BİLİŞİM SİSTEMLERİ GÜVENLİĞİ EĞİTİM KATALOĞU (2015)

Benzer belgeler
BİLİŞİM SİSTEMLERİ GÜVENLİĞİ EĞİTİM KATALOĞU (2016)

TDBY Test ve Değerlendirme Başkan Yardımcılığı Eğitimleri TEMPEST Eğitimleri YTKDL Eğitimleri OKTEM Eğitimleri

/pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ

KURUMSAL BİLGİ GÜVENLİĞİ VE RİSK YÖNETİMİ. 3 Kurumsal SOME Eğitimleri

01 Şirket Profili

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

HAVELSAN Siber Güvenlik Akademisi. Önlenemiyorsa Korunmak için Eğitim

Eğitim Kataloğu.

Firewall/IPS Güvenlik Testleri Eğitimi

Sibergüvenlik Faaliyetleri

Ders Kodu Yarıyıl T+U Saat Kredi AKTS. Programlama Dilleri

Bilgi Güvenliği Eğitim/Öğretimi

SIZMA TESTİ EĞİTİMLERİ

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Viproy Bilgi Güvenliği Eğitimleri Rehberi

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar. Fatih Özavcı Bilgi Güvenliği Danışmanı

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

Ağ Trafik ve Forensik Analizi

Kurumsal Ağlarda Web Sistem Güvenliği

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

Doğum Yeri : Gölcük Askerlik Durumu : Yapıldı. Uyruğu : T.C Sürücü Belgesi : B Sınıfı (2001)

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

SİBER GÜVENLİK HİZMETLERİ VE ÜRÜNLERİ.

SİBER SUÇLARA KARŞI SİBER ZEKA

EKLER EK 12UY0106-5/A4-1:

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Bilgi Güvenliği AKADEMİSİ Eği3m Dosyası

Tarih Saat Modül Adı Öğretim Üyesi. 01/05/2018 Salı 3 Bilgisayar Bilimlerine Giriş Doç. Dr. Hacer Karacan

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

TÜRKSAT UYDU HABERLEŞME KABLO TV VE İŞLETME A.Ş. İŞÇİ STATÜSÜNDE PERSONEL ALIM İLANI (Bilişim Hizmetleri)

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Veritabanı Sızma Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Mobil Güvenlik ve Denetim

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

VERİ TABANI UYGULAMALARI

AĞ ve SİSTEM GÜVENLİĞİ

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

Kurumsal Kimlik Yönetimi ve Güçlü Kimlik Doğrulama. Yılmaz Çankaya

ULUSAL BİLGİ SİSTEMLERİSTEMLERİ GÜVENLİK PROGRAMI

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

.. YILI BİLGİSAYAR SİSTEM KURULUM BAKIM ONARIM VE ARIZA GİDERME KURS PLANI MODÜL SÜRESİ

Web Uygulama Güvenliği Kontrol Listesi 2010

.. YILI BİLGİSAYAR SİSTEM KURULUM BAKIM ONARIM VE ARIZA GİDERME KURS PLANI MODÜL SÜRESİ

DENİZ HARP OKULU BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜM BAŞKANLIĞI DERS TANITIM BİLGİLERİ

1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir.

YENİ NESİL SİBER GÜVENLİK OPERASYON MERKEZİ (SGOM) Koruma, Tespit, Müdahale ve Tahmin. BARİKAT BİLİŞİM GÜVENLİĞİ Murat Hüseyin Candan Genel Müdür

Bilgi Güvenliği. Kurumsal Eğitim Kataloğu Siber Güvenlik Farkındalığı

DENİZ HARP OKULU BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜM BAŞKANLIĞI DERS TANITIM BİLGİLERİ

Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi

T.Ü. BİLGİ İŞLEM DAİRE BAŞKANLIĞI HİZMET ENVANTERİ. Revizyon No: 0 Tarihi: - TRAKYA ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI HİZMET ENVANTERİ

Siber Güvenlik Hizmetleri Kataloğu

Yeni Nesil Ağ Güvenliği

aselsan Güvenli Bilgi Paylaşımı ve SAHAB aselsan Ali YAZICI Türk Silahlı Kuvvetlerini Güçlendirme Vakfı nın bir AZERBAYCAN-Temmuz kuruluşudur.

Web Application Penetration Test Report

SOSAM: SANAL ORTAM SAVUNMA MERKEZİ

BATMAN ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

okulumuzdaki dersliğimizi. BT ekipmanları ile donatarak. eğitimde öğrenci ve öğretmenlerimiz için fırsatları artırma

HSE RADAR. İş Sağlığı ve Güvenliği Yönetimi Uygulama, Denetim, Eğitim ve Takip HSE GLOBAL YAZILIM A.Ş. 11 Mart 2016

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güveniği Danışmanı

ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

Bilgisayar Ağlarında Özel Konular (COMPE 435) Ders Detayları

Bilgi Sistemlerinde Merkezi Kayıt Yönetimi ve Olay İlişkilendirme

İstemci Tabanlı Saldırı Türleri. Ozan UÇAR

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Güvenlik Araçları. Savunmadan çok saldırı ya yönelik araçlar. Amaç, saldırganlardan önce sistemdeki açıkları ortaya çıkarıp gereken önlemleri almak.

ESİS Projesi. Kaynaklar Bakanlığı

Güvenlik Mühendisliği

İSTANBUL RUMELİ ÜNİVERSİTESİ MESLEK YÜKSEKOKULU BİLGİSAYAR PROGRAMCILIĞI 1.SINIF 2.YARIYIL İNTERNET PROGRAMCILIĞI II DERS İZLENCESİ

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü

SUNUCU İŞLETİM SİSTEMİ DERSİ

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

KAMU İÇ DENETİM YAZILIMI KULLANICI EĞİTİMİ

BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ

Merhaba, Saygılarımızla,

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

DSİ kapsamında oluşturulan dağınık durumdaki verilerinin düzenlenmesi, yeniden tasarlanarak tek bir coğrafi veri tabanı ortamında toplanması,

BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜM BAŞKANLIĞI DERS TANITIM BİLGİLERİ

İstihdam. Aranılan Nitelikler. Edilecek Personel Sayısı. Personelin Görev Yapacağı Şehir. Öğrenim Durumu. İlan No İşyeri Birimi.

ÜLKEMİZDE SİBER GÜVENLİK

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

BEYAZ ŞAPKALI HACKER EĞİTİMİ

COĞRAFİ BİLGİ SİSTEMLERİ ArcGIS SERVER A GİRİŞ EĞİTİMİ

ADLİ BİLGİSAYAR İNCELEME UZMANLIĞI PROGRAMI

Venatron Enterprise Security Services W: P: M:

KURUM / KURULUŞ BİT KAPASİTESİ ŞABLONU REHBERİ

Ders Adı Kodu Yarıyılı T+U Saati Ulusal Kredisi AKTS. Bilgisayar Ağları I BIL

İçDen Kamu İç Denetim Yazılımı. Euphoria Aegean Resort Hotel Seferihisar / İzmir /88

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

Transkript:

TÜBİTAK BİLGEM SGE SİBER GÜVENLİK ENSTİTÜSÜ BİLİŞİM SİSTEMLERİ GÜVENLİĞİ EĞİTİM KATALOĞU (2015) Sürüm 3.0 2015 TÜBİTAK BİLGEM SGE Siber Güvenlik Enstitüsü P.K. 74, Gebze, 41470 Kocaeli, Türkiye Tel: (262) 648 1000, Faks: (262) 648 1100 http://www.bilgem.tubitak.gov.tr, sge.egitim@tubitak.gov.tr

Bilişim Sistemleri Güvenliği Eğitimleri Giriş Seviyesi Eğitimler... 3 1. Kullanıcı Güvenliği... 4 2. Yöneticilere Odaklı Genel Güvenlik... 5 3. Sosyal Mühendislik: Saldırı ve Korunma Yöntemleri... 6 Standart Eğitimler... 7 4. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Uygulama... 8 5. Siber Olaylara Müdahale Ekibi... 9 6. İş Sürekliliği / Felaket Kurtarım Planlaması... 10 7. Windows Güvenliği... 11 8. Microsoft Sistemleri Güvenliği... 12 9. Linux Güvenliği... 13 10. TCP/IP Ağ Güvenliği... 14 11. Aktif Cihaz Güvenliği... 15 12. Sistem Güvenlik Denetimi... 16 13. Temel Güvenlik Denetimi... 17 14. Kablosuz Ağ Güvenliği... 18 15. Kayıt Yönetimi... 19 Gelişmiş Seviye Eğitimler... 20 16. Oracle Veritabanı Güvenliği... 21 17. MS SQL Server Veritabanı Güvenliği... 22 18. Web Uygulamaları Güvenliği... 23 19. Merkezi Güvenlik Kayıt Yönetim Sistemleri... 24 20. Sızma Testi Uzmanlığı... 25 21. Kayıt Analizi... 26 İleri Seviye Eğitimler... 27 22. Bilgi Sistemleri Adli Analizi... 28 23. Bilgisayar Ağları Adli Analizi... 29 24. Windows Zararlı Yazılımları Analizi... 30 25. Güvenli Yazılım Geliştirme... 31

Giriş Seviyesi Eğitimler 3

1. Kullanıcı Güvenliği Bilgi sistemlerini kullanan kullanıcılar. Bilgi sistemlerini normal bir kullanıcı olarak kullanma bilgisi. Bilgi güvenliğinde kullanıcının rolü Kurum bilgi güvenliği yönetim sisteminde kullanıcının yeri Bilgisayarlara erişim Parola güvenliği E-posta güvenliği Internet erişim güvenliği Virüs koruma Bilgi ortamlarının oluşturulması, değiştirilmesi ve yok edilmesi Dosya erişim ve paylaşımı Veri yedeklemesi Sosyal mühendislik Acil durumlarda kullanıcının uyması gereken prensipler 3 saat Eğitime katılanlar bilgi güvenliğinin önemi konusunda bilinçlenmiş ve bilgi güvenliği yönetim sisteminin bir parçası olarak kendi üzerlerine düşen sorumluluk ve görevleri öğrenmiş olacaklardır. Ayrıca katılımcılar bilgi güvenliğine ilişkin temel bilgileri edinmiş olacaklardır. 4

