Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi

Eğitim Tanımı:Bankacılık Düzenleme ve Denetleme Kurulu tarafından bilgi sistemlerine yönelik olarak siber ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir değişim ve gelişim göstermesi nedeniyle 27.01.2011 tarih ve 4022 sayılı BDDK Kararı ile Tebliğ’in söz konusu 7 nci maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm ile sızma testlerinin düzenli aralıklarla yapılması zorunlu kılınmıştır. Genelgede yer alan sızma testi çalışmalarının sonuçlarının kontrolü teftiş ekiplerine yüklenmiştir.

Bu bağlamda teftiş ekiplerinin sızma testi sonuçlarını kontrol edebilmesi  ve banka çalışanlarının sızma testi sonuçlarını daha iyi yorumlayabilmelerine katkı sağlamak amacıyla Bilgi Güvenliği AKADEMİSİ tarafından özel bir eğitim içeriği hazırlanmıştır.

 BDDK Kapsamlı Sızma Testi Eğitimi,  sanallaştırma sistemleri kullanılarak tasarlanmış örnek bir banka sistemini (Bir bankada bulunabilecek -internet bankacılığı dahil- tüm sistemler yer almaktadır) ve bu altyapı üzerinde ilgili genelgede yer alan tüm başlıkları uygulamalı olarak göstermeyi amaçlamaktadır.

Eğitim, Türkiye’de 20 farklı bankaya yönelik gerçekleştirilen sızma testi çalışmalarında aktif rol almış eğitmenler eşliğinde senaryolu ve uygulamalı olarak işlenecektir.

Katılımcılara BGA tarafından bankalara yönelik sızma testlerinde kullanılmak üzere hazırlanmış ve tüm alt maddeleri kapsayan 300 maddelik sızma testi kontrol listesi ücretsiz olarak verilecektir.

Kimler Katılmalı: Banka IT teftiş ekibi çalışanları, bankalarda çalışan güvenlik birimi çalışanları

NOT: İlgili eğitim sadece  Türkiye’de hizmet veren banka  çalışanlarına yönelik olup farklı kategorideki firmalardan kayıt alınmamaktadır.

Kontenjan: Eğitim kontenjanı 15 kişi ile sınırlıdır. Aynı bankadan en fazla 3 katılımcı kabul edilmektedir.

 

Eğitim Tarihleri:

  • 8-10 Kasım 2013

  • 13-15 Aralık 2013

Kayıt ve Eğitim Ücreti :[email protected] adresine “BDDK Kapsamlı Sızma Testi Eğitimi” konulu e-posta gönderilmesi yeterli olacaktır.

Eğitmenler: Ozan UÇAR, Huzeyfe ÖNAL

Özet Eğitim İçeriği:

 Bilgi Güvenliğinde Sızma Testleri ve Önemi

Genel sızma testi kavramları

Sızma testi çeşitleri

White-box, Black-box, gray-box penetrasyon test cesitleri

Sızma testi adımları ve metodolojileri

Sızma testlerinde kullanılan ticari ve ücretsiz yazılımlar

Sızma testi raporu yazma

 

Sızma Testlerinde Keşif ve Bilgi Toplama Çalışmaları

Bilgi toplama çeşitleri

Aktif bilgi toplama

Pasif bilgi toplama

Açık kaynaklardan banka çalışan ve müşterilerine ait hassas bilgi toplama

Arama motorlarını kullanarak banka ağı ve çalışanlarına yönelik bilgi toplama

Güncel bilgi ve istihbarat toplama araçlarının sızma testlerinde kullanımı

Örnek senaryo

BDDK Sızma Testi Teknik Kapsam ve Uygulamalar

İletişim Altyapısı ve Aktif Cihazlar Sızma Testi

Ağ ve güvenlik cihazlarına yönelik güvenlik testleri

Tünelleme yöntemleri kullanarak Firewall/IPS atlatma

İçerik filtrelemeler servislerini atlatma denemeleri

Yerel agda kullanılan ağ cihazlarına yönelik parola denemeleri

Yerel ağ güvenlik testleri

 

DNS Servislerine Yönelik Sızma Testi Çalışmaları

DNS servisi kullanarak bilgi edinme çalışmaları

DNS sunuculara yönelik güvenlik denetimi kontrol listesi

Etki Alanı ve Kullanıcı Bilgisayarları Sızma Testi Çalışmaları

Son kullanıcı bilgisayarı güvenlik testleri

Anti-virüs atlatma testleri

Veri sızdırma denemeleri ve DLP atlatma testleri

Port/protokol kısıtlamalarını aşma

Yetki yükseltme saldırıları

Fiziksel erişim ile yetki yükseltme

E-posta Servisleri Güvenlik Testleri

E-posta servisi üzerinden banka iç ağı hakkında bilgi edinme

Sahte e-posta gönderim denemeleri

Kullanılan Anti-Spam/Virüs sistemlerinin testleri

 

