SlideShare a Scribd company logo

BTRisk Yazılım Güvenliği Yönetimi Eğitimi

BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri

Yazılım Güvenliği Yönetimi Eğitimimiz aşağıdaki konu başlıklarını içermektedir: Güvenli Yazılım Geliştirme Modelleri -TOUCHPOINTS -Secure Development Lifecycle (Microsoft) -CLASP (Comprehensive, Lightweight Application Security Process) Risk Yönetimi Güvenlik Gereksinim Analizi Teknik Riskler Sızma Testi ve Statik Kod Analizi Güvenlik Operasyonu

Education
1 of 35
YAZILIM GÜVENLİĞİ YÖNETİMİ EĞİTİMİ blog.btrisk.com @btrisk /btrisktv /btrisk
BTRİSK HAKKINDA TANIŞMA Pentest & BT Denetimi ISO27001 Danışmanlık Hizmetleri BG Operasyon Hizmetleri
• Yazılım Geliştirme Yaşam Döngüsünü ve Hedeflerini Tanımlama • Güvenli Yazılım Geliştirme Süreci Model Örnekleri • Güvenli Yazılım Geliştirme Süreci İçindeki Aktivitelere Örnekler GÜNDEM
GRUP ÇALIŞMASI (15 dk. + 15 dk.) Yazılım geliştirme sürecinin aşamalarının tanımlanması Mevcut görevlerinize uygun olarak katılacağınız çalışma gruplarında eğitmenin atayacağı yazılım geliştirme sürecini aşağıdaki açılardan tanımlayınız: • Ne yapıyoruz? • Neden yapıyoruz? • Hangi niteliklere sahibiz? Yazılım Geliştirme Süreci
Yazılım Geliştirme Süreci SINIF TARTIŞMASI Yazılım güvenliği için yazılım geliştirme sürecinde uyguladığımız aktiviteler neler?
• Mevcut yazılım kalitesi ve yazılım güvenliği olgunluk düzeyi karşılaştırması • ‘Push to the Left’ yaklaşımı Yazılım Geliştirme Süreci
Güvenli Yazılım Geliştirme Süreci BİR ÜRÜN İÇİN PARA HARCAMADAN ÖNCE, HER ZAMAN HATIRLAYIN... Yazılım güvenliğinde bir Silver Bullet YOKTUR! (Gary McGraw)
Güvenli Yazılım Geliştirme Süreci TOUCHPOINTS • Gary McGraw tarafından geliştirilmiştir. • Software Security, Building Security In, Gary McGraw, 2006 - Not: Kitabın önsözünü Dan Geer yazmıştır. • Gary McGraw’ın Cigital isimli bir firması ve Silver Bullet Security Podcast’i bulunmaktadır. • McGraw aynı zamanda Fortify Software şirketinde Teknik Yönlendirme Komitesi üyesi idi.
Güvenli Yazılım Geliştirme Süreci TOUCHPOINTS *Şekil ‘Software Security (Gary McGraw)’ kitabından alınmıştır.
Güvenli Yazılım Geliştirme Süreci TOUCHPOINTS *Şekil ‘Software Security (Gary McGraw)’ kitabından alınmıştır.
Güvenli Yazılım Geliştirme Süreci TOUCHPOINTS Olumlu Yönler: • Pedagojik olarak en başarılı anlatıma sahip kavramsal olarak (ilk okunacak kaynak olabilir) • Yazılım Geliştirme Yaşam Döngüsü (YGYD) bağımsız (en esnek metod) Olumsuz Yönler: • Kavramsal anlatım olarak başarılı olmasına rağmen diğer metodlara nazaran kaynak ve netlik açılarından geride kalıyor.
Güvenli Yazılım Geliştirme Süreci Diğer Modeller Secure Development Lifecycle (Microsoft) From: Bill Gates Sent: Tuesday, January 15, 2002 5:22 PM To: Microsoft and Subsidiaries: All FTE Subject: Trustworthy computing ... However, even more important than any of these new capabilities is the fact that it is designed from the ground up to deliver Trustworthy Computing. What I mean by this is that customers will always be able to rely on these systems to be available and to secure their information. Trustworthy Computing is computing that is as available, reliable and secure as electricity, water services and telephony. ... I've spent the past few months working with Craig Mundie's group and others across the company to define what achieving Trustworthy Computing will entail, and to focus our efforts on building trust into every one of our products and services. ...
Güvenli Yazılım Geliştirme Süreci Diğer Modeller Secure Development Lifecycle (Microsoft) In the past, we've made our software and services more compelling for users by adding new features and functionality, and by making our platform richly extensible. We've done a terrific job at that, but all those great features won't matter unless customers trust our software. So now, when we face a choice between adding features and resolving security issues, we need to choose security. Our products should emphasize security right out of the box, and we must constantly refine and improve that security as threats evolve. A good example of this is the changes we made in Outlook to avoid email borne viruses. If we discover a risk that a feature could compromise someone's privacy, that problem gets solved first. If there is any way we can better protect important data and minimize downtime, we should focus on this. These principles should apply at every stage of the development cycle of every kind of software we create, from operating systems and desktop applications to global Web services. ... Bill
Güvenli Yazılım Geliştirme Süreci Diğer Modeller Secure Development Lifecycle (Microsoft) • Microsoft Security Technology Unit tarafından geliştirilmiştir. • The Security Development Lifecycle: SDL: A Process for Developing Demonstrably More Secure Software, Michael Howard, Steve Lipner, 2006
Güvenli Yazılım Geliştirme Süreci Diğer Modeller Secure Development Lifecycle (Microsoft) Stage 0: Education and Awareness Stage 1: Project Inception Stage 2: Define and Follow Design Best Practices Stage 3: Product Risk Assessment Stage 4: Risk Analysis Stage 5: Creating Security Documents, Tools, and Best Practices for Customers Stage 6: Secure Coding Policies Stage 7: Secure Testing Policies Stage 8: The Security Push Stage 9: The Final Security Review Stage 10: Security Response Planning Stage 11: Product Release Stage 12: Security Response Execution
Güvenli Yazılım Geliştirme Süreci Diğer Modeller Secure Development Lifecycle (Microsoft) Olumlu Yönler: • Kendi içinde çok tutarlı ve çok net bir metodoloji. • Microsoft’un dokümantasyonu içinde pratik uyarı ve etkili uygulama yöntemleri mevcut. • Kaynak olarak 3 metod arasında iyi konumda, ayrıca jenerik tehdit ağaç yapıları da mevcut. • Organizasyonel rolleri de net ve detaylı olarak açıklayarak güvenli YGYD açısından organizasyonun önemini net biçimde ifade ediyor.
