SİBER BİLGİ GÜVENLİĞİ. ve SAVUNMA YÖNTEMLERİ

Transkript

1 SİBER BİLGİ GÜVENLİĞİ ve SAVUNMA YÖNTEMLERİ Prof. Dr. Şeref SAĞIROĞLU Fen Bilimleri Enstitüsü Müdürü Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü

2 SUNUM ÖZETİ Genel Bakış ve Terminoloji Gündemdekiler Mevcut Durum Analizi Güncel Tehdit ve Tehlikeler Nasıl bir SBG? Öneriler Sonuç ve Değerlendirmeler

3

4 Tanım : Siber? TDK : SİBER kelimesi bulunmuyor.. Sanal sıfat 1. sıfat Gerçekte yeri olmayıp zihinde tasarlanan, mevhum, farazi, tahminî 2. matematik Negatif bir sayı üzerinde alınan ve ikinci kuvvetten bir kök taşıyan cebirsel anlatım

5 Tanım : Siber Güvenlik? Kurum, kuruluş ve kullanıcıların bilgi varlıklarını korumak amacıyla kullanılan yöntemler, politikalar, kavramlar, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulama deneyimleri ve kullanılan teknolojiler bütünü olarak tanımlanıyor. Kaynak: ITU-T Recommendation X.1205 Overview of Cybersecurity

6 Bilgi nedir? Paylaşdığımız? Paylaşmadığımız? Bilinmeyenler mi? Bilinenler mi???????????????

7 Bilgi? İşlenmiş veridir. Bir konu hakkında belirsizliği azaltan kaynaktır (Shannon). Kişi/kurum/kuruluşlar için önemli ve değerli olan bir kaynaktır ve korunması gerekir. Veri (data), bilgi (information), ve özbilgi (knowledge)

8 Bilgi? Boşlukta ve zamanda yer kaplar. Gürültü çıkarmadan hareket edemez. Bilginin hareket etmesi için enerji gerekir. Bilgi yaşam ve herhangi bir düzenli etkinlik için gereklidir. Bilgi hem maddesiz biçim; hem biçimsiz maddedir. Işık gibi, bilgi nin de ağırlığı vardır. Bir GB, bir parmak izinden daha az ağırlıktadır. Bilgi zaman içinde hareketli veya donmuş olabilir. Bilgi, bir soruya tatmin edici, belki de rahatsızlık verici cevaptır. Bir taşın ağırlığı ile bunu tanımlamak için gerekli bilgi birbirine eşittir. Bilgi, katı hale sahiptir; donarak katılaşır (depolama). Bilgi, sıvı hale sahiptir; akar (iletişim). Bir yerlerde bilgi hareket eder; evren gümbürder ve gerçeği gürler. Maddeden farklı olarak bilgi aynı anda birden fazla yerde olabilir. El sıkışma bir bilgidir. Bir baş sallama, bir bakış, bir iç çekiş. Bilgi, rastsallık denizinde parlar.

9 BİLGİ (Veri)? İngilizce karşılığı olarak data, Latince datum (çoğul şekli data ve vermeye cesaret etmek fiilinin geçmiş zamanı, dolayısıyla verilen şey ) Latince data (dedomena) kavramının M.Ö. 300 yıllarında Öklid in bir çalışmasında geçtiği bildirilmektedir. Dilimizde de verilen şey anlamında, veri olarak kullanılmaktadır. Bilişim teknolojisi açısından veri, bir durum hakkında, birbiriyle bağlantısı henüz kurulmamış bilinenler veya kısaca, sayısal ortamlarda bulunan ve taşınan sinyaller ve/veya bit dizeleri olarak tanımlanabilir.

10 BİLGİ (Bilgi)? Bilgi, verinin belli bir anlam ifade edecek şekilde düzenlenmiş halidir. Veri ve ilişkili olduğu konu, bağlamı içinde bilgi üretecek şekilde bir araya getirilir. İşlenmiş veri olarak da ifade edilebilecek bilgi, bir konu hakkında var olan belirsizliği azaltan bir kaynaktır. Veri üzerinde yapılan uygun bütün işlemlerin (mantığa dayanan dönüşüm, ilişkiler, formüller, varsayımlar, basitleştirmelerin) çıktısıdır.

11 BİLGİ (Özbilgi)? Tecrübe veya öğrenme şeklinde veya iç gözlem şeklinde elde edilen gerçeklerin, doğruların veya bilginin, farkında olunması ve anlaşılmasıdır. Verileri bir araya getirip, işlemek bilgiyi oluştursa da; özbilgi, kullanılan bilgilerin toplamından daha yüksek bir değer sahip bir kavramdır. Bir güç oluşturabilecek, katma değer sağlayabilecek veya bir araç haline dönüşmek üzere, daha fazla ve özenli olarak işlenmiş bilgi, asıl değerli olan özbilgidir.

