - şirket ağınız için
şeffaf koruma ve istikrarlı olmalıdır.
5- Fiyatının karşılanabilir olması ve ürünün kapsamlı olması gerekir.

Ek Bilgiler

Güvenlik

Bilgisayar endüstrisinde, bir bilgisayarda depolanan verilere yetkisiz bireyler

tarafından ulaşılamamasına dayanır. Çoğu güvenlik önlemleri veri şifreleme ve
şifrelerden oluşur. Veri şifreleme, verinin bir deşifre mekanizması olmaksızın
anlaşılamayacak şekilde dönüştürülmesidir. Bir şifre, bir programa veya sisteme
kullanıcı erişim hakkı veren bir kelime ya da cümledir.

Güvenlik Duvarı

Özel bir ağa veya ağdan yetkisiz erişimi engelleyecek şekilde tasarlanmış sistemdir.
Güvenlik duvarları hem donanıma hem de yazılıma veya her ikisine birden
eklenebilir. Güvenlik duvarları sıklıkla yetkisiz internet kullanıcıların, internete
bağlı özel ağlara, özellikle intranete erişimlerini engellemek için kullanılır.
Güvenlik duvarından geçerek intranete giren veya çıkan her mesaj, güvenlik duvarı
tarafından incelenir ve belirlenmiş güvenlik kriterlerine uymayan mesajları
engeller.

Çeşitli güvenlik duvarı teknikleri vardır:

Paket filtreleme: Ağdan çıkan veya giren her pakete bakar ve kullanıcı tanımlı
kurallara göre kabul veya reddeder. Paket filtreleme oldukça etkilidir ve kullanıcı
esnekliği vardır  fakat konfigürasyonu zordur. Ek olarak IP spoofing saldırılarına
karşı etkisi şüphelidir.

Uygulama katmanında kontrol: FTP ve Telnet sunucusu gibi belirli

uygulamalara güvenlik mekanizması uygular. Bu oldukça etkilidir ama bir
performans düşüşüne sebep olabilir.

TCP/IP düzeyinde kontrol: Bir tcp veya udp bağlantısı sağlandığında güvenlik

mekanizmasını uygular. Bağlantı bir kere sağlandıysa başka bir kontrole gerek
olmadan paket alışverişi yapılabilir.

Proxy sunucusu: Ağa giren veya çıkan tüm mesajları önler. Proxy sunucusu ağ
adresini etkili bir şekilde gizler.

Uygulamada birçok güvenlik duvarı bu tekniklerden ikisini bir arada kullanır.

Bir güvenlik duvarı ilk sırada özel bilgileri korumakla görevlidir. Daha sıkı bir
güvenlik için veri şifrelenebilir.

Ağ Geçidi

1- Bir ağda bulunan ve başka bir ağa giriş görevi gören bir düğümdür. İşletmelerde
ağ geçidi, bir iş istasyonundan web sitelerini sunan dış ağa giden trafiği
yönlendiren bir bilgisayardır. Evlerde ağ geçidi kullanıcıyı internete bağlayan
internet servis sağlayıcısıdır.

2- şletmelerde ağ geçidi genellikle Proxy sunucusu ve güvenlik duvarı olarak

çalışır. Ağ geçidi aynı zamanda paketlerin nereye gönderildiğini belirlemek için
paket başlıklarını ve iletim tablolarını kullanan router (yönlendirici) ve ağ
geçidinde giren ve çıkan paketler için güncel yolu sağlayan switch ile birleşiktir.

3- Router için daha eskiden kullanılan fakat şu anda genel olarak router
kullanıldığından terk edilen bir terim.

Saldırı Tespit Sistemi

Bir saldırı tespit sistemi (IDS) gelen ve giden ağ faaliyetlerini inceler ve bir ağa
veya sisteme saldıracak kişinin veya sistemi tehlikeye düşüreceğini gösteren
şüpheli paket şablonlarını belirler.

IDS’yi kategorize etmek için çeşitli yollar vardır:

Suistimal tespiti ve bozukluk tespiti: Suistimal tespitinde, IDS topladığı bilgiyi

inceler ve büyük saldırı işareti veritabanlarıyla karşılaştırır. Esasında IDS daha
önce kayda alınmış belirli saldırılara bakar. Bir virüs tespit sistemi gibi, suistimal
tespit yazılımı ancak paket karşılaştırması yaptığı saldırı imzaları bulunan
veritabanı kadar iyidir. Bozukluk tespitinde, sistem yöneticisi referans çizgisini
veya normal ağ trafiğinin yük durumunu, arıza, protokol ve tipik paket boyutunu
tanımlar. Bozukluk saptayıcısı ağ segmentlerini referans hattıyla karşılaştırmak ve
bozukluklara bakmak için kontrol eder.

Ağ ve host tabanlı sistemler: Ağ tabanlı bir sistemde (NIDS) bir ağdan geçen her
paket tek tek incelenir. NIDS güvenlik duvarının basit filtreleme kuralları
tarafından gözden kaçırılmak üzere tasarlanan zararlı maddeleri tespit edebilir. Host
tabanlı bir sistemde, IDS her bilgisayarın veya hostun faaliyetini inceler.

Pasif sistem ve Reaktif sistem: Pasif bir sistemde, IDS potansiyel bir güvenlik
ihlalini tespit eder, bilgiyi kaydeder ve uyarı verir. Bir reaktif sistemde IDS, şüpheli
paket kaynağından gelen ağ trafiğini engellemek için bir kullanıcıyı sistemden
çıkararak veya güvenlik duvarını yeniden programlayarak karşılık verir.

İkiside ağ güvenliğiyle ilgili olduğu halde bir IDS güvenlik duvarından farkı
IDS’nin saldırıları önlemek için gözlemesidir. Güvenlik duvarı saldırıyı engellemek
için ağlar arasındaki erişimi kısıtlar ve ağ içinden bir saldırıyı bildirmez. Bir IDS
şüpheli bir saldırıyı gerçekleştiğinde değerlendirir ve alarm verir. Bir IDS aynı
zamanda içerden gelen saldırıları gözler.

Saldırı Engelleme Sistemi

IPS bilgisayar güvenlik sisteminde kullanılır. Ağ trafiği için kurallar sağlar

beraberinde sistem veya ağ yöneticilerini şüpheli trafikten uyarmak için saldırı
tespit sistemi getirir, ama yöneticiye faaliyet uyarısı vermeyi önleme imkânı verir.
Bazıları IPS’yi, IDS ve uygulama düzeyli güvenlik duvarı kombinasyonu ile
karşılaştırır.

