-Cybersecurity in financial services: PwC
-SWIFT CEO warns: Expect more hacking attacks
-Lloyd City Risk Index
-Secure SDLC
-Security by design
-PwC Economic Crime Survey
9. Siber Risklerden doğan Finansal Riskler :
FACC AG ve LEONI AG
• Ocak 2016 : CEO ‘dan geliyormuş izlenimi ile finans birimine bir eposta
gönderilir
• Epostada sahte CEO, firmanın Çin’deki satın almasıyla ilgili bir dizi para
transferi yapılmasını ister.
• Finans birimi toplam 50Milyon € tutarındaki transferleri gerçekleştirir.
• Şubat 2016: Bu olay nedeniyle transferi gerçekleştiren ilgili çalışan, çalışanın
yöneticisi ve CFO ‘nun firma ile ilişiği kesilir
• Mayıs 2016: Gerekli kontrol ortamını yaratmadığı için yönetim kurulu
tarafından CEO’nun işine işine son verilir.
Oyun bitince, şah da piyon da aynı kutuya konur. A.Puşkin
10. Siber Risklerden doğan Finansal Riskler :
LEONI AG
• Ağustos 2016 : Almanya’daki bir yöneticiden geliyormuş izlenimi ile Romanya’daki CFO’ya
bir eposta gönderilir
• Epostada sahte yönetici, firmanın Romanya’da tek para transferi yetkisi olan kişiye transfer
talimatı verir.
• CFO toplam 40Milyon € tutarındaki transferleri gerçekleştirir.
Karl Gadesmann
Member of the LEONI AG Management Board (CFO),
in charge of
Corporate Controlling & Accounting,
Corporate Finance,
Corporate Information Management,
Corporate Information Security,
Corporate Risk Management,
Corporate Taxes
12. Siber Risk Yönetimi – Production Hygene
(Bakım Faaliyetleri)
• SDLC Bakım Faaliyetleri
• Üretim Ortamları Hijyeni (Prodcution
Hygiene)
• OS > App Server > Uygulama
axis : 1.4
commons-fileupload : 1.2
commons-fileupload-1.3.1.jar
esapi-2.1.0.jarxalan-2.7.0.jar
xercesImpl-2.8.0.jar
Websphere v8.5
JBoss Application Server 7
IIS 7.0
Tomcat 8.0
WebLogic Server 11g
Oracle Linux 6.0
Windows 2008
Suse Linux
Centos 5
RHEL 6.5
Windows 2012
O
S
A
S
3rd
party
13. Siber Risk Yönetimi - Testler
• Yazılım Güvenlik Testleri
• Dinamik ve Statik Taramalar
• Fortify
• Webinspect
• Veracode
• WhiteHat
• Checkmarx
• Yazılım Güvenlik Sızma Testleri
• Burp Suite
• Zap Proxy
• https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools
14. Güvenli Bir Yazılım Geliştirme Süreci
• Development
• Fortify & Webinspect
• Atlatma Testleri (Manuel Testler)
• WhiteHat (Continous)
• Yıllık Sızma Testleri
Atlatma
Testleri
(Hack)
WhiteHat
Yıllık Sızma
Testleri
Development
Fortify &
Webinspect
15. Siber Risk Yönetimi – Security By Design
Kontroller Açıklama Risk
HTTPS
kullanımı
Kullanıcı girişi yapılan sayfalar HTTPS (SSL) üzerinden hizmet vermelidir. MitM
Captcha
kontrolü
Yanlış girişlerden sonra captcha gösterilmelidir. Sayfa yenilemelerde captcha hala
gösteriliyor olmalıdır.
Brute Force
Kullanıcı
kilitleme
Uygulama için belirlenen yanlış giriş sayısından sonra doğru kullanıcı adı şifre girilse bile
girişe izin vermemeli, kullanıcı kilitleniyor olmalıdır.
Brute Force
Girdi
hatırlama
Giriş sayfalarında kullanıcı adı ve şifre alanlarında (benzer şekildeki diğer bilgiler vkn,
tckn vs.) web tarayıcısı tarafından hatırlama yapılamamalıdır. Bunun için tekrar girişlerde
bu alanlar daha önceden girili halde gelmemeli veya giriş yaparken web tarayıcısı
tarafından seçenek olarak örnek sunulmamalıdır.
Yetkisiz Erişim
Şifre Girişi Formda şifre girilen alanlarda (ilk giriş, şifre değişikliği vs.) şifreler kapalı (yıldızlı)
olmalıdır. Sadece son karakter gösterilecek ve bir süre sonra gizlenecek şekilde (mobil
uygulamalardaki gibi) düzenleme de bu senaryo için kabul edilebilir.