12 Veri-Bilgi-özbilgi? Veri (data), bilgi (information), özbilgi (knowledge) basamaklarıdır. Gerçeklik (reality) ile hikmet (wisdom) arasında gösterilen bu merdivenin basamakları Çoğu durumda her basamak, atlanmadan teker teker geçilir. Yukarıya çıktıkça elimizdeki şeyin miktarı azalırken; değeri artar. Yine yukarıya çıktıkça bir sonraki basamağa adım atmak daha da zorlaşır ya da daha çok çaba ister. Genel olarak bilimin getirdiği yöntemlerden ölçme ile, eldeki gerçeklikten veriye ulaşılır; ispat ile, veriden bilgiye ulaşılır ve kavrayış ile, bilgiden özbilgiye ulaşılır. Bir özbilginin gerçeklik haline dönüştürülmesi de mümkündür. Bunun 0 için yönetim biliminden yararlanılır. 1 0,8 0,6 0,4 0,2 Tehdit Skalası Devlet / Profesyonel Politik/Militan/Kriminal Serseri

13 Tehdit Skalası Veri Bilgi Özbilgi? 1 0,8 0,6 0,4 0,2 0 Schuler, 2003, data-wisdom Doç. Dr. Şeref Sağıroğlu, YL BBG Ders Notu

14 Güvenlik? Karşılaşılabilecek tehditlere karşı önlem alma Kişi ve kurumların BT kullanırken karşılaşabilecekleri tehdit ve tehlikelerin daha önceden analizlerinin yapılarak gerekli önlemlerin alınmasını sağlama

15 Bilgi Güvenliği? Bilginin değerli veya değersiz olduğunu belirlemek veya bilginin taşıdığı değeri ölçmek, en az bilginin kendisi kadar önemlidir. Bilgiyi değerlendirirken bilginin kalitesini gösteren özelliklere bakılması gerekir. Doğruluk, güncellik, konuyla ilgili olma, bütünlük ve öz, gereksinimlere uyum gösterme, iyi sunulma ve fiziksel ve idrak yolu ile erişim gibi ölçütler bilginin kalitesini belirleyen etmenlerden bazılarıdır. Bilginin çok önemli bir varlık olması, ona sahip olma ile ilgili bazı konuların düzenlenmesi ve yeni şartların getirdiği özelliklere göre ayarlanmasını gerekmektedir. Bilgi en basit benzetme ile para gibi bir metadır.

16 Bilgi Güvenliği? Dünya gündeminde bir konudur. Bilginin bir varlık olarak hasarlardan korunması Doğru teknolojinin doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda istenmeyen kişiler veya sistemler tarafından elde edilmesini önleme

17 Bilgi Güvenliği? Kurumsal Bilgi Güvenliği Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde,bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci

18 Siber Bilgi Güvenliği? Bilgi Güvenliği Bilgi Güvenliği nerede sağlanmalı? Üretim Erişim İşleme Depolama Aktarma Yok etme

19 Siber Güvenliğin Temel Hedefi? Kurum ve kuruluşların veya en genel anlamda ulusların bilgi varlıkları ve kaynaklarını hedeflenen amaçlar doğrultusunda organizasyon, insan, finans, teknik ve bilgi değerlerini dikkate alarak, varlıkların ve kaynakların başlarına KÖTÜ BİR ŞEYLER GELMEDEN korumaktır. Kaynak: ICT%20Apps%20&%20Cybersecurity.pdf

20 Tanım (ABD Başkanı Sn. Obama) Ülke olarak karşılaşılan çok ciddi ekonomik ve ulusal güvenlik sağlama hedeflerinden birisi olup hükümet veya ülke olarak henüz tam anlamıyla önlem alamadığımız bir husustur. Amerika nın sayısal altyapısını kapsamlı olarak güven altına alma yaklaşımlarının geliştirilmesi ve bilgi ile haberleşme altyapısının savunulmasına yönelik olarak federal çözümlerin gözden geçirilmesi emrini verir. "21. yüzyılda Amerika nın ekonomik zenginliği, siber güvenliğe bağlı olacaktır." Mayıs 2009