Güvenli Yazılım Geliştirme Süreci Diğer Modeller Secure Development Lifecycle (Microsoft) Olumsuz Yönler: • Genel ve her kuruma yönelik bir metod değil, doğrudan Microsoft’un ihtiyaçlarına yönelik olarak geliştirilmiş. • Kaynaklar da yukarıda sayılan nedenle genellikle Microsoft ürünlerine yönelik (örneğin gerekli araç ve derleyici opsiyonları Microsoft teknolojilerine özel). Diğer Konular: • Yazılım güvenliği için süreç anlamında dahi bir gümüş mermi olmadığının çok net bir örneği. Microsoft için işe yaradığı kanıtlanmış ayrıca çok iyi dokümante edilmiş bir metodoloji olmakla birlikte her çözümün her kuruma uymayacağının anlaşılabilmesi için iyi bir kaynak.
Güvenli Yazılım Geliştirme Süreci Microsoft’un deneyiminden alınacak dersler: • Patron desteğinin önemi • Eğitimin önemi • Uzmanlığın önemi • Güvenlik otoritesinin önemi • Güvenliğin stratejik önemi
Güvenli Yazılım Geliştirme Süreci Diğer Modeller CLASP (Comprehensive, Lightweight Application Security Process)
Güvenli Yazılım Geliştirme Süreci Diğer Modeller CLASP (Comprehensive, Lightweight Application Security Process) • Secure Software tarafından geliştirildi ve OWASP projeleri arasına katılmıştır (2006). • 2007 yılında ciddi oranda değişikliğe uğramıştır. • Secure Software Fortify Software tarafından 2007 yılında satın alınmıştır.
Güvenli Yazılım Geliştirme Süreci Diğer Modeller CLASP (Comprehensive, Lightweight Application Security Process) • Kavram Bakışı • Rol Tabanlı Bakış • Aktivite Değerlendirme Bakışı • Aktivite Uygulama Bakışı • Açıklıklar Bakışı • Açıklık Kullanma Durumları • CLASP Kaynakları • Ve diğer dokümanlar (uygulama güvenlik sözlüğü, güvenlik prensipleri ve geliştirme aşamasındaki dokümanlar)
Güvenli Yazılım Geliştirme Süreci Diğer Modeller CLASP (Comprehensive, Lightweight Application Security Process) Olumlu Yönler: • Aktivite olarak en detaylı metod, ayrıca YGYD’nü en geniş anlamda ele alıyor. Örneğin kod imzalama, operasyonel ortamı tanımlama gibi aktiviteler kapsamında • Kapsamının genişliği ve genelliği (yani SDL gibi bir organizasyona özel olmaması) nedeniyle iyi bir güvenli YGYD denetimi aracı olabilir.Aktivite Değerlendirme dokümanı aktivitenin yapılması gereken sıklık, yerine getirilmemesi durumunda doğacak risklere ilişkin de bilgi vererek denetim çalışmasını destekliyor. • Rol odaklı olması uygulamak isteyen kurumlar için organizasyonel rolleri berlirleyebilmek için iyi bir özellik • Güncellemek zor olsa da yazılım açıklık türleri için bir veritabanına ve açıklık kullanım durumlarına sahip • Yeni uygulamalar ve eski uygulamalar için önerdiği aktivite listeleri mevcut
Güvenli Yazılım Geliştirme Süreci Diğer Modeller CLASP (Comprehensive, Lightweight Application Security Process) Olumsuz Yönler: • Metod parçaları (kavram, rol, aktivite, açıklık bakış açıları) arasındaki bağlantı yapılmaya çalışılmış olsa da çok net değil. Bu nedenle kavranması zor bir metod. • Esnekmiş gibi görünmekle birlikte çok detaylı olması nedeniyle (örneğin rol ve aktivite sayısı olarak) aslında kuruma özelleştirme konusunda daha fazla çalışma ihtiyacı var. Diğer Konular: • Rol odaklı bir metod, yani aktiviteler ilk olarak rollerle haritalanmış durumda, bu şekilde esnekliği sağlamak hedeflenmiş
Güvenli Yazılım Geliştirme Süreci CLASP deneyiminden alınacak dersler: • Pratiklik ve basitlik ihtiyacı • Teknik konular çabuk eskir, o yüzden anayasaya girmemelidir
Güvenli Yazılım Geliştirme Süreci Güvenli yazılım geliştirme sürecine nasıl geçebiliriz? TOUCHPOINTS Yaklaşımı • Hangisini yaparsan yap • Hangi sırada yapmaya başlarsan başla
Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: RİSK YÖNETİMİ GRUP ÇALIŞMASI (10 dk. + 10 dk.) • Yazılım risk kriterleri neler olabilir? • Hangi seviyeye hangi güvenli yazılım geliştirme aktivitelerini uygulayabiliriz?
Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: BİLGİ BİRİKİMİ GRUP ÇALIŞMASI (10 dk. + 10 dk.) • Yazılım güvenliği ile ilgili hangi bilgileri toplayabiliriz? • Bu bilgileri kimlere ve nasıl aktarabiliriz?
Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: AKTİVİTELER (Kötüye Kullanım) GRUP ÇALIŞMASI (10 dk. + 10 dk.) • Aşağıdaki fonksiyonlar nasıl kötüye kullanılabilir ve hangi önlemleri alabiliriz? • Mesaj gönderme • Kredi kartı borç ödeme • Login fonksiyonu • Dosya yükleme • Müşteri bilgileri görüntüleme • Yorum ekleme (ör: internette yayınlanan bir makaleye)
Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: AKTİVİTELER (Güvenlik Gereksinim Analizi) GRUP ÇALIŞMASI (10 dk. + 10 dk.) • Bir internet şubesi uygulamasında hangi güvenlik fonksiyon gereksinimlerimiz olabilir?
Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: AKTİVİTELER (Teknik Riskler) GRUP ÇALIŞMASI (10 dk. + 10 dk.) • Bildiğiniz masaüstü, mobil ve web uygulamalarını tehdit eden teknik riskler nelerdir? • Bu risklere karşı hangi önlemler alınabilir?
Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: AKTİVİTELER (Teknik Riskler) • Erişim kontrol açıklıkları • Parola politikası • Doğrudan nesne erişim açıklıkları • Oturum yönetim açıklıkları • Veri sızma açıklıkları • SQL, XPATH, SOAP, Command, v.d. Injection açıklıkları • Cross Site Scripting (XSS) • Cross Site Request Forgery (CSRF) • Redirect Açıklıkları • İstemci üzerinde kalan hassas bilgiler
Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: AKTİVİTELER (Sızma Testi ve Statik Kod Analizi) SINIF TARTIŞMASI (20 dk.) • Sızma testinin amaç ve koşulları nelerdir? • Statik kod analizinin amaç ve koşulları nelerdir? • Sızma testinde ve statik kod analizinde manuel ve otomatik yöntemler hangi oranda kullanılabilir? • Sızma testinin ve statik kod analizinin dezavantajları nelerdir?
Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: AKTİVİTELER (Güvenlik Operasyonu) SINIF TARTIŞMASI (15 dk.) • Yazılım güvenlik operasyonu için hangi araç ve yöntemleri kullanabiliriz? • Yaşanan ihlallerin tekrar edilmemesi için nasıl bir iyileştirme yapmalıyız, bu iyileştirmelerin sürekliliği ve kalıcılığı için nasıl bir yönetim süreci uygulayabiliriz?
BİREYSEL EGZERSİZ (5 dk. + 10 dk.) Bugünkü çalışmadan (varsa) edindiğiniz en değerli olduğunu düşündüğünüz fikir, değerlendirme, deneyim, v.b. nedir? Kapanış Değerlendirmesi
blog.btrisk.com @btrisk /btrisktv /btrisk

