Çevrimdışı

1. Yeni Dönem Güvenlik Tehditleri Bilişim Güvenliğinde Odak Değişiklikleri

2. Sunum Planı Değişen Saldırgan Motivasyonu Değişen Tehditler Savunma Stratejisini Doğru Biçimde Yapılandırmak

3. Değişen Saldırgan Motivasyonu Saldırılar eskisi gibi şan-şöhret için gerçekleştirilmiyor Hedef: sıcak para Yeni zafiyetlerin keşfini yapan, ilgili saldırı araçlarını geliştirip satan sanal “silah tüccarları ” oluştu Bilişim suçları bir “yeraltı endüstrisi” haline geldi

4. Politik Amaçlı Saldırılar Artıyor…

5. Savaşlar Ortam Değiştiriyor Filistin - İsrail İran – ABD Hindistan ve Pakistan-Suriye

6. Uygulama-Merkezli Saldırılar Saldırılar giderek ağ-odaklı olmaktan uygulama-odaklı olmaya doğru kayıyor Ağ ve sistem düzeyinde alınması gereken önlemler öğrenildi “ Doğru” uygulama geliştirmeyi bilen çok az ekip var Yazılım ekipleri için “ eğitim şart ”

7. Tersine Mühendislik ile Keşif Yamaların analizi artan biçimde kullanılıyor Yamanın tersine-mühendisliği ile zafiyet detayları öğrenilebiliyor Zafiyet nerede? Hangi koşullarda geçerli? Nasıl zarar verilir? Yama problemi nasıl gideriyor? Yamadan “öğrenen” saldırganlar henüz yamanmamış sistemlere saldırabiliyor

8. Güvenli Bağlantılardan Saldırılar Dış kaynaklı saldırılar yalnızca İnternet üzerinden gelmiyor Kurumlar arası VPN, kiralık hat vb. de bir saldırı kanalı haline gelmeye bağladı Büyük kuruluşa saldıramayan, onunla yoğun e-iş ilişkisi bulunan iş ortakları kanalından sızmaya çalışıyor İç ve dış ağ ayrımı kalmadı Bağlandığımız her iş ortağı ağımızın bir parçası haline geliyor Çalışanlara güven giderek azalıyor

9. Kablosuz Ağlar ve Riskleri Bluetooth ve WLAN ağ sınırlarının belirlenmesini iyice güçleştiriyor Yanlış ya da zayıf bir konfigürasyon ile ağınıza dışarıdan sızılması işten bile değil Kuruluşunuza ait bir cihaza “dışarıdayken” saldırmak mümkün

10.Spesifikasyonlara Güvenmeyin! Kablosuz ağlar standardında belirlenenden çok daha uzağa erişebiliyor

11. Uç-Sistemlere Yönelik Saldırılar Neden uç-sistemlere saldırılıyor? Sunuculardan çok daha fazla uç-sistem var Uç sistemler yalnızca PC’ler değil PDA, smart-phone ve laptop Uç sistemlerin korunması için çok daha az çaba var; korumanın maliyeti daha yüksek Tespit edilen yeni zafiyetlerin %60’ı uç sistemleri etkiliyor IE , Flash, Media Player, Windows vb. Uç sistemler üzerinde de kıymetli veriler var

12. Gelişen Worm Teknolojisi Otonom biçimde çalışan solucanlar çok hızlı gelişiyorlar Yarının “flash worm”’ları <2s içerisinde 1.000.000 zayıf sistemi tespit edip ele geçirebilecekler

13. Spam ve Phishing İnternetteki tüm e-posta trafiğinin %70-80’i spam haline geldi

14. Güncel Güvenlik Yaklaşımı Güvenlik sonradan eklenemiyor Güvenlik, tüm sistem geliştirme ve işletim aktivitelerinin bir parçası olmak zorunda Sistematik bir yaklaşım zorunlu hale geldi Spontane güvenlik yatırımları çözüm sağlamıyor Teknoloji-odaklı bir yaklaşımdan iş-odaklı bir yaklaşıma geçiş

15. Uç Sistem Güvenliği Uç sistem güvenliğinde Host FW ve IPS’ler Anti-malware Politika uygunluk denetimi Güncelleme yönetimi standart koruma paketi haline ulaştı Disk şifreleme

16. Regülasyonlar ve Standartlar Güvenlik ile doğrudan ilintili regülasyonlar artıyor PCI, COBIT, SOX ISO/IEC-27001 ve ISO/IEC-17799 standartları Regülasyonların beklentilerini karşılamak için temel başlangıç noktası Planlı, sistematik bir güvenlik için kılavuz

17. Zincirin Zayıf Halkası: İnsan İnsan Süreç Teknoloji GÜVENLİK

18. Özet ve Sonuç Bilişim sistemlerinin uygunsuz biçimde kullanımı ciddi bir yer altı endüstrisi haline geliyor Saldırganlar her geçen gün Yeni Öncekilerden daha gelişmiş Birden fazla farklı tekniği bir arada kullanan saldırı araçları geliştiriyor ve kullanıyorlar Saldırıların önemli bir bölümü “teknik” değil Dünyanın öteki ucunda keşfedilen yeni bir zafiyetten birkaç dakika içerisinde etkilenmek mümkün hale geldi

19. Özet ve Sonuç - 2 Saldırılar ağ-odaklı olmaktan uygulama-odaklı olmaya doğru kayıyor Yeni ve beklenmedik saldırılar ile mücadele edebilmek için İş-gereksinimleri çerçevesinde oluşturulmuş bir bilgi güvenliği stratejisinin oluşturulması ISO-17799/27001 tarafından sağlanan güvenlik yönetim çerçevesinin kurum ihtiyaçlarına adaptasyonu ile kullanımı bir iş önceliği haline gelmiş durumdadır

20. Güvenliğiniz Geleceğinizdir…