The CIA Triad of IT Security

-: Artık siber güvenlik ve bilgi güvenliği arasındaki farkı bildiğinize göre, temel bilgi güvenliği ilkelerinden bahsederek kursu düzgün bir şekilde çalışabiliriz. Bu arada, burada bilgi güvenliği dediğimde siber güvenlikten de bahsediyorum. Peki bu ilkeler tam olarak nedir? Bizde bunlardan üç tane var ve genellikle CIA üçlüsü olarak anılıyorlar. Ve hayır, ABD Merkezi İstihbarat Teşkilatı'ndan bahsetmiyorum. Gizlilik, bütünlük ve kullanılabilirlikten bahsediyorum. Size söz veriyorum, her türlü siber güvenlik ürününün, donanımının, yazılımının ya da politikasının her zaman bu üç ilkeden en az birini gerçekleştirmeye yönelik olduğunu garanti ediyorum. Peki bunlar tam olarak nedir? Gizlilik temel olarak, verilere yalnızca bu verilere erişme hakkına sahip kişiler tarafından erişilebileceği anlamına gelir. Üzgünüz, gerekli kimlik bilgilerine sahip değilseniz bu verilere erişemezsiniz. Gizliliğin amaçladığı şey de budur. Ve gizliliğe ulaşmamıza yardımcı olacak çeşitli araçlarımız var. Yani şifreleme, parolalar, biyometri gibi araçlar, bundan daha sonra bahsedeceğiz, tüm bunlar gizliliği sağlamaya yöneliktir. Peki ya dürüstlük? Bu, basitçe verilerin kurcalanmamasını, değiştirilmemesini, modifiye edilmemesini veya değiştirildiyse bile bunun doğru kişiler tarafından yapılmasını sağlar. Bu dosyayı değiştirme hakkına sahip olan biri tarafından yapılmıştır. İşte dürüstlük de bunu başarmayı amaçlar. Ve bunu başarmamıza yardımcı olacak sağlama toplamları, hashing ve benzeri araçlarımız var. Tüm bunlar verilerin tahrif edilmemesini sağlamaya yöneliktir. Ve son olarak, uygunluk. Ve bu, çok az deneyime sahip genç güvenlik yöneticilerinin sıklıkla unuttuğu ilkelerden biridir. Erişilebilirlik basitçe, verilerin ve kaynakların doğru kimlik bilgilerine sahip kişiler tarafından erişilebilir olduğu anlamına gelir. Yine, alt düzey yöneticiler, her zaman kullanılabilirliği unuturlar. Gizliliğe, bütünlüğe odaklanırlar ve ardından verilerin, kaynakların, bunlara erişmesi gereken kişiler tarafından her zaman kullanılabilir olacağını varsayarlar ki bu her zaman geçerli değildir. Dolayısıyla, kullanılabilirliği sağlamak için araçlarımız var. Yani ağ erişiminiz, sunucu ve veri kullanılabilirliğiniz ve çok daha fazlası gibi şeyler. Tüm bunlar, kullanılabilirliğin karşılanmasını sağlamaya yöneliktir. Şimdi, destekleyici ilkeler dediğimiz AAA'ya sahibiz. Kimlik doğrulama, yetkilendirme ve kullanılabilirlikten bahsediyoruz, ya da özür dilerim, muhasebe. Peki bu üçü tam olarak nedir? Kimlik doğrulama basitçe, bir kullanıcının kimliğinin belirli bir dosya türüne erişim izni verilmeden önce doğrulanması anlamına gelir. Bir düşün, tamam mı? E-postanıza erişmeye çalıştığınızda veya çıkış yaptığınızda ve Netflix hesabınıza tekrar giriş yapmanız gerektiğinde, genellikle bir şifre girmeniz gerekir, değil mi? Bu parolanın sunucunun kim olduğunuzu doğrulamasına yardımcı olması gerekiyor. Dolayısıyla, bu durumda şifre şu anda kimlik doğrulamayı sağlamayı amaçlayan bir araçtır. Şimdi, yetkilendirme söz konusu olduğunda, bu, kimlik doğrulama işlemi yoluyla size erişim izni verildikten sonra neler yapabileceğinizi belirleyecektir. Örneğin, bir sunucudaki gizli bir dosyaya erişmeye çalıştığınızı varsayalım. Bu dosyaya erişmeden önce, kimlik doğrulama yoluyla kim olduğunuzu doğrularsınız. Şimdi, size dosyaya erişim izni verilmiş olması, dosyayla yapmak istediğiniz her şeyi yapabileceğiniz anlamına gelmez. Dosya ile ne yapabilirsiniz? Dosyayı görüntüleyebilir, dosyayı değiştirebilir, dosyayı silebilir, dosyayı aktarabilir, dosyayı kopyalayabilir, hatta dosyayı silebilirsiniz, değil mi? Bunların hepsi dosya ile yapabileceğiniz farklı türde şeylerdir, ancak ne yapabileceğiniz yetki düzeyinize göre belirlenecektir. Örneğin, en düşük seviye olan birinci seviyeye sahip olduğunuzu varsayalım, belki bu dosyayı görüntülemenize izin verir, ancak başka bir şey yapamazsınız. İkinci seviye dosyayı görüntülemenize izin verir, ancak belki de dosyada değişiklik yapmanıza ve bu değişiklikleri kaydetmenize de izin verir. Üçüncü seviye dosyayı görüntülemenize, bazı değişiklikler yapmanıza ve hatta belki de dosyayı indirmenize izin verecektir. Yani belki de en yüksek seviye olan beşinci seviye, dosyayla ne yapmak isterseniz yapmanıza izin verecektir. İşte yetkilendirme budur. Buradaki sonuncusu muhasebe. Bu, temel olarak kullanıcıların belirli bir dosya veya veri türüyle ne yaptığını takip eder. Şimdi, bu çok çok önemli, çünkü bir veri ihlali varsa, belki bir dosya yasadışı olarak indirilmişse, muhasebe dosyayı yasadışı olarak kimin indirdiğini izleyebilecektir. Yani muhasebe sadece bir çeşit hesap verebilirlik, değil mi? Temelde olan bu. CIA ve AAA ilkelerini aradan çıkardıktan sonra, karşıt ilkelerden, yani DAD'den bahsedelim. ifşa etme, değiştirme ve inkar etme. Kötü adamların, siber suçluların, bilgisayar korsanlarının elde etmeyi amaçladıkları şeyler bunlardır. Peki ifşa tam olarak nedir? Bu, gizliliğin tam tersidir. Burada verilere yetkili olmayan kullanıcılar tarafından erişiliyor, değil mi? Ve Truva atları, kaba kuvvet saldırıları ve hatta fiziksel hırsızlık gibi çeşitli araçlara sahiptirler. Bunlar, bilgisayar korsanlarının ifşaya ulaşabilecekleri araçlar ve yöntemlerdir. Ve tabii ki bütünlüğün tam tersi olan değiştirme, verilerin tehlikeye atıldığı veya değiştirildiği durumlardır. Ve sonra kötü amaçlı yazılımlarınız, virüsleriniz, SQL enjeksiyonunuz gibi araçlarınız var, bunlar devam ediyor ve devam ediyor. Tüm bunlar kötü adamlar tarafından değişiklik yapmak için kullanılabilir. Sonuncusu ise, erişilebilirliğin tam tersi olan inkar edilebilirlik, yani verilerin bu verilere erişmesi gereken kişilere sunulmamasıdır. Ve hizmet reddi saldırıları, fidye yazılımları gibi araçlarımız var, tüm bunlardan kursun ilerleyen bölümlerinde bahsedeceğiz. Tüm bunlar bilgisayar korsanları tarafından inkar edilebilirlik elde etmek için kullanılabilir. Yani bir CIA var, bir de DAD var. Bunlar bilmeniz gereken kısaltmalardır. Ancak bu konuyu tamamlamadan önce, son zamanlarda CIA üçlüsüne iki yeni temel ilke daha eklenmiştir. Bu mahremiyettir ve mahremiyet ile basitçe bir bireyin ya da kullanıcının kendi kişisel bilgilerinin kullanımını kontrol etme ya da çevrimiçi faaliyetlerini kişisel tutma hakkı kastedilmektedir. Ve elbette bugün içinde yaşadığımız dünyada bu konu daha hassas bir hale geliyor, çünkü dünyanın dört bir yanında kullanıcıların verilerine daha fazla erişim isteyen hükümetler var. Temelde kullanıcıların mahremiyetini ortadan kaldırmaya çalışıyorlar. Ve tabii ki bu konuda büyük bir tartışma sürüyor, ancak bu siber güvenlik ve bilgi güvenliğinin bir başka temel ilkesidir. Beşincisi ise inkar etmeme dediğimiz şeydir. Bu temelde bir öznenin veya kullanıcının bir kaynak oluşturma, değiştirme veya gönderme gibi bir şeyi inkar edemediği durumdur. Muhasebeye benzer şekilde, muhasebede her kullanıcının belirli bir dosya veya veri üzerinde ne yaptığını izleyebilirsiniz. Yani inkar etmeme, temelde kullanıcının "bunu ben yapmadım, ben yapmadım" diye inkar edemeyeceği bir hale getirmektir. Tek silahlı adamdı, Nancy'ydi, Bob'du, ben masumum. Hayır, değilsin. Tamam, kayıtlar elimizde. Ve inkar etmemekle, bu yasadışı şeyi yapanın aslında siz olduğunuzu kanıtlayabiliriz. İşte inkar etmemenin başarması gereken şey budur. Temel bilgi güvenliği ilkeleri temelde bu kadar. İzlediğiniz için teşekkürler, bir sonraki derste görüşmek üzere.