İkinci bir konu da tüm yama eksikliklerinin yüksek risk oluşturmayacağının bilinmesidir. Denetçi var olan açıklıkları derinlemesine irdelemeli eğer kendisinden bir risk saptaması yapması bekleniyorsa bu değerlendirmesine göre yorumda bulunmalıdır.
Uzaktan bağlanma metotları
BT varlıkları genellikle başka varlıklara ya da son kullanıcıya bağlanma ihtiyacı duyarlar. Bu bağlantı metotlarının güvensiz olması hassas verinin ortaya çıkarılması ihtimalini de yükseltir. Güvensiz bağlantı örnekleri olarak şunlar gösterilebilir:
- Bir sunucunun SSH yerine telnet protokolü ile yönetilmesi
- Dosya sunucu ile kullanıcı bilgisayarlarının şifresiz haberleşmesi
- Uygulama sunucuların veritabanı sunucuları ile güvensiz bağlantıları
- Kullanıcıların web tabanlı uygulamalara HTTPS yerine HTTP ile bağlanmaları
BT varlıklarının büyük bir bölümü için bu tür bağlantılar için mevcut güvenli çözümler bulunmaktadır. Denetçiler, varlığın barındırdığı verinin önem derecesine göre bağlantı yöntemini irdelemeli ve güvenli yöntemleri önermelidirler.
Bu konuda ayrıca, kullanılan güvenli bağlantı yönteminin yeterli seviyede güvenlik sağlayıp sağlanmadığı da irdelenmelidir. Örneğin IPSEC kullanımında 3DES yerine günümüz teknolojisi ile kolaylıkla kırılabilen DES kullanımı güvensiz olacaktır.
Kullanılmayan servisler
Bu konu üç alt başlıkta ele alınmalıdır. Öncelikle yazılımın kurulumu ile gelen ve kullanılmayan servisler kontrol edilmelidir. Bu alt başlık Güvensiz Kurulum Yöntemleri başlığında anlatılanlar ile yakın ilişki içerisindedir.
İkinci konu ise her bir ana servisin sadece bir sunucu üzerinde çalıştırılmasıdır. Örneğin DNS servisi ile E-posta servisi farklı makinelerde yer almalıdır.
Son olarak işletim sistemleri ile gelen, kullanılmamasına rağmen açık durumda olan servislerin tespitine yönelik denetleme yapılmalıdır.
Her üç adımın sonunda tespit edilen servislerin kapatılması, mümkünse sistemlerden kaldırılması tavsiye edilmelidir.
Varlık yapılandırması (!!!)
BT varlıkları için özel çalışma gerektiren test adımları bu başlık altında yer alır. Internet ortamından bulunan varlığa özel test adımları kullanılabileceği gibi literatürdeki kabul görmüş kaynaklara da başvurulabilir [5]. Her iki durumda da denetçi laboratuar ortamında test adımlarının üzerinden geçmeli, testlerde beklenen sonuçların ne anlama geldiğini anlamalı; süreklilik ve işlevsellik üzerine olan etkilerini irdelemelidir.
Tehlikeli varsayılan değerler
Üretici firmalar genellikle yazılımlarının kolay bir şekilde kullanılabilir hale getirilebilmesi için yaygın kullanılan özellikleri kurulum sırasında aktif hale getirirler. Bu durum yazılımların güvensiz durumlarda kalmasına yol açabilir. Örneğin bir e-posta sunucusunun kurulduğunda aktif olarak çalışmaya başlayabilmesi için e-posta yönlendirme özelliğinin (relaying) açık olması gerekmektedir. Bu şekilde varsayılan yapılandırması gerçekleştirmiş e-posta sunucularının güvenlik ayarı yapılmadığı takdirde kaynakları, Spam e-postaların gönderimi için kötüye kullanılabilir.
Bu örnekleri arttırmak mümkündür. Denetçi, güvenlik denetlemesi gerçekleştirilen varlık için tehlikeli varsayılan yapılandırma değerlerini incelemeli ve nihai yapılandırmada güvenli değerlerin atandığını görmelidir.
