Saldırgan Bakış Açısı ile Değer Yaratmak

Benzer belgeler
SOC unuz siber saldırılara hazır mı?

YENİ NESİL SİBER GÜVENLİK OPERASYON MERKEZİ (SGOM) Koruma, Tespit, Müdahale ve Tahmin. BARİKAT BİLİŞİM GÜVENLİĞİ Murat Hüseyin Candan Genel Müdür

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

Siber Güvenlikte Neler Oluyor? Hasan H. SUBAŞI KAMU SİBER GÜVENLİK DERNEĞİ GENEL SEKRETER

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

BİLGİ GÜVENLİĞİ FARKINDALIK EĞİTİMİ NASIL OLMALI? 28/04/2015 SUNA KÜÇÜKÇINAR İBRAHİM ÇALIŞIR / 9. ULAKNET ÇALIŞTAYI 2015 KUŞADASI - AYDIN 1

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Siber Güvenlik Hizmetleri Kataloğu

Mobil Güvenlik ve Denetim

Siber Güvenlik İş Gücü

GÖZETMEN İLE BAŞVURU FORMU DOLDURMA TALİMATI

Bilgi%Güvenliği%Temelleri

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

Gelişen Tehdit Ortamı ve Senaryolaştırma. İhsan Büyükuğur Garanti Bankası Teftiş Kurulu Program Yöneticisi - Teknoloji ve Kurum Dışı Riskleri

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

/pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ

Kaspersky Küçük ve Orta Ölçekli İşletmeler İçin Güvenlik

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

Web Uygulama Güvenliği Kontrol Listesi 2010

HIKIT ZARARLISI ANALİZİ. APT İncelemesi. Yasin SÜRER BOA Bilgi Teknolojileri ve Güvenliği

Sibergüvenlik Faaliyetleri

Bilgi Sistemlerinde Merkezi Kayıt Yönetimi ve Olay İlişkilendirme

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

Veritabanı Sızma Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

BASKI GÜVENLİĞİ ZORUNLULUĞU

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

Gelişmiş Siber Tehdidler (APT): Genel Bakış

Ajanda. Siber Tehditler Etkiler Karşılaşılan Zorluklar Çözüm Kaynakları

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

Tanımı Problemi 46 Şüpheci Yaklaşım 47 Tamsayı Taşması (Integer Overflow) 47 Tamsayı Taşması Java Uygulaması 48

Kurumsal Ağlarda Web Sistem Güvenliği

01 Şirket Profili

Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi

NGN ve VoIP Ağları Güvenlik Denetimi


Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

SOME niz SOC unuz} siber olaylara hazır mı? VOLKAN ERTÜRK C EO & C O F O U N D E R BARİKAT II : Güvenliğin Temelleri

VoIP Pentest NetSEC / Microso3 Türkiye Ozan UÇAR ozan.ucar@bga.com.tr

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi)

Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği

ADOBE FLASH PLAYER / CVE (Sıfırıncı Gün Zafiyeti)

HAVELSAN Siber Güvenlik Akademisi. Önlenemiyorsa Korunmak için Eğitim

Bilgi Güvenliği Açısından Sızma Testlerinin Önemi

APT Saldırıları Karşısında Güvenlik Sistemlerinin Yetersizliği

Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler

E-DEVLET ve SİBER GÜVENLİK: ULUSLARARASI DEĞERLENDİRME M.Yasir ŞENTÜRK ECE 581 1

Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın!

Bilgi Güvenliği Eğitim/Öğretimi

Siber Savaş Konseptleri. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

Finans Dünyasında Linux ve Özgür Yazılımlar

Saldırgan Yaklaşımı. Nebi Şenol YILMAZ Danışman / Yönetici Ortak senol.yilmaz@secrove.com. Secrove Information Security Consulting

AĞ ve SİSTEM GÜVENLİĞİ

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

SIZMA TESTİ EĞİTİMLERİ

Enerji, bankacılık, finans, telekomünikasyon gibi önemli sektörler Sinara Labs ile siber saldırılar a karşı güvende

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

İnternet Programcılığı

Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar. Fatih Özavcı Bilgi Güvenliği Danışmanı

ELEKTRONİK İMZALI BAŞVURU ARAYÜZÜ TALİMATI

Windows Temelli Zararlı Yazılımlarla Mücadele

Yöneticiler için Bilgi Güvenliği

Tansel ZENGİNLER IBM Veri Yönetimi Çözüm Mimarı Telefon: E-posta:

PENETRATION TESTING ( SIZMA TESTİ )

SİBER GÜVENLİK FARKINDALIĞI

VET ON KULLANIM KLAVUZU

SAĞLIK BAKANLIĞI RESMİ E-POSTA BAŞVURU ADIMLARI

SİBER GÜVENLİK HİZMETLERİ VE ÜRÜNLERİ.