Platform

Bir sistemin tabanında bulunan donanım veya yazılım. Örneğin platform DOS
Versiyon 6.0 çalıştıran bir Intel 80486 mikroişlemci olabilir. Platform aynı
zamanda bir Ethernet ağındaki UNIX makineleri olabilir.
Platform, üzerinde bir sistemin geliştirilebileceği standardı tanımlar. Bir platform
bir kere tanımlandıysa, yazılım geliştiricileri uygun yazılımları üretebilir ve
idareciler uygun donanımı ve uygulamaları satabilirler. Terim sıklıklıkla işletim
sisteminin eş anlamlısı olarak kullanılır.

Cross-platform (çapraz platform) terimi farklı platformlarda çalışan uygulamalara,

biçemlere veya aygıtlara delalet eder. Örneğin bir cross-platform, bir programcıya
birçok platform için tek seferde programlar geliştirmeyi mümkün kılan
programlama ortamıdır.

NETFLOW-SFLOW

NetFlow nedir?

Cisco tarafından yönlendiricilerde paket iletim ve erişim kontrol listesi(ACL) için

optimizasyon sağlamak amacıyla geliştirilen NetFlow, bir Cisco yönlendiricisine
yada üzerinde NetFlow etkin olan bir ağ anahtarına giden veya gelen tüm IP
trafiğini toplamak ve kaydetmek ve ağ trafiğini izlemek için yaygın kullanılan
protokoldür. 3. Katman ve sonrasında çalışır. Cisco dışındaki bazı üreticiler de
NetFlow’u destekler. NetFlow un v1 ile v9 arasında birçok versiyonu bulunmakla
beraber bir kısmı yayınlanmamıştır. En çok kullanılan versiyonları v5 ve v9 dur.

NetFlow durum tanımlı(stateful) çalışarak bir arayüz üzerinden gerçekleşen tüm IP

haberleşmelerini izler ve raporlama yapar. Netflow’da söz konusu her bir IP
haberleşmesi flow kavramı ile tanımlanmıştır. flow bir gönderici ve bir alıcı
arasında geçen bir konuşmayı oluşturan paketler dizisi olarak açıklanabilir. 
NetFlow, biz cihaza giren ve çıkan IP trafiğine dair verileri toplar;  paketleri
inceleyip kaynak ve alıcı adresleri, protokol ve portlar gibi belirli alanlara göre
flow’lara gruplandırır. Gözlemlenen flow’larla ilgili veriler paketlerden toplanır,
yerel olarak önbelleğe(cash) alınır ve periyodik olarak kolektörlere(collector)
gönderilir. Netflow OSI’nin 3. ve 4. Katmanlarına yoğunlaştığı için sadece IP
paketlerini izler.

Flow oluşturulmak üzere paketlerden toplanan öğeler şunlardır: Kaynak IP adresi,

Hedef IP adresi, UDP veya TCP için kaynak port, UDP veya TCP için hedef port,
IP protokolü, Giriş arayüzü, IP Hizmet Türü (Type of Service)

Bunun yanı sıra Sürüm numarası, Sıra numarası (sequence number), Giriş ve çıkış
arayüzleri (SNMP destekli), Akış başlangıç ve bitiş bilgisi, Akış boyutu ve paket
sayısı,3. Katman yönlendirme  bilgisi gibi parametreler de izlenebilir.
Ayrıca NetFlow v9 isteğe bağlı olarak MPLS (Multiprotocol Label Switching -
Çoklu Protokol Etiket Anahtarlama) etiket bilgisini ve IPv6 adres ile port bilgisini
de sağlar.

sFlow Nedir?

Yüksek hızla veri transferi yapan ağlarda durum tanımsız(stateless) paket

örnekleme protokolü olarak çalışan sFlow paket düzeyinde inceleme yapar. sFlow
ismindeki s sampling örnekleme anlamındadır. sFlow isminde her ne kadar isminde
flow varsa da akış ile ilgilenmez. Çalışma prensibi yüksek hızlı örneklemedir.
NetFlow’da olduğu gibi bir konuşmaya ait paketleri bir araya getirip flow
oluşturarak izleme yetisine sahip değildir

sFlow, herhangi bir ağ cihazına gömülü olarak (L2, L3, L4 ve L7'ye kadar) 
herhangi bir protokolde sürekli istatistikler sağlamak için tasarlanmıştır. Böylece
bir ağdaki tüm trafik doğru bir şekilde karakterize edilebilir ve izlenebilir. Bu
istatistikler, tıkanıklık kontrolü, sorun giderme, güvenlik gözetimi, ağ planlaması
için kullanılabilir.  Bir sFlow çalıştıran ağ cihazı üzerinden geçen paketten bir
örnek alır. Ayrıca rastgele paketler seçer. Alınan tüm paketlerin başlangıç baytlarını
toplama noktasına gönderir.

NetFlow ile Slow arasındaki farklar

NetFlow ve SFlow arasındaki en önemli fark; NetFlow ile trafik paternleri

incelenerek her bir paketin hangi konuşmaya ait olduğu tespit edilebilirken
sFlow’da sadece o anda akan trafiğin bir örnek kümesinin alınabildiği
görülmektedir. NetFlow’un bir haberleşmeye ait ilgili tüm paketleri
toplayabilmesi,  bir host ile ilgili trafiği ayrıntılarıyla incelemeyi, lokal
anomalilikleri algılamayı ve herhangi bir flow ile ilgili araştırma yapmayı
kolaylaştırmaktadır. Ancak trafiğin yoğunlaştığı durumlarda, her bir flow’a ait
verileri toplamak zorlaşmaktadır, bu durumda sFlow’un ölçeklenebilirliği avantajlı
hale gelmektedir. Ancak  yüksek trafikli ağlarda sFlow’un anlık değişimleri pikleri
yakalayamaması durumu da sözkonusudur.