21 Ülkemizdeki Tanımlar.. Ulaştırma Bakanı Sn. Binali Yıldırım bilgi sistemi güvenliğinde ortak akıl ve ortak hareketle hattı müdafaa yerine sathı müdafaanın başarılı bir şekilde gerçekleştirilme girişimi, devletin birinci dereceden ilgilenmesi gereken bir mesele olarak görüyoruz. siber savaş tehdidine karşı hazırlıklı olmanın, kurumların bilgi sistemi güvenliği olaylarına müdahale yeteneği ile kurumlar arası koordinasyon yeteneğini tespit ederek, alınacak önlemler ve bilincinin arttırılmasını amaçlamak Ocak 2011

22

23 İNTERNET Eylül 1971 Kaynak: www. physorg.com/news html

24 İNTERNET Eylül 1971 Kaynak: www. physorg.com/news html

25 İNTERNET Eylül 1971 Kaynak: www. physorg.com/news html

26 Kaynak: www. physorg.com/news html İNTERNET

27 Faydalar 1. Zamandan bağımsızlık 2. Mekandan bağımsızlık 3. Hız 4. Verimlilik 5. Gelişim/Değişim 6. Hayatı kolaylaştırıyor 7. Yönetmeyi kolaylaştırıyor 8. Denetlemeyi kolaylaştırıyor

28 Zararlar 1. Bilmeyenler için kontrolü zor.. 2. Açıklarını bilenleri öne çıkarıyor.. 3. Kötülere çok yardımcı oluyor.. 4. Bilmeyenlere hayatı dar ediyor.. 5. Bağımlılık yapıyor.. 6. Kişisel gelişimi kısmen olumsuz etkiliyor.. 7. Gelişmemiş toplumları köleleştiriyor..

29 60 saniyede neler oluyor? milyon e-posta gönderiliyor den fazla blog iletisi yayımlanıyor. 70 den fazla domain adı alınıyor. Flicker üzerinden en az 6600 fotograf paylaşılıyor. Skype üzerinden dakika konuşuluyor Scribd üzerinden en az 1600 okuma gerçekleşiyor. Pandora da saatten fazla müzik akıyor IPhone uygulaması indiriliyor..

30 60 saniyede neler oluyor? - 2 Facebook En az Facebook durum güncellemesi yapılıyor duvar iletisi yazılıyor yorum yapılıyor. Twitter 320 Twitter hesabı açılıyor En az Tweet atılıyor fazla iphone uygulaması indiriliyor.

31 60 saniyede neler oluyor? - 3 Youtube den fazla yeni görüntü yayımlanıyor. Dünya genelinde YouTube'de kalma süresi 25 saatten fazla. Yahoo en az 100 soru ve 40 cevap Yahoo da akıyor. LinkedIn LinkedIn e 100 den fazla profil ekleniyor.

32

33 Siber Ortamlar : 1 1. e-li ve m-li ortamlar yaygınlaşıyor.. 2. Uygulamalar artıyor.. 3. Tehdit, tehlikeler, saldırılar artıyor , 49003, 50999, (nvd.gov), 4. Yeni çözümler geliştiriliyor.. 5. Bilinmesi gerekenler çoğalıyor.. 6. Yapılacak ve kontrol edilecek parametreler sürekli artıyor.

34 Siber Ortamlar : 2 yüksek Daha kötü Saldırganlar tarafından ihtiyaç duyulan teknik bilgi ve yetenekler Kötü haber Sofistike saldırılar düşük

35 Siber Ortamlar : 3 Fiziksel Güvenlik Haberleşme Güvenliği Yayılım Güvenliği Bilgisayar Güvenliği Ağ Güvenliği Bilgi Güvenliği Donanım Güvenliği Yazılım Güvenliği İşletim Sistemi Güvenliği Sosyal Ağ Güvenliği Mobil Cihaz Güvenliği Veri Tabanı Güvenliği Web Teknolojileri Güvenliği Web Uygulama Güvenliği Protokol Güvenliği Sunucu Güvenliği IPv6 Güvenliği Kablosuz Ağ Güvenliği Siber Güvenlik Web tarayıcı güvenliği Güvenli yazılım geliştirme Steganografik güvenlik SCADA Güvenliği RFID Güvenliği Kritik Altyapı Güvenliği Endüstriyel Sistem Güvenliği Google Güvenliği Kripto analiz Steganaliz Şifre Güvenliği Siber savaş Savaş oyunları

36 Siber Ortamlar : Rekabet Kurumu Resmi Sitesi KKTC Başbakanlık resmi sitesi, KKTC Çalışma ve Sosyal Güvenlik Bakanlığı Toplumcu Demokrasi Partisi resmi sitesi, CTP resmi sitesi, KKTC Sayıştay resmi sitesi Gümrüklerde 2 gün süren ve 2 milyar dolarlık dış ticaretin durmasına yol açan bilgisayar arızasını siber saldırı açısından incelemeye alındı.