Denetim Komitelerinin Gündemi & İç Denetimde Yeni Trendler

Bilgisayar Güvenliği Etik ve Gizlilik

Akıllı telefonlar, avuçiçi bilgisayarlar ile taşınabilir (cep) telefonların özelliklerini birleştiren cihazlardır. Akıllı telefonlar kullanıcıların

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Venatron Enterprise Security Services W: P: M:

BİLİŞİM SUÇLARI Hazırlayan: Okt. Dr. Ebru SOLMAZ

Ağ Trafik ve Forensik Analizi

Ders İçeriği

05 - Veritabanı Sızma Testleri

OKIRU/SATORI BOTU İNCELEMESİ

BİLİŞİM SİSTEMLERİ GÜVENLİĞİ EĞİTİM KATALOĞU (2015)

VERİ TABANI UYGULAMALARI

HP LaserJet M9040/9050 MFP Hızlı Başvuru Kılavuzu

Bilişim Uzayında Saldırılar. Prof. Dr. Eşref ADALI www. Adalı.net

ICMP Deyip Geçmeyin , A. Kadir Altan, kadiraltan-hotmail-com

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

Linux'ta Kabuk ve Kabuk Programlama

GELİŞMİŞ SİBER SİLAHLAR VE TESPİT YÖNTEMLERİ. Bahtiyar BİRCAN Uzman Araştırmacı Siber Güvenlik Enstitüsü

Zararlı Kodlar& Analiz Temelleri ve Bir Saldırının Anatomisi

Copyright 2012 EMC Corporation. All rights reserved.

ERİŞİM ENGELLEME DOS VE DDOS:

Acarix CD-DVD/Ağ üzerinden çalışan GNU/Linux Dağıtımı

Bilgi Güvenliği Farkındalık Eğitimi

Siber Savaş ve Terörizm Dr. Muhammet Baykara

KURUMSAL BİLGİ TEKNOLOJİLERİNDE PROFESYONEL ÇÖZÜMLER. i-gate E-DEFTER UYGULAMASI Bilgi Teknolojileri

Alparslan KULOĞLU. Pazarlama ve İş Geliştirme Direktörü BEWARE SİBER TEHDİTLERE BE AWARE HAZIR MIYIZ? 1/19

Kurumsal Veri Güvenliğinde Önemli Bir Adım: Veri Kaybını Önleme. Ramise KOÇAK Servet ÖZMEN Otokar Otomotiv ve Savunma A.Ş.

2 Temel Kavramlar (Devam) Veritabanı 1

DİJİTAL DELİLLERLE DERDİNİZİ ANLATIN!

Transkript:

Saldırgan Bakış Açısı ile Değer Yaratmak AYTEK YÜKSEL, BİLG. MÜH., MBA, CISA, O S C P, O P S T, C E H, T S E A Ğ V E W E B E-POSTA: aytek.yuksel@barikat.com.tr TWİT TER: @aytekyuksel 9.6.2015 9.6.2015-1

BELİRSİZLİK KORKU ŞÜPHE 9.6.2015-2

Savunma için gerekli bilgi saldırıdan gelir. 9.6.2015-3

Siber Saldırı Kategorizasyonu Temel Güvenlik Hataları Eski Açıklar ve Saldırı Teknikleri Yeni Açıklar ve Saldırı Teknikleri Karmaşık Saldırılar 9.6.2015-4

Temel Güvenlik Hataları Güvenlik ihlallerinin %60 ı, BT personelinin yaptığı hatalardan kaynaklanıyor. (Kaynak: Verizon DBIR 2015) Güvenlik ihlallerinin %71 i, temel hatalardan kaynaklanıyor. (Kaynak: IBM 2015) 9.6.2015-5

Temel Güvenlik Hataları - I Parola Kullanımı: Ön Tanımlı Parolalar Güvenli Olmayan Parolalar Şifrelenmeden Saklanan Parolalar Tekrar Eden Parolalar Örnek bir bulgu: Google da aşağıdaki aramayı yaptık: site:kurum.gov.tr ext:txt Karşımıza içinde parolalar olan bir dosya çıktı 9.6.2015-6

Temel Güvenlik Hataları - II Güvenli Olmayan Konfigürasyon: Dışarıya açık portlar Dışarıya açık yönetim arabirimleri Hatalı kullanıcı yetkileri Yetkilendirilmemiş dosya paylaşımları Yetkilendirilmemiş uzaktan yönetim arabirimleri Geçmişte yapılan işlemlerin erişilebilir olması En yetkili kullanıcı haklarıyla çalışan servisler Örnek bir bulgu: Yetkilendirilmemiş dosya paylaşımında bulunan komut geçmişinden parola elde ettik: 9.6.2015-7

Temel Güvenlik Hataları - III Unutulan Sistemler: Kullanım ömrünü doldurmuş sistemler Yenileneceği için özen gösterilmeyen sistemler Örnek bir bulgu: Artık eskisi kadar sık kullanılmayan bir sistem hacklenmiş, saldırgan bir arka kapı yerleştirmiş ve kimse fark etmemiş: 9.6.2015-8

