SlideShare a Scribd company logo

GUVENLI YAZILIM ve BILGI GUVENLIGI

Ahmet Pekel
Ahmet Pekel

III. Ağ ve Bilgi Güvenliği Sempozyumu, 5 Şubat 2010, Ankara

Technology
1 of 26
III. Ağ ve Bilgi Güvenliği Sempozyumu GÜVENLİ YAZILIM ve BİLGİ GÜVENLİĞİ Ahmet PEKEL 5 Şubat 2010, Ankara 1
İnternet kullanımı artıyor... 2
Bilgisayar Teknolojileri Gelişim Dönemleri 1984 - 1993 1994 - 1999 2000 – 2005 2006 – Bugün • Multimedya • WEB Başlangıç • Yeni Dönem • Yüksek Dönemi Dönemi WEB performanslı • E-posta • Yüksek kalite mobil iletişim • CD ROM’lar ve uygulamalar • İnternet ses ve • İntranet görüntü aktarımı • Düşük Kalite Ses ve Görüntü 3
Kullanıcı talepleri teknolojik gelişmeyi tetikliyor... • 500 (1999) İşlemci Hızı (Mhz) • 3000 (2009) (Intel) • 6 katı • 9,500,000 (1999) Transistör Sayısı • 820,000,000 (2009) (Intel) • 86.3 katı • 237 (1999) Mobil İletişim • 42,000 (2009) (Kbps) • 177.2 katı 4
Gelişen Teknoloji, Kullanım Oranlarını Yükseltiyor... İnternet Kullanıcı • 360,985,492 (2000) Sayısı • 1,668,870,408 (2009) (kaynak:Internet • 4.6 katı (Dünya WorldStats) Nüfusunun %25’i) • 27,467,000,000 $ (2000) E-ticaret • 127,395,000,000 $ (kaynak:PCWorld) (2007) • 4.6 katı • 20,547 (2002) İnternet Tehdit Sayısı • 1,656,227 (2008) (kaynak:Symantec) • 80.6 katı 5
İnternet Uygulamaları  Finans  E-Ticaret  Telekomünikasyon  Basın  Sigorta  Sağlık  Eğitim  Sosyal paylaşım siteleri (Facebook, Twitter)  Belediye hizmetleri  Devlet hizmetleri 6
Web sitesi ataklarının %78’i yazılım katmanında gerçekleştiriliyor (Cenzic Web Application Security Trends Report, 2009) Uygulama Güvenliği Sistem Güvenliği Ağ Güvenliği Tehdit 7
Tespitler...  Yazılım güvenliği konusunda farkındalık yeterli değil.  Organizasyon düzeyinde  Yazılım geliştirici düzeyinde  Tedarikçiler düzeyinde  Güvenlik, çoğu kez kod geliştiricinin öncelikleri arasında yer almıyor, zaman kaybettirdiği düşünülüyor.  Hızlı kod geliştirme ihtiyacı, güvenlik kontrollerinin gerçekleştirilmesinde direnç oluşmasına neden oluyor.  Eğitim ihtiyacı var.  Uygulama Güvenliği ve Farkındalık Eğitimleri  Üniversitelerde ders olarak verilebilir.  E-öğrenme olanakları kullanılabilir.  E-Devlet çalışmaları kapsamında ele alınabilir. 8
 Uygulama güvenliğini yazılım geliştirme yaşam döngüsünün parçası olarak ele alanların oranı : %31 (Deloitte, 2008). 9
Güvenlik açıkları kodu baştan yazmayı gerektirebilir...  Uygulama Geliştirme Güvenliği, Uygulama Geliştirme Yaşam Döngüsünün bir alt süreci olarak ele alınmalıdır.  Yazılım geliştirme ve bakım aşamalarında kod düzeyinde güvenlik test süreci ilave edilmelidir.  Geliştirme zamanının belli bir bölümü (%5-10) kod analizine ayrılmalıdır.  Kontroller otomatik ve manuel düzeyde iki aşamalı yapılmalıdır.  Kontroller ;  kod yazılırken,  geliştirme sonrasında, üretime geçiş öncesinde,  üretimde belli periyodlarda yapılmalıdır.  Dışarıdan alınan test hizmetlerine uygulama güvenliğine yönelik kontroller ilave edilmelidir. 10
Türkiye’de internet kullanıcı sayısı 2000-2009 yılları arasında12 kat büyüdü. Nüfusun (75 milyon 738 bin 836) %35’i internet kullanıcısı (26 milyon 500 bin). (Kaynak:http://www.internetworldstats.com, 31 Mart 2009) 11
Mobil Teknolojilerdeki Gelişmeler Kapsamında Uygulama Güvenliği...  GSM operatör bilgilerine göre Türkiye’de 2009’un 3.çeyreği itibariyle 63.8 milyon civarında cep telefonu abonesi bulunuyor.  3G (>4G) teknolojilerinin kullanımı ile birlikte mobil uygulamaların kullanım oranlarında daha hızlı bir artış beklenebilir.  Mobil uygulama güvenliği GSM operatörleri, uygulama sahibi kurum ve kuruluşlar, kullanıcılar çerçevesinde farkındalık yaratılması gereken alanlardan biridir. 12
