SlideShare a Scribd company logo

Cuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi

Cüneyd Uzun
Cüneyd Uzun

-Cybersecurity in financial services: PwC -SWIFT CEO warns: Expect more hacking attacks -Lloyd City Risk Index -Secure SDLC -Security by design -PwC Economic Crime Survey

Engineering
1 of 21
Dijital Dünyada Siber Risk Yönetimi Cüneyd Uzun
Teknoloji Devrimi • Dijital Ekonomi (Endustri 4.0) • Buhar enerjisi-üretim hattı-BT sistemleri • PC→ Internet → Sosyal Medya & E-Ticaret →IoT • IoT → 11 tr $ in 2025 • Teknoloji «İnsan»ın yerini alıyor • Akıllı Şehirler & Evler • Optimize & Otomotize Endustri • Giyilebilir Teknoloji • Lojistik & Navigasyon
University of Cambridge - Coffee http://www.bbc.com/news/technology-20439301
Lloyd City Risk Index • 2015 → 2025 • Avarage Annual GDP • $37.26trn • Total GDP @risk $4.56trn (18 Threats) • Siber Ataklar • 301 Şehir $294.15bn • Istanbul $2.31bn • Ekonomik Suçlar * PwC Survey • 2-Siber Suçlar %32
PwC Economic Crime Survey
Siber Risklerden doğan Finansal Riskler : FACC AG ve LEONI AG • Ocak 2016 : CEO ‘dan geliyormuş izlenimi ile finans birimine bir eposta gönderilir • Epostada sahte CEO, firmanın Çin’deki satın almasıyla ilgili bir dizi para transferi yapılmasını ister. • Finans birimi toplam 50Milyon € tutarındaki transferleri gerçekleştirir. • Şubat 2016: Bu olay nedeniyle transferi gerçekleştiren ilgili çalışan, çalışanın yöneticisi ve CFO ‘nun firma ile ilişiği kesilir • Mayıs 2016: Gerekli kontrol ortamını yaratmadığı için yönetim kurulu tarafından CEO’nun işine işine son verilir. Oyun bitince, şah da piyon da aynı kutuya konur. A.Puşkin
Siber Risklerden doğan Finansal Riskler : LEONI AG • Ağustos 2016 : Almanya’daki bir yöneticiden geliyormuş izlenimi ile Romanya’daki CFO’ya bir eposta gönderilir • Epostada sahte yönetici, firmanın Romanya’da tek para transferi yetkisi olan kişiye transfer talimatı verir. • CFO toplam 40Milyon € tutarındaki transferleri gerçekleştirir. Karl Gadesmann Member of the LEONI AG Management Board (CFO), in charge of Corporate Controlling & Accounting, Corporate Finance, Corporate Information Management,  Corporate Information Security,  Corporate Risk Management, Corporate Taxes
Risk Odaklı Yaklaşım - Mimari • Disaster Recovery • Modular • Scalable • Standardization
Siber Risk Yönetimi – Production Hygene (Bakım Faaliyetleri) • SDLC Bakım Faaliyetleri • Üretim Ortamları Hijyeni (Prodcution Hygiene) • OS > App Server > Uygulama axis : 1.4 commons-fileupload : 1.2 commons-fileupload-1.3.1.jar esapi-2.1.0.jarxalan-2.7.0.jar xercesImpl-2.8.0.jar Websphere v8.5 JBoss Application Server 7 IIS 7.0 Tomcat 8.0 WebLogic Server 11g Oracle Linux 6.0 Windows 2008 Suse Linux Centos 5 RHEL 6.5 Windows 2012 O S A S 3rd party
Siber Risk Yönetimi - Testler • Yazılım Güvenlik Testleri • Dinamik ve Statik Taramalar • Fortify • Webinspect • Veracode • WhiteHat • Checkmarx • Yazılım Güvenlik Sızma Testleri • Burp Suite • Zap Proxy • https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools
Güvenli Bir Yazılım Geliştirme Süreci • Development • Fortify & Webinspect • Atlatma Testleri (Manuel Testler) • WhiteHat (Continous) • Yıllık Sızma Testleri Atlatma Testleri (Hack) WhiteHat Yıllık Sızma Testleri Development Fortify & Webinspect
Siber Risk Yönetimi – Security By Design Kontroller Açıklama Risk HTTPS kullanımı Kullanıcı girişi yapılan sayfalar HTTPS (SSL) üzerinden hizmet vermelidir. MitM Captcha kontrolü Yanlış girişlerden sonra captcha gösterilmelidir. Sayfa yenilemelerde captcha hala gösteriliyor olmalıdır. Brute Force Kullanıcı kilitleme Uygulama için belirlenen yanlış giriş sayısından sonra doğru kullanıcı adı şifre girilse bile girişe izin vermemeli, kullanıcı kilitleniyor olmalıdır. Brute Force Girdi hatırlama Giriş sayfalarında kullanıcı adı ve şifre alanlarında (benzer şekildeki diğer bilgiler vkn, tckn vs.) web tarayıcısı tarafından hatırlama yapılamamalıdır. Bunun için tekrar girişlerde bu alanlar daha önceden girili halde gelmemeli veya giriş yaparken web tarayıcısı tarafından seçenek olarak örnek sunulmamalıdır. Yetkisiz Erişim Şifre Girişi Formda şifre girilen alanlarda (ilk giriş, şifre değişikliği vs.) şifreler kapalı (yıldızlı) olmalıdır. Sadece son karakter gösterilecek ve bir süre sonra gizlenecek şekilde (mobil uygulamalardaki gibi) düzenleme de bu senaryo için kabul edilebilir. Kaynak kod’da ya da konfigurasyon dosyalarında cleartext şifre bulunmamalı. Shoulder Surfing Şifre sıfırlama Kullanıcı şifreleri veritabanında cleartext olarak değil, ekstra bir parametre ile hash edilerek(salted hash) saklanmalıdır. Bunun kontrolü için şifre sıfırlama/şifre unutma adımı test edilir. Şifre olarak o andaki şifre gelmemeli, yeni bir şifre üretilmelidir. Rainbow Attack Yanlış şifre uyarı mesajı Kullanıcı adı doğru, şifre yanlış girildiğinde kullanıcı adının doğru sadece şifrenin yanlış olduğunu belirten bir mesaj olmamalı. "Kullanıcı adınız veya şifreniz yanlış" gibi bir uyarı olmalıdır. Brute Force
Siber Risk Yönetimi – Security By Design E-posta/ kullanıcı alanları E-posta adresleri için kullanılan İngilizce karakterler (a-z, A-Z), rakamlar (0-9) ve _ - . @ karakterleri haricinde karakter girilememeli. Özellikle şu özel karakterler kontrol edilmelidir. < > / # $ % & ” ’ , ; Öntanımlı kullanıcı adı ve şifre ilk girişte değiştirmeye zorlanmalıdır. XSS, Sql Injection, CSRF Şifre alanları Şifrede kabul edilen karakterler belli ise ilgili karakterlerle sınırlandırılma Sınırlandırma olsun veya olmasın aşağıdaki karakterlere izin verilmemelidir: < > / $ % & ” ’ , ; XSS, Sql Injection, CSRF Prod verisine erişim Prod. haricindeki ortamlarda gerçek veriye erişim olmamalıdır. Verilerin gerçek bilgi olup olmadığı kontrol edilmelidir. Yetkisiz Erişim Hataların kontrolü Testler sırasında alınan hatalar kullanıcı tarafından anlaşılır ve içinde hassas bilgi içermeyecek şekilde gösterilmelidir. Uygulama kodu gösterildiği durumlar veya hassas bilgi gösterildiği durumlar not alınmalıdır. Information Disclosure Kayıtların saklanması Yapılan işlermlerin kayıt altına alındığı ve kayıtlarda yeterli bilginin saklandığı gözlemlenmelidir. Kayıtların ilgili raporlama ekranlarından kontrolü için gerekli durumlarda ikinci bir yetkili kullanıcı kullanılabilir. Tutulan loglarda şifre, kredi kartı numarası vs. gibi hassas veriler bulunmamalıdır. Compliance
Siber Risklerden doğan Finansal Riskler : SWIFT Sistemi • Şubat 2016 : Bangladeş Merkez Bankası : 81M Dolar kayıp (1M önlenen) • Mayıs 2016 : Vietnam TP Bankası : Saldırı kayıpsız durduruldu (1.1 M Önlenen) • Mayıs 2016 : Ekvator Bankası : 12M Dolar Kayıp • 12 Bankada swift sistemine sızma teşebbüsü tespit edildi. • SWIFT CEO warns: Expect more hacking attacks $10 switches cost Bangladesh's central bank $81 million
Siber Risklerden doğan Finansal Riskler : Nesnelerin Felaleti • www.insecam.org - ‘Internet Security Cameras Project’ • Şifresi default bırakılmış güvenlik kameraları. • Üniversiteler, limanlar, ev, sokak kameraları vs. • 2500 IP kamera ile Amerika’dan sonra ikinci sırada Türkiye bulunuyor. http://www.insecam.org/en/bycountry/TR/
Siber Risklerden doğan Finansal Riskler : Nesnelerin Felaketi • Ekim Ayında Internet tarihinin en büyük (1Tbps) DDOS saldırısına tanık olundu • Twitter, the Guardian, Netflix, Reddit, CNN gibi internet sitelerine erişim bağlantısı sağlanamadı. • Hedefte bu sitelere DNS hizmeti sunan DYN firması bulunuyordu. • Uzmanlar saldırılan büyük oranda default/hardcoded şifrelere sahip güvenlik kameralarının kullanılarak gerçekleştirildiğini tespit etti
«Denizlere hakim olan cihana hakim olur» -Barbaros Hayrettin Paşa 16. yy Kaptan-ı Derya Barbaros Hayrettin Paşa 1478 Midilli - 1546 İstanbul SIEM Ağ Cihazları WAF NAC IIS Weblogic Sunucular FIM DB
Thank You Cüneyd Uzun linkedin.com/in/cuneyduzun

