SlideShare une entreprise Scribd logo
1  sur  38
Télécharger pour lire hors ligne
3. Parti Firma Risklerinden Nasıl
Korunulur?
Ferhat DİKBIYIK
Head of Research
Webinar Serisi – 6 Ekim 2021
3. Parti Kaynaklı Veri İhlalleri
• Saldırı yüzeyi sandığımızdan çok daha geniş mi?
• 3. taraf (tedarikçi) kaynaklı veri ihlallerinin anatomisi
• SolarWinds, Kaseya, Acellion ve Accenture saldırıları nasıl büyük çaplı
3. taraf kaynaklı veri ihlallerine dönüştü
• 3. taraf kaynaklı veri ihlallerini engellemek için neler yapılmalı?
• Siber Skorlama çözümleri tedarikçi risk yönetiminde ne kadar yeterli?
• Dijital ekosisteminize karşı siber saldırılarının işaretlerini önceden
görmek mümkün mü?
• Gelişmiş bir üçüncü taraf siber risk yönetimi neleri kapsamalı?
Siber Saldırı Yüzeyi
Bulut
Sağlayıcılar
Veri İşleme
Çözümleri
Pazarlama
Firmaları
Harici
Javascript
Sağlayıcıları
Hukuk
Firmaları
IT Çözümleri
E-posta
Hizmet
Sağlayıcıları
Online
Toplantı
Araçları
Proje
Geliştirme
Çözümleri
Uzaktan
Yönetim
Sistemleri
Mobil
Uygulama
Geliştiriciler
3. Parti Kaynaklı Veri İhlallerinin Anatomisi
3. Taraf
3. Taraf ile veri
paylaşan firmalar
3. Tarafa erişim
veren firmalar
3. Tarafın ürününü
kullanan firmalar
Critical Open
Ports
Poor email
configurations
Software
vulnerabilities
Application
weaknesses
Leaked
Credentials
Poor system
configurations
Malicious
Code
Büyük Çaplı 3. Taraf Kaynaklı Veri İhlalleri
SolarWinds Vakası
Image: The 8 Key Lessons From the SolarWinds Attacks - SOCRadar
SolarWinds Vakası
Image: Microsoft
SolarWinds Vakası
Image: Sygnia
SolarWinds Vakası: Etkilenen
Kurumlar
ABD Savunma Bakanlığı
ABD Enerji Bakanlığı
ABD Ticaret Bakanlığı
ABD Sağlık Bakanlığı
ABD İçişleri Bakanlığı
ABD Dışişleri Bakanlığı
ABD Hazine Bakanlığı
Belkin International
California Department of State Hospitals
Cisco
Cox Communications
Deloitte
Digital Sense
FireEye
Intel
ITPS
Kent State University
Microsoft
Netdecisions
Nvidia
Pima County, State of Arizona
SolarWinds
Stratus Networks
VMware
Kaseya Vakası
REvil
Ransomware
Group
Kaseya VSA
SaaS Platform Managed Service
Providers (MSPs)
MSP
Customers
RANSOMWARE
50 direkt
Kaseya
müşterisi
800 ila 1500
arasında
dolaylı şirket
Kaseya Vakası
Accellion Vakası
Cl0p
Ransomware
Grubu
Accellion
out-of-date
FTA
Accellion
out-of-date
FTA
Accellion
out-of-date
FTA
Accellion
out-of-date
FTA
Exploiting
0-day
Exploiting
0-day
Exploiting
0-day
Exploiting
0-day
Accenture Vakası
BT hizmetleri ve danışmanlık
Not: Accenture, tehdit aktörünün iddiasının doğru olmadığını
beyan etti.
Tehdit aktörü, Accenture ihlalinin onlara Accenture
müşterilerinin hedef almalarını sağlayacak kullanıcı adı ve
şifrelere erişim imkanı verdiğini söyledi.
Gri Gergedan
"Gri gergedan", oldukça olası, yüksek
etkili ancak ihmal edilen bir tehdittir.
Hem odadaki filin hem de olası ve
öngörülemeyen siyah kuğun akrabası.
Gri gergedanlar rastgele sürprizler değildir,
bir dizi uyarı ve görünür kanıttan sonra
ortaya çıkar.
