Tehdit ModellemeSİ VE KVKK İLİŞKİSİ

Kişisel Verilerin Korunması Kanunu beraberinde getirdiği idari sorumlulukların yanında kuruluşların uzun süredir ihtiyaç duyduğu “veri odaklı” siber güvenlik yapısına doğru adım atmalarını sağladı.

1990’ların sonu ve 2000’li yıllarının başından kalma sistem ve ağ güvenliğine odaklı siber güvenlik mimarileri güncel saldırılar karşısında ne yazık ki sınırlı derecede etkin. Kuruluşunuza ait bir kullanıcı adı ve parolanın çalındığını, bu bilgiler kullanılarak VPN ile bağlanıldığını ve erişilebilen bir ortak klasördeki bilgilerin bir web sayfasına yüklendiğini düşünelim. Ağ ve sistem odaklı güvenlik duruşunun önemli bileşenlerinden firewall ve antivirüs bu saldırıda herhangi bir sorun görmeyecektir. Siber saldırganların kuruluş ağındaki sistemleri ele geçirmekten çok bu sistemler üzerinde tutulan verilerle ilgilendiği bir ortamda bu güvenlik duruşunun ne kadar kısıtlı kalacağı rahatlıkla görülebilir.

KVKK; kuruluşları veriyi korumak zorunda bıraktığı için güncel saldırılara daha uygun bir siber güvenlik duruşu sağlayabilir. “Sağlayabilir” kelimesi, hukuk danışmanına ve DLP çözümlerine para harcamaktan fazlasının yapılması halinde “sağlar” olarak değiştirilebilir.

Benim açımdan KVKK projelerinin mutlaka içermesi gereken bir adım tehdit modellemesidir. Kıymeti az bilinen bu çalışma hakkıyla yapıldığında kuruluşun güvenlik duruşunun iyileştirilmesine ciddi faydalar sağlamaktadır.

Tehdit Modellemesi Nedir?

En geniş tabirle tehdit modellemesi potansiyel tehditler ele alınarak bunlara uygun bir güvenlik duruşunun kurgulanması olarak düşünülebilir. Bunun için tehditlerin ve saldırı yüzeyinin iyi anlaşılması çok önemlidir. Tehdit; sistemlerimizi hedef alacak bir saldırgan olarak düşünülebilir. Bu aşamada saldırgan bir insan (siber saldırgan) olabileceği gibi bir zararlı yazılım veya doğal afet de olabilir.

Benzer şekilde “sistem” sadece bilgisayar sistemlerini değil, iş süreçlerini de kapsayabilir. Saldırı yüzeyi ise saldırının gerçekleştirilebileceği noktalardır. Saldırgan ile hedef alması muhtemel sistem arasındaki bağlantı bizim için bir sınır hattı oluşturur. Bu sınır geçişinde uygun güvenlik tedbirleri alınmış olmalıdır. Bu nedenle ayrıntılı bir veri akış çizelgesi oluşturulmalı ve kontroller gözden geçirilmelidir.

Tehdit Modellemesi Nasıl Yapılır?

Tehdit modellemesi yaparken kullanılabilecek 3 temel yaklaşım vardır;

  • Saldırgan odaklı: Sisteme zarar verebilecek saldırgan profili belirlenerek tehdit modelinin oluşturulması
  • Varlık odaklı: Önce korunacak varlıkların değerinin ölçüldüğü yaklaşım. Bu noktada varlıkların bizler ve saldırganlar için farklı değerlere sahip olabileceği unutulmamalıdır.
  • Sistem/yazılım odaklı: Bu çalışmada sistem birbiriyle iletişim halinde süreçler olarak modellenir ve uygun tedbirlerin alınıp alınmadığı değerlendirilir.

