Sayfayı Yazdır | Pencereyi Kapat

Siteniz ve Güvenlik

Nereden Yazdırıldığı: Bilginin Adresi
Kategori: Bilgisayar Güvenliði / Computer Security
Forum Adı: Güvenlik / Security Makaleleri
Forum Tanımlaması: Bilgisayarýnýzý Her Türlü Saldýrýya Karþý Korumak Ýçin Yapmanýz Gerekenler
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=8989
Tarih: 29-03-2024 Saat 17:19


Konu: Siteniz ve Güvenlik
Mesajı Yazan: megabros
Konu: Siteniz ve Güvenlik
Mesaj Tarihi: 29-03-2011 Saat 12:49

Güvenlik altyapýsýna yatýrým yapýlmasý gerektiðini nasýl gösterirsiniz?

  • Sitenizde bir risk analizi gerçekleþtirip mülklerinizin deðeri ve bunlara gelebilecek tehditleri belirlersiniz.
  • Saldýrganlarýn tehditlerinin gözardý edilemeyecek kadar önemli olduðunu örneklersiniz. Bunu yapmanýn yollarýndan biri að omurgasýnda (backbone) bir pasif sniffer kurmak ve uzaktan yapýlan eriþim denemelerini ve taramalarý göstermektir.
  • Yüksek-profil araçlar (ISS, NetSonar, nmap veya nessus) kullanarak aðýnýzý dýþardan tarayýn ve yönetime bir rapor sunun.
  • Sitenizin hack edildiðinde yada sitenizde hasar verici bilgiler sunulduðunda bunun þirketin ününü, kazancýný ve karýný nasýl etkileyeceðini tartýþýn.
  • Sitenize bir Denial Of Service saldýrýsý yapýldýðýnda bunun þirket ününü, kazancýný ve karýný nasýl etkileyeceðini tartýþýn.
  • Internet saldýrýlarýnýn sýklýðý, saldýrýlan firmalar ve gerçekleþtirilen hasarlar konusunda üst yönetime bilgi sunun.
  • Analizlerinizde iç tehditleride gözönünde bulundurun: Dýþarýya ne tür bilgiler gidiyor? Rakip firmalarýn görmek isteyebileceði firma bilgileri yada sýrlarý? Çalýþanlar online oyunlarda ne kadar zaman harcýyor? Ne kadar bant-geniþliði harcanýyor?
  • Harici bir danýþmanlýk firmasýna bir veya daha fazla anahtar bölge üzerinde güvenlik açýðý denetimi yaptýrýn. Baðýmsýz bir ekip olarak onlarýn bulduklarý ve tavsiyeleri iç ekibin gerçekleþtireceðinden daha çok önem taþýr.

Sitenizin güvenlik misyonunu nasýl belirlersiniz? Kendinize ve firmanýzdaki diðer kiþilere bu sorularý sorun:

  • Kullanýcýlarýnýz ve müþterileriniz að güvenliði kontrolleri ve prosedürlerinden neler bekliyorlar?
  • Geçmiþte güvenlik tehditleri sonucunda ne kadar 'down time' ve ne kadar para kaybý oluþtu.
  • Ýç tehditlerden endiþe duyuyormusunuz? Bütün çalýþanlar/danýþmanlara güven eþitmi? Çoðunluðu yerel mi yoksa uzaktamý?
  • Ne kadar önemli bilgi on-line? Eðer bu bilgi ele geçirilir veya çalýnýrsa firmanýzýn kaybý ne kadardýr?
  • Firmanýzýn farklý bölümleri için farklý güvenlik seviyeleri gerekiyormu (ör. ERP sistemleri, geliþtirme test laboratuvarlarý veya müþteri destek gruplarý)?
  • Yetersiz güvenlik altyapýsý sebebiyle firmanýn kötü reklamý oldumu?
  • Firmanýzýn uyulmasý gereken bir güvenlik rehberi, yönetmelik veya kurallarý varmý? Eðer varsa firmanýzda bu kurallara uymak için bir çalýþma yapýlýyormu?
  • Bir çakýþma olduðunda iþ gereksinimleri güvenlikten önce mi gelir?
  • Firmanýzýn bütünde iþleyiþinde, gizlilik, bütünlük, eriþilebilirlik ne kadar önemlidir?
  • Verdiðiniz kararlar firmanýn iþ ihtiyaçlarýna ve ekonomik durumuna uygunmu?

Baþarýlý bir güvenlik bilinci eðitim programýnýn anahtar elementleri nelerdir?

En Önemli Adým:
  • Bilgisayar kullanan tüm çalýþanlarý, yýllýk, on-line, senaryo-tabanlý güvenlik bilinci self-test lere tabi tutun. Sorular yeterli sayýda olsun ve cevaplar daðýtýlmasýn. (YÜzlerce büyük ve orta ölçekli þirket iþbirligi yaparak bir güvenlik bilinci self-test`i hazýrladýlar. Ayrýntýlý bilgi için info at sans.org a konu baþlýðý olarak 'Security Awareness Testing Program' yazýp bir mesaj gönderin.)
  • Ek Elementler:
  • Bilinçlenme programýný organize etmek ve yönetmek için bir haberleþme uzmaný kiralayýn.
  • Siteniz için bilgi güvenliðini temsil eden bir logo veya altyazý hazýrlayýn.
  • Farklý formatlarda bilinçlenme mesajlarý saðlayýn (eposta mesajlarý, web-tabanlý videolar ve canlý eðitim).
  • Eðitim ve mesajlaþmayý yeni çalýþan yönlendirme programýnýn bir parçasý olarak ve düzenli sürelerle saðlayýn.
  • Mesajlaþma/eðitimi farklý gruplara hedefleyin (mühendisler, yöneticiler, destek ekibi, sistem yöneticileri).
  • Eðitimin bir parçasý olarak sahte olaylar düzenleyip kullanýcýlarýn ve destek ekibinin nasýl karþýlýk verdiðine bakýn
  • Kullanýcýlarýn ve destek ekibinin bilgisayar tehditleri konusunda güncel olmalarýný saðlayýn. Firmadaki herkeze duyurular ve alarmlar yayýnlayarak ve onlarý okumada cesaretlendirerek bunu saðlayabilirsiniz.
  • Güvenlik Bilinçlenmesini ve eðitimleri bir kerelik bir olay olarak deðil devam eden bir süreç olarak görün.

Ýyi bir güvenlik altyapýsýnýn anahtar elementleri nelerdir?

  • Güvenlik altyapýsý geliþtirmenizi desteklemede ve iþin yapýlmasý için gerekli kaynaklarýn saðlanmasýnda üst yönetimin tam sorumluluk almasý.
  • Bir güvenlik misyonu bildirimi ve bununla alakalý rehber niteliðindeki esaslar.
  • Firmadaki herkeze ulaþan bir güvenlik bilinci programý.
  • Firmadaki herkeze saðlanan, düzgün tanýmlanmýþ, uygulanmýþ ve dokümente edilmiþ güvenlik politikalarý ve prosedürleri.
  • Ýþ ihtiyaçlarýný anlama ve bu ihtiyaçlarý karþýlamadaki iþlemler.
  • Ortamýnýzdaki riskleri anlama.
  • Güvenlik altyapýsý geliþtirme için 3 veya 5 yýllýk güvenlik yol haritasý (Roadmap)
  • Host ve að tabanlý güvenlik denetlemeleri araçlarý.
  • Bütün iþlemlerin yapýlmasý için bu iþlere dedike olmuþ eðitimli güvenlik profesyonelleri. Her uzman için bireysel eðitim planlarý kimin hangi eðitim ve sertifikaya ihtiyacý olduðunu bulmanýzý saðlar.

Pek çok siteye zarar vermeye devam eden belli baþlý güvenlik problemleri nelerdir?

  • Að ve Bilgi güvenliðine yeterli kaynak ve ekip ayýrmayan siteler.
  • Gerekli güvenlik önlemlerini almaya yetkisi olmayan veya üst yönetim desteði olmayan destek personeli.
  • Bilinen güvenlik açýklarý için gerektiði zaman yada hiç yama uygulamayan siteler.
  • Ýçerdeki host`lara að eriþimini kýsýtlamayan yada monitor etmeyen (ör. IDS) siteler.
  • Hala 'security through obscurity' (gizleme ile güvenlik) düþüncesine inanarak hareket eden siteler.
  • Uzaktan eriþimde yetersiz kimlik tanýlamasý ve yetkilendirme yapan siteler (ör. internet`ten þifrelenmemiþ telnet eriþimi).
  • Aðlarýna yeni cihazlar kurarken prosedür ve standartlara uymayan siteler.
  • Host ve að tabanlý güvenlik denetimi ve IDS araçlarý kullanmayan siteler.
  • Kötü amaçlý ek dosyalar bulundurabilecek mesajlarý filtrelemeyen siteler.
  • Anti-virüs yazýlýmlarýnýn pattern dosyalarýný düzenli (çoðu firma için günlük) olarak güncellememeleri.
Saygýlar.


-------------
WHÝTE HAT
BEYAZ ÞAPKA (BÝLGÝ NEFERÝ)



Sayfayı Yazdır | Pencereyi Kapat