Recommended

BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİFerhat CAMGÖZ
 
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİFerhat CAMGÖZ
 
Microsoft Operations Management Suite Overview
Microsoft Operations Management Suite OverviewMicrosoft Operations Management Suite Overview
Microsoft Operations Management Suite OverviewBGA Cyber Security
 
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim
 

Recommended

BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİFerhat CAMGÖZ
 
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİFerhat CAMGÖZ
 
Microsoft Operations Management Suite Overview
Microsoft Operations Management Suite OverviewMicrosoft Operations Management Suite Overview
Microsoft Operations Management Suite OverviewBGA Cyber Security
 
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim
 
Mercure
MercureMercure
MercureNooshafarin Mir-Abdollahi
 
Biznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim
 
Securiskop
SecuriskopSecuriskop
SecuriskopNooshafarin Mir-Abdollahi
 
EREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri KataloguEREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri KataloguEREACADEMY
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
 
Inc 15 Scada Cyber Security
Inc 15 Scada Cyber SecurityInc 15 Scada Cyber Security
Inc 15 Scada Cyber SecurityBGA Cyber Security
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiBTYÖN Danışmanlık
 
Biznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin KorunmasıBiznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin KorunmasıBiznet Bilişim
 
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiİstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiBGA Cyber Security
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC KurulumuBGA Cyber Security
 
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKasım Erkan
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıBilgiO A.S / Linux Akademi
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Alperen Albayrak
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiSparta Bilişim
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
 
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka KapılarSiber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka KapılarBGA Cyber Security
 
BTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi EğitimiBTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplamaBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 