2. Yöneticilere Odaklı Genel Güvenlik Bilgi güvenliği ile ilgili bilgi almak isteyen yöneticiler, bilgi sistemleri ile ilgili belirli bir bilgisi olup bilgi güvenliği konusunda bilgi edinmek isteyen kişiler. Bilgi sistemleri hakkında genel bilgi. Bilgi güvenliği temel kavramları Güvenlik politikası Bilgi güvenliği organizasyonu Personel güvenliği Risk analizi ve risk yönetimi İş sürekliliği Güvenlik olayları müdahalesi İşletim sistemi güvenliği Ağ güvenliği Web güvenliği Dijital sertifikalar ve sertifika dağıtım sistemleri Parola yönetimi Virüs koruma sistemleri 2 gün Eğitime katılanlar bilgi güvenliğinin genel kavramları ve bilgi güvenliği yönetim sisteminin genel yapısı hakkında bilgi sahibi olacaklardır. Ayrıca sistem güvenliği hakkında temel teknik bilgileri de öğrenme imkânı bulacaklardır. 5

3. Sosyal Mühendislik: Saldırı ve Korunma Yöntemleri Sistem yöneticileri öncelikli olmak üzere tüm bilgisayar kullanıcıları. Eğitim uygulamalı olarak yapılacağından, eğitim sınıfında katılımcı sayısı kadar bilgisayar bulunması gerekmektedir. Sosyal mühendislik kavramı Saldırı teknikleri Sosyal mühendislik saldırı örnekleri Sosyal mühendislik testleri Korunma yöntemleri Çeşitli sosyal mühendislik uygulamaları 2 gün Eğitime katılanlar, günümüzde oldukça yaygın olan ve başta kurumun prestiji olmak üzere kurumun tüm değerli bilgi varlıklarına zarar verme potansiyeline sahip olan sosyal mühendislik saldırılarına karşı bağışıklık kazanacaktır. Bu eğitimi alan personel, hem alacağı teorik bilgiyle hem de eğitim boyunca yapılacak olan uygulamalarla, kendi kurumunda diğer çalışanlara benzer bir eğitimi verecek bilgi birikimine sahip olacaktır. 6

Standart Eğitimler 7

4. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Uygulama ISO 27001 tabanlı Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmak ve işletmekle sorumlu kişiler, ISO 27001 denetimine tabi olacak veya denetime katılacak kişiler. Belirli bir ön şart yoktur. Kalite sistemleri ile tanışıklık avantaj olmaktadır. Bilgi güvenliği yönetim sistemi nedir? Neden gereklidir? ISO 27001 da Planla-Uygula-Kontrol Et-Önlem al döngüsü Bilgi sistemi risk analizi ve tedavisi ISO 27001 temel kontrol alanları o Güvenlik politikası o Bilgi güvenliği organizasyonu o Varlık yönetimi o İnsan kaynakları güvenliği o Fiziksel ve çevresel güvenlik o İletişim ve işletim yönetimi o Erişim kontrolü o Bilgi sistemi edinim, geliştirme ve bakımı o Bilgi güvenliği olay yönetimi o İş sürekliliği yönetimi o Uyum ISO 27001 e uygunluk denetimi o Denetim planlama o Denetim kontrol listeleri o Uygunsuzluklar ve raporlama Çeşitli uygulamalar 3 gün Eğitime katılanlar kurumlarında BGYS kurabilecek seviyeye gelecektir. Ayrıca katılımcılar denetime ilişkin kavramları öğrenecektir. Not: İstenmesi durumunda bu eğitim, program hızlandırılarak 2 günlük sürede verilebilmektedir. 8

5. Siber Olaylara Müdahale Ekibi Kurumlarında SOME (Siber Olaylara Müdahale Ekibi) biriminin kurulması / yönetilmesi konusunda görev alacak personel, kurumda bilgi güvenliği birimlerinde çalışan personel. Hem idari süreçler, hem bilgi sistemleri altyapısı konularında orta derecede tecrübe sahibi olmak. Giriş (Tarihçe, örnek bilgisayar olayları, ulusal siber olaylara müdahale organizasyonu) SOME temel konuları (SOME nedir, kurum içi paydaşları kimlerdir?) SOME kurulum aşamaları SOME lerin görev ve sorumlulukları o Siber olay öncesinde o Siber olay esnasında müdahale süreci o Siber olay sonrası SOME operasyonel elemanları (yazılım, donanım, politika ve prosedürler) 2 Gün Eğitime katılanların kurumlarında siber olaylara müdahale sürecini oluşturacak seviyeye gelmeleri hedeflenmektedir. 9

