yeni kuşak güvenlik tehditleri

Yeni Kuşak Güvenlik TehditleriYeni Kuşak Güvenlik TehditleriBilişim Güvenliğinde Odak DeğişiklikleriBilişim Güvenliğinde Odak Değişiklikleri

© 2007, Pro-G Bilişim Güvenliği ve Araştırma Ltd. 2

Sunum PlanıSunum Planı

► Değişen Saldırgan MotivasyonuDeğişen Saldırgan Motivasyonu► Değişen TehditlerDeğişen Tehditler► Savunma Stratejisini Doğru Biçimde Savunma Stratejisini Doğru Biçimde

YapılandırmakYapılandırmak


Değişen Saldırgan MotivasyonuDeğişen Saldırgan Motivasyonu

► Saldırılar eskisi gibi Saldırılar eskisi gibi şan-şöhret için şan-şöhret için gerçekleştirilmiyorgerçekleştirilmiyor Hedef: sıcak paraHedef: sıcak para

► Yeni zafiyetlerin keşfini yapan, ilgili saldırı araçlarını geliştirip satan sanal “silah tüccarları” oluştu Bilişim suçları bir “yeraltı endüstrisi” haline geldi


Politik Amaçlı Saldırılar Artıyor…Politik Amaçlı Saldırılar Artıyor…


Savaşlar Ortam DeğiştiriyorSavaşlar Ortam Değiştiriyor

► Filistin - İsrailFilistin - İsrail

► İran – ABDİran – ABD

► Hindistan ve PakistanHindistan ve Pakistan


Uygulama-Merkezli SaldırılarUygulama-Merkezli Saldırılar

► Saldırılar giderek ağ-odaklı olmaktan Saldırılar giderek ağ-odaklı olmaktan uygulama-odaklı olmaya doğru kayıyoruygulama-odaklı olmaya doğru kayıyor Ağ ve sistem düzeyinde alınması gereken Ağ ve sistem düzeyinde alınması gereken

önlemler öğrenildiönlemler öğrenildi ““Doğru” uygulama geliştirmeyi bilen çok az Doğru” uygulama geliştirmeyi bilen çok az

ekip varekip var► Yazılım ekipleri içinYazılım ekipleri için

““eğitim şarteğitim şart””


Tersine Mühendislik ile KeşifTersine Mühendislik ile Keşif

► Yamaların analizi artan biçimde Yamaların analizi artan biçimde kullanılıyorkullanılıyor Yamanın tersine-mühendisliği ile zafiyet Yamanın tersine-mühendisliği ile zafiyet

detayları öğrenilebiliyordetayları öğrenilebiliyor► Zafiyet nerede?Zafiyet nerede?► Hangi koşullarda geçerli?Hangi koşullarda geçerli?► Nasıl zarar verilir?Nasıl zarar verilir?► Yama problemi nasıl gideriyor?Yama problemi nasıl gideriyor?

Yamadan “öğrenen” saldırganlar henüz Yamadan “öğrenen” saldırganlar henüz yamanmamış sistemlere saldırabiliyor yamanmamış sistemlere saldırabiliyor


Güvenli Bağlantılardan SaldırılarGüvenli Bağlantılardan Saldırılar

► Dış kaynaklı saldırılar yalnızca İnternetDış kaynaklı saldırılar yalnızca İnternetüzerinden gelmiyorüzerinden gelmiyor Kurumlar arası VPN, kiralık hat vb. de bir saldırı kanalı Kurumlar arası VPN, kiralık hat vb. de bir saldırı kanalı

haline gelmeye bağladıhaline gelmeye bağladı► Büyük kuruluşa saldıramayan, onunla yoğun e-iş Büyük kuruluşa saldıramayan, onunla yoğun e-iş

ilişkisi bulunan iş ortakları kanalından sızmaya ilişkisi bulunan iş ortakları kanalından sızmaya çalışıyorçalışıyor

► İç ve dış ağ ayrımı kalmadıİç ve dış ağ ayrımı kalmadı Bağlandığımız her iş ortağı ağımızın bir parçası haline Bağlandığımız her iş ortağı ağımızın bir parçası haline

geliyorgeliyor Çalışanlara güven giderek azalıyorÇalışanlara güven giderek azalıyor


Kablosuz Ağlar ve RiskleriKablosuz Ağlar ve Riskleri

► Bluetooth ve WLAN ağ sınırlarının Bluetooth ve WLAN ağ sınırlarının belirlenmesini iyice güçleştiriyorbelirlenmesini iyice güçleştiriyor Yanlış ya da zayıf bir konfigürasyon ile ağınıza Yanlış ya da zayıf bir konfigürasyon ile ağınıza

dışarıdan sızılması işten bile değildışarıdan sızılması işten bile değil► Kuruluşunuza ait bir cihaza “dışarıdayken” Kuruluşunuza ait bir cihaza “dışarıdayken”

saldırmak mümkünsaldırmak mümkün


Spesifikasyonlara Güvenmeyin!Spesifikasyonlara Güvenmeyin!

► Kablosuz ağlar standardında belirlenenden Kablosuz ağlar standardında belirlenenden çok daha uzağa erişebiliyorçok daha uzağa erişebiliyor


Uç-Sistemlere Yönelik SaldırılarUç-Sistemlere Yönelik Saldırılar

► Neden uç-sistemlere saldırılıyor?Neden uç-sistemlere saldırılıyor? Sunuculardan çok daha fazla uç-sistem varSunuculardan çok daha fazla uç-sistem var Uç sistemler yalnızca PC’ler değilUç sistemler yalnızca PC’ler değil

► PDA, smart-phone ve laptopPDA, smart-phone ve laptop Uç sistemlerin korunması için çok daha az çaba Uç sistemlerin korunması için çok daha az çaba

var; korumanın maliyeti daha yüksekvar; korumanın maliyeti daha yüksek Tespit edilen yeni zafiyetlerin %60’ı uç Tespit edilen yeni zafiyetlerin %60’ı uç

sistemleri etkiliyorsistemleri etkiliyor► IEIE, Flash, Media Player, Windows vb., Flash, Media Player, Windows vb.

Uç sistemler üzerinde de kıymetli veriler varUç sistemler üzerinde de kıymetli veriler var


Gelişen Worm TeknolojisiGelişen Worm Teknolojisi

► Otonom biçimde çalışan solucanlar çokOtonom biçimde çalışan solucanlar çokhızlı gelişiyorlarhızlı gelişiyorlar Yarının “flash worm”’ları <2s içerisinde Yarının “flash worm”’ları <2s içerisinde

1.000.000 zayıf sistemi tespit edip ele 1.000.000 zayıf sistemi tespit edip ele geçirebileceklergeçirebilecekler


Spam ve PhishingSpam ve Phishing

► İnternetteki tüm e-posta trafiğinin %70-80’i İnternetteki tüm e-posta trafiğinin %70-80’i spam haline geldispam haline geldi


Güncel Güvenlik YaklaşımıGüncel Güvenlik Yaklaşımı

► Güvenlik sonradan eklenemiyorGüvenlik sonradan eklenemiyor Güvenlik, tüm sistem geliştirme ve işletim Güvenlik, tüm sistem geliştirme ve işletim

aktivitelerinin bir parçası olmak zorundaaktivitelerinin bir parçası olmak zorunda► Sistematik bir yaklaşım zorunlu hale geldiSistematik bir yaklaşım zorunlu hale geldi

Spontane güvenlik yatırımları çözüm Spontane güvenlik yatırımları çözüm sağlamıyorsağlamıyor► Teknoloji-odaklı bir yaklaşımdan iş-odaklı bir Teknoloji-odaklı bir yaklaşımdan iş-odaklı bir

yaklaşıma geçişyaklaşıma geçiş


Uç Sistem GüvenliğiUç Sistem Güvenliği

► Uç sistem güvenliğindeUç sistem güvenliğinde Host FW ve IPS’lerHost FW ve IPS’ler Anti-malwareAnti-malware Politika uygunluk denetimiPolitika uygunluk denetimi Güncelleme yönetimiGüncelleme yönetimistandart koruma paketi haline ulaştıstandart koruma paketi haline ulaştı

► Disk şifrelemeDisk şifreleme


Regülasyonlar ve StandartlarRegülasyonlar ve Standartlar

► Güvenlik ile doğrudan ilintiliGüvenlik ile doğrudan ilintiliregülasyonlar artıyorregülasyonlar artıyor PCI, COBIT, SOXPCI, COBIT, SOX

► ISO/IEC-27001 ve ISO/IEC-17799 ISO/IEC-27001 ve ISO/IEC-17799 standartlarıstandartları Regülasyonların beklentilerini karşılamak için Regülasyonların beklentilerini karşılamak için

temel başlangıç noktasıtemel başlangıç noktası Planlı, sistematik bir güvenlik için kılavuzPlanlı, sistematik bir güvenlik için kılavuz


Zincirin Zayıf Halkası: İnsanZincirin Zayıf Halkası: İnsan

İnsan Süreç

Teknoloji

GÜVENLİK


Özet ve SonuçÖzet ve Sonuç

► Bilişim sistemlerinin uygunsuz biçimde kullanımı Bilişim sistemlerinin uygunsuz biçimde kullanımı ciddi bir yer altı endüstrisi haline geliyorciddi bir yer altı endüstrisi haline geliyor

► Saldırganlar her geçen günSaldırganlar her geçen gün YeniYeni Öncekilerden daha gelişmişÖncekilerden daha gelişmiş Birden fazla farklı tekniği bir arada kullananBirden fazla farklı tekniği bir arada kullanansaldırı araçları geliştiriyor ve kullanıyorlarsaldırı araçları geliştiriyor ve kullanıyorlar Saldırıların önemli bir bölümü “teknik” değilSaldırıların önemli bir bölümü “teknik” değil

► Dünyanın öteki ucunda keşfedilen yeni bir Dünyanın öteki ucunda keşfedilen yeni bir zafiyetten birkaç dakika içerisinde etkilenmek zafiyetten birkaç dakika içerisinde etkilenmek mümkün hale geldimümkün hale geldi


Özet ve Sonuç - 2Özet ve Sonuç - 2

► Saldırılar ağ-odaklı olmaktan uygulama-Saldırılar ağ-odaklı olmaktan uygulama-odaklı olmaya doğru kayıyorodaklı olmaya doğru kayıyor

► Yeni ve beklenmedik saldırılar ile mücadele Yeni ve beklenmedik saldırılar ile mücadele edebilmek içinedebilmek için İş-gereksinimleri çerçevesinde oluşturulmuş bir İş-gereksinimleri çerçevesinde oluşturulmuş bir

bilgi güvenliği stratejisinin oluşturulmasıbilgi güvenliği stratejisinin oluşturulması ISO-17799/27001 tarafından sağlanan güvenlik ISO-17799/27001 tarafından sağlanan güvenlik

yönetim çerçevesinin kurum ihtiyaçlarına yönetim çerçevesinin kurum ihtiyaçlarına adaptasyonu ile kullanımıadaptasyonu ile kullanımı

bir iş önceliği haline gelmiş durumdadırbir iş önceliği haline gelmiş durumdadır

Güvenliğiniz Geleceğinizdir…Güvenliğiniz Geleceğinizdir…

yeni kuşak güvenlik tehditleri

Technology