SlideShare uma empresa Scribd logo

Kritik Altyapıların Güvenliği

Transferir como PPTX, PDF
R
Rumeysa Bozdemir

Kritik Altyapılar Kritik Enerji Altyapıları SCADA Sistemleri Kritik Altyapılara Karşı Yapılan Saldırılar Saldırı ve Zafiyetlerin İstatistik Değerleri Kritik Altyapılara Karşı Alınması Gereken Asgari Önlemler

Tecnologia
1 de 42
Kritik Altyapıların Güvenliği Rumeysa Bozdemir C|EH, ISO 27001 Lead Auditor rumeysabozdemir@gmail.com
Kritik Altyapıların Korunması • Kritik altyapı terimi ilk defa Ekim 1997 tarihli Amerika Birleşik Devletleri Başkanlık Komisyonu’nun «Kritik Altyapıların Korunması» Hakkında raporda kullanılmıştır. • Ülkemizin siber güvenliğinin sağlanması konusunda "Siber Güvenlik Kurulu" oluşturulmuştur. Bu kurulun ilk toplantısında "Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı" kabul edilmiş ve 20 Haziran 2013 tarihinde Bakanlar Kurulu Kararı olarak yayımlanmıştır. • Eylem planının 5 numaralı maddesinde Siber Güvenlik Kurulu'nca ülkemizin kritik altyapıları bilgi güvenliği kapsamında ilk etapta "Ulaşım, Enerji, Elektronik Haberleşme, Finans, Su Yönetimi, Kritik Kamu Hizmetleri" olarak belirlenmiştir. Ekmeğini tuştan çıkaran kız! 2
Enerji Kritik Altyapıları • Kurumsal Bilişim Sistemleri(KBS) • Masaüstü bilgisayarlar, • Dosya, uygulama, veri tabanı, e-posta sunucuları vb. • Endüstriyel Kontrol Sistemleri(EKS) • SCADA (Veritabanlı Merkezi Kontrol ve Gözetleme Sistemi) • DCS (Dağınık Kontrol Sistemleri) Ekmeğini tuştan çıkaran kız! 3
Enerji Kritik Altyapıları Endüstriyel Kontrol Sistemleri SCADA Sistemleri Dağınık Kontrol Sistemleri Ekmeğini tuştan çıkaran kız! 4
Enerji Kritik Altyapıları Ekmeğini tuştan çıkaran kız! SCADA Sistemleri • Elektrik İletim ve Dağıtım Sistemleri • Doğal Gaz ve Petrol Boru Hatları • Doğal Gaz Dağıtım Sistemleri Dağınık Kontrol Sistemleri • Elektrik Santralleri • Petrol Rafinerileri 5
Dağınık Kontrol Sistemleri (DCS) - SCADA • DCS ve SCADA uzaktan ölçüm yapan telemetri sistemleridir. • Telemetri kablosuz haberleşme anlamına gelmektedir. Bunların en yoğun kullanılanları Radio modem cihazları, GSM GPRS, VSAT (Uydu İnterneti) uydu sistemleridir. • DCS(Dağınık Kontrol Sistemleri) veri elde edilmesi, kontrol ünitelerinin daha kapalı mekanlarda konumlandırılması ve iletişimin yüksek hızda LAN bağlantısıyla gerçekleştirilmesi yönüyle SCADA’dan farklılık gösterir. • SCADA sistemi geniş bir coğrafyaya yayılan farklı konumlardaki süreçleri, DCS tek bir konumdaki farklı noktalara yayılan süreçleri izleme ve yönetme görevi üstlenmektedir. Ekmeğini tuştan çıkaran kız! 6
SCADA (Supervisory Control and Data Acquisition) SCADA’nın temel mantığı tüm üretim aşamalarının tek merkezden gözlenmesi, denetlenmesi, veri toplanması-raporlanması ve ünitelerin kontrol edilebilmesidir. Sağladığı bu özelliklerden dolayı büyük kullanım alanına sahiptir. SCADA Sistemlerinin Başlıca Özellikleri • Grafik Arayüz • İzleme Sistemi • Alarm Sistemi • Veri Toplama • Analiz ve Raporlama Sistemleridir. Ekmeğini tuştan çıkaran kız! 7
SCADA (Supervisory Control and Data Acquisition) SCADA sisteminde MTU’lar; (Master Terminal Unit / Ana Kontrol Merkezi AKM) ana kontrol merkezleridir. SCADA üç temel bölümden oluşmaktadır. Bunlar; • Üretimde kullanılan PLC’ler (programlanabilir mantıksal denetleyiciler, yüksek hızlı küçük mikroişlemciler), ölçme sistemlerinin bağlandığı IED’ler (akıllı gömülü sistemler), ve RTU’lar (sahadan ölçüm bilgisi toplama birimleri) • Üretim alanı ile kontrol merkezi arasında bilgi alışverişini sağlayan, bakır, fiber ya da telsiz bağlantıları kullanan haberleşme ağı • Kontrol merkezinde kontrol ve bilgi depolama işlemini yapan bilgisayarlar, yazılımlar, grafik ekran sistemleri ve iletişim cihazları Ekmeğini tuştan çıkaran kız! 8
SCADA (Supervisory Control and Data Acquisition) Ekmeğini tuştan çıkaran kız! Denetim Merkezi • PC, İzleme Ekranları, Haberleşme Cihazları Veri İletişim Ağı Üretim Alanındaki Ölçme ve Kontrol Ekipmanları 9
SCADA Mimarisi • Birinci Nesil Monolitik • İkinci Nesil Dağıtık (Distributed) • Üçüncü Nesil Ağ Tabanlı (Networked) olarak üç nesle ayırmak mümkündür. Ekmeğini tuştan çıkaran kız! 10
SCADA Mimarisi Birinci Nesil Monolitik Bir yazılım sisteminde fonksiyonel olarak birbirinden ayrılabilecek, veri giriş ve çıkışı, kullanıcı arayüzü ve veri işleme gibi özelliklerin, mimari olarak aynı yapıda bulunduğu sistemdir. Ekmeğini tuştan çıkaran kız! 11
SCADA Mimarisi İkinci Nesil Dağıtık (Distributed) • Dağıtık programlama, bir bilgisayar ile çözebileceğiniz bir sorunu birden fazla bilgisayar kullanarak çözmeye çalışma sanatıdır. • Bu büyük ağ da bulunan donanımlar kullanıcıya tek bir bilgisayar gibi davranır ve en iyi performansı sağlamayı amaçlar. • Dağıtık sistemlerin önemli bir amacı ise, kaynakları paylaşmaya duyulan gerekliliktir. Bu kaynaklar donanımsal bileşenler (HDD, yazıcı) olabileceği gibi, dosyalar, veri tabanı, gibi servislerdir. Ekmeğini tuştan çıkaran kız! 12
SCADA Mimarisi Üçüncü Nesil Ağ Tabanlı (Networked) • Ağda yer alan üçüncü nesil cihazları kapsıyor. (Access Point vb.) Ekmeğini tuştan çıkaran kız! 13
SCADA Haberleşme Protokolleri SCADA sistemleri, MTU ve bir veya daha fazla RTU’lar arasında iletişim kurmak için kullanılan açık veya özel haberleşme protokollerini kullanarak tasarlanmıştır. SCADA protokolleri alt istasyon bilgisayarlarının, RTU’ların, IED’lerin ve MTU’ların birbiriyle haberleşmesi için transmisyon özelliklerini sağlar. En çok kullanılan SCADA haberleşme protokolleri aşağıdaki gibidir: • DNP3 (Distributed Network Protocol Version 3.0) • Modbus • Profinet Ekmeğini tuştan çıkaran kız! 14
DNP3 IEC-1815 DNP3 Specific TCP / UDP IP Data Link Multiple (e.g.:Ethernet) Ekmeğini tuştan çıkaran kız! 15
OSI Referans Modeli Application (Uygulama) HTTP, HTTPS, SMTP, FTP, TFTP, UUCP, NTP, SSL, SSH, IRC, SNMP, SIP, RTP, Telnet… Presentation (Sunum) ISO 8822, ISO 8823, ISO 8824, ITU-T T.73, ITU- T X, 409… Session (Oturum) SMB, ISO 8326, NFS, ISO 8327, ITU-T T, 6299… Transport (Ulaşım) TCP, UDP… Network (Ağ) IP, IPv4, IPv6, ICMP, ARP … Data Link (Veri) Ethernet, HDLC, Wi-Fi, Token ring… Physical (Donanım) ISDN, RS 232, EIA- 422, RS 449, EIA- 485, Fiber Optik… Ekmeğini tuştan çıkaran kız! 16
SCADA Haberleşme Protokolleri Ekmeğini tuştan çıkaran kız! 17 IEC-1815 DNP3 Specific TCP / UDP IP Data Link Multiple (e.g.:Ethernet) Application (Uygulama) Presentation (Sunum) Session (Oturum) Transport (Ulaşım) Network (Ağ) Data Link (Veri) Physical (Donanım)
SCADA (Supervisory Control and Data Acquisition) En çok kullanılan SCADA yazılımları; • WinCC • Citect • ICONICS • iFIX • Indusoft • Entivity Studio Ekmeğini tuştan çıkaran kız! 18
SCADA Sistemlere Yönelik Tehditler SCADA-IT arası haberleşmede standart IT veri iletimi protokolleri (Modbus RTU, RP-570, Profi-Bus, Can-Bus ) kullanılmaktadır. Bu zayıflıkların bir sonucu olarak SCADA sistemleri de birçok IT tehdidinin etki alanı içine girmektedir. • Ülkeler ve gizli servisler • Organize suç örgütleri • Rakip şirketler • Genel ya da özel amaçlar için üretilmiş zararlı yazılımlar (virüs, solucan, truva atı vs.) • Politik amaçlarla hareket eden gruplar • Çevreci amaçlarla hareket eden gruplar • Eğlence ya da ün kazanmak amacıyla saldırı düzenleyen bireyler • Şirketten ayrılmış ve şirketle uyuşmazlık içinde bulunan personel • Çalışmakta olan şirket personeli Ekmeğini tuştan çıkaran kız! 19