6. İş Sürekliliği / Felaket Kurtarım Planlaması Kurumlarında iş sürekliliği / felaket kurtarım planı süreçlerinin yönetiminden sorumlu olan personel, iş sürekliliği / felaket kurtarım planı olmayan kurumların yöneticileri, iş sürekliliği / felaket kurtarım planı geliştiricileri, kurumlarında iş sürekliliği / felaket kurtarım planında yer alan çalışanlar, felaket durumunda görev alan acil durum takımı üyeleri, güvenlik denetçileri. Eğitimin herhangi bir ön şartı bulunmamaktadır. İş sürekliliği projesinin yönetimine dair esaslar Herhangi bir kurumu etkileyebilecek tehditler Risk değerlendirmesi ve gerekli kontrollerin tespit edilmesi İş etki analizinin nasıl yapılacağı İş sürekliliği yönetim stratejilerinin geliştirilmesi Acil durum yanıtı ve ilgili faaliyetlerin belirlenmesi, acil durum veya felaket anında yapılması gerekenler için nasıl hazırlanmak gerektiği Felaket kurtarım takımlarının nasıl oluşturulacağı Felaket durumlarında o En az zarar için risklerin nasıl minimuma indirilebileceği o Hedeflenen zamanda nasıl kurtarma yapılacağı o Kriz durumu haberleşme ihtiyaçları İş sürekliliği planının geliştirilmesi ve kurum çapında uygulanması Doğru ve çabuk tepki için eğitim, bilgilendirme ve bilinçlendirme faaliyetleri İş sürekliliği planının test edilmesi ve güncellenmesi 2 gün Eğitim sonunda katılımcılar yukarıda belirtilen konularda bilgi birikimine sahip olacak, kurumlarında iş sürekliliği kapsamında planlama çalışmalarını yapabileceklerdir. 10

7. Windows Güvenliği Windows ağ yöneticileri, Microsoft Aktif Dizin yöneticileri, Microsoft sistemlerine güvenli bir geçiş yapmayı planlayanlar, Microsoft sistemlerinde güvenlik konusuna ilgi duyanlar. Temel Windows ve ağ bilgisi. Windows İşletim Sistemi Güvenliği (XP/2003/Windows 7/2008-R2) IPSec, PKI ( Public Key Infrastructure Açık Anahtar Altyapısı) ve EFS ( Encrypting File System Şifreli Dosya Sistemi) Windows ortamında Powershell geliştirme 3 gün Eğitime katılanlar, aldıkları bilgilere ilave olarak yapılan laboratuar çalışmaları ile yetkinlik kazanacak ve kurumlarında Windows güvenliği kapsamında faydalı uygulamalar yapabileceklerdir. 11

8. Microsoft Sistemleri Güvenliği Windows ağ yöneticileri, Microsoft Aktif Dizin yöneticileri, Microsoft sistemlerine güvenli bir geçiş yapmayı planlayanlar, IIS ve Exchange yöneticileri, Microsoft sistemlerinde güvenlik konusuna ilgi duyanlar. Temel Windows, Exchange, aktif dizin ve ağ bilgisi. Microsoft Web Servisleri Güvenliği (IIS 7.5) Microsoft PowerShell Aktif Dizin ve Ağ Servisleri Güvenliği (Grup politikası, DNS, DHCP) Microsoft sistemlerinde yama yönetimi 4 gün Eğitime katılanlar Microsoft sistemleri güvenliği konusunda ileri düzeyde bilgiye sahip olacak ve bu kapsamda kurumlarında faydalı uygulamalar yapabileceklerdir. 12

9. Linux Güvenliği Linux tabanlı sistemleri güvenli hale getirmek isteyen güvenlik uzmanları, genel kullanımda olan Linux tabanlı Internet uygulamalarının güvenliğinin nasıl sağlanacağını araştıran sistem yöneticileri ve güvenlik testi ve sıkılaştırma araçları konusunda meraklı sistem yöneticileri. Linux sistemlerde sistem yöneticiliği seviyesinde deneyim. Güvenli kurulum Açılış servisleri yapılandırması Çekirdeğin güvenli olarak yapılandırması Dosya sistemi erişim kontrolü Kullanıcı erişim denetimi Sistem kayıtlarının tutulması Güvenlik denetleme araçları Güvenlik sıkılaştırma araçları Güvenlik amaçlı betik programlama 3 gün Katılımcılar eğitim sonunda Linux tabanlı işletim sistemlerinin güvenlik sıkılaştırmasını rahatlıkla yapabilecekleridir. Ücretsiz olarak erişilebilen birçok güvenlik aracını sistemlerinde kullanabileceklerdir. Ayrıca sistemlerindeki güvenlik ihlallerinin kısa zamanda farkına varmalarını sağlayacak araçları kullanma ya da geliştirme kabiliyetlerini elde edecekleridir. 13

10. TCP/IP Ağ Güvenliği Sistem ve ağ yöneticileri, güvenlik ve sızma testi uzmanları, bilişim sistemleri güvenliği bölümü çalışanları, bilgi sistemleri denetleme birimi çalışanları. Temel ağ bilgisi. TCP/IP protokol yığıtında yer alan protokoller TCP/IP yığıtının farklı katmanlarının çalışma şekilleri ve bunları hedef alan güvenlik tehditleri TCP/IP protokolleri ile ilgili güvenlik zafiyetleri ve çözüm yolları Ağ güvenliğini sağlamak için kullanılan teknikler, protokoller ve aygıtlar Wireshark vb. paket yakalama programları, protokol ve paket yapılarının incelenmesi SSL, IPSec, VPN, Sayısal sertifika gibi kavramlar Firewall, IDS/IPS, Proxy gibi ağ bileşenleri 2 gün Eğitime katılanların, TCP/IP ağlarının güvenliği konusunda yapılan laboratuvar çalışmaları ile kazandıkları bilgi ve yetkinlikleri kendi çalışma ortamlarına taşımaları beklenmektedir. 14

11. Aktif Cihaz Güvenliği Sistem ve ağ yöneticileri, güvenlik ve sızma testi uzmanları, bilişim sistemleri güvenliği bölümü çalışanları, bilgi sistemleri denetleme birimi çalışanları. Temel ağ bilgisi. Aktif cihaz kavramı ve ağ tasarımı ile aktif cihazların sıkılaştırılması ve ağ altyapısının güvenliğinin sağlanması kapsamında aşağıdaki başlıklar açıklamalı ve uygulamalı olarak anlatılacaktır: Günümüzde yaygın olarak kullanılan, iç ağ altyapısını oluşturan ve ağın dış dünya ile bağlantısını sağlayan o Ağ anahtarı, o Yönlendirme cihazları, o Güvenlik duvarı, o İçerik kontrolcüsü gibi aktif cihazların sıkılaştırmalarına yönelik adımlar. Aktif cihazların üstünde alınabilecek o Fiziksel güvenlik, o Çalışma koşulları, o Kimlik doğrulama, o Yetkilendirme, izleme, servis kontrolü, o Yama kontrolü, o Erişim listesi kontrolü, o Uzaktan yönetim kontrolü vb. güvenlik önlemleri. 2 gün Eğitime katılanların, aktif cihaz güvenliği kapsamında uygulanabilecek teknikleri öğrenmeleri, bu teknikleri laboratuvar çalışmaları ile pekiştirmeleri ve kurumlarında faydalı uygulamalar yapmaları beklenmektedir. 15

12. Sistem Güvenlik Denetimi Bilgi teknolojileri denetcileri, sistem güvenlik denetleme bilgilerini artırmak isteyen bilgi güvenliği uzmanları ve güvenlik denetim mantığını anlamak ve bu tür denetimlere sistemlerini hazırlamak isteyen sistem ve ağ yöneticileri. Temel ağ bilgileri, işletim sistemleri bilgisi (Windows ve Unix), sınır güvenliği yapılarını tanıma. Açıklık, tehdit tanımları Açık kaynak kodlu güvenlik açıklık tarayıcıları ve bu araçların kullanımı Bir ağın topolojisini çıkartma Sınır sistemleri denetimi Windows denetimi Unix/Linux sistemlerin denetimi 4 gün Eğitime katılanlar güvenlik açıklık tarayıcılarını nasıl kullanabileceklerini, işletim sistemlerini, sınır sistemlerini ve web uygulamalarını nasıl denetleyebileceklerini öğreneceklerdir. 16

13. Temel Güvenlik Denetimi Bilgi teknolojileri denetcileri, sistem güvenlik denetleme bilgilerini artırmak isteyen bilgi güvenliği uzmanları ve güvenlik denetim mantığını anlamak ve bu tür denetimlere sistemlerini hazırlamak isteyen sistem ve ağ yöneticileri. Temel ağ bilgileri, Windows işletim sistemi bilgisi. Açıklık, tehdit tanımları Açık kaynak kodlu güvenlik açıklık tarayıcıları ve bu araçların kullanımı o Nessus, Nmap, MBSA Windows denetimi o Güvenlik şablonları o Security Configuration and Analysis - Güvenlik Analizi ve Yapılandırma aracı 1 gün Eğitime katılanlar güvenlik açıklık tarayıcılarını nasıl kullanabileceklerini, Windows işletim sistemlerini nasıl denetleyebileceklerini öğreneceklerdir. Not: Bu eğitim 19. Sistem Güvenlik Denetimi eğitiminin bir günlük eğitim süresinde gerçekleştirilen tutarlı bir altkümesidir. 17

14. Kablosuz Ağ Güvenliği Kablosuz ağ sistemlerini yöneten veya bu tür sistemleri kurmak isteyen sistem ve ağ yöneticileri, kablosuz ağ güvenliği hakkında bilgi almak isteyen bilgi teknolojisi uzmanları. Temel ağ bilgisi. Kablosuz erişim sağlayan yerel alan ağlarındaki güvenlik riskleri Güvenli kablosuz iletişim mimarisi Kablosuz ağlarda, güvenlik ya da saldırı amaçlı kullanılan yazılımlar 2 gün Eğitime katılanlar kablosuz erişim riskleri ve bu risklerin nasıl ortadan kaldırılacağı ile ilgili bilgi sahibi olacaklardır. Ayrıca kablosuz ağlarda kullanılan kablosuz ağ denetimi araçları ile ilgili bilgi edineceklerdir. Not: Eğitim uygulamalı olarak gerçekleştirilecektir. Katılımcı sayısı 18 ile sınırlıdır. Eğitimin uygulama olmaksızın alınması halinde bu eğitim 1 gün olarak verilmektedir. 18

15. Kayıt Yönetimi Sistem, güvenlik ve ağ yöneticileri Bilgi ve bilişim sistemleri uzmanları Bilgi güvenliği yöneticileri ve uzmanları Temel işletim ve bilgi sistemleri bilgisine sahibi olmak. Kayıt yönetimi ile ilgili temel kavramlar, Kayıtları toplayabilmek için yerine getirilmesi gereken yapılandırma ayarları, Toplanan kayıtlarla ilgili analiz teknikleri, Kayıt yönetim sistemi kurulmasında dikkat edilecek hususlar, Büyük boyutlu kayıtların analizi, Toplanan kayıtların anlık takibi, Herhangi bir güvenlik ihlalinde ihtiyaç duyulacak kayıt bilgileri, Yasal veya kurumsal politikalara uyumluluk için toplanması gereken kayıtlar, Kayıt toplanırken yapılan en sık yanlışlar ve karşılaşılan sorunlar, Kayıt toplanmasında takip edilebilecek standartlar. 2 Gün Günümüzde gerek yasal sorumluluk, gerekse kurum politikası gereği bilgi teknolojilerinden kayıt (log) bilgisi toplanması ve toplanan bu kayıtların kurum ihtiyaçları doğrultusunda anlamlı hale getirilmesi için etkin ve verimli şekilde yönetilmesini sağlayacak bir kayıt yönetim sisteminin nasıl kurulması gerektiğinin aktarılması hedeflenmektedir. 19

Gelişmiş Seviye Eğitimler 20

16. Oracle Veritabanı Güvenliği Veritabanı yöneticileri, veritabanı güvenlik denetleyicileri. Veritabanları hakkında genel bilgi ve temel veritabanı yönetim bilgileri. Veritabanı esasları Kimlik denetimi Erişim kontrol listeleri Veritabanı güvenlik denetlemesi Ağ güvenliği Veritabanı yedekleme Erişim araçlarının denetlenmesi İleri düzey güvenlik önlemleri 3 gün Eğitim sonunda katılımcılar veritabanlarının güvenlik denetimini yapabilecek seviyeye gelecektir. Veritabanı yöneticileri ise güvenli olarak veritabanlarını nasıl yönetebileceklerini öğrenmiş olacaklardır. Not: Bu eğitim genel veritabanı konularını içermekle birlikte Oracle veritabanı üzerinden verilmektedir. 21

17. MS SQL Server Veritabanı Güvenliği Veritabanı yöneticileri, veritabanı güvenlik denetleyicileri. Veritabanları hakkında genel bilgi ve temel veritabanı yönetim bilgileri. SQL Server 2005/2008, genel konular İşletim sistemi yapılandırması Ağ konfigürasyonu SQL Server 2005/2008 kurulumu ve güncellemeler SQL Server 2005/2008 ayarlarının yapılması Erişim kontrolü ve yetkilendirmeler Denetleme ve kayıt altına alma işlemleri Yedek alma ve felaketten kurtarma prosedürleri Replikasyon Yazılım geliştirme konuları Surface Area Configuration aracı SQL Server 2005/2008 test ve izleme araçları 3 gün Eğitim sonunda katılımcılar SQL Server 2005/2008 veritabanı güvenlik mekanizmalarını ve güvenliğe etki eden kavramları öğrenerek, SQL Server 2005/2008 güvenlik denetimini yapabilecek seviyeye gelecektir. Veritabanı yöneticileri ise veritabanlarını nasıl güvenli olarak yönetebileceklerini öğrenmiş olacaklardır. 22

18. Web Uygulamaları Güvenliği HTTP tabanlı uygulama geliştiricileri ve denetleyicileri. Web teknolojileri hakkında temel bilgiler (HTTP, HTML, web sunucuları, internet tarayıcıları) ve uygulamalarda kullanılan dillerden en az birisini bilmek (PHP, Java, ASP.NET, Perl, v.b.). Bilgi toplama Ayar yönetimi Kimlik doğrulama Girdi / çıktı denetimi Oturum yönetimi Yetkilendirme Uygulama mantığı Kayıt tutma Hata yönetimi Güvenli uygulama yönetimi 2 gün Eğitim sonunda katılımcılar HTTP tabanlı uygulamaların önemli güvenlik bileşenlerini, en çok yapılan güvenlik hatalarını, bu hataların nasıl giderileceğini ve sürdürülebilir uygulama güvenliğinin nasıl sağlanabileceğini öğrenmiş olacaklardır. 23

