Erkan Başavcı, profile picture
Uploaded byErkan Başavcı
634 views

Web Uygulamalarında Risk Yönetimi ve Değerlendirme

Internet/Intranet Web Uygulamaları Altyapısı için NIST ölçütlerine göre Risk Yönetim ve Değerlendirme Dokümanı

Technology
Related topics:
Risk Assessment

Embed presentation

Internet/Intranet Web Uygulamaları Altyapısı için Risk Yönetim ve Değerlendirme Dokümanı NIST (Amerikan ölçüm ve değerlendirme standartları kurumu) prensiplerine göre hazırlanmıştır.
NIST Risk Assessment Guide Risk Değerlendirme Sistem Yapısı ve Bilgileri Tehditleri Tanımlama Zaafiyetleri Tanımlama Kontrol Analizi Olasılık Tespit ve Tanımlamaları Etki Analizi Risk Tespiti Risk Azaltma Seçenekler Strateji Tedbirler
Örnek Sistem - Donanım SUNUCU   : Sun X4600 X4270 , Dell 815 STORAGE : Sun ,Netapp ,Emc  SWITCH     : Cisco 3550 ,Cisco 3560 Serisi FIREWALL : Juniper Netscreen NS5400 ,Juniper SSG 140 ROUTER   : Juniper M10i (DC ortamında shared main router) IPS              :  DataCenter ortamında Türk Telekom tarafından sağlanan shared IPS
Örnek Sistem - Yazılım Sanallaştırma         : Vmware Vsphere 4.0 İşletim Sistemi       : Linux Centos 5.4,Windows 2003 ve 2008 Server Standart&Enterprise Edition Yazılım           : Veritabanı (Microsoft SQL 2005) ,DNS (Windows 2003 DNS) ,IIS (Windows 2003 IIS 6.0) ,Active Directory (Windows 2003) ,DHCP (Windows 2003 DHCP) Uygulamalar : Çeşitli Web uygulamaları ve servisleri Kullanıcılar            : Microsoft Windows 7 & Mobil cihazlar
Sistem Arayüz ve Veri Erişimi İnternet ve Mobil cihazlar ile web arayüzü kullanarak girilen veriler firewall (port 80) port kontrolü yapıldıktan sonra Web Sunucusundan, Veritabanı sunucularındaki veri tabanınlarına giriş yapılmaktadır.
Uygulama güvenliği
Uygulama Mimarisi Uygulamalar web sunucusu katmanındadır. Kullanıcılar web tarayıcıları ile web sunucusuna bağlanmaktadır.  Bu yapı ile kullanıcı bilgisayarlarının veritabanı sunucusuna direk bağlantı kurmasının önüne geçilmiştir.  Katmanlar arasında güvenlik duvarları bulunup dış dünyaya sadece web servisleri ile açılmaktadır. 
Uygulama Erişim Yetkilendirmeleri IP Bağlantı kontrolü Veritabanına web uygulaması ya da servisleri ile bağlanan kullanıcıların statik IP bilgileri sistem tarafında kontrol edilmektelidir. Edilemediği durumlarda VPN kullanılmalıdır. Veritabanı kullanıcıları Veritabanlarında her uygulama kullanıcısı için bir hesap açılmalı ve bu hesaba sadece kullanıcının işlemlerini gerçekleştirebilmek için ihtiyaç duyduğu yetkiler verilmelidir.
Veritabanı Erişimi
Topoloji ve Altyapı Çevresel Faktör Yapılandırmaları Veritabanları sertifikalı DataCenter'larda tutulmalıdır. Her türlü çevresel faktörlere karşı koruması sağlanmış olmalıdır. Güvenlik Duvarı Koruması Veritabanlarına dışarıdan erişim bulunmamalıdır. Sadece uygulamalar veritabanlarına dışarıdan erişim sağlayabilir. Dışarıdan erişimin zorunlu olduğu durumlar da veritabanlarına erişim VPN ile sağlanmalıdır.   Yazılım Geliştirme Ortamı Test ve üretim ortamları birbirinden tamamen izole edilmelidir. Altyapıda MAC Kontrolü Uygulaması Altyapıya izinsiz girişlerin önlenmesi, belirlenemeyecek yerden kaynaklardan gelecek saldırıların engellenmesi amacıyla kullanılmayan portlar devre dışı bırakılmalı ve LAN'da kablosuz erişimler için MAC filtrelemesi yapılmalıdır.
Yönetimsel Araç ve Kontroller Sistemde kaynak kullanımı düzenli olarak kontrol edilmeli (monitoring) anormal durumlarda müdahale gerekmektedir. Sistem aktiviteleri (disk ve diğer kaynakların kullanımı,sunucu tabanlı güvenlik duvarı kayıtları) günlük e-posta yolu ile ilgili yöneticilere ulaştırılmalıdır.  Veritabanı servisi ve işletim sistemi güvenlik yamalarının takibi yapılıp test ortamında denendikten sonra üretim ortamına uygulanması yapılmaldır. 
Yapılandırma IP Tabanlı Ağ Erişim Kontrolü Sürüm ve Yama Denetimi Kimlik Doğrulama Yapılandırmaları Veritabanına Giriş ve Çıkışların (log) tutulması
Yedekleme Tek Sunucu Yedekleme Merkezi Yedekleme Yerel Ağ Üzerinden Yedekleme Depolama Alan Ağı Üzerinden Yedekleme Yedekleme Sıklığı Veri Koruma Zamanını Belirleme Yedekleme Medyalarının Yönetimi   Yedekleme Testi
IIS Güvenliği Sadece Gerekli IIS servislerinin seçimi Kurulumla Gelen varsayılan ayarları değiştirmek NTFS Yetkilendirme Metabase Ayarları Kimlik Doğrulama Destekleyici Güvenlik Ayarları