Bilgi Toplumu Stratejisi ve Eylem Planı ve E- Devlet Uygulamalarda Güvenlik...  E-Devlet uygulamalarında iletişim ağı ve sistem güvenliğine ilaveten uygulama güvenliği konusu da dikkate alınmalıdır. 13
Uygulama Güvenlik Altyapısı Uygulama Geliştiriciler Uygulama Altyapı Tasarımı Güvenlik Sistem Uzmanları Yöneticileri 14
PCI (Payment Card Industry) Quick Reference Guide – Data Security Standard Version 1.2, 2008  6.5 Develop all web applications based on secure code to identify coding vulnerabilities.  6.6 Ensure that all public Web-facing applications are protected known attacks with at least annual reviews of code, and by installing a Web application fire-wall in front of public-facing web applications. 15
OWASP : Open Web Application Security Project  http://www.owasp.org  Top 10 – 2010  A1 : Injection  A2 : Cross Site Scripting (XSS)  A3 : Broken Authentication and Session Management  A4 : Insecure Direct Object References  A5 : Cross Site Request Forgery  A6 : Security Misconfiguration  A7 : Failure to Redirect URL Access  A9 : Insecure Cryptographic Storage  A10: Insufficient Transport Layer Protection 16
Open Web Application Security Project http://www.owasp.org  Code Review Tools (Static Application Security Software)  Code Crawler,  Orizon,  O2 17
Hataların oluşmadan önlenmesi için yapılacak çalışmalar, oluşacak hataların çözülmesi için çaba harcamaktan daha ekonomiktir.  BT Kalite Politikası  ...  Süreç odaklı çalışmak esastır.  Güvenlik Yönetim Süreci BT Kalite Yönetimi’nin parçasıdır.  Güvenlik bir kalite hedefidir.  BT Güvenlik Politikası  ...  Bir uygulamanın güvenlik gereksinimleri tasarım aşamasında belirlenir.  Süreç Uyumluluk Denetimleri  ...  BT Kalite Yönetimi mevcut BT süreçlerinin iyileştirilmesini, hataların azaltılmasını sağlar. 18
 Alınabilecek önlemleri belirleyebilmek için muhtemel tehditlerin bilinmesi gerekir. 19
Tasarım aşaması : Tehdit Modelleme  STRIDE  Kandırma (Spoofing)  Değiştirme (Tampering)  İnkar Etme (Repudiation)  Bilgi Sızması (Information Disclosure)  Hizmet Kesintisi (Denial of Service)  Yetki Yükseltme (Elevation of Privilege) 20
Tasarım aşaması...  Kandırma > kimlik doğrulama  Değiştirme > yetkilendirme, imzalama  İnkar etme > kimlik doğrulama, yetkilendirme, imzalama, kayıt tutma  Bilgi sızması > yetkilendirme, kripto  Hizmet kesintisi > filitreleme, kimlik doğrulama, yetkilendirme  Yetkilerin yükseltilmesi > minumum yetki prensibiyle çalışma Örnek güvenlik kalıpları için : http:// www.securitypatterns.org 21
Yazılım Güvenliği Gözden Geçirme Süreci  Yazılım geliştirme sırasında uygulama geliştirici tarafından,  Static kod analiz gereçleri kullanılarak  İkinci bir geliştiricinin gözle kontrolü ile  Üretime geçiş öncesi güvenlik kontrolü sırasında  En yüksek riskten başlayarak değerlendirme  Üretime geçiş sonrası dışarıdan uygulama zayıflık testleri yapılarak (Üçer aylık periyodlarda)  En yüksek riskten başlayarak değerlendirme 22
Yazılım güvenliği için... Politika, Prosedür ve Süreçlerin Uygulama Uygulama güvenlik Güvenliği Testleri (Dış) kapsamında genişletilmesi Yazılım Geliştirme Metodolojisinin Uygulama Güvenlik Uygulama Güvenliği Testleri (İç) kapsamında genişletilmesi Eğitim (Uygulama Geliştiriciler, Yazılım BT Uyumluluk Denetimleri (İç ve Güvenlik Uzmanları) Güvenliği Dış) 23
Bilgi Güvenliği Güvenlik • Gizlilik • Bütünlük • Erişebilirlik Kullanılabilirlik • İş Gereksinimleri • Kurum Yapısı • Güvenlik Riskleri • Bütçe • Diğer Koşullar 24
Tehditlere Karşı Alınacak Önlemler KİŞİSEL KÜRESEL BİLGİ KURUMSAL ÜLKESEL 25
Teşekkürler Ahmet Pekel 26