37 Siber Ortamlar :

38 Siber Ortamlar : 17 BT teknolojileri kullanılarak hayatı yaşanılabilir hale getirmek, Gelişmek, Bilgiye sahip olmak, Kontrol etmek, Kontrol altında tutmak, Yönetmek, Geleceği şekillendirmek, Zenginleşmek Hakimiyet kurmak, Köleleştirmek,..

39 Siber Ortamlar : 18 Ulusal stratejileri desteklemek amacıyla; bilgi üstünlüğü sağlamak yanıltıcı bilgileri yaygınlaştırmak bilgi sistemlerine hasar vermek kendi bilgi sistemlerini korumak ve desteklemek Ülkelerini ve toplumlarını korumak

40 Siber Ortamlar : 19 Bilgi savaşlarına hazır olmak; Yüksek tepelerden daha uzağı görenin avantaj sağladığı mağara devrinde de vardı.. Çağımızda ise bilginin üretimdeki ağırlığının artması Yapıların zincir/hiyerarşiler değil ağ olarak bağlanması Savaşlarda cephelerin çizgi/vücutlardan, ağ/beyinlere taşınması Ülkelerini ve toplumlarını korumak için her yol mübah

41 Ulusal Askeri Stratejiler doğrultusunda; 15 Kasım 1940 da 500 savaş uçağı İngiliz Coventry şehrini bombaladı. Kod adı Ay Işığı Sonatı (Ludwig van Beethoven) Bu saldırı Enigma kullanılarak şifrelenmişti. Yüzlerce ölü ile beraber şehrin üçte ikisi yıkıldı. Kendi bilgi ve bilgi sistemlerimizi etkin bir şekilde kullanırken Siber Ortamlar : 20 Bilgi Savaşları.. Amaç savaşı kazanmak

42 Siber Ortamlar : 21 Bilgi Savaşları.. Coventry Churchill in zor kararı

43 Siber Ortamlar : 22 Bilgi Savaşları de Amerikan Ulusal Güvenlik Ajansı (NSA) Amerikan karar vericilere ve askeri liderlere zamanında bilgi sağlamak için Başkan Truman tarafından kurulmuş 1960'da Rusya'ya iltica eden iki NSA görevlisi ABD'nin 40 ülkenin haberleşmesini dinlediğini açıklamışlardır. Kaynak: Introduction to History of NSA,

44 Siber Ortamlar : 23 Bilgi Savaşları.. ABD İç Savaşı sırasında General Stuart Telgraf Hatlarını dinletti süper bilgisayarlar (1974) William Gibson ilk kez cyberspace (siberalan ) sözcüğünü kullandı (1992) Pentagon Bilgi Savaşları ilk Top Secret Yönergesi : TS 3600 (1994) ABD Haiti operasyonunda ağ saldırılarını kullandı (1995) FBI ın en çok arananlar listesine ilk kez bir hacker girdi. (1997) ABD Hava Kuvvetleri Bilgi Savaşları Laboratuvarı kuruldu.

45 Siber Ortamlar : 24 Bilgi Savaşları.. (1997) ABD nin İlk geniş çaplı siber saldırı tatbikatı Eligible Receiver (1998) ABD Yugoslav hava radarlarına sahte hedefler yerleştirdi. (1998) Halen süren siber casus avı Operasyon Moonlight Maze başladı (2000) Alman İçişleri Nazi sitelerine karşı DDOS saldırıları gerçekleştirebileceklerini söyledi. Alınan tepki üzerine bu demeç geri çekilmek zorunda kaldı. (2001) AB, ABD nin baskılarına rağmen GPS e rakip Galileo yu finanse etme kararı aldı (2002) New York Devlet Üniversitesi ordu için beynine yerleştirilen devrelerle kontrol edilebilen canlı fare projesini açıkladı.

46 Siber Ortamlar : 25 Bilgi Savaşları.. Operasyon Moonlight Maze Estonya 2007 Tüm devlet web siteleri Gürcistan 2008 Tüm devlet web siteleri ve başkanın sitesi USA Elektrik Ağı Slammer, Ohio, Nükleer Santral, 2003(1), 2006(2), Elektrik Ağı 2009(1) USA-İUA videoları (2009) Iraklı Direnişçiler ticari yazılımlarla sisteme saldırdı. Sayısal atak , Stuxnet Kurtçuk, Siemens, SCADA, en kapsamlı saldırı LulzSec (ABD Senatosu) Ayyıldız TİM, Cyber Warrior, RedHack, Coldhacker