More Related Content

What's hot

Biznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim
 
EREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri KataloguEREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri KataloguEREACADEMY
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiBTYÖN Danışmanlık
 
Biznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin KorunmasıBiznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin KorunmasıBiznet Bilişim
 
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiİstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiBGA Cyber Security
 
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKasım Erkan
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıBilgiO A.S / Linux Akademi
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiSparta Bilişim
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
 
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka KapılarSiber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka KapılarBGA Cyber Security
 

What's hot (19)

Mercure
MercureMercure
Mercure
 
Biznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod Geliştirme
 
Securiskop
SecuriskopSecuriskop
Securiskop
 
EREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri KataloguEREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri Katalogu
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
Inc 15 Scada Cyber Security
Inc 15 Scada Cyber SecurityInc 15 Scada Cyber Security
Inc 15 Scada Cyber Security
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
 
Biznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin KorunmasıBiznet - Kişisel Verilerin Korunması
Biznet - Kişisel Verilerin Korunması
 
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiİstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyetiKayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
Kayra Otaner - DevOps ile siber saldırılar karşısında 360 derece alan hakimiyeti
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
 
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka KapılarSiber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
 

Viewers also liked

Siber Olaylara Müdahale Sunumu
Siber Olaylara Müdahale SunumuSiber Olaylara Müdahale Sunumu
Siber Olaylara Müdahale SunumuBGA Cyber Security
 
Güvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya KurtarmaGüvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya KurtarmaBGA Cyber Security
 
Güvenli Yazılım Geliştirmede Dosya Yükleme
Güvenli Yazılım Geliştirmede Dosya YüklemeGüvenli Yazılım Geliştirmede Dosya Yükleme
Güvenli Yazılım Geliştirmede Dosya YüklemeBGA Cyber Security
 
APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
APT Saldırıları Karşısında Güvenlik Sistemlerin YetersiziliğiAPT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
APT Saldırıları Karşısında Güvenlik Sistemlerin YetersiziliğiBGA Cyber Security
 
Temel Cisco Komutlari Ve Ornekler
Temel Cisco Komutlari Ve OrneklerTemel Cisco Komutlari Ve Ornekler
Temel Cisco Komutlari Ve OrneklerAbdurrahman ALKAN
 
Android İşletim Sistemi
Android İşletim SistemiAndroid İşletim Sistemi
Android İşletim Sistemi_aerdeger
 
Her yönüyle linux sistem ve network güvenliği
Her yönüyle linux sistem ve network güvenliğiHer yönüyle linux sistem ve network güvenliği
Her yönüyle linux sistem ve network güvenliğiAhmet Han
 

Viewers also liked (20)

BTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi EğitimiBTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi Eğitimi
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi Sunumu
 
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplama
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
 
Unix Denetim Dokümanı
Unix Denetim DokümanıUnix Denetim Dokümanı
Unix Denetim Dokümanı
 
BTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme SunumuBTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme Sunumu
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
 
Siber Olaylara Müdahale Sunumu
Siber Olaylara Müdahale SunumuSiber Olaylara Müdahale Sunumu
Siber Olaylara Müdahale Sunumu
 
Android Uygulamaların Tersine Mühendislik Yöntemi ile İncelenmesi
Android Uygulamaların Tersine Mühendislik Yöntemi ile İncelenmesiAndroid Uygulamaların Tersine Mühendislik Yöntemi ile İncelenmesi
Android Uygulamaların Tersine Mühendislik Yöntemi ile İncelenmesi
 
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi EğitimiBTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
 
Kali Linux Hakkında Herşey
Kali Linux Hakkında HerşeyKali Linux Hakkında Herşey
Kali Linux Hakkında Herşey
 
Güvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya KurtarmaGüvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya Kurtarma
 
Güvenli Yazılım Geliştirmede Dosya Yükleme
Güvenli Yazılım Geliştirmede Dosya YüklemeGüvenli Yazılım Geliştirmede Dosya Yükleme
Güvenli Yazılım Geliştirmede Dosya Yükleme
 
APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
APT Saldırıları Karşısında Güvenlik Sistemlerin YetersiziliğiAPT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
 
Temel Cisco Komutlari Ve Ornekler
Temel Cisco Komutlari Ve OrneklerTemel Cisco Komutlari Ve Ornekler
Temel Cisco Komutlari Ve Ornekler
 
Android İşletim Sistemi
Android İşletim SistemiAndroid İşletim Sistemi
Android İşletim Sistemi
 
Temel bilgisayar
Temel bilgisayarTemel bilgisayar
Temel bilgisayar
 
Network Dersleri3
Network Dersleri3Network Dersleri3
Network Dersleri3
 
Linux101
Linux101Linux101
Linux101
 
Her yönüyle linux sistem ve network güvenliği
Her yönüyle linux sistem ve network güvenliğiHer yönüyle linux sistem ve network güvenliği
Her yönüyle linux sistem ve network güvenliği
 

Similar to BTRisk Yazılım Güvenliği Yönetimi Eğitimi

Yazılım mimarisi yazılım müh.
Yazılım mimarisi yazılım müh.Yazılım mimarisi yazılım müh.
Yazılım mimarisi yazılım müh.Hüseyin Örer
 
