SlideShare a Scribd company logo

Endüstri 4.0 Güvenliği

Lostar
Lostar

Erdem Kayar'ın Endüstri 4.0 Güvenliği üzerine Gazi Üniversitesi'nde yaptığı sunum.

1 of 15
Sanayide Dijitalleşme Endüstri 4.0 Erdem KAYAR
Ajanda » Endüstri 4.0 » Dijitalleşme ve Güvenlik » Endüstriyel Sistemlerde Güvenlik » Yakın tarihten örnekler » Önlem Yaklaşımı
Endüstri 4.0 • ENDÜSTRİ 1.0 Su ve Buhar Enerjili Mekanik Üretim Tesisleri • ENDÜSTRİ 2.0 İş Bölümüne Dayalı Elektrik Enerjili Kitlesel Üretim • ENDÜSTRİ 3.0 İmalatın Otomasyonunu İleriye Taşımayı Başaran Elektronik ve Bilgi Teknolojileri • ENDÜSTRİ 4.0 Siber Sistemlere Dayalı Üretim
Dijitalleşme ve Güvenlik
Endüstriyel Sistemlerde Güvenlik Karşılaşılan temel problemler: • Doğrulanmamış Protokoller • Eski/Desteği kesilmiş Donanım Kullanımı • Zayıf Kullanıcı Kimliği Doğrulama Sistemleri • Zayıf Dosya Bütünlüğü Denetimleri • Zafiyetli İşletim Sistemleri • Kayıt dışı 3. Bileşenler
Doğrulanmamış Protokoller • Çoğu ICS protokolü kimlik bilgisi olmadan çalışır. Sistem, verinin güvenli kaynaktan gelmesine dayanır. • ICS protokolünün kimliği doğrulanmadığında ağdaki herhangi bir bilgisayar, işlemleri manipüle edebilir.
Eski/Desteği Kesilmiş Donanım Kullanımı • ICS donanımları on yıllar boyunca kullanılabilir. PLC’ler, RTU’lar, VFD’ler, koruyucu röleler.. vb. • Modern ağ teknolojilerinden yoksun eski donanımlar zafiyetler içerebilmektedir ve üreticisi tarafından desteği kesildiği için güncellenemediğinden zafiyetli olarak kalmaktadır.
Zayıf Kullanıcı Kimliği Doğrulama Sistemleri • ISC kullanıcıları genellikle parolalar ile doğrulama yaparlar, ancak eski kontrol sistemlerinde sabit kodlanmış parolalar kullanır. • Parolalar kolayca kurtarılır, sistemlerde özeti alınmadan saklandıkları için parolalara kolaylıkla ulaşılabilir. • Parolaları elde eden saldırganlar kolaylıkla sistemle etkileşime geçebilirler.
Zayıf Dosya Bütünlüğü Denetimleri • Doğruluk kontrolü veya kodun bütünlüğünü, kökenini doğrulama kabiliyetindeki zayıflıklar • Şifreleme doğrulamasının ISC sistemlerdeki eksik olduğu durumlar; • Zayıf yazılım imzalama • Zayıf yazılım bütünlüğü kontrolleri • Zayıf mantıksal kontrol denetimleri
Zafiyetli İşletim Sistemleri • Kullanılan işletim sistemlerindeki özellikle eski versiyon güncellemeleri almamış, zafiyetli Microsoft Windows işletim sistemleri ISC sistemlerinde güvenlik zafiyetlerine neden olmaktadır.
Kayıt Dışı 3. Parti Bileşenler • ISC sistem yöneticileri genellikle üçüncü taraf uygulama ve bileşenleri nadiren belgelemekte ve izlemektedirler. • 3. parti bileşenlerin kullanımdan haberi dahil olmayan sistem yöneticileri olduğu gözlemlenmektedir. • Takibi yapılamayan bu bileşenler zafiyetli olsa bile haberi olmadığından zafiyetli olarak sistemde hizmet vermeye devam etmektedirler.
Örnekler • IRONGATE zararlısı SCADA sistemlerdeki zafiyetlerden yararlanarak endüstriyel sistemlere sızmaya çalışmıştır.
Örnekler • Wannacry zararlısı endüstriyel sistemlerdeki güncel olmayan işletim sistemlerindeki zafiyetlerden yararlanarak üretimlere ara verilmesine neden olmuştur.
1.Planla 2.İzle 3.Tespit Et 4.Yakala5.Analiz Et 6.Sonuçları Yayınla 7.Önlem Al Savunma Yaklaşımı 1. Yaklaşım 2. Kayıt (Log) 3. Kayıt korelasyonu – SIEM + İstihbarat 4. SOC 1 5. SOC 2 6. SOME 7.  - Örn: İnsan Önlem!
Teşekkürler

Recommended

Endüstri 4.0 / Güvenlik 4.0
Endüstri 4.0 / Güvenlik 4.0Endüstri 4.0 / Güvenlik 4.0
Endüstri 4.0 / Güvenlik 4.0
Lostar
 
Biznet Bilişim - EKS Güvenliği Hizmetleri
Biznet Bilişim - EKS Güvenliği HizmetleriBiznet Bilişim - EKS Güvenliği Hizmetleri
Biznet Bilişim - EKS Güvenliği Hizmetleri
Biznet Bilişim
 
Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇
Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇
Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇
Kamuran Özkan
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651logyonetimi
 
Zigbee Standardinda Guvenlik
Zigbee Standardinda GuvenlikZigbee Standardinda Guvenlik
Zigbee Standardinda Guvenlikeroglu
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
TurkIOT
 
iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014
iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014
iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014Oguzhan Topgul
 
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim
 

Recommended

Endüstri 4.0 / Güvenlik 4.0
Endüstri 4.0 / Güvenlik 4.0Endüstri 4.0 / Güvenlik 4.0
Endüstri 4.0 / Güvenlik 4.0
Lostar
 
Biznet Bilişim - EKS Güvenliği Hizmetleri
Biznet Bilişim - EKS Güvenliği HizmetleriBiznet Bilişim - EKS Güvenliği Hizmetleri
Biznet Bilişim - EKS Güvenliği Hizmetleri
Biznet Bilişim
 
Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇
Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇
Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇
Kamuran Özkan
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651logyonetimi
 
Zigbee Standardinda Guvenlik
Zigbee Standardinda GuvenlikZigbee Standardinda Guvenlik
Zigbee Standardinda Guvenlikeroglu
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
TurkIOT
 
iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014
iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014
iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014Oguzhan Topgul
 
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
BGA Cyber Security
 
Şifreleme teknikleri ve tarihçesi
Şifreleme teknikleri ve tarihçesiŞifreleme teknikleri ve tarihçesi
Şifreleme teknikleri ve tarihçesiCavad Bağırov
 
Scada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLATScada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLAT
Çağrı Polat
 
Trusted Computing
Trusted ComputingTrusted Computing
Trusted Computingeroglu
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleriosmncht
 
Ağ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriAğ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriCihat Işık
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
BilgiO A.S / Linux Akademi
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
BGA Cyber Security
 
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Erkan Başavcı
 
Kritik Altyyapıları Asgari Güvenlik Önlemleri
Kritik Altyyapıları Asgari Güvenlik ÖnlemleriKritik Altyyapıları Asgari Güvenlik Önlemleri
Kritik Altyyapıları Asgari Güvenlik Önlemleri
Rumeysa Bozdemir
 
Network access control
Network access controlNetwork access control
Network access controlSinem Altan
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Ertugrul Akbas
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLAT
Çağrı Polat
 
Güvenlik Mühendisliği
Güvenlik MühendisliğiGüvenlik Mühendisliği
Güvenlik MühendisliğiBGA Cyber Security
 
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunumeroglu
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
 
Windows Masaüstü Güvenliği
Windows Masaüstü GüvenliğiWindows Masaüstü Güvenliği
Windows Masaüstü Güvenliği
Burak DAYIOGLU
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım GüvenliğiUğur Tılıkoğlu
 
VERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarVERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
Lostar
 
KVKK ve GDPR'a BT Uyumu
KVKK ve GDPR'a BT UyumuKVKK ve GDPR'a BT Uyumu
KVKK ve GDPR'a BT Uyumu
Lostar
 

More Related Content

Similar to Endüstri 4.0 Güvenliği

Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
BGA Cyber Security
 
Şifreleme teknikleri ve tarihçesi
Şifreleme teknikleri ve tarihçesiŞifreleme teknikleri ve tarihçesi
Şifreleme teknikleri ve tarihçesiCavad Bağırov
 
Scada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLATScada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLAT
Çağrı Polat
 
Trusted Computing
Trusted ComputingTrusted Computing
Trusted Computingeroglu
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleriosmncht
 
Ağ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriAğ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriCihat Işık
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
BilgiO A.S / Linux Akademi
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
BGA Cyber Security
 
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Erkan Başavcı
 
Kritik Altyyapıları Asgari Güvenlik Önlemleri
Kritik Altyyapıları Asgari Güvenlik ÖnlemleriKritik Altyyapıları Asgari Güvenlik Önlemleri
Kritik Altyyapıları Asgari Güvenlik Önlemleri
Rumeysa Bozdemir
 
Network access control
Network access controlNetwork access control
Network access controlSinem Altan
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Ertugrul Akbas
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLAT
Çağrı Polat
 
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunumeroglu
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
 
Windows Masaüstü Güvenliği
Windows Masaüstü GüvenliğiWindows Masaüstü Güvenliği
Windows Masaüstü Güvenliği
Burak DAYIOGLU
 

Similar to Endüstri 4.0 Güvenliği (20)

Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
 
Şifreleme teknikleri ve tarihçesi
Şifreleme teknikleri ve tarihçesiŞifreleme teknikleri ve tarihçesi
Şifreleme teknikleri ve tarihçesi
 
Scada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLATScada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLAT
 
Trusted Computing
Trusted ComputingTrusted Computing
Trusted Computing
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleri
 
Ağ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriAğ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit Sistemleri
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
 
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
 
Kritik Altyyapıları Asgari Güvenlik Önlemleri
Kritik Altyyapıları Asgari Güvenlik ÖnlemleriKritik Altyyapıları Asgari Güvenlik Önlemleri
Kritik Altyyapıları Asgari Güvenlik Önlemleri
 
Network access control
Network access controlNetwork access control
Network access control
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLAT
 
Güvenlik Mühendisliği
Güvenlik MühendisliğiGüvenlik Mühendisliği
Güvenlik Mühendisliği
 
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
Windows Masaüstü Güvenliği
Windows Masaüstü GüvenliğiWindows Masaüstü Güvenliği
Windows Masaüstü Güvenliği
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım Güvenliği
 

More from Lostar

VERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarVERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
Lostar
 
KVKK ve GDPR'a BT Uyumu
KVKK ve GDPR'a BT UyumuKVKK ve GDPR'a BT Uyumu
KVKK ve GDPR'a BT Uyumu
Lostar
 
DDoS - Dağıtık Hizmet Engelleme Saldırıları
DDoS - Dağıtık Hizmet Engelleme SaldırılarıDDoS - Dağıtık Hizmet Engelleme Saldırıları
DDoS - Dağıtık Hizmet Engelleme Saldırıları
Lostar
 
Bulut & Güvenlik - Güvence Nasıl Sağlanır?
Bulut & Güvenlik - Güvence Nasıl Sağlanır?Bulut & Güvenlik - Güvence Nasıl Sağlanır?
Bulut & Güvenlik - Güvence Nasıl Sağlanır?
Lostar
 
IoT ve Güvenlik Ekim2017
IoT ve Güvenlik Ekim2017IoT ve Güvenlik Ekim2017
IoT ve Güvenlik Ekim2017
Lostar
 
Wannacry.Lostar
Wannacry.LostarWannacry.Lostar
Wannacry.Lostar
Lostar
 
BLOCKCHAIN
BLOCKCHAINBLOCKCHAIN
BLOCKCHAIN
Lostar
 
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemlerDijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
Lostar
 
Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT UyumuKişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Lostar
 
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku ZirvesiHerşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
Lostar
 
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESSBest Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
Lostar
 
Bulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - Lostar
Bulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - LostarBulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - Lostar
Bulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - Lostar
Lostar
 
Lostar Microsoft Zirve 2007 Guvenlik
Lostar Microsoft Zirve 2007 GuvenlikLostar Microsoft Zirve 2007 Guvenlik
Lostar Microsoft Zirve 2007 Guvenlik
Lostar
 
Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013
Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013
Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013Lostar
 
Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013
Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013 Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013
Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013 Lostar
 
Tedarikçi Güvenliği için Yol Haritası
Tedarikçi Güvenliği için Yol HaritasıTedarikçi Güvenliği için Yol Haritası
Tedarikçi Güvenliği için Yol Haritası
Lostar
 
Tedarikçi Kullanımı ve Riskler
Tedarikçi Kullanımı ve RisklerTedarikçi Kullanımı ve Riskler
Tedarikçi Kullanımı ve Riskler
Lostar
 
Yeni TTK Guvenlik
Yeni TTK GuvenlikYeni TTK Guvenlik
Yeni TTK Guvenlik
Lostar
 
Risk IT
Risk ITRisk IT
Risk IT
Lostar
 
Bilgi Güvenliğinde Sık Yapılan Hatalar
Bilgi Güvenliğinde Sık Yapılan HatalarBilgi Güvenliğinde Sık Yapılan Hatalar
Bilgi Güvenliğinde Sık Yapılan Hatalar
Lostar
 

More from Lostar (20)

VERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarVERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
 
KVKK ve GDPR'a BT Uyumu
KVKK ve GDPR'a BT UyumuKVKK ve GDPR'a BT Uyumu
KVKK ve GDPR'a BT Uyumu
 
DDoS - Dağıtık Hizmet Engelleme Saldırıları
DDoS - Dağıtık Hizmet Engelleme SaldırılarıDDoS - Dağıtık Hizmet Engelleme Saldırıları
DDoS - Dağıtık Hizmet Engelleme Saldırıları
 
Bulut & Güvenlik - Güvence Nasıl Sağlanır?
Bulut & Güvenlik - Güvence Nasıl Sağlanır?Bulut & Güvenlik - Güvence Nasıl Sağlanır?
Bulut & Güvenlik - Güvence Nasıl Sağlanır?
 
IoT ve Güvenlik Ekim2017
IoT ve Güvenlik Ekim2017IoT ve Güvenlik Ekim2017
IoT ve Güvenlik Ekim2017
 
Wannacry.Lostar
Wannacry.LostarWannacry.Lostar
Wannacry.Lostar
 
BLOCKCHAIN
BLOCKCHAINBLOCKCHAIN
BLOCKCHAIN
 
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemlerDijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
 
Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT UyumuKişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
 
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku ZirvesiHerşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
 
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESSBest Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
 
Bulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - Lostar
Bulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - LostarBulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - Lostar
Bulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - Lostar
 
Lostar Microsoft Zirve 2007 Guvenlik
Lostar Microsoft Zirve 2007 GuvenlikLostar Microsoft Zirve 2007 Guvenlik
Lostar Microsoft Zirve 2007 Guvenlik
 
Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013
Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013
Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013
 
Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013
Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013 Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013
Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013
 
Tedarikçi Güvenliği için Yol Haritası
Tedarikçi Güvenliği için Yol HaritasıTedarikçi Güvenliği için Yol Haritası
Tedarikçi Güvenliği için Yol Haritası
 
Tedarikçi Kullanımı ve Riskler
Tedarikçi Kullanımı ve RisklerTedarikçi Kullanımı ve Riskler
Tedarikçi Kullanımı ve Riskler
 
Yeni TTK Guvenlik
Yeni TTK GuvenlikYeni TTK Guvenlik
Yeni TTK Guvenlik
 
Risk IT
Risk ITRisk IT
Risk IT
 
Bilgi Güvenliğinde Sık Yapılan Hatalar
Bilgi Güvenliğinde Sık Yapılan HatalarBilgi Güvenliğinde Sık Yapılan Hatalar
Bilgi Güvenliğinde Sık Yapılan Hatalar
 

