31 Mayıs 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #6

Haftanın Haberi:

GDPR, bir diğer deyişle Avrupa'nın KVKK'sı iki yaşında. Avrupa Birliğinde 1995 yılında Veri Koruma Direktifi olarak yayınlanan kanunun daha kapsayıcı ve tüm Avrupa ülkelerinde aynı şekilde uygulanmasına yönelik çıkarılan GDPR'ın bilgi güvenliği sektörüne getirdiği faydayı saymakla bitiremeyiz. Bilgi güvenliği uzmanlarının mesleki olarak gelecekleri açısından da oldukça faydalı olduğunu söyleyebiliriz 😊 Peki bu 2 yılda neler oldu? 

  • Toplam 231 kuruma ceza kesildi. Kesilen cezaların sayısında Temmuz 2019'dan itibaren ciddi bir artış görünüyor. Bunun sebebinin ilk yılın öğrenme ve uyumla geçmiş olması.
  • Veri koruma otoritelerine toplam 144,376 şikayet gerçekleşti. Bu sayıyı ceza kesilen 231 ile kıyasladığımızda ceza oranının düşük olduğunu görüyoruz. Bunun sebebi de adreslenemeyen şikayetlerin fazlalığı olarak belirtiliyor.
  • En fazla ceza alan ülkeler sıralamasında ilk üç şu şekilde: İspanya (81), Romanya (26) ve Almanya (25).
  • Ceza büyüklüğü olarak ise İngiltere ilk sırada. British Airways (€204 milyon) ve Mariott (€110 milyon) toplam €315 milyon ceza aldı.
  • Diğer dikkat çeken konu veri koruma kurumları bütçe ve insan kaynağı açısından yeterli seviyede olmaması.
Kanunlara uyum süreklilik gerektiren bir konu. Sözün özü "GDPR/KVKK uyumluluğu bir hedef değil yolculuktur".

Raporun detaylarına buradan ulaşabilirsiniz.

Haftanın Makalesi:

Siber güvenlik kariyeri için hangi eğitimi almak gerekir? Bilim, teknoloji, mühendislik veya matematik (STEM) bölümleri şart mıdır? Bu soruların cevabını merak ederek çok farklı eğitim geçmişleri olan siber güvenlik profesyonelleri ile görüşmeleri içeren makaleden bahsetmek istiyorum. Bu makale ile birlikte farklı alanlarda sahip olunan bilgi, beceri ve eğitimin siber güvenlik bakış açısına olumlu katkılar sağladığını da görmüş oluyoruz. 

Eğitimi / Önceki İşi: Din Bilimleri Eğitimi / Jeopolitik ve Kültürel Araştırmalar
Mevcut İşi: Yönetici @ Accenture Security
Düşünceleri: "Saldırganlar neden bir şirketi hedef alırlar, psikolojileri nelerdir sorularına rahatlıkla cevap bulabiliyorum."

Eğitimi / Önceki İşi: Formula 1 Pilotu
Mevcut İşi: CEO @ Cygilant ( Siber güvenlik hizmeti sağlayan bir şirket)
Düşünceleri: "Siber güvenlik alanında çalışmak Formula 1 yarışını kazanmak için gereken heyecan, çok hızlı karar verme, yaratıcı düşünme ve her türlü yöntemi deneme konusunda benzerlik göstermektedir."

Eğitimi / Önceki İşi: Mutfak Şefi
Mevcut İşi: CISO @ Collibra
Düşünceleri: "Mükemmel bir yemek yapmak için bıçağınız keskin, kıyafetleriniz temiz, ekipmanlarınız ve malzemeleriniz hazır olmalıdır. Siber güvenlik alanını da buna benzetiyorum. Herşey hazır olduğu durumda başarılı olursunuz. Ayrıca yemek pişirmek için hızlı olmalısınız tıpkı siber güvenlikte olduğu gibi."

Diğer hikayeler için makalenin devamına buradan ulaşabilirsiniz.

