Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi

Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) tarafından bilgi sistemlerine yönelik olarak siber ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir değişim ve gelişim göstermesi nedeniyle 27.01.2011 tarih ve 4022 sayılı BDDK Kararı ile Tebliğ’in söz konusu 7 nci maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm ile sızma testlerinin düzenli aralıklarla yapılması zorunlu kılınmıştır.

EĞİTİME BAŞVUR

Genelgede yer alan sızma testi çalışmalarının sonuçlarının kontrolü teftiş ekiplerine yüklenmiştir. Bu bağlamda teftiş ekiplerinin sızma testi sonuçlarını kontrol edebilmesi ve banka çalışanlarının sızma testi sonuçlarını daha iyi yorumlayabilmelerine katkı sağlamak amacıyla Bilgi Güvenliği AKADEMİSİ tarafından özel bir eğitim içeriği hazırlanmıştır.

BDDK Kapsamlı Sızma Testi Eğitimi

BDDK Kapsamlı Sızma Testi Eğitimi, sanallaştırma sistemleri kullanılarak tasarlanmış örnek bir banka sistemini (Bir bankada bulunabilecek -internet bankacılığı dahil- tüm sistemler yer almaktadır) ve bu altyapı üzerinde ilgili genelgede yer alan tüm başlıkları uygulamalı olarak göstermeyi amaçlamaktadır.

Eğitim, Türkiye’de 20 farklı bankaya yönelik gerçekleştirilen sızma testi çalışmalarında aktif rol almış eğitmenler eşliğinde senaryolu ve uygulamalı olarak işlenecektir. Katılımcılara BGA tarafından bankalara yönelik sızma testlerinde kullanılmak üzere hazırlanmış ve tüm alt maddeleri kapsayan 300 maddelik sızma testi kontrol listesi ücretsiz olarak verilecektir.

NOT: İlgili eğitim sadece Türkiye’de hizmet veren banka çalışanlarına yönelik olup farklı kategorideki firmalardan kayıt alınmamaktadır.

Eğitim hakkında detaylı bilgi için kayıt formunu doldurabilir veya egitim@bga.com.tr adresimiz ile iletişime geçebilirsiniz. Eğitim başlıkları ve konular aşağıdaki bölümde belirtilmiştir.

Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi

Eğitim takvimini inceleyerek eğitim programınızı oluşturun!

EĞİTİM TAKVİMİ

Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi İçeriği

Eğitim içeriklerini görmek için başlıklara tıklayınız

Orta Seviye

3 Gün

Sızma Testi Temel Bilgisi

BGA Security tarafından katılım sertifikası verilecektir.

Bilgi Güvenliğinde Sızma Testleri ve Önemi

Ağ ve güvenlik cihazlarına yönelik güvenlik testleri
Tünelleme yöntemleri kullanarak Firewall/IPS atlatma
İçerik filtrelemeler servislerini atlatma denemeleri
Yerel agda kullanılan ağ cihazlarına yönelik parola denemeleri
Yerel ağ güvenlik testleri

DNS Servislerine Yönelik Sızma Testi Çalışmaları

DNS servisi kullanarak bilgi edinme çalışmaları
DNS sunuculara yönelik güvenlik denetimi kontrol listesi

Etki Alanı ve Kullanıcı Bilgisayarları Sızma Testi Çalışmaları

Son kullanıcı bilgisayarı güvenlik testleri
Anti-virüs atlatma testleri
Veri sızdırma denemeleri ve DLP atlatma testleri
Port/protokol kısıtlamalarını aşma
Yetki yükseltme saldırıları
Fiziksel erişim ile yetki yükseltme

E-posta Servisleri Güvenlik Testleri

E-posta servisi üzerinden banka iç ağı hakkında bilgi edinme
Sahte e-posta gönderim denemeleri
Kullanılan Anti-Spam/Virüs sistemlerinin testleri

Veritabanı Sistemlerine Yönelik Sızma Testi Çalışmaları

Veritabanlarına yönelik (Mssql,Oracle,Mysql,Postgresql vb.) sızma testi girişimi
Veritabanı zafiyetleri kullanarak işletim sistemi ele geçirme denemeleri
Veritabanı güvenlik zafiyetlerinin tespit edilmesi
Veritabanı sistemi kullanıcılarına yönelik parola testleri

Web Uygulamalarına Yönelik Sızma Testi Çalışmaları

Web uygulamalarına yönelik güvenlik testleri
OWASP top 10 2013 kontrol listesi denetimi
Otomatize araçlar kullanarak web güvenlik testleri ve avataj/dezavantajları
Web Servislerinin Denetlenmesi

Kablosuz Ağ Sistemlerine Yönelik Sızma Testi Çalışmaları

Gizli ve Açık SSID ile Yayın Yapan Kablosuz Ağların Tespiti
Wep Korumalı Kablosuz Ağlara Yönelik Parola Kırma Saldırıları
WPA Korumalı Kablosuz Ağlara Yönelik Parola Kırma Saldırıları
WPA Enterprise KullananKablosuz Ağlara Yönelik Saldırılar
Sahte Kablosuz Ağ Kurulumu ve Sosyal Mühendislik Saldırıları
Kablosuz Ağların ve/veya Kablosuz Ağ Kullanıcılarının Sinyallerini Kesmek

ATM Sistemleri Sızma Testleri

ATM sistemlerine yönelik sızma testi adımları
ATM sistem yöneticisine ait bilgilerin ağ ortamı/paylasımlardan elde edilmesi

Dağıtık Servis Dışı Bırakma Testleri

Güncel olarak gerçekleştirilen DDoS saldırı çeşitleri
DoS/DDoS saldırıları ve amaçları
Örnek DoS/DDoS saldırısı gerçekleştirme ve doğrulama

Sosyal Mühendislik Testleri

Farklı sosyal mühendislik testi senaryoları
Telefon ve e-posta üzerinden sosyal mühendislik denemesi
Sosyal mühendislik sonrası elde edilen bilgilerin aktif sistemlerde kullanımı
Sosyal mühendislik saldırılarına karşı çözüm önerileri
OWASP top 10 2013 kontrol listesi denetimi
Otomatize araçlar kullanarak web güvenlik testleri ve avataj/dezavantajları
Web Servislerinin Denetlenmesi

Örnek Bir Sızma Testi Raporu Yazımı ve İncelemesi

Sızma Testi Raporu İncelemesi

Uygulama Senaryoları

Kısıtlı kullanıcı yetkilerine sahip, bilgisayarı ele geçirilmiş veya kötü niyetli çalışanın yetki yükseltme ve iç ağda erişim elde etme girişimi.
Sosyal Mühendislik saldırıları ile banka çalışanlarının eposta,vpn vb. bilgilerine erişim ve iç ağa sızma girişimleri.
Misafir kullanıcılarının, siber saldırıları ve fiziksel olarak banka sistemlerine erişim senaryoları.
İç ağdaki bir kullanıcının DLP/IPS/Firewall/Antivirus vb. tüm koruma sistemlerini atlatarak veri sızdırması veya uzakdan bir casus yazılımı iç ağa dahil etmesi.
Mobile bankacılık uygulamalarındaki kritik güvenlik açıklıklarının keşfi ve sömürülmesi senaryoları (pratik olarak tecrübe edinmiş uygulamalar yer alacaktır)
Banka alt yapısınını (bankacılık uygulamaları, internet şubesi vb.) devre dışı bırakacak DDOS/Botnet saldırı uygulamaları.
Farklı açıklıklarla, yetkili kullanıcı haklarını ele geçirme ve Domain Admin olma.
Tanınmaz casus yazılımlar oluşturma ve şifreli iletişim kanalları yaratmak.
Banka çalışanlarının kurumsal hiyerarşilerini oluşturmak (Operasyonel ekipler, müdür-personel ilişkisi ve statüler vb.)
ATM sistemlerini ele geçirmek için yapılan saldırılar ve ATM’nin kontrolünü internetten gerçekleştirmek.
Bankacılık ağlarında kullanılan Loglama sistemlerinden kaçış ve atlatma uygulamaları.