Veritabanı Sistemlerine Yönelik Sızma Testi Çalışmaları

Veritabanlarına yönelik (Mssql,Oracle,Mysql,Postgresql vb.) sızma testi girişimi

Veritabanı zafiyetleri kullanarak işletim sistemi ele geçirme denemeleri

Veritabanı güvenlik zafiyetlerinin tespit edilmesi

Veritabanı sistemi kullanıcılarına yönelik parola testleri

 

Web Uygulamalarına Yönelik Sızma Testi Çalışmaları

Web uygulamalarına yönelik güvenlik testleri

OWASP top 10 2013 kontrol listesi denetimi

Otomatize araçlar kullanarak web güvenlik testleri ve avataj/dezavantajları

Web Servislerinin Denetlenmesi

 

Kablosuz Ağ Sistemlerine Yönelik Sızma Testi Çalışmaları

Gizli ve Açık SSID ile Yayın Yapan Kablosuz Ağların Tespiti

Wep Korumalı Kablosuz Ağlara Yönelik  Parola Kırma Saldırıları

WPA Korumalı Kablosuz Ağlara Yönelik Parola Kırma Saldırıları

WPA Enterprise KullananKablosuz Ağlara Yönelik Saldırılar

Sahte Kablosuz Ağ Kurulumu ve Sosyal Mühendislik Saldırıları

Kablosuz Ağların ve/veya Kablosuz Ağ Kullanıcılarının Sinyallerini Kesmek

 

ATM Sistemleri Sızma Testleri

ATM sistemlerine yönelik sızma testi adımları

ATM sistem yöneticisine ait bilgilerin ağ ortamı/paylasımlardan elde edilmesi

 

Dağıtık Servis Dışı Bırakma Testleri

DoS/DDoS saldırıları ve amaçları

Güncel olarak gerçekleştirilen DDoS saldırı çeşitleri

Örnek DoS/DDoS saldırısı gerçekleştirme ve doğrulama

 

Sosyal Mühendislik Testleri

Farklı sosyal mühendislik testi senaryoları

Telefon ve e-posta üzerinden sosyal mühendislik denemesi

Sosyal mühendislik sonrası elde edilen bilgilerin aktif sistemlerde kullanımı

Sosyal mühendislik saldırılarına karşı çözüm önerileri

Örnek Bir Sızma Testi Raporu Yazımı ve İncelemesi

Uygulama Senaryoları

  1. Kısıtlı kullanıcı yetkilerine sahip, bilgisayarı ele geçirilmiş veya kötü niyetli çalışanın yetki yükseltme ve iç ağda erişim elde etme girişimi.

  2. Sosyal Mühendislik saldırıları ile banka çalışanlarının eposta,vpn vb. bilgilerine erişim ve iç ağa sızma girişimleri.

  3. Misafir kullanıcılarının, siber saldırıları ve fiziksel olarak banka sistemlerine erişim senaryoları.

  4. İç ağdaki bir kullanıcının DLP/IPS/Firewall/Antivirus vb. tüm koruma sistemlerini atlatarak veri sızdırması veya uzakdan bir casus yazılımı iç ağa dahil etmesi.

  5. Mobile bankacılık uygulamalarındaki kritik güvenlik açıklıklarının keşfi ve sömürülmesi senaryoları (pratik olarak tecrübe edinmiş uygulamalar yer alacaktır)

  6. Banka alt yapısınını (bankacılık uygulamaları, internet şubesi vb.)  devre dışı bırakacak DDOS/Botnet saldırı uygulamaları.

  7. Farklı açıklıklarla, yetkili kullanıcı haklarını ele geçirme ve Domain Admin olma.

  8. Tanınmaz casus yazılımlar oluşturma ve şifreli iletişim kanalları yaratmak.

  9. Banka çalışanlarının kurumsal hiyerarşilerini oluşturmak (Operasyonel ekipler, müdür-personel ilişkisi ve statüler vb.)

  10. ATM sistemlerini ele geçirmek için yapılan saldırılar ve ATM’nin kontrolünü internetten gerçekleştirmek.

  11. Bankacılık ağlarında kullanılan Loglama sistemlerinden kaçış ve atlatma uygulamaları.
This entry was posted in Activity. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

twenty − seventeen =