SCADA Haberleşme Protokollerinin Ülkere Dağılımları 1% 43% 12% 5% 4% 3% 32% Türkiye ABD Çin Fransa Hong Kong İngiltere Diğerleri Ekmeğini tuştan çıkaran kız! 20
SCADA Haberleşme Protokollerinin Dağılım Oranları 5% 30% 50% 15% DNP3 EtherNetIP Modbus Profinet Ekmeğini tuştan çıkaran kız! 21
SCADA’ya Yönelik Saldırılar ve Etkileri Fiziksel Etki: SCADA sisteminin işlevsiz kalmasının sonuçları bu alanda değerlendirilir. Bu etkinin en önemli sonucu insan hayatını tehlikeye atacak sonuçlarının olmasıdır. Diğer sonuçlarında veri kaybı ve çevreye olan zararlarıdır. Ekonomik Etkileri: Ekonomik etkiler siber saldırıdan sonra ortaya çıkar. Fiziksel etkinin dalgalanma etkisi tesis veya firmada ciddi ekonomik kayıpları beraberinde getirir. Daha büyük etkisi yerel, ulusal hatta küresel ekonomi üzerinde ekonomik kayıplara neden olmasıdır. Sosyal Etkileri: Fiziksel ve ekonomik hasarların sonucu kamu güveni ve ulusal güvenliğin zarar görmesi olacaktır. Sosyal etkiler kamu güvenliğini depresif bir hale getirebilir ya da popüler aşırılığın artmasına sebep olabilir. Ekmeğini tuştan çıkaran kız! 22
Güvenlik Açığının Yıllara Göre Dağılımı Ekmeğini tuştan çıkaran kız! 23
SCADA Sistemi Güvenlik Açıkları Ulusal SCADA Test Düzeneği’ne (NSTB) göre gözlemlenen güvenlik açıklarının çeşitlerine göre yüzdeleri verilmiştir. Ekmeğini tuştan çıkaran kız! 43% 16% 11% 8% 8% 7% 7% Haberleşme Uç Nokta Güvenlik Açığı Haberleşme Kanalı Güvenlik Açığı SCADA Ağ Erişim Kontrol Açığı Yayınlanmayan Güvenlik Açığ Yetkilendirme Güvenlik Açığı Yayınlanan Güvenlik Açığı SCADA Kimlik Doğrulama Açığı 24
SCADA Sistemi Güvenlik Açıkları • Kaynak Kod Tasarımı ve Uygulaması • Bellek Taşırma (Buffer Overflow) • SQL Enjeksiyonu • XSS (Cross Site Scripting) Açığı • Gereksiz Portlar ve Servisler • Etkili Yama Yönetimi Uygulaması • Haberleşme Kanalı Güvenlik Açıkları • Haberleşme Protokollerinin Açıklıkları Ekmeğini tuştan çıkaran kız! 25
SCADA Sızma Testinde Kullanılan Bazı Araçlar 1. SHODAN Arama Motoru 2. Wireshark Ağ Analiz Programı 3. NMAP Ağ Tarama Aracı 4. Plcscan Aracı 5. SNMP-CHECK 6. Metasploit Framework Ekmeğini tuştan çıkaran kız! 26
SHODAN Arama Motoru Ekmeğini tuştan çıkaran kız! 27
Ekmeğini tuştan çıkaran kız! Wireshark Ağ Analiz Programı 28
Ekmeğini tuştan çıkaran kız! NMAP Ağ Tarama Aracı 29
Ekmeğini tuştan çıkaran kız! Plcscan Aracı 30
Ekmeğini tuştan çıkaran kız! SNMPCHECK 31
Ekmeğini tuştan çıkaran kız! Metasploit Framework 32
Kritik Altyapılara Yönelik Gerçekleştirilen Siber Saldırılar • Sibirya Boru Hattı Patlaması • The Salt River Proje (SRP) Ele Geçirme Olayı • Houston Limanı Sistem Arızası • Slammer Solucanı • Kaliforniya Kanal Sisteminin Hacklenmesi • ABD’de Elektrik Şebekesi Casusluk İhlali • Nitro Saldırıları Ekmeğini tuştan çıkaran kız! 33
Kritik Altyapılara Yönelik Gerçekleştirilen Siber Saldırılar • Stuxnet Solucanı • Duqu Truva Atı – (Stuxnet Benzer Kodlar’la Geliştirilmiş) • Flame Zararlı Yazılımı – (Stuxnet Benzer Kodlar’la Geliştirilmiş) • Shamoon Zararlı Yazılımı • Doğalgaz Boru Hattı Firmalarına Siber Saldırılar • Ukrayna Elektrik Kesintisi Ekmeğini tuştan çıkaran kız! 34
APT Saldırıları (Advanced Persistant Threats) • APT dediğimiz, Türkçeye "Gelişmiş Sürekli Tehdit" ya da "Hedef Odaklı Saldırılar" olarak çevrilen siber silahlar kamu kurumlarını, kritik altyapıları ve büyük şirketleri hedef alan en önemli tehditlerdir. • APT’ler klasik virüslerden ve siber silahlardan birçok özelliği ile ayrılmakta, günümüzde siber savaşlarda aktif olarak kullanılmakta ve özellikle kritik altyapıları hedef almaktadır. • Saldırganlar genellikle basit siber saldırılarda olduğu gibi veri çalmayı değil, stratejik öneme sahip bilgilere erişmeyi hedeflemektedirler. • İran’ın nükleer programını hedef almış Stuxnet, hemen arkasından benzer kodlarla geliştirildiği düşünülen Duqu ve Flame, APT saldırılarının en iyi örneklerindendir. Ekmeğini tuştan çıkaran kız! 35
APT Saldırıları (Advanced Persistant Threats) • Hedef odaklıdır. Belli sistemleri ve kişileri hedef alırken, kurban siyasi, ticari ya da güvenliğe ilişkin nedenlerle seçilmektedir. • Siber savunma sistemlerini kolaylıkla atlatabilen, özel geliştirilmiş teknikler kullanmaktadır. • Saldırıların ve saldırganların tespit edilmesi oldukça güçtür. • Kalıcıdır ve bulaştığı sistemlerde uzun süre fark edilmeden çalışabilmektedir. • Arkasında yetkin bir grup veya ülke bulunmaktadır. • Ciddi hazırlık süreci ve detaylı bilgi toplama aşaması gerektirmektedir. • Saldırılarda sistematik bir yöntem izlenmektedir. Saldırganın yüksek bir motivasyonu vardır. Ekmeğini tuştan çıkaran kız! 36
APT Yaşam Döngüsü Keşif, Hedef Belirleme Phising Hedefle İrtibata Geçme Hak Yükseltme, Hedef Alanını Genişletme Veri Çalma Erişimi Kalıcı Kılma Ekmeğini tuştan çıkaran kız! 37
Kritik Altyapılar Asgari Güvenlik Önlemleri Sistemlerin Yetkisiz Erişimden Korunması • Sistem Merkezine Fiziksel Erişimin Yönetilmesi • Sistemlere Bilgisayar Ağları Aracılığı İle Erişimin Kısıtlanması • Taşınabilir Saklama Ortamlarının Kısıtlanması Yetkili Personelin Sistemlere Erişiminin Yönetilmesi • Sistem Yöneticisi Ve Operatör Atama Prosedürü • Yetkili Personelin Kullanıcı Kimliklerinin Yönetilmesi Ve • Güvenli Oturum Açma Prosedürü • Kayıt Yönetimi Ve Görevler Ayrılığı • İşletme Prosedürleri, Rol Ve Sorumluluklar Ekmeğini tuştan çıkaran kız! 38
Kritik Altyapılar Asgari Güvenlik Önlemleri Sistem Tedarik, Geliştirme Ve Bakımının Yönetilmesi • Uygulama Yazılımlarının Güvenliğinin Yönetilmesi • Teknik Açıklıkların Yönetilmesi • Bakım Sözleşmesi İş Sürekliliği Önlemleri • Yedek Sistem Merkezi, Prosedür Ve Testler Bilişim Sistemleri Güvenliği Yöneticisi Ve Personel İstihdamı • Güvenlik Yöneticisi • Personel Sürekliliği • Personel Yetiştirilmesi Ve Eğitimi Ekmeğini tuştan çıkaran kız! 39
Kritik Altyapılar Asgari Güvenlik Önlemleri Dokümantasyon • Politika Dokümanı • Kayıtların Yönetilmesi Bilgi Güvenliği Olaylarına Müdahale Ekmeğini tuştan çıkaran kız! 40
Kaynaklar https://goo.gl/F1QPhu http://www.firatdeveci.com/tarihi-haberlesme-metodu-modbus-rtu/ http://www.diva-portal.se/smash/get/diva2:1046339/FULLTEXT01.pdf https://goo.gl/pAMzHY http://www.elektrik.gen.tr/2015/08/scada-sisteminin-genel-yapisi/198 https://www.elektrikport.com/teknik-kutuphane/scada/8051#ad-image-0 https://alsaha-es.com/products/automation-telemetry-and-scada-systems/ https://goo.gl/w8jm2S https://erkanerol.github.io/post/distributed-systems-1/ http://web.deu.edu.tr/fmd/s30/30-02.pdf https://goo.gl/NkGDvo Ekmeğini tuştan çıkaran kız! 41
Sorular Ekmeğini tuştan çıkaran kız! rumeysabozdemir@gmail.com rumeysabzdmr rumeysabzdmr goo.gl/xDcEFH Bilişimci Kız www.rumeysabozdemir.com 42

