Professional Documents
Culture Documents
Keşif (Reconnaissance)
Silahlanma (Weaponization)
Keşif faaliyetlerinden elde edilen bilgilere dayanarak, hedefe özel komuta kontrol
merkezlerinin inşa edilmesi ve zararlıların geliştirilmesinin adımıdır. Bu adımlar
genellikle; yazılımsal ve donanımsal zararlıların hazırlanması, RFID klonlamalarını
cihazlarının hazırlanması, sosyal mühendislik için senaryoların hazırlanması, sahte
kişilerin veya şirketlerin oluşturulması şeklindedir
Gönderim (Delivery)
Gönderim aşaması, operasyonun hedef ile ilk temasını içerir ve kritik aşamalardan
bir tanesidir. Bu, işlemin tamamını aktif olarak başlatıldığını gösterir. Red Team
ekipleri bu adımda belirlenen senaryolardaki hedeflere ulaşmak için hedef kişi veya
kişilere yönelik eylemleri gerçekleştirirler. Fiziksel olarak kimlik kartlarını
klonlamak, yüz yüze veya iletişim kanallarında sosyal mühendislik saldırıları,
teknoloji altyapısındaki zafiyet veya zafiyetlerin analizi gibi eylemler
kullanılmaktadır.
İstismar (Exploitation)
Gönderim aşamasında gerçekleştirilen eylemin veya eylemlerin başarıya ulaşması
sonucu hedefin teknoloji altyapısından erişimin elde edilmeye çalışmaktadır. Bu
durumda hedef özel geliştirilen zararlı ilgili hedef veya hedeflere bulaşmış
olacaktır.
Hedef sistem veya sistemlerde çalışmaya başlayan zararlı yazılım Red Team
komuta ve kontrol sunucuları ile iletişime geçtiği aşamadır. Bu aşama için
oluşturulan komut ve kontrol sunucuları normal şartlarda legal sistemler gibi
görünmektedir. Ayrıca zararlının oluşturduğu ağ trafiğin de legal ağ trafiğine ait
gibi görünmesi için çaba sarf edilmektedir.
BLUE TEAM
Bir şirketin veya kuruluşun güvenliğini değerlendirirken, bir risk veya tehdit profili
oluşturmanız gerekir. İyi bir tehdit profili, potansiyel tehdit saldırganlarını ve
gerçek hayattaki tehdit senaryolarını içerebilecek tüm verileri ve zayıf olabilecek
cephelerde çalışarak gelecekteki saldırılar için tam hazırlık yapmayı içerir.
Sertleştirme teknikleri
Herhangi bir saldırı ya da ihlale tam anlamıyla hazırlıklı olmak için, tüm yüzeylerin
teknik sertleştirme tekniklerinin ortaya çıkması gereklidir, bu da saldırı yüzeyindeki
korsanların faydalanmasını sağlayabilir. Sertleştirme politikalarında en çok göz ardı
edilenlerden biri olduğu için kesinlikle gerekli olan DNS'in sertleştirilmesidir.
Olağandışı ve muhtemel kötü niyetli faaliyetler için ağın izlenmesine izin veren
yazılım uygulamalarına aşina olunmalıdır. Tüm ağ trafiğini takiben, paket
filtreleme, mevcut güvenlik duvarları ve benzeri, şirket sistemlerindeki tüm
aktiviteler için daha iyi bir tutuş sağlayacaktır.
SIEM
PURPLE TEAM
Purple Team, Red ve Blue Team'ın etkinliğini en üst düzeye çıkarmak için var olan
gruplardır.
- Red Team, Blue Team ile asla bilgi paylaşmaz. Kendilerini seçilmiş görürler.
- Red Team oluşumun içine çekilir ve kısırlaştırır.
- İki ekipte sürekli olarak birbirleriyle etkileşim içinde olmazlar.
- İki tarafında öğrendiği bilgiler hemen kaybolur.
NAC
NAC network güvenliğinin ilk adımı en basiti ama en etkili yöntemlerinden biridir.
