Zafiyet Tespit Araçları – Eksileri/Artıları

Slides:



Advertisements
Benzer bir sunumlar
SLIDEPLAYER.COM.TR Size sunuyoruz
Advertisements

SLIDEPLAYER.COM.TR Size sunuyoruz
SLIDEPLAYER.BIZ.TR Size sunuyoruz
Ethical Hacking ve Sızma Yöntemleri
| Penetrasyon Testinin Önemi |
Bilgisayar ve İnternet Güvenliği
Ericom Telekomünikasyon ve Enerji Teknolojileri A.Ş.
Ethical Hacking 1. Bölüm Eyüp ÇELİK
75. Yıl İlköğretim Okulu Edremit - BALIKESİR
Bİlgİsayar güvenlİğİ , TELİF HAKLARI, HUKUK
Web Hacking Yöntemleri
Siber Güvenlik Danışmanı
Ethical Hacking & Live Hacking
BİL Temel Bilgisayar Bilimleri
BAĞLANTI VERME VE ANİMASYON
B İ LG İ GÜVENL İĞİ NDE KULLANICI SORUMLULU Ğ U. Sistemi içeriden yani kullanıcıdan gelebilecek hatalara ve zararlara kar ş ı koruyan bir mekanizma yoktur.
Bilgi Sistemleri ve Güvenliği
Hazırlayan: Emin BORANDAĞ
DAVRANIŞSAL İŞ GÜVENLİĞİ
Veritabanı Yöneticisi
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
+ Bilgi Teknolojileri ve İ leti ş im (Ders) Ö ğ r. Gör. Mehmet Akif BARI Ş Zirve Üniversitesi – İ leti ş im Fakültesi.
Bilişim Güvenliği Semineri
SAMSUNG AKADEMİ Emin CELİLOĞLU IT Eğitmeni
Siber Güvenlik & & Siber Terörizm
SON KULLANICI HATALARI BİLGİ İŞLEM DAİRE BAŞKANLIĞI SON KULLANICI HATALARI Cengiz Acartürk 03 Ekim 2003.
Bilişim Güvenliği Information Security
Bilişim Teknolojilerine Giriş
Açık Ders Malzemelerinde (ADM) Teknik Alt Yapı R. Orçun Madran
1/18. 2/18 Formlarımız; Kullanıcı hesap formu, Özel hesap başvuru formu, Toplu kullanıcı hesap başvuru form olarak ayrılmıştır.
KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ
KADIN Bir kadın çocuktur aslında..   Çocuk gibi davranmayı sever.   Erkeğin kendisine bir çocuğa gösterdiği şefkati göstermesini ister. Bir çocuğu.
Bilgi Teknolojileri Güvenlik Uzmanı (IT Security Specialist)
Microsoft'un birincil hedefi işletim sistemlerinin kullanımını daha kolay hale getirmektir: Windows 2000 aşağıdaki özellikleri sayesinde bu geleneği devam.
Bilgi ve İletişim Teknolojisi
Bilişim Teknolojileri ve Yazarlık Dersi
Hacking – Ethical Hacking
YAZILIM.
Shared Computer Toolkit EROL DOĞAN
Bahtiyar Bircan SİBER GÜVENLİK Bahtiyar Bircan
BAĞIMLILIK AİLE EĞİTİMİ
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
TELİF HAKKI.
Ağlar ve Veri İletişimi
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
HAZIRLAYAN :AYŞEGÜL KILIÇ
|
Modern işletmeler için sınıfının en iyisi üretkenlik araçları Telista Bilişim ve İletişim Teknolojileri San. ve Tic. A.Ş
Veritabanı Yönetim Sistemleri - I
S İBER G ÜVENLİĞE G İRİŞ S IZMA T ESTLERİ Doç.Dr. İbrahim ÖZÇELİK Arş.Gör. Musa BALTA.
Akıllı İstemcileri Geliştirmek ve Dağıtmak
Bilişim Teknolojilerinin Kullanımı ve Sağlık
İNTERNET.
1. 2 Siber güvenlik dünyasına yönelik, yenilikçi profesyonel çözümleri ile katkıda bulunmak amacı ile 2008 yılında kurulan BGA Bilgi Güvenliği A.Ş. stratejik.
İnternet Nedir Bilgisayar Ağları Ağ Çeşitleri Çağlar Gülcek.
KARİYER YÖNETİMİ DERSİ EGZERSİZLERİ Prof. Dr. Serkan Bayraktaroğlu
Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar Fatih Özavcı Bilgi Güvenliği Danışmanı
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
SANALLAŞTIRMA ÇEŞİTLERİ VE YAZILIMLARI
YMT311 Bilgi Sistemleri ve Güvenliği Güvenlik ve Hacking Kavramları
Penetrasyon Testleri Erçin DİNÇER.
BİLGİSAYARDA DONANIM ve YAZILIM
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
SECURITY HAS NEVER BEEN SIMPLER! Irmak PAKDEMİR / CEO
CYBER SECURITY.
ANTİVİRÜS NEDİR? SİBER GÜVENLİK
ETİK VE GÜVENLİK İnternette ne kadar güvendesin? 1.
İnternette Güvenlik ve Dijital Vatandaşlık
İçerik Tarihçe Hizmetlerimiz ve Çözümlerimiz Organizasyon Yapısı
Sunum transkripti:

Zafiyet Tespit Araçları – Eksileri/Artıları Eyüp ÇELİK Siber Güvenlik Danışmanı info@eyupcelik.com.tr www.eyupcelik.com.tr Twitter.com/EPICROUTERS Facebook.com/EPICROUTERSS

Eyüp ÇELİK Kimdir? Siber Güvenlik Danışmanı (EntPro Bilişim ve Danışmanlık) White Hat Hacker Ethical Hacking Eğitmeni Mshowto Editörü (www.mshowto.org) Blog Yazarı (www.eyupcelik.com.tr) SecWis Güvenlik Birim Yöneticisi (www.secwis.com) LabSec Community - Güvenlik Ekip Lideri Anatolia Security - Proje Takım Lideri Güvenlik Araştırmacısı (Security Research) PacketStormSecurity.org Exploit-db.com Secunia.com

Ajanda Zafiyet Kavramı ve Zafiyetler Üzerine Penetrasyon Testlerinin Bir Aşaması Olarak Zafiyet Tespiti Zafiyet Tespit Araçları Sistem – Network (Perimeter) Ticari Araçlar Free – Trial – Open Source Araçlar Web Application (Web Application Scanner) Zafiyet Tespit Araçlarının Kullanımı Sistem – Network Nessus Nexpose (Zaman Yeterse ) Web Application Scanner Acunetix Netsparker (Zaman Yeterse ) Zafiyet Tespit Araçlarının Artıları ve Eksileri Sorular

Zafiyet Kavramı ve Zafiyetler Üzerine Zafiyet nedir? Zafiyetler nasıl meydana gelir? Zafiyetler ile ilgili neler biliyor olmak zorundayız? Black Hat dünyası ve Güvenlik dünyası ne durumda? Hackerlar sadece zarar mı verirler? Ne kadar güvendeyiz sorgusuna dürüst cevaplar verebiliyor muyuz? Çok iyi yazılım ve donanıma sahibiz, bize bir şey olmaz mantalitesi  Kurulumundan sonra kaç kere güvenlik cihaz ve yazılımlarına kural yazdınız? Güncelleştirmeleri sakın yüklemeyin, sistem çalışmayabilir! Sistem şimdi çalışıyorsa kimse ellemesin sakın! Lisans önemli değil, yeter ki çalışsın  Örnek demo Microsoft Office 2010 Anahtar kapıya uymuyorsa kapıyı anahtara uydurun. (Reverse Enginering) Hacking sadece zafiyetleri kullanarak yapılmaz!

Zafiyet Kavramı ve Zafiyetler Üzerine «Güvenlik zincirindeki en zayıf halka insandır» Kevin D. Mitnick / Aldatma Sanatı «Bireyler, uzmanların önerdiği en iyi güvenlik uygulamalarını çalıştırıyor, önerilen her güvenlik ürününü bilgisayarına yüklüyor olabilirler ve uygun sistem yapılandırmasını ve güvenlik yamalarını kullanmak konularında son derece dikkatli davranabilirler. Bu bireyler yine de tamamen savunmasızdırlar.» Kevin D. Mitnick / Aldatma Sanatı “Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim.” Albert Einstein

Zafiyet Kavramı ve Zafiyetler Üzerine Güvenlik sadece güçlü bir parola ile sağlanamaz! Sadece güvenlik cihaz ve yazılımları ile güvenlik sağlanamaz!

Zafiyet Kavramı ve Zafiyetler Üzerine Güvenlik sadece güçlü bir parola ile sağlanamaz! Sadece güvenlik cihaz ve yazılımları ile güvenlik sağlanamaz!

Zafiyetlerin Yaşam Döngüsü Discover Vulnerabilities Prioritization and Categorization Access Vulnerability Report Remediate Verify

Penetrasyon Testlerinin Bir Aşaması Olarak Zafiyet Tespiti Penetration testinde Hacking evresine yön veren en önemli evrelerden biridir! İstismar yöntemlerinin (Exploiting) ve istismar araçlarının en iyi yardımcısıdır. Günümüzde zafiyetler manuel yöntemlerle tespit edilemeyecek kadar çoğalmış durumdadırlar. Zaman ve sonuç almak adına işleri kolaylaştırır  Birkaç araçla beraber yapıldığında doğru sonuca ulaştırma yüzdesi yüksek olur. Herkes kullanabilir ama herkes yorumlayamaz!

Zafiyet Tespit Araçları – Sistem Network Ticari Araçlar Free – Trial – Open Source Araçlar Nexpose Nessus MetaSploit Qualys SAINT Retina OutPost24 OpenVAS MBSI (Microsoft Baseline Security Analyzer) Nexpose Nessus MetaSploit Qualys

Zafiyet Tespit Araçları – Web Application Ticari Araçlar Free – Trial – Open Source Araçlar Acunetix AppScan (IBM) Web Inspect (HP) Burp Suite GamaScan NetSparker Acunetix NetSparker W3AF Grendel-Scan Wapiti Websecurify Wikto

Zafiyet Tespit Araçlarının Kullanımı

Zafiyet Tespit Araçlarının Artıları / Eksileri Her zaman kesin sonuç vermezler! Yanıltabilme payları yüksektir! Bulunan her zafiyetin varlığının fiziksel olarak test edilmesi doğru sonuca götürür. Doğru sonuç almak için birden çok araç kullanmak gerekir. Zafiyet tespit etmek için en doğru araç seçilmelidir. Yanlış ürün ile doğru sonuç alınmaz! Zafiyet tespitinde Bilgi Güvenliği Uzmanı ve Hacker’ların yardımcı araçlarıdır  Hacking Evresine yön verir.

Teşekkürler Sorular?