SlideShare uma empresa Scribd logo

Web Uygulamalarında Risk Yönetimi ve Değerlendirme

Erkan Başavcı
Erkan Başavcı

Internet/Intranet Web Uygulamaları Altyapısı için NIST ölçütlerine göre Risk Yönetim ve Değerlendirme Dokümanı

Tecnologia
1 de 25
Internet/Intranet Web Uygulamaları Altyapısı için Risk Yönetim ve Değerlendirme Dokümanı NIST (Amerikan ölçüm ve değerlendirme standartları kurumu) prensiplerine göre hazırlanmıştır.
NIST Risk Assessment Guide ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Örnek Sistem - Donanım ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Örnek Sistem - Yazılım ,[object Object],[object Object],[object Object],[object Object],[object Object]
Sistem Arayüz ve Veri Erişimi ,[object Object]
Uygulama güvenliği
Uygulama Mimarisi ,[object Object],[object Object],[object Object]
Uygulama Erişim Yetkilendirmeleri ,[object Object],[object Object],[object Object],[object Object]
Veritabanı Erişimi
Topoloji ve Altyapı ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Yönetimsel Araç ve Kontroller ,[object Object],[object Object],[object Object]
Yapılandırma ,[object Object],[object Object],[object Object],[object Object]
Yedekleme ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
IIS Güvenliği ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Sistem Kullanıcıları ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Sistem Güvenlik Politikaları ,[object Object],[object Object],[object Object]
Sistem Güvenlik Mimarisi ,[object Object],[object Object],[object Object],[object Object],[object Object]
Tehditleri Tanımlama ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Zaafiyetleri Tanımlama ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Kontrol Analizi ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Olasılık Tespiti ve Tanımlaması Olay Etki Olay Etki Doğal Felaket Doğal felaketler sonucu sistemin kullanım dışı kalması ve/veya servisin ulaşım dışı olması (örneğin deprem, sel, vb.) Deprem, sel gibi doğal felaketler İşlemlerde kesinti yaşanabilir İnsan Hatası Personel hatası yüzünden meydana gelebilecek herhangi bir olay (yanlış konfigürasyon, işlemsel hatalar, kazalar vb.) Güvenlik araçlarının yanlış konfigürasyonu Kurumsal yerel ağına, kurumsal verilere ve sistemlere yetkisiz erişim. Gizlilik ihlali, bütünlüğün bozulması, erişilememe durumları. Veri/işlem güvenliğini tehlikeye sokacak kötü niyet/sabotaj (Daha önceki) çalışanlar ve/veya harici kişiler tarafından yapılan kasıtlı hareketlerden kaynaklanan kayıplar. Örneğin gizlice dinleme, hırsızlık, belgeleri ele geçirme. - Kritik kurumsal verilere kötü niyetli erişim - Ağ trafiğinin dinlenmesi - Saklanan kritik kurumsal bilgilerinin gizliliğinin bozulması - Şifre veya diğer gizli bilgiler ağ üzerinde dinlenebilir
Olasılık Tespiti ve Tanımlaması Olay Etki Olay Etki Veri/işlem bütünlüğünü tehlikeye sokacak kötü niyet/sabotaj Şirket içindeki veya dışındaki kişiler tarafından yapılan veri/işlem bütünlüğünü tehlikeye düşürmeye yönelik sahtekârlık, işlemlerin değiştirilmesi gibi kasıtlı hareketler Saklanan kritik kurumsal verilere kötü niyetli erişim Kurumsal verilerin silinmesi. Veri/işlem erişilebilirliğini tehlikeye sokacak kötü niyet/sabotaj Şirket içindeki veya dışındaki kişiler tarafından yapılan veri/işlem/servis erişilebilirliğini tehlikeye düşürmeye yönelik kasıtlı hareketler Saklanan kritik kurumsal verilere kötü niyetli erişim Verilere erişilememe durumu Dahili fiziksel olay (kablolama, yangın vb.) Potansiyel işletim sorunlarıyla (erişilebilirlik, bütünlük) sonuçlanan fiziksel altyapı olayları Tesis ve ekipmanları etkileyen zararlar Veri ve donanıma kalıcı zarar
Etki Analizi
Risk Azaltma Stratejisi ,[object Object],[object Object],[object Object],[object Object]
Risk Azaltma Tedbirleri ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Recomendados

Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarAlper Başaran
 
Olay Mudahale ve EDR
Olay Mudahale ve EDROlay Mudahale ve EDR
Olay Mudahale ve EDRAlper Başaran
 
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...CypSec - Siber Güvenlik Konferansı
 
APT Eğitimi Sunumu
APT Eğitimi Sunumu APT Eğitimi Sunumu
APT Eğitimi Sunumu Alper Başaran
 
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıAlper Başaran
 
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Alper Başaran
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikAlper Başaran
 
Web Uygulama Güvenliği
Web Uygulama GüvenliğiWeb Uygulama Güvenliği
Web Uygulama GüvenliğiMesut Güngör
 