Recomendados

Remote ac power control by android application with lcd display
Remote ac power control by android application with lcd displayRemote ac power control by android application with lcd display
Remote ac power control by android application with lcd displayEdgefxkits & Solutions
 
IRJET- Speaking Microcontroller for Deaf and Dumb People
IRJET- Speaking Microcontroller for Deaf and Dumb PeopleIRJET- Speaking Microcontroller for Deaf and Dumb People
IRJET- Speaking Microcontroller for Deaf and Dumb PeopleIRJET Journal
 
Deskpool making vdi cost effective for smb
Deskpool making vdi cost effective for smbDeskpool making vdi cost effective for smb
Deskpool making vdi cost effective for smbDongLiwu
 
Automatic power factor correction
Automatic power factor correction Automatic power factor correction
Automatic power factor correction VIKAS KUMAR MANJHI
 
Mx341
Mx341Mx341
Mx341edinsoncarrillo10
 
Maximum power point tracking algorithms for solar(pv) systems
Maximum power point tracking algorithms for solar(pv) systemsMaximum power point tracking algorithms for solar(pv) systems
Maximum power point tracking algorithms for solar(pv) systemsSiksha 'O' Anusandhan (Deemed to be University )
 
Power quality improvement using UPQC
Power quality improvement using UPQCPower quality improvement using UPQC
Power quality improvement using UPQCIndian Institute of Technology Guwahati
 
Microcontroller Based Medicine Reminder
Microcontroller Based Medicine ReminderMicrocontroller Based Medicine Reminder
Microcontroller Based Medicine ReminderRonak047
 

Recomendados

Remote ac power control by android application with lcd display
Remote ac power control by android application with lcd displayRemote ac power control by android application with lcd display
Remote ac power control by android application with lcd displayEdgefxkits & Solutions
 
IRJET- Speaking Microcontroller for Deaf and Dumb People
IRJET- Speaking Microcontroller for Deaf and Dumb PeopleIRJET- Speaking Microcontroller for Deaf and Dumb People
IRJET- Speaking Microcontroller for Deaf and Dumb PeopleIRJET Journal
 
Deskpool making vdi cost effective for smb
Deskpool making vdi cost effective for smbDeskpool making vdi cost effective for smb
Deskpool making vdi cost effective for smbDongLiwu
 
Automatic power factor correction
Automatic power factor correction Automatic power factor correction
Automatic power factor correction VIKAS KUMAR MANJHI
 
Mx341
Mx341Mx341
Mx341edinsoncarrillo10
 
Maximum power point tracking algorithms for solar(pv) systems
Maximum power point tracking algorithms for solar(pv) systemsMaximum power point tracking algorithms for solar(pv) systems
Maximum power point tracking algorithms for solar(pv) systemsSiksha 'O' Anusandhan (Deemed to be University )
 
Power quality improvement using UPQC
Power quality improvement using UPQCPower quality improvement using UPQC
Power quality improvement using UPQCIndian Institute of Technology Guwahati
 
Microcontroller Based Medicine Reminder
Microcontroller Based Medicine ReminderMicrocontroller Based Medicine Reminder
Microcontroller Based Medicine ReminderRonak047
 
Frequency control in a microgrid including controllable load
Frequency control in a microgrid including controllable loadFrequency control in a microgrid including controllable load
Frequency control in a microgrid including controllable loadIAEME Publication
 
UPQC ppt main
UPQC ppt mainUPQC ppt main
UPQC ppt mainIndian Institute of Technology Guwahati
 
diversity
diversitydiversity
diversitySyed Ahamed
 
charging of battery from solar supply using buck boost converter
charging of battery from solar supply using buck boost convertercharging of battery from solar supply using buck boost converter
charging of battery from solar supply using buck boost converterShubham shekhar
 
ppt.pptx
ppt.pptxppt.pptx
ppt.pptx19474Dswathi
 
FactoryTalk View SE - Building a Better View
FactoryTalk View SE - Building a Better ViewFactoryTalk View SE - Building a Better View
FactoryTalk View SE - Building a Better ViewTony Carrara
 
Buck Boost Converter with simulation model.pdf
Buck Boost Converter with simulation model.pdfBuck Boost Converter with simulation model.pdf
Buck Boost Converter with simulation model.pdfIndian Institute of Technology Guwahati
 
Vector control of induction motor
Vector control of induction motorVector control of induction motor
Vector control of induction motorVaibhav Goyal
 
Power Quality improvement in ZETA Converters for Brush-less DC Motors (BLDC)
Power Quality improvement in ZETA Converters for Brush-less DC Motors (BLDC) Power Quality improvement in ZETA Converters for Brush-less DC Motors (BLDC)
Power Quality improvement in ZETA Converters for Brush-less DC Motors (BLDC) Rehan Younas
 
Android Controlled Arduino Spy Robot
Android Controlled Arduino Spy RobotAndroid Controlled Arduino Spy Robot
Android Controlled Arduino Spy RobotMahesh Tibrewal
 
Solar pv array fed brushless dc motor driven water pump
Solar pv array fed brushless dc motor driven water pumpSolar pv array fed brushless dc motor driven water pump
Solar pv array fed brushless dc motor driven water pumpAsoka Technologies
 
Anti-islanding
Anti-islandingAnti-islanding
Anti-islandingNIT MEGHALAYA
 
Presentation acs-03
Presentation acs-03Presentation acs-03
Presentation acs-03shreenath12393
 
Introduction to reactive power control in electrical power
Introduction to reactive power control in electrical powerIntroduction to reactive power control in electrical power
Introduction to reactive power control in electrical powerDr.Raja R
 
VTU ECE 7th sem VLSI lab manual
VTU ECE 7th sem VLSI lab manualVTU ECE 7th sem VLSI lab manual
VTU ECE 7th sem VLSI lab manualMaharaja Institute of Technology Mysore
 
Latest ECE Projects Ideas In Various Electronics Technologies
Latest ECE Projects Ideas In Various Electronics TechnologiesLatest ECE Projects Ideas In Various Electronics Technologies
Latest ECE Projects Ideas In Various Electronics Technologieselprocus
 
Automatic Railway Gate Control System Using Android
Automatic Railway Gate Control System Using AndroidAutomatic Railway Gate Control System Using Android
Automatic Railway Gate Control System Using Androidijtsrd
 
Power Systems analysis with MATPOWER and Simscape Electrical (MATLAB/Simulink)
Power Systems analysis with MATPOWER and Simscape Electrical (MATLAB/Simulink) Power Systems analysis with MATPOWER and Simscape Electrical (MATLAB/Simulink)
Power Systems analysis with MATPOWER and Simscape Electrical (MATLAB/Simulink) Bilal Amjad
 
Software Composition Analysis in PHP
Software Composition Analysis in PHP Software Composition Analysis in PHP
Software Composition Analysis in PHP Piotr Horzycki
 
Unified power quality conditioner 2
Unified power quality conditioner 2Unified power quality conditioner 2
Unified power quality conditioner 2Vaka Dharma Teja Reddy
 
Scada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLATScada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLATÇağrı Polat
 
Inc 15 Scada Cyber Security
Inc 15 Scada Cyber SecurityInc 15 Scada Cyber Security
Inc 15 Scada Cyber SecurityBGA Cyber Security
 

Mais conteúdo relacionado

Mais procurados

Frequency control in a microgrid including controllable load
Frequency control in a microgrid including controllable loadFrequency control in a microgrid including controllable load
Frequency control in a microgrid including controllable loadIAEME Publication
 
charging of battery from solar supply using buck boost converter
charging of battery from solar supply using buck boost convertercharging of battery from solar supply using buck boost converter
charging of battery from solar supply using buck boost converterShubham shekhar
 
FactoryTalk View SE - Building a Better View
FactoryTalk View SE - Building a Better ViewFactoryTalk View SE - Building a Better View
FactoryTalk View SE - Building a Better ViewTony Carrara
 
Vector control of induction motor
Vector control of induction motorVector control of induction motor
Vector control of induction motorVaibhav Goyal
 
Power Quality improvement in ZETA Converters for Brush-less DC Motors (BLDC)
Power Quality improvement in ZETA Converters for Brush-less DC Motors (BLDC) Power Quality improvement in ZETA Converters for Brush-less DC Motors (BLDC)
Power Quality improvement in ZETA Converters for Brush-less DC Motors (BLDC) Rehan Younas
 
Android Controlled Arduino Spy Robot
Android Controlled Arduino Spy RobotAndroid Controlled Arduino Spy Robot
Android Controlled Arduino Spy RobotMahesh Tibrewal
 
Solar pv array fed brushless dc motor driven water pump
Solar pv array fed brushless dc motor driven water pumpSolar pv array fed brushless dc motor driven water pump
Solar pv array fed brushless dc motor driven water pumpAsoka Technologies
 
Introduction to reactive power control in electrical power
Introduction to reactive power control in electrical powerIntroduction to reactive power control in electrical power
Introduction to reactive power control in electrical powerDr.Raja R
 
Latest ECE Projects Ideas In Various Electronics Technologies
Latest ECE Projects Ideas In Various Electronics TechnologiesLatest ECE Projects Ideas In Various Electronics Technologies
Latest ECE Projects Ideas In Various Electronics Technologieselprocus
 
Automatic Railway Gate Control System Using Android
Automatic Railway Gate Control System Using AndroidAutomatic Railway Gate Control System Using Android
Automatic Railway Gate Control System Using Androidijtsrd
 
Power Systems analysis with MATPOWER and Simscape Electrical (MATLAB/Simulink)
Power Systems analysis with MATPOWER and Simscape Electrical (MATLAB/Simulink) Power Systems analysis with MATPOWER and Simscape Electrical (MATLAB/Simulink)
Power Systems analysis with MATPOWER and Simscape Electrical (MATLAB/Simulink) Bilal Amjad
 
Software Composition Analysis in PHP
Software Composition Analysis in PHP Software Composition Analysis in PHP
Software Composition Analysis in PHP Piotr Horzycki
 

Mais procurados (20)

Frequency control in a microgrid including controllable load
Frequency control in a microgrid including controllable loadFrequency control in a microgrid including controllable load
Frequency control in a microgrid including controllable load
 
UPQC ppt main
UPQC ppt mainUPQC ppt main
UPQC ppt main
 
diversity
diversitydiversity
diversity
 
charging of battery from solar supply using buck boost converter
charging of battery from solar supply using buck boost convertercharging of battery from solar supply using buck boost converter
charging of battery from solar supply using buck boost converter
 
ppt.pptx
ppt.pptxppt.pptx
ppt.pptx
 
FactoryTalk View SE - Building a Better View
FactoryTalk View SE - Building a Better ViewFactoryTalk View SE - Building a Better View
FactoryTalk View SE - Building a Better View
 
Buck Boost Converter with simulation model.pdf
Buck Boost Converter with simulation model.pdfBuck Boost Converter with simulation model.pdf
Buck Boost Converter with simulation model.pdf
 