İhtiyaç duyulmayan örnekler, dosyalar
BT varlıklarında önemli bilgileri açığa çıkaran veya sistemde güvenlik açığı meydana getiren diğer faktör de kurulum ile beraber gelen örnek uygulamalardır. Bu uygulamalar, en düşük ihtimalle kurulu yazılımın çeşidi ve sürüm bilgisi hakkında bilgi verici olacaktır. Bu örneklerden bazıları ise içerdikleri güvenlik açıklıkları sebebiyle saldırganların sisteme giriş noktaları olarak kullanılabilmektedir. Örneğin Oracle Application Server yazılımı, kurulumunda echo.exe isimli bir CGI örnek dosyasını barındırmaktadır. Oracle, son güvenlik yamalarında (Critical Patch Update – CPU [6]) bu örneğin tehlikeli olabileceğini ve kaldırılması gerektiğini bildirmektedir.
Denetçi kurulumla gelen bu örnekleri bilmeli ve sistemlerden kaldırılmaları yönünde tavsiyede bulunmalıdır. Eğer bu örnek uygulamalara ihtiyaç duyuluyorsa sadece ihtiyaç anında erişime açılabilmesi için dosya erişim ayarlarının kısıtlanması, sadece belirli IP adreslerinden erişilebilmesi/kullanılabilmesi gibi farklı çözümler de önerebilir.
Performans parametreleri
Son yıllarda BT varlıklarına gerçekleştirilen saldırıların giderek daha kompleks ve dağıtık olması, servis dışı bırakma ile sonuçlanan denemelerin daha başarılı olmasını sağlamaktadır. Son yıllarda Internet altyapısına gerçekleştirilen ve servis dışı bırakmayı hedefleyen bazı saldırılar bunun göstergesidir [7]. Özellikle dağıtık olarak gerçekleştirilen servis dışı bırakma saldırılarını önlemek güçtür. Fakat BT varlığının performans parametrelerinde gerçekleştirilebilecek bazı ayarlamalar saldırıların etkilerini azaltma veya belirli ölçekteki saldırılara karşı korunabilmek adına faydalı olacaktır.
Bu bağlamda denetçi, testi gerçekleştirilen BT varlığının optimum performans parametreleri hakkında araştırma yapmalı ve bu değerlerin sistemlerde uygulanması için tavsiyelerde bulunmalıdır.
<!--[if gte mso 9]> Normal 0 21 false false false TR X-NONE X-NONE MicrosoftInternetExplorer4 <![endif]--><!--[if gte mso 9]> <![endif]--> <!– /* Font Definitions */ @font-face {font-family:”Cambria Math”; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:162; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:-1610611985 1107304683 0 0 159 0;} @font-face {font-family:”Thorndale AMT”; mso-font-alt:”Times New Roman”; mso-font-charset:0; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} @font-face {font-family:”DejaVu Sans”; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:”"; margin-top:0cm; margin-right:0cm; margin-bottom:6.0pt; margin-left:0cm; text-align:justify; mso-pagination:none; mso-hyphenate:none; font-size:12.0pt; font-family:”Thorndale AMT”,”serif”; mso-fareast-font-family:”DejaVu Sans”; mso-bidi-font-family:”Times New Roman”; mso-font-kerning:.5pt; mso-fareast-language:#00FF;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-size:10.0pt; mso-ansi-font-size:10.0pt; mso-bidi-font-size:10.0pt;} @page Section1 {size:612.0pt 792.0pt; margin:70.85pt 70.85pt 70.85pt 70.85pt; mso-header-margin:35.4pt; mso-footer-margin:35.4pt; mso-paper-source:0;} div.Section1 {page:Section1;} –> /* Style Definitions */ table.MsoNormalTable {mso-style-name:”Table Normal”; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:”"; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:”Times New Roman”,”serif”;} İş Sürekliği ve Yedekleme konuları |