Endüstri 4.0 Güvenliği

  • 2. Ajanda » Endüstri 4.0 » Dijitalleşme ve Güvenlik » Endüstriyel Sistemlerde Güvenlik » Yakın tarihten örnekler » Önlem Yaklaşımı
  • 3. Endüstri 4.0 • ENDÜSTRİ 1.0 Su ve Buhar Enerjili Mekanik Üretim Tesisleri • ENDÜSTRİ 2.0 İş Bölümüne Dayalı Elektrik Enerjili Kitlesel Üretim • ENDÜSTRİ 3.0 İmalatın Otomasyonunu İleriye Taşımayı Başaran Elektronik ve Bilgi Teknolojileri • ENDÜSTRİ 4.0 Siber Sistemlere Dayalı Üretim
  • 5. Endüstriyel Sistemlerde Güvenlik Karşılaşılan temel problemler: • Doğrulanmamış Protokoller • Eski/Desteği kesilmiş Donanım Kullanımı • Zayıf Kullanıcı Kimliği Doğrulama Sistemleri • Zayıf Dosya Bütünlüğü Denetimleri • Zafiyetli İşletim Sistemleri • Kayıt dışı 3. Bileşenler
  • 6. Doğrulanmamış Protokoller • Çoğu ICS protokolü kimlik bilgisi olmadan çalışır. Sistem, verinin güvenli kaynaktan gelmesine dayanır. • ICS protokolünün kimliği doğrulanmadığında ağdaki herhangi bir bilgisayar, işlemleri manipüle edebilir.
  • 7. Eski/Desteği Kesilmiş Donanım Kullanımı • ICS donanımları on yıllar boyunca kullanılabilir. PLC’ler, RTU’lar, VFD’ler, koruyucu röleler.. vb. • Modern ağ teknolojilerinden yoksun eski donanımlar zafiyetler içerebilmektedir ve üreticisi tarafından desteği kesildiği için güncellenemediğinden zafiyetli olarak kalmaktadır.
  • 8. Zayıf Kullanıcı Kimliği Doğrulama Sistemleri • ISC kullanıcıları genellikle parolalar ile doğrulama yaparlar, ancak eski kontrol sistemlerinde sabit kodlanmış parolalar kullanır. • Parolalar kolayca kurtarılır, sistemlerde özeti alınmadan saklandıkları için parolalara kolaylıkla ulaşılabilir. • Parolaları elde eden saldırganlar kolaylıkla sistemle etkileşime geçebilirler.
  • 9. Zayıf Dosya Bütünlüğü Denetimleri • Doğruluk kontrolü veya kodun bütünlüğünü, kökenini doğrulama kabiliyetindeki zayıflıklar • Şifreleme doğrulamasının ISC sistemlerdeki eksik olduğu durumlar; • Zayıf yazılım imzalama • Zayıf yazılım bütünlüğü kontrolleri • Zayıf mantıksal kontrol denetimleri
  • 10. Zafiyetli İşletim Sistemleri • Kullanılan işletim sistemlerindeki özellikle eski versiyon güncellemeleri almamış, zafiyetli Microsoft Windows işletim sistemleri ISC sistemlerinde güvenlik zafiyetlerine neden olmaktadır.
  • 11. Kayıt Dışı 3. Parti Bileşenler • ISC sistem yöneticileri genellikle üçüncü taraf uygulama ve bileşenleri nadiren belgelemekte ve izlemektedirler. • 3. parti bileşenlerin kullanımdan haberi dahil olmayan sistem yöneticileri olduğu gözlemlenmektedir. • Takibi yapılamayan bu bileşenler zafiyetli olsa bile haberi olmadığından zafiyetli olarak sistemde hizmet vermeye devam etmektedirler.
  • 12. Örnekler • IRONGATE zararlısı SCADA sistemlerdeki zafiyetlerden yararlanarak endüstriyel sistemlere sızmaya çalışmıştır.
  • 13. Örnekler • Wannacry zararlısı endüstriyel sistemlerdeki güncel olmayan işletim sistemlerindeki zafiyetlerden yararlanarak üretimlere ara verilmesine neden olmuştur.
  • 14. 1.Planla 2.İzle 3.Tespit Et 4.Yakala5.Analiz Et 6.Sonuçları Yayınla 7.Önlem Al Savunma Yaklaşımı 1. Yaklaşım 2. Kayıt (Log) 3. Kayıt korelasyonu – SIEM + İstihbarat 4. SOC 1 5. SOC 2 6. SOME 7.  - Örn: İnsan Önlem!