Recommended

3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSparta Bilişim
 
Wordpress Güvenliği ve Sıkılaştırma Dokümanı
Wordpress Güvenliği ve Sıkılaştırma DokümanıWordpress Güvenliği ve Sıkılaştırma Dokümanı
Wordpress Güvenliği ve Sıkılaştırma DokümanıBGA Cyber Security
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiCumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiSparta Bilişim
 

Recommended

3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSparta Bilişim
 
Wordpress Güvenliği ve Sıkılaştırma Dokümanı
Wordpress Güvenliği ve Sıkılaştırma DokümanıWordpress Güvenliği ve Sıkılaştırma Dokümanı
Wordpress Güvenliği ve Sıkılaştırma DokümanıBGA Cyber Security
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiCumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiSparta Bilişim
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıBilgiO A.S / Linux Akademi
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıKasım Erkan
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiSparta Bilişim
 
Siber Olaylara Müdahale Sunumu
Siber Olaylara Müdahale SunumuSiber Olaylara Müdahale Sunumu
Siber Olaylara Müdahale SunumuBGA Cyber Security
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 RaporuBGA Cyber Security
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOCSerkan Özden
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiBGA Cyber Security
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki TehlikeAlper Başaran
 
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıKOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıSparta Bilişim
 
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...BGA Cyber Security
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Sparta Bilişim
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Man in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziMan in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziBGA Cyber Security
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA Cyber Security
 
Siber Güvenlikte Yapay Zeka Uygulamaları - Webinar
Siber Güvenlikte Yapay Zeka Uygulamaları - WebinarSiber Güvenlikte Yapay Zeka Uygulamaları - Webinar
Siber Güvenlikte Yapay Zeka Uygulamaları - WebinarBGA Cyber Security
 
OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)Sparta Bilişim
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
PROYA_Kurumsal Sunum
PROYA_Kurumsal SunumPROYA_Kurumsal Sunum
PROYA_Kurumsal SunumFuat BARLAS
 
Biznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim
 

More Related Content

What's hot

Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıBilgiO A.S / Linux Akademi
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıKasım Erkan
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiSparta Bilişim
 
Siber Olaylara Müdahale Sunumu
Siber Olaylara Müdahale SunumuSiber Olaylara Müdahale Sunumu
Siber Olaylara Müdahale SunumuBGA Cyber Security
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOCSerkan Özden
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiBGA Cyber Security
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki TehlikeAlper Başaran
 
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıKOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıSparta Bilişim
 
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...BGA Cyber Security
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Sparta Bilişim
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Man in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziMan in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziBGA Cyber Security
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA Cyber Security
 
Siber Güvenlikte Yapay Zeka Uygulamaları - Webinar
Siber Güvenlikte Yapay Zeka Uygulamaları - WebinarSiber Güvenlikte Yapay Zeka Uygulamaları - Webinar
Siber Güvenlikte Yapay Zeka Uygulamaları - WebinarBGA Cyber Security
 
OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)Sparta Bilişim
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 

What's hot (20)

Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
Siber Olaylara Müdahale Sunumu
Siber Olaylara Müdahale SunumuSiber Olaylara Müdahale Sunumu
Siber Olaylara Müdahale Sunumu
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki Tehlike
 
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıKOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
 
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Man in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziMan in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının Analizi
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
 
Siber Güvenlikte Yapay Zeka Uygulamaları - Webinar
Siber Güvenlikte Yapay Zeka Uygulamaları - WebinarSiber Güvenlikte Yapay Zeka Uygulamaları - Webinar
Siber Güvenlikte Yapay Zeka Uygulamaları - Webinar
 
OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 

Similar to GUVENLI YAZILIM ve BILGI GUVENLIGI

PROYA_Kurumsal Sunum
PROYA_Kurumsal SunumPROYA_Kurumsal Sunum
PROYA_Kurumsal SunumFuat BARLAS
 
Biznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim
 
Yönetici Denetçi ve Son Kullanıcı Bilişim Akademisi
Yönetici Denetçi ve Son Kullanıcı Bilişim AkademisiYönetici Denetçi ve Son Kullanıcı Bilişim Akademisi
Yönetici Denetçi ve Son Kullanıcı Bilişim Akademisialinizam99
 
Watchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışWatchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışÖzden Aydın
 
CRENNO Technologies Company Presentation
CRENNO Technologies Company PresentationCRENNO Technologies Company Presentation
CRENNO Technologies Company PresentationErol TOKALACOGLU
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...BGA Cyber Security
 
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015Melih Bayram Dede
 
Digital Maturity Assessment (DMA) .pdf
Digital Maturity Assessment (DMA) .pdfDigital Maturity Assessment (DMA) .pdf
Digital Maturity Assessment (DMA) .pdfBeyazNet
 
ParanaVision Sunum
ParanaVision SunumParanaVision Sunum
ParanaVision SunumAlphan Manas
 
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim
 
Elektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıElektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıZühre Aydın
 
Bulut Bilişiminde Güvenlik Tehditleri
Bulut Bilişiminde Güvenlik TehditleriBulut Bilişiminde Güvenlik Tehditleri
Bulut Bilişiminde Güvenlik TehditleriAliMETN
 
Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013
Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013
Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013Hakan ERDOGAN
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Cihan Özhan
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 

Similar to GUVENLI YAZILIM ve BILGI GUVENLIGI (20)

PROYA_Kurumsal Sunum
PROYA_Kurumsal SunumPROYA_Kurumsal Sunum
PROYA_Kurumsal Sunum
 
Biznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod GeliştirmeBiznet Bilişim - Güvenli Kod Geliştirme
Biznet Bilişim - Güvenli Kod Geliştirme
 