Vector control of induction motor
Vector control of induction motorVector control of induction motor
Vector control of induction motor
 
Power Quality improvement in ZETA Converters for Brush-less DC Motors (BLDC)
Power Quality improvement in ZETA Converters for Brush-less DC Motors (BLDC) Power Quality improvement in ZETA Converters for Brush-less DC Motors (BLDC)
Power Quality improvement in ZETA Converters for Brush-less DC Motors (BLDC)
 
Android Controlled Arduino Spy Robot
Android Controlled Arduino Spy RobotAndroid Controlled Arduino Spy Robot
Android Controlled Arduino Spy Robot
 
Solar pv array fed brushless dc motor driven water pump
Solar pv array fed brushless dc motor driven water pumpSolar pv array fed brushless dc motor driven water pump
Solar pv array fed brushless dc motor driven water pump
 
Anti-islanding
Anti-islandingAnti-islanding
Anti-islanding
 
Presentation acs-03
Presentation acs-03Presentation acs-03
Presentation acs-03
 
Introduction to reactive power control in electrical power
Introduction to reactive power control in electrical powerIntroduction to reactive power control in electrical power
Introduction to reactive power control in electrical power
 
VTU ECE 7th sem VLSI lab manual
VTU ECE 7th sem VLSI lab manualVTU ECE 7th sem VLSI lab manual
VTU ECE 7th sem VLSI lab manual
 
Latest ECE Projects Ideas In Various Electronics Technologies
Latest ECE Projects Ideas In Various Electronics TechnologiesLatest ECE Projects Ideas In Various Electronics Technologies
Latest ECE Projects Ideas In Various Electronics Technologies
 
Automatic Railway Gate Control System Using Android
Automatic Railway Gate Control System Using AndroidAutomatic Railway Gate Control System Using Android
Automatic Railway Gate Control System Using Android
 
Power Systems analysis with MATPOWER and Simscape Electrical (MATLAB/Simulink)
Power Systems analysis with MATPOWER and Simscape Electrical (MATLAB/Simulink) Power Systems analysis with MATPOWER and Simscape Electrical (MATLAB/Simulink)
Power Systems analysis with MATPOWER and Simscape Electrical (MATLAB/Simulink)
 
Software Composition Analysis in PHP
Software Composition Analysis in PHP Software Composition Analysis in PHP
Software Composition Analysis in PHP
 
Unified power quality conditioner 2
Unified power quality conditioner 2Unified power quality conditioner 2
Unified power quality conditioner 2
 

Semelhante a Kritik Altyapıların Güvenliği

Scada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLATScada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLATÇağrı Polat
 
Solarwinds Orion NPM ve NTA sunumu
Solarwinds Orion NPM ve NTA sunumuSolarwinds Orion NPM ve NTA sunumu
Solarwinds Orion NPM ve NTA sunumuKavi International
 
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015Melih Bayram Dede
 
Internet of Things (IoT) Security - Part 1
Internet of Things (IoT) Security - Part 1Internet of Things (IoT) Security - Part 1
Internet of Things (IoT) Security - Part 1Bahtiyar Bircan
 
Scada Sistemleri ve Güvenliği
Scada Sistemleri ve GüvenliğiScada Sistemleri ve Güvenliği
Scada Sistemleri ve GüvenliğiAhmet Gürel
 
Endüstriyel Haberleşme Protokolleri
Endüstriyel Haberleşme ProtokolleriEndüstriyel Haberleşme Protokolleri
Endüstriyel Haberleşme ProtokolleriMurathan Akın
 
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeErkan Başavcı
 
Kader gencer 31210380682
Kader gencer 31210380682Kader gencer 31210380682
Kader gencer 31210380682KaderGencer
 
Teydeb1511 aralik2015
Teydeb1511 aralik2015Teydeb1511 aralik2015
Teydeb1511 aralik2015SERDAR DURGUN
 
Network - Bilgisayar Ağlarına Giriş
Network - Bilgisayar Ağlarına Giriş Network - Bilgisayar Ağlarına Giriş
Network - Bilgisayar Ağlarına Giriş Murat KARA
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temellerieroglu
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temellerieroglu
 
Bilgisayar aglari ve_iletisim
Bilgisayar aglari ve_iletisimBilgisayar aglari ve_iletisim
Bilgisayar aglari ve_iletisimSEZERALPKUMA
 
Connected Enterprises by Schneider Electric / Yeni Nesil Online İşletmeler
Connected Enterprises by Schneider Electric / Yeni Nesil Online İşletmelerConnected Enterprises by Schneider Electric / Yeni Nesil Online İşletmeler
Connected Enterprises by Schneider Electric / Yeni Nesil Online İşletmelerRustem Tolga Buyukbas
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA Cyber Security
 

Semelhante a Kritik Altyapıların Güvenliği (20)

Scada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLATScada Sistemlerde Siber Guvenlik by Cagri POLAT
Scada Sistemlerde Siber Guvenlik by Cagri POLAT
 
Inc 15 Scada Cyber Security
Inc 15 Scada Cyber SecurityInc 15 Scada Cyber Security
Inc 15 Scada Cyber Security
 
Solarwinds Orion NPM ve NTA sunumu
Solarwinds Orion NPM ve NTA sunumuSolarwinds Orion NPM ve NTA sunumu
Solarwinds Orion NPM ve NTA sunumu
 
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
 
Internet of Things (IoT) Security - Part 1
Internet of Things (IoT) Security - Part 1Internet of Things (IoT) Security - Part 1
Internet of Things (IoT) Security - Part 1
 
Scada Sistemleri ve Güvenliği
Scada Sistemleri ve GüvenliğiScada Sistemleri ve Güvenliği
Scada Sistemleri ve Güvenliği
 
Endüstriyel Haberleşme Protokolleri
Endüstriyel Haberleşme ProtokolleriEndüstriyel Haberleşme Protokolleri
Endüstriyel Haberleşme Protokolleri
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım Güvenliği
 
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
 
Nitel AŞ Firma Profili
Nitel AŞ Firma ProfiliNitel AŞ Firma Profili
Nitel AŞ Firma Profili
 
Kader gencer 31210380682
Kader gencer 31210380682Kader gencer 31210380682
Kader gencer 31210380682
 
Teydeb1511 aralik2015
Teydeb1511 aralik2015Teydeb1511 aralik2015
Teydeb1511 aralik2015
 
Prtg Network Monitor
Prtg Network MonitorPrtg Network Monitor
Prtg Network Monitor
 
Network - Bilgisayar Ağlarına Giriş
Network - Bilgisayar Ağlarına Giriş Network - Bilgisayar Ağlarına Giriş
Network - Bilgisayar Ağlarına Giriş
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
 
Güvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve YazılımlarıGüvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve Yazılımları
 
Bilgisayar aglari ve_iletisim
Bilgisayar aglari ve_iletisimBilgisayar aglari ve_iletisim
Bilgisayar aglari ve_iletisim
 
Connected Enterprises by Schneider Electric / Yeni Nesil Online İşletmeler
Connected Enterprises by Schneider Electric / Yeni Nesil Online İşletmelerConnected Enterprises by Schneider Electric / Yeni Nesil Online İşletmeler
Connected Enterprises by Schneider Electric / Yeni Nesil Online İşletmeler
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
 

Mais de Rumeysa Bozdemir

Network Penetration Testing | OWASP Istanbul
Network Penetration Testing | OWASP Istanbul Network Penetration Testing | OWASP Istanbul
Network Penetration Testing | OWASP Istanbul Rumeysa Bozdemir
 
