1 iNTERNET GÜVENLiĞi -ARAŞTIRMA Açıkların Senelere Göre Değişimi Açıkların Uygulama Bazında Değişimi % 100 % 100 % 80 %80 %60 % 60 %40 %40 %20 %20 %0 Düşük % 0-l"'---"--ı---ı-----"--,---'-..--.;__.c:....,._..;;:'--'-(' Dosya FTP E-mail Yönetim Sunucu 02005 ■2004 O 2003 0 2005 Açık ■2004 O 2003 Şekil 4. Açıkların seviye baz111da senelere göre değişimi Şekil 5. Açıkların uygulama bazında senelere göre değişimi İnternet'ten FTP Sunucularına Erişim İle İlgili Güvenlik Açıkları FTP sunucuları şirket için kritik verileri barındırır. Bu sunuculardaki verilere İnternet'ten direkt erişim açılmaması gerekmektedir. Mümkünse bu sistemlere erişim, VPN teknolojisi kullanılarak güvenlik altına alınmalıdır. Ancak yapılan denetimde, FTP sunucularının % 32'sinde ciddi güvenlik riski bulunduğu saptanmıştır. İnternet Güvenliğinde E-posta Saldırıları Öne Çıkıyor! SMTP E-posta Sistemi Güvenlik Açıkları Güvenliği tehdit eden bir başka konu da şirketlere ait sistemlerin % 21'inde eposta sistemlerinin ciddi risk taşımasıdır. Bu risk nedeniyle, şirket e-postalarının başkaları tarafından okunulması gibi hayati zararlarla karşılaşmak mümkün olabilmektedir. Şirketlerdeki SMTP sunucularının Spammer'lar tarafından kullanılmasına olanak sağlanması ile tüm lnternet ve e-posta kullanımının risk altına atılması söz konusudur. Bu risk, şirket e-posta sunucusunun kara listeye alınması ve tüm iletişimin aksaması sonucunu doğurabilmektedir. Ayrıca Spammer'lar, şirket bant genişliğinin gereksiz trafikle şişmesine ve diğer e-iş uygulamalarının devre dışı bırakılmasına neden olabilmektedirler. TREND ANALİZi Genel olarak açıkların dağılımına bakıldığında, iyileşme olduğu görülmektedir. Ancak 2005'te gelinen noktanın yüksek IYANGIN ve GÜVENLİK SAYI 99 118 güvenlik risklerini çok azalttığını ve bu oranı% 5'in altına indirdiğini halen söyleyememekteyiz. 2005 denetimi de, şirketlerin % 20'sinin elektronik bilgi varlıklarının ele geçirilmesi ve servis dışı bırakılma gibi ciddi riskler altında olduğunu göstermektedir. Orta seviyeli (gizli bilgilerin ele geçmesi, şirketin bilgi varlıklarına ait işletim sistemi tipi, yama detayı gibi bilgilerin ele geçmesi vb.) açı klarda ise üç sene boyunca karşılaşılan durumda bir iyileşme olmadığı gözlenmektedir. Halen her üç şirketten birinde orta seviyeli açıklar bulunmaktadır. Yapılan incelefl1e ile kritik web sunucusu açıklarından son üç sene içinde ciddi bir iyileşme olmadığı görülmektedir. ONS sunucu açıklarıyla ilgili ise 2003-2004 arasında ciddi bir iyileşme gözlenmiş olsa da, 2005 denetiminde iyileşme ivmesinin azaldığı ortaya çıkmaktadır. Uzaktan yönetim uygulamaları , ftp ve e-posta sunucularında da benzer şekilde var olan açık yüzdeleri, iyi yönde düzelme göstermemiştir. Yukarıdaki kategoriler arasında, sadece dosya sunucu açıkları % 85' ten % 45'e inerek olumlu gelişme kaydetmiştir. Ancak bu gelişmeye rağmen, her iki dosya sunucusundan biri hala kolayl ıkla ele geçirilme riski altındadır. SEKTÖREL ANALİZ Kamu ve Eğitim Sektörü Tehlikede Daha önceki iki denetimde de karşılaştığımız gibi, maalesef açıklar bu sene de kamu ve eğitim sektöründe ciddi boyutlara ulaşmaktadır. Bu sektörlerde saptanan açıkların temelinde, kullanılan uygulamalara ait güvenlik yamalarının düzenli takip edilmemesinin bulunduğu görülmektedir. Buna ek olarak, İnternet güvenliğinde ilk adım olan güvenlik duvarı ayarlarının düzgün yapılmadığı ve İnternet'e açılması sakıncalı olan servislerin filtrelenmediği tespit edilmiştir. Sigorta Sektöründe Risk Yüksek Daha önceki denetimde yüksek riske sahip olarak görülen turizm ve tekstil sektörüne, bu sene sigorta sektörü de eklenmiştir. Sektöre! Dağılım (ADSL hariç) Üretim % 2 Turizm % 8 Tekstil % 9 ~ 11 ~, Di~er % 20 Şekil 6. Yüksek seviyedeki açıkların sektöre/ dağı/ııııu (ADSL hariç)
RkJQdWJsaXNoZXIy MTcyMTY=