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
 
Yönetici Denetçi ve Son Kullanıcı Bilişim Akademisi
Yönetici Denetçi ve Son Kullanıcı Bilişim AkademisiYönetici Denetçi ve Son Kullanıcı Bilişim Akademisi
Yönetici Denetçi ve Son Kullanıcı Bilişim Akademisi
 
Watchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışWatchguard Firewall Genel Bakış
Watchguard Firewall Genel Bakış
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım Güvenliği
 
CRENNO Technologies Company Presentation
CRENNO Technologies Company PresentationCRENNO Technologies Company Presentation
CRENNO Technologies Company Presentation
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
 
Ceh egitim
Ceh egitimCeh egitim
Ceh egitim
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
 
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
 
Digital Maturity Assessment (DMA) .pdf
Digital Maturity Assessment (DMA) .pdfDigital Maturity Assessment (DMA) .pdf
Digital Maturity Assessment (DMA) .pdf
 
ParanaVision Sunum
ParanaVision SunumParanaVision Sunum
ParanaVision Sunum
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..
 
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet PaketleriBiznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
Biznet Bilişim - 360 Derece Bilgi Güvenliği Hizmet Paketleri
 
Elektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıElektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yolları
 
Bulut Bilişiminde Güvenlik Tehditleri
Bulut Bilişiminde Güvenlik TehditleriBulut Bilişiminde Güvenlik Tehditleri
Bulut Bilişiminde Güvenlik Tehditleri
 
Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013
Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013
Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 

More from Ahmet Pekel

Bilişim Teknolojilerinde Yönetişim
Bilişim Teknolojilerinde YönetişimBilişim Teknolojilerinde Yönetişim
Bilişim Teknolojilerinde YönetişimAhmet Pekel
 
ELEKTRONİK ORTAMDA TUTULAN VERİLERİN HUKUKİ BOYUTU
ELEKTRONİK ORTAMDA TUTULAN VERİLERİN HUKUKİ BOYUTUELEKTRONİK ORTAMDA TUTULAN VERİLERİN HUKUKİ BOYUTU
ELEKTRONİK ORTAMDA TUTULAN VERİLERİN HUKUKİ BOYUTUAhmet Pekel
 
SIBER TEHDITLER ve BILGI GUVENLIGI
SIBER TEHDITLER ve BILGI GUVENLIGISIBER TEHDITLER ve BILGI GUVENLIGI
SIBER TEHDITLER ve BILGI GUVENLIGIAhmet Pekel
 
BILISIM TEKNOLOJILERI ve KALITE YONETIMI
BILISIM TEKNOLOJILERI ve KALITE YONETIMIBILISIM TEKNOLOJILERI ve KALITE YONETIMI
BILISIM TEKNOLOJILERI ve KALITE YONETIMIAhmet Pekel
 
BILISIM GUVENLIGI
BILISIM GUVENLIGIBILISIM GUVENLIGI
BILISIM GUVENLIGIAhmet Pekel
 
BILISIM TEKNOLOJILERINDE YONETISIM
BILISIM TEKNOLOJILERINDE YONETISIMBILISIM TEKNOLOJILERINDE YONETISIM
BILISIM TEKNOLOJILERINDE YONETISIMAhmet Pekel
 
BILISIM TEKNOLOJILERINDE HIZMET YONETIMI ve BILGI GUVENLIGI
BILISIM TEKNOLOJILERINDE HIZMET YONETIMI ve BILGI GUVENLIGIBILISIM TEKNOLOJILERINDE HIZMET YONETIMI ve BILGI GUVENLIGI
BILISIM TEKNOLOJILERINDE HIZMET YONETIMI ve BILGI GUVENLIGIAhmet Pekel
 

More from Ahmet Pekel (8)

Bilişim Teknolojilerinde Yönetişim
Bilişim Teknolojilerinde YönetişimBilişim Teknolojilerinde Yönetişim
Bilişim Teknolojilerinde Yönetişim
 