NetFlow yüksek trafikli ağlarda ağ cihazının performansını önemli ölçüde tüketir.

sFlow ise çalışma prensibi dolayısıyla ağ cihazı performansına fazla etkisi olmaz

Çalışma esnasında NetFlow ‘un gecikmesi sFlow’dan daha fazla olabilir

Son olarak NetFlow’un sadece IP ile çalışması sFlow’un 2. Katmanda da çalışması

iki protokol arasındaki göze çarpan farklılıklardır.
CACHING

Önbellek, geçici bir veri alt kümesini depolayan yüksek hızlı veri depolama
katmanıdır. Önbelleğe alma, daha önce alınan veya hesaplanan verinin verimli bir
şekilde yeniden kullanılmasını sağlar. Önbellekleme yöntemi ile ilgili verilerin
sonraki süreçte talep edildiğinde, verilere birincil depolama konumundan erişildiği
için daha yüksek bir performans elde edilir.

Bir önbellekteki veriler genellikle RAM gibi donanımlarlarda saklanır ve veriye

erişmek için bir yazılım üzerinden bağlantı kurulması gerekebilir. Önbelleğe alma
işleminin amacı altta bulunan yavaş depolama katmanına erişme gereksinimini
mimumuma indirerek veri erişim performansını arttırmaktır.

Önbelleğe Alma Sisteminin Faydaları

- Uygulama performansı arttırılır.

- Veritabanı maliyeti düşürülür.
- Arka uçtaki yük azaltılır.
- Tahmin edilebilir performans sağlanır.
- Veritabanı bağlantı noktaları ortadan kaldırılır.
- Okuma verimini arttırır.

Önbelleğe Alma Türleri

Veritabanı (Database) Önbelleğe Alma

Web uygulamasında kullanılan veritabanının hız ve verimlilik performansı, web

uygulamasının performansı için büyük bir etkendir. Veritabanının önbelleğe
alınması, uygulama performansını etkileyen arka uç veritabanlarından veri alışveriş
sonucu doğacak gecikmelerin azaltılmasını sağlar.

İçerik Dağıtım Ağı (CDN)

Web trafiğinin coğrafi olarak dağıtılması durumunda, tüm alt yapının dünya
genelinde çoğaltılıp kullanılması uygun olmayabilir. CDN; statik içeriği (Her
kullanıcıya aynı olan HTML, CSS, Javascript ve resim dosyaları) ön belleğe almak
için kullanılır. Bir web sitesini kullanıcıya daha yakın bir konuma taşınması ve
gecikme süresinin azaltılması için kullanılır.

DNS Önbelleğe Alma

İnternette yapılan domain sorgularında, domain ile ilişkili IP adresini çözmek için
DNS önbellek sunucuları sorgulanır. DNS önbelleği, ISP'ler ve DNS sunucuları
üzerinden işletim sistemi de dahil olmak üzere pek çok düzeyde gerçekleştirilebilir.

Oturum Yönetimi (Session)

HTTP oturumları, site kullanıcılarının giriş bilgileri, önceden görüntülemeleri,

alışveriş bilgileri gibi kullanıcı bilgilerini içerir. Kullanıcı tercihlerinin hatırlanması
ve zengin kullanıcı bağlamı sağlayarak HTTP oturumlarının yönetilmesi kullanıcı
memnuniyetini arttırır.

Uygulama Programlama Arayüzü (API)

Web uygulamalarının çoğu bir API üzerinde kuruludur. API, kullanıcı istekleri
doğrultusunda veritabanlarıyla istek bağlantısında bulunur. API sonucunun
önbelleğe alınıp kullanıcıya döndürülmesi, veritabanlarının yükünü azaltıp hız ve
performans sağlar.

Hibrit Bulutlar için Önbelleğe Alma

Hibrit bulut üzerinde bulunan uygulamalar bazı veriler için kurum veritabanına
ihtiyaç duyabilir. Kurum verilerinin bulut ortamında ön belleğe alınması veri alma
performansını arttırır.

Web Önbelleğe Alma

Kullanıcılara web içeriği sunulurken görüntüler, html belgeleri, video vb. verilerin
ön belleğe alınması disk okuma ve sunucu yüklerini azaltır. Sunucu ve kullanıcı
taraflı farklı ağ önbellekleme türleri bulunmaktadır. Sunucu taraflı önbelleğe alma
işleminde web sunucularından gelen yanıtların tutulup, web sunucularının
yüklerinin ve gecikmelerin azaltılması amacıyla proxy kullanımını içerir. Kullanıcı
taraflı önbelleğe alma işleminde ise daha önce ziyaret edilen web sitelerinde
kullanıcıya ait bilgilerin önbelleğe aktarılması işlemi amaçlanır.

Genel Önbellek (Cache)

Verilere bellekten erişmek, SSD ve diskten verilere erişmekten daha hızlıdır.

Bağımsız bir veritabanı olarak bellekteki anahtar-değer deposunu kullanmayı esas
alır. Böylece önbellekteki verilerin kullanılması hız, düşük maliyet ve yüksek verim
gibi avantajlar sağlamaktadır.
Entegre Önbellek (Cache)

Entegre önbellekte, sıkça erişilen veriler kaynak veritabanından otomatik olarak

olarak ön belleğe alınır. Gelen veritabanı taleplerine yanıt vermek için önblellek
kullanılarak istek gecikmesi azaltılır. Veritabanı CPU ve bellek kullanımı
azaltılarak veritabanı performansı arttırılır.

PENETRASYON TESTİ

PENETRASYON / SIZMA TESTİ NEDİR?

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak

bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır. Böylelikle
penetrasyon testi-Pentest yapan güvenlikçiler, hacker gibi düşünüp sisteme sızma
ve ele geçirme senaryolarını uygulayarak ve saldırganların deneyebileceği tüm
yöntemleri deneyerek gerçek bir saldırı ile karşılaşıldığında sistemin açıklık
barındıran noktalarının onarılmış ve güvenliği sıkılaştırılmış olmasını
sağlamaktadırlar. Penetrasyon testlerinde lisanslı veya açık-kaynak kodlu araçlar
kullanılmakta, otomatize tarama araçlarının yanı sıra kuruma özel manuel testler de
uygulanarak mümkün olduğunca tüm zafiyetler tespit edilip düzeltilmeye
çalışılmaktadır.

