Riskin Değişen Yüzü: Yeni Milenyum’da Güvenlilk Tarkan Kadıoğlu.

Slides:



Advertisements
Benzer bir sunumlar
Bilgisayar Ağları Son Hafta
Advertisements

Bilişim Güvenliği Nedir?
Bilişim Terörü ve Bilişim Savaşları
“IT Manager” Ünvanına Sahip Olun örnekler, kısa tanıtımlar
HTTP’yi (istemci tarafı) kendi kendinize deneyin
BİLGİ GÜVENLİĞİ.
10 IP TERCİH ETMEK İÇİN NEDEN! NEDEN IP SİSTEMLER?
MÜŞTERİ İLİŞKİLERİ YÖNETİMİ
HR-WEB TANITIM SUNUMU’2013
Gantek Teknoloji AR-GE Faaliyetleri ve bir AR - GE başarı hikayesi Ertuğrul Ağar.
Hüsnü ZOBU İNTERNET VE GÜVENLİK Sinan Bayraktar Hüsnü ZOBU 13 Nisan 2004.
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
Bilgi Güvenliği Şubesi
BİLGİ GÜVENLİĞİ KONUSUNDA ABD HUKUKUNA BİR BAKIŞ Erdem AKYAZILI İstanbul Bilgi Üniversitesi Bilişim Teknolojisi Hukuku Uygulama ve Araştırma Merkezi.
AĞ GÜVENLİĞİ.
THALES-YALTES Siber Güvenlik Çözümleri
(FIREWALLS) GÜVENLİK DUVARI GİRİŞ
Bilişim Güvenliği Semineri
İNTERNET VE AĞ GÜVENLİĞİ
Bölüm 1 Ağlar ve Verİ İletİşİmİ
Bilgisayar ve internet güvenliği için yardımcı programlar
SON KULLANICI HATALARI BİLGİ İŞLEM DAİRE BAŞKANLIĞI SON KULLANICI HATALARI Cengiz Acartürk 03 Ekim 2003.
Bilişim Güvenliği Information Security
Ağlarda Güvenlik Öğr. Gör. Mustafa SARIÖZ
Windows Server 2008’e Genel Bakış Microsoft Windows Server 2008, bilgi teknolojileri (BT) uzmanlarının altyapıları üzerindeki kontrollerini maksimum seviyeye.
Bilgisayar Sistemleri Güvenliği
YONT171 Bilgi Teknolojilerine Giriş I
BİLGİSAYARDA GÜVENLİK
Kurumsal İçerik Yönetimi Kapsamında Bilgi Güvenliği
BİT’in Gizlilik ve Güvenlik Boyutları
Türkiye’deki Üniversitelerde İnternet Tabanlı Akademik Kayıt ve Not Takip Sistemleri (IANTS) Y.Doç.Dr.Ender Özcan Yeditepe Üniversitesi.
E- Ticaret Altyapısı.
Bilgisayar ve Veri Güvenliği
Necmi Murat GÜNGÖR İletişim Uzmanı
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
Türk Hava Kurumu Üniversitesi
Bilgisayar ve Ağ Güvenliği
Nedir, nasıl bulaşır? Ne yapabilirim?. Virüs nedir?
Ağ ve Sistem Güvenliği’nde Yaygın Problemler
Bölümün Amacı Bu bölüm, bilişim teknolojisinin evrimini incelemektedir. Bölüm, örgütsel işlemlere uygulanan bilişim teknolojisi sistemlerine göz atarak.
Bilişim Teknolojileri Kullanımında Güvenlik Temel Kavramlar ve Bilgi Güvenliği.
TELEFONDA KRİTİK BİLGİ PAYLAŞMAYIN  Yöneticileriniz de dahil hiç kimse ile kurum ve personele ait kritik bilgiyi telefondan paylaşmayın.  Telefon ile.
Bilişim Teknolojileri Güvenliği. BT Güvenliği Bilişim teknolojisi kullanan bir kuruluşun en önemli hedeflerinden biri bu teknolojiyi gerektiği gibi çalışır.
YENİ TÜRK TİCARET KANUNU SÜRECİNDE YOL HARİTASI Hazırlayan: Recep Aşır Temmuz 2012.
Ulusal Bilgi Sistemleri Güvenlik Programı Bilge KARABACAK 8 Haziran 2007, Ankara.
DİSASTER CENTER FELAKET MERKEZİ. Felaket Kurtarma (Disaster Recovery) Her kurum için, vermekte olduğu hizmeti herhangi bir nedenden dolayı veremez duruma.
BILIŞIM KOMISYONU Kurumsallıkta Bilişimin Önemi ve Bilgi Güvenliği Ocak 2016.
Bekir Sami NALBANTOĞLU
Network Access Kontrol Ağ Erişim Kontrolü (NAC) Hüsnü DemirHüseyin YüceGökhan Akın ODTÜMarmara.
Temel Bilgi Teknolojileri
(E)Tuğg.Doç.Dr. Oktay Bingöl
BİT’İN TEMEL KAVRAMLARI
ANTİVİRÜS ÇEŞİTLERİ ve ARALARINDAKİ FARKLAR
One Touch Video Kurumlar, İşletmeler ve Çağrı Merkezleri için internet tabanlı ve mobil etkileşimli video çözümü 2010 Avaya Inc. All rights reserved.
DİSASTER CENTER FELAKET MERKEZİ Fatma tekin no:
Bilgisayar Ağlarında Güvenlik
Virüsler ve Diğer Zararlı Yazılımlar
BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ
BİT’İN GİZLİLİK VE GÜVENLİK BOYUTLARI
BİLGİ VE AĞ GÜVENLİĞİ DERSİ ÖDEVİ Ödev Konuları: 1) Dağıtık sistemler nedir avantajı nelerdir ? 2) Arp zehirlenmesi nedir? 3) Günümüzde kullanılan en güncel.
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
BT Denetim, güvenlİk ve DanIşmanlIk
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
Active Directory.
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
Felaket Merkezi Berk Aydoğdu
BOZOK ÜNİVERSİTESİ Merkezi Kimlik Doğrulama Sistemi
TURKHAREKAT.COM Siber Güvenlik Eğitimlerine Hoşgeldiniz.
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
Sunum transkripti:

Riskin Değişen Yüzü: Yeni Milenyum’da Güvenlilk Tarkan Kadıoğlu

Copyright 2001, Computer Associates International, Inc Ajanda  Bilişim Suçları Tarihçesi  Tehdit Sınıflandırılması  2001 Bilişim Suçları  Yeni Milenyumda Güçlenen Tehditler  Güven ve Kişiye Özellik  Politika Temelli Erişim Kontrolü  ‘Toplam’ Güvenlik  Türkiye?

Copyright 2001, Computer Associates International, Inc Bilişim Suçları Tarihçesi: İLK’ler  1973 – Trojan tekniği: Stryker, Shore & Wilson-Deniz Kuvvetleri’ne ait Univac 1108  1982 – Worm: Xerox Palo Alto Araştırma Merkezi  1983 – Virüs: Fred Cohen  1983 – Hacker Grubu: Milwaukee 414’s  1986 – Kanun: Federal Computer Fraud and Abuse Act

Copyright 2001, Computer Associates International, Inc Bilişim Suçları Tarihçesi: İLK’ler  1986 – Yaygın Virüs: Pakistan çıkışlı BRAIN  1988 – Bomba Yazılım: Burleson 168,000 muhasebe kayıdını ayrılışından 6 ay sonra silmek için  1988 – DoS ve Bilgi İşlem Suçlusu: Robert Morris 6,200 Net bağlantılı UNIX bilgisayarı 1 haftaya kadar durdurdu, $100 milyondan fazla zarar verdi ve $10,000 ceza aldı  – İlk Hacker savaşları: LOD/MOD

Copyright 2001, Computer Associates International, Inc BM tarafından tehditlerin sınıflandırılması KİŞİLERORGANİZE SUÇLAR ARAŞTIRMACI GRUPLAR YABANCI BİLGİ Anarşistler Virus Yazıcıları Amatör Hacker’lar Uyuşturucu Üçkağıtçılık Para Aklama İllegal Bilgi Toplama İllegal Göçmenler Pornografi Bilgi Broker’ları Araştırmacı Gazeteciler Baskı Grupları Hükümet ve Askeri istihbaratın yanında şirketler arası istihbarat da artıyor

Copyright 2001, Computer Associates International, Inc Bilişim suçluları sınıflandırılması  Amatör Hacker’lar  Sınırlı zararlı Hacker’lar  Bilgisayar ‘dahi’leri  Anarşistler  Finansal kazanç avcıları  Ticari zararlı kiralık Hacker’lar  Politik anarşistler  Internet teröristleri

Copyright 2001, Computer Associates International, Inc 2002’deki Bilişim Suçları ve Bazı Gerçekler  Şirketlerin %90’ı yaşadıkları ataklar sonucu son 12 ayda sistemlerinde güvenlik açığı tespit etmişler  Saldırıların %80’i parasal kayba uğruyor ve ortalama kayıp sürekli artıyor  Dışarıdan atağa uğrayanların oranı %40  DoS atağına uğrayanların oranı %40 Kaynak: CSI/FBI Survey, 2002

Copyright 2001, Computer Associates International, Inc 2002’deki Bilişim Suçları ve Bazı Gerçekler  Kullanıcılarının yanlış Internet kullanımı gerçekleşenlerin oranı %78  Virüs saldırısına uğrayanların oranı %85  Web sitesinde yetkisiz erişim ve kullanıma rastlayanlar %35  Ancak bu ataklar için yasal işlem başlatan sadece %34 Kaynak: CSI/FBI Survey, 2002

Copyright 2001, Computer Associates International, Inc Birçok Atak Noktası  Web saldırıları/politik içerik değiştirme  Distributed Denial of Service (DDOS)  Bilgi hırsızlığı  Finansal tehdit  Virus ve diğer zararlı kod enfeksiyonları

Copyright 2001, Computer Associates International, Inc 2002’deki Bilgi İşlem Suçları ve Bazı Gerçekler Kaynak: CSI/FBI Survey, 2002

Copyright 2001, Computer Associates International, Inc Yeni Milenyumda Güçlenen Tehditler: Otomasyon, Atak Araçlarının Hızı  İleri teknikler  Açıkları bulduğu anda faydalanmak  Kendini tetikleyebilme ve yayılma  Koordinasyon

Copyright 2001, Computer Associates International, Inc Güçlenen Tehditler: Atak Araçlarının Artan Karmaşıklığı  Hızla değişen teknikler  Reverse engineering yapılma gerekliliği  Dinamik davranış  Modüler yapı  Farklı işletim sistemlerinde bacaklar

Copyright 2001, Computer Associates International, Inc Güçlenen Tehditler: Güvenlik Açıklarının Daha Hızlı Keşfi  Yeni açıklar  Patch sayısı  Yeni güvenlik açığı sınıfları  Korsanların hızı

Copyright 2001, Computer Associates International, Inc Güçlenen Tehditler: Firewall Ürünlerinde Esneklik  Bypass teknolojisi  ‘Firewall friendly’  ActiveX, Java ve JavaScript

Copyright 2001, Computer Associates International, Inc Güçlenen Tehditler: Artan Oranda Asimetrik Ataklar  Güvenlik zinciri  Asimetrik ataklar

Copyright 2001, Computer Associates International, Inc Güçlenen Tehditler: Altyapı Ataklarının Artması  Yüksek bağlantı – Düşük güvenlik  Solucanlar  Top Level DNS Sunucularına Ataklar -Cache zehirlemesi (TLD’lerin %80’i açık) -Veri değiştirilmesi/BIND (%20 açık) -DoS -Domain hijacking  Router’lar

Copyright 2001, Computer Associates International, Inc İnsan Kaynaklı İç Tehditler  Kulak misafirliği  Bilgi değiştirme  Sistem çökertme veya kırma  Hacking yazılımları, örn. Trojan Horse  Hırsızlık  Saklama ortamlarının yetkisiz erişimi  Trafik ayrıştırması  Sosyal Mühendislik  Kullanıcıların basit hataları  İşten ayrılan kişilerin kötü niyetli davranışları

Copyright 2001, Computer Associates International, Inc Zaman Yüksek Düşük Yeni teknolojileri n satın alınması Yeni teknolojiyi güvenli kılabilme yetisinin kazanılması Tehlike Bölgesi Teknoloji/Güvenlik Gecikmesi

Copyright 2001, Computer Associates International, Inc Kritik Güvenlik Maddeleri - Devameden  Güven  İşortaklarının kimlik bilgileri  İnkar edilememezlik  Kişiye Özellik  Veri yakalanması ve spoofing’in önlenmesi

Copyright 2001, Computer Associates International, Inc  Yönetim  Birçok farklı ortamdaki çok sayıda kullanıcının yönetimi  Tutarlılık  Teftiş  Güvenlik politikasının güncel tutulması Kritik Güvenlik Maddeleri - Yeni

Copyright 2001, Computer Associates International, Inc Gerçek Güvenlik Nasıl Olmalı  Güvenlik sadece ürün satın almak değildir  Fiziksel, İşlemsel, Personel  eİş yönetimi için güvenlik anahtardır  Gizlilik, Entegrasyon  Güvenlik hazırlığı işakışı devamlılık planının bir parçasıdır  Erişilebilirlik

Copyright 2001, Computer Associates International, Inc eİş Güvenlik Denetimi

Copyright 2001, Computer Associates International, Inc Güvenlikte En İyi Deneyimler Metodu Güvenlik Çözümleri  Şirketlerin güvenlik uzmanlığına ve süregiden güvenlik açığı takibine ihtiyacı var Entegrasyon  Varolan güvenlik ve yönetim altyapısıyla tam uyumluluk Güvenlik Görüntülemesi  Kurumsal güvenlik görüntülemesi ve kontrol yöneticilere kolay karar verme şansı tanır Yöneticiler  Yöneticiler artıkişlerine uygun güvenlik politikalarını hayata geçirebilir

Copyright 2001, Computer Associates International, Inc Kapsamlı Entegre Güvenlik Çözümü

Copyright 2001, Computer Associates International, Inc eİş Güvenlik Çözümleri

Copyright 2001, Computer Associates International, Inc Savunma Eğilimleri Firewall VPN Intrusion Detection Web Usage Control Mail Scanning Router TüketicilerKurumDemiliterize Bölge ISP Antivirus

Copyright 2001, Computer Associates International, Inc eİş Güvenlik Çözümleri

Copyright 2001, Computer Associates International, Inc Güvenli Erişim - Bugün Web Erişimi İç Kullanıcı Erişimi İşortakları/MüşterilerÇalışanlar İşkolu gruplarıBilgi İşlem YönetimiAlıcılar

Copyright 2001, Computer Associates International, Inc Güvenli Erişim - Gelecek eİş YönetimiExtranet/Mobility Gereksinimleri Bilgi İşlem Yönetimi Web Erişimiİç Kullanıcı Erişimi İşortakları Müşteriler Çalışanlar

Copyright 2001, Computer Associates International, Inc Erişim LDAP Server PKI OCSP Responder Web Access Control Intranet Sunucusu Kullanıcı Veritabanı Ve Erişim Kontrol Veritabanı Uygulama Sunucusu Kullanıcı Veritabanı Ve Erişim Kontrol Veritabanı Kullanıcı Veritabanı Ve Erişim Kontrol Veritabanı Web Sunucuları Web Erişimiİç Erişim

Copyright 2001, Computer Associates International, Inc eİş Güvenlik Çözümleri

Copyright 2001, Computer Associates International, Inc Yönetim  Tüm sistem ve uygulamalara erişimin politika tabanlı yönetimi  Güvenlik politikası yönetimi  Kullanıcı gerekliliklerinin basitleştirilmesi, örn. Tek id-pwd, akıllı kartlar, vs.  Olay ve problemlerle ilgilenilmesi ve korele edilmesi  Sistemlerin politikaya uygunluğunun periyodik takibi

Copyright 2001, Computer Associates International, Inc Yönetim Log TeftişiHost IDS Güvenlik Açığı Belirlenmesi Network IDS Kullanıcı Yönetimi Firewall Monitoring Antivirus Operational Teftiş Güvenlik Yönetimi

Copyright 2001, Computer Associates International, Inc Örnek Alarm sorumlu gruba iletilir Güvenlik açığı belirlenir Çözüm belirlenir ve uygulanır

Copyright 2001, Computer Associates International, Inc Genişletilmiş Yönetim

Copyright 2001, Computer Associates International, Inc Yeni Nesil Mimarinin Faydaları  Kapsam  Benzersiz Entegrasyon  Genişletilmiş Kurumun Merkezi Yönetimi Daha Düşük Sahip Olma Maliyeti Daha İyi Risk Yönetimi

Copyright 2001, Computer Associates International, Inc 12% Symantec 10% Network Assoc. 9% Checkpoint 8% IBM 7% Trend Micro 4% ISS 3% Diğer 44% Güvenlik Yazılımı Pazar Payları Source: IDC, 2001 WWInternet Security RSA Security 4% Computer Associates

Copyright 2001, Computer Associates International, Inc Bu suçlar Türkiye’ye uzak!!!  Bu işler daha çok Amerika’da, Avrupa’da olur. Bunlar Türkiye’ye gelene kadar, ooooo!!!

Copyright 2001, Computer Associates International, Inc Yanlış!!!!!!! Kaynak: Riptech, Ocak 2002

Riskin Değişen Yüzü: Yeni Milenyum’da Güvenlilk Tarkan Kadıoğlu