Siber Güvenlik
Siber GüvenlikSiber Güvenlik
Siber Güvenlik
 
ELEKTRONİK ORTAMDA TUTULAN VERİLERİN HUKUKİ BOYUTU
ELEKTRONİK ORTAMDA TUTULAN VERİLERİN HUKUKİ BOYUTUELEKTRONİK ORTAMDA TUTULAN VERİLERİN HUKUKİ BOYUTU
ELEKTRONİK ORTAMDA TUTULAN VERİLERİN HUKUKİ BOYUTU
 
SIBER TEHDITLER ve BILGI GUVENLIGI
SIBER TEHDITLER ve BILGI GUVENLIGISIBER TEHDITLER ve BILGI GUVENLIGI
SIBER TEHDITLER ve BILGI GUVENLIGI
 
BILISIM TEKNOLOJILERI ve KALITE YONETIMI
BILISIM TEKNOLOJILERI ve KALITE YONETIMIBILISIM TEKNOLOJILERI ve KALITE YONETIMI
BILISIM TEKNOLOJILERI ve KALITE YONETIMI
 
BILISIM GUVENLIGI
BILISIM GUVENLIGIBILISIM GUVENLIGI
BILISIM GUVENLIGI
 
BILISIM TEKNOLOJILERINDE YONETISIM
BILISIM TEKNOLOJILERINDE YONETISIMBILISIM TEKNOLOJILERINDE YONETISIM
BILISIM TEKNOLOJILERINDE YONETISIM
 
BILISIM TEKNOLOJILERINDE HIZMET YONETIMI ve BILGI GUVENLIGI
BILISIM TEKNOLOJILERINDE HIZMET YONETIMI ve BILGI GUVENLIGIBILISIM TEKNOLOJILERINDE HIZMET YONETIMI ve BILGI GUVENLIGI
BILISIM TEKNOLOJILERINDE HIZMET YONETIMI ve BILGI GUVENLIGI
 

