Mavi Takım Defansif Siber Güvenlik

Questions and Answers

Mavi Takım nedir?

Bir kurumun veya kuruluşun bilgi sistemlerini siber saldırılara karşı savunan ve koruyan uzmanlardan oluşan bir ekiptir.

Mavi Takımın görevleri nelerdir?

Tehdit istihbaratı, güvenlik açığı tespiti, olay müdahale, adli analiz, güvenlik önlemlerini geliştirme

Mavi Takımın önemi nedir?

Proaktif savunma, saldırıların etkisini azaltma, sürekli iyileştirme, uyumluluk, farkındalık, veri koruma ve iş sürekliliği gibi alanlarda katkı sağlar.

Tehdit istihbaratının amacı nedir?

Potansiyel siber saldırıları belirlemek, analiz etmek, savunma stratejilerini geliştirmek.

Güvenlik açığı tespiti ve sızma testlerinin amacı nedir?

Güvenlik açıklarını belirlemek, savunma mekanizmalarının test edilmesi.

Havacılık siber güvenliği için proaktif önlemler neyi amaçlar?

Siber saldırıları gerçekleşmeden önlemeyi

Siber güvenlik risklerini belirlemek, değerlendirmek ve yönetmek için bir ________________ programı uygulanmalıdır.

risk yönetimi

EASA siber güvenlik düzenlemeleri, uçakların ve hava trafik yönetim sistemlerinin siber saldırılara karşı korunmasını amaçlar.

True

Olay müdahale planları hangi adımları içermelidir?

Saldırının tespit edilmesi, kapsamının belirlenmesi, etkisinin azaltılması ve sistemlerin kurtarılması için gerekli adımları

Personel eğitimi ve farkındalığı neden önemlidir?

İnsan kaynaklı hataların neden olduğu güvenlik açıklarını azaltır

Denetimler, güvenlik kontrollerinin etkinliğini değerlendirmek için bir araçtır.

True

Havacılık sektöründe yasal ve düzenleyici uyumluluk, sürekli bir _______'tir.

süreçtir

Eşleştirme sorusu: Eğitim türlerini doğru kullanım alanlarıyla eşleştirin.

Siber güvenlik konferansları ve etkinlikleri = En son trendleri ve teknolojileri öğrenmek SANS Enstitüsü = Siber güvenlik eğitimleri ve sertifikasyonları sunmak MITRE ATT&CK Çerçevesi = Siber saldırıların taktiklerini, tekniklerini ve prosedürlerini sınıflandırmak Avrupa Havacılık Emniyeti Ajansı (EASA) = Avrupa Birliği'nde havacılık güvenliği ve siber güvenliği ile ilgili düzenlemeler yapmak

Havacılık sektöründe faaliyet gösteren Hacker Grupları (Hacktivistler) hangi amaçla hareket ederler?

Siyasi, sosyal veya ideolojik amaçlarla hareket etmek

Havacılık sektöründeki Devlet Destekli Saldırganların hedefleri neler olabilir?

Kritik altyapıya zarar verme, istihbarat toplama, uluslararası ilişkileri etkileme gibi hedefleri olabilir.

Sabotajcılar genellikle kişisel veya siyasi nedenlerle hareket ederler.

True

Zero-Day Saldırıları hangi tür sistemleri hedef alır? Bilinen bir güvenlik açığından yararlanarak henüz yaması olmayan _________ hedef alır.

sistemleri

Eşleştirme: Tehdit Tipleri ve Tanımları

Fidye Yazılımı (Ransomware) = Verileri şifreleyerek erişimi engeller Dağıtık Hizmet Reddi (DDoS) Saldırıları = Hedef sistemi çok sayıda istekle boğarak erişilemez hale getirir Zero-Day Saldırıları = Henüz yaması olmayan sistemleri hedef alır Kimlik Avı (Phishing) = Kişisel bilgileri veya kimlik bilgilerini çalmaya çalışan saldırılar Sosyal Mühendislik = Güvenlik bilgilerini veya sistemlere erişimi elde etmeye çalışan saldırılar

Tehdit istihbaratının amacı nedir?

Saldırıların erken tespit edilmesine ve önlenmesine yardımcı olmak

Mavi takımın yanıt verme sürecinde hangi adımları içerir?

Olay analizi, kapsama ve yok etme, kurtarma, dersler çıkarılanlar (lessons learned)

Güvenlik olayı yönetimi, bir siber güvenlik olayının tespit edilmesinden başlayarak _________ aşamalarını içeren bir süreçtir.

analiz edilmesi, müdahale edilmesi, kurtarma ve dersler çıkarılması

Eşleştirme: Havacılık sektörüne özgü güvenlik olayı yönetimi zorlukları

Kritik Altyapı = Uçuş güvenliği ve yolcu güvenliği için büyük önem taşır Karmaşık Sistemler = Olayların kapsamını belirlemede zorluk çıkarabilir Yasal ve Düzenleyici Gereksinimler = Havacılık sektörü sıkı güvenlik standartlarına tabidir Hızlı Müdahale Gereksinimi = Güvenlik olaylarının ciddi sonuçları olabilir

Siber güvenlik olaylarının raporlanması ve risklerin yönetim kademesine iletilmesi hangi amaçla yapılır?

Gerçek zamanlı tehdit tespiti ve olay müdahalesi sağlamak.

Güvenlik Bilgi ve Olay Yönetimi (______) Sistemleri, farklı kaynaklardan gelen güvenlik loglarını toplar, ilişkilendirir, analiz eder ve anormallikleri tespit ederek güvenlik ekiplerini uyarır. ______, log verilerinin merkezi olarak yönetimi ve analizini sağlar ve uyum ve raporlama gereksinimlerini karşılar. Örnek ______ sistemlerinden biri olan 'Splunk', 'IBM QRadar', 'LogRhythm', 'McAfee Enterprise Security Manager' gibi araçlar kullanılmaktadır.

SIEM

Aşağıdakilerden hangisi Sızma Testi veya Güvenlik Açığı Taraması için kullanılan araçlardan biridir?

Nmap

Davranış Tabanlı Tespit, normal sistemin veya kullanıcının davranışından sapmaları tespit ederek saldırıları belirlemek için kullanılır. Ancak, yanlış pozitif oranı daha yüksek olabilir ve daha fazla ayar ve bakım gerektirir.

True

Eşleştirme sorusu: Aşağıdaki tekniklerin doğru açıklamalarıyla eşleştirilmesi gerekmektedir:

İstatistiksel Anomali Tespiti = Normal davranışın istatistiksel modellerini oluşturarak sapmaları belirleme Makine Öğrenimi Tabanlı Anomali Tespiti = Makine öğrenimi algoritmalarını kullanarak normal ve anormal davranışları ayırt etme Kural Tabanlı Anomali Tespiti = Önceden tanımlanmış kurallara göre anormal davranışları tespit etme

Study Notes

Mavi Takım Defansif Siber Güvenlik

1. Giriş

• Mavi takım, bir kurumun bilgi sistemlerini siber saldırılara karşı savunan ve koruyan uzmanlardan oluşan bir ekibe verilen isimdir.
• Mavi takımın görevleri: tehdit istihbaratı, güvenlik açığı tespiti, olay müdahale, adli analiz ve güvenlik önlemlerini geliştirmektir.

1.1 Mavi Takım Nedir?

• Mavi takım, sürekli olarak sistemleri izler, güvenlik açıklarını tespit eder, saldırıları önler ve meydana gelen saldırılara müdahale eder.
• Mavi takımın görevleri:
  • Tehdit istihbaratı: Potansiyel tehditleri belirlemek ve analiz etmek için sürekli olarak bilgi toplar ve değerlendirir.
  • Güvenlik açığı tespiti: Sistemlerdeki zayıflıkları belirlemek için sızma testleri ve güvenlik taramaları gerçekleştirir.
  • Olay müdahale: Saldırıları tespit eder, analiz eder ve saldırının etkisini en aza indirmek için hızlı ve etkili bir şekilde müdahale eder.
  • Adli analiz: Saldırının kaynağını belirlemek ve gelecekteki saldırıları önlemek için delil toplar ve analiz eder.
  • Güvenlik önlemlerini geliştirmek: Sistemleri daha güvenli hale getirmek için sürekli olarak güvenlik politikalarını, prosedürlerini ve teknolojilerini günceller.