Penetrasyon testlerinin amaçları:

- Kurumun güvenlik politikalarının ve kontrollerinin verimliliğini test etmek ve

denetlemek
- Zafiyet ve açıklık taramasını içten ve dıştan derinlemesine uygulamak
- Standartlara uyumluluk için veri toplayan denetleme ekiplerine kullanılabilir data
sağlamak
- Kurumun güvenlik kapasitesi hakkında kapsamlı ve ayrıntılı analiz sunarak
güvenlik denetlemelerinin maliyetini düşürmek
- Bilinen zafiyetlere uygun yamaların uygulanmasını sistematik bir hale getirmek
- Kurumun ağ ve sistemlerinde mevcut olan risk ve tehditleri ortaya çıkarmak
- Güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının
verimliliğini değerlendirmek
- Gelecek saldırı, sızma ve istismar girişimlerini önlemek için alınabilecek
aksiyonları belirleyen kapsamlı bir plan sunmak
- Mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm
yükseltmeye ihtiyacı olup olmadığını belirlemek
Kurumun penetrasyon testinden önce ağın karşılaşabileceği belli başlı tehditleri
ortaya çıkarmayı sağlayacak bir risk değerlendirmesi yapması önem taşımaktadır.

Risk değerlendirmesine alınması gereken sistemler:

- Haberleşme ve e-ticaret servisleri, hassas bilginin iletimi ve saklanması

işlemlerini gerçekleştiren sistemler
- Web siteleri, email sunucuları, uzaktan erişim platformları
- DNS güvenlik duvarı, parolalar, FTP, IIS ve web sunucuları
- Önemli üretim sistemleri
- Müşterilere ait sistemler

Penetrasyon Testi Metodolojisi

Penetrasyon testini bir standarda kavuşturmak için 2010 yılında oluşturulan

Penetration Testing Execution Standard (PTES) standardında sızma testleri 7 ana
aşama olarak belirlenmiştir:

-Anlaşma öncesi etkileşim (Pre-engagement Interactions): Testte kullanılacak

yöntem ve araçların açıklanması; kapsam, testin ne kadar sürede tamamlanacağı,
nelerin test edileceği ve kapsamda belirtilmeyen şeyler için ek desteğin verilmesi
-Bilgi toplama (Intelligence Gathering): Testi yapılacak kurumun hakkında
stratejik bir atak planı oluşturmak adına kurumun girdi noktaları hakkında bilgi
toplanması
-Tehdit Modelleme (Threat Modeling): Bu aşamada varlıkların tanımlanıp
kategorizasyonu ile tehditler ve tehdit topluluklarının tanımlanıp kategorizaston
işlemlerinin yardımıyla kurumun varlıklarını ve bunun karşısında saldırganları
merkeze alan bir tehdit modellemesi oluşturulması
-Zafiyet Analizi (Vulnerability Analysis): Saldırganların istismar etmesine neden
olacak sistem ve uygulama zafiyetlerini ortaya çıkarmak
-İstismar (Exploitation): Güvenlik kısıtlamalarını atlatarak sisteme ve kaynaklara
erişim sağlayarak kurumun ana giriş noktasını bulmak ve yüksek değerli varlıkları
saptamak
-İstismar sonrası (Post Exploitation): Ele geçirilen makinenin barındırdığı
bilgilerin değerinin belirlenmesi ve makinenin ağdaki diğer hedeflerde kullanılması
için kontrolünün sürdürülmesi
-Raporlama (Reporting): Raporda testle ilgili tüm teknik detaylara ve test
yapılması için üzerinde anlaşılan varlıklar ve bileşenlere yer verilmesi
gerekmektedir. Kapsam, bilgiler, saldırı tekniği, kullanılan yöntemler, etki ve risk
derecesi ile iyileştirme önerilerini içermelidir.

Sızma Testi yöntemleri nelerdir?

Blackbox:Bilgi Güvenliği Uzmanı’na sızma testinin gerçekleştirileceği yapı

ve/veya sistemle ilgili önceden herhangi bir bilgi verilmez.
Whitebox:Bilgi Güvenliği Uzmanı’na firma/kurum içindeki tüm yapı ve/veya
sistem hakkında bilgi verilir.
Graybox:‘Whitebox’ ile ‘Blackbox’ arasında olan bir sızma testi yöntemidir. Bilgi
Güvenliği Uzmanı’na yapı ve/veya sistemler hakkında ‘detaylı’ bilgi verilmez.

Penetrasyon Test Çeşitleri

- Web Uygulama Sızma Testi

- Network Sızma Testi
- Mobil Sızma Testi
- DOS/DDoS Sızma Testi
- Wireless Sızma Testi
- Sosyal Mühendislik Sızma Testi

RAID

RAID
RAID, Yedekli Ucuz (veya Bağımsız) Disk Dizisi, veri yedekliliği, performans
geliştirme veya her ikisi için birden fazla fiziksel disk sürücüsü bileşeni bir veya
daha fazla mantıksal birimle birleştiren bir veri depolama sanallaştırma
teknolojisidir.

Veriler, gerekli düzeydeki yedekleme ve performans düzeyine bağlı olarak, RAID

seviyeleri olarak adlandırılan birkaç yoldan birinde sürücüler arasında dağıtılır.
Farklı düzenleri veya veri dağıtım düzenlerini, "RAID" sözcüğü, ardından RAID 0
veya RAID 1 gibi bir sayı izler. Her şema veya RAID seviyesi, anahtar hedefler
arasında farklı bir denge sağlar: güvenilirlik kullanılabilirlik performans kapasite
RAID 0 seviyesinden daha büyük RAID seviyeleri, tüm fiziksel sürücülerdeki
arızaların yanı sıra geri dönüşü olmayan sektör okuma hatalarına karşı koruma
sağlar.

Özellikle hız gerektiren durumlarda, sabit diskin çoğu kullanıcın sandığından daha
fazla etkisi vardır. Windows performansı optimize etmek için araçlar sunar, fakat
disklerin fiziksel potansiyelinin bir sınırı vardır. Birkaç sabit diski eşzamanlı
kullanmak bu sorunu hafifletmeye oldukça yardımcı olur.

Basitçe açıklamak gerekirse, veri transfer hızlarının artması ve güvenliğin

yükseltilmesi amacıyla birkaç sabit disk bir arada kullanılır. RAID teknolojisinin
amacı dizideki diskleri birleştirip yüksek bir depolama kapasitesi elde etmek, hata
toleransı sağlamak ve disk performansını artırmaktır.

Raid günümüz şartlarında özellikle sunucular üzerinde olmazsa olmaz bir yapı
haline gelmiştir.