<!--[if gte mso 9]> Normal 0 21 false false false TR X-NONE X-NONE MicrosoftInternetExplorer4 <![endif]--><!--[if gte mso 9]> <![endif]--> <!– /* Font Definitions */ @font-face {font-family:”Cambria Math”; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:162; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:-1610611985 1107304683 0 0 159 0;} @font-face {font-family:”Thorndale AMT”; mso-font-alt:”Times New Roman”; mso-font-charset:0; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} @font-face {font-family:”DejaVu Sans”; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:”"; margin-top:0cm; margin-right:0cm; margin-bottom:6.0pt; margin-left:0cm; text-align:justify; mso-pagination:none; mso-hyphenate:none; font-size:12.0pt; font-family:”Thorndale AMT”,”serif”; mso-fareast-font-family:”DejaVu Sans”; mso-bidi-font-family:”Times New Roman”; mso-font-kerning:.5pt; mso-fareast-language:#00FF;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-size:10.0pt; mso-ansi-font-size:10.0pt; mso-bidi-font-size:10.0pt;} @page Section1 {size:612.0pt 792.0pt; margin:70.85pt 70.85pt 70.85pt 70.85pt; mso-header-margin:35.4pt; mso-footer-margin:35.4pt; mso-paper-source:0;} div.Section1 {page:Section1;} –> /* Style Definitions */ table.MsoNormalTable {mso-style-name:”Table Normal”; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:”"; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:”Times New Roman”,”serif”;} Güvenliğin %100 sağlanamadığı gerçeği, saldırı sonrası gerçekleştirilmesi gereken aksiyonun önemini arttırmaktadır. Saldırıya uğramış bir sistem için yapılması gereken en önemli şey sistemin tekrar çalışabilir hale getirilmesidir. Bu noktada alınan yedeklerin ve iş sürekliliği planının önemi ortaya çıkmaktadır. Doğru ve yeterli bir iş sürekliliği planı olmayan kurumlar, saldırı karşısında oluşacak maddi zararın ve itibar kaybının artmasına engel olamazlar. |
Denetçi, testi gerçekleştirilen BT varlığının yedeklenmesi konusunda aşağıda konuların üzerinde durmalıdır.
- BT varlığının yedekleme politikası mevcut mu?
- Politikaya uyuluyor mu?
- Düzenli aralıklarla geri dönüm (recovery) tatbikatları gerçekleştiriliyor mu?
- Yedeği alınan veriler doğru belirlenmiş mi ve bu veriler sistemin geri döndürülebilmesi için yeterli mi?
- Yedek alma sıklığı BT varlığının önem derecesi düşünüldüğünde kabul edilebilir mi?
- Verinin yedeklerden döndürülme süresi kabul edilebilir mi?
<!--[if gte mso 9]> Normal 0 21 false false false TR X-NONE X-NONE MicrosoftInternetExplorer4 <![endif]--><!--[if gte mso 9]> <![endif]--> <!– /* Font Definitions */ @font-face {font-family:Wingdings; panose-1:5 0 0 0 0 0 0 0 0 0; mso-font-charset:2; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 268435456 0 0 -2147483648 0;} @font-face {font-family:”Cambria Math”; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:162; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:-1610611985 1107304683 0 0 159 0;} @font-face {font-family:”Thorndale AMT”; mso-font-alt:”Times New Roman”; mso-font-charset:0; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} @font-face {font-family:”DejaVu Sans”; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:”"; margin-top:0cm; margin-right:0cm; margin-bottom:6.0pt; margin-left:0cm; text-align:justify; mso-pagination:none; mso-hyphenate:none; font-size:12.0pt; font-family:”Thorndale