Erişim denetimi ile ağ üzerinde izin verilmeyen hiçbir istemci ve kullanıcı
bulunamaz. NAC 802.1x protokolü kullanılarak ağa dahil olmak isteyen kullanıcı
bilgisayarlarının MAC adresleri kullanılarak yapılır. NAC yetki ve izin
denetimlerini kimlik ve erişim yönetimi olarak adlandırılan identity and access
management (IAM) bileşeni üzerinden yapar. IAM’in sağladığı izin bilgilerinin ve
önceden belirlenmiş kuralların yardımıyla NAC ağa gelen erişim isteklerini kabul
veya red eder. NAC çözümü ilk uygulandığında, ağa o anda erişmekte olan tüm
cihazları bulmak, ne tür cihazlar olduğunu saptamak, kurumun belirlediği
politikalara göre bu cihazlarla ilgili ne tür bir işlem yapılacağını belirlemek gibi
süreçleri işletir. NAC sistemleri genel olarak geniş bir ürün listesine ait kuralları ve
izinleri belirlemeyi sağlayan ince ayarları içerir.
- Ayrı bir cihaz veya modül gerektirmeden işlem yapan tüm sistemlere belirlenen
kuralları zorunlu kılar.
- Herhangi bir ZeroDay saldırısına karşı önlemdir,
- Kullanıcıların ve cihazlarının tanınmasını ve profil çıkarılmasını
yetkilendirilmesini sağlar.
- Konuk (Guest) kullanıcıların ağ erişimini kontrol için konuk kullanıcı kaydı,
kimlik doğrulaması gibi önlemlerin yanı sıra guest yönetim portalı gibi servisleri
sağlar.
- Güvenlik politikalarına uyumu kullanıcı tipi, cihaz tipi ve işletim sistemi bazında
denetler.
- Uyumlu olmayan cihazlar için bloklama, izole etme ve onarma gibi güvenlik
politikalarını müdahale gerekmeden uygulayarak tehditleri elimine etmeye çalışır.
- Kullanıcıların, cihazların ve uygulamaların rol tabanlı kontrollerinin yapılmasına
olanak sağlar
- Open/RESTful API yardımıyla diğer güvenlik ve ağ çözümleri ile entegre çalışır.
- EAP türevi kimlik doğrulama protokolleri kullanılarak 802.1x için kablolu ve
kablosuz ağlarda şifreleme yapılmasına izin verir
CTF
CTF(Capture the flag), ‘’bayrağı yakala’’ adıyla bilinen siber güvenlik alanında
düzenlenen uygulamalı öğretici yarışmalardır.Yarışmaların asıl amacı, hack
konusunda öğrenilen bilgiye sahip olan insanların bu bilgileri pratiğe dökerek
kendilerini test etmelerini sağlamaktır.
Jeopardy
Bu tür, iletilen güvenlik sorularına doğru yanıt vererek adım adım bayrakları
yakalamaya çalışır.Soruların zorluk seviyeleri ve puanları birbirinden farklıdır.Bir
soruyu yanıtlamadan diğer bir soruya geçemez.
Attack - Defense
Bu türde, bir takım savunma yaparken diğer takım saldırı yapmaktadır. Gruplara
sunulan sistemde zafiyetleri kapatmaya çalışırken rakipler açıkları bulmak için
uğraşırlar.
Katagoriler :
- Web
- Mobile
- Crypto (Kriptografi)
- Forensics
- Network
- Exploiting
- Reversing
- Steganography(Bilgi gizleme)
- Binary analysis
- Mobile
Bilgi toplama
LOGLAMA – SIEM
Loglama
Log izleme, tüm kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği
olay kayıtlarının(loglarının) belirlenen kurallara göre analiz edilmesi olarak
tanımlanmaktadır. Logların kapsamlı bir şekilde toplanması, birleştirilmesi,
orijinal haliyle saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan
log yönetimi ise saldırının göstergelerini ve delillerini elde etmeye olanak
sağlamaktadır. Aynı zamanda saldırıların adli olarak incelenmesine de yardımcı
olarak saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokollerin
kullanıldığı ve atağın nereden start aldığı gibi önemli bilgileri elde etmeye yardımcı
olmaktadır. Logların günlük olarak izlenmesi ve yüksek riskli olaylar için gerçek
zamanlı alarmlar kurulması gerekmektedir.
Daha gelişmiş bir sistem olarak görülen SIEM ise log analizine göre daha ince
detaylı yapılandırma ve raporlama seçenekleri sunmaktadır. SIEM’in en önemli
özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi
görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit
etmeye yardımcı olan korelasyon tekniğidir. SIEM ürünleri çevre birimlerden uç
kullanıcılara kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve
analiz eden sistemlerdir. SIEM’in çeşitli sistemlerden loglanan farklı formatlardaki
olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme
denir. Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı
sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik
tehditlerinin tespitine ve harekete geçilmesine yardımcı olur.
Birleştirme(aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları
bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri
hızlandırmaya yardımcı olmaktadır.
SIEM’in Önemi
UTM
Bütünleşik Güvenlik Cihazı ilk defa IDC tarafından güvenlik özelliklerini tek bir
cihazda birleştiren güvenlik cihazları kategorisini tanımlamak için kullanılmıştır.
UTM sağlayıcıları Fortinet, Sonicwall ve Juniper olarak sıralanabilir. UTM’in
temel avantajları kullanım basitliği, hızlı kurulum ve kullanım ayrıca tüm güvenlik
uygulamalarının eş zamanlı güncellenebilmesi yetenekleridir.
Anti-virüs, Anti Spam, Web Filtreleme, IPS gibi güncelleme gerektiren bu tür
sistemleri satın alırken dikkat edilmesi gereken en önemli noktalardan birisi yıllık
güncelleme ücretidir. Her bir ürün ayrı ayrı güncellendiğinde güncelleme ücreti çok
fazla olmaktadır. Ürün tek merkezden birçok sıkıntıyı engelleyerek network
performansının artmasını, network personelinin başka işlere vakit ayırabilmesini,
personelinin iş dışında başka şeylerle uğraşmasının engellenmesini
sağlayacağından ödenen ücretlerin kat kat fazlasını kısa sürede çıkartacaktır.
Neler barındırırlar?
Birçok harika yazılım tabanlı güvenlik uygulamaları piyasada çoktan varken neden
insanlar tehdit yönetimi güvenliği cihazlarını satın alıyorlar?
1- Güvenlik kurulumunuzda bir açık olmadığından emin olun. Bir UTM cihazı
internet tabanlı tehditlere karşı geniş kapsamlı güvenlik koruması sağlar.
2- Bütünleşik Güvenlik Cihazı’nı tam olarak sağlayabilmek için cihazın güvenlik
duvarı, anti-virüs filtresi, anti-spam filtresi, URL filtresi ve saldırı tespit sisteminin
olması gerekir.
3- UTM cihazı kusursuz olmalıdır; anti-virüs filtresi veritabanı gibi bileşenler
güncel ve kullanımı kolay olmalıdır.
4- Bir UTM cihazı yılda 7 gün 24 saat çalışıyor halde olmalıdır - şirket ağınız için
şeffaf koruma ve istikrarlı olmalıdır.
5- Fiyatının karşılanabilir olması ve ürünün kapsamlı olması gerekir.
Ek Bilgiler
Güvenlik
Güvenlik Duvarı
Özel bir ağa veya ağdan yetkisiz erişimi engelleyecek şekilde tasarlanmış sistemdir.
Güvenlik duvarları hem donanıma hem de yazılıma veya her ikisine birden
eklenebilir. Güvenlik duvarları sıklıkla yetkisiz internet kullanıcıların, internete
bağlı özel ağlara, özellikle intranete erişimlerini engellemek için kullanılır.
Güvenlik duvarından geçerek intranete giren veya çıkan her mesaj, güvenlik duvarı
tarafından incelenir ve belirlenmiş güvenlik kriterlerine uymayan mesajları
engeller.
Paket filtreleme: Ağdan çıkan veya giren her pakete bakar ve kullanıcı tanımlı
kurallara göre kabul veya reddeder. Paket filtreleme oldukça etkilidir ve kullanıcı
esnekliği vardır fakat konfigürasyonu zordur. Ek olarak IP spoofing saldırılarına
karşı etkisi şüphelidir.
Proxy sunucusu: Ağa giren veya çıkan tüm mesajları önler. Proxy sunucusu ağ
adresini etkili bir şekilde gizler.
Bir güvenlik duvarı ilk sırada özel bilgileri korumakla görevlidir. Daha sıkı bir
güvenlik için veri şifrelenebilir.
Ağ Geçidi
1- Bir ağda bulunan ve başka bir ağa giriş görevi gören bir düğümdür. İşletmelerde
ağ geçidi, bir iş istasyonundan web sitelerini sunan dış ağa giden trafiği
yönlendiren bir bilgisayardır. Evlerde ağ geçidi kullanıcıyı internete bağlayan
internet servis sağlayıcısıdır.
3- Router için daha eskiden kullanılan fakat şu anda genel olarak router
kullanıldığından terk edilen bir terim.
Ağ ve host tabanlı sistemler: Ağ tabanlı bir sistemde (NIDS) bir ağdan geçen her
paket tek tek incelenir. NIDS güvenlik duvarının basit filtreleme kuralları
tarafından gözden kaçırılmak üzere tasarlanan zararlı maddeleri tespit edebilir. Host
tabanlı bir sistemde, IDS her bilgisayarın veya hostun faaliyetini inceler.
Pasif sistem ve Reaktif sistem: Pasif bir sistemde, IDS potansiyel bir güvenlik
ihlalini tespit eder, bilgiyi kaydeder ve uyarı verir. Bir reaktif sistemde IDS, şüpheli
paket kaynağından gelen ağ trafiğini engellemek için bir kullanıcıyı sistemden
çıkararak veya güvenlik duvarını yeniden programlayarak karşılık verir.
İkiside ağ güvenliğiyle ilgili olduğu halde bir IDS güvenlik duvarından farkı
IDS’nin saldırıları önlemek için gözlemesidir. Güvenlik duvarı saldırıyı engellemek
için ağlar arasındaki erişimi kısıtlar ve ağ içinden bir saldırıyı bildirmez. Bir IDS
şüpheli bir saldırıyı gerçekleştiğinde değerlendirir ve alarm verir. Bir IDS aynı
zamanda içerden gelen saldırıları gözler.
Platform
Bir sistemin tabanında bulunan donanım veya yazılım. Örneğin platform DOS
Versiyon 6.0 çalıştıran bir Intel 80486 mikroişlemci olabilir. Platform aynı
zamanda bir Ethernet ağındaki UNIX makineleri olabilir.
Platform, üzerinde bir sistemin geliştirilebileceği standardı tanımlar. Bir platform
bir kere tanımlandıysa, yazılım geliştiricileri uygun yazılımları üretebilir ve
idareciler uygun donanımı ve uygulamaları satabilirler. Terim sıklıklıkla işletim
sisteminin eş anlamlısı olarak kullanılır.
NETFLOW-SFLOW
NetFlow nedir?
Bunun yanı sıra Sürüm numarası, Sıra numarası (sequence number), Giriş ve çıkış
arayüzleri (SNMP destekli), Akış başlangıç ve bitiş bilgisi, Akış boyutu ve paket
sayısı,3. Katman yönlendirme bilgisi gibi parametreler de izlenebilir.
Ayrıca NetFlow v9 isteğe bağlı olarak MPLS (Multiprotocol Label Switching -
Çoklu Protokol Etiket Anahtarlama) etiket bilgisini ve IPv6 adres ile port bilgisini
de sağlar.
sFlow Nedir?
sFlow, herhangi bir ağ cihazına gömülü olarak (L2, L3, L4 ve L7'ye kadar)
herhangi bir protokolde sürekli istatistikler sağlamak için tasarlanmıştır. Böylece
bir ağdaki tüm trafik doğru bir şekilde karakterize edilebilir ve izlenebilir. Bu
istatistikler, tıkanıklık kontrolü, sorun giderme, güvenlik gözetimi, ağ planlaması
için kullanılabilir. Bir sFlow çalıştıran ağ cihazı üzerinden geçen paketten bir
örnek alır. Ayrıca rastgele paketler seçer. Alınan tüm paketlerin başlangıç baytlarını
toplama noktasına gönderir.
Önbellek, geçici bir veri alt kümesini depolayan yüksek hızlı veri depolama
katmanıdır. Önbelleğe alma, daha önce alınan veya hesaplanan verinin verimli bir
şekilde yeniden kullanılmasını sağlar. Önbellekleme yöntemi ile ilgili verilerin
sonraki süreçte talep edildiğinde, verilere birincil depolama konumundan erişildiği
için daha yüksek bir performans elde edilir.
Web trafiğinin coğrafi olarak dağıtılması durumunda, tüm alt yapının dünya
genelinde çoğaltılıp kullanılması uygun olmayabilir. CDN; statik içeriği (Her
kullanıcıya aynı olan HTML, CSS, Javascript ve resim dosyaları) ön belleğe almak
için kullanılır. Bir web sitesini kullanıcıya daha yakın bir konuma taşınması ve
gecikme süresinin azaltılması için kullanılır.
İnternette yapılan domain sorgularında, domain ile ilişkili IP adresini çözmek için
DNS önbellek sunucuları sorgulanır. DNS önbelleği, ISP'ler ve DNS sunucuları
üzerinden işletim sistemi de dahil olmak üzere pek çok düzeyde gerçekleştirilebilir.