Sistem Kullanıcıları Yöneticiler : Ağ kaynaklarını yönetme sorumluluğundaki iç kullanıcılar. Sistem Yöneticisi Ağ Yöneticisi Öncelikliler : Kullanıcılardan daha fazla erişim hakkına sahip iç kullanıcılar. Departman Yöneticileri Satış, Muhasebe, Finans vb. Departmanları Kullanıcılar : Genel erişime sahip iç kullanıcılar Müşteri hizmetleri Acenteler, bölge müdürlükleri, şubeler, mağazalar İş ortakları : Bazı kaynaklara erişim gereksinimi olan dış kullanıcılar. Bankalar, Tedarikçiler vb.
Sistem Güvenlik Politikaları Ağ yöneticisi ve kaynak kullanımı Ağ kaynaklarına kısıtlı erişim Kullanıcıların internete çıkışları Sistem Güvenlik Mimarisi dahilinde olmalıdır.
Sistem Güvenlik Mimarisi 1.Katman. Router Yönlendirici 2.Katman. Firewall Güvenlik duvarı 3.Katman . Firewall DMZ Güvenlik duvarı 4.Katman. (IPS) Ağ tabanlı saldırı engelleme 5.Katman . Antivirüs Sistemi
Tehditleri Tanımlama Tehdit Kaynaklarını Belirleme Doğal tehditler: Sel, yangın, deprem, yıldırım vb. İnsan tehditleri: Kasti veya kazara; yazılım veya beceri ile veya iş gereği yanlışlıkla Çevresel tehditler: Elektrik, kimyasal, haberleşme vb Tehdit Motivasyonları ve Sebeplerini Belirleme Hacker (ün, ego, mesaj) Bilgisayar suçluları (veri yok etme, parasal amaç vb) Teroristler (zarar, şantaj vb) Endüstri hırsızları Çalışanlar
Zaafiyetleri Tanımlama Audit / test / review çalışma sonuçları Sistem karakteri çalışmasında öngörülen sonuçlar icat.nist.gov daki gibi zaafiyet liste kaynaklarından bize uyanlar fedcirc gibi kurumların bülten kaynakları (güncel zaafiyetler) Danışman firmaların görüşleri Sistemden alınan  veriler http://en.wikipedia.org/wiki/Vulnerability_scanner  kapsamında yazılımlar kullanmak ile alınan veriler Penetrasyon testleri sonuçları
Kontrol Analizi Denetim/kontrol metodları Teknik (güvenlik yazılım ve donanımları, şifreleme, otorizasyon geliştirmeleri vb) Teknik olmayan (Yönetimsel kararlar, süreçler, çevresel değişiklikler, güvenlik politikaları vb.) Denetim/kontrol kategorileri Önleyici Tespit edici
Olasılık Tespiti ve Tanımlaması Olay Etki Olay Etki Doğal Felaket Doğal felaketler sonucu sistemin kullanım dışı kalması ve/veya servisin ulaşım dışı olması (örneğin deprem, sel, vb.) Deprem, sel gibi doğal felaketler İşlemlerde kesinti yaşanabilir İnsan Hatası Personel hatası yüzünden meydana gelebilecek herhangi bir olay (yanlış konfigürasyon, işlemsel hatalar, kazalar vb.) Güvenlik araçlarının yanlış konfigürasyonu Kurumsal yerel ağına, kurumsal verilere ve sistemlere yetkisiz erişim. Gizlilik ihlali, bütünlüğün bozulması, erişilememe durumları. Veri/işlem güvenliğini tehlikeye sokacak kötü niyet/sabotaj (Daha önceki) çalışanlar ve/veya harici kişiler tarafından yapılan kasıtlı hareketlerden kaynaklanan kayıplar. Örneğin gizlice dinleme, hırsızlık, belgeleri ele geçirme. - Kritik kurumsal verilere kötü niyetli erişim - Ağ trafiğinin dinlenmesi - Saklanan kritik kurumsal bilgilerinin gizliliğinin bozulması - Şifre veya diğer gizli bilgiler ağ üzerinde dinlenebilir
Olasılık Tespiti ve Tanımlaması Olay Etki Olay Etki Veri/işlem bütünlüğünü tehlikeye sokacak kötü niyet/sabotaj Şirket içindeki veya dışındaki kişiler tarafından yapılan veri/işlem bütünlüğünü tehlikeye düşürmeye yönelik sahtekârlık, işlemlerin değiştirilmesi gibi kasıtlı hareketler Saklanan kritik kurumsal verilere kötü niyetli erişim Kurumsal verilerin silinmesi. Veri/işlem erişilebilirliğini tehlikeye sokacak kötü niyet/sabotaj Şirket içindeki veya dışındaki kişiler tarafından yapılan veri/işlem/servis erişilebilirliğini tehlikeye düşürmeye yönelik kasıtlı hareketler Saklanan kritik kurumsal verilere kötü niyetli erişim Verilere erişilememe durumu Dahili fiziksel olay (kablolama, yangın vb.) Potansiyel işletim sorunlarıyla (erişilebilirlik, bütünlük) sonuçlanan fiziksel altyapı olayları Tesis ve ekipmanları etkileyen zararlar Veri ve donanıma kalıcı zarar
Etki Analizi
Risk Azaltma Stratejisi Zaafiyet var ise Zaafiyet kullanılırsa Saldırganın (tehdit kaynağı) kazancı maliyetinden düşük ise Kayıp büyük ise
Risk Azaltma Tedbirleri Adım 1 - Önceliklendirme Adım 2 - Tedbir seçeneklerini değerlendir Adım 3 - Fayda Maliyet analizi yap Tedbir kontrol işlemini seç Uygula Denetle Dokümante et Raporla

More Related Content

PDF
Rusya kaynaklı siber saldırılar
byAlper Başaran
 
PDF
Olay Mudahale ve EDR
byAlper Başaran
 
PPTX
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
byCypSec - Siber Güvenlik Konferansı
 
PPTX
APT Eğitimi Sunumu
byAlper Başaran
 
PPTX
Siber Olaylara Müdahale ve Hukuki Boyutları
byAlper Başaran
 
PDF
Zararlı Yazılım Analizi (ÖZET)
byAlper Başaran
 
PDF
Kritik Altyapılarda Siber Güvenlik
byAlper Başaran
 
PDF
Web Uygulama Güvenliği
byMesut Güngör
 
Rusya kaynaklı siber saldırılar
byAlper Başaran
 
Olay Mudahale ve EDR
byAlper Başaran
 
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
byCypSec - Siber Güvenlik Konferansı
 
APT Eğitimi Sunumu
byAlper Başaran
 
Siber Olaylara Müdahale ve Hukuki Boyutları
byAlper Başaran
 
Zararlı Yazılım Analizi (ÖZET)
byAlper Başaran
 
Kritik Altyapılarda Siber Güvenlik
byAlper Başaran
 
Web Uygulama Güvenliği
byMesut Güngör
 

What's hot

PDF
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
byCypSec - Siber Güvenlik Konferansı
 
PPTX
Heybe Pentest Automation Toolkit - Sec4U
byBahtiyar Bircan
 
PDF
Tedarikci siber risk_giris
byAlper Başaran
 
PPTX
APT Saldırıları
byAlper Başaran
 
PPTX
Siber güvenlik ve hacking
byAlper Başaran
 
PDF
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
byPRISMA CSI
 
PDF
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
byBGA Cyber Security
 
PPTX
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
byBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
PDF
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
byKurtuluş Karasu
 
PDF
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
byPRISMA CSI
 
PDF
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
byPRISMA CSI
 
PDF
Microsoft Active Directory'deki En Aktif Saldirilar
byAdeo Security
 
PPTX
Hacking Uygulamaları ve Araçları
byMustafa
 
PDF
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
byBGA Cyber Security
 
PDF
Güvenlik Testlerinde Bilgi Toplama
byBGA Cyber Security
 
PDF
Hackerların Gözünden Bilgi Güvenliği
byBGA Cyber Security
 
PDF
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
byBGA Cyber Security
 
PDF
3. parti firma risklerinden nasıl korunulur?
byBGA Cyber Security
 
PPTX
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
byBGA Cyber Security
 
PPTX
Siber güvenlik ve SOC
bySerkan Özden
 
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
byCypSec - Siber Güvenlik Konferansı
 
Heybe Pentest Automation Toolkit - Sec4U
byBahtiyar Bircan
 
Tedarikci siber risk_giris
byAlper Başaran
 
APT Saldırıları
byAlper Başaran
 
Siber güvenlik ve hacking
byAlper Başaran
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
byPRISMA CSI
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
byBGA Cyber Security
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
byBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
byKurtuluş Karasu
 
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
byPRISMA CSI
 
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
byPRISMA CSI
 
Microsoft Active Directory'deki En Aktif Saldirilar
byAdeo Security
 
Hacking Uygulamaları ve Araçları
byMustafa
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
byBGA Cyber Security
 
Güvenlik Testlerinde Bilgi Toplama
byBGA Cyber Security
 
Hackerların Gözünden Bilgi Güvenliği
byBGA Cyber Security
 
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
byBGA Cyber Security
 
3. parti firma risklerinden nasıl korunulur?
byBGA Cyber Security
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
byBGA Cyber Security
 
Siber güvenlik ve SOC
bySerkan Özden
 

Similar to Web Uygulamalarında Risk Yönetimi ve Değerlendirme

PPT
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
byRaif Berkay DİNÇEL
 
PDF
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
byBGA Cyber Security
 
PPTX
Yapılan ağ saldırılarına karşı önlemler
byIlkin Azizov
 
PDF
Cuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
byCüneyd Uzun
 
PDF
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
byKocSistem_
 
PPTX
Information security Bilgi Guvenligi
byBilal Dursun
 
PPTX
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
byEmre ERKIRAN
 
PPTX
Elektronik finansta riskler ve çözüm yolları
byZühre Aydın
 
PPT
enis_wbnnbnjgjbmbjgbnjvjkgkbkkhbbjjhhjeb.ppt
byRumeysa25
 
PDF
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
byBGA Cyber Security
 
PDF
Bbm Guvenlik Semineri
byeroglu
 
PPT
Network Guvenligi Temelleri
byeroglu
 
PPT
Network Guvenligi Temelleri
byeroglu
 
PDF
Bilgi Guvenligi Temel Kavramlar
byFatih Ozavci
 
PDF
SANS 20 Kritik Siber Guvenlik Kontrolü
bySparta Bilişim
 
PPTX
Bilgi sistemleri ve güvenliği 2
byEmrah Gürcan
 
PDF
Güvenlik Mühendisliği
byBGA Cyber Security
 
PPTX
MShowto.Org - Windows Server 2008 Güvenlik Teknolojileri
byMSHOWTO Bilisim Toplulugu
 
PPT
Yeni Kuşak Güvenlik Tehditleri
byBurak DAYIOGLU
 
PDF
Lecture 1 Siber Güvenlik Temel Kavramlar
byTurkIOT
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
byRaif Berkay DİNÇEL
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
byBGA Cyber Security
 
Yapılan ağ saldırılarına karşı önlemler
byIlkin Azizov
 
Cuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
byCüneyd Uzun
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
byKocSistem_
 
Information security Bilgi Guvenligi
byBilal Dursun
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
byEmre ERKIRAN
 
Elektronik finansta riskler ve çözüm yolları
byZühre Aydın
 
enis_wbnnbnjgjbmbjgbnjvjkgkbkkhbbjjhhjeb.ppt
byRumeysa25
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
byBGA Cyber Security
 
Bbm Guvenlik Semineri
byeroglu
 
Network Guvenligi Temelleri
byeroglu
 
Network Guvenligi Temelleri
byeroglu
 
Bilgi Guvenligi Temel Kavramlar
byFatih Ozavci
 
SANS 20 Kritik Siber Guvenlik Kontrolü
bySparta Bilişim
 
Bilgi sistemleri ve güvenliği 2
byEmrah Gürcan
 
Güvenlik Mühendisliği
byBGA Cyber Security
 
MShowto.Org - Windows Server 2008 Güvenlik Teknolojileri
byMSHOWTO Bilisim Toplulugu
 
Yeni Kuşak Güvenlik Tehditleri
byBurak DAYIOGLU
 
Lecture 1 Siber Güvenlik Temel Kavramlar
byTurkIOT
 

Web Uygulamalarında Risk Yönetimi ve Değerlendirme

  • 1.
    Internet/Intranet Web UygulamalarıAltyapısı için Risk Yönetim ve Değerlendirme Dokümanı NIST (Amerikan ölçüm ve değerlendirme standartları kurumu) prensiplerine göre hazırlanmıştır.
  • 2.
    NIST Risk AssessmentGuide Risk Değerlendirme Sistem Yapısı ve Bilgileri Tehditleri Tanımlama Zaafiyetleri Tanımlama Kontrol Analizi Olasılık Tespit ve Tanımlamaları Etki Analizi Risk Tespiti Risk Azaltma Seçenekler Strateji Tedbirler
  • 3.
    Örnek Sistem -Donanım SUNUCU   : Sun X4600 X4270 , Dell 815 STORAGE : Sun ,Netapp ,Emc  SWITCH     : Cisco 3550 ,Cisco 3560 Serisi FIREWALL : Juniper Netscreen NS5400 ,Juniper SSG 140 ROUTER   : Juniper M10i (DC ortamında shared main router) IPS              :  DataCenter ortamında Türk Telekom tarafından sağlanan shared IPS
  • 4.
    Örnek Sistem -Yazılım Sanallaştırma         : Vmware Vsphere 4.0 İşletim Sistemi       : Linux Centos 5.4,Windows 2003 ve 2008 Server Standart&Enterprise Edition Yazılım           : Veritabanı (Microsoft SQL 2005) ,DNS (Windows 2003 DNS) ,IIS (Windows 2003 IIS 6.0) ,Active Directory (Windows 2003) ,DHCP (Windows 2003 DHCP) Uygulamalar : Çeşitli Web uygulamaları ve servisleri Kullanıcılar            : Microsoft Windows 7 & Mobil cihazlar
  • 5.
    Sistem Arayüz veVeri Erişimi İnternet ve Mobil cihazlar ile web arayüzü kullanarak girilen veriler firewall (port 80) port kontrolü yapıldıktan sonra Web Sunucusundan, Veritabanı sunucularındaki veri tabanınlarına giriş yapılmaktadır.
  • 6.
  • 7.
    Uygulama Mimarisi Uygulamalarweb sunucusu katmanındadır. Kullanıcılar web tarayıcıları ile web sunucusuna bağlanmaktadır.  Bu yapı ile kullanıcı bilgisayarlarının veritabanı sunucusuna direk bağlantı kurmasının önüne geçilmiştir.  Katmanlar arasında güvenlik duvarları bulunup dış dünyaya sadece web servisleri ile açılmaktadır. 
  • 8.
    Uygulama Erişim YetkilendirmeleriIP Bağlantı kontrolü Veritabanına web uygulaması ya da servisleri ile bağlanan kullanıcıların statik IP bilgileri sistem tarafında kontrol edilmektelidir. Edilemediği durumlarda VPN kullanılmalıdır. Veritabanı kullanıcıları Veritabanlarında her uygulama kullanıcısı için bir hesap açılmalı ve bu hesaba sadece kullanıcının işlemlerini gerçekleştirebilmek için ihtiyaç duyduğu yetkiler verilmelidir.
  • 9.
  • 10.
    Topoloji ve AltyapıÇevresel Faktör Yapılandırmaları Veritabanları sertifikalı DataCenter'larda tutulmalıdır. Her türlü çevresel faktörlere karşı koruması sağlanmış olmalıdır. Güvenlik Duvarı Koruması Veritabanlarına dışarıdan erişim bulunmamalıdır. Sadece uygulamalar veritabanlarına dışarıdan erişim sağlayabilir. Dışarıdan erişimin zorunlu olduğu durumlar da veritabanlarına erişim VPN ile sağlanmalıdır.   Yazılım Geliştirme Ortamı Test ve üretim ortamları birbirinden tamamen izole edilmelidir. Altyapıda MAC Kontrolü Uygulaması Altyapıya izinsiz girişlerin önlenmesi, belirlenemeyecek yerden kaynaklardan gelecek saldırıların engellenmesi amacıyla kullanılmayan portlar devre dışı bırakılmalı ve LAN'da kablosuz erişimler için MAC filtrelemesi yapılmalıdır.
  • 11.
    Yönetimsel Araç veKontroller Sistemde kaynak kullanımı düzenli olarak kontrol edilmeli (monitoring) anormal durumlarda müdahale gerekmektedir. Sistem aktiviteleri (disk ve diğer kaynakların kullanımı,sunucu tabanlı güvenlik duvarı kayıtları) günlük e-posta yolu ile ilgili yöneticilere ulaştırılmalıdır.  Veritabanı servisi ve işletim sistemi güvenlik yamalarının takibi yapılıp test ortamında denendikten sonra üretim ortamına uygulanması yapılmaldır. 
  • 12.
    Yapılandırma IP TabanlıAğ Erişim Kontrolü Sürüm ve Yama Denetimi Kimlik Doğrulama Yapılandırmaları Veritabanına Giriş ve Çıkışların (log) tutulması
  • 13.
    Yedekleme Tek SunucuYedekleme Merkezi Yedekleme Yerel Ağ Üzerinden Yedekleme Depolama Alan Ağı Üzerinden Yedekleme Yedekleme Sıklığı Veri Koruma Zamanını Belirleme Yedekleme Medyalarının Yönetimi   Yedekleme Testi
  • 14.
    IIS GüvenliğiSadece Gerekli IIS servislerinin seçimi Kurulumla Gelen varsayılan ayarları değiştirmek NTFS Yetkilendirme Metabase Ayarları Kimlik Doğrulama Destekleyici Güvenlik Ayarları
  • 15.
    Sistem Kullanıcıları Yöneticiler: Ağ kaynaklarını yönetme sorumluluğundaki iç kullanıcılar. Sistem Yöneticisi Ağ Yöneticisi Öncelikliler : Kullanıcılardan daha fazla erişim hakkına sahip iç kullanıcılar. Departman Yöneticileri Satış, Muhasebe, Finans vb. Departmanları Kullanıcılar : Genel erişime sahip iç kullanıcılar Müşteri hizmetleri Acenteler, bölge müdürlükleri, şubeler, mağazalar İş ortakları : Bazı kaynaklara erişim gereksinimi olan dış kullanıcılar. Bankalar, Tedarikçiler vb.
  • 16.
    Sistem Güvenlik PolitikalarıAğ yöneticisi ve kaynak kullanımı Ağ kaynaklarına kısıtlı erişim Kullanıcıların internete çıkışları Sistem Güvenlik Mimarisi dahilinde olmalıdır.
  • 17.
    Sistem Güvenlik Mimarisi1.Katman. Router Yönlendirici 2.Katman. Firewall Güvenlik duvarı 3.Katman . Firewall DMZ Güvenlik duvarı 4.Katman. (IPS) Ağ tabanlı saldırı engelleme 5.Katman . Antivirüs Sistemi
  • 18.
    Tehditleri Tanımlama TehditKaynaklarını Belirleme Doğal tehditler: Sel, yangın, deprem, yıldırım vb. İnsan tehditleri: Kasti veya kazara; yazılım veya beceri ile veya iş gereği yanlışlıkla Çevresel tehditler: Elektrik, kimyasal, haberleşme vb Tehdit Motivasyonları ve Sebeplerini Belirleme Hacker (ün, ego, mesaj) Bilgisayar suçluları (veri yok etme, parasal amaç vb) Teroristler (zarar, şantaj vb) Endüstri hırsızları Çalışanlar
  • 19.
    Zaafiyetleri Tanımlama Audit/ test / review çalışma sonuçları Sistem karakteri çalışmasında öngörülen sonuçlar icat.nist.gov daki gibi zaafiyet liste kaynaklarından bize uyanlar fedcirc gibi kurumların bülten kaynakları (güncel zaafiyetler) Danışman firmaların görüşleri Sistemden alınan  veriler http://en.wikipedia.org/wiki/Vulnerability_scanner  kapsamında yazılımlar kullanmak ile alınan veriler Penetrasyon testleri sonuçları
  • 20.
    Kontrol Analizi Denetim/kontrolmetodları Teknik (güvenlik yazılım ve donanımları, şifreleme, otorizasyon geliştirmeleri vb) Teknik olmayan (Yönetimsel kararlar, süreçler, çevresel değişiklikler, güvenlik politikaları vb.) Denetim/kontrol kategorileri Önleyici Tespit edici
  • 21.
    Olasılık Tespiti veTanımlaması Olay Etki Olay Etki Doğal Felaket Doğal felaketler sonucu sistemin kullanım dışı kalması ve/veya servisin ulaşım dışı olması (örneğin deprem, sel, vb.) Deprem, sel gibi doğal felaketler İşlemlerde kesinti yaşanabilir İnsan Hatası Personel hatası yüzünden meydana gelebilecek herhangi bir olay (yanlış konfigürasyon, işlemsel hatalar, kazalar vb.) Güvenlik araçlarının yanlış konfigürasyonu Kurumsal yerel ağına, kurumsal verilere ve sistemlere yetkisiz erişim. Gizlilik ihlali, bütünlüğün bozulması, erişilememe durumları. Veri/işlem güvenliğini tehlikeye sokacak kötü niyet/sabotaj (Daha önceki) çalışanlar ve/veya harici kişiler tarafından yapılan kasıtlı hareketlerden kaynaklanan kayıplar. Örneğin gizlice dinleme, hırsızlık, belgeleri ele geçirme. - Kritik kurumsal verilere kötü niyetli erişim - Ağ trafiğinin dinlenmesi - Saklanan kritik kurumsal bilgilerinin gizliliğinin bozulması - Şifre veya diğer gizli bilgiler ağ üzerinde dinlenebilir
  • 22.
    Olasılık Tespiti veTanımlaması Olay Etki Olay Etki Veri/işlem bütünlüğünü tehlikeye sokacak kötü niyet/sabotaj Şirket içindeki veya dışındaki kişiler tarafından yapılan veri/işlem bütünlüğünü tehlikeye düşürmeye yönelik sahtekârlık, işlemlerin değiştirilmesi gibi kasıtlı hareketler Saklanan kritik kurumsal verilere kötü niyetli erişim Kurumsal verilerin silinmesi. Veri/işlem erişilebilirliğini tehlikeye sokacak kötü niyet/sabotaj Şirket içindeki veya dışındaki kişiler tarafından yapılan veri/işlem/servis erişilebilirliğini tehlikeye düşürmeye yönelik kasıtlı hareketler Saklanan kritik kurumsal verilere kötü niyetli erişim Verilere erişilememe durumu Dahili fiziksel olay (kablolama, yangın vb.) Potansiyel işletim sorunlarıyla (erişilebilirlik, bütünlük) sonuçlanan fiziksel altyapı olayları Tesis ve ekipmanları etkileyen zararlar Veri ve donanıma kalıcı zarar
  • 23.
  • 24.
    Risk Azaltma StratejisiZaafiyet var ise Zaafiyet kullanılırsa Saldırganın (tehdit kaynağı) kazancı maliyetinden düşük ise Kayıp büyük ise
  • 25.
    Risk Azaltma TedbirleriAdım 1 - Önceliklendirme Adım 2 - Tedbir seçeneklerini değerlendir Adım 3 - Fayda Maliyet analizi yap Tedbir kontrol işlemini seç Uygula Denetle Dokümante et Raporla