GUVENLI YAZILIM ve BILGI GUVENLIGI

  • 1. III. Ağ ve Bilgi Güvenliği Sempozyumu GÜVENLİ YAZILIM ve BİLGİ GÜVENLİĞİ Ahmet PEKEL 5 Şubat 2010, Ankara 1
  • 3. Bilgisayar Teknolojileri Gelişim Dönemleri 1984 - 1993 1994 - 1999 2000 – 2005 2006 – Bugün • Multimedya • WEB Başlangıç • Yeni Dönem • Yüksek Dönemi Dönemi WEB performanslı • E-posta • Yüksek kalite mobil iletişim • CD ROM’lar ve uygulamalar • İnternet ses ve • İntranet görüntü aktarımı • Düşük Kalite Ses ve Görüntü 3
  • 4. Kullanıcı talepleri teknolojik gelişmeyi tetikliyor... • 500 (1999) İşlemci Hızı (Mhz) • 3000 (2009) (Intel) • 6 katı • 9,500,000 (1999) Transistör Sayısı • 820,000,000 (2009) (Intel) • 86.3 katı • 237 (1999) Mobil İletişim • 42,000 (2009) (Kbps) • 177.2 katı 4
  • 5. Gelişen Teknoloji, Kullanım Oranlarını Yükseltiyor... İnternet Kullanıcı • 360,985,492 (2000) Sayısı • 1,668,870,408 (2009) (kaynak:Internet • 4.6 katı (Dünya WorldStats) Nüfusunun %25’i) • 27,467,000,000 $ (2000) E-ticaret • 127,395,000,000 $ (kaynak:PCWorld) (2007) • 4.6 katı • 20,547 (2002) İnternet Tehdit Sayısı • 1,656,227 (2008) (kaynak:Symantec) • 80.6 katı 5
  • 6. İnternet Uygulamaları  Finans  E-Ticaret  Telekomünikasyon  Basın  Sigorta  Sağlık  Eğitim  Sosyal paylaşım siteleri (Facebook, Twitter)  Belediye hizmetleri  Devlet hizmetleri 6
  • 7. Web sitesi ataklarının %78’i yazılım katmanında gerçekleştiriliyor (Cenzic Web Application Security Trends Report, 2009) Uygulama Güvenliği Sistem Güvenliği Ağ Güvenliği Tehdit 7
  • 8. Tespitler...  Yazılım güvenliği konusunda farkındalık yeterli değil.  Organizasyon düzeyinde  Yazılım geliştirici düzeyinde  Tedarikçiler düzeyinde  Güvenlik, çoğu kez kod geliştiricinin öncelikleri arasında yer almıyor, zaman kaybettirdiği düşünülüyor.  Hızlı kod geliştirme ihtiyacı, güvenlik kontrollerinin gerçekleştirilmesinde direnç oluşmasına neden oluyor.  Eğitim ihtiyacı var.  Uygulama Güvenliği ve Farkındalık Eğitimleri  Üniversitelerde ders olarak verilebilir.  E-öğrenme olanakları kullanılabilir.  E-Devlet çalışmaları kapsamında ele alınabilir. 8
  • 9.  Uygulama güvenliğini yazılım geliştirme yaşam döngüsünün parçası olarak ele alanların oranı : %31 (Deloitte, 2008). 9
  • 10. Güvenlik açıkları kodu baştan yazmayı gerektirebilir...  Uygulama Geliştirme Güvenliği, Uygulama Geliştirme Yaşam Döngüsünün bir alt süreci olarak ele alınmalıdır.  Yazılım geliştirme ve bakım aşamalarında kod düzeyinde güvenlik test süreci ilave edilmelidir.  Geliştirme zamanının belli bir bölümü (%5-10) kod analizine ayrılmalıdır.  Kontroller otomatik ve manuel düzeyde iki aşamalı yapılmalıdır.  Kontroller ;  kod yazılırken,  geliştirme sonrasında, üretime geçiş öncesinde,  üretimde belli periyodlarda yapılmalıdır.  Dışarıdan alınan test hizmetlerine uygulama güvenliğine yönelik kontroller ilave edilmelidir. 10
  • 11. Türkiye’de internet kullanıcı sayısı 2000-2009 yılları arasında12 kat büyüdü. Nüfusun (75 milyon 738 bin 836) %35’i internet kullanıcısı (26 milyon 500 bin). (Kaynak:http://www.internetworldstats.com, 31 Mart 2009) 11
  • 12. Mobil Teknolojilerdeki Gelişmeler Kapsamında Uygulama Güvenliği...  GSM operatör bilgilerine göre Türkiye’de 2009’un 3.çeyreği itibariyle 63.8 milyon civarında cep telefonu abonesi bulunuyor.  3G (>4G) teknolojilerinin kullanımı ile birlikte mobil uygulamaların kullanım oranlarında daha hızlı bir artış beklenebilir.  Mobil uygulama güvenliği GSM operatörleri, uygulama sahibi kurum ve kuruluşlar, kullanıcılar çerçevesinde farkındalık yaratılması gereken alanlardan biridir. 12