Web uygulamalarının çoğu bir API üzerinde kuruludur. API, kullanıcı istekleri
doğrultusunda veritabanlarıyla istek bağlantısında bulunur. API sonucunun
önbelleğe alınıp kullanıcıya döndürülmesi, veritabanlarının yükünü azaltıp hız ve
performans sağlar.
Hibrit bulut üzerinde bulunan uygulamalar bazı veriler için kurum veritabanına
ihtiyaç duyabilir. Kurum verilerinin bulut ortamında ön belleğe alınması veri alma
performansını arttırır.
Kullanıcılara web içeriği sunulurken görüntüler, html belgeleri, video vb. verilerin
ön belleğe alınması disk okuma ve sunucu yüklerini azaltır. Sunucu ve kullanıcı
taraflı farklı ağ önbellekleme türleri bulunmaktadır. Sunucu taraflı önbelleğe alma
işleminde web sunucularından gelen yanıtların tutulup, web sunucularının
yüklerinin ve gecikmelerin azaltılması amacıyla proxy kullanımını içerir. Kullanıcı
taraflı önbelleğe alma işleminde ise daha önce ziyaret edilen web sitelerinde
kullanıcıya ait bilgilerin önbelleğe aktarılması işlemi amaçlanır.
PENETRASYON TESTİ
RAID
RAID
RAID, Yedekli Ucuz (veya Bağımsız) Disk Dizisi, veri yedekliliği, performans
geliştirme veya her ikisi için birden fazla fiziksel disk sürücüsü bileşeni bir veya
daha fazla mantıksal birimle birleştiren bir veri depolama sanallaştırma
teknolojisidir.
Özellikle hız gerektiren durumlarda, sabit diskin çoğu kullanıcın sandığından daha
fazla etkisi vardır. Windows performansı optimize etmek için araçlar sunar, fakat
disklerin fiziksel potansiyelinin bir sınırı vardır. Birkaç sabit diski eşzamanlı
kullanmak bu sorunu hafifletmeye oldukça yardımcı olur.
Raid günümüz şartlarında özellikle sunucular üzerinde olmazsa olmaz bir yapı
haline gelmiştir.
RAID ile ilgili olarak bilinmesi gereken bazı hassas noktalar vardır şöyleki;
- RAID yapısında disklerin aynı RPM’de veya aynı boyutta olması gerekmiyor.
Sunucunuzun desteklediği tüm diskleri kullanabilirsiniz. Ancak şunu bilmeniz
gerekiyor RAID yapısında olan diskler içerisinde en düşük RPM’li ve en düşük
kapasiteye sahip diskiniz hangisi ise RAID ona göre hareket eder. Yani 500 GB
7200RPM 1 disk ile 1 TB 15000 RPM 2 diskiniz olduğunu düşünün bu disklerden
RAID 0 yaptığınız takdirde her diskin 500 GB kapasitesini kullanabilirsiniz. RAID
yapısındaki tüm diskler ise 7200 RPM’miş gibi davranırlar.
- RAID Controller kartlarının arızalanması durumunda RAID kartınızı
değiştirebilirsiniz. RAID kartının arızalanması disk yapısının tamamen bozulduğu
anlamına gelmemektedir. RAID kartını değiştikten sonra yeni RAID kartınız
sunucu boot olurken disklerdeki RAID yapısını okuyacak ve RAID yapısını kendi
üzerine alması için onay isteyecektir.
- RAID Controller kartlarında bulunan Battery, bir disk dizisindeki bir diskin
sistemi devre dışı bırakmadan başarısız olmasına izin veren bir sistemin güvenliğini
sağlayan özelliğidir.
RAID Seviyeleri
Bu RAID seviyesi için 2 disk kullanılır. Veriler bir diske yazılır, kopyası birebir
olarak diğer diske de yazılır. Okuma hızı yazma hızına oranla iyidir. Tek bir diske
göre okuma ve yazma hızı daha iyidir. 300 GB iki disk ile RAID 1 yapıldığında
kullanılabilecek alan 300 GB olur. Bir diskin hataya düşmesi durumunda diğer disk
ile sistem çalışır. Rebuild – yeniden yapılandırma yapılmadan, bozulan diskin
yerine takılan diske kopyalama yapılır. Yazılım RAID yapılarında asıl diskin
bozulması durumunda sistem durabilir. Yedekteki disk asıl diskin yerine/yuvasına
takılarak sistem açılabilir. Önemli verilerin disk arızalarına karşı güvenliğini
sağlamak için kullanılır.
RAID 10
Bu RAID seviyesi için en az 4 disk kullanılır. 32 diske kadar çıkarılabilir. RAID 0
daki gibi veriler disklere dağıtılarak yazılır. Dağıtılan verilerin kopyası RAID 1
deki gibi diğer diske yazılır. 300 GB dört disk ile RAID 10 yapıldığında kapasite
600 GB olur. Biri diskin hataya düşmesi durumunda sistem devam eder. Hatalı disk
değiştirilir. Rebuild- Yeniden yapılandırma ile sağlam diskten veriler yeni diske
kayıt edilir. Pahalı bir RAID seviyesidir. Yoğun çalışan Veritabanı dosyaları için
kullanılır.
RAID 50
Bu RAID seviyesi için en az 6 disk kullanılır. 16 yada Raid kartına bağlı olarak 32
diske kadar çıkarılabilir. RAID 03 olarak da adlandırılmıştır. RAID 50, RAID 5
ten daha fazla güvenlik ve performans sağlar. RAID 5 ve RAID 0 ın özelliklerinin
kullanılması ile geliştirilmiştir. Veriler RAID 0 da olduğu gibi parçalanır. Bu
veriler RAID 5 te olduğu gibi disklere Parity-Eş veriler oluşturularak yazılır. Küçük
verilerin okuma ve yazma işlemlerinde performanslıdır. Rebuid-Yeniden
yapılandırma aşaması RAID 5 e göre hızlıdır. Pahalı bir RAID seviyesidir. Aynı
disk grubunda 2 diskin bozulması durumunda veriler erişilemez hale gelir.
Kullanılan disk sayısına göre, elde edilebilir alan toplam disklerin kapasitesinin
%67 si ile % 94 arasında değişir.
RAID 5E (Enhanced)
Bu RAID seviyesi için en az 4 disk gerekir. Spare-Yedek disk dâhil 8 ile 16 diske
kadar çıkarılabilir. Spare-Yedek disk aktif olarak kullanılır. RAID 5 seviyesinin
zorunlu olarak disk arızasına karşı ek diskin kullanılmasını gerektiren gelişmiş bir
çeşididir. Verinin disklere daha iyi yayılmasını sağlar. 4 disk ile oluşturulan yapıda
1 disk parity-eş veri, 1 disk spare-yedek olarak ayrılır. RAID 5 in getirdiği
avantajlara ek olarak yazama ve okumada RAID 5 ten daha performanslıdır. Spare-
Yedek olarak ayrılan disk, diğer Array-RAID grupları için kullanılamaz. (2010
itibari ile) tüm Raid kartları genel olarak destek vermez. Rebuild-Yeniden
yapılandırma aşaması yavaş gerçekleşebilir. RAID 5E, RAID 5 te elde edilen
kapasitenin aynısını artı 1 Spare-Yedek disk ile sağlar. Aşağıdaki yapıda 5 disk ile
oluşturulmuş RAID 5E yapısı görülebilir. Veriler RAID 5 teki gibi dağıtılır.
Buradaki en önemli fark Spare-Yedek disk alanının da disklere boş alanlar olarak
dağıtılmasıdır. Bu Spare-Yedek alanlar disklerin son kısımlarına yerleştirilir.
Bir diskin bozulması durumunda, disklerin sonunda bulunan boş alanlara, bozulan
diskteki veriler yazılır. Bu şekilde RAID 5E yapısı korunur. Bu durumda bir disk
daha bozulursa sistem çalışmaya devam eder. Bu defa Parity ler kullanılarak veri
yapılandırılır. Bozulan yada çıkarılan diskin yerine, yeni disk takıldığında eskisi
gibi veriler yeniden düzenlenir.
RAID 5EE
Bu RAID seviyesi için en az dört disk kullanılır. 16 yada Raid kartına bağlı olarak
32 diske kadar çıkarılabilir. RAID 5E ile özellikleri aynıdır. Farkı Spare olarak
kullanılan disk alanının disklere veriler gibi dağıtılması ve Rebuild-Yeniden
yapılandırma aşamasında kullanılmasıdır. Bu şekilde RAID 5 ten daha performanslı
ve RAID 5E den daha hızlı Rebuil-Yeniden yapılandırma gerçekleştirilir.
Kullanılan disklerin sayısına göre disk alanı toplam disklerin alanının %50 - %88
değerleri arasında değişir. Spare-Yedek Disk diğer Raid grupları için kullanılamaz.
RAID5 yerine kullanılması tavsiye edilebilir. Aşağıdaki 4 disk ile yapılan RAID
5EE yapısı görülebilir.
Bir diskin bozulması durumunda, disklerin sonunda bulunan boş alanlara, bozulan
diskteki verilen yazılır. Bu şekilde RAID 5E yapısı korunur. Bu durumda bir disk
daha bozulursa sistem çalışmaya devam eder. Bu defa Parity ler kullanılarak veri
yapılandırılır. Bozulan yada çıkarılan diskin yerine, yeni disk takıldığında eskisi
gibi veriler yeniden düzenlenir.
RAID 1E
RAID 3
Bu RAID seviyesi için en az 3 disk gerekir. Veriler disklere RAID 0 da olduğu gibi
dağıtılarak yazılır. Yazılan verilen Byte-Level, byte seviyesinde kısaca daha küçük
parçalar kullanılarak yazılır. Yazılan verilerin Parity-Eş verileri atanmış bir disk
üzerine yazılır. Yüksek yazma ve okuma oranına sahiptir. Bir diskin bozulması
durumunda genel olarak performans çok etkilenmez. RAID kartının karmaşık bir
yapıya sahip olması gerekebilir. Software RAID yapılarında performans açısından
kesinlikle kullanılması önerilmez. Aynı ana denk gelen bağımsız yazma ve okuma
işlemlerinde performans kötüdür. Video, Resim işleme ve yayınlama, Matbaa,
Dizany uygulamalarında tavsiye edilir.
RAID 4
Bu RAID seviyesi için en az 3 disk gerekir. Veriler disklere RAID 0 da olduğu gibi
dağıtılarak yazılır. Yazılan veriler RAID 3 ten farklı olarak daha büyük parçalı
Block-Level, data blokları şeklinde yazılır. Yazılan verilerin Parity-Eş verileri
atanmış bir disk üzerine yazılır. Yüksek okuma oranına sahiptir. Bir diskin
bozulması durumunda genel olarak performans çok etkilenmez. RAID kartının
karmaşık bir yapıya sahip olması gerekebilir. Software RAID yapılarında
performans açısından kesinlikle kullanılması önerilmez. Aynı ana denk gelen
bağımsız yazma işlemlerinde performans oldukça kötüdür.
RAID 6 ( Dual Distributed Parity)
Bu RAID seviyesi için en az 4 disk gerekir. Bu yapı Raid5 gibi dağıtılmış pariteler
kullanır. Raid5’ten farkı, iki ayrı parite bilgisi kullanarak iki diski tolere etmesidir.
RAID 6 oldukça yüksek oranda hata toleransı sunar ve birden fazla diskte eş
zamanlı olarak ortaya çıkabilecek hataları ya da arızaları karşılayarak sistemin
kararlı bir şekilde çalışmaya devam etmesini sağlar. Okuma hızı çok iyidir, ancak
yazma hızı çift parite kullanıldığından Raid5’e göre daha kötüdür.
Parity hesaplamasında XOR (ikilik sayı tabanında ardı ardına yapılan "toplama"
işlemi ) hesaplaması kullanılır. Bu hesaplamayı yapmak için gereken işlem gücü
fazladır. Özellikle de iki hatalı diskin bulunduğu bir RAID 6 dizgesi için gerçekten
güçlü bir işlemciye veya tümleşik XOR hesaplama motoru bulunan bir
denetleyiciye ihtiyacınız vardır.
Bu RAID seviyesi için en az 8 disk gerekir. RAID 60 Raid 6’nın dağıtılan çift
paritesi ile Raid 0‘ın şeritlemesini birleştirir. Bu yapıda Raid 6’lık bloğun disk
alanının 2 katı kadar disk alanına sahip oluruz. Performans ve veri güvenliğini
sağlayarak büyük boyutları destekler.
RAID 51 / 15
RAID 0 + 1 ;
VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye
başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili
kategorik bazda bilgi girişi yapacakları bir kayıt sistemi olarak tanımlanmaktadır.
Kişisel Verileri Koruma Kanunu ile bağlantılı olarak veri işlemeye yetkili
kurumların bilgi girişi yapmak için kullanmaları gereken Veri Sorumluları Sicil
Bilgi Sistemi (VERBİS) kayıt sistemine ait yönetmelik 30.12.2017 tarihli ve 30286
sayılı Resmi Gazetede yayınlanarak 01.01.2018 tarihinde yürürlüğe girmiştir.
Yıllık çalışan sayısı ve yıllık mali bilanço toplamına göre kurumların sisteme
kaydolmaları için belirlenen tarih aralıkları:
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon
TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları
01.10.2018 - 30.09.2019
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az
olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri
sorumluları 01.01.2019 - 31.03.2020
- Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 - 30.06.2020
ZERODAY
Zeroday (Sıfırıncı gün açıklıkları) daha önceden bilinmeyen veya tespit edilmemiş
ancak ciddi saldırılara yol açacak zafiyetler barındıran yazılım veya donanım
kusurlarıdır. Zeroday açıklıkları çoğunlukla saldırı gerçekleşene kadar tespit
edilmesi zor olan zafiyetlerdir.
Zeroday saldırısı ise geliştiricilerin bir yama veya düzeltme yayınlamaya fırsat
bulamadan saldırganın zafiyeti istismar etmesi ve zararlı yazılımı yaymasıyla
gerçekleşir. Bu nedenle bu zafiyet sıfırıncı gün açıklığı (zeroday) olarak
isimlendirilmiştir.
Sandbox
Bilgisayar sistemlerinin hemen hemen her platformda uygulama alanı bulması ile
birlikte bilgi teknolojileri gün geçtikçe karmaşıklaşmakta ve bu nedenle siber
saldırı olasılığı da artmaktadır. Birçok kurum IDS/IPS, güvenlik açığı tarama
araçları, anti-malware ve antivirüs gibi imza-tabanlı güvenlik araçlarıyla bilinen
tehditleri denetlemeye çalışmaktadır, ancak Zeroday gibi içerdeki bir yazılımcının
yanlışlıkla zafiyetli olarak geliştirdiği bir uygulamanın arzettiği tehlike çoğu zaman
bu geleneksel yöntemlerle tespit edilememektedir. Birçok kurum bu ilk elden
gelebilecek tehdidi algılayıp yanıt verecek bir donanıma sahip değildir. Zeroday
açıklıkların tespit edilip önlenmesi sürecinde sadece olay kayıtlarının değil işleyişin
analizi de büyük öneme sahiptir. Uzmanlar Zeroday açıklıklarının saptanmasında
en kullanışlı yöntemin sistemdeki anormal davranışların tanımlanıp yöneticilerin
hızlı bir şekilde alarma geçirilmesini sağlayan davranış bazlı(behavior-based)
analiz araçları olduğunu vurgulamaktadırlar. Davranış bazlı analiz araçlarında
Hidden Markov Modeli ve istemci bir honeypot sistemi kullanılmaktadır.
Bazı ürünler ise Zeroday açıklığını tespit etmek için beyaz listede olmayan
portlardan giden yetkisiz internet trafiği için kural oluşturmaktadır. Bir diğer
yöntem ise alıcı IP adresi bilinmeyen tek bir kaynakla ile iletişim gibi bir etkileşim
için alarm oluşturulmasıdır.
SOAR
Sürekli artan tehditlere karşı ağda toplanan verilerin artması sonucunda elde edilen
farklı ve büyük verilerin düzenlenmesi ve raporlanması zorlaşmaktadır. SOAR Veri
çeşitliliğinin ve miktarının artması karşısında tehdit müdahale yeteneklerinin
artmasını sağlamakta ve iş süreçlerini kolaylaştırmaktadır. 10 ve daha fazla
elemanın çalıştığı NOC ve SOC ekiplerinin SIEM yanında SOAR da kullanma
gerekliliği de ortaya çıkmaktadır. SOAR kavramı içinde öne çıkan iki önemli tanım
otomasyon ve orkestrasyondur. Otomasyon uzmanın elle yapacağı işlemlerin
otomasyon ortamında hızlıca ve hatasız yapılması, orkestrasyon ise farklı güvenlik
uygulama ve servislerinin birlikte çalıştırılması ve birbirine entegre edilmesidir.
Saldırılar daha karmaşık hale geldikçe tehdit istihbaratında hızlanmak gerekecektir.
Daha hızlı öğrenme ve daha hızlı cevap süreleri elde etmenin yolu SOAR dan
geçmektedir. SOAR şüpheli davranışların algılanmasını kolaylaştırmakta ve cevap
verme süresini azaltmaktadır. Veri kaynaklarından gelen bilgileri birleştirerek
işlemlerin etkinliğini ve verimliliği arttırmakta ve cevapları otomatikleştirmektedir.
Sonuç olarak SIEM olayların analizini yapıp sonuçları söylerken SOAR olayları
anlayıp karşı hamle yapmaktadır.