Gerek bireysel, gerekse kurumsal bilişim yapılarının olmazsa olmazı haline gelen mobil cihazlar da siber güvenlik kavramı dahilinde göz önüne alınması gereken bileşenler kapsamında. Ancak mobil işletim sistemleri çalıştıran cihazlar doğaları gereği klasik masaüstü uç noktalardan çok daha farklı ele alınması gereken bir platform.
Bunun altında yatan temel sebeplerden birisi işletim sistemi ve cihaz yapısından kaynaklanıyor. Mobil cihazlarda kullanılan işletim sistemleri cihaz üreticisinin tercihine göre farklılık gösterirken yanlarında bu işletim sistemlerinin kendilerine has kısıtlamalarını da getiriyorlar. Blackberry, Apple gibi üreticiler tamamı ile kapalı ve kendilerine özel işletim sistemleri geliştirirken, Microsoft masaüstü işletim sistemlerine yakın bazı standartlar sağlamaya çalışıyor. Android ise bilindiği üzere tamamı ile açık kaynak bir platform.
Güvenlik açısından baktığınızda, hangisinin daha iyi olduğuna karar veremediğiniz bir noktaya geliyorsunuz. Evet, kapalı mobil platformlar doğaları gereği daha güvenli gözükebilir. Ancak bu platformlar üzerlerinde zararlı kod analizi yapabilen bir arayüze de izin vermedikleri için bu platformlar için bir güvenlik çözümü üretemiyorsunuz. Android ise açık kaynağın getirdiği pek çok saldırı noktasını bünyesinde barındırmakla beraber size bunun çaresini sunan yazılımları oluşturmanın da imkanını sunuyor.
Kurumsal bir yapıda birden fazla mobil platforma destek vermek söz konusu olduğunda işler daha da karmaşıklaşıyor. Farklı platformlarda ortak güvenlik politikaları oluşturmak platformlar arası uyumsuzluklardan ötürü oldukça zor. Bu noktada mobil cihaz yönetim çözümleri bir nebze olsun imdada koşuyor. Cihazların üzerinde bulunan kaynakların denetlenmesine yönelik eylemler ile farklı platformları daha ortak bir noktada buluşturmak mümkün olabiliyor. O yüzden çoğu kurum mobil güvenlik ve yönetimi bir arada barındıran çözümleri tercih ediyorlar.
Mobil sistemler deyince akla öncelikle cep telefonları ve tablet bilgisayarlar geliyor. Ancak bugün Android işletim sistemi çalıştıran IP kameralar, VoIP telefonlar, medya oynatıcılar, Digital Signage cihazları da yerlerini almış durumdalar.
Mobil güvenlik dünyasında asıl hareket açık kaynak platform olması sebebi ile Android etrafında dönüyor. Kullanıcıya verdiği esneklik nedeni ile siber saldırganlar da burayı hedef seçmiş durumdalar çünkü. İşletim sistemi, Java gibi temel bileşenlerden kaynaklanan açıkları geçin, bunun üstüne şu an itibarı ile çeşitli Android marketlerde yer alan bir milyonun üstünde zararlı uygulama var. Bu uygulamalar vadettikleri işi yapmanın yanı sıra yüklendikleri mobil cihazlar yardımı ile bilgi sızdırma, ücretli servislere mesaj atma, ortam dinleme gibi pek çok zararlı eylemi de gerçekleştiriyorlar.
Bir de konuyu sadece bu cihazların kendi üzerlerinde gerçekleşecek zararlı eylemler olarak görmemek lazım. Mobil cihazlar kendi üzerlerinde çalıştırılamasa bile bağlandıkları ağa zararlı yazılım aktarma konusunda aracı olarak kullanılabiliyorlar.
Mobil cihazlar üzerinde barındırılan verilerin yanlış ellere düşmesi de bir başka konu. Çalınan ya da kaybedilen bir mobil cihaz üzerinde çok değerli kurumsal veriler bulunabiliyor. Ve bu veriler tableti kullanan kişinin bireysel verileri ile yan yana duruyorlar.
Mobil cihazın kime ait olduğu konusu da ilginç bir nokta. Kurumların sahip olup da personellerine dağıttıkları cihazlar üzerinde “bunlar kurumun iş amaçlı varlığıdır” deyip her türlü önleyici ve yönetsel politikalar uygulamak yine de daha kolay. Ancak kişilere ait mobil cihazlarda kurum uygulamaları çalıştırdığınız senaryoda iş farklı bir boyut kazanıyor. Sonuçta bireyler kendilerine cihazlarda keyfiyetlerine uygun her türlü uygulamayı çalıştırma hakkına sahipler.
Burada da imdada mobil çalışma alanı çözümleri yetişiyor. Uygulamalar aslen kuruma ait veri merkezlerinde bulunan sanal mobil ortamlarda çalıştırılıyor ve uygulama sanallaştırmaya benzer bir yöntemle mobil cihazlara aktarılıyor. Kurumsal veriler de yine bu veri merkezinde bulut depolama teknikleri ile tutuluyor. Mobil cihaz güvenlik ve yönetim çözümleri ile birlikte kullanıldığında, kullanıcıya hiçbir şey hissettirmeden belirlediğiniz kurallar dahilinde kurumsal uygulamaları mobil cihazlara aktarmanız mümkün. Mobil cihazın konumu ya da bağlandığı ağ kimliğine bağlı olarak belirli uygulamaların çalışmasına ya da belirli verilere erişimine yönelik politikalar belirleyebilirsiniz. Bu tür çözümlerde hem Android, hem de kapalı platformlarda bu imkanı sağlayan çözümler öne çıkıyor.
Mobil cihazlar ile güvenli bilişim sağlamak üzerinde çok boyutlu düşünülmesi gereken bir süreç. Yine de sağladığı üretkenlik göz önüne alındığında, harcanan çabaya değeceği kesin.
Bu yazı daha sonra düzenlenerek CeBIT Life Magazine 2013 2. Sayı'sında yayınlanmıştır.
Bunun altında yatan temel sebeplerden birisi işletim sistemi ve cihaz yapısından kaynaklanıyor. Mobil cihazlarda kullanılan işletim sistemleri cihaz üreticisinin tercihine göre farklılık gösterirken yanlarında bu işletim sistemlerinin kendilerine has kısıtlamalarını da getiriyorlar. Blackberry, Apple gibi üreticiler tamamı ile kapalı ve kendilerine özel işletim sistemleri geliştirirken, Microsoft masaüstü işletim sistemlerine yakın bazı standartlar sağlamaya çalışıyor. Android ise bilindiği üzere tamamı ile açık kaynak bir platform.
Güvenlik açısından baktığınızda, hangisinin daha iyi olduğuna karar veremediğiniz bir noktaya geliyorsunuz. Evet, kapalı mobil platformlar doğaları gereği daha güvenli gözükebilir. Ancak bu platformlar üzerlerinde zararlı kod analizi yapabilen bir arayüze de izin vermedikleri için bu platformlar için bir güvenlik çözümü üretemiyorsunuz. Android ise açık kaynağın getirdiği pek çok saldırı noktasını bünyesinde barındırmakla beraber size bunun çaresini sunan yazılımları oluşturmanın da imkanını sunuyor.
Kurumsal bir yapıda birden fazla mobil platforma destek vermek söz konusu olduğunda işler daha da karmaşıklaşıyor. Farklı platformlarda ortak güvenlik politikaları oluşturmak platformlar arası uyumsuzluklardan ötürü oldukça zor. Bu noktada mobil cihaz yönetim çözümleri bir nebze olsun imdada koşuyor. Cihazların üzerinde bulunan kaynakların denetlenmesine yönelik eylemler ile farklı platformları daha ortak bir noktada buluşturmak mümkün olabiliyor. O yüzden çoğu kurum mobil güvenlik ve yönetimi bir arada barındıran çözümleri tercih ediyorlar.