19. Merkezi Güvenlik Kayıt Yönetim Sistemleri Bilgi sistemi yöneticileri, bilgi sistemi güvenlik yöneticileri, BT denetim sorumluları. Bilgi sistemi bileşenlerinden haberdar olma, BT sistemleri içinde kullanılan güvenlik bileşenlerine yakınlık. Merkezi kayıt yönetim sistemleri Olay ilişkilendirme sistemlerine duyulan ihtiyaç Olay ilişkilendirme adımları Olay ilişkilendirme sistemlerinin faydaları OSSIM saldırı ilişkilendirme sistemi OSSIM tanıtım OSSIM temel bileşenleri OSSIM de kullanılan araçlar OSSIM kurulumu OSSIM bileşen konfigürasyonu Politikalar Farklı bileşenlerden bilgi toplama Saldırı ilişkilendirme Sistem bakımı ve güncelleme 4 gün Eğitime katılan BT sistemi yöneticileri merkezi saldırı ilişkilendirme sistemleri konusunda bilgilenmiş olacaklar ve BT sistemlerinde bulunan farklı güvenlik bileşenlerinde oluşan kayıtları merkezi olarak toplamayı, BT sistemlerine içeriden veya dışarıdan yapılan saldırıları merkezi olarak izlemeyi ve önlem almayı öğrenmiş olacaklardır. 24

20. Sızma Testi Uzmanlığı Kurumlarında sızma testi ve güvenlik denetimlerinde görev alacak personel, kurumda bilgi güvenliği birimlerinde çalışan personel. Güvenlik bilincine ve güvenlik alanında tecrübeye sahip olmak, orta seviyede Linux, Windows ve TCP/IP bilgisine sahip olmak, bilgi sistemleri altyapısında orta derecede deneyim sahibi olmak. Giriş (Sızma testi nedir? Sızma testi öncesinde, sızma testi sırasında ve sızma testinden sonra dikkat edilecek hususlar, sızma testi metodolojileri) Keşif (Keşif türleri. Uygulamalı nmap kullanımı; keşif, port taraması, servis tespiti, işletim sistemi tespiti, vb.) Zafiyet tespiti (Zafiyet kavramı. Nessus kullanımı; politika oluşturma, tarama ve zafiyetlerin incelenmesi) Exploit (Exploit ve payload kavramları. Metasploit kullanımı; msfconsole, meterpreter, post-exploit ve auxiliary modülleri, vb.) Ağ sızma testleri ve 2. katman saldırıları (Ağı dinleme, MAC tablosu doldurma, ARP zehirlemesi, VLAN atlatma, DHCP IP havuzu tüketme saldırısı) Dış ağ testleri ve bilgi toplama (Aktif ve pasif bilgi toplama, Google hacking, vb.) Sosyal mühendislik (Telefon ve E-posta yolu ile sosyal mühendislik teknikleri. SET kullanımı. Özelleştirilmiş payload ve zararlı kod oluşturma - makro, pdf, exe. Relay zafiyeti. Post-exploitation ) Web uygulamaları testleri (Girdi-çıktı alanları tespiti. XSS ve SQL-i saldırıları) 5 gün Eğitime katılanlar kurumlarında veya kurum dışında sızma testleri süreçlerinde yer alacak seviyeye gelecektir. 25

21. Kayıt Analizi Sistem, güvenlik ve ağ yöneticileri Bilgi ve bilişim sistemleri uzmanları Bilgi güvenliği yöneticileri ve uzmanları Temel işletim sistemleri, veritabanı sistemleri ve ağ bilgisine sahibi olmak. Kayıt analizi genel bakış açısı Kayıt analizi standartları, kurallar ve yasal düzenlemeler Kayıt tutma, kayıt toplama, görüntüleme araçları Kayıt analizinde yapılan genel hatalar Olay müdahale çalışmaları Olay müdahalenin farklı aşamalarında kayıt kullanımı Farklı kaynaklardan elde edilen kayıtların olay müdahale ve analizlere katkısı 5 Gün Eğitime katılanlar kayıt (log) ve kayıt tutma ile ilgili temel bilgileri alacak, olay müdahalede kayıt yönetimi ve analizi yeteneklerini kazanacak, hangi kayıt çeşidinin hangi durumlarda ve olay müdahalenin hangi aşamasında kullanılması gerektiği bilgisini alacaklardır. Ayrıca kayıt analizi için temel analiz kabiliyetlerini, kayıt toplama araçları hakkında genel bilgi ve becerilerini, farklı kayıt analiz araçlarının kullanım yetkinliğini kazanacaklardır. 26

İleri Seviye Eğitimler 27

22. Bilgi Sistemleri Adli Analizi Bilgisayar adli analizi yapmak isteyen bilgi sistem personeli. Temel Linux ve Windows işletim sistemi bilgisi. Bilgisayar olaylarına müdahale Bilgisayar adli analizi hazırlık aşamaları İşletim sistemlerinde dosyalama sistemleri (NTFS, FAT32, ext2, ext3) hakkında bilgiler (Dosyaların bu sistemlerde ne şekilde oluşturulduğu, saklandığı, silindiği vb.) Bilgisayarların çeşitli bölümleri için (RAM, Stack alanı, sabit diskler vb.) verilerin kalıcılığı ve veri çıkarma şekilleri Linux üzerinde bilgisayar olayı adli analizi yapılması ve ilgili araçların tanıtımı Uygulamalı kısımda adli analiz çalışma ortamının kurulması ve araçlarla şüpheli dosya incelemesi yapılması Windows üzerinde bilgisayar olayı adli analizi yapılması ve ilgili araçların tanıtımı Adli analizle ilgili yasal çerçeveler ve delillerin mahkemeye sunulabilecek şekilde saklanması 3 Gün Eğitime katılanların kendi kendilerine bilgisayar adli analizi yapabilecek seviyeye gelmeleri hedeflenmektedir. 28