Bu konuda kullanılan ve kullanılabilecek onlarca farklı model vardır. Bunların arasından en yaygın olan 3 tanesini ele alırsak;

STRIDE: Microsoft tarafından geliştirilen model yazılım ve sistem odaklı tehdit modellemesi için en uygun yaklaşım olabilir. STRIDE İngilizce “Spoofing”, “Tampering”, “Repudiation”, “Information Disclosure”, “Denial of Service” ve “Elevation of privilege” terimlerinin baş harflerinden oluşur. Bu modelde siber saldırganın taklit, değiştirme, izleri bozma, bilgi ifşası, hizmet aksatma ve yetki yükseltme için kullanabileceği saldırı vektörleri ortaya konur. Bu 6 saldırı türünün sistem ve bileşenlerinin gizliliği, bütünlüğü ve erişilebilirliğini nasıl etkilediği değerlendirilir.

NIST SP800-154: Dört temel adımdan oluşan bu yaklaşım öncelikle korunacak sistem ve verinin belirlenmesini gerektirir. Bu aşamada sistem üzerindeki kullanıcı yetkileri ve veri akışı da incelenerek güvenlik gereksinimleri ortaya çıkartılır. İkinci aşamada tehdit modeline dahil edilecek saldırı türleri belirlenir. Üçüncü adımda bu saldırılara karşı mevcut tedbirlerin etkinliği ölçülür. Son adımda ise önceki aşamalarda elde edilen bulgular ışığında tehdit modeli gözden geçirilerek kabul edilebilir risk seviyesinin üstünde kalan noktalar için iyileştirmeler planlanır.

PASTA: “Process for Attack Simulation and Threat Analysis” (saldırı simülasyonu ve tehdit analizi için süreç) saldırgan odaklı bir tehdit modelleme yaklaşımıdır. Yedi adımdan oluşan bu metodoloji iş gereksinimlerini, teknik ihtiyaçları ve uyumluluk mecburiyetlerini de tehdit modelleme sürecine dahil eder. “İş gereksinimlerinin” (kısaca kuruluşun para kazanmak ve faaliyetlerini sürdürebilmek için yapması gerekenler) dikkate alınması bu yaklaşımı salt teknik bir çalışmanın ötesine taşıyarak yönetim kademesinin de anlayabileceği sonuçların ortaya çıkmasına imkân verir. 

Tehdit Modellemesi Ne İşe Yarar?

Kullanılan metodolojiden bağımsız olarak kuruluşların bir tehdit modelleme çalışması yürütmesinin sağlayacağı onlarca faydadan 3 tanesine bakacak olursak:

  • Kuruluşun mevcut siber güvenlik seviyesinin anlık zafiyetlerden bağımsız olarak değerlendirilmesini sağlar. Zafiyet taraması ve sızma testi çalışmaları kuruluşunuzun o anda bilinen zafiyetlerden nasıl etkileneceği konusunda bir fikir verir. Tehdit modellemesi ise bunlardan bağımsız olarak karşı karşıya olunan risk seviyesinin değerlendirilmesini sağlar.
  • Güvenlik yatırımlarına yol gösterir. Tehdit modellemesi sonucunda kabul edilebilir risk seviyesinin üzerinde kalan noktalar için gerekli yatırımların doğru planlanmasını sağlar. Bu durumda kuruluşunuz yatırım kararlarını güvenlik yazılımı üreticilerinin söylemlerine göre değil, asıl ihtiyaçlarına göre yapabilir.
  • Egzotik riskleri azaltmaya yardımcı olur. Tedarik zinciri saldırılarının yıkıcı etkilerini Solarwinds olayında bir kez daha gördük. Bu sızma testinde veya zafiyet taramasında öngörülemeyecek ve ancak tehdit modellemesi sırasında ortaya çıkabilecek risklerden bir tanesine iyi bir örnek oluşturuyor. Personel kaynaklı risklerden doğal afetlere kadar geniş bir yelpazedeki riskler bu şekilde ortaya konulup henüz ortada bir saldırı yokken gerekli tedbirlerin alınması mümkün olur.

Kuruluşunuza özel bir tehdit modellemesi çalışması yaptırmak isterseniz bize sparta@sparta.com.tr adresinden ulaşabilirsiniz.

Başa dön