Tedarikci siber risk_giris

Tedarikçi Kaynaklı
Siber Riskler
Alper Başaran
alper@sparta.com.tr
1www.sparta.com.tr

Sparta Bilişim
• 2013 Yılında kuruldu
• Kamu ve Özel 200’den fazla kuruluşa hizmet verdi/veriyor
• Test Hizmetleri
• İç ve Dış ağ sızma testleri
• Web uygulama sızma testleri
• Mobil uygulama sızma testleri
• Altyapı ve güvenlik mimarisi testleri
• Senaryo tabanlı güvenlik testleri
• SCADA güvenlik testleri
• Fiziksel sızma testleri
• VoIP ve Video Konferans testleri
• Hastane Bilgi Yönetim Sistemi (HBYS) güvenlik testleri
• Elektronik Belge Yönetimi Sistemi (EBYS) güvenlik testleri
www.sparta.com.tr 3

Analiz ve Danışmanlık Hizmetleri
• Siber güvenlik risk seviyesi değerlendirmesi
• Siber risk iş etki analizleri
• Taşeron/Tedarikçi risk analizleri
• KVKK (Kişisel Verilerin Korunması Kanunu) danışmanlığı
• ISO27001 belgelendirme hizmeti
• Güvenlik envanteri değerlendirmesi
• FKM (Felaket Kurulum Merkezi) danışmanlığı
• SIEM (Security Incident and Events Management) danışmanlığı
• SOME (Siber Olaylara Müdahale Ekibi) danışmanlığı
• İç tehdit değerlendirme hizmeti
• SANS Critical Security Controls
• Center for Internet Security sistem sıkılaştırma danışmanlığı
• Olay müdahale (incident response) danışmanlığı
• Siber güvenlik stratejisi danışmanlığı
www.sparta.com.tr 4

Eğitimlerimiz
• Sızma testi eğitimleri
• SOME Eğitimleri
• Zararlı yazılım analizi eğitimleri
• Trafik analizi eğitimleri
• Log analizi eğitimleri
• Siber kriz yönetimi eğitimleri
www.sparta.com.tr 5

2 Günde Neler Var?
• Mevcut tedarik zincirinizin analizi
• Tedarik zincirinin siber risklerinin belirlenmesi
• Tedarikçi profilinizin analizi
• Tedarikçilerden doğabilecek siber risklerinizin ortaya çıkartılması
• Tedarikçileri siber risklere karşı denetlenmesi
• Tedarik zinciri siber risk minimizasyonu teorisi
• Risk azaltma yol haritasının belirlenmesi
• Risk azaltma döngüsü (Sürekli iyileştirme)
www.sparta.com.tr 6

Sorular…
• Tedarikçilerinizle entegre sisteminiz var mı?
• Kuruluşunuz bünyesinde dış kaynaklı kaç adet yazılım var?
• Size özel yazılan uygulamaları teslim/kabul prosedürü nedir?
• Tedarikçiniz hacklenirse size yansıması ne olur?
• …?
www.sparta.com.tr 8

www.sparta.com.tr 9
Nedir bu “tedarikçi”?

Kimler var?
• Yazılım tedarikçileri
• Bilgi tedarikçileri
• Bize bilgi sağlayanlar?
• Mailleştiklerimiz?
www.sparta.com.tr 10

Zincir…
Kaynak Siz Müşteri
Veri merkezi Online Satış Müşteri
Örn:
Hizmet kesintisi
Örn:
Zararlı yazılım dağıtımı
Örn:
Kredi Kartı Çalınması

Home Depot (2014)
• Amerikan Koçtaş’ı
• Tedarikçilerden birinin erişim bilgileri kullanılarak…
• Havalandırma sisteminin bakımını yapan şirketin bilgileri kullanılarak…
• 56 milyon kredi kartı numarası çalındı…

OPM (2015)
• Amerikan Devlet Personel Başkanlığı
• Tedarikçi erişim bilgileri kullanılarak…
• 22 milyon kişinin kişisel bilgileri çalındı

Lockheed Martin (2011)
• Amerikan TAI’si
• Ar-Ge çalışması ve planlar çalındı
• ”şifrematik kullanılarak”…
• Çünkü önce RSA’yı hacklediler

RSA nasıl hacklendi?
1

RSA nasıl hacklendi? -2
2

Siber Ölüm Zinciri
Bilgi Toplama
• Pasif bilgi
toplama
• Kuruluş
şemaları
• IP adresleri
• Port
taramaları
• İnternet
servis
sağlayıcısı
bilgileri
• Dışarıya
dönük
sistemler
• ...
Silahlandırma
• İstismar
kodunun
hazırlanması
• Zararlı yazılım
• Ambalaj
Teslimat
• Hedefli
oltalama
saldırısı
(spear
phishing)
• Zararlı içerikli
web sayfası
• İnternet
servis
sağlayıcısı
İstismar
• Kodun
çalıştırılması
• Hedef
sistemle
bağlantı
kurma
• Üçüncü
tarafların
istismarı
Kurulum
• Trojan veya
arkakapı
• Kalıcı erişim
kurabilme
• Yetki
yükseltme
• Kullanıcı
adlarını ve
parolaları
çalma
Komuta ve
kontrol
• Hedefle
iletişim
yolunun
açılması
• Yatay hareket
• İç ağda bilgi
toplama
• Erişimi kalıcı
hale getirme
Hedef üzerinde
işlemler
• Derinleşme
• Bağlantıyı ve
erişimi kalıcı
hale getirecek
ek yöntemler
• Veri sızdırma
1 2 3 4 5 6 7

Havacılık sektörü Türkiye (2016)
• Gerçek alanadı: 26northaviation.com
Sahte alanadı: 26northaviations.com
• Gerçek alanadı: bee-jet.com
Sahte alanadı: bee-jets.com
• Gerçek alanadı: eurojet-service.com
Sahte alanadı: eurojets-service.com

Saldırgana maliyeti

Nasıl çalışıyoruz?
• Boeing için yapılan bir çalışmada tedarikçilerin bilgi güvenliğini
etkileyebileceği 3 temel senaryo ortaya çıkmış;
• Boeing ağ ve sistemlerine erişmesi gereken tedarikçiler
• Boeing ağ ve sistemleri üzerinde tutulan veriye ulaşması gereken tedarikçiler
• Boeing ağ ve sistemleri üzerinde tutulmayan veriye ulaşması gereken
tedarikçiler

• Boeing tedarikçi seçiminde belli siber güvenlik standartlarını mecburi
tutuyor (ISO 27001) ve kendi soru formunu gönderiyor
• Alt-yüklenici kullanan tedarikçilerin alt-yüklenicilerden aynı
standartları talep etmesini istiyor
• Tedarikçi siber güvenliğini sürekli denetletiyor (exostar)

• Exostar siber güvenlik olgunluk seviyeleri
Seviye Açıklama
0 Siber güvenlik yönetim programı yok
1 Temel seviye. İyileştirilmesi gerekiyor
2 Orta seviye. Temel önlemler var, kritik bilgiler için ek önlemler alınmalı
3 İyi. İleri seviye saldırılara karşı tedbirler alınmalı
4 İleri seviye saldırılara karşı dayanıklı yapı
5 Gelişmiş önleme, tespit etme ve müdahale etme becerileri mevcut

Tedarikçide nelere bakmalıyız?
• Cihaz envanteri
• Yazılım envanteri
• Güvenli yapılandırma ayarları
• Sürekli zafiyet tarama
• Zararlı yazılımlara karşı savunma
• Uygulama güvenliği (geliştirilen ve satınalınanlar için)
• Kablosuz ağ güvenliği

• Veri geri getirme yetenekleri
• Güvenlik eğitimleri ve teknik yetkinlik
• Ağ cihazlarının güvenli kurulumu ve konfigürasyonu
• Ağ erişim güvenliği (port, protokol ve servis)
• Yetkili kullanıcı denetimi
• Sınır güvenliği
• Log yönetimi
• Erişim kontrolü

• Hesap yönetimi
• Veri güvenliği
• Olay tespit ve müdahale
• Güvenli ağ mimarisi
• Sızma testleri
• Güvenlik yönetimi
• Mobil cihaz güvenliği

10 DAKİKA ARA

Tedarikci siber risk_giris

More Related Content

What's hot

Similar to Tedarikci siber risk_giris

More from Alper Başaran

Tedarikci siber risk_giris