Ne sıklıkla oluyor?
• En son örnekler;
• Confluence / Atlassian
• RCE zafiyeti 25 Ağustos’da yayınlandı.
• Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek
kurbanlarını seçmeye başladı (5 Ekim).
• NewHotel Software
• Büyük otel zincirleri için yazılım üreticisi.
Ne sıklıkla oluyor?
• En son örnekler;
• Confluence / Atlassian
• RCE zafiyeti 25 Ağustos’da yayınlandı.
• Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek
kurbanlarını seçmeye başladı (5 Ekim).
• NewHotel Software
• Büyük otel zincirleri için yazılım üreticisi.
https://blackkite.com/data-breaches-caused-by-third-parties/
3. Parti Kaynaklı Veri İhlalleri Nasıl
Engellenir?
• Erişimleri yetkilendirmek/kısıtlamak.
• Paylaşılan veri miktarını küçültmek.
• Log tutmak.
• Peki yeterli mi?
• 3. taraf şirketlerin (daha geniş ifadesi ile dijital ekosistemin) sürekli
gözlemlenmesi.
• 3. taraf şirketlerin siber güvenlik/risk durumlarını ölçümle
• Önceliklendir
• Sonuçları paylaş
• On-site ziyaretler
• Sözleşmeyi feshetme
Siber Risk Değerlendirme Yöntemleri
Harici /
Dışarıdan
İçeriye
Yönetimsel
Dahili
/İçeriden
dışarıya
Senaryo-
tabanlı
testler
Olasılıksal
Veri Modelleri
Siber Risk Değerlendirme Yöntemleri
Harici /
Dışarıdan
İçeriye
Yönetimsel
Değerlendirm
eler
Dahili
/İçeriden
dışarıya
Senaryo-
tabanlı
testler
Olasılıksal
Veri Modelleri
- Siber Skorlama Çözümleri
- Dijital ayakizini OSINT yöntemleri ile
çıkarır
- Harici saldırı yüzeyini verir
- Ölçeklenebilir
- Hızlı
- İçeriden bilgi almadığı için kısıtlı bir
değerlendirmedir.
- İş riskine çevrilmezse anlamlandırmak
zorlaşabilir
- OT ve bulut risklerini gösteremez
OSINT ile Dijital Ayakizi
Siber Risk Değerlendirme Yöntemleri
Yönetimsel
Harici /
Dışarıdan
İçeriye
Dahili
/İçeriden
dışarıya
Senaryo-
tabanlı
testler
Olasılıksal
Veri Modelleri
- Kontrol tabanlı çerçeveler
- ISO27001,
- PCI-DSS,
- NIST, vb.
- Kurumun iyi uygulamalarını ve
regülasyonlara uyumluluğunu
gösterir
- Uyumluluk ≠ Güvenlik
- Olgunluk seviyeleri sınırlı bilgi verir
Siber Risk Değerlendirme Yöntemleri
Dahili
/İçeriden
dışarıya
Yönetimsel
Değerlendirm
eler
Harici /
Dışarıdan
İçeriye
Senaryo-
tabanlı
testler
Olasılıksal
Veri Modelleri
- Soru Setleri, dış teftişler, denetim
raporları
- Kontrol/hazırlık konusunda
perspektif verir
- Sonuçların yorumlanması ağır
süreçlerdir
- Manuel iş yükü çok fazla, yavaş
- Risk terminolojisine çevirmek zor
- Subjektif
- Maliyetli
Siber Risk Değerlendirme Yöntemleri
Olasılııksal
Veri Modelleri
Harici /
Dışarıdan
İçeriye
Dahili
/İçeriden
dışarıya
Senaryo-
tabanlı
testler
Yönetimsel
- Kayba dair faydalı istatistiki
projeksiyonlar sunar
- Sınırlı veri ile oluşturulmuş veri
setlerine fazlasıyla bağlı
Siber Risk Değerlendirme Yöntemleri
Senaryo-
tabanlı
testler
Yönetimsel
Değerlendirm
eler
Harici /
Dışarıdan
İçeriye
Dahili
/İçeriden
dışarıya
Olasılıksal
Veri Modelleri
- En kötü senaryo analizleri
- Teknik kısmı saldırı simülatörleri ile
sağlanabilir
- Kurumdaki uzman kişilerle
görüşmeleri gerektirebilir
- Şirketin kayıplara karşı kurumun
nasıl dayandığını gösterebilir
- Uzun süren süreç
- Ölçeklenebilir değil
Siber Risk Ölçümü için Veri Kaynakları
Ölçeklenebilirllik
Kesinlik
Harici Bilgi
Pasif tarama ile elde
edilen 3. taraf
şirketin müdahelesi
veya doğrulaması
olmayan bilgi
Soru Setleri
3. tarafça
cevaplanmış anketler
ve görüşmeler.
Teknik bir kaynak
verisi değil.
Paylaşılan Veri
Erişim verilmeden 3.
tarafça sağlanan
loglar ve
konfigürasyonlar
Direkt Veri Sorgusu
Analistlerin veri
üzerinde direkt sorgu
çalıştırması (3. tarraf
teknik personelin
göztiminde)
On-Prem araçlar
3. Taraf şirketinin
içerisine on-prem
yerleştirilmiş veri
toplama araçları
Nasıl bir 3. Taraf Risk Değerlendirmesi?
Kurgu Gerçek
Ölçeklenebillir
Varsayımlar kabul edilebilir
Risk jargonuna çevrilebilir
Önceliklendirme için yeterli
Nasıl bir skorlama?
F
D
C
B
A
0
2
0
40 60 8
0
100
Olgunluk Seviyesi
1
2
3
4
Risk Seviyesi
Düşük
Normal
Yüksek
Kritik
Bir standart yok. Discrete bir puanlama = etiketleme
Siber skorlar neyi gösterir?
• Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder.
• Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip
firmalar.
Siber skorlar neyi gösterir?
• Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder.
• Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip
firmalar.
Accenture veri ihlali öncesi genel siber skoru
Senaryo-tabanlı skorlama
• Yükselen tehdit trendlerine özel skorlama yapılabilir
• Ransomware Susceptibility Index
Ransomware Susceptibility Index
• NewCoop tedarik zinciri saldırısı
Ransomware Susceptibility Index
• NewCoop tedarik zinciri saldırısı
Nasıl bir skorlama?
• Hangisi daha riskli?
TEDARİKÇİ X
• Veri paylaşımı yok
• İç sistemlere erişimi
yok
• Yazılım sağlıyor
TEDARİKÇİ Y
• Veri paylaşımı var (PII)
• İç sistemlere erişimi
yok
• Yazılım sağlamıyor
TEDARİKÇİ Z
• Veri paylaşımı yok
• İç sistemlere erişimi
var
• Yazılım sağlamıyor
B B B
Nasıl bir skorlama?
• Hangisi daha riskli?
TEDARİKÇİ X
• Veri paylaşımı yok
• İç sistemlere erişimi
yok
• Yazılım sağlıyor
TEDARİKÇİ Y
• Veri paylaşımı var (PII)
• İç sistemlere erişimi
yok
• Yazılım sağlamıyor
TEDARİKÇİ Z
• Veri paylaşımı yok
• İç sistemlere erişimi
var
• Yazılım sağlamıyor
B B B
C
D
Nasıl bir skorlama?
• Hangisi daha riskli?
TEDARİKÇİ X
• Veri paylaşımı yok
• İç sistemlere erişimi
yok
• Yazılım sağlıyor
TEDARİKÇİ Y
• Veri paylaşımı var (PII)
• İç sistemlere erişimi
yok
• Yazılım sağlamıyor
TEDARİKÇİ Z
• Veri paylaşımı yok
• İç sistemlere erişimi
var
• Yazılım sağlamıyor
B B B
C
D
Kayıp: $200K
Risk, oluşabilecek kayıp ile oluşma sıklığının (ihtimalinin) çarpımıdır.
Kayıp: $10M Kayıp: $1M
Gelişmiş bir 3. Taraf Siber Risk Yönetimi Neleri
İçermeli?
Ücretsiz skorlama imkanı var mı?
Ücretsiz Siber Skor
ve Raporu
Ücretsiz
Ransomware Skoru
ve Raporu
https://blackkite.com/free-cyber-rating/
https://blackkite.com/free-rsi-rating/
Teşekkürler
fdikbiyik@blackkite.com
https://www.linkedin.com/in/fdikbiyik/

