2. NELER ANLATACAĞIZ ?
Bilgi Güvenliği Kavramları
Bilgi Güvenliğinin Önemi ve Tehditler
Hack ve Hacker kavramı
Şirket İçi Veri Güvenliği için Yönetici ve Kullanıcılara Düşen Görevler Nelerdir ?
3.
4. Bilgi Güvenliği
Gizlilik – Bütünlük ve Erişebilirlik’dir.
Bilişim ürünleri/cihazları ile bu cihazlarda işlenmekte olan verilerin
gizliliğini, bütünlüğünü ve sürekliliğini korumayı amaçlayan çalışma
alanıdır. Bu alanı olması gereken belli standartlar ile
bütünleştirerek ISO 27001 bilgi güvenliği yönetim standartı adı
verilmiştir.
Siber Güvenlik
• Siber hayatın güvenliği(gizlilik, bütünlük ve erişilebilirlik)
sağlanması amacıyla gerçekleştirilen faaliyetlerin tamamıdır.
• Bilgi güvenliğinden farkı: daha soyut ve geniş bir alanı
kapsaması
• Bilgi güvenliği teknik, siber güvenlik sosyal bir tanımdır.
Bilgi Güvenliği & Siber Güvenlik
Kavram ve Prensipler
Hangi Bilgi Bu Kapsamdadır ?
• Basılı Haldeki Kağıtlar,
• Dolaplardaki Evraklar,
• İletişim yolları ( Telefon, Faks )
• En önemliside personellerin Zihinlerindeki bilgiler.
Hangi Bilgi Bu Kapsamdadır ?
• Veri Tabanlarındaki bilgiler
• Usb / Cd ler
• Kişisel bilgisayarlar
• Cloud (Bulut) çözümleri
6. Bilgi Güvenliğinin Önemi
Kavram ve Prensipler
• Gizli bilgiler açığa çıkabilir.
• Verinin içeriği bir başka yetkisiz kişiler tarafından değiştirilebilinir.
• Kuruma ait değerli bilgiler ele geçirilebilinir.
• Ticari ve Teknolojik bilgiler zarar görebilir.
• İş sürekliliği aksayabilir.
7. Saldırgan Yönünden
Kavram ve Prensipler
• Bir sistemi Hacklemeye çalışan kişinin ilk işi Hackleyeceği sistem hakkında
veri toplamak olacaktır.
• Sistem hakkındaki bilgileri toplamak başarılı olabilmek için ilk temel adımdır.
• Bilgi toplama esnasında işe yarar yada yaramaz diye düşünmeden tüm
bilgileri alırlar.
• Toplanan bilgiler bir sonraki adımda sınıflandırılır.
8.
9. Bilgi Güvenliğine Yönelik Tehditler
Olabilecek Tehditler
• Siber Saldırılar, Kurum veya kuruluş ayırt etmeksizin iletişim ve veri tabanlarının
alt yapılarına yapılan saldırı türünün genel adıdır. Bu saldırıların belli bir gereği
yoktur yani Politik, Ticari, Askeri ve hatta keyfe keder bile yapılabilinecek bir
durumdur.
• Yukarıda belirtmiş olduğumuz türlerin haricinde Birde ülkeler arası saldırılar
olabiliyor. Bunun için Siber Savaş tanımını koymuşlardır. ABD ve ÇİN gibi ülkeler
bir siber savaş ekibi kurmuşlardır ve her fırsatta bir adım daha güçlendirmeye
çalışmaktadırlar.
Kötü NiyetlilerBilgisiz Kullanım
Tehditler
İç Tehdit Dış Tehdit
Eski Çalışanlar Hackerler
10. İç Tehditler
Olabilecek Tehditler
• Bilgisiz ve bilinçsiz kullanım.
• Temizlik görevlisinin sunucunun fişini çekmesi
• Eğitilmemiş personelin veri tabanına müdahale etmesi.
• Bir çalışanın ağda gerekli yöntemleri uygulayarak ağdaki tüm e-postaları okuması.
• Yönetici yada her hangi bir çalışanın geliştirilen ürünü bir başka firmaya satması.
SİZ
E-POSTA
SNİFFER
11. Dış Tehditler
Olabilecek Tehditler
• Bir saldırganın kurumun Web sitesini silmesi veya
değiştirmesi.
• Bir saldırganın kuruma ait bilgileri çalması.
• Bir saldırganın çaldığı bilgiyi pazarlaması
• Yeni nesil APT hedef odaklı saldırılar.
12.
13. Hack
Hack ve Hacker Kavramı
Hack bir sistemin veya bir elektronik cihazın, yapımcısı
tarafından konulmuş işleyiş kurallarının dışına çıkabilmektir.
Yani hack sadece bir sisteme izinsiz sızmak değildir.
Bir sistemi, cihazı amacının dışında kullanılabilir hale getirmek
de hack'tir
14. Hacker
Hack ve Hacker Kavramı
Yukarıdaki tanımı gerçekleştiren kişiye hacker denir. Bu kişinin o
alanda çok uzman veya istediği her cihazı kontrol edebilen birisi
olması gerekmez. Bir kola makinasından bedava kola alabilen kişi, o
kola makinasını hack'leyen kişidir. Halk arasında ise bilgisayarlara
sızabilen kişiye denir.
15.
16. Sosyal Mühendislik
Sosyal Mühendislik ve Bireysel Güvenlik
İnternette insanların zaafiyetlerinden faydalanarak çeşitli ikna ve
kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır.
İnsanların karar verme süreçlerini değiştirmeye yönelik teknikler içerir.
Size Bununla ilgili birkaç örnek inceleyelim…
17. SM: Sosyal Mühendis (ibrahim_karaabdulhamitov)
KB: (ayse_karaabdulhamitov)
SM: acil bakar mısın :((((
SM: ibrahim_karaabdulhamitov size bir titreşim gönderdi.
KB: Buyur ablam.
SM: Abla, acil paraya ihtiyacım var ama lütfen kimseye söyleme. Geçen arkadaşımdan borç almıştım. kot pantolon almak için o da
şimdi sorun yapıyor. Parayı vermezsem bizimkilere söyleyecek. Lütfen yardım et.
****(Bakın buraya kadar Ayşe'nin kim olduğunu bile bilmiyoruz. Annesi olabilir, ablası olabilir, kardeşi olabilir teyzesi olabilir.
Önemli nokta diyalog sırasında olabildiğince ucu açık çümleler kurmak. bizimkiler, arkadaş vs...)****
VT: Ne kadar lazım ? gel eve vereyim çabuk. Bir daha da böyle şeyler yapma! neden milletten para alıyorsun ki ? ihtiyacın olduğunda
bize söyle!
SM: Eve gelemem ya. utanıyorum 40 TL lazım.
KB: Eve gelmezsen parayı nasıl vericem sana ? Bırak utanmayı filan, böyle şeyler yaparken utan.
SM: Ya, adama zaten daha çok kontör lazım. Para olmasa da olur :( 40 TL'lik kontör alıp, şiresini gönderir misin ? n'olur ben sana
veririm sonra.
KB: peki.. bekle alıp geliyorum, ama bununla ilgili sonra seninle görüşmemiz gerekiyor!
İşlemi tamamlayan sosyal mühendis Ayşeyi engelleyip listedeki diğer kurbanları en hızlı şekilde ikna edip beklentilerini karşılamaya
devam edecektir.
18. Parola Güvenliği
Sosyal Mühendislik ve Bireysel Güvenlik
Parola Nedir ?
Parola, kullanıcıların bir bilgisayarda oturum açmak, dosyalara, programlara ve diğer kaynaklara
erişmelerini sağlamak için kullandıkları karakter dizisidir.
Güçlü parola ne demektir, nasıl oluşturulur?
Oluşturulan bir parolanın "güçlü" kabul edilebilmesi için aşağıdaki özellikleri göstermelidir.
• En az 8 karakterden oluşur.
• Harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler içerir.
• Büyük ve küçük harfler bir arada kullanılır.
Bu kurallara uygun parola oluştururken genelde yapılan hatalardan dolayı saldırganların ilk olarak denedikleri parolalar vardır. Bu
nedenle parola oluştururken aşağıdaki önerileri de dikkate almak gerekir.
Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır.
(Örneğin doğum tarihiniz, çocuğunuzun adı, soyadınız, .... gibi)
Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır.
Çoğu kişinin kullanabildiği aynı veya çok benzer yöntem ile geliştirilmiş parolalar kullanılmamalıdır.