AMT”,”serif”; mso-fareast-font-family:”DejaVu Sans”; mso-bidi-font-family:”Times New Roman”; mso-font-kerning:.5pt; mso-fareast-language:#00FF;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-size:10.0pt; mso-ansi-font-size:10.0pt; mso-bidi-font-size:10.0pt;} @page Section1 {size:612.0pt 792.0pt; margin:70.85pt 70.85pt 70.85pt 70.85pt; mso-header-margin:35.4pt; mso-footer-margin:35.4pt; mso-paper-source:0;} div.Section1 {page:Section1;} /* List Definitions */ @list l0 {mso-list-id:1956910190; mso-list-type:hybrid; mso-list-template-ids:-692816336 69140481 69140483 69140485 69140481 69140483 69140485 69140481 69140483 69140485;} @list l0:level1 {mso-level-number-format:bullet; mso-level-text:; mso-level-tab-stop:none; mso-level-number-position:left; text-indent:-18.0pt; font-family:Symbol;} ol {margin-bottom:0cm;} ul {margin-bottom:0cm;} –> /* Style Definitions */ table.MsoNormalTable {mso-style-name:”Table Normal”; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:”"; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:”Times New Roman”,”serif”;} |
İlgili dosya/dizinlerin erişim hakları
Genelde lokal saldırılarda direk, uzaktan gerçekleştirilen saldırılarda ise dolaylı etkileri görülen dosya ve dizin erişim hakları, sistem yöneticilerinin dikkat etmesi gereken temel konular arasında yer almaktadır. Hassas verileri içeren dosyalara verilen okuma; yapılandırma, kayıt dosyalarına verilen yazma hakları gerçekleştirilen saldırıların etkilerini arttırmada ya da saldırı izlerini ortadan kaldırmada birincil öneme sahiptir.
Bir sistemde dosya haklarının nasıl olması gerektiği Tablo 1′de açıklanmıştır. Bu tablo daha çok Unix tabanlı sistemlere uygundur. Fakat yaklaşım mantığı Microsoft tabanlı işletim sistemlerine de uyarlanabilir. Burada esas olan lokalde tanımlı diğer kullanıcıların ya da servisi çalıştırma yetkisine sahip kullanıcının önemli dosyalar üzerindeki yetkisini minimize etmektir.
Bir web sunucuyu örnek olarak alalım. Web servisi üzerinde gerçekleştirilebilecek ve sunucu üzerinde uzaktan kod yürütme ile sonuçlanabilecek bir saldırının etkisi web servisini çalıştıran kullanıcının yetkileri ile sınırlıdır. Eğer bu kullanıcının yapılandırma dosyalarında değişiklik yapma hakkı varsa saldırgan; ilgili dosyaları değiştirebilir, web sunucunun sunduğu sitede istediği içeriği yayınlayabilir. Doğru erişim kontrolü, yapılandırma değişikliklerinin sadece sistem yöneticisi tarafından gerçeklenebilmesini sağlamaktır.
Denetçi, BT varlığına ait dosyaların erişim kontrolünü Tablo 1′i referans alarak kontrol etmeli ve gerekli güvenlik tedbirlerini önermelidir. Öneri öncesinde dosyaların erişim haklarının değiştirilmesinin varlık üzerinde oluşturabileceği etkiler test ortamlarında görülmeli ve güvenlik yapılandırmasının sistemi kesintiye uğratmadığından emin olunmalıdır.
NOT: Unix tabanlı sistemlerde dizinlere giriş hakkının dizine çalıştırma yetkisi verilerek sağlandığı unutulmamalıdır. Örneğin bir dizin ve altındaki tüm dizinlerde yer alan dosyalardan çalıştırma yetkisi kaldırılmak isteniyorsa şu yol izlenebilir.
# chmod -R -x /dizin
# chmod -R +X /dizin
Birinci komut tüm dosya ve dizinlerden çalıştırma hakkını kaldırırken ikinci komut sadece dizinlere bu hakkın verilmesini sağlayacaktır.
