Herhangi bir dijital sistemin güvenliğini konuşmaya başladığımızda, karşımıza çıkan en temel kavramlardan biri CIA Üçlüsü'dür: Gizlilik (Confidentiality), Bütünlük (Integrity) ve Erişilebilirlik (Availability). Bu üç ilke, bir sistemin veya verinin ne kadar güvenli olduğunu değerlendirmek için kullanılan temel bir çerçevedir. Bir poster ya da basit bir kural listesi olmaktan öte, CIA triad'ı, her güvenlik kararını süzgeçten geçiren temel bir zihniyet modelidir.
Neden Hâlâ CIA?
Bu kadar çok yeni siber tehdit varken, neden hala bu 1970'lerin sonlarından kalma basit üçlüye odaklanıyoruz? Kısa cevap: Çünkü siber riskler bu üç temel boyutta kendini gösterir. Bir riski değerlendirirken, geleneksel olarak kullandığımız formül şöyledir: Risk ≈ Tehdit × Açıklık × Etki. İşte CIA, bu formülün "Etki" kısmını somutlaştırır ve ölçülebilir kılar. Etki, ya veri veya bilginin ifşa olması (C), tahrif edilmesi (I) ya da hizmetin kesintiye uğraması (A) şeklinde ortaya çıkar. Bu üç boyutlu yaklaşım, bir saldırının potansiyel zararlarını anlamamızı sağlar.
Üç Temel Sütun ve Uygulamalı Kontroller
Her bir CIA ilkesi, farklı türdeki tehditlere karşı koymak için çeşitli güvenlik kontrollerini içerir.
1. Gizlilik (Confidentiality): Yetkisiz Gözlere Karşı Koruma
Gizlilik, yetkisiz kişilerin verilere erişimini engelleme prensibidir. Bir siber saldırgan, bir veritabanını çaldığında veya gizli bilgilerin olduğu bir e-postayı ele geçirdiğinde, gizlilik ilkesi ihlal edilmiş olur.
Tipik Tehditler: Veri sızıntıları, yanlış yetki atamaları, yan kanal saldırıları ve hassas verilerin log dosyalarına sızması.
İşe Yarayan Kontroller
Erişim Yönetimi: Rol Tabanlı Erişim Kontrolü (RBAC) veya Nitelik Tabanlı Erişim Kontrolü (ABAC) gibi modeller, en az ayrıcalık (Principle of Least Privilege - PoLP) ilkesiyle birleşerek kullanıcılara sadece ihtiyaç duydukları kaynaklara erişim yetkisi verir.
Şifreleme: Verilerin hem durağan (at-rest) haldeyken hem de iletim sırasında (in-transit) şifrelenmesi kritiktir. Örneğin, AES-GCM gibi algoritmalarla veritabanındaki verileri şifrelemek ve TLS 1.2+ protokolleri kullanarak ağ trafiğini korumak yaygın uygulamalardır.
Kimlik ve Oturum Yönetimi: Çok Faktörlü Kimlik Doğrulama (MFA) kullanımı, risk tabanlı erişim politikaları ve erişim için geçici "bastion" sunucularının kullanılması, kimlik avı saldırılarını ve yetkisiz erişimi engeller.
Veri Sınıflandırma ve DLP: Hassas verileri (PII gibi) sınıflandırmak ve Veri Kaybı Önleme (DLP) çözümleriyle dışarı aktarımını kontrol etmek.
Kısa Test: "Sisteminizden sızan bir yedek dosyası, herhangi bir şifre çözme işlemi olmadan tek başına okunabilir mi?" Eğer cevap 'evet' ise, gizlilik kontrollerinizde zayıflıklar var demektir.
2. Bütünlük (Integrity) — Veri ve İşlemlerin Güvenilirliği
Bütünlük, verinin yetkisiz veya istenmeyen bir şekilde değiştirilmediğini garanti etme ilkesidir. Bir saldırganın bir banka hesabındaki para miktarını değiştirmesi veya bir yazılım güncellemesine kötü amaçlı kod enjekte etmesi, bütünlük ihlalidir.
Tipik Tehditler: Veri tahrifi, tedarik zinciri (supply-chain) saldırıları, log kayıtlarının silinmesi veya değiştirilmesi.
İşe Yarayan Kontroller
Kriptografik Bütünlük: Verilerin bütünlüğünü doğrulamak için HMAC/SHA-256 gibi hash fonksiyonları veya dijital imzalar kullanılır.
Kayıt ve Denetim İzleri: Sadece ekleme yapılabilen (append-only) log sistemleri (WORM/SIEM), olayları ve değişiklikleri değişmez bir şekilde kaydeder.
DevOps Zinciri Güvenliği: Yazılım tedarik zincirini güvence altına almak için SBOM (Software Bill of Materials) oluşturmak ve in-toto gibi standartlarla imzalı build süreçleri uygulamak.
Veri Doğrulama: Veritabanı tarafında foreign key kısıtlamaları veya blokzinciri teknolojisindeki gibi değiştirilemez (immutable) tablolar kullanmak.