Recommended

Mobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi GerekenlerMobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi GerekenlerSparta Bilişim
 
2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?Sparta Bilişim
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Sparta Bilişim
 
Android Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıAndroid Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıBGA Cyber Security
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiBGA Cyber Security
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 RaporuBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları 2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları Sparta Bilişim
 

Recommended

Mobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi GerekenlerMobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi GerekenlerSparta Bilişim
 
2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?Sparta Bilişim
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Sparta Bilişim
 
Android Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıAndroid Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıBGA Cyber Security
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiBGA Cyber Security
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 RaporuBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları 2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları Sparta Bilişim
 
Android Zararlı Yazılım Analizi
Android Zararlı Yazılım AnaliziAndroid Zararlı Yazılım Analizi
Android Zararlı Yazılım AnaliziBGA Cyber Security
 
TrendLabs 2013 yılı ikinci çeyreği siber güvenlik sonuçları
TrendLabs 2013 yılı ikinci çeyreği siber güvenlik sonuçlarıTrendLabs 2013 yılı ikinci çeyreği siber güvenlik sonuçları
TrendLabs 2013 yılı ikinci çeyreği siber güvenlik sonuçlarıErol Dizdar
 
Yazıcı Güvenliği
Yazıcı GüvenliğiYazıcı Güvenliği
Yazıcı GüvenliğiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Siber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıSiber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıOsman Doğan
 
Kritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukKritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukOsman Doğan
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA Cyber Security
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki TehlikeAlper Başaran
 
OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)Sparta Bilişim
 
Dinamikler 2017 - Ali Kutluhan Aktaş Sunum
Dinamikler 2017 - Ali Kutluhan Aktaş SunumDinamikler 2017 - Ali Kutluhan Aktaş Sunum
Dinamikler 2017 - Ali Kutluhan Aktaş Sunumdinamikler17
 
2017 Siber Olayları ve Güvenlik Değerlendirmesi
2017 Siber Olayları ve Güvenlik Değerlendirmesi2017 Siber Olayları ve Güvenlik Değerlendirmesi
2017 Siber Olayları ve Güvenlik DeğerlendirmesiCRYPTTECH
 
Intelligence Driven Incident
Intelligence Driven Incident Intelligence Driven Incident
Intelligence Driven Incident BGA Cyber Security
 
Elektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıElektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıZühre Aydın
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOCSerkan Özden
 
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri PolatÇağrı Polat
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiSparta Bilişim
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIAhmet Pekel
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
 
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015Melih Bayram Dede
 
Bga Bank Ultimate Representation
Bga Bank Ultimate RepresentationBga Bank Ultimate Representation
Bga Bank Ultimate RepresentationHarun Tamokur
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA Cyber Security
 
Siber Güvenlik
Siber GüvenlikSiber Güvenlik
Siber GüvenlikAhmet Pekel
 

More Related Content

What's hot

Android Zararlı Yazılım Analizi
Android Zararlı Yazılım AnaliziAndroid Zararlı Yazılım Analizi
Android Zararlı Yazılım AnaliziBGA Cyber Security
 
TrendLabs 2013 yılı ikinci çeyreği siber güvenlik sonuçları
TrendLabs 2013 yılı ikinci çeyreği siber güvenlik sonuçlarıTrendLabs 2013 yılı ikinci çeyreği siber güvenlik sonuçları
TrendLabs 2013 yılı ikinci çeyreği siber güvenlik sonuçlarıErol Dizdar
 
Siber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıSiber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıOsman Doğan
 
Kritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukKritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukOsman Doğan
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA Cyber Security
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki TehlikeAlper Başaran
 
OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)Sparta Bilişim
 

What's hot (8)

Android Zararlı Yazılım Analizi
Android Zararlı Yazılım AnaliziAndroid Zararlı Yazılım Analizi
Android Zararlı Yazılım Analizi
 
TrendLabs 2013 yılı ikinci çeyreği siber güvenlik sonuçları
TrendLabs 2013 yılı ikinci çeyreği siber güvenlik sonuçlarıTrendLabs 2013 yılı ikinci çeyreği siber güvenlik sonuçları
TrendLabs 2013 yılı ikinci çeyreği siber güvenlik sonuçları
 
Yazıcı Güvenliği
Yazıcı GüvenliğiYazıcı Güvenliği
Yazıcı Güvenliği
 
Siber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıSiber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül Avcılığı
 
Kritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukKritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel Casusluk
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki Tehlike
 
OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)
 

Similar to Cuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi

Dinamikler 2017 - Ali Kutluhan Aktaş Sunum
Dinamikler 2017 - Ali Kutluhan Aktaş SunumDinamikler 2017 - Ali Kutluhan Aktaş Sunum
Dinamikler 2017 - Ali Kutluhan Aktaş Sunumdinamikler17
 
2017 Siber Olayları ve Güvenlik Değerlendirmesi
2017 Siber Olayları ve Güvenlik Değerlendirmesi2017 Siber Olayları ve Güvenlik Değerlendirmesi
2017 Siber Olayları ve Güvenlik DeğerlendirmesiCRYPTTECH
 
Elektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıElektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıZühre Aydın
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOCSerkan Özden
 
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri PolatÇağrı Polat
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiSparta Bilişim
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIAhmet Pekel
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
 
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015Melih Bayram Dede
 
Bga Bank Ultimate Representation
Bga Bank Ultimate RepresentationBga Bank Ultimate Representation
Bga Bank Ultimate RepresentationHarun Tamokur
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Securitymtimur
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıBGA Cyber Security
 
SecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemekSecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemekFurkan Çalışkan
 
Siber Güvenlikte Yapay Zeka Uygulamaları - Webinar
Siber Güvenlikte Yapay Zeka Uygulamaları - WebinarSiber Güvenlikte Yapay Zeka Uygulamaları - Webinar
Siber Güvenlikte Yapay Zeka Uygulamaları - WebinarBGA Cyber Security
 

Similar to Cuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi (20)

Dinamikler 2017 - Ali Kutluhan Aktaş Sunum
Dinamikler 2017 - Ali Kutluhan Aktaş SunumDinamikler 2017 - Ali Kutluhan Aktaş Sunum
Dinamikler 2017 - Ali Kutluhan Aktaş Sunum
 
2017 Siber Olayları ve Güvenlik Değerlendirmesi
2017 Siber Olayları ve Güvenlik Değerlendirmesi2017 Siber Olayları ve Güvenlik Değerlendirmesi
2017 Siber Olayları ve Güvenlik Değerlendirmesi
 
Intelligence Driven Incident
Intelligence Driven Incident Intelligence Driven Incident
Intelligence Driven Incident
 
Elektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıElektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yolları
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
 
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGI
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
 
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
 
Bga Bank Ultimate Representation
Bga Bank Ultimate RepresentationBga Bank Ultimate Representation
Bga Bank Ultimate Representation
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
 
Siber Güvenlik
Siber GüvenlikSiber Güvenlik
Siber Güvenlik
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Security
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
 
SecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemekSecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemek
 
Siber Güvenlikte Yapay Zeka Uygulamaları - Webinar
Siber Güvenlikte Yapay Zeka Uygulamaları - WebinarSiber Güvenlikte Yapay Zeka Uygulamaları - Webinar
Siber Güvenlikte Yapay Zeka Uygulamaları - Webinar
 
.Net ile yazılım güvenliği
.Net ile yazılım güvenliği.Net ile yazılım güvenliği
.Net ile yazılım güvenliği
 

Cuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi

  • 2.
  • 3. Teknoloji Devrimi • Dijital Ekonomi (Endustri 4.0) • Buhar enerjisi-üretim hattı-BT sistemleri • PC→ Internet → Sosyal Medya & E-Ticaret →IoT • IoT → 11 tr $ in 2025 • Teknoloji «İnsan»ın yerini alıyor • Akıllı Şehirler & Evler • Optimize & Otomotize Endustri • Giyilebilir Teknoloji • Lojistik & Navigasyon
  • 4. University of Cambridge - Coffee http://www.bbc.com/news/technology-20439301
  • 5.
  • 6.
  • 7. Lloyd City Risk Index • 2015 → 2025 • Avarage Annual GDP • $37.26trn • Total GDP @risk $4.56trn (18 Threats) • Siber Ataklar • 301 Şehir $294.15bn • Istanbul $2.31bn • Ekonomik Suçlar * PwC Survey • 2-Siber Suçlar %32
  • 9. Siber Risklerden doğan Finansal Riskler : FACC AG ve LEONI AG • Ocak 2016 : CEO ‘dan geliyormuş izlenimi ile finans birimine bir eposta gönderilir • Epostada sahte CEO, firmanın Çin’deki satın almasıyla ilgili bir dizi para transferi yapılmasını ister. • Finans birimi toplam 50Milyon € tutarındaki transferleri gerçekleştirir. • Şubat 2016: Bu olay nedeniyle transferi gerçekleştiren ilgili çalışan, çalışanın yöneticisi ve CFO ‘nun firma ile ilişiği kesilir • Mayıs 2016: Gerekli kontrol ortamını yaratmadığı için yönetim kurulu tarafından CEO’nun işine işine son verilir. Oyun bitince, şah da piyon da aynı kutuya konur. A.Puşkin
  • 10. Siber Risklerden doğan Finansal Riskler : LEONI AG • Ağustos 2016 : Almanya’daki bir yöneticiden geliyormuş izlenimi ile Romanya’daki CFO’ya bir eposta gönderilir • Epostada sahte yönetici, firmanın Romanya’da tek para transferi yetkisi olan kişiye transfer talimatı verir. • CFO toplam 40Milyon € tutarındaki transferleri gerçekleştirir. Karl Gadesmann Member of the LEONI AG Management Board (CFO), in charge of Corporate Controlling & Accounting, Corporate Finance, Corporate Information Management,  Corporate Information Security,  Corporate Risk Management, Corporate Taxes
  • 11. Risk Odaklı Yaklaşım - Mimari • Disaster Recovery • Modular • Scalable • Standardization
  • 12. Siber Risk Yönetimi – Production Hygene (Bakım Faaliyetleri) • SDLC Bakım Faaliyetleri • Üretim Ortamları Hijyeni (Prodcution Hygiene) • OS > App Server > Uygulama axis : 1.4 commons-fileupload : 1.2 commons-fileupload-1.3.1.jar esapi-2.1.0.jarxalan-2.7.0.jar xercesImpl-2.8.0.jar Websphere v8.5 JBoss Application Server 7 IIS 7.0 Tomcat 8.0 WebLogic Server 11g Oracle Linux 6.0 Windows 2008 Suse Linux Centos 5 RHEL 6.5 Windows 2012 O S A S 3rd party
  • 13. Siber Risk Yönetimi - Testler • Yazılım Güvenlik Testleri • Dinamik ve Statik Taramalar • Fortify • Webinspect • Veracode • WhiteHat • Checkmarx • Yazılım Güvenlik Sızma Testleri • Burp Suite • Zap Proxy • https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools
  • 14. Güvenli Bir Yazılım Geliştirme Süreci • Development • Fortify & Webinspect • Atlatma Testleri (Manuel Testler) • WhiteHat (Continous) • Yıllık Sızma Testleri Atlatma Testleri (Hack) WhiteHat Yıllık Sızma Testleri Development Fortify & Webinspect
  • 15. Siber Risk Yönetimi – Security By Design Kontroller Açıklama Risk HTTPS kullanımı Kullanıcı girişi yapılan sayfalar HTTPS (SSL) üzerinden hizmet vermelidir. MitM Captcha kontrolü Yanlış girişlerden sonra captcha gösterilmelidir. Sayfa yenilemelerde captcha hala gösteriliyor olmalıdır. Brute Force Kullanıcı kilitleme Uygulama için belirlenen yanlış giriş sayısından sonra doğru kullanıcı adı şifre girilse bile girişe izin vermemeli, kullanıcı kilitleniyor olmalıdır. Brute Force Girdi hatırlama Giriş sayfalarında kullanıcı adı ve şifre alanlarında (benzer şekildeki diğer bilgiler vkn, tckn vs.) web tarayıcısı tarafından hatırlama yapılamamalıdır. Bunun için tekrar girişlerde bu alanlar daha önceden girili halde gelmemeli veya giriş yaparken web tarayıcısı tarafından seçenek olarak örnek sunulmamalıdır. Yetkisiz Erişim Şifre Girişi Formda şifre girilen alanlarda (ilk giriş, şifre değişikliği vs.) şifreler kapalı (yıldızlı) olmalıdır. Sadece son karakter gösterilecek ve bir süre sonra gizlenecek şekilde (mobil uygulamalardaki gibi) düzenleme de bu senaryo için kabul edilebilir. Kaynak kod’da ya da konfigurasyon dosyalarında cleartext şifre bulunmamalı. Shoulder Surfing Şifre sıfırlama Kullanıcı şifreleri veritabanında cleartext olarak değil, ekstra bir parametre ile hash edilerek(salted hash) saklanmalıdır. Bunun kontrolü için şifre sıfırlama/şifre unutma adımı test edilir. Şifre olarak o andaki şifre gelmemeli, yeni bir şifre üretilmelidir. Rainbow Attack Yanlış şifre uyarı mesajı Kullanıcı adı doğru, şifre yanlış girildiğinde kullanıcı adının doğru sadece şifrenin yanlış olduğunu belirten bir mesaj olmamalı. "Kullanıcı adınız veya şifreniz yanlış" gibi bir uyarı olmalıdır. Brute Force
  • 16. Siber Risk Yönetimi – Security By Design E-posta/ kullanıcı alanları E-posta adresleri için kullanılan İngilizce karakterler (a-z, A-Z), rakamlar (0-9) ve _ - . @ karakterleri haricinde karakter girilememeli. Özellikle şu özel karakterler kontrol edilmelidir. < > / # $ % & ” ’ , ; Öntanımlı kullanıcı adı ve şifre ilk girişte değiştirmeye zorlanmalıdır. XSS, Sql Injection, CSRF Şifre alanları Şifrede kabul edilen karakterler belli ise ilgili karakterlerle sınırlandırılma Sınırlandırma olsun veya olmasın aşağıdaki karakterlere izin verilmemelidir: < > / $ % & ” ’ , ; XSS, Sql Injection, CSRF Prod verisine erişim Prod. haricindeki ortamlarda gerçek veriye erişim olmamalıdır. Verilerin gerçek bilgi olup olmadığı kontrol edilmelidir. Yetkisiz Erişim Hataların kontrolü Testler sırasında alınan hatalar kullanıcı tarafından anlaşılır ve içinde hassas bilgi içermeyecek şekilde gösterilmelidir. Uygulama kodu gösterildiği durumlar veya hassas bilgi gösterildiği durumlar not alınmalıdır. Information Disclosure Kayıtların saklanması Yapılan işlermlerin kayıt altına alındığı ve kayıtlarda yeterli bilginin saklandığı gözlemlenmelidir. Kayıtların ilgili raporlama ekranlarından kontrolü için gerekli durumlarda ikinci bir yetkili kullanıcı kullanılabilir. Tutulan loglarda şifre, kredi kartı numarası vs. gibi hassas veriler bulunmamalıdır. Compliance
  • 17. Siber Risklerden doğan Finansal Riskler : SWIFT Sistemi • Şubat 2016 : Bangladeş Merkez Bankası : 81M Dolar kayıp (1M önlenen) • Mayıs 2016 : Vietnam TP Bankası : Saldırı kayıpsız durduruldu (1.1 M Önlenen) • Mayıs 2016 : Ekvator Bankası : 12M Dolar Kayıp • 12 Bankada swift sistemine sızma teşebbüsü tespit edildi. • SWIFT CEO warns: Expect more hacking attacks $10 switches cost Bangladesh's central bank $81 million
  • 18. Siber Risklerden doğan Finansal Riskler : Nesnelerin Felaleti • www.insecam.org - ‘Internet Security Cameras Project’ • Şifresi default bırakılmış güvenlik kameraları. • Üniversiteler, limanlar, ev, sokak kameraları vs. • 2500 IP kamera ile Amerika’dan sonra ikinci sırada Türkiye bulunuyor. http://www.insecam.org/en/bycountry/TR/
  • 19. Siber Risklerden doğan Finansal Riskler : Nesnelerin Felaketi • Ekim Ayında Internet tarihinin en büyük (1Tbps) DDOS saldırısına tanık olundu • Twitter, the Guardian, Netflix, Reddit, CNN gibi internet sitelerine erişim bağlantısı sağlanamadı. • Hedefte bu sitelere DNS hizmeti sunan DYN firması bulunuyordu. • Uzmanlar saldırılan büyük oranda default/hardcoded şifrelere sahip güvenlik kameralarının kullanılarak gerçekleştirildiğini tespit etti
  • 20. «Denizlere hakim olan cihana hakim olur» -Barbaros Hayrettin Paşa 16. yy Kaptan-ı Derya Barbaros Hayrettin Paşa 1478 Midilli - 1546 İstanbul SIEM Ağ Cihazları WAF NAC IIS Weblogic Sunucular FIM DB