RAID seviyelerini öğrenmeden önce bazı terimleri bilmemiz gerekiyor;

HOT SPARE;RAID grubunun içerisinde bulunan ancak boşta yedek olarak

bekleyen diske denir. RAID grubundaki bir disk arızalandığı zaman normal
şartlarda diskin değiştirilmesi ve verinin tekrar yazılması beklenir. Ancak Hot
Spare olması durumunda arızalanan disk yerine Hot Spare geçer ve veri bu diske
yazılmaya başlar.

HOT SWAP;RAID grubundaki bir diskin arızalanması halinde sunucuyu

kapatmadan disk değişiminin yapılması işlemine verilen isimdir.

DUPLEXING; İki RAID kartının yedekli çalışması işlemidir.

RAID yapıları Yazılımsal RAID ve Donanımsal RAID olmak üzere ikiye

ayrılmaktadır.
Donanımsal RAID, Yazılımsal RAID göre daha performanslı olduğundan dolayı
daha çok tercih sebebidir. Ancak performansı değil de güvenliği ve maliyeti
düşünenler yazılımsal RAID kullanmaktadır. 

RAID ile ilgili olarak bilinmesi gereken bazı hassas noktalar vardır şöyleki;

- RAID yapısında disklerin aynı RPM’de veya aynı boyutta olması gerekmiyor.
Sunucunuzun desteklediği tüm diskleri kullanabilirsiniz. Ancak şunu bilmeniz
gerekiyor RAID yapısında olan diskler içerisinde en düşük RPM’li  ve en düşük
kapasiteye sahip diskiniz hangisi ise RAID ona göre hareket eder.  Yani 500 GB
7200RPM 1 disk ile 1 TB 15000 RPM 2 diskiniz olduğunu düşünün bu disklerden
RAID 0 yaptığınız takdirde her diskin 500 GB kapasitesini kullanabilirsiniz. RAID
yapısındaki tüm diskler ise 7200 RPM’miş gibi davranırlar.
- RAID Controller kartlarının arızalanması durumunda RAID kartınızı
değiştirebilirsiniz. RAID kartının arızalanması disk yapısının tamamen bozulduğu
anlamına gelmemektedir. RAID kartını değiştikten sonra yeni RAID kartınız
sunucu boot olurken disklerdeki RAID yapısını okuyacak ve RAID yapısını kendi
üzerine alması için onay isteyecektir.
- RAID Controller kartlarında bulunan Battery, bir disk dizisindeki bir diskin
sistemi devre dışı bırakmadan başarısız olmasına izin veren bir sistemin güvenliğini
sağlayan özelliğidir.

RAID denetleyicisine yerleştirilen bir arabellektir. Tampon bellek, işlemciye "diske

yazma" işleminin tamamlandığını "söyler", böylece sistem disklere veri göndermek
için işlemciye dönmeyi "bilir".

Basitçe, önbellek arabelleği, veriyi işlemciden diske hızlandırır. Ve bu önbellek

arabelleği, disk sürücülerine yazılıncaya kadar önbellek arabelleğindeki verileri
güvenli tutmak için bir pille donatılmıştır. Olası bir anlık kesinti halinde veriler
batterynin sağladığı güç ile üzerinde tutulur ve sunucunun tekrar aktif olması
halinde veriler disklere yazılır. Battery olmaması durumunda büyük veri kayıpları
yaşanabilir. Ayrıca battery performansıda etkilemektedir. RAID5 Controller
üzerinde battery olmadan saatte 8 GB civarında bir yazma söz konusuyken Battery
ile bu 70 GB’lara kadar çıkabilmektedir. Bu ciddi bir fark olduğundan dolayı
Battery kesinlikle kullanılması tavsiye edilir.
Yukarıdaki resimde örnek bir RAID Controller ve Battery takılmış şekilde kartı
görebilirsiniz.

RAID Seviyeleri

RAID 0 (Stripe Set)

Bu RAID seviyesi için en az 2 disk kullanılır. 32 diske kadar kadar çıkılabilir.

Veriler disklere dağıtılarak yazılır. Bu sayede yazma ve okuma hızı oldukça iyidir.
Ayrıca Parity – Eşveri yazılmaması da performans artışında etkendir. Disklerin
toplam alanı kullanılabilir. 4 adet 300 GB disk ile toplam 1.2 TB alan tek sürücü
altında kullanılabilir. Bu yapıda disklerden birinin hataya düşmesi durumunda diğer
disklerdeki veriye ulaşılamaz. Önemli verilerin tutulduğu alanlar için kullanılması
önerilmez. Görüntü ve resim işleme uygulamaları, yüksek yazma ve okuma isteyen
uygulamalar için kullanılır. Her bir 2 disk grubu için ayrı bir raid kartı performansı
daha da arttırır.
RAID 1 (Mirror)

Bu RAID seviyesi için 2 disk kullanılır. Veriler bir diske yazılır, kopyası birebir
olarak diğer diske de yazılır. Okuma hızı yazma hızına oranla iyidir. Tek bir diske
göre okuma ve yazma hızı daha iyidir. 300 GB iki disk ile RAID 1 yapıldığında
kullanılabilecek alan 300 GB olur. Bir diskin hataya düşmesi durumunda diğer disk
ile sistem çalışır. Rebuild – yeniden yapılandırma yapılmadan, bozulan diskin
yerine takılan diske kopyalama yapılır. Yazılım RAID yapılarında asıl diskin
bozulması durumunda sistem durabilir. Yedekteki disk asıl diskin yerine/yuvasına
takılarak sistem açılabilir. Önemli verilerin disk arızalarına karşı güvenliğini
sağlamak için kullanılır.

RAID 10
Bu RAID seviyesi için en az 4 disk kullanılır. 32 diske kadar çıkarılabilir. RAID 0
daki gibi veriler disklere dağıtılarak yazılır. Dağıtılan verilerin kopyası RAID 1
deki gibi diğer diske yazılır. 300 GB dört disk ile RAID 10 yapıldığında kapasite
600 GB olur. Biri diskin hataya düşmesi durumunda sistem devam eder. Hatalı disk
değiştirilir. Rebuild- Yeniden yapılandırma ile sağlam diskten veriler yeni diske
kayıt edilir. Pahalı bir RAID seviyesidir. Yoğun çalışan Veritabanı dosyaları için
kullanılır.

Rebuild performansı RAID 0 ve 1 den iyidir.

