Haftanın Haberi
Bilgi güvenliği alanında tüm dünyada kabul görmüş ve prestiji her geçen gün artan CISSP sertifikası master derecesi yerine mi geçmeye başladı? Siz de bu hafta buna benzer paylaşımlar görmüşsünüzdür. Sevinçle bu haberi paylaşan sertifika sahiplerinden yüksek lisans tezini yazmayı bırakanları dahi duyabiliriz he an 😊 Peki durum gerçekten böyle mi? ISC2 sayfasından yapılan açıklamada CISSP sertifikasının master derecesi yerine geçmediği, ancak sertifikayı kazanmak için harcanan çabanın master derecesiyle aynı seviyede eğitim başarısı gerektirdiği ifade ediliyor. Tabii ki bu da çok güzel bir haber. Neticede sertifikanın değeri onu elde etmek için gösterilen çabayla doğrudan ilişkili. CISSP demişken 2014 yılında yazdığım "CISSP Tecrübelerim" adlı yazıyı da paylaşmak isterim. Belki bitirme tezi yazmaktan sıkılan varsa işine yarayabilir :)
Haberin detayına buradan ulaşabilirsiniz.
Haftanın Makalesi
2016-2019 yılları arasında en çok istismar edilen 10 zafiyet CISA (The Cybersecurity and Infrastructure Security Agency) ve FBI tarafından yayınlandı. Raporda dikkat çeken konular şöyle:
- En fazla zafiyet Microsft OLE (Object Linking and Embedding) teknolojisinde görülüyor. OLE, dosyalar arasında bilgi alışverişini sağlamak için kullanılıyor. Örneğin, bir excel dosyası içinden word belgesini açmak için OLE kullanılıyor. Uygulamalar arası iletişimde güvenlik hassasiyetinin önemi bir kez daha çıkmış oluyor.
- En fazla zafiyet görülen diğer teknoloji 2017 yılında Equifax'a ait 147 Milyon müşteri verisinin sızdırılmasına sebep olan zafiyeti de içeren Apache Struts. Apache Struts yaygın kullanıma sahip bir web uygulama frameworkü.
- Özellikle OLE zafiyetleri Çin, İran, Kuzey Kore ve Rusya devletleri tarafından desteklenen hacker grupları tarafından yoğunlukla kullanılıyor.
- 2020 yılında Citrix VPN ve Pulse Secure VPN zafiyetleri en fazla istismar edilenler arasında.
Zafiyetlerin detayları:
| Zafiyet Kodu | Etkilenen Sistemler |
CVE-2017-11882
|
Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016
|
CVE-2017-0199
|
Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
|
CVE-2017-5638
|
Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1
|
CVE-2012-0158
|
Microsoft Office 2003 SP3, 2007 SP2 and SP3, and 2010 Gold and SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, and 2008 SP2, SP3, and R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, and 2009 Gold and R2; Visual FoxPro 8.0 SP1 and 9.0 SP2; and Visual Basic 6.0
|
CVE-2019-0604
|
Microsoft SharePoint
|
CVE-2017-0143
|
Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607; and Windows Server 2016
|
CVE-2018-4878
|
Adobe Flash Player before 28.0.0.161
|
CVE-2017-8759
|
Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 and 4.7
|
CVE-2015-1641
|
Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services on SharePoint Server 2010 SP2 and 2013 SP1, and Office Web Apps Server 2010 SP2 and 2013 SP1
|
CVE-2018-7600
|
Drupal before 7.58, 8.x before 8.3.9, 8.4.x before 8.4.6, and 8.5.x before 8.5.1
|
Makaleye buradan ulaşabilirsiniz.
Haftanın İpucu
Saldırı tespit uygulamalarının (NTA, SIEM, EDR, aldatma teknolojileri gibi) gerekliliği her katmanda karşımıza çıkıyor. Kaynak ve bütçe planlamasında uygulanacak yönteme karar verilirken yapılan önceliklendirmede zorluklar yaşandığı durumlar olabiliyor. Peki sağladığı faydalar nelerdir, hangisini seçmeliyim diye soruyorusanız artı ve eksi yönlerini sizler için derledim*.
| Yöntem | Artı Yönleri | Eksi Yönleri |
| Network Trafik Analiz (NTA) Uygulamaları | Log altyapısına bağımlı olmaması | Şifreli trafik (encrypted) için sınırlı görünürlük |
| Tek tip veri kullanımının (trafik bilgileri) modellemeyi daha kolay sağlaması | Etkinliğin artırılması için çok fazla ağın izlenmesi | |
| Veri sızıntısı ve yatay yayılım aktivitelerinin daha doğru tespit edilmesi | Yüksek bant genişliği olan datanın kaydedilme zorluğu | |
| Flow datasının kullanılması ile sensore gerek olmayan mimari tasarlanabilmesi | Network dışı (lokal) aktivitelerin tespit edilememesi | |
| Ağ üzerinde taşınan dosyaların detaylı analizinin yapılabilmesi | Tespit edilen tehditlerin dar kapsamlı olması | |
| BYOD ve IoT gibi yönetilemeyen cihazların/uygulamaların izlenebilmesi | ||
| Merkezi Log Yönetim Uygulamaları (SIEM) | Lokal aktivitelerin ve tehditlerin (kötü niyetli iç kullanıcılar dahil) tespit edilmesi | Çok farklı türde ve sistemden log toplanması gerekliliği |
| Network ve uç noktaya göre daha güvenilir kullanıcı profilleme yapılabilmesi | Görünürlüğün loglarla sınırlı olması | |
| Tespit edilen tehditlerin daha geniş kapsamlı olması | Bilinmeyen log formatları için parser yazılma ihtiyacı olması | |
| BYOD, IoT gibi cihazlar ve uygulamaların log üretmemesi | ||
| Uç Nokta Tehdit Tespit ve Engelleme Uygulamalar (EDR) | Şifreli trafiğin olumsuzluk oluşturmaması (loglar trafik çözüldükten sonra oluşturulmaktadır) | Uç noktada ajan gerekliliği |
| Lokal aktivitelerin ve tehditlerin tespit edilebilmezi | Ajanların yönetim zorluğu ve performans problemine sebep olabilmesi | |
| Saldırganın sistemde yaptığı işlemlere ilişkin çok detaylı bilgi sağlanabilmesi | Printer, IoT vb. cihazların kapsanmaması | |
| Kurumsal ağda olmayan uzak sistemlerin kapsanması | Fraud amaçlı ağa takılmış cihazlara karşı görünürlük sağlanmaması | |
| Loglamanın aktifleştirilmesine ihtiyaç duyulmaması | ||
| Network şifrelemeden etkilenmemesi | ||
| Aldatma (Deception -Honeypot) Uygulamaları | Diğer yöntemlerle karşılaştırıldığında çok düşük false-positive oranının olması | Etkinliğin garanti edilememesi (saldırgan aldatma uygulamasına hiç erişim sağlamayabilir) |
| Tüm altyapıyı ajan, sensor vb. uygulamalarla kapsama ihtiyacının olmaması | Kurulum ve entegrasyon konusunda gizlilik gerektirmesi | |
| Operasyonel olarak daha kolay yönetim sağlaması |
* Artı ve eksi yönler teknolojiye ait genel ifadeleri içermektedir. Uygulama özelinde değerlendirme yapıldığında farklı sonuçlar çıkabilir.
* Kaynak: Gartner
* Kaynak: Gartner
Haftanın Nedir'i:
Kişisel veri nedir?
Kişisel veri, sahibi olduğu kişiyi tanımlayan, kişi hakkında özel ve genel bilgileri içeren her türlü veridir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik ve sosyal özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar.
Haftanın Sorusu:
Herkes tarafından açıkça görülebilen plaka numarası kişisel veri midir?
***
Haftanın Enleri Hakkında:
Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içerikler düzenli olarak yayınlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür.
0 comments:
Yorum Gönder