47 Siber Ortamlar : 26 Saldırılar Sürüyor.. Gözaltına alınan 4 saldırganın (hacker) bilgisayarlarında insansız hava araçları Heronlara ait teknik bilgiler çıktı. 'sanal gerillalar' ve 'coldhackers', 'Heron düşüren hackerlar' İHA'lara ait yer kontrol sistemi ve sinyalizasyon sistemlerine ilişkin teknik şemalar olduğu bildirildi. Şüphelilerin savcılık ifadesinde ise bu konuyla ilgili olarak, Heronlar üzerinde çalışma yaptıklarını, frekans sistemine girmeyi başardıktan sonra bozarak düşürmeyi amaçladıkları

48 Siber Ortamlar : 27 Bilgi Savaşları.. Bilgiye her yerden erişilebiliyor.. Arama motorları var.. Sosyal ağlar.. Sanal ortamda bir savaş var.. İnsan beyni okunabiliyor.. Akla hayale gelmedik yaklaşımlar geliştiriliyor.. İzleme hat safhada..

49 Siber Ortamlar : 28 Sanal savaş denemesi Dünyanın güvenlik açısından çok iyi dersler çıkaracağı en iyi örnek Kendisini/diğer ülkeleri nasıl etkileyecek Geliştirilen teknolojileri test etme Facebook ve Google gibi teknolojilerini ne kadar iyi kullanabiliyor testi İnternet ne kadar kontrol edebilir / edilemez.. Farklı ülkelere farklı mesajlar verme

50 Siber Ortamlar : 29 STUXNET Haziran 2011 Sofistike kurtçuk ve içerisinde Siemens PLC rootkit, Pek çok sıfır-gün açılık, Sisteme ağ ve sürücü enjeksiyonu yapabiliyor Injects network and removable drive infection, peer-to-peer güncelleme, bir komu ve denetim arabirimi Siemens PLC ye genel kod Frekans çevirici sürücüsünü yanlış rapor üretmeye zorlar ve sürücüleri kapasitelerinin üzerinde çalıştırır. En fazla zarar ise İran a verildi.

51 Siber Ortamlar : 29 STUXNET Organizasyon Yapısı Stuxnet çok sayıda.dll dosyası 32 Exports (Fonksiyonel hedefler için) 15 Kaynak (Fonksiyonel metotlar)

52 Siber Ortamlar : 29 STUXNET Neler Öğretti Türünün ilk örneği Pek çok sıfır-gün açıklık içeriyor İki Önemli firmanın geçerli sertifikaların çalışmış ve burada kullanılmış olması Endüstriyel kontrol sistemlerine ilk saldırı Kodu operatörden saklama Gerçek bir Sabotaj örneği İlk PLC rootkit Siber warfare için ilk örnek Stuxnet güvenli kod içeren sistemleri etkilemiyor , Habib Elghanian

53 Ezber bozan bir yaklaşım Altyapıya saldırı için planlanmış Önemli sistemlerin korunaklı olmadığı Kolaylıkla sistemlere zarar verilebileceği Bir ülkenin nükleer programını durdurabilecek kadar önemli Spekülasyon ile ülkelerin prestijlerine zarar verme Siber Ortamlar : 29 STUXNET Neler Öğretti

54 Etkilenen Sistemler

55 Etkilenen Sistemler USB sürücülerle yayılma

56 WAN IP Etkilenen Organizasyonlar

57 Stuxnet den Dünya Çapında Etkilenme

58 Siber Ortamlar : 30 Kritik Altyapılar AB Su Gıda Sağlık Enerji Finans Ulaşım Sivil Yönetim Bilgi ve İletişim Uzay ve Araştırmaları Kimyasal ve Nükleer Endüstri Kamu Düzeni ve Güvenlik Alanı ABD Su Enerji Ulaşım Tarım ve Gıda Kolluk Hizmetleri Bilgi ve İletişim Bankacılık ve Finans Bayındırlık Hizmetleri Federal ve Yerel Hizmetler Acil Hizmetler (sağlık, itfaiye, vb.) Kaynak: Brunner, E. M., Suter, M., Güvenlik Çalışmaları Merkezi, İsviçre

59 Endüstriyel İletişim Protokolleri ve Güvenlik Açıklıkları ABD Enerji Bakanlığı Elektrik Dağıtımı ve Enerji Güvenliği Ofisisinin, ulusal enerji dağıtım sisteminin güvenlik ve güvenilirliğini iyileştirmek amacıyla başlattığı Ulusal SCADA Test Ortamı (NSTB: The National SCADA Test Bed ) programı kapsamında Idaho Ulusal Laboratuarınca (INL: Idaho National Laboratory) hazırlanan rapora gore: NSTB programı kapsamında, Amerika Birleşik Devletleri Enerji Bakanlığı Elektrik Dağıtımı ve Enerji Güvenliği Ofisine sunulmak üzere hazırlanan Denetim Sistemleri Değerlendirmelerinde Gözlenen Genel Güvenlik Açıklıklarının %50 ye yakının İletişim Protokollerinden kaynaklı!

