Ankara Üniversitesi Bilgi İşlem Daire Başkanlığı

Siber Olaylarla Etkin Mücadele İçin SOME

(Siber Olaylara Müdahale Ekibi)

 

Bilgi ve iletişim teknolojileri günümüzde yaşantımızın ayrılmaz bir parçası haline gelmiş, tüm dünyada olduğu gibi ülkemizde ve üniversitemizde de bu teknolojilerin kullanımı yaygınlaşmıştır. İnternete bağlanmak, internet ortamında sunulan birçok hizmetten yararlanmak, cep telefonu ve diğer birçok akıllı cihazı kullanarak kurum ağına bağlanmak, üniversitemizin her yerleşkesinde, bütün akademik ve idari personelimiz ile öğrencilerimiz için mümkün hale gelmiştir. İnternet ortamındaki gelişmeler ile birlikte bilgi ve iletişim teknolojilerinin kullanımının çeşitli siber tehditleri de beraberinde getirdiği ve bunun kurum kullanıcılarımızda güvenlik kaygılarına yol açtığı da bir gerçektir.

Siber tehditler bireyleri, kurum ve kuruluşları hatta devletleri hedef almaktadır. Ülkeler siber güvenliklerini sağlamak amacıyla idari yapılanmalar gerçekleştirmekte, teknik önemler almakta ve hukuki altyapılar hazırlamaktadır. Ülkemizin siber güvenliğine karşı siber ortamda ortaya çıkan tehditlerin belirlenmesi, muhtemel saldırı ve olayların etkilerinin azaltılması veya ortadan kaldırılmasına yönelik önlemlerin geliştirilmesi ve belirlenen aktörlerle paylaşılması amacıyla Bilgi Teknolojileri ve İletişim Kurumu bünyesinde Ulusal Siber Olaylara Müdahale Merkezi (USOM, TR-CERT) oluşturulmuştur. Kurum ve kuruluşlar bünyesinde de Siber Olaylara Müdahale Ekipleri (SOME) kurulmuştur. USOM ve SOME’ler siber olayları bertaraf etmede, oluşması muhtemel zararları önlemede veya azaltmada, siber olay yönetiminin ulusal düzeyde koordinasyon ve işbirliği içerisinde gerçekleştirilmesinde hayati önemi olan yapılardır. SOME’ler tarafından girilen bilgiler USOM tarafından onaylandıktan sonra etkinleşmektedir. Tüm SOME üyeleri SİP üzerinden USOM’a siber olay bildirimi ve belirli formatlarda dosya (zararlı yazılım, log, döküman vb.) gönderebilir. Tüm SOME üyeleri USOM tarafından gönderilen mesaj, güvenlik bildirimleri ve duyuruları görebilir. SOME faaliyetlerinin önemli bileşenlerinden birisi log toplama ve değerlendirme yeteneğidir. Loglar ağ ve sistem genelindeki olayların takibini sağlar ve sistem performansı, çalışma durumu gibi önemli göstergeleri anlamlı ve işlenebilir veri haline getirir. Gerek güvenlik çözümleri loglarını gerek sunucu loglarını takip ederek önemli olayların tespit edilmesi mümkündür. SOME, siber olay öncesi kurumsal bilişim sistemleri sızma testlerinin yapılması/yaptırılması ve logların düzenli olarak incelenmesi çalışmalarını yapar. Siber olay esnasında ise bilgi işlem ekibinin yapacağı müdahaleyi yönetir ve bilgi işlem birimindeki ilgili personeli koordine eder. Söz konusu SOME yapısının etkin bir şekilde oluşturulmasında ve işletilmesinde kurum üst düzey yöneticileri tarafından desteklenmesi büyük önem arz etmektedir.

Giderek artan siber tehditler ve sürekli olarak çıtayı yükselten siber saldırganlarla mücadele edebilmek için güvenliğe ve insana yatırımların artırılması büyük önem arz etmektedir. Bulunduğumuz noktada siber güvenlik mutlak olarak sağlanamasa da, siber güvenlik risklerinin yönetilebilir ve kabul edilebilir düzeylerde tutulması hedeflenmektedir. İnternet gibi açık ve bağlantılı bir ortamda bulunmanın artan erişilebilirlikle birlikte bazı riskleri de getireceği kabul edilmektedir. Bu risklerin yönetilerek siber olaylara karşı hazırlıklı olunması ve bu olaylardan en az zararla çıkılarak sürekliliğin temini amacıyla Bilgi İşlem Daire Başkanlığımız bünyesinde, Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı kapsamında biri ekip yöneticisi olmak üzere beş kişiden oluşan SOME (Siber Olaylara Müdahale Ekibi) kurulmuştur. SOME kurulumu ve işletilmesi güvenlik olaylarının sistematik tespiti ve müdahalesi konusunda önemli bir adımdır. SOME’nin kendini sürekli geliştiren bir yapıya sahip olması sayesinde kurumsal bilgi güvenliği reaktif (saldırıya karşılık tepki veren) olmaktan çıkıp proaktif (saldırı öncesi tedbir alan ve saldırılardan ders çıkartarak durumu iyileştiren) özellikler de kazanmaktadır. Güncel tehditler günlük olarak güvenilir siber güvenlik haber kaynaklarından ve USOM’dan (Ulusal Siber Olaylara Müdahale Merkezi) takip edilmektedir. Zararlı yazılımlar için bildirilen komuta ve kontrol IP adresleri ve alan adları ile kötücül trafik oluşturduğu tespit edilen dış dünya IP adresleri güvenlik duvarı üzerinde engellenmektedir.