Kaynak kod’da ya da konfigurasyon dosyalarında cleartext şifre bulunmamalı.
Shoulder Surfing
Şifre
sıfırlama
Kullanıcı şifreleri veritabanında cleartext olarak değil, ekstra bir parametre ile hash
edilerek(salted hash) saklanmalıdır. Bunun kontrolü için şifre sıfırlama/şifre unutma
adımı test edilir. Şifre olarak o andaki şifre gelmemeli, yeni bir şifre üretilmelidir.
Rainbow Attack
Yanlış şifre uyarı
mesajı
Kullanıcı adı doğru, şifre yanlış girildiğinde kullanıcı adının doğru sadece şifrenin yanlış
olduğunu belirten bir mesaj olmamalı. "Kullanıcı adınız veya şifreniz yanlış" gibi bir uyarı
olmalıdır.
Brute Force
16. Siber Risk Yönetimi – Security By Design
E-posta/
kullanıcı alanları
E-posta adresleri için kullanılan İngilizce karakterler (a-z, A-Z), rakamlar (0-9) ve _ - . @
karakterleri haricinde karakter girilememeli.
Özellikle şu özel karakterler kontrol edilmelidir. < > / # $ % & ” ’ , ;
Öntanımlı kullanıcı adı ve şifre ilk girişte değiştirmeye zorlanmalıdır.
XSS, Sql Injection,
CSRF
Şifre
alanları
Şifrede kabul edilen karakterler belli ise ilgili karakterlerle sınırlandırılma
Sınırlandırma olsun veya olmasın aşağıdaki karakterlere izin verilmemelidir:
< > / $ % & ” ’ , ;
XSS, Sql Injection,
CSRF
Prod verisine
erişim
Prod. haricindeki ortamlarda gerçek veriye erişim olmamalıdır. Verilerin gerçek bilgi
olup olmadığı kontrol edilmelidir.
Yetkisiz Erişim
Hataların
kontrolü
Testler sırasında alınan hatalar kullanıcı tarafından anlaşılır ve içinde hassas bilgi
içermeyecek şekilde gösterilmelidir. Uygulama kodu gösterildiği durumlar veya hassas
bilgi gösterildiği durumlar not alınmalıdır.
Information
Disclosure
Kayıtların
saklanması
Yapılan işlermlerin kayıt altına alındığı ve kayıtlarda yeterli bilginin saklandığı
gözlemlenmelidir. Kayıtların ilgili raporlama ekranlarından kontrolü için gerekli
durumlarda ikinci bir yetkili kullanıcı kullanılabilir. Tutulan loglarda şifre, kredi kartı
numarası vs. gibi hassas veriler bulunmamalıdır.
Compliance
17. Siber Risklerden doğan Finansal Riskler :
SWIFT Sistemi
• Şubat 2016 : Bangladeş Merkez Bankası : 81M Dolar kayıp (1M önlenen)
• Mayıs 2016 : Vietnam TP Bankası : Saldırı kayıpsız durduruldu (1.1 M Önlenen)
• Mayıs 2016 : Ekvator Bankası : 12M Dolar Kayıp
• 12 Bankada swift sistemine sızma teşebbüsü tespit edildi.
• SWIFT CEO warns: Expect more hacking attacks
$10 switches cost Bangladesh's central bank $81 million
18. Siber Risklerden doğan Finansal Riskler :
Nesnelerin Felaleti
• www.insecam.org - ‘Internet Security Cameras Project’
• Şifresi default bırakılmış güvenlik kameraları.
• Üniversiteler, limanlar, ev, sokak kameraları vs.
• 2500 IP kamera ile Amerika’dan sonra ikinci sırada Türkiye bulunuyor.
http://www.insecam.org/en/bycountry/TR/
19. Siber Risklerden doğan Finansal Riskler :
Nesnelerin Felaketi
• Ekim Ayında Internet tarihinin en büyük (1Tbps) DDOS saldırısına tanık olundu
• Twitter, the Guardian, Netflix, Reddit, CNN gibi internet sitelerine erişim bağlantısı sağlanamadı.
• Hedefte bu sitelere DNS hizmeti sunan DYN firması bulunuyordu.
• Uzmanlar saldırılan büyük oranda default/hardcoded şifrelere sahip güvenlik kameralarının kullanılarak
gerçekleştirildiğini tespit etti
20. «Denizlere hakim olan cihana hakim olur»
-Barbaros Hayrettin Paşa 16. yy
Kaptan-ı Derya Barbaros
Hayrettin Paşa
1478 Midilli - 1546 İstanbul
SIEM
Ağ
Cihazları
WAF
NAC
IIS
Weblogic
Sunucular
FIM
DB