Servisi Çalıştıran Kullanıcı
Yukarıda bahsedilen dosya erişim haklarına ek olarak ele alınması gereken bu konu, yine gerçekleştirilen saldırının etkilerini azaltmaya yöneliktir. Yukarıda bahsedildiği gibi yetkisiz komut çalıştırma ile sonuçlanabilecek saldırılar ilgili servisi çalıştıran kullanıcının yetkileri seviyesinde erişim hakkı kazanır [8]. Bu sebeple servisler, sistem yöneticisi yetkilerine sahip (Microsoft tabanlı işletim sistemlerinde administrator, system; Unix tabanlı işletim sistemlerinde root, toor vs.) kullanıcılar adına çalıştırılmamalı, bunun için yetkisi düşük yeni kullanıcılar oluşturulmalıdır. Sunucu üzerinde birden fazla servis çalışıyor ise her servis için farklı kullanıcı hesabı tercih edilmelidir.
Unix tabanlı işletim sistemlerinde genellikle bu tür bir yönelim mevcuttur. Öte yandan Microsoft tabanlı servisler genellikle system hesabı kullanılarak çalışmaktadır. Testi gerçekleştirilen BT varlığı için bilinen ve test edilmiş bir yöntem mevcut ise denetçi bu yöntemi tavsiye etmeli ve servisi çalıştıran kullanıcının yetkilerinin kısıtlanması sağlanmalıdır.
Kullanıcı hesapları ve hakları
BT varlığı içerisinde tanımlanan kullanıcı hesapları denetçinin üzerinde yoğunlaşması gereken diğer bir alandır. Kurulumla gelen varsayılan kullanıcı hesapları ve şifreler bu başlıkta dikkat edilmesi gereken en önemli konudur. Bunun dışında:
- Uzun süre kullanılmayan hesaplar (dormant accounts)
- Kurumdan ayrılan personelin hesapları
- Gereğinden fazla yetki verilen hesaplar
<!--[if gte mso 9]> Normal 0 21 false false false TR X-NONE X-NONE MicrosoftInternetExplorer4 <![endif]--><!--[if gte mso 9]> <![endif]--> <!– /* Font Definitions */ @font-face {font-family:Wingdings; panose-1:5 0 0 0 0 0 0 0 0 0; mso-font-charset:2; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 268435456 0 0 -2147483648 0;} @font-face {font-family:”Cambria Math”; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:162; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:-1610611985 1107304683 0 0 159 0;} @font-face {font-family:”Thorndale AMT”; mso-font-alt:”Times New Roman”; mso-font-charset:0; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} @font-face {font-family:”DejaVu Sans”; mso-font-charset:0; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:”"; margin-top:0cm; margin-right:0cm; margin-bottom:6.0pt; margin-left:0cm; text-align:justify; mso-pagination:none; mso-hyphenate:none; font-size:12.0pt; font-family:”Thorndale AMT”,”serif”; mso-fareast-font-family:”DejaVu Sans”; mso-bidi-font-family:”Times New Roman”; mso-font-kerning:.5pt; mso-fareast-language:#00FF;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-size:10.0pt; mso-ansi-font-size:10.0pt; mso-bidi-font-size:10.0pt;} @page Section1 {size:612.0pt 792.0pt; margin:70.85pt 70.85pt 70.85pt 70.85pt; mso-header-margin:35.4pt; mso-footer-margin:35.4pt; mso-paper-source:0;} div.Section1 {page:Section1;} /* List Definitions */ @list l0 {mso-list-id:1004431302; mso-list-type:hybrid; mso-list-template-ids:-413608242 69140481 69140483 69140485 69140481 69140483 69140485 69140481 69140483 69140485;} @list l0:level1 {mso-level-number-format:bullet; mso-level-text:; mso-level-tab-stop:none; mso-level-number-position:left; text-indent:-18.0pt; font-family:Symbol;} ol {margin-bottom:0cm;} ul {margin-bottom:0cm;} –> <!--[if gte mso 9]> Normal 0 21 false false false TR X-NONE X-NONE MicrosoftInternetExplorer4 <![endif]--><!--[if gte mso 9]> <![endif]--> /* Style Definitions */ table.MsoNormalTable {mso-style-name:”Table Normal”; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:”"; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:”Times New Roman”,”serif”;} |
bu alanda değerlendirilmesi gereken başlıklardandır. BT varlığı imkan veriyorsa kullanıcılara şifre politikası belirlenmeli ve bu politikaya uyma zorunluluğu getirilmelidir. Denetçi şifre politikalarının yeterliliğini de irdelemelidir.
