admin

BTK Siber Güvenlik Eğitimi

Ömer Fatih Sayan konuşması ile eğitim başlamıştır.

12 kurum 160 katılımcı bulunmaktadır. Eğitim için adeo bilişim ve üniversite öğretim görevlileri sunum gerçekleştirecektir.

BTK tarafından tespit edilen bilgiler;

1 yılda ddos 8 kat arttı. 300 den fazla kurumda açık kapı tespit edildi ve kapatılması sağlandı.

60 adet botnet tespit edildi ve çökertildi.

42 kurumun teknolojik altyapısı güçlendirildi.

2.sunum

Boğaziçi üniversitesi Bilgin Metin Bey Temel bilgi güvenliği ve kavramlar tarihçesi sunumunu gerçekleştirdi. Sunumda 3 önemli etkenden bahsedildi. Yetişmiş insan, kamu siber güvenlik bilinci, milli yerli güvenlik ürünleri nin sağlanması gerekliliğinden bahsedildi. Sonrasında ise Boğaziçi üniversitesi siber güvenlik merkezi etkinliklerini özetledi.

Anlatım cok zayıf ve basit olarak gerçekleşti beğendiğim bir kaç slayt ve bilgi aşağıda yer almaktadır.

Hash algoritması ve criptolama farklı boyutlarda yer tutar.

Hash boyutu her zaman sabittir

Sonraki sunumda 27001 üzerinden bilgiler verildi.

Varlık risk tehdit zafiyet vs tanımlarını gerçekleştirdi.

İT ve OT güvenliği bahsedildi.

EKS Endüstriyel kontrol sistemleri ile alakalı zafiyetler olduğunu örnekler ile açıkladı.

Bunların müdahale ile alakalı operatörlere bilgi verilmesi gereken sistemlerin geliştirilmesi gerektiği ile ilgili bilgiler verildi.

Scada sistemleri sızma testleri için kullanılan araçlar

Öğleden sonraki sunumda ADEO siber güvenlik uzmanı sunumu ile devam etti.

Sunumda stuxnet nasıl bulaştı verdiği zararlar hakkında bilgi verildi. Saldırganlarin nükleer tesislere saldırmadan önce yapmış olduğu hazırlıkları içeren bir sunumda sonuç olarak çıkarılması gereken ders çalışmış olduğumuz kurum yada destek aldığımiz şirketlerin denetimi ve loglamasinin sağlanması gerektiğini anlıyoruz.
Devamında dragonfly havex gibi virüsler ve exploitler hakkında bilgiler verdi.

BlackEnergy zararlısı ile ilgili de bilgiler verildi. Bulaşma yöntemi ofis dosyası içerisine yerleştirilen bir zeroday ile gerçekleştirildi.

Kritik bir bilgi İT ile OT için kullanılan AD hesapları aynı domainde yada trust domainde olmamalı farklı olmalı ve kullanıcılar 2li kimlik doğrulama yöntemi kullanılarak güvenlik sağlanmalı.

Erişilebilecek sunucularin önüne jump server kurulumu yaparak OT ve IT sunucuları bağlantıları kayıt altına alınarak yetkilendirme yapılabilir.

Yukarıdaki resimde ise IT ve OT yapısı arasındaki ilişkiyi gösteren modelden bahsedildi. Bu model ile zone lar ve içerikleri hakkında bilgiler verildi.

Sunumun devamında ise protokol lerden bahsedildi.

Bunlardan bir tanesi de modbus protokoludur. Bu protokol Clear-text gerçekleştiriliyor. Bu da network dinlendiginde verinin görünebilecegi anlamına geliyor. Bu veri değiştirildiginde ise fonksiyon kodları ile OT sistemlere zarar verilebilir.

Başka bir protokol ise S7 protokolü

Bu da Clear-text bu yüzden güvenlik zayıftı ancak v4 ile kimlik doğrulama geldiği görülüyor

DNP3, OPC protokolleri de yine PLC ler de kullanılabilen protokollerdir.

Saldırganlar ise bu protokol açıklarini kullanıyor

Nasıl mı shodan diye Google in bir sitesi var bize buradan açık olan protokol ler in bilgisini veren bir site

Buradan bir çok arama yaparak güvenlik açığını tespit edebiliriz. Örneğin Turkcell rtu kullanan cihazlarınin telnet in açık olduğunu görebilirsiniz. Buradan bir rüzgar tribünü durdurabilir yada çalışamaz hale getirebilirsiniz.

Halil Bey’in sunumundan sonraki sunumda ise temel EKS güvenlik özelliklerinden basedildi.

Scada sistemleri zayıflıklarından bahsedildi. Burada BT risklerinin tamamı aslında SCADA sistemlerinde de doğrudan yer alıyor.

Sektorde en etkili yasal zorunluluğu EPDK 2014 yılında 27001 zorunluluğu getirerek kritik altyapılarını korumaya yönelik tedbirler almıştır. Bu 2017 yılında yeni bir yönetmelikle detaylandirilmistir.

2. Gün sunumunda Boğaziçi üniversitesi öğretim görevlisi Bilgin Metin beyin sunumu ile başladı.

Kritik altyapıları operatör lerinin nasıl çalışmasınin gerekliliği ile ilgili Avrupa birliği NİS direktifleri yayımlamıştir.

Bu direktifler kişisel verilerin güvenliği ile alakalı yasalar ile uyumlu çalışmaktadır.

NİS direktifleri 22301 standartları ile de uyumlu sürdürülmesi gerekiyor.

Sonraki sunumda denetik firmasından Adnan Karataş 27019 standartları hakkında bilgiler verdi.

Firma tanıtımı ve temel bilgi güvenliği tanımlarınin yapıldığı bir sunum gerçekleştirildi. Bilgi nedir Güvenlik nedir Yönetim Nedir vs.

Sonraki

Sonraki sunumda 27000 standartları ile ilgili bilgiler verildi. Hangi konular hangi standart içerisinde bunlar anlatıldı.

126 madde bulunmaktadır 27001 sürecinde ancak uygulanabilirlik bildirgesinde biz bu minimum süreci tamamladıktan sonra ekstra maddeler ekleyebiliriz.

Be Sociable, Share!

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir