Uzmanlar tarafından yapılan incelemeler ve araştırmalar sonucunda; şirketlerin e-güvenlik sorunları incelenmiş ve en çok karşılaşılan güvenlik sorununu bir raporla kamuoyuna duyurulmuştur. Bu rapora göre ortaya çıkan 10 temel güvenlik sorunu şöyle tanımlanıyor.
İşletim sistemleri ve uygulamaların varsayılan ayarlarla kurulması: Birçok yazılım, standart bir kurulum tarif eden programlar ile birlikte geliyor. Bunun için, kurulum sırasında ürünün, çoğu zaman kullanıcının da onayını almadan, birçok kimsenin ihtiyaç duyduğundan daha fazla özelliği çalışır hale getiriliyor. Bu yaklaşım, kullanım kolaylığı için faydalı görünse de, birçok tehlikeli güvenlik açığına da yol açıyor çünkü sistemde gereksiz yere açık kapı bırakılmış oluyor. Saldırganlar sistemlere bu gereksiz bağlantı noktalarını kullanarak sızıyor.
Şifresi olmayan kullanıcı hesapları veya zayıf şifreler: Tahmin edilmesi kolay şifreler veya standart kurulumla gelen standart şifreler büyük bir problem. Ancak hiç şifresi olmayan kullanıcı hesapları daha büyük bir problem teşkil ediyor. Zayıf şifrelerin, standart kurulum şifrelerinin veya hiç şifresi olmayan kullanıcı hesaplarının hepsinin temizlenmesi gerekiyor.
Yedeklemenin yeterli olmaması veya hiç yedekleme yapılmaması: Bazı kurum ve kuruluşlar günlük yedekler alıyor, ancak yedeklerin gerektiğinde işe yarayıp yaramayacağını kontrol etmiyorlar. Bazı kuruluşlar da yedekleme için politika ve prosedürler oluşturmakla beraber bu yedeklerden sistemin yeniden kurulması konusu ile hiç ilgilenmiyorlar. Oysa bir sistem çökmesi sonucunda en çok ihtiyaç duyulan şey, bu yedekler oluyor.
Gereksiz ağ bağlantı noktalarının kullanımda olması: Sistem kullanıcıları da, saldırganlar da sistemlere açık ağ bağlantı noktalarından (port) erişerek bağlanıyorlar. Ne kadar çok bağlantı noktası kullanıma açıksa sisteminize de o kadar değişik kapıdan girilebiliyor. Sisteminize erişim için minimum sayıda bağlantı noktasının açık bırakılması çok önemli bir husus.
Ağ trafiğinde doğru adresler dışındaki veri paketlerinin filtrelenmemesi: Başka bir internet adresinden geliyormuş gibi görünmek, birçok saldırganın kendilerini gizlemek için kullandığı bir yöntem. Örneğin, çok yaygın olan “smurf” saldırısı, yönlendiricilerin bir özelliğini kullanarak bir dizi veri paketini binlerce makineye göndermek suretiyle gerçekleştiriliyor. Sisteminize gelen ve sistemden çıkan trafik üzerinde filtreleme yapılması ise böyle durumlara karşı önemli bir güvenlik ve koruma sağlayabiliyor.
Yetersiz sistem kaydı tutulması veya hiç sistem kaydı tutulmaması: Saldırı ve sızmaların tespit edilmesi de üzerinde hassasiyetle durulması gerekli bir konu haline geldi. Bir bilgisayar sistemi internete bağlı olan veya olmayan bir bilgisayar ağı içerdiği sürece, güvenlik sorunları yaşanabiliyor. Bir saldırıya uğradığınızda, eğer sisteminiz yeterli kayıt tutmuyorsa, saldırganların neler yaptığını tespit etmeniz çok zorlaşıyor, hatta olanaksız hale geliyor. Sistem kayıtları ve saldırı tespit sistemleri, ağınız üzerindeki hareketi sürekli izlemenizi sağlıyor. Ayrıca hangi sistemlere saldırıldığı ve hangi sistemlere sızıldığı da sistem kayıtlarından tespit edilebiliyor.
Güvenlik açığı bulunan CGI ve ASP programlarının kullanımı: Pek çok web sunucusu, CGI ve ASP programlarını destekliyor. Bu programlarla web sayfaları üzerinden veri toplanması ve doğrulanması gibi temel bazı işlemler yapılabiliyor. Ancak, bu programların birçoğu yalnızca örnek teşkil etmek amacıyla hazırlandığından, internet üzerinden erişen kullanıcıların doğrudan işletim seviyesi sistemine erişim sağlamalarına izin verebiliyor.
Güvenliğin denetlenmemesi: Birçok kuruluşta o güne kadar herhangi bir güvenlik kaybı yaşanmadığı düşünüldüğü için güvenliğe ilişkin bir problem olmadığına inanılıyor. Oysa o güne kadar bir güvenlik saldırısına maruz kalınmaması e-güvenliğin sağlam olduğuna değil, sadece o firmanın şanslı olduğuna işaret ediyor. Bu tür yanlış bir kanı, savunma kalkanlarının indirilmesine neden olabileceği için, şirketleri büyük risk altına sokabiliyor.
Güvenlik politikası ve prosedürlerinin bulunmaması: Güvenliğin mutlaka bir bütün olarak ele alınması, teknik güvenlikten, fiziksel erişim güvenliğine, sözleşme güvenliğinden çalışanlarla yapılan iş akitlerine kadar ayrıntılı olarak düşünülmesi şart. Güvenlik politikası olmayan firmaların karşı karşıya bulunduğu risk, diğerlerine göre daha büyük.
Güvenlik ile ilgili yeterli kaynağın ayrılmaması: Bilgisayar ağları giderek karmaşıklaşıyor. Günlük işleyiş sırasında sürekli ortaya çıkan yeni güvenlik açıkları ve tehlikeler karşısında gerekli teknoloji yatırımlarının yapılması ve güvenlik denetimleri ile güvenlik seviyesinin sürekli olarak yüksek seviyede tutulması gerekiyor. Ancak mevcut durumda, en sık rastlanan idari sorun, bilgi işlem bütçesinde bilgi ve iletişim güvenliğine yeterli pay ayrılmaması olarak ortaya çıkıyor. Kaynak sıkıntısı ise güvenlik tedbirlerinden fedakarlık yapılmasına yol açıyor.
Kaynak: Bu yazı, Kolay İletişim tarafından, KobiFinans için derlenmiştir.
|