Sistemlere giriş sırasında kullanıcı bilgileri ve şifreler hakkında sunulan bilgiler de incelenmesi gereken bir diğer alt başlıktır. Örnek denetleme adımları şu şekilde belirlenebilir:
- Son giriş yapan kullanıcının veya tüm kullanıcıların listesinin giriş ekranında bulunmaması
- Şifre hatası mesajının kullanıcı ismini varlığını bildirir içerikte olmaması.
Varlık kayıt tutma yapılandırması
Saldırıları takip etmenin olmazsa olmazlarından birisi de aktivite kayıtlarının tutulmasıdır. İmkanlar elverdiği seviyede BT varlıklarına ait kayıtlar tutulmalıdır. Bu kayıtların seviyesi BT varlığına kullanım yoğunluğuna göre değişebilir. Örneğin yoğun çalışan veritabanlarında sadece gerçekleştirilen ekleme ve güncellemelerin kayıtları tutulabilirken, bir web sunucuda tüm erişimler kayıt altına alınabilir. Burada önemli olan BT varlığını yönetenlerin bu konuda en optimum çözümü uygular durumda olmalarıdır.
Kayıtlar konusunda dikkat edilmesi gereken diğer bir konu kayıt tutma kapasitesinin ihtiyaçları karşılar durumda olmasıdır. Yönetmelikler, kanunlar ya da kurum politikalarına göre belirlenen süre boyunca kayıtlar tutulmalıdır. Örneğin 5651 no’lu kanun [9] erişim sağlayıcıların 6 ay ile iki yıl arasında erişim kayıtlarını güvenli bir şekilde saklamasını şart koşmaktadır.
Bu noktada güvenlikten kasıt saklanan kayıtların sistem yöneticileri tarafından manipule edilmediğinin garanti edilmesidir. Günümüzde kayıtların adli anlamda geçerli kabul edilebilmesi için güvenliğinden emin olunması gerekmektedir. Bunu sağlayan mekanizmalar mevcuttur (Zaman damgası ve bütünlük uygulamaları). Kurumlar bu mekanizmaları işletmek, denetçi ise kontrol etmek durumundadır.
Kayıtları belirli bir süre saklama zorunluluğu olmayan veya bu doğrultuda bir karar alınmamış olan BT varlıklarında kullanılan kayıt alma metodu da denetçinin dikkat etmesi önemli konulardandır. Kayıt tutulması için küçük bir disk alanının ayrılması, rotasyon kullanılarak eski kayıtların üzerine yenilerinin yazılması saldırganların aktivitelerini gizlemek amacıyla kullanabilecekleri sistem zayıflıklarındandır.
Sürüm Bilgilerinin İfşası
Saldırganların bildikleri açıklıklar ile erişilebilen servisleri ilişkilendirebilmeleri için kullandıkları en etkin yol, hedef sistemin parmak izini çıkarmaktır [10]. Parmak izi genellikle sistemlerin karakteristik yapılarının incelenmesi sonucunda ortaya çıkarılır. Üretilen hatalar, karşılama mesajları, ağ trafiğindeki ipuçları bu karakteristiğe örnek olarak verilebilir. Günümüzde servislerden veya işletim sistemlerinden parmak izi üretiminin tümüyle engellenmesi çok kolay değildir. Diğer taraftan yanlış tespitler için bazı önlemler alınabilir. Örneğin karşılama mesajları değiştirilebilir, örnek uygulamalar kaldırılabilir veya hata sayfaları özelleştirilebilir. Denetçi bu yönde tavsiyelerde bulunmalıdır.
Saygılar..