İTÜ İşletme Fakültesi - E-ticarette Yazılım ve Altyapı
İTÜ İşletme Fakültesi - E-ticarette Yazılım ve AltyapıİTÜ İşletme Fakültesi - E-ticarette Yazılım ve Altyapı
İTÜ İşletme Fakültesi - E-ticarette Yazılım ve AltyapıMurat Kader
 
Sge Technology (SGE Teknoloji Tanıtım Sunumu)
Sge Technology (SGE Teknoloji Tanıtım Sunumu)Sge Technology (SGE Teknoloji Tanıtım Sunumu)
Sge Technology (SGE Teknoloji Tanıtım Sunumu)SGE Technology
 
Analist Eğitimi - Tüm Bölümler - [535 Slides]
Analist Eğitimi - Tüm Bölümler - [535 Slides]Analist Eğitimi - Tüm Bölümler - [535 Slides]
Analist Eğitimi - Tüm Bölümler - [535 Slides]Erol Bozkurt
 
Yazılım kalitesi ve Standartları
Yazılım kalitesi ve Standartları Yazılım kalitesi ve Standartları
Yazılım kalitesi ve Standartları İbrahim ATAY
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIAhmet Pekel
 
Engin Ezer Dinamikler 2016
Engin Ezer Dinamikler 2016Engin Ezer Dinamikler 2016
Engin Ezer Dinamikler 2016Dinamikler
 
GDO'suz Yazılım Geliştirme Teknikleri
GDO'suz Yazılım Geliştirme TeknikleriGDO'suz Yazılım Geliştirme Teknikleri
GDO'suz Yazılım Geliştirme TeknikleriLemi Orhan Ergin
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
E-ticarette Yazılım ve Altyapı
E-ticarette Yazılım ve AltyapıE-ticarette Yazılım ve Altyapı
E-ticarette Yazılım ve AltyapıMurat Kader
 
Yazılım kalitesi ve Standartlar
Yazılım kalitesi ve StandartlarYazılım kalitesi ve Standartlar
Yazılım kalitesi ve Standartlarİbrahim ATAY
 
JİRA'ya Giriş / Atlassian
JİRA'ya Giriş / AtlassianJİRA'ya Giriş / Atlassian
JİRA'ya Giriş / AtlassianCansu Kaya
 
789 yazilim360egitimleri2014
789 yazilim360egitimleri2014789 yazilim360egitimleri2014
789 yazilim360egitimleri2014yunus yiğit
 
Software development life cycle yazılım geliştirme yaşam döngüsü
Software development life cycle yazılım geliştirme yaşam döngüsüSoftware development life cycle yazılım geliştirme yaşam döngüsü
Software development life cycle yazılım geliştirme yaşam döngüsüMesut Günes
 
Yazılım Mimarileri - Yazılım Geliştirme Modelleri
Yazılım Mimarileri - Yazılım Geliştirme ModelleriYazılım Mimarileri - Yazılım Geliştirme Modelleri
Yazılım Mimarileri - Yazılım Geliştirme ModelleriKubra Kose
 

Similar to BTRisk Yazılım Güvenliği Yönetimi Eğitimi (20)

Yazılım mimarisi yazılım müh.
Yazılım mimarisi yazılım müh.Yazılım mimarisi yazılım müh.
Yazılım mimarisi yazılım müh.
 
İTÜ İşletme Fakültesi - E-ticarette Yazılım ve Altyapı
İTÜ İşletme Fakültesi - E-ticarette Yazılım ve AltyapıİTÜ İşletme Fakültesi - E-ticarette Yazılım ve Altyapı
İTÜ İşletme Fakültesi - E-ticarette Yazılım ve Altyapı
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..
 
Sge Technology (SGE Teknoloji Tanıtım Sunumu)
Sge Technology (SGE Teknoloji Tanıtım Sunumu)Sge Technology (SGE Teknoloji Tanıtım Sunumu)
Sge Technology (SGE Teknoloji Tanıtım Sunumu)
 
Analist Eğitimi - Tüm Bölümler - [535 Slides]
Analist Eğitimi - Tüm Bölümler - [535 Slides]Analist Eğitimi - Tüm Bölümler - [535 Slides]
Analist Eğitimi - Tüm Bölümler - [535 Slides]
 
Sunum tdd
Sunum tddSunum tdd
Sunum tdd
 
Cevik Yaklasim, Scrum ve XP Pratikleri
Cevik Yaklasim, Scrum ve XP PratikleriCevik Yaklasim, Scrum ve XP Pratikleri
Cevik Yaklasim, Scrum ve XP Pratikleri
 
Yazılım kalitesi ve Standartları
Yazılım kalitesi ve Standartları Yazılım kalitesi ve Standartları
Yazılım kalitesi ve Standartları
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGI
 
Engin Ezer Dinamikler 2016
Engin Ezer Dinamikler 2016Engin Ezer Dinamikler 2016
Engin Ezer Dinamikler 2016
 
GDO'suz Yazılım Geliştirme Teknikleri
GDO'suz Yazılım Geliştirme TeknikleriGDO'suz Yazılım Geliştirme Teknikleri
GDO'suz Yazılım Geliştirme Teknikleri
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
E-ticarette Yazılım ve Altyapı
E-ticarette Yazılım ve AltyapıE-ticarette Yazılım ve Altyapı
E-ticarette Yazılım ve Altyapı
 
Yazılım kalitesi ve Standartlar
Yazılım kalitesi ve StandartlarYazılım kalitesi ve Standartlar
Yazılım kalitesi ve Standartlar
 
