Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

TÜBİTAK UEKAE ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ.

Benzer bir sunumlar


... konulu sunumlar: "TÜBİTAK UEKAE ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ."— Sunum transkripti:

1 TÜBİTAK UEKAE ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ

2 Yasal Uyarı Sunu sırasında öğrenilen saldırı tekniklerinin, karşı tarafın yazılı izni olmadan uygulanması durumunda suç niteliği taşıyacağı bilinmelidir! 2Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

3 Giriş Herkes bilgi işlem servislerine büyük oranda bağlı. Güvenliğin sadece küçük bir yüzdesi teknik güvenlik önlemleri ile sağlanıyor. Büyük yüzdesi ise kullanıcıya bağlı. 3Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Pareto prensibi: Alınabilecek önlemlerin %20’sini alarak saldırıların %80’inden korunabilirsiniz.

4 Giriş - En Zayıf Halka 4Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Sorumlu herkes: Bilginin sahibi Kullanıcılar Bilgi sistemini yönetenler En zayıf halka bilgi güvenliğinin seviyesini belirlemektedir. Zincir en zayıf halkası kadar güçlü. Çoğunlukla en zayıf halka insandır.

5 Giriş - Oluşabilecek Zararlar 5Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Bilginiz başkalarının eline geçebilir Kurumun onuru, toplumdaki imajı zarar görebilir Donanım, yazılım, veri ve kurum çalışanları zarar görebilir

6 Giriş - Oluşabilecek Zararlar 6Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Önemli veriye zamanında erişememek Parasal kayıplar Vakit kayıpları Can kaybı!

7 Giriş 7Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE ABD’de meydana gelen bilgisayar olaylarının türlerine göre dağılımı ( )

8 Giriş 8Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

9 Sosyal Mühendislik Kavramı 9Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Sosyal mühendisler: Teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanlardan faydalanırlar. Etkileme ve ikna yöntemlerini kullanırlar.

10 Sosyal Mühendislik Kavramı 10Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Sosyal Mühendislik: Normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatı. Teknoloji kullanımından çok insanların hile ile kandırılarak bilgi elde edilmesi

11 Sosyal Mühendislik Kavramı 11Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

12 Sosyal Mühendislik Kavramı 12Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Kullandığı en büyük silahı, insan zaafiyetleri İnsan: Güvenliğin en zayıf halkası “ Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim.” (Albert Einstein)

13 Sosyal Mühendislik Kavramı 13Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Çoğu insan, kandırılma olasılığının çok düşük olduğunu düşünür. Bu ortak inancın bilincinde olan saldırgan, isteğini o kadar akıllıca sunar ki hiç kuşku uyandırmaz ve kurbanın güvenini sömürür.

14 Sosyal Mühendislik Kavramı 14Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Kurum güvenliği denge konusudur. En emniyetli bilgisayar? Kapalı olandır! Peki şuna ne dersiniz?: Art niyetli bir kişi ofise gidip bilgisayarı açması için birini ikna edebilir.

15 Sosyal Mühendislik Süreci 15Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

16 Sosyal Mühendislik Yöntemleri 16Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Sahte senaryolar uydurmak Güvenilir bir kaynak olduğuna ikna etmek (phishing) Truva atları Güvenilir bilgi karşılığında para, hediye, vs önermek Güven kazanarak bilgi edinmek Omuz sörfü, çöp karıştırmak, eski donanımları kurcalamak

17 Sosyal Mühendislik ve Teknoloji 17Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Sosyal mühendislik saldırılarında kullanılabilen bazı donanımlar: USB bellekli saat (19.99$) Donanımsal keylogger (59.99$) Kameralı kalem (79.99$) USB bellekli çakmak (39.99$) SD kartı saklayıcısı (20.99$) Kameralı gözlük (79.99$) Kameralı araba anahtarı (59.99$)

18 Sosyal Mühendislik Araçları 18Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

19 Sosyal Mühendislik Saldırı Örneği 19Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Saldırgan: Albert Lim takma isimli şahıs Kurban (kılığına geçmiş şahıs): Ofisten bir arkadaşımız Konu: Para

20 Sosyal Mühendislik Saldırı Örneği 20Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

21 Sosyal Mühendislik Saldırı Örneği 21Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

22 Sosyal Mühendislik Saldırı Örneği 22Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Farklı tarihlerde saldırgandan gelen SMS’ler

23 Sosyal Mühendislik Saldırı Örneği 23Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

24 Sosyal Mühendislik Saldırı Örneği 24Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

25 Sosyal Mühendislik Saldırı Örneği 25Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

26 Sosyal Mühendislik Testleri 26Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Tarafımızca başka kurumlara yapılan sosyal mühendislik saldırısı testlerinden örnek bir ses kaydı…

27 Sosyal Mühendislik Testleri 27Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Kamu kurumlarında durum

28 Sosyal Mühendislik Testleri 28Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Yapılan testler sonucunda kullanıcıların yaklaşık %65’inin şifresini ele geçirebildik!

29 Sosyal Mühendislik Eğitimi 29Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Sosyal Mühendislik Kavramı Saldırı Teknikleri Sosyal Mühendislik Saldırı Örneği Sosyal Mühendislik Testleri Korunma Yöntemleri Uygulama

30 Kullanıcı Bilinçlendirme Eğitimleri 30Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE İçermesi gereken bazı önemli maddeler: Kurum her an saldırıya maruz kalabilir Sorun sadece teknoloji sorunu değildir Kurumun tüm çalışanları bilgi güvenliğinin bir parçası Eğitimler periyodik olarak düzenlenmeli Prosedürlerin ve uygulamasının önemi Örneğin, şifre oluşturma prosedürü

31 Ölçüm 31Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Kullanıcı bilinçlendirme eğitimlerinde verilen bilgi, kullanıcılar tarafından yeterli derecede öğrenilmiş mi? Ödül ve teşvik amacıyla eğitim sonunda kullanıcılara katılım sertifikası verilebilir. Tüm kurum personelinden kurallara uyacağına dair imzalı bir taahhüt belgesi alınabilir.

32 Sürekli Bilinçlendirme Programı 32Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Kurumun iç sayfasına bilgi güvenliğiyle ilgili karikatürler, ipuçları koyma Ayın güvenlik çalışanının resmi Çeşitli bilgi güvenliği posterleri asma Bülten panolarına duyurular

33 Sürekli Bilinçlendirme Programı 33Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Hatırlatma amaçlı e-postalar Bilgi güvenliğiyle ilgili İnternet sitelerinin takibi

34 Kurum Bilgi Güvenliği Kural Önerileri 34Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Risk analizi yapılması Kurumun bilgi varlıkları neler? Bu varlıklara ne gibi tehditler var? Bu tehditler gerçekleşirse kuruma ne gibi zararlar gelebilir? Veri sınıflandırma Tasnif dışı Hizmete özel (Özel) Gizli

35 Kurum Bilgi Güvenliği Kural Önerileri 35Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Kurumda periyodik olarak bilgi güvenliği testleri yapılmalı Antivirüs yazılımları mutlaka tüm bilgisayarlara kurulmalı ve tanım dosyası güncel tutulmalı Çöpe atılması gereken dokümanlar, kırpıcılardan geçirilebilir

36 Kurum Bilgi Güvenliği Kural Önerileri 36Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Şifre korumalı ekran koruyucular kullanılabilir Temiz masa / temiz ekran politikası İşten ayrılan çalışanların uyması gerektiği prosedürler hazırlanabilir Kuruma ziyaretçi olarak gelen kişilerden kimlik alınabilir, kurum içerisinden bir çalışan bu kişiye refakat edebilir

37 Sonuç 37Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Tehlike hiç ummadığınız bir anda, hiç ummadığınız bir yerden gelebilir. Tanımadığınız kişilerden gelen isteklere karşı temkinli davranın. Size özel bilginizi (örneğin şifreniz) kimseyle paylaşmayın. Sistem yöneticisi Yan masada oturan mesai arkadaşınız Hatta yöneticileriniz

38 Sonuç 38Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Kurumdaki tüm personele periyodik olarak bilgi güvenliği bilinçlendirme eğitimleri verin. Kurumunuzda periyodik olarak, sosyal mühendislik saldırı testini de içeren, bilgi güvenliği testleri gerçekleştirin.

39 TEŞEKKÜRLER 39Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE


"TÜBİTAK UEKAE ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ." indir ppt

Benzer bir sunumlar


Google Reklamları