RAID 5 (Stripe Set with Parity)

En çok kullanılan RAID türüdür. Bu RAID seviyesi için en az 3 disk kullanılır. 16

yada Raid kartına bağlı olarak 32 diske kadar çıkarılabilir. Veriler disklere
dağıtılarak yazılır. Aynı yazım sırasında verinin bir diskin hataya düşmesi
durumunda verinin kurtarılması için bir veri bloğu daha, verinin yazılmadığı diğer
diske yazılır. Bu şekilde performans sağlanır. Bu veriye parite - eş veri denir.
Okuma hızı yüksek veri yazma hızı Parite- Eş verinin hazırlanması ve yazılması
aşamasında normaldir. 300 GB 3 disk ile RAID 5 yapıldığında kapasite 600 GB
olur. En az 1 disk alanı parite için ayrılır. İstenirse bu oran arttırılabilir. Disklerden
biri hataya düştüğünde sistem çalışmaya devam eder. Hatalı disk değiştirilir ve
Rebuild-Yeniden yapılandırma aşaması başlar. Rebuild aşaması daha yoğun işlemci
gücü gerektirir. Bu aşamada performansta düşüş olabilir.  RAID kartının daha
karmaşık işlemler yapması gerekir. Dosya ve uygulama sunucuları, okuma
işlemlerin daha yoğun yapıldığı veritabanı sunucuları, WEB, mail sunucular için
tavsiye edilir.

RAID 50

Bu RAID seviyesi için en az 6 disk kullanılır. 16 yada Raid kartına bağlı olarak 32
diske kadar çıkarılabilir.  RAID 03 olarak da adlandırılmıştır. RAID 50, RAID 5
ten daha fazla güvenlik ve performans sağlar. RAID 5 ve RAID 0 ın özelliklerinin
kullanılması ile geliştirilmiştir. Veriler RAID 0 da olduğu gibi parçalanır. Bu
veriler RAID 5 te olduğu gibi disklere Parity-Eş veriler oluşturularak yazılır. Küçük
verilerin okuma ve yazma işlemlerinde performanslıdır. Rebuid-Yeniden
yapılandırma aşaması RAID 5 e göre hızlıdır. Pahalı bir RAID seviyesidir. Aynı
disk grubunda 2 diskin bozulması durumunda veriler erişilemez hale gelir.
Kullanılan disk sayısına göre, elde edilebilir alan toplam disklerin kapasitesinin
%67 si ile % 94 arasında değişir.
RAID 5E (Enhanced)

Bu RAID seviyesi için en az 4 disk gerekir. Spare-Yedek disk dâhil 8 ile 16 diske
kadar çıkarılabilir. Spare-Yedek disk aktif olarak kullanılır. RAID 5 seviyesinin
zorunlu olarak disk arızasına karşı ek diskin kullanılmasını gerektiren gelişmiş bir
çeşididir. Verinin disklere daha iyi yayılmasını sağlar. 4 disk ile oluşturulan yapıda
1 disk parity-eş veri, 1 disk spare-yedek olarak ayrılır. RAID 5 in getirdiği
avantajlara ek olarak yazama ve okumada RAID 5 ten daha performanslıdır. Spare-
Yedek olarak ayrılan disk, diğer Array-RAID grupları için kullanılamaz. (2010
itibari ile) tüm Raid kartları genel olarak destek vermez. Rebuild-Yeniden
yapılandırma aşaması yavaş gerçekleşebilir. RAID 5E, RAID 5 te elde edilen
kapasitenin aynısını artı 1 Spare-Yedek disk ile sağlar. Aşağıdaki yapıda 5 disk ile
oluşturulmuş RAID 5E yapısı görülebilir. Veriler RAID 5 teki gibi dağıtılır.
Buradaki en önemli fark Spare-Yedek disk alanının da disklere boş alanlar olarak
dağıtılmasıdır. Bu Spare-Yedek alanlar disklerin son kısımlarına yerleştirilir.
Bir diskin bozulması durumunda, disklerin sonunda bulunan boş alanlara, bozulan
diskteki veriler yazılır. Bu şekilde RAID 5E yapısı korunur. Bu durumda bir disk
daha bozulursa sistem çalışmaya devam eder. Bu defa Parity ler kullanılarak veri
yapılandırılır. Bozulan yada çıkarılan diskin yerine, yeni disk takıldığında eskisi
gibi veriler yeniden düzenlenir.

RAID 5EE

Bu RAID seviyesi için en az dört disk kullanılır. 16 yada Raid kartına bağlı olarak
32 diske kadar çıkarılabilir. RAID 5E ile özellikleri aynıdır. Farkı Spare olarak
kullanılan disk alanının disklere veriler gibi dağıtılması ve Rebuild-Yeniden
yapılandırma aşamasında kullanılmasıdır. Bu şekilde RAID 5 ten daha performanslı
ve RAID 5E den daha hızlı Rebuil-Yeniden yapılandırma gerçekleştirilir.
Kullanılan disklerin sayısına göre disk alanı toplam disklerin alanının %50 - %88
değerleri arasında değişir. Spare-Yedek Disk diğer Raid grupları için kullanılamaz.
RAID5 yerine kullanılması tavsiye edilebilir. Aşağıdaki 4 disk ile yapılan RAID
5EE yapısı görülebilir.
Bir diskin bozulması durumunda, disklerin sonunda bulunan boş alanlara, bozulan
diskteki verilen yazılır. Bu şekilde RAID 5E yapısı korunur. Bu durumda bir disk
daha bozulursa sistem çalışmaya devam eder. Bu defa Parity ler kullanılarak veri
yapılandırılır. Bozulan yada çıkarılan diskin yerine, yeni disk takıldığında eskisi
gibi veriler yeniden düzenlenir.

RAID 1E

Bu RAID seviyesi için en az 3 disk gerekir ve tek sayılı disk gruplarında

yapılandırılabilir (odd number). Veriler diske dağıtılarak yazılır. Parite –Eş veri
hazırlanmaz. Bir diske yazılan verinin kopyası diğer diske yazılır. Toplam
depolama alanının yarısı RAID için kullanılır. 3 diskli bir RAID 1E yapısında
disklerden birinde oluşan hata durumunda sistem çalışmaya devam eder. 5 diskli bir
RAID 1E yapısında birbiri ardı olmayan 2 disk aynı anda bozulsa bile sistem
çalışır. Aşağıdaki yapıda herhangi bir diskin bozulması durumunda sistem çalışır.
Aynı anda A ve B, yada B ve C, yada C ve D, yada D ve E, yada E ve A diskleri
bozulmadığı sürece sistem kesintisiz çalışacaktır. RAID1E RAID1 den daha
performanslıdır. RAID 1 yerine tercih edilebilir. Toplam disk alanının yarısı
verilerin kopyası için kullanılır.