JİRA'ya Giriş / Atlassian
JİRA'ya Giriş / AtlassianJİRA'ya Giriş / Atlassian
JİRA'ya Giriş / Atlassian
 
789 yazilim360egitimleri2014
789 yazilim360egitimleri2014789 yazilim360egitimleri2014
789 yazilim360egitimleri2014
 
MART - www.martgeldi.com - Lego Scrum Simülasyonu Eğitimi
MART - www.martgeldi.com - Lego Scrum Simülasyonu EğitimiMART - www.martgeldi.com - Lego Scrum Simülasyonu Eğitimi
MART - www.martgeldi.com - Lego Scrum Simülasyonu Eğitimi
 
Software development life cycle yazılım geliştirme yaşam döngüsü
Software development life cycle yazılım geliştirme yaşam döngüsüSoftware development life cycle yazılım geliştirme yaşam döngüsü
Software development life cycle yazılım geliştirme yaşam döngüsü
 
Yazılım Mimarileri - Yazılım Geliştirme Modelleri
Yazılım Mimarileri - Yazılım Geliştirme ModelleriYazılım Mimarileri - Yazılım Geliştirme Modelleri
Yazılım Mimarileri - Yazılım Geliştirme Modelleri
 

More from BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri

More from BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri (13)

Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 
Yazıcı Güvenliği
Yazıcı GüvenliğiYazıcı Güvenliği
Yazıcı Güvenliği
 
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
BTRİSK Web Uygulama Güvenliği Denetimi EğitimiBTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
BTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
 
Jmeter ile uygulama katmanında yük testi gerçekleştirme
Jmeter ile uygulama katmanında yük testi gerçekleştirmeJmeter ile uygulama katmanında yük testi gerçekleştirme
Jmeter ile uygulama katmanında yük testi gerçekleştirme
 