Contenu connexe

Tendances

Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziBGA Cyber Security
 
Güvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya KurtarmaGüvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya KurtarmaBGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020BGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA KullanımıZararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA KullanımıBGA Cyber Security
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıBGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıBGA Cyber Security
 
Android Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıAndroid Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıBGA Cyber Security
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak  Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak  Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...BGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuMehmet Caner Köroğlu
 

Tendances (20)

BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
 
Güvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya KurtarmaGüvenli Veri Silme ve Dosya Kurtarma
Güvenli Veri Silme ve Dosya Kurtarma
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
 
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA KullanımıZararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması Çözümleri
 
BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest Hizmeti
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
 
Android Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıAndroid Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak  Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak  Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
 

Similaire à 3. parti firma risklerinden nasıl korunulur?

Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?BGA Cyber Security
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOCSerkan Özden
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feedsDoukanksz
 
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz? Mustafa
 
Windows 7'de Applocker ve Denetim Donanımları
Windows 7'de Applocker ve Denetim DonanımlarıWindows 7'de Applocker ve Denetim Donanımları
Windows 7'de Applocker ve Denetim Donanımlarıwindowsblogu
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
 
BilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptxBilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptxEyşan Öztürk
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Murat KARA
 
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerSOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerBGA Cyber Security
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıBilgiO A.S / Linux Akademi
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriSparta Bilişim
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSparta Bilişim
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiSparta Bilişim
 
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarAlper Başaran
 
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...BGA Cyber Security
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?BGA Cyber Security
 

Similaire à 3. parti firma risklerinden nasıl korunulur? (20)

Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
 
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
 
Windows 7'de Applocker ve Denetim Donanımları
Windows 7'de Applocker ve Denetim DonanımlarıWindows 7'de Applocker ve Denetim Donanımları
Windows 7'de Applocker ve Denetim Donanımları
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
 
BilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptxBilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptx
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13
 
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerSOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
 
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
 

Plus de BGA Cyber Security

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiBGA Cyber Security
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketlerBGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiBGA Cyber Security
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsBGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiBGA Cyber Security
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıBGA Cyber Security
 
Güncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziGüncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziBGA Cyber Security
 
SOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerSOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerBGA Cyber Security
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıBGA Cyber Security
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri BGA Cyber Security
 

Plus de BGA Cyber Security (20)

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
 
Mail Sniper Nedir?
Mail Sniper Nedir?Mail Sniper Nedir?
Mail Sniper Nedir?
 
Güncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziGüncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik Analizi
 
SOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerSOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve Örnekler
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim Dokümanı
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
 
Microsoft Azure Sentinel
Microsoft Azure SentinelMicrosoft Azure Sentinel
Microsoft Azure Sentinel
 

3. parti firma risklerinden nasıl korunulur?

  • 1. 3. Parti Firma Risklerinden Nasıl Korunulur? Ferhat DİKBIYIK Head of Research Webinar Serisi – 6 Ekim 2021
  • 2. 3. Parti Kaynaklı Veri İhlalleri • Saldırı yüzeyi sandığımızdan çok daha geniş mi? • 3. taraf (tedarikçi) kaynaklı veri ihlallerinin anatomisi • SolarWinds, Kaseya, Acellion ve Accenture saldırıları nasıl büyük çaplı 3. taraf kaynaklı veri ihlallerine dönüştü • 3. taraf kaynaklı veri ihlallerini engellemek için neler yapılmalı? • Siber Skorlama çözümleri tedarikçi risk yönetiminde ne kadar yeterli? • Dijital ekosisteminize karşı siber saldırılarının işaretlerini önceden görmek mümkün mü? • Gelişmiş bir üçüncü taraf siber risk yönetimi neleri kapsamalı?
  • 3. Siber Saldırı Yüzeyi Bulut Sağlayıcılar Veri İşleme Çözümleri Pazarlama Firmaları Harici Javascript Sağlayıcıları Hukuk Firmaları IT Çözümleri E-posta Hizmet Sağlayıcıları Online Toplantı Araçları Proje Geliştirme Çözümleri Uzaktan Yönetim Sistemleri Mobil Uygulama Geliştiriciler
  • 4. 3. Parti Kaynaklı Veri İhlallerinin Anatomisi 3. Taraf 3. Taraf ile veri paylaşan firmalar 3. Tarafa erişim veren firmalar 3. Tarafın ürününü kullanan firmalar Critical Open Ports Poor email configurations Software vulnerabilities Application weaknesses Leaked Credentials Poor system configurations Malicious Code
  • 5. Büyük Çaplı 3. Taraf Kaynaklı Veri İhlalleri
  • 6. SolarWinds Vakası Image: The 8 Key Lessons From the SolarWinds Attacks - SOCRadar
  • 9. SolarWinds Vakası: Etkilenen Kurumlar ABD Savunma Bakanlığı ABD Enerji Bakanlığı ABD Ticaret Bakanlığı ABD Sağlık Bakanlığı ABD İçişleri Bakanlığı ABD Dışişleri Bakanlığı ABD Hazine Bakanlığı Belkin International California Department of State Hospitals Cisco Cox Communications Deloitte Digital Sense FireEye Intel ITPS Kent State University Microsoft Netdecisions Nvidia Pima County, State of Arizona SolarWinds Stratus Networks VMware
  • 10. Kaseya Vakası REvil Ransomware Group Kaseya VSA SaaS Platform Managed Service Providers (MSPs) MSP Customers RANSOMWARE 50 direkt Kaseya müşterisi 800 ila 1500 arasında dolaylı şirket
  • 13. Accenture Vakası BT hizmetleri ve danışmanlık Not: Accenture, tehdit aktörünün iddiasının doğru olmadığını beyan etti. Tehdit aktörü, Accenture ihlalinin onlara Accenture müşterilerinin hedef almalarını sağlayacak kullanıcı adı ve şifrelere erişim imkanı verdiğini söyledi.
  • 14. Gri Gergedan "Gri gergedan", oldukça olası, yüksek etkili ancak ihmal edilen bir tehdittir. Hem odadaki filin hem de olası ve öngörülemeyen siyah kuğun akrabası. Gri gergedanlar rastgele sürprizler değildir, bir dizi uyarı ve görünür kanıttan sonra ortaya çıkar.
  • 15. Ne sıklıkla oluyor? • En son örnekler; • Confluence / Atlassian • RCE zafiyeti 25 Ağustos’da yayınlandı. • Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek kurbanlarını seçmeye başladı (5 Ekim). • NewHotel Software • Büyük otel zincirleri için yazılım üreticisi.
  • 16. Ne sıklıkla oluyor? • En son örnekler; • Confluence / Atlassian • RCE zafiyeti 25 Ağustos’da yayınlandı. • Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek kurbanlarını seçmeye başladı (5 Ekim). • NewHotel Software • Büyük otel zincirleri için yazılım üreticisi. https://blackkite.com/data-breaches-caused-by-third-parties/
  • 17. 3. Parti Kaynaklı Veri İhlalleri Nasıl Engellenir? • Erişimleri yetkilendirmek/kısıtlamak. • Paylaşılan veri miktarını küçültmek. • Log tutmak. • Peki yeterli mi? • 3. taraf şirketlerin (daha geniş ifadesi ile dijital ekosistemin) sürekli gözlemlenmesi. • 3. taraf şirketlerin siber güvenlik/risk durumlarını ölçümle • Önceliklendir • Sonuçları paylaş • On-site ziyaretler • Sözleşmeyi feshetme
  • 18. Siber Risk Değerlendirme Yöntemleri Harici / Dışarıdan İçeriye Yönetimsel Dahili /İçeriden dışarıya Senaryo- tabanlı testler Olasılıksal Veri Modelleri
  • 19. Siber Risk Değerlendirme Yöntemleri Harici / Dışarıdan İçeriye Yönetimsel Değerlendirm eler Dahili /İçeriden dışarıya Senaryo- tabanlı testler Olasılıksal Veri Modelleri - Siber Skorlama Çözümleri - Dijital ayakizini OSINT yöntemleri ile çıkarır - Harici saldırı yüzeyini verir - Ölçeklenebilir - Hızlı - İçeriden bilgi almadığı için kısıtlı bir değerlendirmedir. - İş riskine çevrilmezse anlamlandırmak zorlaşabilir - OT ve bulut risklerini gösteremez
  • 20. OSINT ile Dijital Ayakizi
  • 21. Siber Risk Değerlendirme Yöntemleri Yönetimsel Harici / Dışarıdan İçeriye Dahili /İçeriden dışarıya Senaryo- tabanlı testler Olasılıksal Veri Modelleri - Kontrol tabanlı çerçeveler - ISO27001, - PCI-DSS, - NIST, vb. - Kurumun iyi uygulamalarını ve regülasyonlara uyumluluğunu gösterir - Uyumluluk ≠ Güvenlik - Olgunluk seviyeleri sınırlı bilgi verir
  • 22. Siber Risk Değerlendirme Yöntemleri Dahili /İçeriden dışarıya Yönetimsel Değerlendirm eler Harici / Dışarıdan İçeriye Senaryo- tabanlı testler Olasılıksal Veri Modelleri - Soru Setleri, dış teftişler, denetim raporları - Kontrol/hazırlık konusunda perspektif verir - Sonuçların yorumlanması ağır süreçlerdir - Manuel iş yükü çok fazla, yavaş - Risk terminolojisine çevirmek zor - Subjektif - Maliyetli
  • 23. Siber Risk Değerlendirme Yöntemleri Olasılııksal Veri Modelleri Harici / Dışarıdan İçeriye Dahili /İçeriden dışarıya Senaryo- tabanlı testler Yönetimsel - Kayba dair faydalı istatistiki projeksiyonlar sunar - Sınırlı veri ile oluşturulmuş veri setlerine fazlasıyla bağlı
  • 24. Siber Risk Değerlendirme Yöntemleri Senaryo- tabanlı testler Yönetimsel Değerlendirm eler Harici / Dışarıdan İçeriye Dahili /İçeriden dışarıya Olasılıksal Veri Modelleri - En kötü senaryo analizleri - Teknik kısmı saldırı simülatörleri ile sağlanabilir - Kurumdaki uzman kişilerle görüşmeleri gerektirebilir - Şirketin kayıplara karşı kurumun nasıl dayandığını gösterebilir - Uzun süren süreç - Ölçeklenebilir değil