RAID 3

Bu RAID seviyesi için en az 3 disk gerekir. Veriler disklere RAID 0 da olduğu gibi
dağıtılarak yazılır. Yazılan verilen Byte-Level, byte seviyesinde kısaca daha küçük
parçalar kullanılarak yazılır. Yazılan verilerin Parity-Eş verileri atanmış bir disk
üzerine yazılır. Yüksek yazma ve okuma oranına sahiptir. Bir diskin bozulması
durumunda genel olarak performans çok etkilenmez. RAID kartının karmaşık bir
yapıya sahip olması gerekebilir. Software RAID yapılarında performans açısından
kesinlikle kullanılması önerilmez. Aynı ana denk gelen bağımsız yazma ve okuma
işlemlerinde performans kötüdür. Video, Resim işleme ve yayınlama, Matbaa,
Dizany uygulamalarında tavsiye edilir.

RAID 4

Bu RAID seviyesi için en az 3 disk gerekir. Veriler disklere RAID 0 da olduğu gibi
dağıtılarak yazılır. Yazılan veriler RAID 3 ten farklı olarak daha büyük parçalı
Block-Level, data blokları şeklinde yazılır. Yazılan verilerin Parity-Eş verileri
atanmış bir disk üzerine yazılır. Yüksek okuma oranına sahiptir. Bir diskin
bozulması durumunda genel olarak performans çok etkilenmez. RAID kartının
karmaşık bir yapıya sahip olması gerekebilir. Software RAID yapılarında
performans açısından kesinlikle kullanılması önerilmez. Aynı ana denk gelen
bağımsız yazma işlemlerinde performans oldukça kötüdür.
RAID 6 ( Dual Distributed Parity)

Bu RAID seviyesi için en az 4 disk gerekir. Bu yapı Raid5 gibi dağıtılmış pariteler
kullanır. Raid5’ten farkı, iki ayrı parite bilgisi kullanarak iki diski tolere etmesidir.
RAID 6 oldukça yüksek oranda hata toleransı sunar ve birden fazla diskte eş
zamanlı olarak ortaya çıkabilecek hataları ya da arızaları karşılayarak sistemin
kararlı bir şekilde çalışmaya devam etmesini sağlar. Okuma hızı çok iyidir, ancak
yazma hızı çift parite kullanıldığından Raid5’e göre daha kötüdür.

Parity hesaplamasında XOR (ikilik sayı tabanında ardı ardına yapılan "toplama"
işlemi ) hesaplaması kullanılır. Bu hesaplamayı yapmak için gereken işlem gücü
fazladır. Özellikle de iki hatalı diskin bulunduğu bir RAID 6 dizgesi için gerçekten
güçlü bir işlemciye veya tümleşik XOR hesaplama motoru bulunan bir
denetleyiciye ihtiyacınız vardır.

Kullanım alanları Dosya ve uygulama sunucuları, veritabanı sunucuları, Web, e-

posta sunucuları, Intranet sunucuları
 

RAID 60 (Striping of Double Parity)

Bu RAID seviyesi için en az 8 disk gerekir. RAID 60 Raid 6’nın dağıtılan çift
paritesi ile Raid 0‘ın şeritlemesini birleştirir. Bu yapıda Raid 6’lık bloğun disk
alanının 2 katı kadar disk alanına sahip oluruz. Performans ve veri güvenliğini
sağlayarak büyük boyutları destekler.

RAID 51 / 15

Bu RAID modeli  en az 6 diskten oluşur. RAID 50 ile hemen hemen aynı

yapıdadır.  RAID 5 disklerin RAID 1 altında birleşmesi ile yapılır. En güvenli
yapıdır.

Gerekli en az disk sayısı : 6 

Kapasite kaybı : 2 Disk 
Disk törelansı : 2 Disk 
Performans : İyi

RAID 0 + 1 ; 

Raid 0+1 modeli RAID teknolojileri arasında en performanslı yapıdır. Performans

disk sayısı ile doğru orantılıdır. Disk sayısı arttıkça performansda artar. 2 tane
RAID 0 yapısının RAID 1 altında birleşmesi ile oluşur. Bu yapı için en az 4 disk
gerekmektedir. Verileri tüm disklere dağıtarak okuma ve yazma işlemini
gerçekleştirdiği için performansı çok yüksektir.
VERBIS

VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye
başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili
kategorik bazda bilgi girişi yapacakları bir kayıt sistemi olarak tanımlanmaktadır.
Kişisel Verileri Koruma Kanunu ile bağlantılı olarak veri işlemeye yetkili
kurumların bilgi girişi yapmak için kullanmaları gereken Veri Sorumluları Sicil
Bilgi Sistemi (VERBİS) kayıt sistemine ait yönetmelik 30.12.2017 tarihli ve 30286
sayılı Resmi Gazetede yayınlanarak 01.01.2018 tarihinde yürürlüğe girmiştir.

Yıllık çalışan sayısı ve yıllık mali bilanço toplamına göre kurumların sisteme
kaydolmaları için belirlenen tarih aralıkları:

- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon
TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları
01.10.2018 - 30.09.2019
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az
olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri
sorumluları 01.01.2019 - 31.03.2020
- Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 - 30.06.2020

KVKK’nın 16. maddesine göre ve Veri Sorumluları Sicili Hakkında

Yönetmeliği’ne göre Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye
başlamadan önce VERBİS’e kayıt yaparken aşağıdaki bilgileri girmek
zorundadırlar:

- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri

- Kişisel verilerin hangi amaçla işleneceği
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki
açıklamalar
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
- Yabancı ülkelere aktarımı öngörülen kişisel veriler
- Kişisel veri güvenliğine ilişkin alınan tedbirler
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre

VERBİS sistemine verbis.kvkk.gov.tr adresinden ulaşabilirsiniz.

ZERODAY

Zeroday Açıklıkları ve Çözümler

Sıfırıncı Gün Açıklıkları - Zeroday

Zeroday (Sıfırıncı gün açıklıkları) daha önceden bilinmeyen veya tespit edilmemiş
ancak ciddi saldırılara yol açacak zafiyetler barındıran yazılım veya donanım
kusurlarıdır. Zeroday açıklıkları çoğunlukla saldırı gerçekleşene kadar tespit
edilmesi zor olan zafiyetlerdir.