SOME İletişim Platformu (https://sip.usom.gov.tr) USOM ile SOME’ler arasında güvenli bir şekilde iletişim kurulması, hızlı aksiyon ile sonuçlanan paylaşımların yapılması ve SOME’lerin USOM tarafından gönderilen duyuru veya tehdit bilgilerine karşı aldığı aksiyonları ölçme amaçlı olarak USOM bünyesinde geliştirilmiş bir web platformudur. Tespit edilen siber olaylar ve zararlı bağlantılar SİP (SOME İletişim Platformu) üzerinden bildirim yapılarak USOM (Ulusal Siber Olaylara Müdahale Merkezi) ile paylaşılmaktadır. 2018 Yılı içerisinde tespit edilen altı önemli siber olayın SİP üzerinden bildirimleri yapılarak USOM tarafından yayımlanması sağlanmıştır.

Eğitimler, SOME personelinin sistemli bir şekilde log analizi ve yönetimi yapabilmesi, kurumun bilişim sistemlerindeki önemli güvenlik zafiyetlerini tespit edebilmesi ve siber olay müdahale koordinasyonu yapabilmesi için gerekli olan temel yetkinlikleri vermeyi hedeflemektedir. SOME eğitimleri bu amaca yönelik olarak ilk defa bu yıl içerisinde alınmıştır. Siber güvenlik konulu etkinliklere aktif katılım sağlanarak gelişmeler yakından takip edilmektedir. Siber güvenlik farkındalığı kapsamında üniversitemiz personelinin ve öğrencilerinin farkındalık seviyelerini artırmaya yönelik genel ipuçları ve önerileri içeren dokümanlar hazırlanarak web sayfamızda yayınlanmaktadır.

2016-2019 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı kapsamında kurumumuza ait yazılım ve bilişim sistemlerinde güvenlik açığı taramaları (sistem ve network zafiyet taraması, uygulama zafiyet taraması vb.) tarama araçları veya daha gelişmiş zafiyet yönetim yazılımları kullanılarak düzenli gerçekleştirilmektedir. İnternet üzerinden, yerel ağ içinden ve web uygulamalarına yönelik güvenlik testlerini içeren sızma testleri gerçekleştirilmektedir. Günümüz siber saldırılarında kullanılan araç ve teknikleri kullanarak, siber güvenlik konusunda proaktif yaklaşımlar benimsenmiştir. Yılda en az bir kez yapılan/yaptırılan geniş kapsamlı test ve denetim üniversitemiz bilişim sistemleri için bu yıl Ocak ayı içerisinde gerçekleştirilmiştir.

Geniş kapsamlı sızma testi içeriği:

  1. İç ağda yer alan bileşenlerde bulunabilecek zafiyetlerin taranması
  2. Dış ağa açık bileşenlerde bulunabilecek zafiyetlerin taranması
  3. Dışa açık web uygulamalarının sızma testleri
  4. Etki alanı ve son kullanıcı bilgisayarları yapılandırma testleri
  5. Veri tabanı yapılandırma testleri
  6. Kuruma özel geliştirilmiş yazılımlar
  7. DNS servisi testleri
  8. E-posta servisi testleri
  9. Sosyal mühendislik testleri
  10. Sadece kurum içinden erişilen web uygulamaları sızma testleri
  11. Uygulama seviyesinde dağıtık servis dışı bırakma (DDoS) testleri
  12. Sanallaştırma sistemleri testleri
  13. Kablosuz ağ testleri
  14. Güvenlik duvarı testleri
  15. URL ve içerik filtreleme testleri

 

SOME, sızma testleri ve denetimler sonucunda bulunan zafiyetlerin ilgili bilgi işlem personeli veya destek anlaşması olan firma/üretici tarafından kapatılmasını koordine eder. Testler sonrasında zafiyetler kapatıldıktan sonra doğrulama testlerini yapar.

Kurumda herhangi bir siber olayın gerçekleştiği durumlarda, SOME aşağıdaki şekilde yer alan akış diyagramına göre görevlerini icra eder.

Bilgi işlem ekibi tarafından gerçekleştirilen faaliyetlerin temel hedefi bilişim sistemlerinin yönetimini yapmak ve sürekliliğini sağlamaktır. SOME’nin görevi ise siber güvenliğe ilişkin belirlenen politikalara uygun şekilde faaliyet göstermek, ihtiyaç durumunda yetkili makamlarla iletişime geçmek, kayıt vb. veriyi yetkili makamlara aktarmak ve müdahalenin yapılmasına yardımcı olmaktır. Her kurum gibi üniversitemiz bakımından da siber güvenliğin sağlanması, bilgi ve iletişim altyapısının özellikle internetin sürekli ve güvenli şekilde çalışması önem arz etmektedir. Bilgi İşlem Daire Başkanlığı olarak bu doğrultuda sorumluluklarımızı en iyi şekilde yerine getirmek için özveriyle ve yüksek gayretle çalışmalarımızı yürütmekteyiz.

 

Hazırlayan: Hasan KILIÇ | Ağ Yöneticisi

 

KAYNAKLAR:

  1. Kurumsal SOME Kurulum ve Yönetim Rehberi
  2. SOME El Kitabı
  3. https://www.usom.gov.tr