Eski Açıklar ve Saldırı Teknikleri Veri sızıntılarının %99.9 unda bir yıldan eski açıklar istismar edildi. (Kaynak: Verizon DBIR 2015) Veri sızıntılarının %33.3 ünde Stuxnet le aynı açıklar istismar edildi. (Kaynak: HP Cyber Risk 2015) 9.6.2015-9

Eski Açıklar ve Saldırı Teknikleri Microsoft Açıkları: MS08-67 Güncel olmayan Linux Kernelleri Güncel olmayan İçerik Yönetim Sistemleri Diğer uygulamalar İstismar kodu her yerde mevcut... Örnek bir bulgu: CVE-2011-0923: Data Protector Veri yedekleme çözümü, Genellikle bir sunucuda varsa diğer sunucularda da oluyor. HD Moore Yasası: Sıradan bir saldırganın yetenekleri Metasploit te bulunan istismar kodlarının yetenekleri kadardır. 9.6.2015-10

Yeni Açıklar ve Saldırı Teknikleri Duyurulan açıklardan %50 si ilk dört hafta içinde istismar edilmeye başlanıyor. (Verizon DBIR 2015) 9.6.2015-11

Yeni Açıklar ve Saldırı Teknikleri ShellShock HeartBleed Ghost Örnek: MS15-034: HTTP.sys 14 Nisan 2015 te yayınlandı. IIS leri etkileyen bir uzaktan kod çalıştırma açığı Bu açığı kullanarak hizmet engelleme saldırısı gerçekleştiren istismar kodu mevcut 9.6.2015-12

Karmaşık Saldırılar Bir veya birden fazla yöntemin kullanıldığı, hedefi belli, iyi planlanmış otomatize edilmiş, uzun vadeli saldırılar. (APT) Stuxnet Equation Group Çok karmaşık olmayanları da var. Sızma testleri aslında bu durumun bir benzetimini gerçekleştirmeyi amaçlar. (Kaynak: Madiant APT-1) 9.6.2015-13

Fark etmiyoruz... Fark edilmesi en uzun süren saldırı, 6 yıl (2287 gün) sonra tespit edilmiş. (Mandiant M-Trends 2014) Sistemlere girilmesi ile durumun tespit edilmesi arasında ortalama 229 gün zaman geçiyor. (Mandiant M-Trends 2014) 9.6.2015-14

Fark etmiyoruz... 50 sızma testinin sadece 2 sinde, testten haberi olmayan kişiler güvenlik ihlalinden şüphelendi. 9.6.2015-15

Analiz: Temel Güvenlik Hataları Sorunun Kaynağı: İnsan Hataları Çözüm: Yetişmiş İnsan Gücü Metodoloji 9.6.2015-16

Analiz: Açıklar ve Saldırı Teknikleri Sorunun Kaynağı: Teknolojiyi İyi Kullanamama Çözüm: Yetişmiş İnsan Gücü Metodoloji Teknik Yol Arkadaşlığı 9.6.2015-17

Analiz: Saldırıyı Fark Etmeme Sorunun Kaynağı: İnsan Hataları Teknolojiyi İyi Kullanama Atıl/Eksik Süreçler Çözüm: İzleme Yetişmiş İnsan Gücü 9.6.2015-18

Analiz: Karmaşık Saldırılar Sorunun Kaynağı: İnsan Hataları Teknolojiyi İyi Kullanama Atıl/Eksik Süreçler Çözüm: Metodoloji Bütüncül Yaklaşım 9.6.2015-19

Sorun, Analiz ve Çözüm Sorun Kök Sebep Çözüm Temel Güvenlik Hataları Açıklar ve Saldırı Teknikleri Saldırı Fark Edememe Genellikle İnsan Genellikle Teknoloji Teknoloji + İnsan + Süreç Siber Güvenlik İş Gücü (SGİ) Barikat Güvenlik Kontrolleri (BGK) Siber Güvenlik İş Gücü (SGİ) Barikat Güvenlik Kontrolleri (BGK) Merkezi Gözlem Hizmeti (MGH) Siber Güvenlik Operasyon Merkezi (SGOM) Karmaşık Saldırılar Teknoloji + İnsan + Süreç Barikat Güvenlik Sistemi (BGS) Teknolojiler: Teknik Çözümler ve Danışmalık (Barikat Teknik Destek, SAM) Durum Değerlendirmesi: Güvenlik Analizi ve Denetimleri (Pro Hizmet) 9.6.2015-20

Sorularınız ve Önerileriniz 9.6.2015-21

Teşekkürler ÖZEL sorularınızı ve aklınıza gelen konuları çözüm masasında sorabilirsiniz. 9.6.2015 22

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim