Bilişim Güvenliğinde Yaşam Döngüsü ve Derinlik

Slides:



Advertisements
Benzer bir sunumlar
8. SINIF 3. ÜNİTE BİLGİ YARIŞMASI
Advertisements

TÜRKİYE BANKALAR BİRLİĞİ
Sanallaştırma Güvenliği : Tehditler , Önlemler ve Fırsatlar
Dört Bölüm 1.Tanıtım ve Mevcut Durum 2.Hedefler 4.Demo 3.Yeni Sürüm Planlaması.
VERİTABANI YÖNETİM SİSTEMLERİ
BİLGİ GÜVENLİK TALİMATI
NOKTA, DOĞRU, DOĞRU PARÇASI, IŞIN, DÜZLEMDEKİ DOĞRULAR
BİLGİ GÜVENLİĞİ.
Yeni TTK ve Doküman Yönetim Süreçleri Nasıl Dönüştürülüyor?
DERSLERDE ÖĞRETİM TEKNOLOJİLERİNİN KULLANIMI İLE İLGİLİ ÖĞRENCİ BEKLENTİLERİ: ODTÜ ÖRNEKLEMİ Nergis A. Gürel Köybaşı, Öğretim Teknolojileri Destek Ofisi,
Dijital Dünyada Yaşamak
2 3 ÜST YÖNETİMİN LİDERLİĞİNDE, TAKIM HALİNDE BELİRLENEN HEDEFLER DOĞRULTUSUNDA, İŞLETME PROBLEMLERİNE GÖRE ÇÖZÜM BULUNMASIDIR. 4.
Aerobus Güvenliği ve Emniyeti Aerobus yolcularının ve sisteminin Güvenliği ve Emniyeti için alınması gereken Proaktif Önlemler.
INTERNET TABANLI HASTA KAYDI PAYLAŞIMI VE TELEKONSÜLTASYON PLATFORMU
Örnek Kampüs Uygulamaları ODTÜ Ulaknet Sistem Yönetim Konferansı - Güvenlik.
“IPv6 Balküpü Tasarımı”
E-SINAV Sistemi Halil Özmen
Mustafa Akgül Linux Kullanıcılar Derneği LINUX, E-DEVLET VE BİLGİ TOPLUMU.
SQL Enjeksiyon Saldırı Uygulaması ve Güvenlik Önerileri
AB ÜYELİĞİNİN TÜRK VATANDAŞLARINA FAYDALARI
Bilgi ve İletişim Teknolojileri İMİ Bilgi İşlem şube Müdürü
Başbakanlık e-Kurum Projesi 18 Ocak 2010 Dr. Nihat YURT Başbakanlık EKG.
Döner Sermaye Mali Yönetim Sistemi Bilgi Güvenliği
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
HAZİNE MÜSTEŞARLIĞI BİLGİ GÜVENLİĞİ YOL HARİTASI
Bilgi Güvenliği Şubesi
HASTA ODAKLI KALİTE YÖNETİM STANDARTLARI VE HİZMET KALİTE STANDARTLARI İLİŞKİSİ Yrd. Doç. Dr. Ufuk Cebeci İTÜ Sağlık İşletmeleri Sertifika Program Koordinatörü.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
1 İZMİR ORMAN BÖLGE MÜDÜRLÜĞÜ-2008 İZMİR ORMAN BÖLGE MÜDÜRLÜĞÜ BİT ÇALIŞMALARI.
İNTERNET VE AĞ GÜVENLİĞİ
SON KULLANICI HATALARI BİLGİ İŞLEM DAİRE BAŞKANLIĞI SON KULLANICI HATALARI Cengiz Acartürk 03 Ekim 2003.
ELEKTRONİK ORTAMDA DENETİME GENEL BAKIŞ Prof. Dr
DİYARBAKIR BÜYÜKŞEHİR BELEDİYESİ
TEST – 1.
ISO 9001 standardı Maddelerinin Tanıtımı ve Yorumlanması, Kalite Yönetim Sistemlerinde Dokümantasyon 4. Hafta.
Bilgi Sistemi Organizasyonlar içerisindeki kontrol ve karar verme mekanizmalarında kullanılacak bilginin toplanması, işlenmesi, saklanması ve dağıtılmasını.
Sistem ve Ağ Yönetiminde Parola Yönetim Zorlukları
Bilgi Güvenliği – Temel Kavramlar
BTP102 VERİTABANI YÖNETİM SİSTEMLERİ 1
ŞİŞECAM’DA BİLGİ GÜVENLİĞİ
Büyük endüstriyel kaza riski taşıyan işyerleri, güvenlik raporu veya kaza önleme politika belgesi olmadan işe başlayamayacak. İşyerleri işletmelerini güvenlik.
Bilgi Teknolojisinin Temel Kavramları
BİLGİSAYARDA GÜVENLİK
Windows XP Konu: Denetim Masası Windows 8 Windows XP Windows 7.
Toplama Yapalım Hikmet Sırma 1-A sınıfı.
Kurumsal İçerik Yönetimi Kapsamında Bilgi Güvenliği
METU-CC ODTÜ AntiVirüs Sistemi ODTÜ Bilgi İşlem Daire Başkanlığı İbrahim ÇALIŞIR 3 Ekim 2003.
Türkiye’deki Üniversitelerde İnternet Tabanlı Akademik Kayıt ve Not Takip Sistemleri (IANTS) Y.Doç.Dr.Ender Özcan Yeditepe Üniversitesi.
CensorNet Linux Internet Güvenlik Duvarı ve Kayıt Tutma Semineri
Bilgi ve İletişim Teknolojisi
Bilgisayar ve Veri Güvenliği
Bilgi Teknolojisinin Temel Kavramları
Türk Hava Kurumu Üniversitesi
Ağ ve Sistem Güvenliği’nde Yaygın Problemler
NetKafem Kullanımı Basit, Maliyeti Düşük, İşlevleri Güçlü
Bilişim Teknolojileri Güvenliği. BT Güvenliği Bilişim teknolojisi kullanan bir kuruluşun en önemli hedeflerinden biri bu teknolojiyi gerektiği gibi çalışır.
Ulusal Bilgi Sistemleri Güvenlik Programı Bilge KARABACAK 8 Haziran 2007, Ankara.
DİSASTER CENTER FELAKET MERKEZİ. Felaket Kurtarma (Disaster Recovery) Her kurum için, vermekte olduğu hizmeti herhangi bir nedenden dolayı veremez duruma.
Bilgi Teknolojileri Denetimi Bilgi Teknolojileri (BT) denetimi ve denetim sürecinin oluşturulması; Bilgi Teknolojileri ile ilgili unsurların güvenlik altında.
Çomar neyi çözecek? ● Ayarlama arayüzleri görev tabanlı olmalı ● Gündelik işler için komut satırı gerekmemeli ● Belgeleri yalnızca programcılar okuyor.
Network Access Kontrol Ağ Erişim Kontrolü (NAC) Hüsnü DemirHüseyin YüceGökhan Akın ODTÜMarmara.
GÜVENLİ BİLGİSAYAR ve İNTERNET KULLANIMI
Penetrasyon Testleri Erçin DİNÇER.
BİLGİ VE AĞ GÜVENLİĞİ DERSİ ÖDEVİ Ödev Konuları: 1) Dağıtık sistemler nedir avantajı nelerdir ? 2) Arp zehirlenmesi nedir? 3) Günümüzde kullanılan en güncel.
Bilgisayar ve Veri Güvenliği
İç Denetimin İş ve İşleyişinde Katma Değeri Destekleme Yöntemleri
ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
Amazon Web Servisleri ve Javascript Dilinin Birlikte Kullanımı
SİBER GÜVENLİK VERİNİZİ VE GİZLİLİĞİNİZİ KORUYUN
I-BEKCI SİSTEMİNİN KAMPUS ORTAMINDA KULLANIMI
Sunum transkripti:

Bilişim Güvenliğinde Yaşam Döngüsü ve Derinlik Attila Özgit / Burak Dayıoğlu {ozgit,dayioglu}@metu.edu.tr

Bilişim Güvenliği Modeli Gizlilik Bütünlük Erişilebilirlik İşleme Depolama İletim Politikalar ve Yönergeler Teknoloji Uygulamaları Eğitim ve Bilinçlendirme

Modern Ağların Karmaşıklığı

Zafiyet Alanları Yazılım ve Donanım Çevre Çalışanlar Zaman

Zafiyetten Saldırıya ... Sıradan Saldırganların Araçları Kullanımı Otomatikleştirilmiş Araçların Geliştirilmesi ve Dağıtılması Deneyimli Saldırganların Yeni Zafiyet Keşfetmesi Otomatikleştirilmiş Araçların Yaygın Kullanımı Saldırı Araçlarının Dağıtımı Deneyimli Saldırganların Zafiyet Keşfetmesi

Teknoloji İmkanları Kriptografi uygulamaları Ağ bölümlendirmesi ve güvenlik duvarları Ağ trafik analizi ve ağ tabanlı saldırı tespit sistemleri İçerik filtreleri Sunucu tabanlı saldırı tespit sistemleri Tuzak sistemler (ing. honeypots) Bütünlük denetleyicileri Zafiyet tarayıcıları Anti-virüsler Yedekler Güvenli ayarlar ve yamalar (sunucular, ağ cihazları vb.) Erişim denetimi (parolalar vb.) Günlük kayıtları (ing. logs)

CERT/CC Güvenlik Yaşam Döngüsü

Koruma ve Sağlamlaştırma - I Amaç: Bilindik saldırılara ve problemlere karşı önlemlerin alınması Ağ aktif cihazlarının ve bilgisayar sistemlerinin yazılım güncellemelerinin gerçekleştirilmesi Ön-tanımlı parolaların ve diğer anahtar sözcüklerin (SNMP topluluk isimleri vb.) değiştirilmesi

Koruma ve Sağlamlaştırma - II Minimalist yaklaşım; açıkça gerekli olmayan her şey durdurulmalı ya da iptal edilmelidir Çalışması şart olmayan sunucu yazılımlarının durdurulması Gereksiz yazılımların kurulmaması Kullanıcılara ve yazılımlara yalnızca işlerinin gerektirdiği kadar yetki verilmesi

Koruma ve Sağlamlaştırma - III Kullanıcı tanımlama düzeneğinin daha güvenli hale getirilmesi Akıllı kart, hardware-token ya da biyometrik denetimlerin kullanımının tercih edilmesi Bunlar kullanılamıyor ise S/Key gibi tek kullanımlık parola düzeneklerinin kullanılması Vazgeçilemeyen parola düzenekleri için parolaların düzenli denetlenmesi ve zayıf parolaların atanmasının engellenmesi

Koruma ve Sağlamlaştırma - IV Yedekleme ve geri yükleme düzeneğinin kurulması, düzenli olarak denetlenmesi Anti-virüs yazılımlarının kullanılması ve düzenli güncellemelerinin gerçekleştirilmesi Çok katmanlı (E-posta sunucusu, PC’ler, ...) Sunucu yazılımları için üreticiler tarafından tavsiye edilen güvenlik ayarlarının yapılması Güvenlik düzeylerine göre ağ bölümlendirmesi VLAN’ler, güvenlik duvarları Bu adımda alınan önlemlerin bilindik saldırıları engellemek için yeterli olup olmadığını denetlemek için zafiyet tarama yazılımlarının kullanılması

Hazırlık - I Amaç: Bir önceki adımda oluşturulan “güvenli” zeminin bilinmeyen saldırılara karşı korunması için hazırlık yapılması “Bilinmeyen” saldırılara karşı hazırlık yapılması Saldırıların tespit edilmesi ve müdahalenin gerçekleştirilmesi için gerekli alt-yapının hazırlanması

Hazırlık - II Ağ aktif cihazı ve sistem kayıtlarının toplanması İşletim sistemlerinin olabildiğince çok kayıt (ing. log) üretmesinin sağlanması Ağ aktif cihazlarının kayıt düzeneklerinin aktif hale getirilmesi Tüm kayıtların ağ üzerinde merkezi bir sunucuda toplanması Merkezi kayıtların güvenliğinin sağlanması Kayıt tutan tüm bilgisayar sistemlerinin zaman senkronizasyonunun sağlanması (NTP vb. ile)

Hazırlık - III Kayıtları tutulabilecek diğer uygulamaların belirlenmesi ve kayıtlarının merkezileştirilmesi Veritabanı sunucuları E-posta sunucuları DNS sunucuları Web sunucuları Uygulama sunucuları ... Merkezileştirilemeyen kayıtların belirlenmesi ve bunlar için izlenecek yöntemin tespiti

Hazırlık - IV Saldırı Tespit Sistemlerinin Kurulması Ağ temelli / Sunucu temelli saldırı tespit sistemleri kurulması ve “normal olmayan” durumlar ile bilindik saldırıların tespit edilmesinin sağlanması Bu sistemlerin kayıtlarının da merkezi kayıt düzeneği ile birleştirilmesi

Hazırlık - V Dosya Bütünlük Denetleyici Sistemlerinin Kurulması Görev-kritik sunucular üzerindeki hassas dosyalarda sıradışı “değişikliklerin” tespit edilmesi Sistem ayarlarının değişmesi Sistem günlük kayıtlarının (ing. logs) dosya büyüklüklerinin azalması Sistem programlarının değişmesi Dosya/program sahipliğinin ve erişim denetim yetkilerinin değişmesi Dosya bütünlüğü problemleri İşletim hatalarından Yanlış ayarlardan Saldırganların sistem üzerindeki hamlelerinden kaynaklanabilir

Hazırlık - VI Tuzak Sistemlerin Kurulması Diğer yöntemlerle saptanamamış saldırganları cezbetmek, yanıltmak, onları oyalamak ve tespit edilmelerini kolaylaştırmak için “honeypot” (Tuzak) sistemlerinin kurulması

Tespit Amaç: Anormal durumların tespit edilmesi, hangilerinin detaylı inceleme ve müdahale gerektirdiğinin belirlenmesi Tutulan kayıtların düzenli olarak incelenmesi Şüpheli kayıtların belirlenmesi Kayıtlarda saldırı izi olabilecek girdilerin aranması Kayıtlar arası tutarsızlıkların aranması Kayıtlarda zaman-atlamalarının aranması Saldırı tespit sistemi ve diğer sistemlerin ürettiği alarmlarının incelenmesi

Müdahale - I Amaç: Şüpheli durumların etraflıca incelenmesi, müdahale edilmesi ve çözümlenmesi Kayıtlar arasında ilişkilerin aranması Saldırı olduğundan emin olduktan sonra ilgili birim ve kuruluşlar ile bilgi paylaşımı Kurum yönetimi Anlaşmalı/ilgili acil durum müdahale ekibi Saldırının kaynağı olan ağı işleten kuruluş Savcılık Basın ...

Müdahale - II Saldırının nasıl gerçekleştiğinin çözümlenmesi Saldırganlar aynı saldırıyı tekrar gerçekleştirebilir Saldırıya ilişkin kayıtların topluca yedeklenmesi

İyileştirme - I Amaç: Diğer adımlarda edinilen bilgi ve deneyimlerin ışığında güvenliğin arttırılması, süreçlerin iyileştirilmesi Yazılım ve yapılandırma güncellemelerinin yapılması, yamaların uygulanması Zayıflıkların düzenli olarak izlenmesi BUGTRAQ, FULL-DISCLOSURE ve INCIDENTS gibi tarafsız listelerin takibi Üretici duyuru listelerinin takibi

İyileştirme - II Veri/Kayıt toplama düzeneklerinin iyileştirilmesi, revize edilmesi Zafiyet tarama yazılımlarının düzenli çalıştırılması, tespit edilen zafiyetlerin giderilmesi Bağımsız kuruluşlara Zafiyet Analizi, Sızma Testleri ve Güvenlik Denetimlerinin yaptırılması Güvenlik politikasının ve yönergelerinin revize edilmesi

Ayrıştır, Yalıt and Sadeleştir! Ağlar, sistemler, servisler ve veriler rol, amaç ve güvenlik duyarlılığı bağlamında ayrıştırılmalı ve yalıtılmalıdır. Bilişim güvenliği politikalarındaki farklılıklara göre ayrıştırılmış altyapı ve yönetim bölümleri oluşturulmalıdır. Örn.: Sunucular vs. kullanıcı bilgisayarları Sunucular üzerindeki ağ servisleri İş ve dış erişim Gizli vs. açık veri Bölümler arası bilişim güvenliği politikaları farklılıkları zorlanmalıdır.

Bilişim Güvenliği’nin Boyutları Teknolojik Teknoloji Teknoloji Yönetimi Denetim Örgütsel / İdari Politikalar Yönergeler Eğitim Bilinçlendirme Yasal

Değerlendirme ve Sonuç Güvenliğin sağlanması için planlı bir çalışma ve savunma derinliğinin sağlanması zorunludur. Güvenlik yaşam döngüsünün her adımının titizlikle uygulanması ile saldırıların büyük bir bölümü bertaraf edilebilir ve/veya erken önlenebilir. Güvenlik tek kerelik bir çalışma değil bir süreçtir. Bilişim Güvenliği, “sınır güvenliği” değildir. Kutu satın alarak güvenlik sağlanamaz.

Bilişim Güvenliğinde Yaşam Döngüsü ve Derinlik Attila Özgit / Burak Dayıoğlu {ozgit,dayioglu}@metu.edu.tr