SlideShare a Scribd company logo

3. parti firma risklerinden nasıl korunulur?

BGA Cyber Security
BGA Cyber Security

Webinar: 3. Parti Firma Risklerinden Nasıl Korunulur?

1 of 38
Download to read offline
3. Parti Firma Risklerinden Nasıl Korunulur? Ferhat DİKBIYIK Head of Research Webinar Serisi – 6 Ekim 2021
3. Parti Kaynaklı Veri İhlalleri • Saldırı yüzeyi sandığımızdan çok daha geniş mi? • 3. taraf (tedarikçi) kaynaklı veri ihlallerinin anatomisi • SolarWinds, Kaseya, Acellion ve Accenture saldırıları nasıl büyük çaplı 3. taraf kaynaklı veri ihlallerine dönüştü • 3. taraf kaynaklı veri ihlallerini engellemek için neler yapılmalı? • Siber Skorlama çözümleri tedarikçi risk yönetiminde ne kadar yeterli? • Dijital ekosisteminize karşı siber saldırılarının işaretlerini önceden görmek mümkün mü? • Gelişmiş bir üçüncü taraf siber risk yönetimi neleri kapsamalı?
Siber Saldırı Yüzeyi Bulut Sağlayıcılar Veri İşleme Çözümleri Pazarlama Firmaları Harici Javascript Sağlayıcıları Hukuk Firmaları IT Çözümleri E-posta Hizmet Sağlayıcıları Online Toplantı Araçları Proje Geliştirme Çözümleri Uzaktan Yönetim Sistemleri Mobil Uygulama Geliştiriciler
3. Parti Kaynaklı Veri İhlallerinin Anatomisi 3. Taraf 3. Taraf ile veri paylaşan firmalar 3. Tarafa erişim veren firmalar 3. Tarafın ürününü kullanan firmalar Critical Open Ports Poor email configurations Software vulnerabilities Application weaknesses Leaked Credentials Poor system configurations Malicious Code
Büyük Çaplı 3. Taraf Kaynaklı Veri İhlalleri
SolarWinds Vakası Image: The 8 Key Lessons From the SolarWinds Attacks - SOCRadar
SolarWinds Vakası Image: Microsoft
SolarWinds Vakası Image: Sygnia
SolarWinds Vakası: Etkilenen Kurumlar ABD Savunma Bakanlığı ABD Enerji Bakanlığı ABD Ticaret Bakanlığı ABD Sağlık Bakanlığı ABD İçişleri Bakanlığı ABD Dışişleri Bakanlığı ABD Hazine Bakanlığı Belkin International California Department of State Hospitals Cisco Cox Communications Deloitte Digital Sense FireEye Intel ITPS Kent State University Microsoft Netdecisions Nvidia Pima County, State of Arizona SolarWinds Stratus Networks VMware
Kaseya Vakası REvil Ransomware Group Kaseya VSA SaaS Platform Managed Service Providers (MSPs) MSP Customers RANSOMWARE 50 direkt Kaseya müşterisi 800 ila 1500 arasında dolaylı şirket
Kaseya Vakası
Accellion Vakası Cl0p Ransomware Grubu Accellion out-of-date FTA Accellion out-of-date FTA Accellion out-of-date FTA Accellion out-of-date FTA Exploiting 0-day Exploiting 0-day Exploiting 0-day Exploiting 0-day
Accenture Vakası BT hizmetleri ve danışmanlık Not: Accenture, tehdit aktörünün iddiasının doğru olmadığını beyan etti. Tehdit aktörü, Accenture ihlalinin onlara Accenture müşterilerinin hedef almalarını sağlayacak kullanıcı adı ve şifrelere erişim imkanı verdiğini söyledi.
Gri Gergedan "Gri gergedan", oldukça olası, yüksek etkili ancak ihmal edilen bir tehdittir. Hem odadaki filin hem de olası ve öngörülemeyen siyah kuğun akrabası. Gri gergedanlar rastgele sürprizler değildir, bir dizi uyarı ve görünür kanıttan sonra ortaya çıkar.
Ne sıklıkla oluyor? • En son örnekler; • Confluence / Atlassian • RCE zafiyeti 25 Ağustos’da yayınlandı. • Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek kurbanlarını seçmeye başladı (5 Ekim). • NewHotel Software • Büyük otel zincirleri için yazılım üreticisi.
Ne sıklıkla oluyor? • En son örnekler; • Confluence / Atlassian • RCE zafiyeti 25 Ağustos’da yayınlandı. • Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek kurbanlarını seçmeye başladı (5 Ekim). • NewHotel Software • Büyük otel zincirleri için yazılım üreticisi. https://blackkite.com/data-breaches-caused-by-third-parties/
3. Parti Kaynaklı Veri İhlalleri Nasıl Engellenir? • Erişimleri yetkilendirmek/kısıtlamak. • Paylaşılan veri miktarını küçültmek. • Log tutmak. • Peki yeterli mi? • 3. taraf şirketlerin (daha geniş ifadesi ile dijital ekosistemin) sürekli gözlemlenmesi. • 3. taraf şirketlerin siber güvenlik/risk durumlarını ölçümle • Önceliklendir • Sonuçları paylaş • On-site ziyaretler • Sözleşmeyi feshetme
Siber Risk Değerlendirme Yöntemleri Harici / Dışarıdan İçeriye Yönetimsel Dahili /İçeriden dışarıya Senaryo- tabanlı testler Olasılıksal Veri Modelleri
Siber Risk Değerlendirme Yöntemleri Harici / Dışarıdan İçeriye Yönetimsel Değerlendirm eler Dahili /İçeriden dışarıya Senaryo- tabanlı testler Olasılıksal Veri Modelleri - Siber Skorlama Çözümleri - Dijital ayakizini OSINT yöntemleri ile çıkarır - Harici saldırı yüzeyini verir - Ölçeklenebilir - Hızlı - İçeriden bilgi almadığı için kısıtlı bir değerlendirmedir. - İş riskine çevrilmezse anlamlandırmak zorlaşabilir - OT ve bulut risklerini gösteremez
OSINT ile Dijital Ayakizi
Siber Risk Değerlendirme Yöntemleri Yönetimsel Harici / Dışarıdan İçeriye Dahili /İçeriden dışarıya Senaryo- tabanlı testler Olasılıksal Veri Modelleri - Kontrol tabanlı çerçeveler - ISO27001, - PCI-DSS, - NIST, vb. - Kurumun iyi uygulamalarını ve regülasyonlara uyumluluğunu gösterir - Uyumluluk ≠ Güvenlik - Olgunluk seviyeleri sınırlı bilgi verir
Siber Risk Değerlendirme Yöntemleri Dahili /İçeriden dışarıya Yönetimsel Değerlendirm eler Harici / Dışarıdan İçeriye Senaryo- tabanlı testler Olasılıksal Veri Modelleri - Soru Setleri, dış teftişler, denetim raporları - Kontrol/hazırlık konusunda perspektif verir - Sonuçların yorumlanması ağır süreçlerdir - Manuel iş yükü çok fazla, yavaş - Risk terminolojisine çevirmek zor - Subjektif - Maliyetli
Siber Risk Değerlendirme Yöntemleri Olasılııksal Veri Modelleri Harici / Dışarıdan İçeriye Dahili /İçeriden dışarıya Senaryo- tabanlı testler Yönetimsel - Kayba dair faydalı istatistiki projeksiyonlar sunar - Sınırlı veri ile oluşturulmuş veri setlerine fazlasıyla bağlı
Siber Risk Değerlendirme Yöntemleri Senaryo- tabanlı testler Yönetimsel Değerlendirm eler Harici / Dışarıdan İçeriye Dahili /İçeriden dışarıya Olasılıksal Veri Modelleri - En kötü senaryo analizleri - Teknik kısmı saldırı simülatörleri ile sağlanabilir - Kurumdaki uzman kişilerle görüşmeleri gerektirebilir - Şirketin kayıplara karşı kurumun nasıl dayandığını gösterebilir - Uzun süren süreç - Ölçeklenebilir değil
Siber Risk Ölçümü için Veri Kaynakları Ölçeklenebilirllik Kesinlik Harici Bilgi Pasif tarama ile elde edilen 3. taraf şirketin müdahelesi veya doğrulaması olmayan bilgi Soru Setleri 3. tarafça cevaplanmış anketler ve görüşmeler. Teknik bir kaynak verisi değil. Paylaşılan Veri Erişim verilmeden 3. tarafça sağlanan loglar ve konfigürasyonlar Direkt Veri Sorgusu Analistlerin veri üzerinde direkt sorgu çalıştırması (3. tarraf teknik personelin göztiminde) On-Prem araçlar 3. Taraf şirketinin içerisine on-prem yerleştirilmiş veri toplama araçları
Nasıl bir 3. Taraf Risk Değerlendirmesi? Kurgu Gerçek Ölçeklenebillir Varsayımlar kabul edilebilir Risk jargonuna çevrilebilir Önceliklendirme için yeterli
Nasıl bir skorlama? F D C B A 0 2 0 40 60 8 0 100 Olgunluk Seviyesi 1 2 3 4 Risk Seviyesi Düşük Normal Yüksek Kritik Bir standart yok. Discrete bir puanlama = etiketleme
Siber skorlar neyi gösterir? • Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder. • Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip firmalar.
Siber skorlar neyi gösterir? • Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder. • Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip firmalar. Accenture veri ihlali öncesi genel siber skoru
Senaryo-tabanlı skorlama • Yükselen tehdit trendlerine özel skorlama yapılabilir • Ransomware Susceptibility Index
Ransomware Susceptibility Index • NewCoop tedarik zinciri saldırısı
Ransomware Susceptibility Index • NewCoop tedarik zinciri saldırısı
Nasıl bir skorlama? • Hangisi daha riskli? TEDARİKÇİ X • Veri paylaşımı yok • İç sistemlere erişimi yok • Yazılım sağlıyor TEDARİKÇİ Y • Veri paylaşımı var (PII) • İç sistemlere erişimi yok • Yazılım sağlamıyor TEDARİKÇİ Z • Veri paylaşımı yok • İç sistemlere erişimi var • Yazılım sağlamıyor B B B
Nasıl bir skorlama? • Hangisi daha riskli? TEDARİKÇİ X • Veri paylaşımı yok • İç sistemlere erişimi yok • Yazılım sağlıyor TEDARİKÇİ Y • Veri paylaşımı var (PII) • İç sistemlere erişimi yok • Yazılım sağlamıyor TEDARİKÇİ Z • Veri paylaşımı yok • İç sistemlere erişimi var • Yazılım sağlamıyor B B B C D
Nasıl bir skorlama? • Hangisi daha riskli? TEDARİKÇİ X • Veri paylaşımı yok • İç sistemlere erişimi yok • Yazılım sağlıyor TEDARİKÇİ Y • Veri paylaşımı var (PII) • İç sistemlere erişimi yok • Yazılım sağlamıyor TEDARİKÇİ Z • Veri paylaşımı yok • İç sistemlere erişimi var • Yazılım sağlamıyor B B B C D Kayıp: $200K Risk, oluşabilecek kayıp ile oluşma sıklığının (ihtimalinin) çarpımıdır. Kayıp: $10M Kayıp: $1M
Gelişmiş bir 3. Taraf Siber Risk Yönetimi Neleri İçermeli?
Ücretsiz skorlama imkanı var mı? Ücretsiz Siber Skor ve Raporu Ücretsiz Ransomware Skoru ve Raporu https://blackkite.com/free-cyber-rating/ https://blackkite.com/free-rsi-rating/
Teşekkürler fdikbiyik@blackkite.com https://www.linkedin.com/in/fdikbiyik/

Recommended

GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
BGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
BGA Cyber Security
 
Web Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriWeb Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma Testleri
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
BGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
BGA Cyber Security
 
Kesif ve Zafiyet Tarama
Kesif ve Zafiyet TaramaKesif ve Zafiyet Tarama
Kesif ve Zafiyet Tarama
Ferhat Ozgur Catak
 

Recommended

GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
BGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
BGA Cyber Security
 
Web Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriWeb Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma Testleri
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
BGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
BGA Cyber Security
 
Kesif ve Zafiyet Tarama
Kesif ve Zafiyet TaramaKesif ve Zafiyet Tarama
Kesif ve Zafiyet Tarama
Ferhat Ozgur Catak
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
BGA Cyber Security
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
BGA Cyber Security
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
BGA Cyber Security
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiBGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
BGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
BGA Cyber Security
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
BGA Cyber Security
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
BGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
BGA Cyber Security
 
OWASP ZAP
OWASP ZAPOWASP ZAP
OWASP ZAP
Alper Başaran
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıBGA Cyber Security
 
Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?
BGA Cyber Security
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
Serkan Özden
 

More Related Content

What's hot

Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
BGA Cyber Security
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
BGA Cyber Security
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
BGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
BGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
BGA Cyber Security
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
BGA Cyber Security
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
BGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
BGA Cyber Security
 
OWASP ZAP
OWASP ZAPOWASP ZAP
OWASP ZAP
Alper Başaran
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıBGA Cyber Security
 

What's hot (20)

Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
 
OWASP ZAP
OWASP ZAPOWASP ZAP
OWASP ZAP
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif Çalışmaları
 

Similar to 3. parti firma risklerinden nasıl korunulur?

Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?
BGA Cyber Security
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
Serkan Özden
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
Doukanksz
 
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz? Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Mustafa
 
Windows 7'de Applocker ve Denetim Donanımları
Windows 7'de Applocker ve Denetim DonanımlarıWindows 7'de Applocker ve Denetim Donanımları
Windows 7'de Applocker ve Denetim Donanımları
windowsblogu
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Raif Berkay DİNÇEL
 
BilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptxBilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptx
Eyşan Öztürk
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Sparta Bilişim
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13
Murat KARA
 
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerSOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
BGA Cyber Security
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
BilgiO A.S / Linux Akademi
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
Alper Başaran
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
Sparta Bilişim
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sparta Bilişim
 
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
Alper Başaran
 
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
BGA Cyber Security
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
BGA Cyber Security
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
BGA Cyber Security
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGI
Ahmet Pekel
 

Similar to 3. parti firma risklerinden nasıl korunulur? (20)

Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
 
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz? Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
 
Windows 7'de Applocker ve Denetim Donanımları
Windows 7'de Applocker ve Denetim DonanımlarıWindows 7'de Applocker ve Denetim Donanımları
Windows 7'de Applocker ve Denetim Donanımları
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
 
BilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptxBilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptx
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13
 
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerSOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
 
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
 
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGI
 

More from BGA Cyber Security

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
BGA Cyber Security
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
BGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
BGA Cyber Security
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
BGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
BGA Cyber Security
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
BGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
BGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
BGA Cyber Security
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
BGA Cyber Security
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
BGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
BGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
BGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
BGA Cyber Security
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
BGA Cyber Security
 
Mail Sniper Nedir?
Mail Sniper Nedir?Mail Sniper Nedir?
Mail Sniper Nedir?
BGA Cyber Security
 
Güncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziGüncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik Analizi
BGA Cyber Security
 
SOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerSOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve Örnekler
BGA Cyber Security
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim Dokümanı
BGA Cyber Security
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
BGA Cyber Security
 

More from BGA Cyber Security (20)

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
 
Mail Sniper Nedir?
Mail Sniper Nedir?Mail Sniper Nedir?
Mail Sniper Nedir?
 
Güncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziGüncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik Analizi
 
SOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerSOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve Örnekler
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim Dokümanı
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
 

3. parti firma risklerinden nasıl korunulur?

  • 1. 3. Parti Firma Risklerinden Nasıl Korunulur? Ferhat DİKBIYIK Head of Research Webinar Serisi – 6 Ekim 2021
  • 2. 3. Parti Kaynaklı Veri İhlalleri • Saldırı yüzeyi sandığımızdan çok daha geniş mi? • 3. taraf (tedarikçi) kaynaklı veri ihlallerinin anatomisi • SolarWinds, Kaseya, Acellion ve Accenture saldırıları nasıl büyük çaplı 3. taraf kaynaklı veri ihlallerine dönüştü • 3. taraf kaynaklı veri ihlallerini engellemek için neler yapılmalı? • Siber Skorlama çözümleri tedarikçi risk yönetiminde ne kadar yeterli? • Dijital ekosisteminize karşı siber saldırılarının işaretlerini önceden görmek mümkün mü? • Gelişmiş bir üçüncü taraf siber risk yönetimi neleri kapsamalı?
  • 3. Siber Saldırı Yüzeyi Bulut Sağlayıcılar Veri İşleme Çözümleri Pazarlama Firmaları Harici Javascript Sağlayıcıları Hukuk Firmaları IT Çözümleri E-posta Hizmet Sağlayıcıları Online Toplantı Araçları Proje Geliştirme Çözümleri Uzaktan Yönetim Sistemleri Mobil Uygulama Geliştiriciler
  • 4. 3. Parti Kaynaklı Veri İhlallerinin Anatomisi 3. Taraf 3. Taraf ile veri paylaşan firmalar 3. Tarafa erişim veren firmalar 3. Tarafın ürününü kullanan firmalar Critical Open Ports Poor email configurations Software vulnerabilities Application weaknesses Leaked Credentials Poor system configurations Malicious Code
  • 5. Büyük Çaplı 3. Taraf Kaynaklı Veri İhlalleri
  • 6. SolarWinds Vakası Image: The 8 Key Lessons From the SolarWinds Attacks - SOCRadar
  • 9. SolarWinds Vakası: Etkilenen Kurumlar ABD Savunma Bakanlığı ABD Enerji Bakanlığı ABD Ticaret Bakanlığı ABD Sağlık Bakanlığı ABD İçişleri Bakanlığı ABD Dışişleri Bakanlığı ABD Hazine Bakanlığı Belkin International California Department of State Hospitals Cisco Cox Communications Deloitte Digital Sense FireEye Intel ITPS Kent State University Microsoft Netdecisions Nvidia Pima County, State of Arizona SolarWinds Stratus Networks VMware
  • 10. Kaseya Vakası REvil Ransomware Group Kaseya VSA SaaS Platform Managed Service Providers (MSPs) MSP Customers RANSOMWARE 50 direkt Kaseya müşterisi 800 ila 1500 arasında dolaylı şirket
  • 13. Accenture Vakası BT hizmetleri ve danışmanlık Not: Accenture, tehdit aktörünün iddiasının doğru olmadığını beyan etti. Tehdit aktörü, Accenture ihlalinin onlara Accenture müşterilerinin hedef almalarını sağlayacak kullanıcı adı ve şifrelere erişim imkanı verdiğini söyledi.
  • 14. Gri Gergedan "Gri gergedan", oldukça olası, yüksek etkili ancak ihmal edilen bir tehdittir. Hem odadaki filin hem de olası ve öngörülemeyen siyah kuğun akrabası. Gri gergedanlar rastgele sürprizler değildir, bir dizi uyarı ve görünür kanıttan sonra ortaya çıkar.
  • 15. Ne sıklıkla oluyor? • En son örnekler; • Confluence / Atlassian • RCE zafiyeti 25 Ağustos’da yayınlandı. • Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek kurbanlarını seçmeye başladı (5 Ekim). • NewHotel Software • Büyük otel zincirleri için yazılım üreticisi.
  • 16. Ne sıklıkla oluyor? • En son örnekler; • Confluence / Atlassian • RCE zafiyeti 25 Ağustos’da yayınlandı. • Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek kurbanlarını seçmeye başladı (5 Ekim). • NewHotel Software • Büyük otel zincirleri için yazılım üreticisi. https://blackkite.com/data-breaches-caused-by-third-parties/
  • 17. 3. Parti Kaynaklı Veri İhlalleri Nasıl Engellenir? • Erişimleri yetkilendirmek/kısıtlamak. • Paylaşılan veri miktarını küçültmek. • Log tutmak. • Peki yeterli mi? • 3. taraf şirketlerin (daha geniş ifadesi ile dijital ekosistemin) sürekli gözlemlenmesi. • 3. taraf şirketlerin siber güvenlik/risk durumlarını ölçümle • Önceliklendir • Sonuçları paylaş • On-site ziyaretler • Sözleşmeyi feshetme
  • 18. Siber Risk Değerlendirme Yöntemleri Harici / Dışarıdan İçeriye Yönetimsel Dahili /İçeriden dışarıya Senaryo- tabanlı testler Olasılıksal Veri Modelleri
  • 19. Siber Risk Değerlendirme Yöntemleri Harici / Dışarıdan İçeriye Yönetimsel Değerlendirm eler Dahili /İçeriden dışarıya Senaryo- tabanlı testler Olasılıksal Veri Modelleri - Siber Skorlama Çözümleri - Dijital ayakizini OSINT yöntemleri ile çıkarır - Harici saldırı yüzeyini verir - Ölçeklenebilir - Hızlı - İçeriden bilgi almadığı için kısıtlı bir değerlendirmedir. - İş riskine çevrilmezse anlamlandırmak zorlaşabilir - OT ve bulut risklerini gösteremez
  • 20. OSINT ile Dijital Ayakizi
  • 21. Siber Risk Değerlendirme Yöntemleri Yönetimsel Harici / Dışarıdan İçeriye Dahili /İçeriden dışarıya Senaryo- tabanlı testler Olasılıksal Veri Modelleri - Kontrol tabanlı çerçeveler - ISO27001, - PCI-DSS, - NIST, vb. - Kurumun iyi uygulamalarını ve regülasyonlara uyumluluğunu gösterir - Uyumluluk ≠ Güvenlik - Olgunluk seviyeleri sınırlı bilgi verir
  • 22. Siber Risk Değerlendirme Yöntemleri Dahili /İçeriden dışarıya Yönetimsel Değerlendirm eler Harici / Dışarıdan İçeriye Senaryo- tabanlı testler Olasılıksal Veri Modelleri - Soru Setleri, dış teftişler, denetim raporları - Kontrol/hazırlık konusunda perspektif verir - Sonuçların yorumlanması ağır süreçlerdir - Manuel iş yükü çok fazla, yavaş - Risk terminolojisine çevirmek zor - Subjektif - Maliyetli
  • 23. Siber Risk Değerlendirme Yöntemleri Olasılııksal Veri Modelleri Harici / Dışarıdan İçeriye Dahili /İçeriden dışarıya Senaryo- tabanlı testler Yönetimsel - Kayba dair faydalı istatistiki projeksiyonlar sunar - Sınırlı veri ile oluşturulmuş veri setlerine fazlasıyla bağlı
  • 24. Siber Risk Değerlendirme Yöntemleri Senaryo- tabanlı testler Yönetimsel Değerlendirm eler Harici / Dışarıdan İçeriye Dahili /İçeriden dışarıya Olasılıksal Veri Modelleri - En kötü senaryo analizleri - Teknik kısmı saldırı simülatörleri ile sağlanabilir - Kurumdaki uzman kişilerle görüşmeleri gerektirebilir - Şirketin kayıplara karşı kurumun nasıl dayandığını gösterebilir - Uzun süren süreç - Ölçeklenebilir değil
  • 25. Siber Risk Ölçümü için Veri Kaynakları Ölçeklenebilirllik Kesinlik Harici Bilgi Pasif tarama ile elde edilen 3. taraf şirketin müdahelesi veya doğrulaması olmayan bilgi Soru Setleri 3. tarafça cevaplanmış anketler ve görüşmeler. Teknik bir kaynak verisi değil. Paylaşılan Veri Erişim verilmeden 3. tarafça sağlanan loglar ve konfigürasyonlar Direkt Veri Sorgusu Analistlerin veri üzerinde direkt sorgu çalıştırması (3. tarraf teknik personelin göztiminde) On-Prem araçlar 3. Taraf şirketinin içerisine on-prem yerleştirilmiş veri toplama araçları
  • 26. Nasıl bir 3. Taraf Risk Değerlendirmesi? Kurgu Gerçek Ölçeklenebillir Varsayımlar kabul edilebilir Risk jargonuna çevrilebilir Önceliklendirme için yeterli
  • 27. Nasıl bir skorlama? F D C B A 0 2 0 40 60 8 0 100 Olgunluk Seviyesi 1 2 3 4 Risk Seviyesi Düşük Normal Yüksek Kritik Bir standart yok. Discrete bir puanlama = etiketleme
  • 28. Siber skorlar neyi gösterir? • Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder. • Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip firmalar.
  • 29. Siber skorlar neyi gösterir? • Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder. • Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip firmalar. Accenture veri ihlali öncesi genel siber skoru
  • 30. Senaryo-tabanlı skorlama • Yükselen tehdit trendlerine özel skorlama yapılabilir • Ransomware Susceptibility Index
  • 31. Ransomware Susceptibility Index • NewCoop tedarik zinciri saldırısı
  • 32. Ransomware Susceptibility Index • NewCoop tedarik zinciri saldırısı
  • 33. Nasıl bir skorlama? • Hangisi daha riskli? TEDARİKÇİ X • Veri paylaşımı yok • İç sistemlere erişimi yok • Yazılım sağlıyor TEDARİKÇİ Y • Veri paylaşımı var (PII) • İç sistemlere erişimi yok • Yazılım sağlamıyor TEDARİKÇİ Z • Veri paylaşımı yok • İç sistemlere erişimi var • Yazılım sağlamıyor B B B
  • 34. Nasıl bir skorlama? • Hangisi daha riskli? TEDARİKÇİ X • Veri paylaşımı yok • İç sistemlere erişimi yok • Yazılım sağlıyor TEDARİKÇİ Y • Veri paylaşımı var (PII) • İç sistemlere erişimi yok • Yazılım sağlamıyor TEDARİKÇİ Z • Veri paylaşımı yok • İç sistemlere erişimi var • Yazılım sağlamıyor B B B C D
  • 35. Nasıl bir skorlama? • Hangisi daha riskli? TEDARİKÇİ X • Veri paylaşımı yok • İç sistemlere erişimi yok • Yazılım sağlıyor TEDARİKÇİ Y • Veri paylaşımı var (PII) • İç sistemlere erişimi yok • Yazılım sağlamıyor TEDARİKÇİ Z • Veri paylaşımı yok • İç sistemlere erişimi var • Yazılım sağlamıyor B B B C D Kayıp: $200K Risk, oluşabilecek kayıp ile oluşma sıklığının (ihtimalinin) çarpımıdır. Kayıp: $10M Kayıp: $1M
  • 36. Gelişmiş bir 3. Taraf Siber Risk Yönetimi Neleri İçermeli?
  • 37. Ücretsiz skorlama imkanı var mı? Ücretsiz Siber Skor ve Raporu Ücretsiz Ransomware Skoru ve Raporu https://blackkite.com/free-cyber-rating/ https://blackkite.com/free-rsi-rating/