2. Dijital Dünyada Siber Risk Yönetimi
Ali Kutluhan AKTAŞ
KKB Kredi Kayıt Bürosu
Bilgi Güvenliği Yöneticisi
3. KKB – Kredi Kayıt Bürosu
– 11 Nisan 1995 Yında kamu ve özel Bankaların ortaklığında kuruldu
• 9 Kurucu Ortak
• Finansal Risk Yönetimi
• Başlıca Hizmetlerimiz
4. Lloyd City Risk Index
2015 2025
– Avarage Annual GDP
– $37.26trn
– Total GDP @risk $4.56trn
(18 Threats)
Siber Ataklar
– 301 Şehir $294.15bn
– Istanbul $2.31bn
Ekonomik Suçlar * PwC Survey
– 2-Siber Suçlar %32
6. • Ocak 2016 : CEO ‘dan geliyormuş izlenimi ile finans birimine bir eposta gönderilir
• Epostada sahte CEO, firmanın Çin’deki satın almasıyla ilgili bir dizi para transferi
yapılmasını ister.
• Finans birimi toplam 50Milyon € tutarındaki transferleri gerçekleştirir.
• Şubat 2016: Bu olay nedeniyle transferi gerçekleştiren ilgili çalışan, çalışanın
yöneticisi ve CFO ‘nun firma ile ilişiği kesilir
• Mayıs 2016: Gerekli kontrol ortamını yaratmadığı için yönetim kurulu tarafından
CEO’nun işine işine son verilir.
Oyun bitince, şah da piyon da aynı kutuya konur. A.Puşkin
Ex-Ceo Walter Stephan
Siber Risklerden doğan Finansal Riskler : FACC AG
7. Siber Risklerden doğan Finansal Riskler : Nesnelerin
• www.insecam.org - ‘Internet Security Cameras Project’
• Şifresi default bırakılmış güvenlik kameraları.
• Üniversiteler, limanlar, ev, sokak kameraları vs.
• 2500 IP kamera ile Amerika’dan sonra ikinci sırada Türkiye bulunuyor.
İnternetiFelaketi
8. Siber Risklerden doğan Finansal Riskler : Nesnelerin İnternetiFelaketi
• Ekim Ayında Internet tarihinin en büyük (1Tbps) DDOS saldırısına tanık olundu
• Twitter, the Guardian, Netflix, Reddit, CNN gibi internet sitelerine erişim bağlantısı sağlanamadı.
• Hedefte bu sitelere DNS hizmeti sunan DYN firması bulunuyordu.
• Uzmanlar saldırılan büyük oranda default/hardcoded şifrelere sahip güvenlik kameralarının
kullanılarak gerçekleştirildiğini tespit etti
9. Bir Anket: Sonatype DevSecOps Anketi: Mart 2017 / 2300 Katılımcı
Siber Risk Yönetimi:Uygulama Güvenliğinde Devops’tan DevSecOps’a
10. Would it surprise you to know that 80% of a
typical application is now assembled from
open source components and frameworks?
NEDEN?
Siber Risk Yönetimi:Uygulama Güvenliğinde Devops’tan DevSecOps’a
13. Siber Risk Yönetimi –Bir Zaafiyet, Bir Uygulama ve Bir Banka
• New Apache Struts2 CVE-2017-5638 Vulnerability
• https://d**inet.*****.es/b*****o/
Apache Struts 2 Zaafiyeti
>Yayınlanma Tarihi: 6 Mart 2017
>Exploit Yayınlanma : 7 Mart 2017
>Uygulama Patch : 10 Mart 20:00 PM
>Hacklenme Tarihi : 10 Mart 22:00 PM
14. Siber Risk Yönetimi - İhtiyaçlar
İstihbarat paylaşımı
– Zaafiyetler ve yeni çıkan açıklıkların takibi
– Zararlı IP Adresleri(C&C) ,
– Zararlı Alan Adları,
Sürekli İzleme ihtiyacı
– Siber Olaylara Müdahale Ekipleri & Planları
– Anomali Tespiti
15. Siber Risk Yönetimi - İhtiyaçlar
Kaynak ve yetkinlik problemi
– Güvenlik Analisti (Güvenlik İzleme)
– Big Data Analisti (Predictive İzleme)
– Sızma Testi Uzmanı (Pentest)
– Zararlı Yazılım Uzmanı
Yazılım Güvenliği
– Dinamik ve Statik Taramalar
– Mobil Uygulama Güvenliği
– Yazılım Sızma Testleri
– Üretim Ortamları Hijyeni (Prodcution Hygiene)
Kriz Yönetimi
– Olay Yönetimi
– İş Sürekliliği