60 Endüstriyel İletişim Protokolleri ve Güvenlik Açıklıkları CSSP (Control Systems Security Program) kapsamında sistem üreticilerine ve işletmecilerine ait değerlendirmeleri içeren CSSP raporunda servis, uygulama ve yapılandırmaya göre güvenlik problemleri kategorisinde endüstriyel denetim sistemlerinin açıklıkları: 7% 4% 4% 4% 26% Zayıf Ağ Protokolü Uygulamaları %26 Sistem Bilgisinin Açığa Vurulması %21 Yetersiz Bilgilendirme %18 Yamalama Yönetimi zayıflığı %8 8% Ağ Bileşimi Yapılandırmasındaki Kusurlar %8 Kodlama Kalitesinin Zayıflığı %7 8% WEB Servislerinin Açıklığı %4 21% Kullanıcı İmtiyazı İhlalleri %4 18% Ağ Tasarımındaki Açıklar %4

61 API 1164 IEEE 1402 AGA 12 NERC CIP ISA TR99-01 ISA TR99-02 PCSRF IEC 6210 IEC SCADA/DDS Güvenlik Standartlarının Aralarında Kapsam Karşılaştırması GÜVENLİK POLİTİKALARI Bilgi Güvenliği Politikaları AÇIKLIK VE RİSK DEĞERLENDİRMESİ ORGANİZASYON GÜVENLİĞİ Bilgi Güvenliği Altyapısı Üçüncü Şahıs Erişim Güvenliği Dış Kaynak Kullanımı VARLIK SINIFLANDIRMA VE DENETİM Varlıkların Sorumluluğu Bilginin Sınıflandırılması PERSONEL GÜVENLİĞİ İş Tanımı ve Kaynak Güvenliği Kullanıcı Eğitimi Güvenlik Vakalarını ve Sorunları Karşılama Personel Niteliği

62 ISO ve SCADA/DDS Güvenlik Standartlarının Karşılaştırması 16% 14% 12% 10% 8% 6% 4% 2% 0% ISO SCADA Standartları

63 Siber Ortamlar : 31 Siber Savaşlar Casusluk Manipülasyon Propaganda İletişim Virüs Truva atları Sistem bozma Bilgi kirliliği Sistem kilitleme Dolandırıcılık Siber bombalarla sabotaj

64 Siber Ortamlar : 32 Siber silahlar Hizmetin engellenmesi saldırıları (DoS, DDoS) Bilgisayar virüsleri Kurtçuklar (worm) Truva atı (trojan) Klavye izleme (key logger) yazılımları İstem dışı ticari tanıtım (adware) yazılımları Casus / köstebek (spyware) yazılımlar Yemleme/Sazan avlama (phishing) İstem dışı elektronik posta (spam) Ağ trafiğinin dinlenmesi (sniffing ve monitoring)

65 Hafıza Kartları (Memory Stick) Hafıza kartını düşürme Pazarda satma Siber Ortamlar : 33 Siber Savaş Silahları Ödünç alma/verme

66 Sisteme yetkisiz erişim Sistemin bozulması Hizmetlerin engellenmesi Bilgilerin Değiştirilmesi Yok edilmesi İfşa edilmesi Çalınması Siber Ortamlar : 34 Siber Tehditlerin Amaçları

67 Siber Ortamlar : 35 İyilerin ve Kötülerin amansız savaşı Saldıran Taraf Savunan Taraf

68 Siber Ortamlar : 36 Saldıran Taraf Saldırılar artmakta Saldırı bilgi seviyesi hızla azalmakta Kötücül kodlar gelişerek ve değişerek hızla yayılmakta Organize sanal suç örgütlerini kurma İyilerden hep bir adım önde

69 Siber Ortamlar : 37 Savunan Taraf Güvenliğin en zayıf halkası Bilgisizlik, ilgisizlik, hafife alma, %100 Güvenliğin sağlanamaması %99,9 Korunma + %0,1 Korunmasızlık=%100 güvensizlik Bilgi birikimi (Yatırım, Eğitim ve zaman) Kişilere güven duygusu E-dünyanın doğasında olan güvensizlik

70 Siber Ortamlar : 38 Siber Bilgi Güvenliği? Üretim Erişim İşleme Depolama Aktarma Yok etme Düşük DEĞER Yüksek Bireysel Kurumsal Ulusal Uluslararası Düşük ÖNEM Yüksek

71 Siber Ortamlar : 39 Saldırılar artık kapsamlı Çoklu saldırılar popüler SALDIRILAR 1 Senaryoları yazılmış ve denenmiş, Karma yapıları içeriyor.. Bilinmeyenler /düşünülmeyenler.. Sürekli yenilikler içeriyor.. Takip gerektiriyor.. Yüksek bilgi birikimi gerektiriyor..