BTRisk Yazılım Güvenliği Yönetimi Eğitimi

  • 2. BTRİSK HAKKINDA TANIŞMA Pentest & BT Denetimi ISO27001 Danışmanlık Hizmetleri BG Operasyon Hizmetleri
  • 3. • Yazılım Geliştirme Yaşam Döngüsünü ve Hedeflerini Tanımlama • Güvenli Yazılım Geliştirme Süreci Model Örnekleri • Güvenli Yazılım Geliştirme Süreci İçindeki Aktivitelere Örnekler GÜNDEM
  • 4. GRUP ÇALIŞMASI (15 dk. + 15 dk.) Yazılım geliştirme sürecinin aşamalarının tanımlanması Mevcut görevlerinize uygun olarak katılacağınız çalışma gruplarında eğitmenin atayacağı yazılım geliştirme sürecini aşağıdaki açılardan tanımlayınız: • Ne yapıyoruz? • Neden yapıyoruz? • Hangi niteliklere sahibiz? Yazılım Geliştirme Süreci
  • 5. Yazılım Geliştirme Süreci SINIF TARTIŞMASI Yazılım güvenliği için yazılım geliştirme sürecinde uyguladığımız aktiviteler neler?
  • 6. • Mevcut yazılım kalitesi ve yazılım güvenliği olgunluk düzeyi karşılaştırması • ‘Push to the Left’ yaklaşımı Yazılım Geliştirme Süreci
  • 7. Güvenli Yazılım Geliştirme Süreci BİR ÜRÜN İÇİN PARA HARCAMADAN ÖNCE, HER ZAMAN HATIRLAYIN... Yazılım güvenliğinde bir Silver Bullet YOKTUR! (Gary McGraw)
  • 8. Güvenli Yazılım Geliştirme Süreci TOUCHPOINTS • Gary McGraw tarafından geliştirilmiştir. • Software Security, Building Security In, Gary McGraw, 2006 - Not: Kitabın önsözünü Dan Geer yazmıştır. • Gary McGraw’ın Cigital isimli bir firması ve Silver Bullet Security Podcast’i bulunmaktadır. • McGraw aynı zamanda Fortify Software şirketinde Teknik Yönlendirme Komitesi üyesi idi.
  • 9. Güvenli Yazılım Geliştirme Süreci TOUCHPOINTS *Şekil ‘Software Security (Gary McGraw)’ kitabından alınmıştır.
  • 10. Güvenli Yazılım Geliştirme Süreci TOUCHPOINTS *Şekil ‘Software Security (Gary McGraw)’ kitabından alınmıştır.
  • 11. Güvenli Yazılım Geliştirme Süreci TOUCHPOINTS Olumlu Yönler: • Pedagojik olarak en başarılı anlatıma sahip kavramsal olarak (ilk okunacak kaynak olabilir) • Yazılım Geliştirme Yaşam Döngüsü (YGYD) bağımsız (en esnek metod) Olumsuz Yönler: • Kavramsal anlatım olarak başarılı olmasına rağmen diğer metodlara nazaran kaynak ve netlik açılarından geride kalıyor.
  • 12. Güvenli Yazılım Geliştirme Süreci Diğer Modeller Secure Development Lifecycle (Microsoft) From: Bill Gates Sent: Tuesday, January 15, 2002 5:22 PM To: Microsoft and Subsidiaries: All FTE Subject: Trustworthy computing ... However, even more important than any of these new capabilities is the fact that it is designed from the ground up to deliver Trustworthy Computing. What I mean by this is that customers will always be able to rely on these systems to be available and to secure their information. Trustworthy Computing is computing that is as available, reliable and secure as electricity, water services and telephony. ... I've spent the past few months working with Craig Mundie's group and others across the company to define what achieving Trustworthy Computing will entail, and to focus our efforts on building trust into every one of our products and services. ...
  • 13. Güvenli Yazılım Geliştirme Süreci Diğer Modeller Secure Development Lifecycle (Microsoft) In the past, we've made our software and services more compelling for users by adding new features and functionality, and by making our platform richly extensible. We've done a terrific job at that, but all those great features won't matter unless customers trust our software. So now, when we face a choice between adding features and resolving security issues, we need to choose security. Our products should emphasize security right out of the box, and we must constantly refine and improve that security as threats evolve. A good example of this is the changes we made in Outlook to avoid email borne viruses. If we discover a risk that a feature could compromise someone's privacy, that problem gets solved first. If there is any way we can better protect important data and minimize downtime, we should focus on this. These principles should apply at every stage of the development cycle of every kind of software we create, from operating systems and desktop applications to global Web services. ... Bill
  • 14. Güvenli Yazılım Geliştirme Süreci Diğer Modeller Secure Development Lifecycle (Microsoft) • Microsoft Security Technology Unit tarafından geliştirilmiştir. • The Security Development Lifecycle: SDL: A Process for Developing Demonstrably More Secure Software, Michael Howard, Steve Lipner, 2006
  • 15. Güvenli Yazılım Geliştirme Süreci Diğer Modeller Secure Development Lifecycle (Microsoft) Stage 0: Education and Awareness Stage 1: Project Inception Stage 2: Define and Follow Design Best Practices Stage 3: Product Risk Assessment Stage 4: Risk Analysis Stage 5: Creating Security Documents, Tools, and Best Practices for Customers Stage 6: Secure Coding Policies Stage 7: Secure Testing Policies Stage 8: The Security Push Stage 9: The Final Security Review Stage 10: Security Response Planning Stage 11: Product Release Stage 12: Security Response Execution
  • 16. Güvenli Yazılım Geliştirme Süreci Diğer Modeller Secure Development Lifecycle (Microsoft) Olumlu Yönler: • Kendi içinde çok tutarlı ve çok net bir metodoloji. • Microsoft’un dokümantasyonu içinde pratik uyarı ve etkili uygulama yöntemleri mevcut. • Kaynak olarak 3 metod arasında iyi konumda, ayrıca jenerik tehdit ağaç yapıları da mevcut. • Organizasyonel rolleri de net ve detaylı olarak açıklayarak güvenli YGYD açısından organizasyonun önemini net biçimde ifade ediyor.
  • 17. Güvenli Yazılım Geliştirme Süreci Diğer Modeller Secure Development Lifecycle (Microsoft) Olumsuz Yönler: • Genel ve her kuruma yönelik bir metod değil, doğrudan Microsoft’un ihtiyaçlarına yönelik olarak geliştirilmiş. • Kaynaklar da yukarıda sayılan nedenle genellikle Microsoft ürünlerine yönelik (örneğin gerekli araç ve derleyici opsiyonları Microsoft teknolojilerine özel). Diğer Konular: • Yazılım güvenliği için süreç anlamında dahi bir gümüş mermi olmadığının çok net bir örneği. Microsoft için işe yaradığı kanıtlanmış ayrıca çok iyi dokümante edilmiş bir metodoloji olmakla birlikte her çözümün her kuruma uymayacağının anlaşılabilmesi için iyi bir kaynak.
