Eğitim Tanımı:Bankacılık Düzenleme ve Denetleme Kurulu tarafından bilgi sistemlerine yönelik olarak siber ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir değişim ve gelişim göstermesi nedeniyle 27.01.2011 tarih ve 4022 sayılı BDDK Kararı ile Tebliğ’in söz konusu 7 nci maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm ile sızma testlerinin düzenli aralıklarla yapılması zorunlu kılınmıştır. Genelgede yer alan sızma testi çalışmalarının sonuçlarının kontrolü teftiş ekiplerine yüklenmiştir.
Bu bağlamda teftiş ekiplerinin sızma testi sonuçlarını kontrol edebilmesi ve banka çalışanlarının sızma testi sonuçlarını daha iyi yorumlayabilmelerine katkı sağlamak amacıyla Bilgi Güvenliği AKADEMİSİ tarafından özel bir eğitim içeriği hazırlanmıştır.
BDDK Kapsamlı Sızma Testi Eğitimi, sanallaştırma sistemleri kullanılarak tasarlanmış örnek bir banka sistemini (Bir bankada bulunabilecek -internet bankacılığı dahil- tüm sistemler yer almaktadır) ve bu altyapı üzerinde ilgili genelgede yer alan tüm başlıkları uygulamalı olarak göstermeyi amaçlamaktadır.
Eğitim, Türkiye’de 20 farklı bankaya yönelik gerçekleştirilen sızma testi çalışmalarında aktif rol almış eğitmenler eşliğinde senaryolu ve uygulamalı olarak işlenecektir.
Katılımcılara BGA tarafından bankalara yönelik sızma testlerinde kullanılmak üzere hazırlanmış ve tüm alt maddeleri kapsayan 300 maddelik sızma testi kontrol listesi ücretsiz olarak verilecektir.
Kimler Katılmalı: Banka IT teftiş ekibi çalışanları, bankalarda çalışan güvenlik birimi çalışanları
NOT: İlgili eğitim sadece Türkiye’de hizmet veren banka çalışanlarına yönelik olup farklı kategorideki firmalardan kayıt alınmamaktadır.
Kontenjan: Eğitim kontenjanı 15 kişi ile sınırlıdır. Aynı bankadan en fazla 3 katılımcı kabul edilmektedir.
Eğitim Tarihleri:
-
8-10 Kasım 2013
-
13-15 Aralık 2013
Kayıt ve Eğitim Ücreti :[email protected] adresine “BDDK Kapsamlı Sızma Testi Eğitimi” konulu e-posta gönderilmesi yeterli olacaktır.
Eğitmenler: Ozan UÇAR, Huzeyfe ÖNAL
Özet Eğitim İçeriği:
Bilgi Güvenliğinde Sızma Testleri ve Önemi
Genel sızma testi kavramları
Sızma testi çeşitleri
White-box, Black-box, gray-box penetrasyon test cesitleri
Sızma testi adımları ve metodolojileri
Sızma testlerinde kullanılan ticari ve ücretsiz yazılımlar
Sızma testi raporu yazma
Sızma Testlerinde Keşif ve Bilgi Toplama Çalışmaları
Bilgi toplama çeşitleri
Aktif bilgi toplama
Pasif bilgi toplama
Açık kaynaklardan banka çalışan ve müşterilerine ait hassas bilgi toplama
Arama motorlarını kullanarak banka ağı ve çalışanlarına yönelik bilgi toplama
Güncel bilgi ve istihbarat toplama araçlarının sızma testlerinde kullanımı
Örnek senaryo
BDDK Sızma Testi Teknik Kapsam ve Uygulamalar
İletişim Altyapısı ve Aktif Cihazlar Sızma Testi
Ağ ve güvenlik cihazlarına yönelik güvenlik testleri
Tünelleme yöntemleri kullanarak Firewall/IPS atlatma
İçerik filtrelemeler servislerini atlatma denemeleri
Yerel agda kullanılan ağ cihazlarına yönelik parola denemeleri
Yerel ağ güvenlik testleri
DNS Servislerine Yönelik Sızma Testi Çalışmaları
DNS servisi kullanarak bilgi edinme çalışmaları
DNS sunuculara yönelik güvenlik denetimi kontrol listesi
Etki Alanı ve Kullanıcı Bilgisayarları Sızma Testi Çalışmaları
Son kullanıcı bilgisayarı güvenlik testleri
Anti-virüs atlatma testleri
Veri sızdırma denemeleri ve DLP atlatma testleri
Port/protokol kısıtlamalarını aşma
Yetki yükseltme saldırıları
Fiziksel erişim ile yetki yükseltme
E-posta Servisleri Güvenlik Testleri
E-posta servisi üzerinden banka iç ağı hakkında bilgi edinme
Sahte e-posta gönderim denemeleri
Kullanılan Anti-Spam/Virüs sistemlerinin testleri
Veritabanı Sistemlerine Yönelik Sızma Testi Çalışmaları
Veritabanlarına yönelik (Mssql,Oracle,Mysql,Postgresql vb.) sızma testi girişimi
Veritabanı zafiyetleri kullanarak işletim sistemi ele geçirme denemeleri
Veritabanı güvenlik zafiyetlerinin tespit edilmesi
Veritabanı sistemi kullanıcılarına yönelik parola testleri
Web Uygulamalarına Yönelik Sızma Testi Çalışmaları
Web uygulamalarına yönelik güvenlik testleri
OWASP top 10 2013 kontrol listesi denetimi
Otomatize araçlar kullanarak web güvenlik testleri ve avataj/dezavantajları
Web Servislerinin Denetlenmesi
Kablosuz Ağ Sistemlerine Yönelik Sızma Testi Çalışmaları
Gizli ve Açık SSID ile Yayın Yapan Kablosuz Ağların Tespiti
Wep Korumalı Kablosuz Ağlara Yönelik Parola Kırma Saldırıları
WPA Korumalı Kablosuz Ağlara Yönelik Parola Kırma Saldırıları
WPA Enterprise KullananKablosuz Ağlara Yönelik Saldırılar
Sahte Kablosuz Ağ Kurulumu ve Sosyal Mühendislik Saldırıları
Kablosuz Ağların ve/veya Kablosuz Ağ Kullanıcılarının Sinyallerini Kesmek
ATM Sistemleri Sızma Testleri
ATM sistemlerine yönelik sızma testi adımları
ATM sistem yöneticisine ait bilgilerin ağ ortamı/paylasımlardan elde edilmesi
Dağıtık Servis Dışı Bırakma Testleri
DoS/DDoS saldırıları ve amaçları
Güncel olarak gerçekleştirilen DDoS saldırı çeşitleri
Örnek DoS/DDoS saldırısı gerçekleştirme ve doğrulama
Sosyal Mühendislik Testleri
Farklı sosyal mühendislik testi senaryoları
Telefon ve e-posta üzerinden sosyal mühendislik denemesi
Sosyal mühendislik sonrası elde edilen bilgilerin aktif sistemlerde kullanımı
Sosyal mühendislik saldırılarına karşı çözüm önerileri
Örnek Bir Sızma Testi Raporu Yazımı ve İncelemesi
Uygulama Senaryoları
-
Kısıtlı kullanıcı yetkilerine sahip, bilgisayarı ele geçirilmiş veya kötü niyetli çalışanın yetki yükseltme ve iç ağda erişim elde etme girişimi.
-
Sosyal Mühendislik saldırıları ile banka çalışanlarının eposta,vpn vb. bilgilerine erişim ve iç ağa sızma girişimleri.
-
Misafir kullanıcılarının, siber saldırıları ve fiziksel olarak banka sistemlerine erişim senaryoları.
-
İç ağdaki bir kullanıcının DLP/IPS/Firewall/Antivirus vb. tüm koruma sistemlerini atlatarak veri sızdırması veya uzakdan bir casus yazılımı iç ağa dahil etmesi.
-
Mobile bankacılık uygulamalarındaki kritik güvenlik açıklıklarının keşfi ve sömürülmesi senaryoları (pratik olarak tecrübe edinmiş uygulamalar yer alacaktır)
-
Banka alt yapısınını (bankacılık uygulamaları, internet şubesi vb.) devre dışı bırakacak DDOS/Botnet saldırı uygulamaları.
-
Farklı açıklıklarla, yetkili kullanıcı haklarını ele geçirme ve Domain Admin olma.
-
Tanınmaz casus yazılımlar oluşturma ve şifreli iletişim kanalları yaratmak.
-
Banka çalışanlarının kurumsal hiyerarşilerini oluşturmak (Operasyonel ekipler, müdür-personel ilişkisi ve statüler vb.)
-
ATM sistemlerini ele geçirmek için yapılan saldırılar ve ATM’nin kontrolünü internetten gerçekleştirmek.
- Bankacılık ağlarında kullanılan Loglama sistemlerinden kaçış ve atlatma uygulamaları.