72 Siber Ortamlar : 40 SALDIRILAR 2 Kullanıcı Adı: Sazan Şifre : Kredi Kartı :01289 Sazan Avcısı Sazanlar

73 1. Casus yazılım sayısı artıyor. 2. Farklılaşıyorlar. 3. Kendilerini saklayabiliyorlar, görünmez olabiliyorlar. Siber Ortamlar : 41 SALDIRILAR 3 4. Silseniz bile tekrar kopyalayabiliyorlar 5. Belirli bir süre var olup sonra kendilerini yok edebiliyorlar grupta bunları sınıflandırdık.

74 Mükemmel bir arama motoru En çok tercih edilen arama motoru Mükemmel hizmetler veriyor Academics, books, translation, blogs, gmail, documents, mobil, talk, maps, IPv6, Google+, Wallets, Değeri 200 Milyar Dolar FAKAT Siber Ortamlar : 42 Google -1

75 Siber Ortamlar : 43 Google -2 Dünyanın en iyi casus yazılım sistemi Dünyanın bilgisini topluyor.. Ülkesine/ülkelere hizmet eden en iyi ortam Bizi bizden (ülkeleri, ülkelerden) daha iyi analiz edebiliyor.. Kelime/Cümle/Resim/Ses araması yapabiliyor.. İstihbarat için vazgeçilmez bir ortam.. Tabii ki bu sistemi iyi kullananlar için.. encrypted.google.com hizmet veriyor.. Güvenlik açığı oluşturabilecek hususları kapatıyor..

76 Google Academics (bilimsel çalışmalarımız?) Google Docs (oluşturulan dokumanlar?) Gmail (kimlerle yazışıyorsunuz?) GTalk Siber Ortamlar : 44 Google -3 (kimlerle konuşuyorsunuz?)

77 Blog (ne yazıyorsunuz?) Google+ (bağlantılarınız?) Wallet Siber Ortamlar : 45 Google -4 (finansal durumunuz?)

78 Picasa (resimleriniz?) Google Reader (neyi/kimi takip ediyorsunuz?) Arşiv Hizmeti Siber Ortamlar : 46 Google -5 (verileriniz neler?)

79 Arama Motorları kişisel, kurumsal ve ulusal bilgilere erişim açık olan bilgilere erişim gizli olan bilgilere erişim açık istihbarat için en iyi ortam... Siber Ortamlar : 47 Google -6

80 2 Aralık :04:10 tarih ve saatinde Google in ilk görüntüsü

81 Google arama motoru hizmetinin yanı sıra 40 a yakın daha hizmet sunmaktadır. AdSense AdWords Google Akademik Google Analytics Google Apps Google Base Google Blog Arama Blogger.com Google Checkout Chrome Web Store Google Code Google Dokümanlar Google Gears Gmail Google ebookstore Google Friend Connect Google Patents Google SketchUp Google Voice Google+ Google Gruplar Google Görsel Arama Google Haberler Google Arama Trendleri Google Kitaplar Knol Google Map Maker

82 Google arama motoru hizmetinin yanı sıra 40 a yakın daha hizmet sunmaktadır. Google Maps Google Paket Panoramio Picasa Google DNS Google Reader Site haritası Google Takvim Google Talk Google Toolbar Google Çeviri Google Trends Google Video Google Body Google Wallet YouTube İGoogle

83 GOOGLE MÜHENDİSLİĞİ

84 GOOGLE MÜHENDİSLİĞİ

85 GOOGLE MÜHENDİSLİĞİ

86 Siber Ortamlar : Sosyal Ağlar Kimlikleri Taklit Etme İstenmeyen Epostalar (Spam) ve Bot Saldırıları Kötü Amaçlı Sosyal Ağ Uygulamaları Siteler Arası Kod Çalıştırma (XSS) Siteler Arası İstek Sahteciliği (CSRF) Saldırıları Kimlik Hırsızlığı Casusluk Sahte Linkler/Bağlantılar Bilgi Toplama Saldırıları

87 Siber Ortamlar : Çözümler Standartlar daha da spesifik.. Kritik yapıların güvenliği mercek altında.. Yeni çözümler kullanılıyor (Diyot Yaklaşımı).. Kısıtlı kullanım sunan işletim sistemleri (JeOS) Şifre (password) yerini Deyim veya Cümle Şifre (Pass-sentence).. Bilgi Güçtür! yerine Bilgi Güvenliği Sağlandığı Ölçüde Güçtür! Bilgi üretilmeden korunamaz!

88

89 Nasıl Bir Siber Bilgi Güvenliği? ÖNCELİKLE.. Konu ile ilgili yüksek farkındalığın olması ve konu uzmanı yöneticilerin bulunması Ağ bilgi sistemlerinin güvenliğinin daha ciddi olarak ele alınması gerekiyor. Neyin korunacağını bilmek en önemli adım. Nasıl korunacağını veya korunamayacağını bilmek (risk yönetimi) işin özü. İzleme ve denetim ise başarının anahtarıdır İnsan-Eğitim-Teknoloji birlikteliğini sağlama püf noktası.

90 Nasıl Bir Siber Bilgi Güvenliği? DAHA SONRA.. Bu işlemleri koordine edecek bir birimin kurulması, Siber suçlarla mücadele biriminin kurulması veya mevcut yapıların resmileştirilmesi Ulusal stratejilerin kısa sürede hayata geçirilmesi Farkındalık-eğitim çalışmalarını arttırma, Uluslararası BYGS standartlarının BT hizmeti veren devlet kurumlarında zorunlu hale getirilmesi Uluslararası işbirliğinin arttırılması Bu konuda yapılacak olan ar-ge çalışmaları desteklenmeli Güncel tehditleri takip edip, duyuracak ve giderecek ekiplerin güçlendirilmesi veya bir yapı altında toplanması ve hizmetlerin verilmesi

91 Nasıl Bir Siber Bilgi Güvenliği? Korunma Yöntemleri KISACA.. Ulusal politika ve strateji geliştirilmesi Yasal çerçevenin oluşturulması Teknik tedbirlerin alınması Kurumsal yapılanmanın belirlenmesi Ulusal işbirliği ve koordinasyonun sağlanması Kapasitenin geliştirilmesi Farkındalığın arttırılması Uluslararası işbirliği ve uyumun sağlanması Konunun sahibinin bilinmesi ve oluşturulması

92 Siber Güvenlik Kültürünün Oluşturulması Kaynak: ITU

93 Bütüne Bakabilme Gizlilik Giriş kontrolü Kimlik doğrulama kanıtlama Güvenirlik Erişilebilirlik Emniyet Kayıt Tutma İnkar edememe Bütünlük

94 Sızma Testleri Yap-Boz Gösterimi Nasıl bir KBG? Fiziksel Güvenlik Testleri Ağ Cihazları Testleri Güvenlik Duvarı Testleri İşletim Sistemleri Testleri Hizmet Aksattırma Testleri E-posta Güvenlik Testleri Uygulama Yazılımları Testleri Güvenlik Bilinci Testleri Saldırı Tespit Sistemleri Testleri Açık Port Bulma Testleri Sosyal Mühendislik Testleri Web Uygulama Testleri Çevirmeli Ağ Testleri Şifre Sağlamlık Testleri Kablosuz Ağ Testleri

95 Sonuçlar ve Değerlendirmeler Süreci Doğru Yönetme.. Bilgi Güvenliği ürün veya hizmet değildir. İnsan faktörü, teknoloji ve eğitim unsurları üçgeninde yönetilmesi zorunlu olan karmaşık süreçlerden oluşan, süreklilik arz eden bir süreçtir. Üç unsur arasında tamamlayıcılık olmadığı sürece yüksek seviyede bir güvenlikten bahsedebilmek mümkün değildir. Yüksek seviyede E-Devlet güvenliğinden bahsedebilmek için Kurumsal ve Bireysel anlamda Bilgi Güvenliğinin gerekleri yerine getirilmelidir.

96 Denetim.. Korunma Yöntemleri Uygulamaları periyodik olarak uygun test yöntemleri, araçları veya teknikleri kullanarak denetleme, Açık var ise bunları kısa sürede giderme. Farklı denetim uzmanları veya kurumlarından faydalanma

97 Bilinçlendirme Korunma ve Eğitim.. Yöntemleri Kayıplarının %80 inden fazlası yazılımsal veya donanımsal değil insan hatası veya kastı ile gerçekleşen durumlardır. Teknoloji sorunu olarak bakmamak gerekiyor. En zayıf halkası ise insandır. Kullanıcıları güvenli internet ve bilgisayar kullanımı konusunda bilinçlendirilme ve eğitme Ortak Bilgi Güvenliği Bilinci oluşturma En zayıf halkayı güçlendirme Farkındalığı arttırma

98 SORULARINIZ Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü