Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Test Edebiliriz?
1. Volkan ERTÜRK @VolkanErturk @PicusSecurity
Siber Saldırılara Hazırlık için Güvenlik
Ürünlerimizi Nasıl Test Edebiliriz?
2. Volkan Ertürk
• Picus Security – Kurucu Ortak & CEO
• 12+ yıl bilişim güvenliği alanında deneyim
• CISA, CISM, CCSE, 27001LA
• PhD Adayı @ODTÜ Bilişim Sistemleri
3. • Ağ güvenliği ürünlerimde bir sorun yok ki!
• Diyelim ki sorun var! Başıma ne gelebilir ki?
• Millet bu konuda ne yapıyor?
• Hımm bir arkadaşımın bu konuda sorunları
vardı. Sizce ne yapmalı?
30 dakikamı neden sana vermeliyim?
4. Ağ Güvenliğimizi Nasıl Sağlıyoruz?
En iyi ürün ve
teknolojileri
kullanarak
Katmanlı
Güvenlik
Sürekli
İyileştirme
Proaktif
Bakım
Entegrasyon
Threat
Intelligence
11. Ağ Güvenliği Ürünlerinin Testi
Ne sıklıkta yapılmalı?
Ağ güvenliği sistemlerinde değişim ne sıklıkta?
Ağ güvenliği ürünlerinin devre dışı kalması veya
etkinliğinin azalması ne kadar kritik?
Bu sistemlerde oluşan bir sorunun ne kadar süre
içerisinde tespit edilmesi hedefleniyor?
13. Ağ Güvenliği Ürünlerinin Testi
Hangi ürün(ler) test edilecek?
Tek bir güvenlik ürünü
Katmanlı bir güvenlik mimarisi
Test edilen şey ürün değil, ürün+tanımlı güvenlik politikaları
16. Ağ Güvenliği Ürünlerinin Analizi:
Güvenlik Testleri
Sızma testleri yöntemlerini kullanabilir miyiz?
Yaklaşım: Atakların başarılı şekilde gerçekleşeceği
önceden sağlanmalı ve araya güvenlik sistemleri
koyulduğunda durumun nasıl değiştiği incelenmeli.
17. Kontrol Listeleri VS Güvenlik Testleri
Bakış Açısı
Çıktı
Analiz Yapan Ekip
Hangisi?
18. Picus Security’nin Yaklaşımı
Üretim ortamındaki ağ güvenlik sistemlerini üretici
bağımsız bir şekilde sürekli olarak siber tehditlere karşı
test eden bir güvenlik yazılımı.
Ağ güvenliğindeki boşlukları ortaya çıkarır.
İyileştirme alternatifleri sunar.
Güvenlik başarımını yönetici seviyesinde raporlar.
Operasyonel ve yönetimsel iş yükü oluşturmaz.
19. Picus yazılımı kurumun ağ güvenlik sistemleri için bir tomografi cihazı
gibi çalışarak kurumun siber ataklara karşı hazır olup olmadığını ölçer.
① Choose the network you want to assess
② Run or schedule the assessment
③ Review findings & Tune Your Security
23. Picus Atak Veritabanı
1000+ atak
Zafiyet Sömürü
Web Uygulama
Zararlı Yazılım
Her ay en az 50 yeni atak
Kritik ataklar 48 saat içerisinde
ShellShock, Hacking Team Flash 0-day,
Cryptolocker, CryptoWall 4.0
Virustotal Intelligence
Exploit Siteleri ve Siber İstihbarat Takibi
24. Güvenlik Ürünlerini Test Etmenin
Faydaları
Güvenlik sistemlerinizin hangi atakları yakalayamadığını
raporlayabilen tek ürün
Gerçek siber ataklara karşı ne kadar güvenli olduğunuzu
sürekli olarak ölçer.
Ağ güvenliğinizin güçlü ve zayıf olduğu yönleri ortaya
çıkarır.
Güvenlik operasyonlarınızı ve servis seviyesi anlaşmaları
(SLA) doğrulamanıza yardımcı olur.
25. Özetle
• Parası neyse verdim güvendeyim! Ağ güvenliği için
maalesef çalışmıyor!
• Ağ güvenliği ürünlerinin etkinliğini ölçmezsek, bu
ürünleri verimli kullanamayız
• Ağ güvenliği ürünlerini test etmek için kurumda sizin
yapabileceğiniz temel kontroller mevcut
• Ağ güvenliği ürünlerini testleri için çeşitli otomasyon
teknolojilerinden de faydalanmak mümkün.