Zeroday saldırısı ise geliştiricilerin bir yama veya düzeltme yayınlamaya fırsat
bulamadan saldırganın zafiyeti istismar etmesi ve zararlı yazılımı yaymasıyla
gerçekleşir. Bu nedenle bu zafiyet sıfırıncı gün açıklığı (zeroday) olarak
isimlendirilmiştir.

Zeroday saldırısına neden olan etmenler:

- Yazılımcıların geliştirdikleri uygulamanın bir zafiyet barındırdığının farkında

olmadan uygulamayı kullanıma geçirmeleri
- Saldırganın zafiyeti geliştiriciden önce saptaması veya geliştiricinin bir düzeltme
üretmesine fırsat vermeden istismar etmesi
- Zafiyet hala istismar edilmeye açık ve ulaşılabilir iken saldırganın istismar
kodunu yazıp uygulaması
Yama yazılıp kullanıma alındıktan sonra açıklık artık zeroday olarak
adlandırılmaktan çıkmaktadır. Zeroday açıklıklarının tespit edilme süreci bazen
aylar hatta yıllar almaktadır.

Zeroday Açıklıklarını Saptamak için Çözümler

Sandbox

Türkçede Kum havuzu olarak adlandırılan Sandbox sıkı kontrol ve izin

mekanizmaları uygulanarak ayrık ve kısıtlı olarak dizayn edilmiş, programın
üzerinde çalıştığı sisteme herhangi bir hasar vermeden veya zararlı yazılım
bulaştırmadan denenebildiği ortamdır. 

Sandbox içerisinde bir program çalıştırıldığında normal bir sistem üzerinde

çalışıyormuş gibi işlevleri yerine getirir; ancak uygulamanın oluşturmak veya
değiştirmek istediği herhangi bir şey program çalışmayı durdurduğunda
kaybedilmektedir, yani saklanmamaktadır.  Sandbox sistemler aynı zamanda belirli
zararlı yazılım tehditlerini analiz etmek ve öğrenmek için de kullanılmaktadır.
Zeroday saldırılarını denetleyip önleme için geliştirilmiş bazı Sandbox ürünleri
işlemci düzeyinde denetim yaparak atak vektörlerinin daha işlenmeye başlamadan
sona erdirilmesini sağlamaktadır. İşletim sistemi düzeyinde denetleme sağlayan
sandbox ürünleri ise dosya davranışlarını ve linkleri inceleyerek şüpheli aktiviteleri
tespit etmeye çalışmaktadır.

Zeroday Açıklıklarını Tespit için Yöntemler

Bilgisayar sistemlerinin hemen hemen her platformda uygulama alanı bulması ile
birlikte bilgi teknolojileri gün geçtikçe karmaşıklaşmakta ve bu nedenle siber
saldırı olasılığı da artmaktadır. Birçok kurum IDS/IPS, güvenlik açığı tarama
araçları, anti-malware ve antivirüs gibi imza-tabanlı güvenlik araçlarıyla bilinen
tehditleri denetlemeye çalışmaktadır, ancak Zeroday gibi içerdeki bir yazılımcının
yanlışlıkla zafiyetli olarak geliştirdiği bir uygulamanın arzettiği tehlike çoğu zaman
bu geleneksel yöntemlerle tespit edilememektedir. Birçok kurum bu ilk elden
gelebilecek tehdidi algılayıp yanıt verecek bir donanıma sahip değildir.  Zeroday
açıklıkların tespit edilip önlenmesi sürecinde sadece olay kayıtlarının değil işleyişin
analizi de büyük öneme sahiptir. Uzmanlar Zeroday açıklıklarının saptanmasında
en kullanışlı yöntemin sistemdeki anormal davranışların tanımlanıp yöneticilerin
hızlı bir şekilde alarma geçirilmesini sağlayan davranış bazlı(behavior-based)
analiz araçları olduğunu vurgulamaktadırlar. Davranış bazlı analiz araçlarında
Hidden Markov Modeli ve istemci bir honeypot sistemi kullanılmaktadır.

Bazı ürünler ise Zeroday açıklığını tespit etmek için beyaz listede olmayan
portlardan giden yetkisiz internet trafiği için kural oluşturmaktadır. Bir diğer
yöntem ise alıcı IP adresi bilinmeyen tek bir kaynakla ile iletişim gibi bir etkileşim
için alarm oluşturulmasıdır.
SOAR

SOAR (Security Orchestration Automation and Responce) Nedir

SOAR çok farklı kaynaklardan gönderilen güvenlik verilerinin toplanarak

düzenlenmesini standardizasyonunu ve otomasyonunu sağlamak için ortaya
konmuş bir sistemler bütünüdür.

Sürekli artan tehditlere karşı ağda toplanan verilerin artması sonucunda elde edilen
farklı ve büyük verilerin düzenlenmesi ve raporlanması zorlaşmaktadır. SOAR Veri
çeşitliliğinin ve miktarının artması karşısında tehdit müdahale yeteneklerinin
artmasını sağlamakta ve iş süreçlerini kolaylaştırmaktadır. 10 ve daha fazla
elemanın çalıştığı NOC ve SOC ekiplerinin SIEM yanında SOAR da kullanma
gerekliliği de ortaya çıkmaktadır. SOAR kavramı içinde öne çıkan iki önemli tanım
otomasyon ve orkestrasyondur. Otomasyon uzmanın elle yapacağı işlemlerin
otomasyon ortamında hızlıca ve hatasız yapılması, orkestrasyon ise farklı güvenlik
uygulama ve servislerinin birlikte çalıştırılması ve birbirine entegre edilmesidir.
Saldırılar daha karmaşık hale geldikçe tehdit istihbaratında hızlanmak gerekecektir.
Daha hızlı öğrenme ve daha hızlı cevap süreleri elde etmenin yolu SOAR dan
geçmektedir. SOAR şüpheli davranışların algılanmasını kolaylaştırmakta ve cevap
verme süresini azaltmaktadır. Veri kaynaklarından gelen bilgileri birleştirerek
işlemlerin etkinliğini ve verimliliği arttırmakta ve cevapları otomatikleştirmektedir.
Sonuç olarak SIEM olayların analizini yapıp sonuçları söylerken SOAR olayları
anlayıp karşı hamle yapmaktadır.