  • 25. Siber Risk Ölçümü için Veri Kaynakları Ölçeklenebilirllik Kesinlik Harici Bilgi Pasif tarama ile elde edilen 3. taraf şirketin müdahelesi veya doğrulaması olmayan bilgi Soru Setleri 3. tarafça cevaplanmış anketler ve görüşmeler. Teknik bir kaynak verisi değil. Paylaşılan Veri Erişim verilmeden 3. tarafça sağlanan loglar ve konfigürasyonlar Direkt Veri Sorgusu Analistlerin veri üzerinde direkt sorgu çalıştırması (3. tarraf teknik personelin göztiminde) On-Prem araçlar 3. Taraf şirketinin içerisine on-prem yerleştirilmiş veri toplama araçları
  • 26. Nasıl bir 3. Taraf Risk Değerlendirmesi? Kurgu Gerçek Ölçeklenebillir Varsayımlar kabul edilebilir Risk jargonuna çevrilebilir Önceliklendirme için yeterli
  • 27. Nasıl bir skorlama? F D C B A 0 2 0 40 60 8 0 100 Olgunluk Seviyesi 1 2 3 4 Risk Seviyesi Düşük Normal Yüksek Kritik Bir standart yok. Discrete bir puanlama = etiketleme
  • 28. Siber skorlar neyi gösterir? • Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder. • Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip firmalar.
  • 29. Siber skorlar neyi gösterir? • Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder. • Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip firmalar. Accenture veri ihlali öncesi genel siber skoru
  • 30. Senaryo-tabanlı skorlama • Yükselen tehdit trendlerine özel skorlama yapılabilir • Ransomware Susceptibility Index
  • 31. Ransomware Susceptibility Index • NewCoop tedarik zinciri saldırısı
  • 32. Ransomware Susceptibility Index • NewCoop tedarik zinciri saldırısı
  • 33. Nasıl bir skorlama? • Hangisi daha riskli? TEDARİKÇİ X • Veri paylaşımı yok • İç sistemlere erişimi yok • Yazılım sağlıyor TEDARİKÇİ Y • Veri paylaşımı var (PII) • İç sistemlere erişimi yok • Yazılım sağlamıyor TEDARİKÇİ Z • Veri paylaşımı yok • İç sistemlere erişimi var • Yazılım sağlamıyor B B B
  • 34. Nasıl bir skorlama? • Hangisi daha riskli? TEDARİKÇİ X • Veri paylaşımı yok • İç sistemlere erişimi yok • Yazılım sağlıyor TEDARİKÇİ Y • Veri paylaşımı var (PII) • İç sistemlere erişimi yok • Yazılım sağlamıyor TEDARİKÇİ Z • Veri paylaşımı yok • İç sistemlere erişimi var • Yazılım sağlamıyor B B B C D
  • 35. Nasıl bir skorlama? • Hangisi daha riskli? TEDARİKÇİ X • Veri paylaşımı yok • İç sistemlere erişimi yok • Yazılım sağlıyor TEDARİKÇİ Y • Veri paylaşımı var (PII) • İç sistemlere erişimi yok • Yazılım sağlamıyor TEDARİKÇİ Z • Veri paylaşımı yok • İç sistemlere erişimi var • Yazılım sağlamıyor B B B C D Kayıp: $200K Risk, oluşabilecek kayıp ile oluşma sıklığının (ihtimalinin) çarpımıdır. Kayıp: $10M Kayıp: $1M
  • 36. Gelişmiş bir 3. Taraf Siber Risk Yönetimi Neleri İçermeli?
  • 37. Ücretsiz skorlama imkanı var mı? Ücretsiz Siber Skor ve Raporu Ücretsiz Ransomware Skoru ve Raporu https://blackkite.com/free-cyber-rating/ https://blackkite.com/free-rsi-rating/