Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

|

Benzer bir sunumlar


... konulu sunumlar: "|"— Sunum transkripti:

1 |

2 Penetrasyon Testi (Pentest) Nedir, Ne De ğ ildir ? İ yi Bir Pentester Nasıl Olunur ? Neden Kurumlar Pentester Arıyorlar ? | Kurumlar için Neden Önemlidir ? Sonuç

3 Ahlaklı KorsanMesai saatlerinde... Python Programcısıhttp://www.mertsarica.com/programlar Güvenlik TVhttp://www.guvenliktv.org Blog Yazarıhttp://www.mertsarica.com Zararlı Yazılım AnalistiBo ş zamanlarımda... | Sertifika KolleksiyoncusuCISSP, SSCP, OSCP, OPST, CREA

4 | Finans sektörünün ihtiyaçlarına ve günün teknolojilerine uygun hizmetler sunan, ürünler meydana getiren, NBG Grup ş irketlerinden Finansbank’ın Bilgi Teknolojileri i ş tiraki olan IBTech firmasında Bili ş im Güvenli ğ i Uzmanı (Senior Penetration Tester / Ethical Hacker) olarak çalı ş maktayım.

5 |

6 Regülasyonlara (PCI, BDDK vs.) uyum için. Kurum içi farkındalı ğ ı arttırmak için. İ tibarınız için. | Mü ş terilerinizin güvenli ğ i için. Sistemlerinizi savunmak için. (En iyi savunma saldırıdır!)

7 |

8

9 Pentest, hedef sistemlerin, a ğ ların güvenli ğ inin hacker gözüyle denetlenmesi, tespit edilen zafiyetlerin istismar edilmesi ve zafiyetleri ortadan kaldıracak çözüm önerilerinin üretilmesidir. Zafiyet de ğ erlendirme testlerinden farklı olarak bu testlerde tespit edilen zafiyetler istismar edilir. Türleri: Whitebox, Blackbox, Greybox | Bu testler sayesinde birden fazla dü ş ük seviye bulgu bir araya getirilerek kritik seviyede bulgu ile sonuçlanabilir.

10 |

11 Sadece otomatize araçlar ile « Tara ve Geç » ş eklinde gerçekle ş tirilen testlerden de ğ ildir. Amaç kapsama ba ğ lı kalarak istismar edilebilen zafiyetlerin tespit edilmesi ve raporlanmasıdır, kapsam dı ş ına çıkılması beklenmemelidir. Zafiyet de ğ erlendirme testleri gibi yüzlerce sayfalık raporlardan olu ş mayabilir bu nedenle raporun sayfa sayısına göre de ğ erlendirilmemelidir. | Regülasyonlara uyum nedeniyle yapmı ş olmak için yapılmamalıdır. Katma de ğ er için i ş in ehli ki ş i veya ki ş ilerce gerçekle ş tirilmelidir.

12 Acunetix  Netsparker  Appscan  Webinspect  Burp Suite Pro  | Pentester 

13 |

14

15

16

17

18 Dinamik bir yapıda yılda 1 defa sızma testi gerçekle ş tirilerek sistemlerin ve a ğ ların güvenli ğ i sa ğ lanamaz! İ mza tabanlı sistemlerin tamamına yakını atlatılabilmektedir. Güvenlik, dı ş kaynaklara devredilip unutulacak bir husus de ğ ildir. | Organize suç örgütleri artık 0. gün zafiyetlerinden faydalanmaktalar. (Elderwood Project) En zayıf halkanız kadar güvendesiniz.

19 |

20

21

22 Zararlı Site Ziyaret TarihiURLAV Tespit TarihiÜlke 18/06/ :33:00 EEST -Rusya 18/06/ :33:00 EEST -Rusya 11/06/ :10:58 EEST -Rusya 11/06/ :10:58 EEST -Rusya 08/06/ :05:44 EEST eeb8b395c2abca7085a2944.jar -- 08/06/ :56:06 EEST -Rusya 08/06/ :56:»06 EEST - Kazakistan 08/06/ :56:06 EEST Rusya 06/06/ :20:43 EEST 06/06/ :20:43 EEST -- Tarih:

23 |

24

25

26 0. Gün Zafiyeti ? İ ç Tehdit ? Sosyal Mühendislik ? SQL Injection ? 3. Parti Firma ? | Belki de sadece Google Hack ?

27 |

28

29

30

31

32

33

34

35

36 Hacklenme riskinizi azaltır. | Projelerde güvenlik danı ş manlı ğ ı yapar. Güvenlik ürünü seçiminde en do ğ ru kararı vermenizi sa ğ lar. Süre ve maaliyet kısıtları olmaksızın gerçekle ş tirdi ğ i testler ile daha fazla zafiyet tespit ederek güvende olmanızı sa ğ lar. Bilgisayar olayları müdahalesinde kilit rol oynar.

37 Her ş eyden önce İ ngilizce dilini iyi bilmek! ( Yerli kaynak sıkıntısı ) | Çok çok okumak, bol bol pratik yapmak Sistem bilgisi ( Hack edece ğ iniz sistemi iyi bilmeniz gerekir ) Programlama bilmek ( Araçlar her zaman i ş inizi görmeyebilir ) E ğ itim Ş art

38 Penetrasyon testi haberle ş me gerçekle ş tiren her cihaza yapılabilir. | OSI katmanlarını ve protokollere hakim olmak ş art. Giri ş seviyesi için C ve Python (Ruby veya Perl) programlama dili bilmeniz, ileri seviye için ise Assembly bilmeniz ş art. Yaratıcı dü ş ünme ş art. (Ben siyah ş apka olsaydım ne yapardım ?) Teknolojiyi yakından takip edin. (Mobile Pentest / NFC vs.) Sosyal medyayı yakından takip edin. (Twitter)

39 |

40

41

42 Hacking Exposed serileri | Hackers Handbook serileri Linked’in hesabımda okudu ğ um kitaplar.

43 Yedekten dönemeyece ğ iniz tek bir ş ey vardır o da itibarınız. | Bilgi güçtür ve Pastebin’e asıldıkça azalır  Hacklenmedi ğ iniz için rehavete kapılmayın çünkü henüz sıra size gelmemi ş olabilir, önleminizi ş imdiden alın. Yeti ş mi ş Pentester bulamıyorsanız yeti ş tirmeye bakın. Pentesterınıza mutlaka yatırım yapın o sıradan bir i ş yapmıyor. No news is s/good news/APT/g

44 |

45


"|" indir ppt

Benzer bir sunumlar


Google Reklamları