Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Bilgi guvenligi acikliklarinin kok nedenleri

1,806 views

Published on

Yöneticiler için bilgi güvenliği açıklıklarının kök nedenleri

Published in: Internet
  • Be the first to comment

Bilgi guvenligi acikliklarinin kok nedenleri

  1. 1. YÖNETİCİLER İÇİN blog.btrisk.com @btrisk /btrisktv /btrisk BİLGİ GÜVENLİĞİ AÇIKLIKLARININ KÖK NEDENLERİ
  2. 2. BTRİSK HAKKINDA TANIŞMA Pentest & BT Denetimi ISO27001 Danışmanlık Hizmetleri BG Operasyon Hizmetleri
  3. 3. SUNUMUN AMACI Bu sunumu yöneticilerin; • Kurumlarının ve müşterilerinin bilgilerini çaldırdıklarında, • Bilgi sistemleri üzerinden para ve itibar kaybına uğratıldıklarında, • Verilerini kaybettiklerinde, • Hizmet kesintisine uğradıklarında ve bu nedenlerle işlerinden olmaya çok yaklaştıklarında bir 5 dk'larını ayırıp okumaları için hazırladık.
  4. 4. İKİ PROFİL – İKİ BAKIŞ AÇISI • Bellek taşma açıklıkları sayesinde hedef bilgisayarda istediğiniz kodu çalıştırma • Web uygulamaları SQLi, dosya yükleme, herhangi bir sistem dosyasına erişme açıklıkları ile sisteme erişim sağlama • Shell aldığınız (komut satırı erişimi sağladığınız) sistem üzerinde yetki yükseltme ve root / LocalSystem olma • Kaba kuvvet saldırılarıyla çevrimiçi parola kırma veya öntanımlı parolalarla sisteme erişim sağlama • Sosyal mühendislik, istemci taraflı açıklıklar ve trojan uygulamalar sayesinde istemci bilgisayarından shell alma • Web uygulamalarındaki mantık hatalarını kullanarak zarara uğratma veya çıkar sağlama • Kullanıcı tanılama yapmayan ağ ve web servisleri üzerinden hedef sistemi kesintiye uğratma, manipüle etme, bilgi sızdırma GÜVENLİK UZMANI İÇİN HEYECANLI HEYECANSIZ
  5. 5. İKİ PROFİL – İKİ BAKIŞ AÇISI • Uygulama projeleri için tehdit modelleme yapma • Sistem projeleri için risk analizi yapma • Değişiklik yönetimini uygulama • Sistem sıkılaştırma ve yama yönetimi • Güvenlik olaylarını izleme, olay kayıtlarını tutma, analiz etme • Güvenlik yetkinliklerini geliştirmek için eğitim alma, öğrenme GÜVENLİK UZMANI İÇİN HEYECANLI HEYECANSIZ
  6. 6. İKİ PROFİL – İKİ BAKIŞ AÇISI • Maliyet azaltıcı BT projeleri (saha otomasyonu, endüstriyel otomasyon, v.d.) • Gelir artırıcı BT projeleri (satış ekiplerini destekleyen yazılımlar, donanımlar, internet satış kanalları) • Hızlı raporlama araçları (veriambarı projeleri, esnek raporlama araçları) • Bilgiye her yerden ve kolay erişim • BT personel ve bütçesinin azaltılması KURUM YÖNETİCİLERİ İÇİN HEYECANLI HEYECANSIZ
  7. 7. İKİ PROFİL – İKİ BAKIŞ AÇISI • Kurumun BT süreç ve yetkinliklerini anlama • İş birimleri ve BT arasındaki etkin iletişim köprüsünü kurma • Her yeni BT altyapısının, imkanının belirli süreçler ve kontrol araçları ile desteklenme ihtiyacının anlaşılması • BT ve bilgi güvenliği altyapı yatırımları • BT ve bilgi güvenliği ihtiyaç ve performanslarını izleme KURUM YÖNETİCİLERİ İÇİN HEYECANLI HEYECANSIZ
  8. 8. KÖK NEDENLER HEYECANSIZ kısımlardaki faaliyetlerin yetersizliği veya mevcut olmaması güvenlik açıklıklarının kök nedenleridir.
  9. 9. PROBLEMİ ZORLAŞTIRICI FAKTÖRLER • Yöneticilerin heyecanlandığı alanlar tehdit yüzeyinin artmasına neden olmaktadır. • Güvenlik uzmanlarını heyecanlandıran alanlar Amerikalıların Computer Fallacy dedikleri farklı algıların hakim olduğu dünyalara kapı açmaktadır. Henüz sorumluluk duygusu gelişmemiş bir ergen internete açık bir SCADA erişimi bulduğunda bir bölgenin enerjisini kesmekten tarifsiz bir keyif alabilir. • Güvenlik uzmanları için heyecansız alanlar genellikle ya doğru dürüst uygulanmamakta ya da heyecanlı alanlarda yeterli yetkinliğe sahip olmayan kişilerin talip olduğu işler olmaktadır.
  10. 10. PEKİ NE OLACAK? • Yöneticiler akıllı insanlardır, olmasalardı yönetici olamazlardı :) • Akıllı insanlar değişime kayıtsız kalamazlar ve gerekli önlemleri alırlar. • Bir müddet sonra bilgi güvenliği bir hijyen faktörü olacaktır, yani şirket kültürlerinin olmazsa olmaz bir parçası olacaktır. • Bazı sektörler ihtiyaçlar ve regülasyon baskısı nedeniyle bu konuda öndedir, hatta finans sektöründe oldukça ileri olduğumuz söylenebilir.
  11. 11. PEKİ NE OLACAK? • Telekom sektörü karmaşıklık, hız, değişken organizasyon yapıları ve yoğun iş ortağı kullanımı nedeniyle daha fazla zorlanmakla birlikte güvenlik farkındalığının yüksek olduğu bir sektördür. • Kamu ve kritik altyapı sağlayıcı sektörlerde denetim baskısı nispeten düşük olduğundan gerekli seviyenin altında bulunulmaktadır. Bu sektörler malesef sıkıntı yaşamaktan kurtulamayacaktır.
  12. 12. PEKİ NE OLACAK? • Kobi'ler ve üretim sektörü de ekonomik öncelikleri, daha doğrusu sıkıntıları nedeniyle bu konuya çok uzak bir noktadadır. Türkiye için üretim sektörü önem kazanabilirse bu alanda da bilgi güvenliği ihtiyacı öne çıkmaya başlayacaktır.

×