Güvenlik Zaafiyetleri !

1. Tehditler

Tehdit, bir sistemin veya kurumun zarar görmesine neden olan istenmeyen bir olayın arkasındaki gizli neden, olarak tanımlanabilir. Her tehdidin bir kaynağı (threat agent) ve bu kaynağın yararlandığı sistemdeki bir “güvenlik boşluğu” vardır. “Sistemi neye karşı korumalıyım?” sorusuna verilecek cevap bir sisteme yönelik olan tehditleri belirlemekte yardımcı olacaktır.

Tehditler, tehdit kaynağı açısından bakıldığında iki gruba ayrılarak
incelenebilir:

# İnsan Kaynaklı Tehditler: Bu tür tehditleri de kendi içinde iki alt gruba ayırabiliriz:

$ Kötü niyet olmayan davranışlar sonucu oluşanlar: Bir kullanıcının, sistemi bilinçsiz ve bilgisizce, yeterli eğitime sahip olmadan kullanması sonucu sistemde ortaya çıkma olasılığı olan aksaklıklardır.

$ Kötü niyetli davranışlar sonucu oluşanlar: Sisteme zarar verme amacıyla, sisteme yönelik olarak yapılacak tüm kötü niyetli davranışlardır. Bu tür tehditlerde, tehdit kaynağı, sistemde bulunan güvenlik boşluklarından yararlanır.

# Doğa Kaynaklı Tehditler: Bu tür tehditler genellikle önceden tespit edilemezler ve büyük bir olasılıkla olmaları engellenemez. Deprem, yangın, su baskını, sel, ani sıcaklık değişimleri, toprak kayması, çığ düşmesi bu tür tehditlere örnek olarak verilebilir.

Tehdidin geliş yönüne göre de sınıflandırma yapılabilir. Buna göre iç tehditler, kurum içinden kuruma yönelik yapılabilecek saldırılar, dış tehditler ise kurum dışından kuruma yönelik olarak yapılabilecek saldırılar olarak tanımlanır.

2.Güvenlik Boşluğu (Vulnerability)

Güvenlik boşluğu (Vulnerability), sistem üzerindeki yazılım ve donanımdan kaynaklanan ya da sistemi işletim kuralları ve/veya yönergelerindeki açık noktalar ve zayıf kalmış yönlerdir. Bir güvenlik boşluğu sayesinde bir saldırgan, sistemdeki bilgisayarlara ya da bilgisayar ağı üzerindeki kaynaklara yetkisiz olarak erişebilir. Bir sunucu bilgisayar üzerinde çalışan bir hizmet (örneğin web sunucu ya da e-posta alma/gönderme hizmeti), modem üzerinden içeri doğru sınırlandırılmamış arama hizmeti, bir güvenlik duvarı üzerinde açık unutulmuş bir erişim noktası (port), sunucu bilgisayarların bulunduğu odaya giriş çıkışlarda fiziksel erişim denetimi eksikliği, sunucular üzerinde belli bir politikaya dayandırılmadan belirlenen parolalar güvenlik boşluklarına örnek olarak verilebilirler.

Yazılım ya da donanımdan kaynaklanan güvenlik boşlukları, program üreticisi ya da başka bir kaynak tarafından geliştirilen bir “yama program” yardımıyla kapatılmalı ve eldeki yazılım ve donanımların üreticilerinin yayınladığı yama listeleri sürekli olarak takip edilmelidir ve çıkan yamalar vakit geçirilmeden sisteme uygulanmalıdır.

Tehditler, bilgisayar sistemlerindeki güvenlik boşluklarına yönelik olarak tanımlanırlar. Yani bir güvenlik boşluğu ortadan kaldırılırsa ya da “yama program” yardımıyla düzeltilirse, söz konusu tehdit ortadan kaldırılır. Aşağıdaki tablodan da anlaşılacağı üzere, bir tehdidin oluşması için bir güvenlik boşluğuna ve bu güvenlik boşluğundan yararlanabilecek bir tehdit kaynağına ihtiyaç vardır.

3. Risk

Bir tehdit kaynağının, bir sistemdeki güvenlik boşluğundan yararlanarak sisteme yetkisiz erişimde bulunması olasılığı, bu tehdidin riski olarak ifade edilir. Tehdit kaynaklarının ya da güvenlik boşluklarının azaltılması, tehdide ait riskleri de aynı oranlarda azaltacaktır.

Potansiyel riskler, tedbirler yardımı ile azaltılabilirler. Bir tedbir, bir güvenlik boşluğunu ortadankaldırır ya da bir tehdit kaynağının bir güvenlik boşluğunu kullanması riskini azaltır. Tedbirler,yazılım, donanım ya da geliştirilen bir kullanım yönergesi şeklinde karşımıza çıkabilirler. Tedbirlere,
sağlam bir parola yönetim politikası, bir güvenlik görevlisi, bir işletim sistemi üzerinde akıllıkartlara dayalı bir erişim denetim mekanizması, güvenlik konusunda kullanıcıların eğitimi gibi örnekler verilebilir