Kısa Test: "Üretim ortamına dağıttığınız yazılımın kaynağına kadar kriptografik bir iz sürebiliyor musunuz?" Eğer cevap 'hayır' ise, bütünlük kontrollerinizde ciddi bir boşluk var demektir. Bu konuda daha fazla bilgi için Sanal Ortam Güvenliği bloglarından veya NIST'in yayınlarından yararlanılabilir.
3. Erişilebilirlik (Availability): Hizmetin Kesintisiz Olması
Erişilebilirlik, yetkili kullanıcıların ihtiyaç duydukları zaman ve yerde sistem kaynaklarına veya bilgilere ulaşabilmesini sağlama ilkesidir. DDoS saldırıları, sunucu arızaları veya yanlış yapılandırılmış bir sistemin çökmesi, erişilebilirlik ihlalidir.
Tipik Tehditler: Hizmet Reddi (DDoS) saldırıları, tekil hata noktaları (Single Point of Failure - SPOF), kapasite planlama hataları ve operatör kaynaklı hatalar.
İşe Yarayan Kontroller
Yedeklilik ve Dağıtım: Çoklu Kullanılabilirlik Alanı (Availability Zone - AZ) veya coğrafi bölge dağıtımları, bir bölgenin çökmesi durumunda bile hizmetin devam etmesini sağlar.
Dayanıklılık (Resilience): Hata oluştuğunda sistemin kendini kurtarmasını sağlayan Circuit Breaker veya Exponential Backoff gibi yazılım tasarım kalıpları.
İş Sürekliliği ve Felaket Kurtarma: Düzenli yedekleme ve geri yükleme tatbikatları yapmak, kurtarma hedefi (RPO) ve kurtarma süresi hedefi (RTO) gibi metriklerle operasyonel hazırlığı ölçmek.
Kısa Test: "En kritik bölgeniz tamamen çökerse, hizmetiniz kaç dakika içinde tekrar ayağa kalkabilir?" Cevap verilmiyorsa, erişilebilirlik planınız yeterli değildir.
Denge ve Ticari Kararlar
Güvenlik, sıklıkla bir denge oyunudur. Örneğin, gizliliği artırmak için uygulanan aşırı katı şifreleme ve erişim kontrolleri, sistemin performansını düşürerek erişilebilirliği olumsuz etkileyebilir. Aksine, erişilebilirliği artırmak için çok fazla yedekleme veya önbellek (caching) kullanmak, veriler arasında tutarsızlık yaratabilir ve bütünlük riskini doğurabilir. Bu dengeyi sağlamanın en iyi yolu, her sistem için öncelikleri belirleyen bir Tehdit Modellemesi ve SLA (Hizmet Seviyesi Anlaşması) matrisi oluşturmaktır.
Kaynaklar ve İleri Okuma
Bu çalışma, CIA üçlüsüne bir giriş niteliğindedir. Konu hakkında daha derinlemesine bilgi edinmek isteyenler için bazı gürültüden uzak kaynaklar şunlardır:
NIST SP 800-12: An Introduction to Information Security. CIA modelini temelden açıklayan bir rehber.
ISO/IEC 27002: Politika ve Kontroller. İşletmeler için pratik güvenlik kontrollerini listeleyen bir uluslararası standart.
Ross Anderson, Security Engineering (3. baskı). Güvenlik mühendisliğinin pratik yönlerini ve gerçek dünyadaki kırılma hikâyelerini anlatan bir klasik.
Computer Security: Principles and Practice (Stallings & Brown). Bu konuyla ilgili dengeli ve kapsamlı bir ders kitabı.
Unutmamak gerekir, CIA bir teori değil, bir disiplindir. Önemli olan, "güvenliğimiz var" demek değil, bunu kanıtlamaktır. Güvenlik metrikleri, otomatik alarmlar ve düzenli tatbikatlar, bu iddiayı somutlaştıran en önemli araçlardır.
EK: CIA Matrisi
CIA Matrisi, bir sistemin veya verinin güvenliğini Gizlilik (Confidentiality), Bütünlük (Integrity) ve Erişilebilirlik (Availability) ilkeleri açısından değerlendirmek için kullanılan basit bir tablodur.
Sistem/Varlık Gizlilik (C) Bütünlük (I) Erişilebilirlik (A)
Kredi Kartı Verileri Yüksek Yüksek Orta
Ürün Katalogu Düşük Yüksek Yüksek
Kullanıcı Profili Yüksek Orta Orta
Bir açık kapatma planı, bir güvenlik açığı veya riski tespit edildikten sonra bu açığı gidermek için atılacak somut adımları belirleyen bir yol haritasıdır. Plan, genellikle açığın tanımını, riskini ve kapatmak için yapılacak işlemleri içerir.
Açık Kapatma Planı:
Mevcut tüm şifreleri hash'le (örneğin, bcrypt ile) ve veritabanına yeniden yaz.
Kullanıcılardan bir sonraki girişlerinde yeni bir şifre belirlemelerini iste.
Gelecekteki tüm şifreleri kaydetmeden önce hash'le.
Hiç yorum yok:
Yorum Gönder