1 / 39

KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ

KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ. Yasal Uyarı. Sunu sırasında öğrenilen saldırı tekniklerinin, karşı tarafın yazılı izni olmadan uygulanması durumunda suç niteliği taşıyacağı bilinmelidir!. Giriş. Herkes bilgi işlem servislerine büyük oranda bağlı.

meira
Download Presentation

KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. KAMU KURUMLARINDA SOSYAL MÜHENDİSLİK ANALİZİ

  2. Yasal Uyarı • Sunu sırasında öğrenilen saldırı tekniklerinin, karşı tarafın yazılı izni olmadan uygulanması durumunda suç niteliği taşıyacağı bilinmelidir! Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  3. Giriş • Herkes bilgi işlem servislerine büyük oranda bağlı. • Güvenliğin sadece küçük bir yüzdesi teknik güvenlik önlemleri ile sağlanıyor. Büyük yüzdesi ise kullanıcıya bağlı. • Pareto prensibi: Alınabilecek önlemlerin %20’sini alarak saldırıların %80’inden korunabilirsiniz. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  4. Giriş - En Zayıf Halka • Sorumlu herkes: • Bilginin sahibi • Kullanıcılar • Bilgi sistemini yönetenler • En zayıf halka bilgi güvenliğinin seviyesini belirlemektedir. • Zincir en zayıf halkası kadar güçlü. • Çoğunlukla en zayıf halka insandır. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  5. Giriş - Oluşabilecek Zararlar • Bilginiz başkalarının eline geçebilir • Kurumun onuru, toplumdaki imajı zarar görebilir • Donanım, yazılım, veri ve kurum çalışanları zarar görebilir Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  6. Giriş - Oluşabilecek Zararlar • Önemli veriye zamanında erişememek • Parasal kayıplar • Vakit kayıpları • Can kaybı! Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  7. Giriş • ABD’de meydana gelen bilgisayar olaylarının türlerine göre dağılımı (2001-2009) Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  8. Giriş Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  9. Sosyal Mühendislik Kavramı • Sosyal mühendisler: Teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanlardan faydalanırlar. • Etkileme ve ikna yöntemlerini kullanırlar. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  10. Sosyal Mühendislik Kavramı • Sosyal Mühendislik: Normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatı. • Teknoloji kullanımından çok insanların hile ile kandırılarak bilgi elde edilmesi Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  11. Sosyal Mühendislik Kavramı Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  12. Sosyal Mühendislik Kavramı • Kullandığı en büyük silahı, insan zaafiyetleri • İnsan: Güvenliğin en zayıf halkası • “Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim.” • (Albert Einstein) Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  13. Sosyal Mühendislik Kavramı • Çoğu insan, kandırılma olasılığının çok düşük olduğunu düşünür. • Bu ortak inancın bilincinde olan saldırgan, isteğini o kadar akıllıca sunar ki hiç kuşku uyandırmaz ve kurbanın güvenini sömürür. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  14. Sosyal Mühendislik Kavramı • Kurum güvenliği denge konusudur. • En emniyetli bilgisayar? • Kapalı olandır! • Peki şuna ne dersiniz?: Art niyetli bir kişi ofise gidip bilgisayarı açması için birini ikna edebilir. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  15. Sosyal Mühendislik Süreci Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  16. Sosyal Mühendislik Yöntemleri • Sahte senaryolar uydurmak • Güvenilir bir kaynak olduğuna ikna etmek (phishing) • Truva atları • Güvenilir bilgi karşılığında para, hediye, vs önermek • Güven kazanarak bilgi edinmek • Omuz sörfü, çöp karıştırmak, eski donanımları kurcalamak Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  17. Sosyal Mühendislik ve Teknoloji • Sosyal mühendislik saldırılarında kullanılabilen bazı donanımlar: Kameralı araba anahtarı (59.99$) Donanımsal keylogger (59.99$) USB bellekli saat (19.99$) USB bellekli çakmak (39.99$) SD kartı saklayıcısı (20.99$) Kameralı gözlük (79.99$) Kameralı kalem (79.99$) Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  18. Sosyal Mühendislik Araçları Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  19. Sosyal Mühendislik Saldırı Örneği • Saldırgan: Albert Lim takma isimli şahıs • Kurban (kılığına geçmiş şahıs): Ofisten bir arkadaşımız • Konu: Para Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  20. Sosyal Mühendislik Saldırı Örneği Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  21. Sosyal Mühendislik Saldırı Örneği Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  22. Sosyal Mühendislik Saldırı Örneği • Farklı tarihlerde saldırgandan gelen SMS’ler Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  23. Sosyal Mühendislik Saldırı Örneği Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  24. Sosyal Mühendislik Saldırı Örneği Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  25. Sosyal Mühendislik Saldırı Örneği Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  26. Sosyal Mühendislik Testleri • Tarafımızca başka kurumlara yapılan sosyal mühendislik saldırısı testlerinden örnek bir ses kaydı… Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  27. Sosyal Mühendislik Testleri • Kamu kurumlarında durum Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  28. Sosyal Mühendislik Testleri • Yapılan testler sonucunda kullanıcıların yaklaşık %65’inin şifresini ele geçirebildik! Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  29. Sosyal Mühendislik Eğitimi • Sosyal Mühendislik Kavramı • Saldırı Teknikleri • Sosyal Mühendislik Saldırı Örneği • Sosyal Mühendislik Testleri • Korunma Yöntemleri • Uygulama Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  30. Kullanıcı Bilinçlendirme Eğitimleri • İçermesi gereken bazı önemli maddeler: • Kurum her an saldırıya maruz kalabilir • Sorun sadece teknoloji sorunu değildir • Kurumun tüm çalışanları bilgi güvenliğinin bir parçası • Eğitimler periyodik olarak düzenlenmeli • Prosedürlerin ve uygulamasının önemi • Örneğin, şifre oluşturma prosedürü Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  31. Ölçüm • Kullanıcı bilinçlendirme eğitimlerinde verilen bilgi, kullanıcılar tarafından yeterli derecede öğrenilmiş mi? • Ödül ve teşvik amacıyla eğitim sonunda kullanıcılara katılım sertifikası verilebilir. • Tüm kurum personelinden kurallara uyacağına dair imzalı bir taahhüt belgesi alınabilir. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  32. Sürekli Bilinçlendirme Programı • Kurumun iç sayfasına bilgi güvenliğiyle ilgili karikatürler, ipuçları koyma • Ayın güvenlik çalışanının resmi • Çeşitli bilgi güvenliği posterleri asma • Bülten panolarına duyurular Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  33. Sürekli Bilinçlendirme Programı • Hatırlatma amaçlı e-postalar • Bilgi güvenliğiyle ilgili İnternet sitelerinin takibi Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  34. Kurum Bilgi Güvenliği Kural Önerileri • Risk analizi yapılması • Kurumun bilgi varlıkları neler? • Bu varlıklara ne gibi tehditler var? • Bu tehditler gerçekleşirse kuruma ne gibi zararlar gelebilir? • Veri sınıflandırma • Tasnif dışı • Hizmete özel (Özel) • Gizli Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  35. Kurum Bilgi Güvenliği Kural Önerileri • Kurumda periyodik olarak bilgi güvenliği testleri yapılmalı • Antivirüs yazılımları mutlaka tüm bilgisayarlara kurulmalı ve tanım dosyası güncel tutulmalı • Çöpe atılması gereken dokümanlar, kırpıcılardan geçirilebilir Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  36. Kurum Bilgi Güvenliği Kural Önerileri • Şifre korumalı ekran koruyucular kullanılabilir • Temiz masa / temiz ekran politikası • İşten ayrılan çalışanların uyması gerektiği prosedürler hazırlanabilir • Kuruma ziyaretçi olarak gelen kişilerden kimlik alınabilir, kurum içerisinden bir çalışan bu kişiye refakat edebilir Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  37. Sonuç • Tehlike hiç ummadığınız bir anda, hiç ummadığınız bir yerden gelebilir. • Tanımadığınız kişilerden gelen isteklere karşı temkinli davranın. • Size özel bilginizi (örneğin şifreniz) kimseyle paylaşmayın. • Sistem yöneticisi • Yan masada oturan mesai arkadaşınız • Hatta yöneticileriniz Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  38. Sonuç • Kurumdaki tüm personele periyodik olarak bilgi güvenliği bilinçlendirme eğitimleri verin. • Kurumunuzda periyodik olarak, sosyal mühendislik saldırı testini de içeren, bilgi güvenliği testleri gerçekleştirin. Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

  39. TEŞEKKÜRLER Kamu Kurumlarında Sosyal Mühendislik Analizi - TÜBİTAK UEKAE

More Related