Recomendados

Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarAlper Başaran
 
Olay Mudahale ve EDR
Olay Mudahale ve EDROlay Mudahale ve EDR
Olay Mudahale ve EDRAlper Başaran
 
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...CypSec - Siber Güvenlik Konferansı
 
APT Eğitimi Sunumu
APT Eğitimi Sunumu APT Eğitimi Sunumu
APT Eğitimi Sunumu Alper Başaran
 
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıAlper Başaran
 
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Alper Başaran
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikAlper Başaran
 
Web Uygulama Güvenliği
Web Uygulama GüvenliğiWeb Uygulama Güvenliği
Web Uygulama GüvenliğiMesut Güngör
 
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıCypSec - Siber Güvenlik Konferansı
 
Heybe Pentest Automation Toolkit - Sec4U
Heybe Pentest Automation Toolkit - Sec4U Heybe Pentest Automation Toolkit - Sec4U
Heybe Pentest Automation Toolkit - Sec4U Bahtiyar Bircan
 
Tedarikci siber risk_giris
Tedarikci siber risk_girisTedarikci siber risk_giris
Tedarikci siber risk_girisAlper Başaran
 
APT Saldırıları
APT SaldırılarıAPT Saldırıları
APT SaldırılarıAlper Başaran
 
Siber güvenlik ve hacking
Siber güvenlik ve hackingSiber güvenlik ve hacking
Siber güvenlik ve hackingAlper Başaran
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriPRISMA CSI
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA Cyber Security
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma SaldırılarıBeyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma SaldırılarıPRISMA CSI
 
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)PRISMA CSI
 
Microsoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarMicrosoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarAdeo Security
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıMustafa
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Güvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaGüvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaBGA Cyber Security
 
Hackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi GüvenliğiHackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi GüvenliğiBGA Cyber Security
 
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma TeorisiBGA Cyber Security
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıBGA Cyber Security
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOCSerkan Özden
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiEmre ERKIRAN
 

Mais conteúdo relacionado

Mais procurados

Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıCypSec - Siber Güvenlik Konferansı
 
Heybe Pentest Automation Toolkit - Sec4U
Heybe Pentest Automation Toolkit - Sec4U Heybe Pentest Automation Toolkit - Sec4U
Heybe Pentest Automation Toolkit - Sec4U Bahtiyar Bircan
 
Tedarikci siber risk_giris
Tedarikci siber risk_girisTedarikci siber risk_giris
Tedarikci siber risk_girisAlper Başaran
 
Siber güvenlik ve hacking
Siber güvenlik ve hackingSiber güvenlik ve hacking
Siber güvenlik ve hackingAlper Başaran
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriPRISMA CSI
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma SaldırılarıBeyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma SaldırılarıPRISMA CSI
 
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)PRISMA CSI
 
Microsoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarMicrosoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarAdeo Security
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıMustafa
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Güvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaGüvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaBGA Cyber Security
 
Hackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi GüvenliğiHackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi GüvenliğiBGA Cyber Security
 
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma TeorisiBGA Cyber Security
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıBGA Cyber Security
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOCSerkan Özden
 

Mais procurados (20)

Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
 
Heybe Pentest Automation Toolkit - Sec4U
Heybe Pentest Automation Toolkit - Sec4U Heybe Pentest Automation Toolkit - Sec4U
Heybe Pentest Automation Toolkit - Sec4U
 
Tedarikci siber risk_giris
Tedarikci siber risk_girisTedarikci siber risk_giris
Tedarikci siber risk_giris
 
APT Saldırıları
APT SaldırılarıAPT Saldırıları
APT Saldırıları
 
Siber güvenlik ve hacking
Siber güvenlik ve hackingSiber güvenlik ve hacking
Siber güvenlik ve hacking
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
 
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma SaldırılarıBeyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
 
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
 
Microsoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarMicrosoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif Saldirilar
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Güvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaGüvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi Toplama
 
Hackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi GüvenliğiHackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi Güvenliği
 
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
 

Semelhante a Web Uygulamalarında Risk Yönetimi ve Değerlendirme

Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiEmre ERKIRAN
 
Scada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLATScada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLATÇağrı Polat
 
Information security Bilgi Guvenligi
Information security Bilgi GuvenligiInformation security Bilgi Guvenligi
Information security Bilgi GuvenligiBilal Dursun
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
 
Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇
Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇
Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇Kamuran Özkan
 
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo SunumAruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo SunumÖzden Aydın
 
Bilgi güvenlik uygulamaları
Bilgi güvenlik uygulamalarıBilgi güvenlik uygulamaları
Bilgi güvenlik uygulamalarıMusa BEKTAŞ
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temellerieroglu
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temellerieroglu
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATÇağrı Polat
 
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerIlkin Azizov
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux Burak Oğuz
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feedsDoukanksz
 
MS Forefront Güvenlik Ailesi
MS Forefront Güvenlik AilesiMS Forefront Güvenlik Ailesi
MS Forefront Güvenlik AilesiÇözümPARK
 
Akbal Verikaydi Sunum
Akbal Verikaydi SunumAkbal Verikaydi Sunum
Akbal Verikaydi Sunumeroglu
 
Akbal Verikaydi Sunum
Akbal Verikaydi SunumAkbal Verikaydi Sunum
Akbal Verikaydi Sunumeroglu
 
Kritik Altyapıların Güvenliği
Kritik Altyapıların GüvenliğiKritik Altyapıların Güvenliği
Kritik Altyapıların GüvenliğiRumeysa Bozdemir
 

Semelhante a Web Uygulamalarında Risk Yönetimi ve Değerlendirme (20)

Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
 
Güvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve YazılımlarıGüvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve Yazılımları
 
Scada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLATScada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLAT
 
Information security Bilgi Guvenligi
Information security Bilgi GuvenligiInformation security Bilgi Guvenligi
Information security Bilgi Guvenligi
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
 
Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇
Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇
Bi̇li̇şi̇m Si̇stemleri̇nde Güvenli̇k Sorunları ve Önlemleri̇
 
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo SunumAruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
 
Bilgi güvenlik uygulamaları
Bilgi güvenlik uygulamalarıBilgi güvenlik uygulamaları
Bilgi güvenlik uygulamaları
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLAT
 
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemler
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
 
MS Forefront Güvenlik Ailesi
MS Forefront Güvenlik AilesiMS Forefront Güvenlik Ailesi
MS Forefront Güvenlik Ailesi
 
Akbal Verikaydi Sunum
Akbal Verikaydi SunumAkbal Verikaydi Sunum
Akbal Verikaydi Sunum
 
Akbal Verikaydi Sunum
Akbal Verikaydi SunumAkbal Verikaydi Sunum
Akbal Verikaydi Sunum
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım Güvenliği
 
Kritik Altyapıların Güvenliği
Kritik Altyapıların GüvenliğiKritik Altyapıların Güvenliği
Kritik Altyapıların Güvenliği
 

Web Uygulamalarında Risk Yönetimi ve Değerlendirme

  • 1. Internet/Intranet Web Uygulamaları Altyapısı için Risk Yönetim ve Değerlendirme Dokümanı NIST (Amerikan ölçüm ve değerlendirme standartları kurumu) prensiplerine göre hazırlanmıştır.
  • 2.
  • 3.
  • 4.
  • 5.
  • 7.
  • 8.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21. Olasılık Tespiti ve Tanımlaması Olay Etki Olay Etki Doğal Felaket Doğal felaketler sonucu sistemin kullanım dışı kalması ve/veya servisin ulaşım dışı olması (örneğin deprem, sel, vb.) Deprem, sel gibi doğal felaketler İşlemlerde kesinti yaşanabilir İnsan Hatası Personel hatası yüzünden meydana gelebilecek herhangi bir olay (yanlış konfigürasyon, işlemsel hatalar, kazalar vb.) Güvenlik araçlarının yanlış konfigürasyonu Kurumsal yerel ağına, kurumsal verilere ve sistemlere yetkisiz erişim. Gizlilik ihlali, bütünlüğün bozulması, erişilememe durumları. Veri/işlem güvenliğini tehlikeye sokacak kötü niyet/sabotaj (Daha önceki) çalışanlar ve/veya harici kişiler tarafından yapılan kasıtlı hareketlerden kaynaklanan kayıplar. Örneğin gizlice dinleme, hırsızlık, belgeleri ele geçirme. - Kritik kurumsal verilere kötü niyetli erişim - Ağ trafiğinin dinlenmesi - Saklanan kritik kurumsal bilgilerinin gizliliğinin bozulması - Şifre veya diğer gizli bilgiler ağ üzerinde dinlenebilir
  • 22. Olasılık Tespiti ve Tanımlaması Olay Etki Olay Etki Veri/işlem bütünlüğünü tehlikeye sokacak kötü niyet/sabotaj Şirket içindeki veya dışındaki kişiler tarafından yapılan veri/işlem bütünlüğünü tehlikeye düşürmeye yönelik sahtekârlık, işlemlerin değiştirilmesi gibi kasıtlı hareketler Saklanan kritik kurumsal verilere kötü niyetli erişim Kurumsal verilerin silinmesi. Veri/işlem erişilebilirliğini tehlikeye sokacak kötü niyet/sabotaj Şirket içindeki veya dışındaki kişiler tarafından yapılan veri/işlem/servis erişilebilirliğini tehlikeye düşürmeye yönelik kasıtlı hareketler Saklanan kritik kurumsal verilere kötü niyetli erişim Verilere erişilememe durumu Dahili fiziksel olay (kablolama, yangın vb.) Potansiyel işletim sorunlarıyla (erişilebilirlik, bütünlük) sonuçlanan fiziksel altyapı olayları Tesis ve ekipmanları etkileyen zararlar Veri ve donanıma kalıcı zarar
  • 24.
  • 25.