Tedarikçilerden kaynaklı siber güvenlik risklerinin belirlenmesi konusunda verdiğimiz danışmanlık hizmeti kapsamında düzenlenen 2 günlük çalıştaya ait giriş sunumudur.

1. Tedarikçi Kaynaklı
Siber Riskler
Alper Başaran
alper@sparta.com.tr
1www.sparta.com.tr

2. www.sparta.com.tr 2

3. Sparta Bilişim
• 2013 Yılında kuruldu
• Kamu ve Özel 200’den fazla kuruluşa hizmet verdi/veriyor
• Test Hizmetleri
• İç ve Dış ağ sızma testleri
• Web uygulama sızma testleri
• Mobil uygulama sızma testleri
• Altyapı ve güvenlik mimarisi testleri
• Senaryo tabanlı güvenlik testleri
• SCADA güvenlik testleri
• Fiziksel sızma testleri
• VoIP ve Video Konferans testleri
• Hastane Bilgi Yönetim Sistemi (HBYS) güvenlik testleri
• Elektronik Belge Yönetimi Sistemi (EBYS) güvenlik testleri
www.sparta.com.tr 3

4. Analiz ve Danışmanlık Hizmetleri
• Siber güvenlik risk seviyesi değerlendirmesi
• Siber risk iş etki analizleri
• Taşeron/Tedarikçi risk analizleri
• KVKK (Kişisel Verilerin Korunması Kanunu) danışmanlığı
• ISO27001 belgelendirme hizmeti
• Güvenlik envanteri değerlendirmesi
• FKM (Felaket Kurulum Merkezi) danışmanlığı
• SIEM (Security Incident and Events Management) danışmanlığı
• SOME (Siber Olaylara Müdahale Ekibi) danışmanlığı
• İç tehdit değerlendirme hizmeti
• SANS Critical Security Controls
• Center for Internet Security sistem sıkılaştırma danışmanlığı
• Olay müdahale (incident response) danışmanlığı
• Siber güvenlik stratejisi danışmanlığı
www.sparta.com.tr 4

5. Eğitimlerimiz
• Sızma testi eğitimleri
• SOME Eğitimleri
• Zararlı yazılım analizi eğitimleri
• Trafik analizi eğitimleri
• Log analizi eğitimleri
• Siber kriz yönetimi eğitimleri
www.sparta.com.tr 5

6. 2 Günde Neler Var?
• Mevcut tedarik zincirinizin analizi
• Tedarik zincirinin siber risklerinin belirlenmesi
• Tedarikçi profilinizin analizi
• Tedarikçilerden doğabilecek siber risklerinizin ortaya çıkartılması
• Tedarikçileri siber risklere karşı denetlenmesi
• Tedarik zinciri siber risk minimizasyonu teorisi
• Risk azaltma yol haritasının belirlenmesi
• Risk azaltma döngüsü (Sürekli iyileştirme)
www.sparta.com.tr 6

7. www.sparta.com.tr 7

8. Sorular…
• Tedarikçilerinizle entegre sisteminiz var mı?
• Kuruluşunuz bünyesinde dış kaynaklı kaç adet yazılım var?
• Size özel yazılan uygulamaları teslim/kabul prosedürü nedir?
• Tedarikçiniz hacklenirse size yansıması ne olur?
• …?
www.sparta.com.tr 8

9. www.sparta.com.tr 9
Nedir bu “tedarikçi”?

10. Kimler var?
• Yazılım tedarikçileri
• Bilgi tedarikçileri
• Bize bilgi sağlayanlar?
• Mailleştiklerimiz?
www.sparta.com.tr 10

11. Zincir…
www.sparta.com.tr 11
Kaynak Siz Müşteri
Veri merkezi Online Satış Müşteri
Örn:
Hizmet kesintisi
Örn:
Zararlı yazılım dağıtımı
Örn:
Kredi Kartı Çalınması

12. Home Depot (2014)
• Amerikan Koçtaş’ı
• Tedarikçilerden birinin erişim bilgileri kullanılarak…
• Havalandırma sisteminin bakımını yapan şirketin bilgileri kullanılarak…
• 56 milyon kredi kartı numarası çalındı…
www.sparta.com.tr 12

13. OPM (2015)
• Amerikan Devlet Personel Başkanlığı
• Tedarikçi erişim bilgileri kullanılarak…
• 22 milyon kişinin kişisel bilgileri çalındı
www.sparta.com.tr 13

14. Lockheed Martin (2011)
• Amerikan TAI’si
• Ar-Ge çalışması ve planlar çalındı
• ”şifrematik kullanılarak”…
• Çünkü önce RSA’yı hacklediler
www.sparta.com.tr 14

15. RSA nasıl hacklendi?
www.sparta.com.tr 15
1

16. RSA nasıl hacklendi? -2
www.sparta.com.tr 16
2

17. Siber Ölüm Zinciri
Bilgi Toplama
• Pasif bilgi
toplama
• Kuruluş
şemaları
• IP adresleri
• Port
taramaları
• İnternet
servis
sağlayıcısı
bilgileri
• Dışarıya
dönük
sistemler
• ...
Silahlandırma
• İstismar
kodunun
hazırlanması
• Zararlı yazılım
• Ambalaj
Teslimat
• Hedefli
oltalama
saldırısı
(spear
phishing)
• Zararlı içerikli
web sayfası
• İnternet
servis
sağlayıcısı
İstismar
• Kodun
çalıştırılması
• Hedef
sistemle
bağlantı
kurma
• Üçüncü
tarafların
istismarı
Kurulum
• Trojan veya
arkakapı
• Kalıcı erişim
kurabilme
• Yetki
yükseltme
• Kullanıcı
adlarını ve
parolaları
çalma
Komuta ve
kontrol
• Hedefle
iletişim
yolunun
açılması
• Yatay hareket
• İç ağda bilgi
toplama
• Erişimi kalıcı
hale getirme
Hedef üzerinde
işlemler
• Derinleşme
• Bağlantıyı ve
erişimi kalıcı
hale getirecek
ek yöntemler
• Veri sızdırma
1 2 3 4 5 6 7
www.sparta.com.tr 17

18. www.sparta.com.tr 18

19. Havacılık sektörü Türkiye (2016)
• Gerçek alanadı: 26northaviation.com
Sahte alanadı: 26northaviations.com
• Gerçek alanadı: bee-jet.com
Sahte alanadı: bee-jets.com
• Gerçek alanadı: eurojet-service.com
Sahte alanadı: eurojets-service.com
www.sparta.com.tr 19

20. Saldırgana maliyeti
www.sparta.com.tr 20

21. Nasıl çalışıyoruz?
• Boeing için yapılan bir çalışmada tedarikçilerin bilgi güvenliğini
etkileyebileceği 3 temel senaryo ortaya çıkmış;
• Boeing ağ ve sistemlerine erişmesi gereken tedarikçiler
• Boeing ağ ve sistemleri üzerinde tutulan veriye ulaşması gereken tedarikçiler
• Boeing ağ ve sistemleri üzerinde tutulmayan veriye ulaşması gereken
tedarikçiler
www.sparta.com.tr 21

22. Nasıl çalışıyoruz?
• Boeing tedarikçi seçiminde belli siber güvenlik standartlarını mecburi
tutuyor (ISO 27001) ve kendi soru formunu gönderiyor
• Alt-yüklenici kullanan tedarikçilerin alt-yüklenicilerden aynı
standartları talep etmesini istiyor
• Tedarikçi siber güvenliğini sürekli denetletiyor (exostar)
www.sparta.com.tr 22

23. Nasıl çalışıyoruz?
• Exostar siber güvenlik olgunluk seviyeleri
www.sparta.com.tr 23
Seviye Açıklama
0 Siber güvenlik yönetim programı yok
1 Temel seviye. İyileştirilmesi gerekiyor
2 Orta seviye. Temel önlemler var, kritik bilgiler için ek önlemler alınmalı
3 İyi. İleri seviye saldırılara karşı tedbirler alınmalı
4 İleri seviye saldırılara karşı dayanıklı yapı
5 Gelişmiş önleme, tespit etme ve müdahale etme becerileri mevcut

24. Tedarikçide nelere bakmalıyız?
• Cihaz envanteri
• Yazılım envanteri
• Güvenli yapılandırma ayarları
• Sürekli zafiyet tarama
• Zararlı yazılımlara karşı savunma
• Uygulama güvenliği (geliştirilen ve satınalınanlar için)
• Kablosuz ağ güvenliği
www.sparta.com.tr 24

25. Tedarikçide nelere bakmalıyız?
• Veri geri getirme yetenekleri
• Güvenlik eğitimleri ve teknik yetkinlik
• Ağ cihazlarının güvenli kurulumu ve konfigürasyonu
• Ağ erişim güvenliği (port, protokol ve servis)
• Yetkili kullanıcı denetimi
• Sınır güvenliği
• Log yönetimi
• Erişim kontrolü
www.sparta.com.tr 25

26. Tedarikçide nelere bakmalıyız?
• Hesap yönetimi
• Veri güvenliği
• Olay tespit ve müdahale
• Güvenli ağ mimarisi
• Sızma testleri
• Güvenlik yönetimi
• Mobil cihaz güvenliği
www.sparta.com.tr 26

27. 10 DAKİKA ARA
www.sparta.com.tr 27