Burp Suite SQL Injection Attack | OWASP Istanbul
Burp Suite SQL Injection Attack | OWASP Istanbul Burp Suite SQL Injection Attack | OWASP Istanbul
Burp Suite SQL Injection Attack | OWASP Istanbul Rumeysa Bozdemir
 
Burp Suite İle File Upload Attack | OWASP Istanbul
Burp Suite İle File Upload Attack | OWASP Istanbul Burp Suite İle File Upload Attack | OWASP Istanbul
Burp Suite İle File Upload Attack | OWASP Istanbul Rumeysa Bozdemir
 
OWASP - Siber Güvenlik Sektöründe Kariyer Yapmak
OWASP - Siber Güvenlik Sektöründe Kariyer YapmakOWASP - Siber Güvenlik Sektöründe Kariyer Yapmak
OWASP - Siber Güvenlik Sektöründe Kariyer YapmakRumeysa Bozdemir
 
Burp Suite İle Brute Force Attack | OWASP Istanbul
Burp Suite İle Brute Force Attack | OWASP Istanbul Burp Suite İle Brute Force Attack | OWASP Istanbul
Burp Suite İle Brute Force Attack | OWASP Istanbul Rumeysa Bozdemir
 
Broken Authentication | OWASP Istanbul
Broken Authentication | OWASP IstanbulBroken Authentication | OWASP Istanbul
Broken Authentication | OWASP IstanbulRumeysa Bozdemir
 
Web App Hacking | OWASP Istanbul
Web App Hacking | OWASP IstanbulWeb App Hacking | OWASP Istanbul
Web App Hacking | OWASP IstanbulRumeysa Bozdemir
 
Information Gathering | OWASP Istanbul
Information Gathering | OWASP IstanbulInformation Gathering | OWASP Istanbul
Information Gathering | OWASP IstanbulRumeysa Bozdemir
 
Kritik Altyyapıları Asgari Güvenlik Önlemleri
Kritik Altyyapıları Asgari Güvenlik ÖnlemleriKritik Altyyapıları Asgari Güvenlik Önlemleri
Kritik Altyyapıları Asgari Güvenlik ÖnlemleriRumeysa Bozdemir
 

Mais de Rumeysa Bozdemir (9)

Network Penetration Testing | OWASP Istanbul
Network Penetration Testing | OWASP Istanbul Network Penetration Testing | OWASP Istanbul
Network Penetration Testing | OWASP Istanbul
 
Burp Suite SQL Injection Attack | OWASP Istanbul
Burp Suite SQL Injection Attack | OWASP Istanbul Burp Suite SQL Injection Attack | OWASP Istanbul
Burp Suite SQL Injection Attack | OWASP Istanbul
 
Burp Suite İle File Upload Attack | OWASP Istanbul
Burp Suite İle File Upload Attack | OWASP Istanbul Burp Suite İle File Upload Attack | OWASP Istanbul
Burp Suite İle File Upload Attack | OWASP Istanbul
 
OWASP - Siber Güvenlik Sektöründe Kariyer Yapmak
OWASP - Siber Güvenlik Sektöründe Kariyer YapmakOWASP - Siber Güvenlik Sektöründe Kariyer Yapmak
OWASP - Siber Güvenlik Sektöründe Kariyer Yapmak
 
Burp Suite İle Brute Force Attack | OWASP Istanbul
Burp Suite İle Brute Force Attack | OWASP Istanbul Burp Suite İle Brute Force Attack | OWASP Istanbul
Burp Suite İle Brute Force Attack | OWASP Istanbul
 
Broken Authentication | OWASP Istanbul
Broken Authentication | OWASP IstanbulBroken Authentication | OWASP Istanbul
Broken Authentication | OWASP Istanbul
 
Web App Hacking | OWASP Istanbul
Web App Hacking | OWASP IstanbulWeb App Hacking | OWASP Istanbul
Web App Hacking | OWASP Istanbul
 
Information Gathering | OWASP Istanbul
Information Gathering | OWASP IstanbulInformation Gathering | OWASP Istanbul
Information Gathering | OWASP Istanbul
 
Kritik Altyyapıları Asgari Güvenlik Önlemleri
Kritik Altyyapıları Asgari Güvenlik ÖnlemleriKritik Altyyapıları Asgari Güvenlik Önlemleri
Kritik Altyyapıları Asgari Güvenlik Önlemleri
 

Kritik Altyapıların Güvenliği

  • 1. Kritik Altyapıların Güvenliği Rumeysa Bozdemir C|EH, ISO 27001 Lead Auditor rumeysabozdemir@gmail.com
  • 2. Kritik Altyapıların Korunması • Kritik altyapı terimi ilk defa Ekim 1997 tarihli Amerika Birleşik Devletleri Başkanlık Komisyonu’nun «Kritik Altyapıların Korunması» Hakkında raporda kullanılmıştır. • Ülkemizin siber güvenliğinin sağlanması konusunda "Siber Güvenlik Kurulu" oluşturulmuştur. Bu kurulun ilk toplantısında "Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı" kabul edilmiş ve 20 Haziran 2013 tarihinde Bakanlar Kurulu Kararı olarak yayımlanmıştır. • Eylem planının 5 numaralı maddesinde Siber Güvenlik Kurulu'nca ülkemizin kritik altyapıları bilgi güvenliği kapsamında ilk etapta "Ulaşım, Enerji, Elektronik Haberleşme, Finans, Su Yönetimi, Kritik Kamu Hizmetleri" olarak belirlenmiştir. Ekmeğini tuştan çıkaran kız! 2
  • 3. Enerji Kritik Altyapıları • Kurumsal Bilişim Sistemleri(KBS) • Masaüstü bilgisayarlar, • Dosya, uygulama, veri tabanı, e-posta sunucuları vb. • Endüstriyel Kontrol Sistemleri(EKS) • SCADA (Veritabanlı Merkezi Kontrol ve Gözetleme Sistemi) • DCS (Dağınık Kontrol Sistemleri) Ekmeğini tuştan çıkaran kız! 3
  • 5. Enerji Kritik Altyapıları Ekmeğini tuştan çıkaran kız! SCADA Sistemleri • Elektrik İletim ve Dağıtım Sistemleri • Doğal Gaz ve Petrol Boru Hatları • Doğal Gaz Dağıtım Sistemleri Dağınık Kontrol Sistemleri • Elektrik Santralleri • Petrol Rafinerileri 5
  • 6. Dağınık Kontrol Sistemleri (DCS) - SCADA • DCS ve SCADA uzaktan ölçüm yapan telemetri sistemleridir. • Telemetri kablosuz haberleşme anlamına gelmektedir. Bunların en yoğun kullanılanları Radio modem cihazları, GSM GPRS, VSAT (Uydu İnterneti) uydu sistemleridir. • DCS(Dağınık Kontrol Sistemleri) veri elde edilmesi, kontrol ünitelerinin daha kapalı mekanlarda konumlandırılması ve iletişimin yüksek hızda LAN bağlantısıyla gerçekleştirilmesi yönüyle SCADA’dan farklılık gösterir. • SCADA sistemi geniş bir coğrafyaya yayılan farklı konumlardaki süreçleri, DCS tek bir konumdaki farklı noktalara yayılan süreçleri izleme ve yönetme görevi üstlenmektedir. Ekmeğini tuştan çıkaran kız! 6
  • 7. SCADA (Supervisory Control and Data Acquisition) SCADA’nın temel mantığı tüm üretim aşamalarının tek merkezden gözlenmesi, denetlenmesi, veri toplanması-raporlanması ve ünitelerin kontrol edilebilmesidir. Sağladığı bu özelliklerden dolayı büyük kullanım alanına sahiptir. SCADA Sistemlerinin Başlıca Özellikleri • Grafik Arayüz • İzleme Sistemi • Alarm Sistemi • Veri Toplama • Analiz ve Raporlama Sistemleridir. Ekmeğini tuştan çıkaran kız! 7
  • 8. SCADA (Supervisory Control and Data Acquisition) SCADA sisteminde MTU’lar; (Master Terminal Unit / Ana Kontrol Merkezi AKM) ana kontrol merkezleridir. SCADA üç temel bölümden oluşmaktadır. Bunlar; • Üretimde kullanılan PLC’ler (programlanabilir mantıksal denetleyiciler, yüksek hızlı küçük mikroişlemciler), ölçme sistemlerinin bağlandığı IED’ler (akıllı gömülü sistemler), ve RTU’lar (sahadan ölçüm bilgisi toplama birimleri) • Üretim alanı ile kontrol merkezi arasında bilgi alışverişini sağlayan, bakır, fiber ya da telsiz bağlantıları kullanan haberleşme ağı • Kontrol merkezinde kontrol ve bilgi depolama işlemini yapan bilgisayarlar, yazılımlar, grafik ekran sistemleri ve iletişim cihazları Ekmeğini tuştan çıkaran kız! 8
  • 9. SCADA (Supervisory Control and Data Acquisition) Ekmeğini tuştan çıkaran kız! Denetim Merkezi • PC, İzleme Ekranları, Haberleşme Cihazları Veri İletişim Ağı Üretim Alanındaki Ölçme ve Kontrol Ekipmanları 9
  • 10. SCADA Mimarisi • Birinci Nesil Monolitik • İkinci Nesil Dağıtık (Distributed) • Üçüncü Nesil Ağ Tabanlı (Networked) olarak üç nesle ayırmak mümkündür. Ekmeğini tuştan çıkaran kız! 10
  • 11. SCADA Mimarisi Birinci Nesil Monolitik Bir yazılım sisteminde fonksiyonel olarak birbirinden ayrılabilecek, veri giriş ve çıkışı, kullanıcı arayüzü ve veri işleme gibi özelliklerin, mimari olarak aynı yapıda bulunduğu sistemdir. Ekmeğini tuştan çıkaran kız! 11
  • 12. SCADA Mimarisi İkinci Nesil Dağıtık (Distributed) • Dağıtık programlama, bir bilgisayar ile çözebileceğiniz bir sorunu birden fazla bilgisayar kullanarak çözmeye çalışma sanatıdır. • Bu büyük ağ da bulunan donanımlar kullanıcıya tek bir bilgisayar gibi davranır ve en iyi performansı sağlamayı amaçlar. • Dağıtık sistemlerin önemli bir amacı ise, kaynakları paylaşmaya duyulan gerekliliktir. Bu kaynaklar donanımsal bileşenler (HDD, yazıcı) olabileceği gibi, dosyalar, veri tabanı, gibi servislerdir. Ekmeğini tuştan çıkaran kız! 12
  • 13. SCADA Mimarisi Üçüncü Nesil Ağ Tabanlı (Networked) • Ağda yer alan üçüncü nesil cihazları kapsıyor. (Access Point vb.) Ekmeğini tuştan çıkaran kız! 13
  • 14. SCADA Haberleşme Protokolleri SCADA sistemleri, MTU ve bir veya daha fazla RTU’lar arasında iletişim kurmak için kullanılan açık veya özel haberleşme protokollerini kullanarak tasarlanmıştır. SCADA protokolleri alt istasyon bilgisayarlarının, RTU’ların, IED’lerin ve MTU’ların birbiriyle haberleşmesi için transmisyon özelliklerini sağlar. En çok kullanılan SCADA haberleşme protokolleri aşağıdaki gibidir: • DNP3 (Distributed Network Protocol Version 3.0) • Modbus • Profinet Ekmeğini tuştan çıkaran kız! 14
  • 15. DNP3 IEC-1815 DNP3 Specific TCP / UDP IP Data Link Multiple (e.g.:Ethernet) Ekmeğini tuştan çıkaran kız! 15
  • 16. OSI Referans Modeli Application (Uygulama) HTTP, HTTPS, SMTP, FTP, TFTP, UUCP, NTP, SSL, SSH, IRC, SNMP, SIP, RTP, Telnet… Presentation (Sunum) ISO 8822, ISO 8823, ISO 8824, ITU-T T.73, ITU- T X, 409… Session (Oturum) SMB, ISO 8326, NFS, ISO 8327, ITU-T T, 6299… Transport (Ulaşım) TCP, UDP… Network (Ağ) IP, IPv4, IPv6, ICMP, ARP … Data Link (Veri) Ethernet, HDLC, Wi-Fi, Token ring… Physical (Donanım) ISDN, RS 232, EIA- 422, RS 449, EIA- 485, Fiber Optik… Ekmeğini tuştan çıkaran kız! 16
  • 17. SCADA Haberleşme Protokolleri Ekmeğini tuştan çıkaran kız! 17 IEC-1815 DNP3 Specific TCP / UDP IP Data Link Multiple (e.g.:Ethernet) Application (Uygulama) Presentation (Sunum) Session (Oturum) Transport (Ulaşım) Network (Ağ) Data Link (Veri) Physical (Donanım)
  • 18. SCADA (Supervisory Control and Data Acquisition) En çok kullanılan SCADA yazılımları; • WinCC • Citect • ICONICS • iFIX • Indusoft • Entivity Studio Ekmeğini tuştan çıkaran kız! 18
  • 19. SCADA Sistemlere Yönelik Tehditler SCADA-IT arası haberleşmede standart IT veri iletimi protokolleri (Modbus RTU, RP-570, Profi-Bus, Can-Bus ) kullanılmaktadır. Bu zayıflıkların bir sonucu olarak SCADA sistemleri de birçok IT tehdidinin etki alanı içine girmektedir. • Ülkeler ve gizli servisler • Organize suç örgütleri • Rakip şirketler • Genel ya da özel amaçlar için üretilmiş zararlı yazılımlar (virüs, solucan, truva atı vs.) • Politik amaçlarla hareket eden gruplar • Çevreci amaçlarla hareket eden gruplar • Eğlence ya da ün kazanmak amacıyla saldırı düzenleyen bireyler • Şirketten ayrılmış ve şirketle uyuşmazlık içinde bulunan personel • Çalışmakta olan şirket personeli Ekmeğini tuştan çıkaran kız! 19
  • 20. SCADA Haberleşme Protokollerinin Ülkere Dağılımları 1% 43% 12% 5% 4% 3% 32% Türkiye ABD Çin Fransa Hong Kong İngiltere Diğerleri Ekmeğini tuştan çıkaran kız! 20
  • 21. SCADA Haberleşme Protokollerinin Dağılım Oranları 5% 30% 50% 15% DNP3 EtherNetIP Modbus Profinet Ekmeğini tuştan çıkaran kız! 21
  • 22. SCADA’ya Yönelik Saldırılar ve Etkileri Fiziksel Etki: SCADA sisteminin işlevsiz kalmasının sonuçları bu alanda değerlendirilir. Bu etkinin en önemli sonucu insan hayatını tehlikeye atacak sonuçlarının olmasıdır. Diğer sonuçlarında veri kaybı ve çevreye olan zararlarıdır. Ekonomik Etkileri: Ekonomik etkiler siber saldırıdan sonra ortaya çıkar. Fiziksel etkinin dalgalanma etkisi tesis veya firmada ciddi ekonomik kayıpları beraberinde getirir. Daha büyük etkisi yerel, ulusal hatta küresel ekonomi üzerinde ekonomik kayıplara neden olmasıdır. Sosyal Etkileri: Fiziksel ve ekonomik hasarların sonucu kamu güveni ve ulusal güvenliğin zarar görmesi olacaktır. Sosyal etkiler kamu güvenliğini depresif bir hale getirebilir ya da popüler aşırılığın artmasına sebep olabilir. Ekmeğini tuştan çıkaran kız! 22
  • 23. Güvenlik Açığının Yıllara Göre Dağılımı Ekmeğini tuştan çıkaran kız! 23
  • 24. SCADA Sistemi Güvenlik Açıkları Ulusal SCADA Test Düzeneği’ne (NSTB) göre gözlemlenen güvenlik açıklarının çeşitlerine göre yüzdeleri verilmiştir. Ekmeğini tuştan çıkaran kız! 43% 16% 11% 8% 8% 7% 7% Haberleşme Uç Nokta Güvenlik Açığı Haberleşme Kanalı Güvenlik Açığı SCADA Ağ Erişim Kontrol Açığı Yayınlanmayan Güvenlik Açığ Yetkilendirme Güvenlik Açığı Yayınlanan Güvenlik Açığı SCADA Kimlik Doğrulama Açığı 24
  • 25. SCADA Sistemi Güvenlik Açıkları • Kaynak Kod Tasarımı ve Uygulaması • Bellek Taşırma (Buffer Overflow) • SQL Enjeksiyonu • XSS (Cross Site Scripting) Açığı • Gereksiz Portlar ve Servisler • Etkili Yama Yönetimi Uygulaması • Haberleşme Kanalı Güvenlik Açıkları • Haberleşme Protokollerinin Açıklıkları Ekmeğini tuştan çıkaran kız! 25
  • 26. SCADA Sızma Testinde Kullanılan Bazı Araçlar 1. SHODAN Arama Motoru 2. Wireshark Ağ Analiz Programı 3. NMAP Ağ Tarama Aracı 4. Plcscan Aracı 5. SNMP-CHECK 6. Metasploit Framework Ekmeğini tuştan çıkaran kız! 26
  • 28. Ekmeğini tuştan çıkaran kız! Wireshark Ağ Analiz Programı 28
  • 29. Ekmeğini tuştan çıkaran kız! NMAP Ağ Tarama Aracı 29
  • 30. Ekmeğini tuştan çıkaran kız! Plcscan Aracı 30
  • 31. Ekmeğini tuştan çıkaran kız! SNMPCHECK 31
  • 32. Ekmeğini tuştan çıkaran kız! Metasploit Framework 32
  • 33. Kritik Altyapılara Yönelik Gerçekleştirilen Siber Saldırılar • Sibirya Boru Hattı Patlaması • The Salt River Proje (SRP) Ele Geçirme Olayı • Houston Limanı Sistem Arızası • Slammer Solucanı • Kaliforniya Kanal Sisteminin Hacklenmesi • ABD’de Elektrik Şebekesi Casusluk İhlali • Nitro Saldırıları Ekmeğini tuştan çıkaran kız! 33
  • 34. Kritik Altyapılara Yönelik Gerçekleştirilen Siber Saldırılar • Stuxnet Solucanı • Duqu Truva Atı – (Stuxnet Benzer Kodlar’la Geliştirilmiş) • Flame Zararlı Yazılımı – (Stuxnet Benzer Kodlar’la Geliştirilmiş) • Shamoon Zararlı Yazılımı • Doğalgaz Boru Hattı Firmalarına Siber Saldırılar • Ukrayna Elektrik Kesintisi Ekmeğini tuştan çıkaran kız! 34
  • 35. APT Saldırıları (Advanced Persistant Threats) • APT dediğimiz, Türkçeye "Gelişmiş Sürekli Tehdit" ya da "Hedef Odaklı Saldırılar" olarak çevrilen siber silahlar kamu kurumlarını, kritik altyapıları ve büyük şirketleri hedef alan en önemli tehditlerdir. • APT’ler klasik virüslerden ve siber silahlardan birçok özelliği ile ayrılmakta, günümüzde siber savaşlarda aktif olarak kullanılmakta ve özellikle kritik altyapıları hedef almaktadır. • Saldırganlar genellikle basit siber saldırılarda olduğu gibi veri çalmayı değil, stratejik öneme sahip bilgilere erişmeyi hedeflemektedirler. • İran’ın nükleer programını hedef almış Stuxnet, hemen arkasından benzer kodlarla geliştirildiği düşünülen Duqu ve Flame, APT saldırılarının en iyi örneklerindendir. Ekmeğini tuştan çıkaran kız! 35
  • 36. APT Saldırıları (Advanced Persistant Threats) • Hedef odaklıdır. Belli sistemleri ve kişileri hedef alırken, kurban siyasi, ticari ya da güvenliğe ilişkin nedenlerle seçilmektedir. • Siber savunma sistemlerini kolaylıkla atlatabilen, özel geliştirilmiş teknikler kullanmaktadır. • Saldırıların ve saldırganların tespit edilmesi oldukça güçtür. • Kalıcıdır ve bulaştığı sistemlerde uzun süre fark edilmeden çalışabilmektedir. • Arkasında yetkin bir grup veya ülke bulunmaktadır. • Ciddi hazırlık süreci ve detaylı bilgi toplama aşaması gerektirmektedir. • Saldırılarda sistematik bir yöntem izlenmektedir. Saldırganın yüksek bir motivasyonu vardır. Ekmeğini tuştan çıkaran kız! 36
  • 37. APT Yaşam Döngüsü Keşif, Hedef Belirleme Phising Hedefle İrtibata Geçme Hak Yükseltme, Hedef Alanını Genişletme Veri Çalma Erişimi Kalıcı Kılma Ekmeğini tuştan çıkaran kız! 37
  • 38. Kritik Altyapılar Asgari Güvenlik Önlemleri Sistemlerin Yetkisiz Erişimden Korunması • Sistem Merkezine Fiziksel Erişimin Yönetilmesi • Sistemlere Bilgisayar Ağları Aracılığı İle Erişimin Kısıtlanması • Taşınabilir Saklama Ortamlarının Kısıtlanması Yetkili Personelin Sistemlere Erişiminin Yönetilmesi • Sistem Yöneticisi Ve Operatör Atama Prosedürü • Yetkili Personelin Kullanıcı Kimliklerinin Yönetilmesi Ve • Güvenli Oturum Açma Prosedürü • Kayıt Yönetimi Ve Görevler Ayrılığı • İşletme Prosedürleri, Rol Ve Sorumluluklar Ekmeğini tuştan çıkaran kız! 38
  • 39. Kritik Altyapılar Asgari Güvenlik Önlemleri Sistem Tedarik, Geliştirme Ve Bakımının Yönetilmesi • Uygulama Yazılımlarının Güvenliğinin Yönetilmesi • Teknik Açıklıkların Yönetilmesi • Bakım Sözleşmesi İş Sürekliliği Önlemleri • Yedek Sistem Merkezi, Prosedür Ve Testler Bilişim Sistemleri Güvenliği Yöneticisi Ve Personel İstihdamı • Güvenlik Yöneticisi • Personel Sürekliliği • Personel Yetiştirilmesi Ve Eğitimi Ekmeğini tuştan çıkaran kız! 39
  • 40. Kritik Altyapılar Asgari Güvenlik Önlemleri Dokümantasyon • Politika Dokümanı • Kayıtların Yönetilmesi Bilgi Güvenliği Olaylarına Müdahale Ekmeğini tuştan çıkaran kız! 40
  • 42. Sorular Ekmeğini tuştan çıkaran kız! rumeysabozdemir@gmail.com rumeysabzdmr rumeysabzdmr goo.gl/xDcEFH Bilişimci Kız www.rumeysabozdemir.com 42