  • 18. Güvenli Yazılım Geliştirme Süreci Microsoft’un deneyiminden alınacak dersler: • Patron desteğinin önemi • Eğitimin önemi • Uzmanlığın önemi • Güvenlik otoritesinin önemi • Güvenliğin stratejik önemi
  • 19. Güvenli Yazılım Geliştirme Süreci Diğer Modeller CLASP (Comprehensive, Lightweight Application Security Process)
  • 20. Güvenli Yazılım Geliştirme Süreci Diğer Modeller CLASP (Comprehensive, Lightweight Application Security Process) • Secure Software tarafından geliştirildi ve OWASP projeleri arasına katılmıştır (2006). • 2007 yılında ciddi oranda değişikliğe uğramıştır. • Secure Software Fortify Software tarafından 2007 yılında satın alınmıştır.
  • 21. Güvenli Yazılım Geliştirme Süreci Diğer Modeller CLASP (Comprehensive, Lightweight Application Security Process) • Kavram Bakışı • Rol Tabanlı Bakış • Aktivite Değerlendirme Bakışı • Aktivite Uygulama Bakışı • Açıklıklar Bakışı • Açıklık Kullanma Durumları • CLASP Kaynakları • Ve diğer dokümanlar (uygulama güvenlik sözlüğü, güvenlik prensipleri ve geliştirme aşamasındaki dokümanlar)
  • 22. Güvenli Yazılım Geliştirme Süreci Diğer Modeller CLASP (Comprehensive, Lightweight Application Security Process) Olumlu Yönler: • Aktivite olarak en detaylı metod, ayrıca YGYD’nü en geniş anlamda ele alıyor. Örneğin kod imzalama, operasyonel ortamı tanımlama gibi aktiviteler kapsamında • Kapsamının genişliği ve genelliği (yani SDL gibi bir organizasyona özel olmaması) nedeniyle iyi bir güvenli YGYD denetimi aracı olabilir.Aktivite Değerlendirme dokümanı aktivitenin yapılması gereken sıklık, yerine getirilmemesi durumunda doğacak risklere ilişkin de bilgi vererek denetim çalışmasını destekliyor. • Rol odaklı olması uygulamak isteyen kurumlar için organizasyonel rolleri berlirleyebilmek için iyi bir özellik • Güncellemek zor olsa da yazılım açıklık türleri için bir veritabanına ve açıklık kullanım durumlarına sahip • Yeni uygulamalar ve eski uygulamalar için önerdiği aktivite listeleri mevcut
  • 23. Güvenli Yazılım Geliştirme Süreci Diğer Modeller CLASP (Comprehensive, Lightweight Application Security Process) Olumsuz Yönler: • Metod parçaları (kavram, rol, aktivite, açıklık bakış açıları) arasındaki bağlantı yapılmaya çalışılmış olsa da çok net değil. Bu nedenle kavranması zor bir metod. • Esnekmiş gibi görünmekle birlikte çok detaylı olması nedeniyle (örneğin rol ve aktivite sayısı olarak) aslında kuruma özelleştirme konusunda daha fazla çalışma ihtiyacı var. Diğer Konular: • Rol odaklı bir metod, yani aktiviteler ilk olarak rollerle haritalanmış durumda, bu şekilde esnekliği sağlamak hedeflenmiş
  • 24. Güvenli Yazılım Geliştirme Süreci CLASP deneyiminden alınacak dersler: • Pratiklik ve basitlik ihtiyacı • Teknik konular çabuk eskir, o yüzden anayasaya girmemelidir
  • 25. Güvenli Yazılım Geliştirme Süreci Güvenli yazılım geliştirme sürecine nasıl geçebiliriz? TOUCHPOINTS Yaklaşımı • Hangisini yaparsan yap • Hangi sırada yapmaya başlarsan başla
  • 26. Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: RİSK YÖNETİMİ GRUP ÇALIŞMASI (10 dk. + 10 dk.) • Yazılım risk kriterleri neler olabilir? • Hangi seviyeye hangi güvenli yazılım geliştirme aktivitelerini uygulayabiliriz?
  • 27. Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: BİLGİ BİRİKİMİ GRUP ÇALIŞMASI (10 dk. + 10 dk.) • Yazılım güvenliği ile ilgili hangi bilgileri toplayabiliriz? • Bu bilgileri kimlere ve nasıl aktarabiliriz?
  • 28. Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: AKTİVİTELER (Kötüye Kullanım) GRUP ÇALIŞMASI (10 dk. + 10 dk.) • Aşağıdaki fonksiyonlar nasıl kötüye kullanılabilir ve hangi önlemleri alabiliriz? • Mesaj gönderme • Kredi kartı borç ödeme • Login fonksiyonu • Dosya yükleme • Müşteri bilgileri görüntüleme • Yorum ekleme (ör: internette yayınlanan bir makaleye)
  • 29. Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: AKTİVİTELER (Güvenlik Gereksinim Analizi) GRUP ÇALIŞMASI (10 dk. + 10 dk.) • Bir internet şubesi uygulamasında hangi güvenlik fonksiyon gereksinimlerimiz olabilir?
  • 30. Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: AKTİVİTELER (Teknik Riskler) GRUP ÇALIŞMASI (10 dk. + 10 dk.) • Bildiğiniz masaüstü, mobil ve web uygulamalarını tehdit eden teknik riskler nelerdir? • Bu risklere karşı hangi önlemler alınabilir?
  • 31. Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: AKTİVİTELER (Teknik Riskler) • Erişim kontrol açıklıkları • Parola politikası • Doğrudan nesne erişim açıklıkları • Oturum yönetim açıklıkları • Veri sızma açıklıkları • SQL, XPATH, SOAP, Command, v.d. Injection açıklıkları • Cross Site Scripting (XSS) • Cross Site Request Forgery (CSRF) • Redirect Açıklıkları • İstemci üzerinde kalan hassas bilgiler
  • 32. Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: AKTİVİTELER (Sızma Testi ve Statik Kod Analizi) SINIF TARTIŞMASI (20 dk.) • Sızma testinin amaç ve koşulları nelerdir? • Statik kod analizinin amaç ve koşulları nelerdir? • Sızma testinde ve statik kod analizinde manuel ve otomatik yöntemler hangi oranda kullanılabilir? • Sızma testinin ve statik kod analizinin dezavantajları nelerdir?
  • 33. Güvenli Yazılım Geliştirme Sürecini Deneyimleyelim Genel Çerçeve: AKTİVİTELER (Güvenlik Operasyonu) SINIF TARTIŞMASI (15 dk.) • Yazılım güvenlik operasyonu için hangi araç ve yöntemleri kullanabiliriz? • Yaşanan ihlallerin tekrar edilmemesi için nasıl bir iyileştirme yapmalıyız, bu iyileştirmelerin sürekliliği ve kalıcılığı için nasıl bir yönetim süreci uygulayabiliriz?
  • 34. BİREYSEL EGZERSİZ (5 dk. + 10 dk.) Bugünkü çalışmadan (varsa) edindiğiniz en değerli olduğunu düşündüğünüz fikir, değerlendirme, deneyim, v.b. nedir? Kapanış Değerlendirmesi