Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ

YayınlayanCevat Bolat Değiştirilmiş 9 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ"— Sunum transkripti:

1 KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ

2 WINDOWS İŞLETİM SİSTEMİ DENETİMİ
Yasal Uyarı Sunu sırasında öğrenilen saldırı tekniklerinin, karşı tarafın yazılı izni olmadan uygulanması durumunda suç niteliği taşıyacağı bilinmelidir! Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Windows İşletim Sistemi Denetimi - TÜBİTAK UEKAE

3 WINDOWS İŞLETİM SİSTEMİ DENETİMİ
Giriş Herkes bilgi işlem servislerine büyük oranda bağlı. Güvenliğin sadece küçük bir yüzdesi teknik güvenlik önlemleri ile sağlanıyor. Büyük yüzdesi ise kullanıcıya bağlı. Pareto prensibi: Alınabilecek önlemlerin %20’sini alarak saldırıların %80’inden korunabilirsiniz. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Windows İşletim Sistemi Denetimi - TÜBİTAK UEKAE

4 WINDOWS İŞLETİM SİSTEMİ DENETİMİ
Giriş - En Zayıf Halka Sorumlu herkes: Bilginin sahibi Kullanıcılar Bilgi sistemini yönetenler En zayıf halka bilgi güvenliğinin seviyesini belirlemektedir. Zincir en zayıf halkası kadar güçlü. Çoğunlukla en zayıf halka insandır. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Windows İşletim Sistemi Denetimi - TÜBİTAK UEKAE

5 Giriş - Oluşabilecek Zararlar
WINDOWS İŞLETİM SİSTEMİ DENETİMİ Giriş - Oluşabilecek Zararlar Bilginiz başkalarının eline geçebilir Kurumun onuru, toplumdaki imajı zarar görebilir Donanım, yazılım, veri ve kurum çalışanları zarar görebilir Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Windows İşletim Sistemi Denetimi - TÜBİTAK UEKAE

6 Giriş - Oluşabilecek Zararlar
WINDOWS İŞLETİM SİSTEMİ DENETİMİ Giriş - Oluşabilecek Zararlar Önemli veriye zamanında erişememek Parasal kayıplar Vakit kayıpları Can kaybı! Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE Windows İşletim Sistemi Denetimi - TÜBİTAK UEKAE

7 Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE
Giriş ABD’de meydana gelen bilgisayar olaylarının türlerine göre dağılımı ( ) Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

8 Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE
Giriş Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

9 Sosyal Mühendislik Kavramı
Sosyal mühendisler: Teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanlardan faydalanırlar. Etkileme ve ikna yöntemlerini kullanırlar. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

10 Sosyal Mühendislik Kavramı
Sosyal Mühendislik: Normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatı. Teknoloji kullanımından çok insanların hile ile kandırılarak bilgi elde edilmesi Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

11 Sosyal Mühendislik Kavramı
Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

12 Sosyal Mühendislik Kavramı
Kullandığı en büyük silahı, insan zaafiyetleri İnsan: Güvenliğin en zayıf halkası “Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim.” (Albert Einstein) Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

13 Sosyal Mühendislik Kavramı
Çoğu insan, kandırılma olasılığının çok düşük olduğunu düşünür. Bu ortak inancın bilincinde olan saldırgan, isteğini o kadar akıllıca sunar ki hiç kuşku uyandırmaz ve kurbanın güvenini sömürür. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

14 Sosyal Mühendislik Kavramı
Kurum güvenliği denge konusudur. En emniyetli bilgisayar? Kapalı olandır! Peki şuna ne dersiniz?: Art niyetli bir kişi ofise gidip bilgisayarı açması için birini ikna edebilir. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

15 Sosyal Mühendislik Süreci
Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

16 Sosyal Mühendislik Yöntemleri
Sahte senaryolar uydurmak Güvenilir bir kaynak olduğuna ikna etmek (phishing) Truva atları Güvenilir bilgi karşılığında para, hediye, vs önermek Güven kazanarak bilgi edinmek Omuz sörfü, çöp karıştırmak, eski donanımları kurcalamak Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

17 Sosyal Mühendislik ve Teknoloji
Sosyal mühendislik saldırılarında kullanılabilen bazı donanımlar: USB bellekli saat (19.99$) Donanımsal keylogger (59.99$) USB bellekli çakmak (39.99$) Kameralı araba anahtarı (59.99$) SD kartı saklayıcısı (20.99$) Kameralı kalem (79.99$) Kameralı gözlük (79.99$) Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

18 Sosyal Mühendislik Araçları
Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

19 Sosyal Mühendislik Saldırı Örneği
Saldırgan: Albert Lim takma isimli şahıs Kurban (kılığına geçmiş şahıs): Ofisten bir arkadaşımız Konu: Para Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

20 Sosyal Mühendislik Saldırı Örneği
Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

21 Sosyal Mühendislik Saldırı Örneği
Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

22 Sosyal Mühendislik Saldırı Örneği
Farklı tarihlerde saldırgandan gelen SMS’ler Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

23 Sosyal Mühendislik Saldırı Örneği
Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

24 Sosyal Mühendislik Saldırı Örneği
Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

25 Sosyal Mühendislik Saldırı Örneği
Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

26 Sosyal Mühendislik Testleri
Tarafımızca başka kurumlara yapılan sosyal mühendislik saldırısı testlerinden örnek bir ses kaydı… Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

27 Sosyal Mühendislik Testleri
Kamu kurumlarında durum Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

28 Sosyal Mühendislik Testleri
Yapılan testler sonucunda kullanıcıların yaklaşık %65’inin şifresini ele geçirebildik! Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

29 Sosyal Mühendislik Eğitimi
Sosyal Mühendislik Kavramı Saldırı Teknikleri Sosyal Mühendislik Saldırı Örneği Sosyal Mühendislik Testleri Korunma Yöntemleri Uygulama Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

30 Kullanıcı Bilinçlendirme Eğitimleri
İçermesi gereken bazı önemli maddeler: Kurum her an saldırıya maruz kalabilir Sorun sadece teknoloji sorunu değildir Kurumun tüm çalışanları bilgi güvenliğinin bir parçası Eğitimler periyodik olarak düzenlenmeli Prosedürlerin ve uygulamasının önemi Örneğin, şifre oluşturma prosedürü Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

31 Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE
Kullanıcı bilinçlendirme eğitimlerinde verilen bilgi, kullanıcılar tarafından yeterli derecede öğrenilmiş mi? Ödül ve teşvik amacıyla eğitim sonunda kullanıcılara katılım sertifikası verilebilir. Tüm kurum personelinden kurallara uyacağına dair imzalı bir taahhüt belgesi alınabilir. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

32 Sürekli Bilinçlendirme Programı
Kurumun iç sayfasına bilgi güvenliğiyle ilgili karikatürler, ipuçları koyma Ayın güvenlik çalışanının resmi Çeşitli bilgi güvenliği posterleri asma Bülten panolarına duyurular Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

33 Sürekli Bilinçlendirme Programı
Hatırlatma amaçlı e-postalar Bilgi güvenliğiyle ilgili İnternet sitelerinin takibi Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

34 Kurum Bilgi Güvenliği Kural Önerileri
Risk analizi yapılması Kurumun bilgi varlıkları neler? Bu varlıklara ne gibi tehditler var? Bu tehditler gerçekleşirse kuruma ne gibi zararlar gelebilir? Veri sınıflandırma Tasnif dışı Hizmete özel (Özel) Gizli Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

35 Kurum Bilgi Güvenliği Kural Önerileri
Kurumda periyodik olarak bilgi güvenliği testleri yapılmalı Antivirüs yazılımları mutlaka tüm bilgisayarlara kurulmalı ve tanım dosyası güncel tutulmalı Çöpe atılması gereken dokümanlar, kırpıcılardan geçirilebilir Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

36 Kurum Bilgi Güvenliği Kural Önerileri
Şifre korumalı ekran koruyucular kullanılabilir Temiz masa / temiz ekran politikası İşten ayrılan çalışanların uyması gerektiği prosedürler hazırlanabilir Kuruma ziyaretçi olarak gelen kişilerden kimlik alınabilir, kurum içerisinden bir çalışan bu kişiye refakat edebilir Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

37 Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE
Sonuç Tehlike hiç ummadığınız bir anda, hiç ummadığınız bir yerden gelebilir. Tanımadığınız kişilerden gelen isteklere karşı temkinli davranın. Size özel bilginizi (örneğin şifreniz) kimseyle paylaşmayın. Sistem yöneticisi Yan masada oturan mesai arkadaşınız Hatta yöneticileriniz Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

38 Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE
Sonuç Kurumdaki tüm personele periyodik olarak bilgi güvenliği bilinçlendirme eğitimleri verin. Kurumunuzda periyodik olarak, sosyal mühendislik saldırı testini de içeren, bilgi güvenliği testleri gerçekleştirin. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

39 Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE
TEŞEKKÜRLER Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

"KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ" indir ppt

Benzer bir sunumlar

8. SINIF 3. ÜNİTE BİLGİ YARIŞMASI

8. SINIF 3. ÜNİTE BİLGİ YARIŞMASI
el ma 1Erdoğan ÖZTÜRK ma ma 2 Em re 3 E ren 4.

el ma 1Erdoğan ÖZTÜRK ma ma 2 Em re 3 E ren 4.
Oktay ERBEY CRM & B2B Ürün Satış Hizmet Yöneticisi

Oktay ERBEY CRM & B2B Ürün Satış Hizmet Yöneticisi
NOKTA, DOĞRU, DOĞRU PARÇASI, IŞIN, DÜZLEMDEKİ DOĞRULAR

NOKTA, DOĞRU, DOĞRU PARÇASI, IŞIN, DÜZLEMDEKİ DOĞRULAR
Birlikler ve onluklar Aşağıdaki tabloyu inceleyerek, sonuçları üzerinde konuşalım.

Birlikler ve onluklar Aşağıdaki tabloyu inceleyerek, sonuçları üzerinde konuşalım.
T.C. İNÖNÜ ÜNİVERSİTESİ Arapgir Meslek YÜKSEKOKULU

T.C. İNÖNÜ ÜNİVERSİTESİ Arapgir Meslek YÜKSEKOKULU
Eğitim Programı Kurulum Aşamaları E. Savaş Başcı ASO 1. ORGANİZE SANAYİ BÖLGESİ AVRUPA BİLGİSAYAR YERKİNLİĞİ SERTİFİKASI EĞİTİM PROJESİ (OBİYEP) 27.03.2008.

Eğitim Programı Kurulum Aşamaları E. Savaş Başcı ASO 1. ORGANİZE SANAYİ BÖLGESİ AVRUPA BİLGİSAYAR YERKİNLİĞİ SERTİFİKASI EĞİTİM PROJESİ (OBİYEP)
Kobi Tanımı 150 kişiden daha az çalışanı olan kurumlar

Kobi Tanımı 150 kişiden daha az çalışanı olan kurumlar
ASELSAN- TOKİ YAPRACIK KONUTLARI KOORDİNASYON KURULU

ASELSAN- TOKİ YAPRACIK KONUTLARI KOORDİNASYON KURULU
BİLGİ GÜVENLİĞİ.

BİLGİ GÜVENLİĞİ.
Öğr.Gör.Dr. S. Sadi SEFEROĞLU & Arş. Gör. Fatih GÜRSUL

Öğr.Gör.Dr. S. Sadi SEFEROĞLU & Arş. Gör. Fatih GÜRSUL
BASİT MAKİNELER.

BASİT MAKİNELER.
Atlayarak Sayalım 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Birer sayalım

Atlayarak Sayalım Birer sayalım
MEB Öğrenci Davranışlarının Değerlendirilmesi Yönetmeliği

MEB Öğrenci Davranışlarının Değerlendirilmesi Yönetmeliği
Diferansiyel Denklemler

Diferansiyel Denklemler
TÜRKİYE EKONOMİSİNE GENEL BAKIŞ VE SON GELİŞMELER KEMAL UNAKITAN MALİYE BAKANI 05 Eylül 2008 T.C. MALİYE BAKANLIĞI.

TÜRKİYE EKONOMİSİNE GENEL BAKIŞ VE SON GELİŞMELER KEMAL UNAKITAN MALİYE BAKANI 05 Eylül 2008 T.C. MALİYE BAKANLIĞI.
B İ LG İ GÜVENL İĞİ NDE KULLANICI SORUMLULU Ğ U. Sistemi içeriden yani kullanıcıdan gelebilecek hatalara ve zararlara kar ş ı koruyan bir mekanizma yoktur.

B İ LG İ GÜVENL İĞİ NDE KULLANICI SORUMLULU Ğ U. Sistemi içeriden yani kullanıcıdan gelebilecek hatalara ve zararlara kar ş ı koruyan bir mekanizma yoktur.
KONTROL ORTAMI Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013 Strateji Geliştirme Başkanlığı 1.

KONTROL ORTAMI Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013 Strateji Geliştirme Başkanlığı 1.
Yönetim Bilgi Sistemleri Şubat 2014 1 TAPU VE KADASTRO GENEL MÜDÜRLÜĞÜ.

Yönetim Bilgi Sistemleri Şubat TAPU VE KADASTRO GENEL MÜDÜRLÜĞÜ.
KIR ÇİÇEKLERİM’ E RakamlarImIz Akhisar Koleji 1/A.

KIR ÇİÇEKLERİM’ E RakamlarImIz Akhisar Koleji 1/A.

Benzer bir sunumlar

Google Reklamları