Bilgi Güvenliğinde İç Tehdit !

Bilgi güvenliği tehditleri arasında, organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz iç tehditler çok önemli bir yer tutmaktadır. Bilinçli tehditler iki kategoride ele alınabilir. Birinci kategori, organizasyonda çalışan kötü niyetli bir kişinin kendisine verilen erişim haklarını kötüye kullanmasını içerir. İkinci kategori ise bir kişinin başka birine ait erişim bilgilerini elde ederek normalde erişmemesi gereken bilgilere erişerek kötü niyetli bir aktivite gerçekleştirmesini kapsar. Veritabanı yöneticisinin, eriştiği verileri çıkar amacıyla başka bir firmaya satması ilk kategoriye verilecek örnektir. Veritabanı yöneticisi olmayan ve normalde veritabanına erişim hakkı bulunmayan birisinin erişim bilgilerini bir şekilde elde ederek verileri elde etmesi ve bunu çıkarı için kullanması ikinci kategoriye örnektir. CSI (Computer Security Institute) tarafından yapılan ankete göre katılımcıların %44’ü 2008 yılı içerisinde iç suistimal yaşamışlardır [7]. Söz konusu oran, iç suistimallerin %50’lik virüs tehdidinden sonra ikinci büyük tehdit olduğunu göstermektedir. Bu tür suistimallerin tespitinin zor olduğu ve çoğunlukla organizasyon dışına bu konuda çok bilgi verilmek istenemeyebileceği de düşünülürse aslında %44’lük oranın daha büyük olduğu düşünülebilir. Anket çalışmasında, suistimal tabiri ile sadece bilinçli oluşan iç tehditlerin kastedildiği anlaşılmaktadır.

İç tehditlerin tespit edilmesi ile ilgili yapılan araştırmalar, çoğunlukla yapay zeka temelli çözümleri içermektedir. Bu çözümlerde kullanıcıların normal davranış profillerinin, kullandıkları işletim sistemi komutlarından, farklı sistem bileşenleri üzerinde oluşturdukları kayıtlardan (web erişimi, veritabanı erişimi v.b) ya da kullanıcı programlarının işletim sistemleri üzerindeki erişim işlemlerinden (windows registry erişimleri gibi) yola çıkılarak tespit edilmesi sağlanır. Daha sonra günlük faaliyetlerinin bu profillere uyum sağlayıp sağlamadığı kontrol edilir [9]. Bu çalışmalar, özellikle başkasının erişim bilgisini elde eden kötü niyetli kişilerin tespit edilmesi konusunda daha başarılıdırlar. Çünkü erişim bilgisi bir şekilde çalınsa bile, bilgisi çalınan kişinin erişim profilini bilmek ve buna uygun hareket ederek sisteme erişmek kolay değildir. Söz konusu çalışmalar, bizzat kendi erişim haklarını suistimal eden kişileri yakalamada çok etkin değildirler. Bu tür kişilerin faaliyetlerinin tespit edilmesi önemli bir araştırma alanıdır.

İç tehditler çoğunlukla uygulama seviyesinde oluşmaktadır [9]. Bunun sebebi, iç tehditlerin önemli bir kısmını bilişim alanında detaylı teknik bilgi sahibi olmayan kişilerin oluşturmasıdır. Söz konusu kişiler, çoğunlukla teknik saldırı yöntemlerini kullanmadan uygulamaların kendilerine verdiği haklar kapsamında ya da başka kişilerin erişim bilgilerini sosyal mühendislik yöntemleri ile ele geçirerek uygulamaları su-istimal ederek hedeflerine ulaşmaktadırlar. Dolayısıyla, iç tehdit tespit metotları uygulama kayıtlarını kullanma üzerine yoğunlaşmaktadırlar. Bu gerçek, ağ katmanı ve diğer katmanda tutulan sistem kayıtlarının bu tür tehditlerin tespiti kullanımında tamamen devre dışında kaldığı anlamına gelmez. Tespit sistemleri, gerekli durumlarda uygulama kayıtları ile diğer kayıtları ilişkilendirmektedirler.

İç tehdidin tespit edilmesinde son zamanlarda kullanılan en önemli yöntemlerden birisi de organizasyon için kritik olan bilgilerin tanımlarının yapılması, bu bilgilerin akışının ve depolanmasının tanımlar kapsamında kontrol edilmesidir [11]. Bunu gerçekleştiren tespit sistemleri veri kaçağı önleme olarak ele alınmaktadır. Örneğin, bir organizasyonun İnternet çıkışı üzerinde akan bilginin içeriğinde kontrolsüz bir şekilde T.C kimlik numaralarının var olup olmadığının kontrol edilmesi bu tür sistemlerle sağlanabilir. Son zamanlarda bu konuda ticari ürünler geliştirilmiştir. Ürünlerde halihazırda kullanılan kritik bilgi tanımları çok fazla yanlış alarm üretilmesine neden olabilmektedir. Dolayısıyla, kritik bilgilerin içeriğinin yazı madenciliği yöntemleri ile ayırt edilmesi önemli araştırma konularından birisidir...

Kaynak