23. Bilgisayar Ağları Adli Analizi Ağ, sistem ve güvenlik yöneticileri, bilgisayar ağları adli analizi yapmak isteyen bilgi sistem personeli. Temel TCP/IP ve ağ bilgisi, Temel Linux ve Windows işletim sistemi bilgisi. Siber suçlarda olay analizi, delil toplama, delil karartma gibi süreçleri sabit disk, RAM gibi saklama birimlerine ihtiyaç duymadan inceleyebilmek, ağ bileşenlerinin yanlış yapılandırılmasından kaynaklanan hataları ve zararlı ağ trafiği davranışlarını tespit edebilmek için Adli analizin temelleri Ağ paketi yakalama teknolojileri: donanımlar, yazılımlar ve araçlar Temel ağ protokolleri ve bileşenleri Ağ güvenliği bileşenleri kayıt dosyası analizi: Güvenlik Duvarı, Saldırı Tespit ve Önleme Sistemi vb. sistemlerin kayıt dosyaları Ağ protokollerinin analizi. (HTTP, SMTP, DNS vb. protokoller için) Derinlemesine ağ paketi analizi Zararlı ağ trafiğinin tespit edilmesi: Araya girme saldırısı, DNS önbellek zehirlenmesi vb. saldırılar Ağ trafiği tünelleme tekniklerinin tespit edilmesi: DNS, ICMP, SSH tünelleme vb. teknikler Şifreli ağ trafiğinin analizi: SSL trafiği dinleme tekniği Ağ trafiğinin yeniden inşa edilerek orijinal verilerin elde edilmesi Ağ akış analizi konuları işlenecektir. 4 gün Katılımcılar, eğitimde yapılan uygulamalarla siber suçlarda olay analizi ve delil toplama süreçlerini hafıza birimlerine erişmeden gerçekleştirebilecek, ağ bileşenlerinden kaynaklanan hataları ve zararlı ağ trafiğini tespit edebileceklerdir. 29

24. Windows Zararlı Yazılımları Analizi Zararlı yazılım incelemesi yapmak isteyen bilişim teknolojileri çalışanları. Değişkenler, döngüler ve fonksiyonlar gibi yüksek seviye programlama kavramlarını tanımak, Windows işletim sisteminin ( process, thread, memory management, registry, handle vb.) temel kavramları hakkında bilgi sahibi olmak, IP, HTTP, TCP, UDP, vb. ağ protokolleri, Wireshark vb. ağ dinleme araçları hakkında giriş seviyesinde bilgi sahibi olmak, Assembly ve x86 mimarisi hakkında giriş seviyesinde bilgi sahibi olmak gerekmektedir. Windows işletim sistemi, temel kavramlar Basit statik analiz Davranış analizi Kod analizi Gizli çalışma yöntemleri Statik analiz engelleme yöntemleri Dinamik analiz engelleme yöntemleri Paketlenmiş yazılımların paketten çıkarılması Bellek dokümü analizi Web (tarayıcı) tabanlı zararlı yazılımların analizi Zararlı dokümanların analizi 5 gün Eğitime katılanlar, tersine mühendislik konusunda pratiğe yönelik bilgiler edineceklerdir. Buna ek olarak Windows ve web tabanlı zararlı yazılımlar ile zararlı dokümanları analiz kabiliyeti kazanacaklardır. 30

25. Güvenli Yazılım Geliştirme Yazılım geliştiricileri/mühendisleri, yazılım projesi yöneticileri, yazılım kalite kontrol ekibi ve sistem mimarları. Yazılım dillerinden herhangi birine orta seviyede hakim olmak Yazılım ve yazılımın koştuğu teknoloji bileşenlerinin güvenlik problemleri Güvenli yazılım geliştirme sürecinin temel öğeleri ve güvenli yazılım geliştirme yaşam döngüsünün yazılım geliştirme sürecine nasıl entegre edileceği Sürece ek olarak kaynak kod örnekleriyle en çok karşılaşılan zaafiyetler ve bu zafiyetlerin nasıl önlenebileceği Yazılımın sadece koddan ibaret olmadığı varsayımıyla yazılımın üzerinde koştuğu uygulama sunumcu, veri tabanı gibi bileşenlerin güvenli çalışması için kullanılabilecek teknolojiler 3 gün Eğitimin sonunda katılımcıların temel güvenli kodlama prensiplerini kavramaları, güvenli yazılım tasarımı, tehdit modellemesi, güvenli yazılım geliştirme ve güvenlik öncelikli test prensiplerini öğrenmeleri beklenmektedir. 31

2015 TÜBİTAK BİLGEM SGE Siber Güvenlik Enstitüsü P.K. 74, Gebze, 41470 Kocaeli, Türkiye Tel: (262) 648 1000, Faks: (262) 648 1100 http://www.bilgem.tubitak.gov.tr, sge.egitim@tubitak.gov.tr 32

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim