Bilgi Güvenliği Hizmetleri Bilgi Güvenliği Sadece Bilgisayar Güvenliği Değildir
2 Secur tas le B r Adım Önde Olun B r kurumda çalışanlarla lg l k ş sel b lg ler n nternette yayınlanması, nterakt f bankacılık s stem kullanıcısının hesabındak paraların çalınması, kend ler n g zlemek ç n başka k ş lere a t b lg sayarların ele geç r lmes ve bu b lg sayarlar üzer nden topluca stenmeyen mesajlar gönder lmes, çok kolay elde ed leb len k ml k b lg ler ve firma b lg ler n z le adınıza/ş rket n z n adına b rçok yasa dışı şlem yapılması... arada kullanarak planlanmış b lg çalma g r ş mler ne Sosyal Mühend sl k adı ver l yor. S stemler nsanların kullanımları ç n üret l yor ve en büyük güvenl k açıkları y ne onları kullanan nsanlardan doğuyor. Özell kle kurumlardak çalışanlar, b lg güvenl ğ konusunda yeter nce b l nçl değ ller se, d j tal ve fiz ksel güvenl k ç n yapılan yatırım tek başına yeterl olamıyor. B lg güvenl ğ konusundak r sklere yönel k bu g b örnekler çoğaltmak mümkün. Günümüzde b lg hırsızlığı farklı amaçlar ç n ve çeş tl yollarla yapılab l yor, k ş veya kurumları oldukça c dd zararlara uğratab l yor. B lg hırsızlığının çarpıcı yollarından b r s de "Sosyal Mühend sl k". İnsan zafiyetler ve teknoloj y b r Güvenl kte B lg L der Secur tas, b lg güvenl ğ konusundak b l nc n artırılması küçük ve orta ölçekl şletmeler n bu alandak r skler ne uygun çözümler get rmey hedefl yor. Secur tas, b lg güvenl ğ alanında Eğ t m, Dr ll, R sk Anal z ve Teknoloj k Çözümler çeren paketler le Türk ye ekonom s n n belkem ğ olan KOBİ'lere b lg güvenl ğ konusunda güvenl adımlar attırıyor.
3 Bunları B l yor musunuz? F rmanızın (hacker, v rüs, malware, spyware, s ber güvenl k hlaller ) s ber saldırılara karşı güvenl olduğunu düşüyor musunuz? 5651 sayılı kanun gereğ nternet er ş m sağladığınız k ş ler n suç şlemeler durumunda (yetk l er ş m sağlayıcı olup da para le nternet er ş m satmıyorsanız) muhatap olarak ş rket n z n alınacağı b l yor musunuz? Pek Yasa dışı şlemler n neredeyse tamamının bu şek lde başka ş rketler n nternet er ş m nden yapıldığını b l yor musunuz? F rmanızın çer dek tehd tlere (çalışanlar, esk çalışanlar, sözleşmel personel ve danışmanların b lg çalması/sızdırması) ve dışarıdak tehd tlere (hacker, s ber suçlar/ sosyal mühend sl k saldırıları) karşı hazırlıkları var mı? D j tal ortamda tuttuğunuz finansal kayıtlarınızın bütünlüğünün bozulmadan ne kadar süre saklanacağını b l yor musunuz? Pek bu kayıtların güvende olduğundan em n m s n z? F rmanızdak b lg sayarlarınızın ve ağınızın güvenl ğ n n hlal ed l p ed lmed ğ n b l yor musunuz? Türk ye'de her köşe başında görülmeye başlayan dedekt fl k bürolarının aslında b lg güvenl ğ açıklarını kullanarak yasalarla bel rlenm ş, özel b r yetk s olamadığı halde ver topladıklarını b l yor musunuz? 5651 sayılı Kanun gereğ çalışanlarına veya m safirler ne nternet er ş m veren her ölçektek ş rket n, tüm nternet trafiğ n n kayıt altına alınması ve bu er ş m kullanılarak herhang b r suç şlenmes durumunda yetk l merc ler n (savcı veya hak m n) taleb hal nde beyan ed lmes zorunluluğu olduğunu b l yor musunuz? B rçok kuruluş dedekt fl k bürolarını kullanarak, er ş lmes hayal dah ed lemeyen b lg lere ulaşab ld ğ n b l yor musunuz? İş hayatımızın olmazsa olmazlarından e-posta s stem n n aslında dünyanın en güvens z ve en çok su st mal ed len haberleşme yöntem olduğunu b l yor musunuz?
Siber Hırsızlık Döngüsü Kötü amaçlı yazılım kullanıcıları, bu tarz yazılımları kurbanların banka bilgilerini çalmak için alırlar ve kullanırlar. Bu kişiler, çalınan paraları transfer etmelerini sağlayan ve yaptıkları işlemlerin izlenmesini engelleyen bilgisayarlar üzerinden saldırılarını gerçekleştirirler. Kötü Amaçlı Yazılım Kullanıcıları Kötü amaçlı yazılımları kodlayan kişiler, yasa dışı programların satıldığı sitelerdeki kötü amaçlı yazılımları geliştiren kişilerdir. Çalınan paraların transferini gerçekleştiren ve bu hizmet karşılığında belirli bir yüzde alan insanlar para kuryesi ağları nı oluşturmuş durumdadır. Para Kuryeleri Kurbanlar arasında bireyler, işletmeler ve finans kuruluşları bulunmaktadır. Kurbanlar Nasıl dolandırıyorlar? 1. Kötü amaçlı yazılımları kodlayanlar, bilgisayarın güvenlik açıklarını kullanarak bir Truva atı yerleştirmeye yarayan kötü amaçlı bir yazılım geliştirir. Kötü amaçlı yazılımları kodlayan kişiler > Hacker 2. Kurban, bilgileri çalan kötü amaçlı yazılımın saldırısına uğrar. Hedef Kurban 3. Bankacılık sistemine giriş bilgileri çalınır. Vekil Depolama Sunucusu 4. Hacker, bankacılık sistem giriş bilgilerini çeker. Hacker 6. Hacker, kurbanın online banka hesabına giriş yapar Vekil Sunucu 5. Aracı bilgisayara uzaktan erişim. Kurban Banka 7. Para, kuryenin hesabına transfer edilir. Para Kuryeleri 8. Para, kuryeden organizatörlere transfer edilir. Düzmece Şirket
ayan n satıldığı ımları Kurbanlar hem finans kuruluşları hem de virüsün bulaştığı makinelerin sahipleridir. Para kuryeleri, kendilerine küçük bir yüzde ayırarak, çalınan parayı asıl suçlulara transfer eder. Çok farklı tipte suçlular olabilir: Kötü amaçlı yazılımları kodlayanlar Kötü amaçlı yazılımları kullananlar Kurye örgütleri Küresel Etki Alanı Kurbanlar Kurye Örgüt Kötü amaçlı yazılımları kodlayanlar/kullananlar Şu Ana Kadar Kolluk Kuvvetlerinin Cevap Verebildiği Olaylar: Toplam FBI Vakası: 390 Teşebbüs Edilen Kayıp: 220 milyon $ Gerçek Kayıp: 70 milyon $ ABD: 92 suçlanan ve 39 yakalanan İngiltere: 20 yakalanan ve sekiz arama emri Ukrayna: Beş tutuklu ve sekiz arama emri
6
7 Securitas Bilgi Güvenliği Hizmet Paketleri Farkındalık Eğitimi / 3 Saat Herkes için bilgi güvenliği farkındalık eğitimi; Her kademedeki çalışanınızın anlayacağı düzeyde, gerçek olaylar üzerinde analiz yaparak ve katılımcıları da örnek olaylar içine dahil ederek yapılan 3 saatlik aktif bir eğitimdir. Hepimizin kullandığı alışılmış teknolojik yolları gerçek hayattan örneklerle akılda kalıcı bir şekilde nasıl bilgi çalmaya yönelik kullanıldığını çarpıcı bir şekilde öğretir. Tek seferlik bir paket olan bu eğitimi istediğiniz zaman bir sınıf düzeninde alabilirsiniz. Minimum 15 Kişi - Kişi Başı 95 TL* * Ankara dışı eğitimler için ulaşım ve konaklama maliyeti eklenmektedir.
Ağ Güvenliğindeki Tehlikenin 12 Göstergesi BİR SOSYAL MÜHENDİSLİK SALDIRISININ ANATOMİSİ Gerçekleşen saldırıların %29 u sosyal mühendislik taktiklerini içermektedir. İnsanların zaafiyetleri, ağ güvenliği üzerindeki bir numaralı tehdittir Ancak elbette bütün hatayı orada aramamak gerekir. Sosyal mühendislikle kötü emellerine ulaşmaya çalışanlar, istediklerini nasıl elde edebileceklerini çok iyi bilirler. SALDIRI 1 HAZIRLIK Pazarlamadan sorumlu Başkan Yardımcısı Marcus, çok dostane bir ses tonuna sahip birisi tarafından aranır Selam Marcus, ben X Bankasından Sandra. Eminim son zamanlarda gittikçe popülerleşen siber saldırıları siz de duymuşsunuzdur. Bizler, hiçbir müşterimizin bu tarz saldırılara maruz kalmaması için elimizden geleni yapıyoruz. Hesabınızın emin ellerde olduğundan emin olmamız için sadece bir web sitesine girmenizi rica edeceğim. Sizinle web sitesinin adresini paylaşıyorum. % 40 Bütün saldırıların %40 ı kötü amaçlı yazılım kullanımını içermektedir. 3 SALDIRI Kötü amaçlı yazılım, kurumsal ağa bulaşır ve verileri çalmaya başlar: 2 ALDANIŞ Marcus bu tarz saldırılar olduğunu duyduktan sonra verilen web sitesine girer ve istenen bilgileri girer. Sandra kendisinden şifresini talep etmediği için emin ellerde olduğunu düşünür. Müşteri verileri Fikri mülkiyet Finansal kayıtlar URL Kötü Amaçlı Yazılım Kurumsal Ağ
SAVUNMA 1 BİLDİRİM Güvenlik Analisti Ray, bir bildirim alır ve e-mail ile rapor eder. Alert! Saatler sonra ağ üzerinde alışılmamış bir aktivite 2 SALDIRI YÖNTEMİNİN TESPİTİ Ray, ek güvenlik analizlerini ve görsellerini kullanarak saldırı yöntemini tespit etmeye çalışır ve ağ üzerindeki benzer aktiviteleri araştırır: Gelen telefon numarası ve coğrafi konum İndirme işleminin gerçekleştiği web sitesi Kötü amaçlı yazılım dosyasının MD5 şifrelemesi * MD5 algoritması, genelde 32 haneli on altılık sayı halinde metin formatında ifade edilen bir 128-bit (16 bayt) şifreleme değeri ortaya koyan ve yaygın şekilde kullanılan bir kriptografik şifreleme fonksiyonudur. MD5, çok sayıda kriptografik uygulamada kullanılmaktadır ve ayrıca veri doğruluğunu teyit etmek için de yaygın şekilde kullanılmaktadır. 3 REAKSİYON Saniyeler içerisinde tehdidi tespit eder ve eyleme geçer Virüsün bulaştığı Kötü amaçlı yazılımın bilgisayarların iletişim kurduğu x internet bağlantısını alan adını engeller! keser Alarm oluşturur Saldırıyı kaydeder Marcus a haber verir 4 EĞİTİM Kurum CIO su Natalie olayı inceler ve soruna karşı gösterilen tepkiden hoşnut bir şekilde ağ davranışı analizini ve görselliği standart tepki prosedürlerine ekler. BU 12 TEHLİKE GÖSTERGESİ HAKKINDA DAHA FAZLA BİLGİ İÇİN: 21CT.COM/12INDICATORS @21CTINC #12INDICATORS Kaynaklar: Verizon 2013 Veri İhlalleri Araştırmaları Raporu, http://www.verzionenterprise.com/dbir/2013/; Wikipedia, http://en.wikipedia.org/wiki/md5
10 Secur tas B lg Güvenl ğ H zmet Paketler Senaryolu Dr ll + Anal z + Eğ t m Kurumunuza özel olarak hazırlanacak olan bu paket; Senaryolu sosyal mühend sl k saldırılarının b zzat uygulanması veya masa başında s müle ed lmes Bu g r ş mler sonucu alınan bulguların y ne kurum çalışanları le beraber anal z ed lerek, sonrasında bulgular sonucu karar ver len konularda hazırlanmış s ze özel çer ğe sah p tazeleme eğ t mler n çer yor. Bu paket b r sene çer s nde sted ğ n z sıklıkta ve beraber karar ver len senaryolar üzer ne oluşturulmaktadır.
11 Secur tas B lg Güvenl ğ H zmet Paketler Ver Merkezler İç n R sk Anal z ve Çözüm Paketler Kurumsal hafızanın temel olan ver merkezler n z n (s stem odalarınızın) dünya standartlarına ne derece uyduğunu, ne derece uygun koşul ve güvenl ğe sah p olduğunu denetleyeb l r z. Orta ve küçük ölçektek s stem odalarınız ç n r sk anal z ve anal z sonucuna göre teknoloj k çözümler sunduğumuz bu paket m z uzaktan-anlık zleme h zmet de çermekted r. R sk sınıflandırması sonucu, Telecommun cat ons Industry Assoc at on - TIA-942 a göre ver merkez standard zasyon sev yes bel rlenmes, Olması gereken sev ye ç n gerekl elektron k ve fiz k güvenl k çözüm paket n n sunulması, Er ş m ve mevcut durumun (ısı, nem) Alarm İzleme Merkez tarafından 7/24 zlenmes bu pakete dah ld r. İş sürekl l ğ ne göre r sk sınıflandırması, kabul ed leb l r opt mum koşulların tesp t, G r ş access kontrol Cam kırılma dedektörü Duman dedektörü Su dedektörü Isı/sıcaklık dedektörü Uzaktan zleme h zmet Hareket dedektörü Açma/kapama, uzaktan refakat h zmet FM200 söndürme s stem
SOSYAL Sosyal mühendislik, bir kişinin kendi yararına ya da zararına olabilecek bir eylemde bulunması için onu etki altında bırakmak üzere yapılan bir eylem olarak tanımlanmaktadır. - Christopher Hadnagy, Unmasking the Social Engineer, 2014 Wiley MÜHENDİSLİK % 77 Phishing (şifre avcılığı) sosyal tabanlı saldırıların %77 ini temsil etmektedir. 37.3 MİLYON Geçtiğimiz yıl phishing saldırılarına maruz kaldığını bildiren insan sayısı. NE KADAR E-MAİL GÖNDERİLİYOR? 107 TRİLYON Yılda % 90 294 MİLYAR Her Gün GÖNDERİLEN BÜTÜN E-MAİLLERİN %90 I SPAM & VİRÜSLER E-mail içerisindeki linklere tıklanma oranı, bildirilen bütün phishing olaylarının %88 ini temsil etmektedir. % 88 En yaygın phishing saldırıları arasında bankacılık kuruluşlarının taklit edilmesi bulunmaktadır. % 88 1,8 MİLYON KURBAN 2013 Sağlık hizmetleri sağlayıcılarını taklit eden web sitelerinden dolayı tıbbi kimlik hırsızlığında inanılmaz bir artış yaşanmıştır HIRSIZLIK İÇİN EN İYİ YER #1 ÇALIŞMA ALANIDIR Hırsızlıkların %80 i kontrol yetkisinin elden alınmasını ya da bypass edilmesini kapsamıştır BİLDİRİLEN ÇALINTI VARLIKLARIN %88 İ KİŞİSEL VERİLERDİR 03 01 Taklit Bir kişi, şirket ya da bilgisayar sistemine erişebilmek ya da bilgi sızdırabilmek için başka bir kişiyi taklit etme yöntemi TAKLİT YÖNTEMİYLE SALDIRIYA UĞRAYAN ORTALAMA MAĞDUR YAŞI 41.7 $4,187 YAŞINDA DOLAR KAYIP Phishing-Şifre Avcılığı Kişisel bilgileri elde etme amacıyla itibarlı ve güvenilir kaynaklardan geliyormuş gibi gözüken e-maillerin gönderilmesi % 60 ABD DEKİ YETİŞKİNLER 02 Vishing-Telefon Dolandırıcılığı Bilgilerin telefonla alınması ya da telefonda bir eyleme yönlendirme. Bu yöntem, telefonda aldatmaca gibi taktikler içerebilir 2012 yılında ABD de SMS gönderen ve alan yetişkinlerin %60 ına mobil spam gönderilmiştir. 