Sağlıkta Veri Güvenliği Bir Bütün Olarak Veri Güvenliği BEKİR SAMİ NALBANTOĞLU GM, BİLGİ SİSTEMLERİ A.Ş. 26 EKİM 2018
Karmaşık ve Geniş bir alan Veri Merkezi / Sistem altyapıları Sanallaştırma Sürekli Gözlem Gerçek Zamanlı Tespit Bulut Sunucular/ Ağ Yapıları Veri Artışı Anlık Durum Farkındalığı Veritabanı Güvenliği Şifreleme Uyumluluk Denetleme Erişim Altyapıları Kimlik Ve Erişim Kontrol Veri Sızması Önleme Veri Koruma Şahsi Cihazlar Mobilize olmak Ağ Sızma Önleme Gölge Saldırılar Uygalama Bazlı Koruma Kimlik Koruma İstihbarat odaklı saldırılar Uç Cihazlar Cihaz Koruma Siber Hazırlıklı olmak Web Koruması Uygulama Güvenilirliği / Kontrolü IP koruma Raporlama Sosyal Medya Önlemleri Kimlik Yönetimi Krirtik Altyapıları Korumak OS Koruma (Linux, Win, Android, Mac) E-posta Koruması Kimlik Koruması Hedefli Saldırılar 2
BT VERİ GÜVENLİĞİ Veri Merkezi Güvenliği Erişim Güvenliği Uç Cihaz Güvenliği WEB ve Kimlik Yönetimi Zararlı Uygulama Önleme Gerçek Zamanlı Durum Kontrolü 3 Bulut Güvenliği Sanal Makine Koruma Uygulama Kontrol Değişim Yönetimi Veritabanı Güvenliği Ağ Koruma (Firewall / IPS) Zararlı uygulama Önleme Uygulama Kontrol Sanal makine koruması Donanım Bazında güvenilirlik Şifreleme Cihaz Kontrol Mobil koruma Cihaz üzerinde Ağ erişim güvenliği Web Güvenliği E-posta Güvenliği Kimlilk ve Yetkilendirme Veri Sızma Koruması Ağ Güvenliği WEB ve eposta güvenliği Katmanlı Cihaz Koruma Donanım Bazlı güvenlik SIEM SIEM Gerçek Zamanlı Konsol Saldırı Önleme Yönetimi Politika bazlı yetkilendirme ve yönetim
Güvenlik Her Zaman Baskı Altındadır Yetersiz Bütçe Sınırlı ve Eğitimsiz Kaynaklar Hızlı Değişen İş Gereksinimleri Planlanmamış ve Takip Edilmeyen Uyumluluk problemleri
Güvenlik : Peki ama kimle Başarılı mı?
Yetkinliği Artırmak Kurumsal Güvenlikte yetkinlik Tepkisel (~3% toplam BT bütçesinin) Uyumlu / Ön sezgili (~8% toplam BT bütçesinin) TCO (Sahiplik Maliyeti) Güvenlik Yetkinliği BT Güvenlik 6 ETKİN / YETKİN (~4% toplam BT bütçesinin)
Toplam Güvenlik Tümleşik ve Doğru Çözümler Gerçek Zamanlı durum Farkındalığı ve cevaplama yeteneği 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 7
Veri Güvenliğinin Felsefesi Görmek Ve Tespit Etmek Gerçek Zamanlı ve Eski Veriler Güvenlik Yönetimi ve Raporlama 8 Yanıt / Tepki Kullanılabilir İstihbarat
Veriler Neden Tehdit Altında? Veri tabanları yüksek miktarda hassas veriyi barındırıyor Kredi kartı numaraları, finansal sonuçlar, banka kayıtları, ödeme bilgileri, müşteri listeleri, kişisel bilgiler... FAKAT Veri izlenmiyor Veritabanları izlenmiyor Yazılım güncellemeleri nadiren yapılıyor Yama operasyonu genelde hep erteleniyor Veri (tabanları) kolay hedef haline geliyor. 9 September 4, 2019
Veri Tabanı İhlalleri Yüksek Oranda Veri tabanı ihlaleri tüm güvenlik ihlallerinin %30 u oranında Verizon araştırmasına göre veri tabanlarının %92 si ihlallere maruz kalıyor. Aynı araştırmayla ilişkili olarak US- CERT den açıklanan verilere istinaden bu ihlallerin %50 sine, iç kullanıcılar neden oluyor 10 September 4, 2019
Düşmanını Tanı Harici Hacker lar Script yazan amatörler Profesyonel hacker lar Organize şuç şebekeleri İç Ataklar Küskün çalışanlar Endüstriel hırsızlık,kimlik hırsızlığı gibi sofistike saldırılar... İç ve dış tehditler arasında bulanık bir hat...!! 11 September 4, 2019
Bilinen Bir Örnek Playstation Network 12 September 4, 2019
Yaygın Veri Sızması Güvenlik Problemleri Basit veya varsayılan şifre kullanımı(zayıf kripto) Yanlış konfigürasyon Eksik yama ya da yama setleri Aşırı ayrıcalık tanımlamaları Kontraktör,dış kaynak personellerine verilen erişimler Sabit ve akan veride kriptosuz iletişim Erişimlerin ve kayıtların izlenmemesi. 13 September 4, 2019