  • 13. Bilgi Toplumu Stratejisi ve Eylem Planı ve E- Devlet Uygulamalarda Güvenlik...  E-Devlet uygulamalarında iletişim ağı ve sistem güvenliğine ilaveten uygulama güvenliği konusu da dikkate alınmalıdır. 13
  • 14. Uygulama Güvenlik Altyapısı Uygulama Geliştiriciler Uygulama Altyapı Tasarımı Güvenlik Sistem Uzmanları Yöneticileri 14
  • 15. PCI (Payment Card Industry) Quick Reference Guide – Data Security Standard Version 1.2, 2008  6.5 Develop all web applications based on secure code to identify coding vulnerabilities.  6.6 Ensure that all public Web-facing applications are protected known attacks with at least annual reviews of code, and by installing a Web application fire-wall in front of public-facing web applications. 15
  • 16. OWASP : Open Web Application Security Project  http://www.owasp.org  Top 10 – 2010  A1 : Injection  A2 : Cross Site Scripting (XSS)  A3 : Broken Authentication and Session Management  A4 : Insecure Direct Object References  A5 : Cross Site Request Forgery  A6 : Security Misconfiguration  A7 : Failure to Redirect URL Access  A9 : Insecure Cryptographic Storage  A10: Insufficient Transport Layer Protection 16
  • 17. Open Web Application Security Project http://www.owasp.org  Code Review Tools (Static Application Security Software)  Code Crawler,  Orizon,  O2 17
  • 18. Hataların oluşmadan önlenmesi için yapılacak çalışmalar, oluşacak hataların çözülmesi için çaba harcamaktan daha ekonomiktir.  BT Kalite Politikası  ...  Süreç odaklı çalışmak esastır.  Güvenlik Yönetim Süreci BT Kalite Yönetimi’nin parçasıdır.  Güvenlik bir kalite hedefidir.  BT Güvenlik Politikası  ...  Bir uygulamanın güvenlik gereksinimleri tasarım aşamasında belirlenir.  Süreç Uyumluluk Denetimleri  ...  BT Kalite Yönetimi mevcut BT süreçlerinin iyileştirilmesini, hataların azaltılmasını sağlar. 18
  • 19.  Alınabilecek önlemleri belirleyebilmek için muhtemel tehditlerin bilinmesi gerekir. 19
  • 20. Tasarım aşaması : Tehdit Modelleme  STRIDE  Kandırma (Spoofing)  Değiştirme (Tampering)  İnkar Etme (Repudiation)  Bilgi Sızması (Information Disclosure)  Hizmet Kesintisi (Denial of Service)  Yetki Yükseltme (Elevation of Privilege) 20
  • 21. Tasarım aşaması...  Kandırma > kimlik doğrulama  Değiştirme > yetkilendirme, imzalama  İnkar etme > kimlik doğrulama, yetkilendirme, imzalama, kayıt tutma  Bilgi sızması > yetkilendirme, kripto  Hizmet kesintisi > filitreleme, kimlik doğrulama, yetkilendirme  Yetkilerin yükseltilmesi > minumum yetki prensibiyle çalışma Örnek güvenlik kalıpları için : http:// www.securitypatterns.org 21
  • 22. Yazılım Güvenliği Gözden Geçirme Süreci  Yazılım geliştirme sırasında uygulama geliştirici tarafından,  Static kod analiz gereçleri kullanılarak  İkinci bir geliştiricinin gözle kontrolü ile  Üretime geçiş öncesi güvenlik kontrolü sırasında  En yüksek riskten başlayarak değerlendirme  Üretime geçiş sonrası dışarıdan uygulama zayıflık testleri yapılarak (Üçer aylık periyodlarda)  En yüksek riskten başlayarak değerlendirme 22
  • 23. Yazılım güvenliği için... Politika, Prosedür ve Süreçlerin Uygulama Uygulama güvenlik Güvenliği Testleri (Dış) kapsamında genişletilmesi Yazılım Geliştirme Metodolojisinin Uygulama Güvenlik Uygulama Güvenliği Testleri (İç) kapsamında genişletilmesi Eğitim (Uygulama Geliştiriciler, Yazılım BT Uyumluluk Denetimleri (İç ve Güvenlik Uzmanları) Güvenliği Dış) 23
  • 24. Bilgi Güvenliği Güvenlik • Gizlilik • Bütünlük • Erişebilirlik Kullanılabilirlik • İş Gereksinimleri • Kurum Yapısı • Güvenlik Riskleri • Bütçe • Diğer Koşullar 24
  • 25. Tehditlere Karşı Alınacak Önlemler KİŞİSEL KÜRESEL BİLGİ KURUMSAL ÜLKESEL 25
  • 26. Teşekkürler Ahmet Pekel 26