Ajanda. Siber Tehditler Etkiler Karşılaşılan Zorluklar Çözüm Kaynakları

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Ajanda. Siber Tehditler Etkiler Karşılaşılan Zorluklar Çözüm Kaynakları"

Aysel Şengül
8 yıl önce
İzleme sayısı:

2 Ajanda Siber Tehditler Etkiler Karşılaşılan Zorluklar Çözüm Kaynakları

3 İnternet

4 İnternet

5 Siber Tehditler Tip Motivasyon Hedef Yöntem Bilgi savaşları Siber Casusluk Askeri veya politik üstünlük Telif haklarını veya sırları ele geçirmek Kritik altyapı sağlayıcıları, siyasi veya askeri varlıklar Hükümetler, şirketler, bireyler Saldırı, veri bozma, zafiyet sömürüsü, fiziksel saldırı ile birleşik Advanced Persistent Threats Siber Suç Ekonomik kazanç Hükümetler, şirketler, bireyler Sahtekarlık, kimlik hırsızlığı, zafiyet sömürüsü, saldırı, Cracking Ego, bireysel düşmanlık Hükümetler, şirketler, bireyler Saldırı, zafiyet sömürüsü Hactivism Politik değişiklik Hükümetler, şirketler, Saldırı, tahrifat Siber Terör Politik değişiklik Saf kurbanlar, asker toplama Pazarlama, kontrol ve kumanda, bilgisayar tabanlı taciz 5

6 2014 İstatistikleri Kaynak: 6

7 Siber Tehdit Somut Etkileri ( ) Telif hakları ile ilgili olarak 1 trilyon USD hırsızlık (Gartner & McAfee, 2009) Finans kuruluşları 20 milyar USD zarar ettiler Raporlanan siber suç miktarı %40 artmıştır kamu çalışanı hassas bilgileri çalınmıştır (2009) Çin Amerikan nükleer silah tasarım bilgilerini çalmıştır. (Michelle Van Cleave- ABD Karşı istihbarat sözcüsü) ABD nükleer silah laboratuvarına ait 69 bilgisayar çalınmıştır. (2009) Bozulmuş veri onarımı için harcanan para 6,6 Milyon USD dir.(2008) Kaynak: Report of the CSIS Commission on Cybersecurity for the 44th Presidency 7

8 Kitlesel Hacking Maliyet fayda odaklıdır Bireye mahsus değildir. Tekil gerçek kişilere yönelik değil kitlesel hedeflere yönelik saldırılardır. Çok katmanlıdır. Her bir ilgili tarafın süreçte tekil rolleri vardır ve farklı finansal modeller kullanırlar. Otomatizedir. Botnetler aracılığıyla değerli veriler toplanır, brute force saldırıları ile parolalar kırılır, spamler aracılığı ile çok yüksek sayıda kişiye ulaşılır, malware dağıtılır ve arama motor sonuçları manipüle edilir. Ortak saldırı tipleri: Veri hırsızlığı veya SQL enjeksiyonu. Business logic saldırıları Servis sonlandırma saldırıları Kaynak: Amichai Shulman 8

9 Advanced Persistent Threats Çok kişiseldir. Saldırılacak taraf politik, ticari veya güvenlik ilgi alanına uygun olarak özenle seçilir. Sosyal mühendislik sıklıkla kullanılır. Israrcıdır. Şayet hedef direnç gösterirse, saldırgan vaz geçmez strateji ve taktik değiştirir, aynı hedefe yönelik farklı saldırılar dener. Hedef kontrol altına almaktır. AT ler kritik altyapı sağlayıcılarda kontrolü ele geçirmeyi hedefler. Ayrıca telif hakkı ve hassas ulusal güvenlikle ilgili bilgilerin ele geçirilmesini hedefler. Otomatizedir ancak küçük ölçeklidir. Otomasyon tekil hedefe yönelik saldırının gücünü arttırmak için kullanılır. Çoklu hedefe yönelik saldırılar için kullanılmaz. Tek katmanlıdır. Saldırının rol ve sorumluluğunu bir taraf sahiplenir ve kontrol eder. Kaynak: Amichai Shulman 9

10 Gelenekler Yanılgılar Yeni nesil güvenlik duvarları Sınır güvenlik sistemleri Saldırı engelleme sistemleri Uyumluluk sertifikasyon (27001, PCI DSS) Yanılgılar BT personeli = Güvenlik personeli Uyumlulukla ilgili sorun yaşanması = Riskin kaynağı Uyumlu olmak / Sertifikalı olmak = Güvenli olmak 10

11 Gerçekler Ağımızda ne var ne yok bilmiyoruz Mevcut önlemler ve pratikler her şeyi bulmuyor Zafiyet içeride Tehditler önlemlerden daha hızlı «Sınırlar» geçersiz, yan kanallar mevcut Ne paydaşlarımızın veya iş ortaklarımızın ağında ne olduğundan haberdarız nede bu paydaşlarla iletişim noktalarımızdan haberdarız Tüm tedbirlere rağmen riskler gerçekleşiyor Tehditlerin motivasyonuna bağlı olarak, her bir tehdit sonucu ya can sıkıcı durumlar, ya para kaybı yaratan durumlar ya da işin kesintiye uğraması durumları oluşuyor 11

12 Karşılaşılan Zorluklar Ortak Problemler Veri miktarının büyüklüğü Milyonlarca bağlantı söz konusu Yüksek boyutluluk Olası yüzlerce karmaşık tehdit senaryosu var Veri kaynağının ömrü düşük Veri veya bilgi kaynağı çok kısa zamanda kayboluyor Olay sıklığı düşük İlgi çekecek olay gerçekleşme sıklığı çok ama çok düşük Veri işleme Ağ trafiğini işlenecek veriye dönüştürme güçlüğü Çok büyük veri setlerinde yüksek performanslı bilgi işleme olanakları gerekiyor 12

13 Karşılaşılan Zorluklar Özel Problemler İlgi ve önem eksikliği Yönetim desteği Teknik bilgi eksikliği Yetersiz eğitim ve tecrübe Teknoloji eksikliği Yetersiz güvenlik sistemleri 13

14 Çözümün Kaynakları Güven nereye kadar Dış kaynaklı yazılım geliştirmede güvenlik Proje yönetimi Tipi ne olursa olsun projelerde güvenlik ve risk konularının ele alınması Saldırgandan önce haberdar olmak Kaynak kod analizi ve penetrasyon testi Farkındalığı arttırılması Son kullanıcı güvenliği Güvenlik bilgisi edinimi Eğitim, muteber sertifikasyon 14

15 Çözümün Kaynakları Dış kaynaklı yazılım geliştirme Şartnamelerin içeriğinde güvenlik gereksiniminin açıkça ifadesi, yuvarlak ifade yazmak hiçbir şey yazmamaktan daha kötüdür. Ör: e uygun kimlik doğrulama yapılacak. Tedarikçi değerlendirmeleri ve yerinde denetim. Yapamıyorsanız yaptırtın. Kabul öncesinde sızma testi. Kuzuyu kurda teslim etmeyin. Ör: yüklenici test ettirecek, test sonuçlarını kuruma verecek. Kabul esnasında teknik uyumluluk ve kontrol. 15

16 Çözümün Kaynakları Proje yönetimi Proje yönetimi yetkinlik gerektirir, yetkinlik ise eğitim. Tipi ne olursa olsun bütün projelerde ve değişiklik yönetimi süreçlerinde bilgi güvenliği ve risk konuları ele alınmalı ve proje sonuna kadar izlenmeli uygun seviyede raporlanmalıdır. 16

17 Çözümün Kaynakları Saldırgandan önce siz haberdar olun Kritik iş gören BT sistemleri belirlenmali Yeni geliştirilen kritik alt yapı sistemlerinde (MIS sitemleri, kamuya açık sistemler, paydaşların erişimine açık sistemler, big data projelerinde) kaynak koda analizi yapılmalı yaptırılmalıdır. Periyodik sızma testleri ihmal edilmemelidir. 17

18 Çözümün Kaynakları Farkındalık Üst yönetim Stratejik yönetim, yatırımlar ve bilgi güvenliği BT yöneticileri Güvenli sistem yönetimi Güvenli sistem ve yazılım geliştirme Güvenlik sistemleri yönetimi, izleme ve müdahale Son kullanıcı Parola güvenliği Sosyal mühendislik İş ortakları ve diğer paydaşlar Gizliliğin korunması, kurumsal politikalar 18

19 Çözümün Kaynakları Güvenlik bilgisi edinimi Güvenlik ürünlerinin uygun konfigürasyonu bakımı ve kullanımı Teknoloji bağımsız güvenlik eğitimleri Ürün ve teknoloji eğitimleri Olay müdahale eğitimleri 19

20 Teşekkürler Fatih KOÇ Kıdemli Danışman, BTYÖN Danışmanlık 2015, Bolu 20

Benzer belgeler

Sibergüvenlik Faaliyetleri

1 Siber Güvenlik Sibergüvenlik Faaliyetleri Erdoğan OLCAY Bilişim Uzmanı Kasım 2018 BTK Görev ve Yetkileri 5809 sayılı Kanun 60/11 Kurum, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin siber saldırılara