Security Principles
CIA Triad
Bir şeyi güvenli olarak tanımlamadan önce, güvenliği neyin oluşturduğunu daha iyi düşünmemiz gerekir. Bir sistemin güvenliğini değerlendirmek istediğinizde, güvenlik üçlüsü açısından düşünmeniz gerekir. Confidentiality, integrity, and availability
Confidentiality (Gizlilik), verilere yalnızca amaçlanan kişilerin veya alıcıların erişebilmesini sağlar.
Integrity (Bütünlük), verilerin değiştirilememesini sağlamayı amaçlar; dahası, herhangi bir değişiklik meydana gelirse bunu tespit edebiliriz.
Availability (Kullanılabilirlik), sistemin veya hizmetin ihtiyaç duyulduğunda kullanılabilir olmasını sağlamayı amaçlar.
Gizlilik: Online alışveriş sırasında, kredi kartı numaranızın yalnızca ödemeyi gerçekleştiren kuruluşa açıklanmasını beklersiniz. Kredi kartı bilgilerinizin güvenilmeyen bir tarafa ifşa edileceğinden şüphe duyuyorsanız, büyük olasılıkla işleme devam etmekten kaçınırsınız. Ayrıca, bir veri ihlali kredi kartları da dahil olmak üzere kişisel olarak tanımlanabilir bilgilerin ifşa edilmesiyle sonuçlanırsa, şirket birçok düzeyde büyük kayıplara uğrayacaktır.
Bütünlük: Siparişinizi doldurduktan sonra, bir saldırgan verdiğiniz gönderim adresini değiştirebilirse, paket başka birine gönderilecektir. Veri bütünlüğü olmadan, siparişinizi bu satıcıya vermek konusunda çok isteksiz olabilirsiniz.
Kullanılabilirlik: Online siparişinizi vermek için ya mağazanın web sitesine göz atacak ya da resmi uygulamasını kullanacaksınız. Hizmet kullanılamıyorsa, ürünlere göz atamaz veya sipariş veremezsiniz. Bu tür teknik sorunlarla karşılaşmaya devam ederseniz, sonunda pes edebilir ve farklı bir çevrimiçi mağaza aramaya başlayabilirsiniz.
DAD Triad
Bir sistemin güvenliği çeşitli yollardan biriyle saldırıya uğrar. Gizli verilerin ifşa edilmesi (Disclosure), verilerin değiştirilmesi (Alteration) veya verilerin yok edilmesi (Destruction) yoluyla olabilir.
İfşa (Disclosure) gizliliğin tam tersidir. Başka bir deyişle, gizli verilerin ifşa edilmesi gizliliğe yönelik bir saldırı olacaktır.
Değiştirme (Alteration), Bütünlüğün zıttıdır. Örneğin, bir çekin bütünlüğü vazgeçilmezdir.
Yok etme (Destruction), Kullanılabilirliğin zıttıdır.
Ornekler:
Disclosure: Çoğu modern ülkede olduğu gibi, sağlık hizmeti sağlayıcıları tıbbi kayıtların gizliliğini korumak zorundadır. Sonuç olarak, bir saldırgan bu tıbbi kayıtların bir kısmını çalmayı başarır ve kamuya açık olarak görüntülenmek üzere çevrimiçi ortama atarsa, sağlık hizmeti sağlayıcısı bu veri ifşa saldırısı nedeniyle zarara uğrayacaktır.
Alteration: Saldırganın hasta tıbbi kayıtlarını değiştirmeyi başarması durumunda durumun ciddiyetini düşünün. Bu değişiklik saldırısı yanlış tedavinin uygulanmasına yol açabilir ve sonuç olarak bu değişiklik saldırısı hayati tehlike yaratabilir.
Destruction: Bir tıbbi tesisin tamamen kağıtsız hale geldiği durumu düşünün. Eğer bir saldırgan veritabanı sistemlerini kullanılamaz hale getirmeyi başarırsa, tesis düzgün bir şekilde çalışamayacaktır. Geçici olarak kağıda geri dönebilirler; ancak hasta kayıtlarına ulaşılamayacaktır. Bu inkar saldırısı tüm tesisi durduracaktır.
Tehdit, Risk ve Zafiyet
Herhangi bir karışıklığı önlemek için dikkat etmemiz gereken üç terim vardır.
Vulnerability: Savunmasız, saldırıya veya hasara açık anlamına gelir. Bilgi güvenliğinde zafiyet bir zayıflıktır.
Threat: Tehdit, bu zayıflık veya zafiyetle ilişkili potansiyel bir tehlikedir.
Risk: Risk, bir tehdit aktörünün bir güvenlik açığından yararlanma olasılığı ve bunun sonucunda işletme üzerindeki etkisiyle ilgilidir.
Doğrudan bilgi sistemleriyle ilgili başka bir örnek düşünün.
Tüm tıbbi kayıtları saklamak için belirli bir veritabanı sistemi kullanan bir hastanede çalışıyorsunuz. Bir gün, en son güvenlik haberlerini takip ediyorsunuz ve kullanılan veritabanı sisteminin sadece zafiyetli olmadığını, aynı zamanda POC kodunun yayınlandığını öğreniyorsunuz; yayınlanan istismar kodu tehdidin gerçek olduğunu gösteriyor. Bu bilgiyle, ortaya çıkan riski değerlendirmeli ve sonraki adımlara karar vermelisiniz.
Last updated