Haftanın Nedir'i:

Dark Web nedir?

Bir çok sunumda kullanılan klasik bir fotoğraf vardır. Buz dağının bir de görünmeyen kısmı gösterilir ve bu görünmeyen kısım gerçekten devasadır. Dark web de aslında internetin görünmeyen ve tehlikelerle dolu bu yüzüdür. Günlük hayatta kullandığımız sosyal medya, haber, video gibi sayfaların dışında özellikle yasa dışı örgütlerin kullandığı ve üye olmak için çeşitli güven(!) aşamalarından geçilmesi gereken sayfalara verilene genel addır. Hacker'lar edindiği (çaldığı) bilgileri pazarlama (satma) amacıyla yoğunlukla dark web'i kullanırlar. Siber güvenlik seviyelerini artırmak isteyen kurumlar ise üye olmaya gerek olmadan istihbarat amaçlı Dark Web'de bulunan firmalar üzerinden bu bilgilere ulaşabilirler.

Haftanın Sorusu:

Dark web'e üye olmak yasal olarak suç mudur?


***

Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içeriğin düzenli olarak yayınlanması amaçlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 

24 Mayıs 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #5

Haftanın Haberi:

Veri sızıntısı vakalarına bir yenisi daha eklendi. Havayolu şirketlerinin zor dönemden geçtiği şu günlerde EasyJet havayolları, 9 milyon müşterisine ait isim, e-mail adresi, seyahat detaylarını içeren bilgilerin ve 2.208 adet müşterisinin de kredi kartı bilgilerinin sızdırıldığını açıkladı. Yapılan açıklamada kullanılan "çok gelişmiş (sofistike) kaynaklı siber saldırı" ifadesi dikkat çekiyor ve müşterilerini de oltalama saldırılarına karşı  daha dikkatli olmaları yönünde uyarıyor. Saldırganların elinde oltalama saldırısı yapmak için bundan daha iyi bir veri olamaz. Açıkçası bir havayolu şirketi tarafından aradığını söyleyen ve yaptığımız bir yolculuk hakkında çok doğru bilgiler veren bir kişiye güvenmemek çok kolay olmaz sanırım. Siz de EasyJet ile yolculuk yaptıysanız gelen mailler ve telefonlar konusunda biraz daha dikkatli olun. Yapmadıysanız yine de dikkatli olun 😊

EasyJet'in açıklamasına buradan ulaşabilirsiniz.

Haftanın Makalesi:

Verizon tarafından her yıl düzenli olarak hazırlanan veri sızıntı inceleme raporu yayınlandı. Rapor, 81 şirket tarafından paylaşılan 32.000 olay incelenerek hazırlanmış ve bu olaylardan 3.950'si  veri sızıntısı olarak şirketler tarafından onaylanmış. Raporda vurgulanan önemli noktalar şöyle:

  • Finansal amaçlı sızıntıların oranı %86 
  • Veri sızıntılarının %70'i dış kaynaklı gerçekleşiyor
  • Saldırıların %67'si oltalama yöntemleri ve kullanıcı hesaplarının ele geçirilmesi ile yapılıyor
  • Zararlı yazılımların sebep olduğu olaylar düşüşe geçmiş görünüyor. Bunun temel sebebi de uç nokta güvenliği tarafında rekabetin artmasıyla birlikte daha gelişmiş tehdit tespit ve engelleme yöntemlerinin kullanılması
  • Web uygulamaların neden olduğu veri sızıntılarında iki kat artış olduğu görülüyor. Bunun en temel sebebinin de bulut hizmetlerinin kullanıldığı ifade ediliyor.
  • Aşağıda paylaştığım "yöntemlerin yıllara göre değişim" grafiğinde ise yanlış/hatalı yapılandırmanın yükselişi dikkat çekiyor.


Raporun detaylarına buradan ulaşabilirsiniz.

Haftanın İpucu:

Koronavirus salgınını fırsat bilen saldırganların her yöntemi denediğini daha önce sizlerle paylaşmıştık. Microsoft, sektöre faydası olması amacıyla Covid-19 ile ilgili tehdit istihbarat bilgilerini (IoC'ler) ücretsiz olarak paylaşmaya başladı. Bu bilgileri kullanarak sistemlerinize yönelik ilgili tehditlerin olup olmadığını kontrol edebilir, engellemek için gerekli önlemleri alabilirsiniz.

Detaylara buradan ulaşabilirsiniz.

Haftanın Nedir'i:

IoC (Indicator of Compromise) Nedir?

Zararlı yazılımların veya saldırıların kimliği olarak kullanılan tehdit göstergeleridir. Bir nevi suçluları tespit etmek için kullanılan eşkal resmine de benzetebiliriz. Örneğin, bir zararlı yazılımın hash değeri, bağlantı kurmaya çalıştığı IP ve URL adresi, sertifika bilgileri IoC olarak değerlendirilebilir. Bir örnekle açıklayalım. "Haftanın İpucu" kısmında paylaştığımız siber istihbarat bilgilerinde zararlı yazılımların hash bilgileri paylaşılmaktadır. Hash bilgisini kullanarak zararlı yazılımın sizin de sistemlerinize bulaşıp bulaşmadığını tespit edebilir ya da bulaşmasını engelleyebilirsiniz. 

Haftanın Sorusu:

Hash algoritmasının güvenlik zafiyetleri nelerdir?


***


Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içeriğin düzenli olarak yayınlanması amaçlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 

17 Mayıs 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #4


Haftanın Haberi

Bilgi güvenliği alanında tüm dünyada kabul görmüş ve prestiji her geçen gün artan CISSP sertifikası master derecesi yerine mi geçmeye başladı? Siz de bu hafta buna benzer paylaşımlar görmüşsünüzdür. Sevinçle bu haberi paylaşan sertifika sahiplerinden yüksek lisans tezini yazmayı bırakanları dahi duyabiliriz he an 😊 Peki durum gerçekten böyle mi? ISC2 sayfasından yapılan açıklamada CISSP sertifikasının master derecesi yerine geçmediği, ancak sertifikayı kazanmak için harcanan çabanın master derecesiyle aynı seviyede eğitim başarısı gerektirdiği ifade ediliyor. Tabii ki bu da çok güzel bir haber. Neticede sertifikanın değeri onu elde etmek için gösterilen çabayla doğrudan ilişkili. CISSP demişken 2014 yılında yazdığım "CISSP Tecrübelerim" adlı yazıyı da paylaşmak isterim. Belki bitirme tezi yazmaktan sıkılan varsa işine yarayabilir :)

Haberin detayına buradan ulaşabilirsiniz.

Haftanın Makalesi

2016-2019 yılları arasında en çok istismar edilen 10 zafiyet CISA (The Cybersecurity and Infrastructure Security Agency) ve FBI tarafından yayınlandı. Raporda dikkat çeken konular şöyle:

  • En fazla zafiyet Microsft OLE (Object Linking and Embedding) teknolojisinde görülüyor. OLE, dosyalar arasında bilgi alışverişini sağlamak için kullanılıyor. Örneğin, bir excel dosyası içinden word belgesini açmak için OLE kullanılıyor. Uygulamalar arası iletişimde güvenlik hassasiyetinin önemi bir kez daha çıkmış oluyor.
  • En fazla zafiyet görülen diğer teknoloji 2017 yılında Equifax'a ait 147 Milyon müşteri verisinin sızdırılmasına sebep olan zafiyeti de içeren Apache Struts. Apache Struts yaygın kullanıma sahip bir web uygulama frameworkü.
  • Özellikle OLE zafiyetleri Çin, İran, Kuzey Kore ve Rusya devletleri tarafından desteklenen hacker grupları tarafından yoğunlukla kullanılıyor.
  • 2020 yılında Citrix VPN ve Pulse Secure VPN zafiyetleri en fazla istismar edilenler arasında.
Zafiyetlerin detayları:

Zafiyet Kodu Etkilenen Sistemler
CVE-2017-11882
Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016 
CVE-2017-0199
Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
CVE-2017-5638
Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1
CVE-2012-0158 
Microsoft Office 2003 SP3, 2007 SP2 and SP3, and 2010 Gold and SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, and 2008 SP2, SP3, and R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, and 2009 Gold and R2; Visual FoxPro 8.0 SP1 and 9.0 SP2; and Visual Basic 6.0
CVE-2019-0604
Microsoft SharePoint
CVE-2017-0143 
Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607; and Windows Server 2016
CVE-2018-4878 
Adobe Flash Player before 28.0.0.161
CVE-2017-8759 
Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 and 4.7
CVE-2015-1641
Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services on SharePoint Server 2010 SP2 and 2013 SP1, and Office Web Apps Server 2010 SP2 and 2013 SP1
CVE-2018-7600
Drupal before 7.58, 8.x before 8.3.9, 8.4.x before 8.4.6, and 8.5.x before 8.5.1

Makaleye buradan ulaşabilirsiniz.

Haftanın İpucu

Saldırı tespit uygulamalarının (NTA, SIEM, EDR, aldatma teknolojileri gibi) gerekliliği her katmanda karşımıza çıkıyor. Kaynak ve bütçe planlamasında uygulanacak yönteme karar verilirken yapılan önceliklendirmede zorluklar yaşandığı durumlar olabiliyor. Peki sağladığı faydalar nelerdir, hangisini seçmeliyim diye soruyorusanız artı ve eksi yönlerini sizler için derledim*.

Yöntem Artı Yönleri Eksi Yönleri
Network Trafik Analiz (NTA) Uygulamaları Log altyapısına bağımlı olmaması Şifreli trafik (encrypted) için sınırlı görünürlük
Tek tip veri kullanımının (trafik bilgileri) modellemeyi daha kolay sağlaması Etkinliğin artırılması için çok fazla ağın izlenmesi
Veri sızıntısı ve yatay yayılım aktivitelerinin daha doğru tespit edilmesi Yüksek bant genişliği olan datanın kaydedilme zorluğu
Flow datasının kullanılması ile sensore gerek olmayan mimari tasarlanabilmesi Network dışı (lokal) aktivitelerin tespit edilememesi
Ağ üzerinde taşınan dosyaların detaylı analizinin yapılabilmesi Tespit edilen tehditlerin dar kapsamlı olması
BYOD ve IoT gibi yönetilemeyen cihazların/uygulamaların izlenebilmesi
Merkezi Log Yönetim Uygulamaları (SIEM) Lokal aktivitelerin ve tehditlerin (kötü niyetli iç kullanıcılar dahil) tespit edilmesi Çok farklı türde ve sistemden log toplanması gerekliliği
Network ve uç noktaya göre daha güvenilir kullanıcı profilleme yapılabilmesi Görünürlüğün loglarla sınırlı olması
Tespit edilen tehditlerin daha geniş kapsamlı olması Bilinmeyen log formatları için parser yazılma ihtiyacı olması

BYOD, IoT gibi cihazlar ve uygulamaların log üretmemesi
Uç Nokta Tehdit Tespit ve Engelleme Uygulamalar (EDR) Şifreli trafiğin olumsuzluk oluşturmaması (loglar trafik çözüldükten sonra oluşturulmaktadır) Uç noktada ajan gerekliliği
Lokal aktivitelerin ve tehditlerin tespit edilebilmezi Ajanların yönetim zorluğu ve performans problemine sebep olabilmesi
Saldırganın sistemde yaptığı işlemlere ilişkin çok detaylı bilgi sağlanabilmesi Printer, IoT vb. cihazların kapsanmaması
Kurumsal ağda olmayan uzak sistemlerin kapsanması Fraud amaçlı ağa takılmış cihazlara karşı görünürlük sağlanmaması
Loglamanın aktifleştirilmesine ihtiyaç duyulmaması
Network şifrelemeden etkilenmemesi
Aldatma (Deception -Honeypot) Uygulamaları Diğer yöntemlerle karşılaştırıldığında çok düşük false-positive oranının olması Etkinliğin garanti edilememesi (saldırgan aldatma uygulamasına hiç erişim sağlamayabilir)
Tüm altyapıyı ajan, sensor vb. uygulamalarla kapsama ihtiyacının olmaması Kurulum ve entegrasyon konusunda gizlilik gerektirmesi
Operasyonel olarak daha kolay yönetim sağlaması
* Artı ve eksi yönler teknolojiye ait genel ifadeleri içermektedir. Uygulama özelinde değerlendirme yapıldığında farklı sonuçlar çıkabilir.
* Kaynak:  Gartner

Haftanın Nedir'i:

Kişisel veri nedir?

Kişisel veri, sahibi olduğu kişiyi tanımlayan, kişi hakkında özel ve genel bilgileri içeren her türlü veridir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik ve sosyal özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar.

Haftanın Sorusu:

Herkes tarafından açıkça görülebilen plaka numarası kişisel veri midir?

***

Haftanın Enleri Hakkında:
Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içerikler düzenli olarak yayınlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 

10 Mayıs 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #3

Haftanın Haberi:

Bir virüsün yıl dönümünü anacağım hiç aklıma gelmezdi. 😊 Ama içinden geçtiğimiz korona dönemiyle benzerlikler taşıdığı için anmadan geçemeyeceğim. 4 Mayıs 2000 tarihinde bir gecede milyonlarca bilgisayara bulaşan "ILOVEYOU" isimli virüsten bahsediyorum. Mail üzerinden yayılan ve txt görünümlü bir ek içeren bu virüs bir gecede milyonlarca bilgisayara bulaşmıştı. Ekli dosyanın açılmasıyla birlikte visual basic scripti çalıştırılarak mail ile iletişime geçilmiş (temas kurulmuş!) kişilere de bir kopyasını gönderiyordu. Bu sayede 24 saat içinde 45 milyondan fazla kişiye bulaşmıştı. Korona ile benzerliklerinden biri işte bu kısım. Eğer mail ile bir kişiyle temas kurmuşsanız virüs o kişiye de bulaşıyordu.  Bir benzerliği daha var. Virüsü geliştiren Filipinli öğrenci ücretsiz internet erişimi için sadece kendi ortamında yazdığını ve yanlışlıkla tüm dünyaya yayıldığını söylüyor. Tıpkı ABD'nin koronavirüs için Wuhan'da bulunan laboratuvardan yanlışlıkla yayıldığını iddia ettiği gibi.

Haberin Detayları

Haftanın Makalesi: 

Her hafta çeşitli istatistiki veriler içeren onlarca rapor yayınlanıyor. Bu rengarenk raporların güvenlilir olup olmaması her zaman bir soru işareti. Ancak bu hafta bahsedeceğim rapor biraz farklı. Fireeye'ın satın aldığı Mandiant fimasına ait "Güvenlik Etkinliği Raporu". Mandiant, özellikle red team çalışmalarıyla ön plana çıkan siber güvenlik danışmanlık firması. Dünyanın her yerinde hizmetleri olduğu için rapordaki veriler doğrudan sahadan alınan veriler. Rapor, 900 milyon tüketiciyi kapsayan 11 farklı sektörde yapılan testlerden oluşturulmuş. Sonuçlar ise ürkütücü. Gelelim raporun detaylarına:

  • Kurumların %53'ünde sızma işlemi gerçekleşti ve sadece %9'u alarm üretti.
Saldırı aşamalarındaki oranlar ise şöyle:

  1. Keşif aşamasında %54'ü tespit edilemedi, %4'ü alarm üretti.
  2. Zararlı yazılım bulaştırma aşamasında %68'i tespit edilemedi, %7'si alarm üretti.
  3. Politika atlatma (bypass) aşamasında %65'i tespit edilemedi, %15'i alarm üretti.
  4. Zararlı yazılım transferi aşamasında %48'i tespit edilemedi, %23'ü alarm üretti.
  5. Komuta kontrol iletişiminde %39'u tespit edilemedi, ancak sadece %3'ü alarm üretti.
  6. Veri kaçırma/sızdırma aşamasında %67'si tespit edilemedi, %11'i alarm üretti.
  7. Yatay yayılım aşamasında %54'ü tespit edilemedi, %4'ü alarm üretti.
Raporda atakların engellenememesine ve alarm üretilememesine sebep olarak güvenlik ürünlerinin sağlıklı şekilde yapılandırılmamış olması vurgulanıyor ve aşağıdaki konulara dikkat çekiliyor.

  • Varsayılan tanımların değiştirilmemesi,
  • İnsan kaynağı eksikliği,
  • SIEM'e gönderilmeyen güvenlik olayları,
  • Kontrol testlerinin yapılamaması,
  • Altyapıda beklenmedik ve öngörülemeyen değişiklikler,
Başucu rehberi olarak değerlendirilebilecek raporun detaylarına buradan ulaşabilirsiniz.

Haftanın İpucu:

Mandiant raporunu okuduktan sonra peki ne yapmalıyım sorusunu sorduysanız Center of Internet Security'nin (CIS) etkin siber güvenlik için kritik güvenlik kontrolleri listesine göz atabilirsiniz. Kurumunuzun ölçeğine göre hangi kontrollerin asgari seviyede uygulanması gerektiği belirtiliyor. CIS, kurumların kısıtlı kaynak, bütçe ve tecrübe ile etkili bir siber güvenlik programı oluşturması amacını taşıyor. Liste aşağıdaki başlıklarda maddeleri içeriyor. 

  1. Inventory of Authorized and Unauthorized Devices
  2. Inventory of Authorized and Unauthorized Software
  3. Continuous Vulnerability Assessment and Remediation
  4. Controlled Use of Administrative Privileges
  5. Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers
  6. Maintenance, Monitoring, and Analysis of Audit Logs
  7. Email and Web Browser Protections
  8. Malware Defenses
  9. Limitation and Control of Network Ports, Protocols, and Services
  10. Data Recovery Capability
  11. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
  12. Boundary Defense
  13. Data Protection
  14. Controlled Access Based on the Need to Know
  15. Wireless Access Control
  16. Account Monitoring and Control
  17. Security Skills Assessment and Appropriate Training to Fill Gaps
  18. Application Software Security
  19. Incident Response and Management
  20. Penetration Tests and Red Team Exercises
Kontrol listesine buradan ulaşabilirsiniz.

Haftanın Nedir'i:

Red team nedir?

Bu hafta sıkça bahsettiğimiz red team son bir kaç yıldır sıklıkla duyduğumuz güvenlik test yöntemidir. Bir kurumun uygulamalarını, sistemlerini, çalışanlarını ve fiziksel güvenlik kontrollerini gerçek hayatta yaşanacak saldırı yöntemleriyle atlatmayı amaçlar. Üretim ortamlarında gerçekleştirilir ve gerçek anlamda bir siber dayanıklılık ölçümü yapar.

Haftanın Sorusu:

Neden internet üzerinden erişilebilir ortamlara DMZ (De-militarized Zone) denilmektedir?


***

Haftanın Enleri Hakkında:
Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içerikler düzenli olarak yayınlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 

3 Mayıs 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #2




Haftanın Haberi:

Online video konferans uygulamalarının zafiyetleri arka arkaya çıkmaya devam ediyor. Şimdi de Microsoft Teams’de bulunan bir güvenlik açığı CyberArk araştırmacıları tarafından yayınlandı. Bu açıkla saldırganlar katılımcılara gönderdikleri bir GIF veya görsel ile kuruma ait tüm Microsoft Teams hesaplarını ele geçirebiliyor. 

Aslında bu haberle birlikte farklı bir noktaya dikkat çekmek istiyorum. Neden bir anda video konferans platformlarında güvenlik açıkları çıkmaya başladı? Bu bir tesadüf mü yoksa algıda seçicilik mi? Her ikisi de değil.  Sadece saldırganların bu uygulamalara bugüne kadar yeterince odaklanıp zaman ayırmamış olmalarıdır. Her zaman söylendiği gibi yeterli zaman ve bütçe olduğu sürece kırılmayacak parola, atlatılmayacak güvenlik önlemi yoktur. Buna karşı da alınacak en temel önlem; katmanlı güvenlik kontrolleri ile saldırganın harcayacağı zamanı  maksimuma çıkarırken tespiti minimum süre içinde yapabilmek olacaktır.

Haberin detaylarına buradan ulaşabilirsiniz.

Haftanın Makalesi:

MITRE’nin uç nokta güvenlik uygulaması (EDR) üreticilerini değerlendirdiği APT29 sonuçları açıklandı. 21 farklı üreticinin çözümleri karşılaştırılarak güçlü ve zayıf yönlerine ulaşılabiliyor. Ancak, MITRE’nin çok detaylı ve kapsamlı bilgi içermesinin sonucu olarak raporların içinde kaybolmak an meselesi olabiliyor. Bir anda kendinizi Arif’in Manchester’a attığı golde bulabilirsiniz 😊 Şaka bir yana değerlendirme raporunu daha iyi anlamanızı ve yorumlamanızı sağlayacak Halil Öztürkci’ye ait makaleye göz atmakta fayda var.

Halil Öztürkci'ye ait makaleye buradan
MITRE değerlendirmesine ise buradan ulaşabilirsiniz.

Haftanın Nedir’i:

Zafiyet tarama ile sızma testi arasındaki fark nedir?

Birbirinin yerine de kullanılan bu iki kavram aslında farklı anlamlara geliyor. Zafiyet tarama, sistemlerde bulunan güvenlik açıklıklarının tespit edilmesini amaçlar. Ön tanımlı bilgilerle hedef sistemin zafiyetini tespit eder. Yanlış yapılandırmadan kaynaklı bir zafiyet varsa bunu tespit edemez.

Sızma testi, hedef sistemde uygulanan güvenlik kontrollerini atlatarak sızma işlemini gerçekleştirir. Sızma testinin içinde zafiyet tarama aktivitesi de yer alabilir. Yapılandırmadan dolayı oluşan zafiyetleri tespit etmek amaçlanır. 

Aşağıda farklılıkların ve kesiştiği noktaların yer aldığı şemayı* bulabilirsiniz.



Tabi bir de bu testlerin renklileri var (red, blue, purple gibi) 😊 Bunlara da önümüzdeki haftalarda değiniriz.

*Kaynak: Şema Adresi

Haftanın İpucu:

Center of Internet Security (CIS), Covid-19 salgın dönemi için siber güvenlik ile ilgili bir rehber yayınladı. Rehberde aşağıdaki başlıklarda ipuçları bulunuyor. Göz atmakta fayda var.

  • Phishing and Malspam
  • Credential Stuffing
  • Ransomware
  • Remote Desktop Protocal (RDP) Targeting
  • Distributed Denial of Service (DDoS) Attacks
  • Securing Employee Home Networks
  • Employee Personal Device Security
  • Secure Videoconferencing

Rehbere buradan ulaşabilirsiniz. 

Haftanın Sorusu:

Traceroute komutu nasıl çalışır?

***

Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içerikler düzenli olarak yayınlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 
Kaydol: Kayıtlar (Atom)