Kurumsal güvenlik için siber tehditlerin incelenmesi ve saldırı senaryoları = Research of cyber threats and attack scenarios for corporate security

Abstract

Siber güvenlik, günlük yaşantımızın her alanında önemi her geçen gün artan bir kavramdır. Teknoloji kullanım alanlarının ve kullanım oranının artması bunun en önemli sebeplerindendir. Günümüzde sağlık, turizm, eğitim, ulaşım, iletişim, bankacılık gibi aklımıza gelebilecek birçok sektörde bilgi teknolojilerinin aktif kullanımı görülmektedir. Bu sektörlerde faaliyet gösteren firmalar olası siber saldırı durumlarında ciddi maddi kayıplara uğrayabilirler, itibarları zedelenebilir. Bu durum kurumsal bilgi güvenliğini önemli bir başlık olarak karşımıza çıkarmaktadır. Kurumlara yapılan siber saldırılar çok çeşitli yöntemler ve teknikler ile uygulanabilir. Bunlar; genel olarak sosyal mühendislik, fiziksel saldırılar ve zararlı yazılımlar olarak gruplandırılabilir. Bu çalışmada kurumların maruz kaldığı siber saldırı tehditleri ve saldırı senaryoları incelenmiştir. Laboratuvar ortamlarında çeşitli yardımcı araçlar kullanılarak bu senaryolar gerçekleştirilmiştir. Örnek senaryolarda, OWASP'ın (Open Web Application Security Project) 2021 yılında yayınlamış olduğu en sık rastlanan 10 zafiyet listesi referans olarak alınmıştır. OWASP, web uygulamalarında bulunan açıklıkların kapatılması ve bu uygulamalarda güvenliğin sağlanmasını amaçlayan özgür bir topluluktur. Çalışmanın amacı, kurumlara gerçekleştirilebilecek olası saldırıları incelemek ve incelemeler sonucunda, siber güvenliğin öneminin anlaşılmasını sağlayan bir kaynak teşkil etmektir. Aynı zamanda örnek saldırı senaryolarıyla, kurumların maruz kalabilecekleri saldırı noktalarına dikkat çekilmesi hedeflenmiştir.

Cyber security is important in every aspect of our daily life. The increase in technology usage areas and usage rate is one of the most important reasons for this. Today, active use of information technologies is seen in many sectors that we can think of, such as health, tourism, education, transportation, communication and banking. Companies operating in these sectors may suffer serious financial losses and their reputations may be damaged in case of possible cyber attacks. This situation makes corporate information security an important topic. Cyber attacks on corporate companies can be implemented with a wide variety of methods and techniques. These can be grouped into social engineering, physical attacks, and malware. In this study, cyber attack threats and attack scenarios on corporate companies were examined. These scenarios have been implemented in laboratory environments by using various tools. In the example scenarios, the 10 most common vulnerabilities list published by OWASP (Open Web Application Security Project) in 2021 are taken as reference. OWASP is a foundation that aims to fix security vulnerabilities in web applications and ensure security in these applications. The aim of this study is to examine possible attacks on corporate companies and to be a resource that provides an understanding of the importance of cyber security as a result of the examinations. In addition, it is aimed to draw attention to security vulnerabilities in corporate companies with sample attack scenarios.