Mobil sistemler deyince akla öncelikle cep telefonları ve tablet bilgisayarlar geliyor. Ancak bugün Android işletim sistemi çalıştıran IP kameralar, VoIP telefonlar, medya oynatıcılar, Digital Signage cihazları da yerlerini almış durumdalar.
Mobil güvenlik dünyasında asıl hareket açık kaynak platform olması sebebi ile Android etrafında dönüyor. Kullanıcıya verdiği esneklik nedeni ile siber saldırganlar da burayı hedef seçmiş durumdalar çünkü. İşletim sistemi, Java gibi temel bileşenlerden kaynaklanan açıkları geçin, bunun üstüne şu an itibarı ile çeşitli Android marketlerde yer alan bir milyonun üstünde zararlı uygulama var. Bu uygulamalar vadettikleri işi yapmanın yanı sıra yüklendikleri mobil cihazlar yardımı ile bilgi sızdırma, ücretli servislere mesaj atma, ortam dinleme gibi pek çok zararlı eylemi de gerçekleştiriyorlar.
Bir de konuyu sadece bu cihazların kendi üzerlerinde gerçekleşecek zararlı eylemler olarak görmemek lazım. Mobil cihazlar kendi üzerlerinde çalıştırılamasa bile bağlandıkları ağa zararlı yazılım aktarma konusunda aracı olarak kullanılabiliyorlar.
Mobil cihazlar üzerinde barındırılan verilerin yanlış ellere düşmesi de bir başka konu. Çalınan ya da kaybedilen bir mobil cihaz üzerinde çok değerli kurumsal veriler bulunabiliyor. Ve bu veriler tableti kullanan kişinin bireysel verileri ile yan yana duruyorlar.
Mobil cihazın kime ait olduğu konusu da ilginç bir nokta. Kurumların sahip olup da personellerine dağıttıkları cihazlar üzerinde “bunlar kurumun iş amaçlı varlığıdır” deyip her türlü önleyici ve yönetsel politikalar uygulamak yine de daha kolay. Ancak kişilere ait mobil cihazlarda kurum uygulamaları çalıştırdığınız senaryoda iş farklı bir boyut kazanıyor. Sonuçta bireyler kendilerine cihazlarda keyfiyetlerine uygun her türlü uygulamayı çalıştırma hakkına sahipler.
Burada da imdada mobil çalışma alanı çözümleri yetişiyor. Uygulamalar aslen kuruma ait veri merkezlerinde bulunan sanal mobil ortamlarda çalıştırılıyor ve uygulama sanallaştırmaya benzer bir yöntemle mobil cihazlara aktarılıyor. Kurumsal veriler de yine bu veri merkezinde bulut depolama teknikleri ile tutuluyor. Mobil cihaz güvenlik ve yönetim çözümleri ile birlikte kullanıldığında, kullanıcıya hiçbir şey hissettirmeden belirlediğiniz kurallar dahilinde kurumsal uygulamaları mobil cihazlara aktarmanız mümkün. Mobil cihazın konumu ya da bağlandığı ağ kimliğine bağlı olarak belirli uygulamaların çalışmasına ya da belirli verilere erişimine yönelik politikalar belirleyebilirsiniz. Bu tür çözümlerde hem Android, hem de kapalı platformlarda bu imkanı sağlayan çözümler öne çıkıyor.
Mobil cihazlar ile güvenli bilişim sağlamak üzerinde çok boyutlu düşünülmesi gereken bir süreç. Yine de sağladığı üretkenlik göz önüne alındığında, harcanan çabaya değeceği kesin.
Bu yazı daha sonra düzenlenerek CeBIT Life Magazine 2013 2. Sayı'sında yayınlanmıştır.
Hiç yorum yok:
Yorum Gönder