1.2 Mavi Takımın Önemi

• Mavi takım, günümüzün dijitalleşen dünyasında kurumların siber güvenlik sağlığı için hayati bir öneme sahiptir.
• Mavi takımın önemi:
  • Proaktif savunma: Saldırıların önlenmesini sağlar.
  • Saldırılarının etkisini azaltma: Saldırılarının etkisini en aza indirmek için hızlı müdahale sağlar.
  • Sürekli iyileştirme: Her saldırıdan ders çıkarır ve güvenlik önlemlerini sürekli olarak iyileştirir.
  • Uyum ve düzenlemelere uyumlu: Kurumun yasal yükümlülüklerini yerine getirmesini ve cezai yaptırımlardan kaçınmasını sağlar.
  • Farkındalık ve eğitim: Çalışanların siber güvenlik farkındalığını artırmak için çalışır.

2. Temel Kavramlar

• Tehdit istihbaratı: Potansiyel siber saldırıları belirlemek, önlemek ve bunlara müdahale etmek için kullanılan bilgi toplama ve analiz sürecidir.
• Güvenlik açığı tespiti ve sızma testi: Sistemlerdeki zayıf noktaları belirlemek için kullanılan tekniklerdir.
• Olay müdahale: Siber saldırıların tespit edilmesi, analiz edilmesi, saldırının etkisini en aza indirilmesi ve sistemlerin normale dönmesi sürecidir.
• Adli analiz: Siber saldırıların ardından delil toplama, analiz etme ve raporlama sürecidir.

2.1 Siber Güvenlik Temel Kavramları

• Tehdit istihbaratı:
  • Tanım: Tehdit istihbaratı, potansiyel siber saldırıları belirlemek, önlemek ve bunlara müdahale etmek için kullanılan bilgi toplama ve analiz sürecidir.
  • Amaç: Bilinen ve yeni ortaya çıkan tehditleri belirlemek, saldırıların olası hedeflerini ve yöntemlerini anlamak, saldırıların potansiyel etkilerini değerlendirmek, savunma stratejilerini geliştirmek.
  • Kaynaklar: OSINT, kapalı kaynak istihbaratı, kendi ağ ve sistem logları.
• Güvenlik açığı tespiti ve sızma testi:
  • Tanım: Güvenlik açığı tespiti, sistemlerdeki zayıf noktaları belirlemek için kullanılan tekniklerdir.
  • Amaç: Sistemlerdeki güvenlik açıklarını belirlemek, saldırıların olası hedeflerini ve yöntemlerini anlamak, savunma mekanizmalarının etkinliğini test etmek.
  • Türleri: Dış sızma testi, iç sızma testi, web uygulaması sızma testi, sosyal mühendislik testi.

2.2 Tehdit Aktörleri ve Tehdit Tipleri

• Tehdit aktörleri: Hacker grupları, devlet destekli saldırganlar, organize suç örgütleri, içeriden tehditler.
• Tehdit tipleri: Fidye yazılımı, dağıtık hizmet reddi, zero-day saldırıları, kimlik avı, sosyal mühendislik, tedarik zinciri saldırıları.

2.3 Savunma Stratejileri ve Modelleri

• Proaktif savunma: Sızma testi, güvenlik açığı tarama, güvenlik duvarı, ağ segmentasyonu, uç nokta koruma, eğitim ve farkındalık.
• Olay müdahale: Olay müdahale planı, hızlı tespit ve müdahale, adli analiz, iyileştirme ve kurtarma, dersler çıkarılanlar.
• Sıfır güven modeli: Hiçbir kullanıcıya veya cihaza otomatik olarak güvenmeme, kimlik doğrulama ve yetkilendirme süreçlerini güçlendirme, ağ erişimini kısıtlama ve mikro segmentasyon uygulama, sürekli doğrulama ve izleme.
• Savunma derinliği: Birden fazla güvenlik katmanı oluşturarak saldırganların sisteme sızmasını zorlaştırma, farklı güvenlik teknolojileri ve kontrol noktaları oluşturma.
• Tehdit avlama: Proaktif olarak saldırıları tespit etmek için avlanma tekniklerini kullanma, saldırı hipotezleri oluşturma, logları ve diğer verileri analiz ederek saldırı izlerini arama.### Süreç Yönetimi
• Veri Toplama: Ağ trafiği, sistem logları, güvenlik olayları, kullanıcı davranışları gibi çeşitli kaynaklardan veri toplanır.
• Veri Analizi: Toplanan veriler, güvenlik analistleri tarafından analiz edilir. Anormallikler, saldırı belirtileri ve güvenlik açıkları aranır.
• Olay Tespit ve Önceliklendirme: Potansiyel güvenlik olayları tespit edilir ve önem derecelerine göre önceliklendirilir.
• Olay Müdahale: Öncelikli olaylara hızlı bir şekilde müdahale edilir. Saldırının yayılması engellenir, etkilenen sistemler izole edilir ve temizlenir.
• Raporlama ve İyileştirme: Olay hakkında detaylı raporlar hazırlanır, ilgili birimlere bilgi verilir ve güvenlik önlemlerinin iyileştirilmesi için öneriler sunulur.

Kullanılan Araçlar ve Teknolojiler

• Güvenlik Bilgi ve Olay Yönetimi (SIEM) Sistemleri: Farklı kaynaklardan gelen logları toplar, ilişkilendirir, analiz eder ve anormallikleri tespit eder.
• Uç Nokta Tespit ve Müdahale (EDR) Çözümleri: Uç noktalardaki şüpheli aktivitelerini tespit eder ve saldırılara karşı otomatik müdahale sağlar.
• Ağ İzleme ve Analiz Araçları: Ağ trafiğini analiz ederek anormallikleri ve saldırı belirtilerini tespit eder.
• Güvenlik Açığı Tarama Araçları: Sistemlerdeki güvenlik açıklarını tespit ederek saldırıların önlenmesine yardımcı olur.
• Tehdit İstihbaratı Platformları: Bilinen tehditler hakkında bilgi sağlar ve saldırıları erken aşamada tespit etmeye yardımcı olur.

Tehdit Tespiti ve Yanıt Verme

• Tehdit Tespiti: Ağ trafiğinin, sistem loglarının, kullanıcı davranışlarının ve diğer kaynakların analiz edilmesi ile tehditler tespit edilir.
• İzleme ve Log Analizi: Mavi takım, havacılık sistemlerinin ağ trafiğini, güvenlik loglarını ve sistem olaylarını sürekli olarak izler.
• Güvenlik Açığı Taramaları: Havacılık sistemlerindeki güvenlik açıklarını belirlemek için düzenli olarak güvenlik açığı taramaları gerçekleştirilir.
• Tehdit İstihbaratı: Saldırıların erken aşamada tespit edilmesine yardımcı olur.

Yanıt Verme

• Olay Analizi: Saldırının türünü, kaynağını, etkisini ve kapsamını belirlemek için detaylı bir analiz yapılır.
• Kapsama ve Yok Etme: Saldırının yayılmasını önlemek için etkilenen sistemleri izole edilir veya ağdan ayrılır.
• Kurtarma: Etkilenen sistemleri yedeklerden geri yükleyerek veya diğer yöntemlerle normal çalışma durumuna getirir.
• Dersler Çıkarılanlar: Olayın nedenlerini ve nasıl gerçekleştiğini analiz eder, gelecek saldırıların önlenmesi için öneriler geliştirir.

Havacılık Sektörüne Özgü Zorluklar

• Karmaşık Sistemler: Havacılık sistemleri, çok sayıda farklı bileşen ve teknolojiden oluşur. Bu karmaşıklık, güvenlik açıklarını tespit etmeyi ve saldırılara yanıt vermeyi zorlaştırabilir.

• Gerçek Zamanlı Operasyonlar: Havacılık operasyonları, gerçek zamanlı olarak gerçekleştirilir ve herhangi bir kesinti ciddi sonuçlara yol açabilir.

• Düzenlemelere Uygunluk: Havacılık sektörü, sıkı güvenlik düzenlemelerine tabidir. Mavi takım, bu düzenlemelere uygunluğu sağlamak için sürekli olarak çalışmalıdır.### Siber Güvenlik Mavi Takımının Çalışmaları

• Uç noktalardaki saldırıları tespit etme ve engelleme

• Saldırının yayılmasını önleme

• Etkilenen uç noktaları izole etme ve temizleme

Kum Havuzu (Sandbox) Ortamları

• Bilinmeyen veya sıfır gün tehditlerini tespit etme
• Zararlı yazılımların davranışlarını analiz etme
• Güvenlik ürünlerinin etkinliğini test etme

Tehdit İstihbaratı Platformları

• Bilinen tehditler hakkında bilgi edinme
• Yeni ortaya çıkan tehditleri takip etme
• Saldırıları önlemek ve müdahale etmek için stratejiler geliştirme

Tehdit Tespiti ve İzleme

Anormal Davranış Tespiti

• Normal davranışın istatistiksel modellerini oluşturarak sapmaları belirleme
• Makine öğrenimi algoritmalarını kullanarak normal ve anormal davranışları ayırt etme
• Önceden tanımlanmış kurallara göre anormal davranışları tespit etme
• Yanlış pozitiflerin önlenmesi ve normal davranışın zaman içinde değişebileceği gerçeğini hesaba katma

Log Analizi ve Korelasyon

• Sistemlerin oluşturduğu logları inceleyerek güvenlik olaylarını tespit etme ve analiz etme
• Saldırıları tespit etmek ve zaman çizelgesini oluşturmak
• Saldırganların kullandığı teknikleri ve taktikleri anlamak
• Gelecekteki saldırıları önlemek için güvenlik önlemlerini iyileştirmek

İmza Tabanlı ve Davranış Tabanlı Tespit

• Bilinen saldırıların veya zararlı yazılımların imzalarını kullanarak tespit etme
• Normal sistem veya kullanıcı davranışından sapmaları tespit etme yöntemidir
• Bilinmeyen veya sıfır gün saldırılarını tespit edebilir

Olay Müdahale Süreci

Olay Tanımlama ve Önceliklendirme

• Güvenlik olayının varlığını doğrulama ve potansiyel etkisini değerlendirme
• Gerçek tehditleri yanlış alarmlardan ayırmak
• Olayın ciddiyetini belirlemek ve önceliklendirmek
• Müdahale için gerekli kaynakları belirlemek

İlk Müdahale ve Kapsam Belirleme

• Olayın yayılmasını engellemek ve daha fazla zarar vermesini önlemek için hızlı ve etkili bir şekilde müdahale etme
• Kritik sistemleri ve verileri korumak
• Olayla ilgili daha fazla bilgi toplamak

Olay İzolasyonu ve Hasar Değerlendirme

• Olayın etkisini detaylı bir şekilde analiz etme
• Etkilenen sistemlerin tam listesini çıkarmak
• Veri kaybı veya diğer zararları tespit etmek
• Kurtarma ve iyileştirme için bir plan oluşturmak

İyileştirme ve Raporlama

• Etkilenen sistemleri onarmak
• Güvenlik açıklarını gidermek
• Olay hakkında rapor hazırlama
• Rapor, olayın özetini, nedenlerini, etkilerini, alınan önlemleri ve gelecekteki önerileri içermelidir

Proaktif Güvenlik Önlemleri

• Sızma testleri ve güvenlik açığı taramaları
• Kod incelemeleri ve Yapılandırma Denetimleri
• Risk Değerlendirmeleri
• Eğitim ve Farkındalık Programları

Belgeleme ve Raporlama

• Olay Raporları
• Düzenli Güvenlik Değerlendirmeleri
• Yönetim Raporlaması

Yasal ve Düzenleyici Uyumluluk

• Uluslararası ve yerel standartlar ve düzenlemeler
• Yerel ve Uluslararası Standartlar (ICAO, EASA, FAA)
• Uyumluluk Gereksinimleri ve Denetimleri

Description

Mavi Takım savunma stratejilerinin ve savunma kavramlarının öğrenilmesi için bir quiz. Siber güvenlik temelleri, tehdit aktörleri ve savunma modelleri gibi konuları kapsamaktadır.