1 / 14

Zafiyet Tespit Araçları – Eksileri/Artıları

Zafiyet Tespit Araçları – Eksileri/Artıları. Eyüp ÇELİK Siber Güvenlik Danışmanı info@eyupcelik.com.tr www.eyupcelik.com.tr. Twitter.com/EPICROUTERS. Facebook.com/EPICROUTERSS. Eyüp ÇELİK Kimdir?. Siber Güvenlik Danışmanı (EntPro Bilişim ve Danışmanlık ) White Hat Hacker

ima
Download Presentation

Zafiyet Tespit Araçları – Eksileri/Artıları

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Zafiyet Tespit Araçları – Eksileri/Artıları Eyüp ÇELİKSiber Güvenlik Danışmanıinfo@eyupcelik.com.trwww.eyupcelik.com.tr Twitter.com/EPICROUTERS Facebook.com/EPICROUTERSS

  2. Eyüp ÇELİK Kimdir? • Siber GüvenlikDanışmanı (EntPro Bilişim ve Danışmanlık) • White Hat Hacker • Ethical Hacking Eğitmeni • Mshowto Editörü (www.mshowto.org) • Blog Yazarı (www.eyupcelik.com.tr) • SecWis Güvenlik Birim Yöneticisi (www.secwis.com) • LabSec Community - Güvenlik Ekip Lideri • Anatolia Security - Proje Takım Lideri • Güvenlik Araştırmacısı (Security Research) • PacketStormSecurity.org • Exploit-db.com • Secunia.com

  3. Ajanda • Zafiyet Kavramı ve Zafiyetler Üzerine • Penetrasyon Testlerinin Bir Aşaması Olarak Zafiyet Tespiti • Zafiyet Tespit Araçları • Sistem – Network (Perimeter) • Ticari Araçlar • Free – Trial – Open Source Araçlar • Web Application (Web Application Scanner) • Ticari Araçlar • Free – Trial – Open Source Araçlar • Zafiyet Tespit Araçlarının Kullanımı • Sistem – Network • Nessus • Nexpose (Zaman Yeterse ) • Web Application Scanner • Acunetix • Netsparker (Zaman Yeterse ) • Zafiyet Tespit Araçlarının Artıları ve Eksileri • Sorular

  4. Zafiyet Kavramı ve Zafiyetler Üzerine • Zafiyet nedir? • Zafiyetler nasıl meydana gelir? • Zafiyetler ile ilgili neler biliyor olmak zorundayız? • Black Hat dünyası ve Güvenlik dünyası ne durumda? • Hackerlar sadece zarar mı verirler? • Ne kadar güvendeyiz sorgusuna dürüst cevaplar verebiliyor muyuz? • Çok iyi yazılım ve donanıma sahibiz, bize bir şey olmaz mantalitesi  • Kurulumundan sonra kaç kere güvenlik cihaz ve yazılımlarına kural yazdınız? • Güncelleştirmeleri sakın yüklemeyin, sistem çalışmayabilir! • Sistem şimdi çalışıyorsa kimse ellemesin sakın! • Lisans önemli değil, yeter ki çalışsın  Örnek demo Microsoft Office 2010 • Anahtar kapıya uymuyorsa kapıyı anahtara uydurun. (Reverse Enginering) • Hacking sadece zafiyetleri kullanarak yapılmaz!

  5. Zafiyet Kavramı ve Zafiyetler Üzerine • «Güvenlik zincirindeki en zayıf halka insandır» Kevin D. Mitnick / Aldatma Sanatı • «Bireyler, uzmanların önerdiği en iyi güvenlik uygulamalarını çalıştırıyor, önerilen her güvenlik ürününü bilgisayarına yüklüyor olabilirler ve uygun sistem yapılandırmasını ve güvenlik yamalarını kullanmak konularında son derece dikkatli davranabilirler.Bu bireyler yine de tamamen savunmasızdırlar.» Kevin D. Mitnick / Aldatma Sanatı • “Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim.” Albert Einstein

  6. Zafiyet Kavramı ve Zafiyetler Üzerine • Güvenlik sadece güçlü bir parola ile sağlanamaz! • Sadece güvenlik cihaz ve yazılımları ile güvenlik sağlanamaz!

  7. Zafiyet Kavramı ve Zafiyetler Üzerine • Güvenlik sadece güçlü bir parola ile sağlanamaz! • Sadece güvenlik cihaz ve yazılımları ile güvenlik sağlanamaz!

  8. Zafiyetlerin Yaşam Döngüsü

  9. Penetrasyon Testlerinin Bir Aşaması Olarak Zafiyet Tespiti • Penetration testinde Hacking evresine yön veren en önemli evrelerden biridir! • İstismar yöntemlerinin (Exploiting) ve istismar araçlarının en iyi yardımcısıdır. • Günümüzde zafiyetler manuel yöntemlerle tespit edilemeyecek kadar çoğalmış durumdadırlar. • Zaman ve sonuç almak adına işleri kolaylaştırır  • Birkaç araçla beraber yapıldığında doğru sonuca ulaştırma yüzdesi yüksek olur. • Herkes kullanabilir ama herkes yorumlayamaz!

  10. Zafiyet Tespit Araçları – Sistem Network Ticari Araçlar Free – Trial – Open Source Araçlar OpenVAS MBSI (Microsoft Baseline Security Analyzer) Nexpose Nessus MetaSploit Qualys • Nexpose • Nessus • MetaSploit • Qualys • SAINT • Retina • OutPost24

  11. Zafiyet Tespit Araçları – Web Application Ticari Araçlar Free – Trial – Open Source Araçlar Acunetix NetSparker W3AF Grendel-Scan Wapiti Websecurify Wikto • Acunetix • AppScan (IBM) • Web Inspect (HP) • Burp Suite • GamaScan • NetSparker

  12. Zafiyet Tespit Araçlarının Kullanımı

  13. Zafiyet Tespit Araçlarının Artıları / Eksileri • Her zaman kesin sonuç vermezler! • Yanıltabilme payları yüksektir! • Bulunan her zafiyetin varlığının fiziksel olarak test edilmesi doğru sonuca götürür. • Doğru sonuç almak için birden çok araç kullanmak gerekir. • Zafiyet tespit etmek için en doğru araç seçilmelidir. • Yanlış ürün ile doğru sonuç alınmaz! • Zafiyet tespitinde Bilgi Güvenliği Uzmanı ve Hacker’ların yardımcı araçlarıdır  • Hacking Evresine yön verir.

  14. TeşekkürlerSorular?

More Related