12 12 12 12 12 12 2012 YILI BOYUNCA TELEFONDA DOLANDIRICILIK İÇİN 2,4 MİLYON MÜŞTERİ HEDEF ALINMIŞTIR % 14 MESAJLARA CEVAP VEREN 13 13 13 2013 ÜN İLK YARISINDA TELEFONDA DOLANDIRICILIK İÇİN 2,3 MİLYON MÜŞTERİ HEDEF ALINMIŞTIR HEDEF ALINAN İŞLETMELERİN ORTALAMA KAYBI hesap başına USD 42,546 % 26 BİR NUMARAYI ARAYAN % 60 BİR LİNKE TIKLAYAN BU DOLANDIRICILAR* NE İSTİYOR? *SMS ile şifre avcılığı yapanlar
GÜVENLİK İÇİN FARKINDALIK OLUŞTURULMALI Sosyal mühendisliğin azaltılmasının altında 3 temel ilke yatmaktadır: SAVUNMA EYLEMLERİ Çalışanlarınıza, güvenlik odaklı bir kültür yaratarak bu tarz bir eylemin kurbanı olmaları halinde ne tarz eylemlerde bulunmaları gerektiğine dair bazı yönergeler aktarabilirsiniz. GERÇEKÇİ SIZMA TESTLERİ Sosyal mühendislikten anlayan uzman profesyoneller tarafından gerçekleştirilecek gerçekçi testler ile en büyük hassasiyetlerinizin ne olduğunu ortaya çıkarabilirsiniz. GÜVENLİK FARKINDALIĞI Sadece kurallara uymak sizi sosyal mühendislikten korumaz. Eğitimlerinizi uygulamalı, interaktif ve uygulanabilir hale getirmelisiniz. Kaynaklar http://www.social-engineer.org http://www.verizonenterpriise.com/dbir/2014/reports/rp_verizon-dbr-2014_en_xg.pd http://www.verizonenterprise.com/dbir/2013/ http://emaillabout.com/od/emailtrivia/f/email_per_day.htm http://www.securelist.com/en/analysis/204792299/it_threat_evolution_q2_2013 http://money,usnews.com/money/personal-finance/articles/2013/09/19/how-to-protect-yourself-from-smishing-and-vishing http://www.cloudmark.com/releases/docs/threat_report/mobile-messaging-threat-2013-03.pdf http://www.insideprison.com/crime_rates_detailed_splash.asp?crime=263&crimename: Impersonation http://www.ic3.gov/media/2013/131125.aspx http://www.darkreading.com/attacks-breaches/financial-institution-call-centers-targated-by-social-engineers/d/d-id/1140947?
14 NOTLAR
15 NOTLAR
Securitas güvenlikte global bilgi lideridir. Uzman güvenlik hizmetlerinden, teknolojik çözümlere, danışmanlığa ve araştırmaya kadar uzanan geniş hizmet yelpazesinde; her iş ortağımızın özel ihtiyaçlarına uygun, en etkin güvenlik çözümlerini sunuyoruz. Küçük ve orta ölçekli işletmelerden, havalimanlarına kadar birçok alanda, 300.000 çalışanımızla hizmette fark yaratıyoruz. Securitas Güvenlik Hizmetleri A.Ş. Ceyhun Atıf Kansu Cad. 112/15-18 Balgat Ankara 0312 473 59 90 securitas.com.tr