Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiSparta Bilişim
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi konulu webinara ait sunumdur.
Sunum içerisinde aşağıdaki konuları bulabilirsiniz;
Rehberde neler var?
- Nmap kullanımı: Nmap ile sistem tespiti ve siber hijyen
- Masscan: Hızlı tarama için Nmap'e alternatif
- Zenmap: Windows ile tarama yapmak
- Nmap ile zafiyet tespiti
- Sanallaştırma güvenliği
- Bulut bilişim güvenliği
- Saas güvenliği: Software as a Service güvenliği
- IaaS güvenliği: Infrastructure as a Service güvenliği
- PaaS güvenliği: Platform as a Service
- Uygulama güvenliği
- Veri güvenliği ve Kişisel Verilerin Korunması Kanunu
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Tipik olarak 7 adimlik bir süreçtir
Kapsam ve Hedef tanimi
Bilgi toplama
Zaafiyet bulma
Bilgi analizi ve planlama
Atak & Sizma/Yetki Yükseltme
Sonuç Analizi & Raporlama
Temizlik / Normal duruma dönüs
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
Sızma testi kısaca; ağ, sistem ve uygulamaların siber saldırganlar tarafından kullanılan araç ve teknikler kullanılarak test edilmesidir.
Bu sayede var olan güvenlik açıkları ve bunların oluşturduğu tehlikeler önceden tespit edilip gerekli önlemler alınabilmektedir.
Bu dosyada; Sızma testinin amacı, Sızma testi nasıl yapılır, Sızma testinin raporlanması, dikkat edilmesi gereken noktalar, Sızma testi sürecinde yapılması gerekenler, Sızma testi yaklaşımları, Tandem, Zafiyet taraması, Zafiyet yönetimi gibi başlıklara yer verilmektedir.
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiSparta Bilişim
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi konulu webinara ait sunumdur.
Sunum içerisinde aşağıdaki konuları bulabilirsiniz;
Rehberde neler var?
- Nmap kullanımı: Nmap ile sistem tespiti ve siber hijyen
- Masscan: Hızlı tarama için Nmap'e alternatif
- Zenmap: Windows ile tarama yapmak
- Nmap ile zafiyet tespiti
- Sanallaştırma güvenliği
- Bulut bilişim güvenliği
- Saas güvenliği: Software as a Service güvenliği
- IaaS güvenliği: Infrastructure as a Service güvenliği
- PaaS güvenliği: Platform as a Service
- Uygulama güvenliği
- Veri güvenliği ve Kişisel Verilerin Korunması Kanunu
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Tipik olarak 7 adimlik bir süreçtir
Kapsam ve Hedef tanimi
Bilgi toplama
Zaafiyet bulma
Bilgi analizi ve planlama
Atak & Sizma/Yetki Yükseltme
Sonuç Analizi & Raporlama
Temizlik / Normal duruma dönüs
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
Sızma testi kısaca; ağ, sistem ve uygulamaların siber saldırganlar tarafından kullanılan araç ve teknikler kullanılarak test edilmesidir.
Bu sayede var olan güvenlik açıkları ve bunların oluşturduğu tehlikeler önceden tespit edilip gerekli önlemler alınabilmektedir.
Bu dosyada; Sızma testinin amacı, Sızma testi nasıl yapılır, Sızma testinin raporlanması, dikkat edilmesi gereken noktalar, Sızma testi sürecinde yapılması gerekenler, Sızma testi yaklaşımları, Tandem, Zafiyet taraması, Zafiyet yönetimi gibi başlıklara yer verilmektedir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
Başarılı Projelerin Anahtarı: Çevik Yazılım Geliştirme PratikleriLemi Orhan Ergin
Bu sunum, 23 Mart 2013 tarihinde Dinamikler 2013 Proje Yönetim Kongresi Agile Panelinde yaptığım konuşmanın yansılarından oluşuyor.
http://www.dinamikler.org/sunum5.asp
Konuşmamın ana fikri şöyle özetlenebilir:
Her yıl geliştirilen yazılım projelerinin yarısı çöpe gidiyor. Birçok şirket, uzayan, bitmeyen, kalitesiz projeler nedeniyle yüklü miktarda para kaybediyor. Her projede projenin kapsamı, donanımsal ve yazılımsal gereksinimler, projenin kaç kişi ile geliştirileceği, projenin kaç adam gün süreceği ve ne kadar bütçe ayrılacağı gibi sorular için cevap aranırken çoğu kez bir şey gözden kaçıyor: Yazılımın doğası.
Yazılımın doğası gereği kaynaklar kısıtlı ve gereksinimler belirsizdir. Belirsizlik ve kısıtlı kaynaklarla başadebilmenin tek yolu oyunu onun kurallarıyla oynamaktır. Değişken gereksinimleri kısıtlı kaynaklarla belirlenen süre zarfında bitirebilmek, yani daha azla daha çok şey başarmak için, çevik olmak, kaliteli yazılım geliştirmek, belirsizliğe değişimle anında cevap vermek gerekir.
Yazılım geliştirmek, özellikle de takım halinde yazılım geliştirmek belli bir disipline sahip olmayı gerektirir. Hızla değişen teknolojilere, belirsiz gereksinimlere, projelerin türlü ihtiyaçlarına ayak uydururken, kalıcı, dayanıklı, esnek ve kaliteli yazılım geliştirmek için elinizde size yol gösterecek tek şey yazılım ilkeleridir. Yazılım ilkeleri sizin ve takımınızın kültürdür, disiplinidir.
Çevik yazılım geliştirme uygulamaları tam da bu noktada sahneye çıkar. Bu uygulamalar, projelerinizin başarıya ulaşabilmesi adına gereken yazılım kültürünün yapıtaşlarını oluşturur. Bu oturumda, başarılı projelerde yazılım kültürüne şekil veren çevik yazılım geliştirme uygulamalarından ve etkilerinden bahsedeceğim.
12.04.2012 Tarihinde Çorlu Namık Kemal Üniversitesi ev sahipliğinde, Gökmen Güreşçi tarafından düzenlenen İnternet Haftası etkinliklerinde LabSec Community olarak yerimizi aldık.
Uluslararası siber savaşlarda kullanılacak en önemli bileşenlerden biri de son kullanıcıların internet bağlantıları için kullandıkları soho modemlerdir. Bu sistemler genellikle aynı özellikleri taşıdığından tespit edilecek bir açıklık tüm ülkeyi etkileyecektir. Sunum süresince böyle bir kitle saldırısının nasıl gerçekleştirileceği, ev kullanıcılarının modemlerini hedef alan bir ar-ge çalışmasının adımları ve sonuçları üzerinden ele alınacaktır. Çalışmanın içeriğindeki ana başlıklar, belli özelliklerdeki hedeflerin belirlenmesi, etkili bir zafiyetin bulunması, gömülü sistemler (MIPS) gibi farklı zorlukları olan platformlar için istismar kodunun yazılması, toplu istismarı gerçekleştirecek betiklerin yazılması, büyük ölçekli taramalar için performans optimizasyonlarının yapılması olarak sayılabilir.
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
IDC Security Roadshow etkinliğinde “Yolu Güvenle Geçmek” sunumumuz ile güncel tehditler, 2017 öngörülerimiz ve bunlara yönelik geliştirdiğimiz KoçSistem Toplam Güvenlik Yaklaşımımız ile yer aldık.
Turkey JUG (Java User Group) Leader,
Turkey JBUG (JBoss User Group) Leader,
Computer Engineer, Senior Java Architect,
Software (Author, Speaker, Trainer)
Mimar Aslan
2. KIMIM BEN ?
• Caner Özden
• Matematik ve Bilgisayar Bilimleri
• Yazılım Uzmanı ve Bilgi Güvenliği Kıdemli Uzmanı
• Aselsan, Havelsan, BGA, Avea, TT Grup
• twitter.com/canerozden
3. SUNUMDA NELER VAR ?
• Uygulama güvenliği ne ola ki ?
• Neden uygulama güvenliği ? Trend mi yoksa ?
• Bu alanda ilerlersek çok para kazanılır mı ?
• Bordrolu, SGK’lı Hacker
• Gelecekte neler olur ?
4. TAHMINLER
• Hendy Ford ilk Ford araçlarını ürettiği zaman insanların sadece siyah ve tek
tip araç isteyeceğini iddaa ederek farklı model araç üretimini gerekli
görmemiştir.
• Televizyon en geç altı ay içinde piyasadan silinecektir. İnsanlar her akşam
böyle bir kutuya bakmak istemezler. Daryik F. Zanuck
• http://tr.wikiquote.org/wiki/Bilimsel_gaflar
• Tahminler sadece tahmindir, ayrıca hatasız kul olmaz.
5. UYGULAMA GÜVENLIĞI NEDIR ?
• Güvenliğin tanımı aksiyomatik, vakit kaybetmeye gerek yok, kabul edelim
herkes güvenlik ister. (En çok şirketler !)
• Güvenliğin Türleri
- Ağ Güvenliği
- Sistem Güvenliği
- Uygulama Güvenliği
6. İLK ZAMANLAR
• Ağ Güvenliği önemliydi, tam standartlar belirlenmiş değildi.
• Şirketlerde ağ kurulumu bile yeni idi.
• Bir musibet bin nasihattan iyidir. (Güvenlik zamanla anlaşılmaya başlandı)
7. UYGULAMA GÜVENLIĞI NEDIR ?
• Uygulama güvenliği, yazılımların kod seviyesinde yapılan hatalardan dolayı,
bilgi sızdırılması veya sistemlerin ele geçirilmesi ile sonuçlanan olayları
inceleyen bilim dalı, ilgi alanı.
8.
9. UYGULAMALARDAKI HATALAR
• Yazılım geliştiricilerin gerçekleştirmesi gereken çok fazla görev var.
• Fonksiyonellik
• Hatasız çalışma
• Kullanım kolaylığı
• Zaman kısıtı
10. DEADLINE GELİŞTİRİCİNİN DÜŞMANI
• Saldırganlar yazılımcıların yaptıkları yazılımsal hatalardan yararlanırlar.
• Zaman kısıtı altında ve standartlara uygun geliştirilmeyen yazılımlar
• Sürekli iş değiştiren yazılımcılar
• Kodlar bir zaman sonra karışıyor (Spagetti kod)
11. NE TIP HATALAR
• Şüpheci Yaklaşım
• Doğrulama Eğilimi
• Akışkan ve saydam bir sıvının su olma öngörüsü
• Userid değişkeninin integer alma öngörüsü
12. NE TIP HATALAR
• Girdi Denetimi -> En önemlisi
• İş mantığındaki hatalar
14. OWASP
• Open Web Application Security Project
• Web uygulamalarının güvenliği ile ilgilenen bir kuruluş, kar amacı gütmez.
• Her sene en çok çıkan 10 zafiyet türünü belirleyip, konu hakkında yayınlar
çıkarır.
15. HATALARI ÖNCEDEN BELIRLEMEK
• Uygulama güvenlik uzmanlarının en temel görevlerinden biri, geliştirilmiş ve
canlı ortama çıkmak üzere hazırlanmış uygulamaları güvenlik açısından
inceleyerek bu hata durumlarını raporlayıp, düzeltilmesine yardımcı olmaktır.
16. HATALAR NASIL BELIRLENIR
• Tehdit Modelleme
• Kaynak Kod Analizi
• Uygulama Zafiyet Testi (Pentest diye de bilinir)
17. TEHDIT MODELLEME
• Uygulama tehdit modelleme, uygulamaların functional ve non-functional
özelliklerini içeren tasarımlar üzerinde abuse case (use case’den hatırlayın)
çizerek, olası güvenlik zafiyetleri ile ilgili sorunları ortaya çıkarmak için
yapılan işlemdir.
19. MICROSOFT SECURE SDLC
• Oooooooo Microsoft mu ? Yoksa sen ?!?
• Owasp Secure SDLC konusunda en çok Microsoft yayınlarından faydalanır.
• Adam Shostack (Microsoft Secure SDLC ve Thread Modeling)
20. KAYNAK KOD ANALIZI
• Kod güvenlik açısından incelenir, zafiyet içeren kod desenleri taranarak
raporlanır.
• HP Fortify
• IBM Appscan
• Checkmarx (Yeni bir startup, Israil’de)
23. PENETRASTON TESTLERI / PENTEST
• 3’e ayrılır.
- Black Box (Saldırgan Gözü)
- White Box (Bilgi Alarak)
- Grey Box (Karışık)
24. PENTEST NEDIR
• Uygulamalar saldırgan gözü ile denetlenerek hack’lenmeye çalışılır.
• Sadece uygulama güvenliği ile ilgili değil, network zafiyetleri de incelenir.
• Otomatize araçlar ve manuel olarak gerçekleştirilir.
30. SEKTÖR HAKKINDA TAHMINLER 1
• Güvenlik denetimlerinde pentest’in yerini Secure SDLC ve Kaynak Kod Analizi
alacak
• Oraya yönelin !
• Soru ???
31. SEKTÖR HAKKINDA TAHMINLER 2
• Güvenlik önlemleri artık framework’lere daha fazla bırakılmaya başlanacak.
• Geleneksel güvenliğin yeri daha fazla sistemlere devredilmeye başlanacak.
32. SEKTÖR HAKKINDA TAHMINLER 3
• Geleneksel güvenlik araçlarını yerini yeni nesil araçlar alacak.
• Yeni nesil güvenlik aracı nedir ?
• İmza tabanlı araçların yerini davranışsal analiz yapan araçlar alacak.
34. SEKTÖR HAKKINDA TAHMINLER 5
• Zero day ataklar artacak
• Önlem mekanizmaları neler olabilir ?
• Araştırma konusu ???
• Yeni start up’lar çıkabilir.
35. BLOG TUTUN !!!
• Yaptığım en büyük hata
• Kitap okuyun !
• Sürekli deneme yapın !!!
37. BOTWALL
• Post datası üzerinde obfuscation işlemi
• Sıralamayı karıştırmak
• Başka neler yapılabilir ?
• Tüm HTML ve HTTP elemanları
38. PERFORMANS
• Bu sistemdeki tek sorun performans sorunu yaşanması
• WAF ile entegrasyon yapılabilir.
• PoC için IIS Module yazılmakta.
• Html ve Javascript parsing işlemi için AST kullanılıyor. (Abstract syntax tree)