Siber Güvenlik Durum Analizi ve Tehdit Modelleme

Generated from prompt:

Elimde 3 adet siber güvenlik raporu bulunmaktadır: 1) Risk Analizi ve Tehdit Modelleme (NIST SP 800-30) 2) Ağ ve Güvenlik Mimarisi (Defense in Depth yaklaşımı) 3) Varlık Yönetimi ve OSINT Analizi (ISO 27001 perspektifi) Bu dokümanları kullanarak profesyonel, teknik ve akademik seviyede bir PowerPoint sunumu hazırla. SUNUM KRİTERLERİ: - Sunum 15–20 slayt arası olsun - Hedef kitle: Teknik bilgisi olan yöneticiler ve siber güvenlik uzmanları - Dil: Türkçe - Ton: Teknik ama anlaşılır (çok akademik boğucu olmasın) - Her slaytta maksimum 5-6 madde olsun - Gereksiz uzun paragraf kullanma - Kritik yerlerde kısa açıklama notları (speaker notes) ekle SUNUM YAPISI: 1. Kapak Slaytı - Başlık - Alt başlık - Hazırlayan 2. Giriş - Çalışmanın amacı - Kapsam (NIST, ISO 27001, OSINT) 3. Metodoloji - OSINT yaklaşımı - Risk = Etki x Olasılık - Pasif analiz yöntemleri 4. Ağ ve Güvenlik Mimarisi - Defense in Depth - Katmanlı yapı (Internet, Firewall, DMZ, VLAN) - DMZ mantığı 5. Ağ Topolojisi Detayları - VLAN yapısı - Segmentasyon - Yönetim ağı (OoB) 6. Trafik Akışı - Normal kullanıcı isteği - Saldırı anı (Incident Flow) 7. Varlık Yönetimi (Asset Management) - Varlık türleri: - Donanım - Yazılım - Veri - Kullanıcı 8. OSINT Bulguları - External attack surface - Third-party servisler - DNS / IP bulguları 9. Kritik Riskler (Genel) - XSS - Supply chain - WAF bypass - Phishing 10. Risk Analizi (Detay) - Etki ve olasılık mantığı - Örnek risk hesaplama 11. En Kritik 3 Risk - CSP eksikliği - Third-party script riski - Origin IP ifşası 12. Risk Matrisi - Tablo şeklinde özet 13. Veri Güvenliği - KVKK - Veri sınıflandırma - Kritik veri örnekleri 14. İnsan Faktörü - Phishing - Ghost account - MFA önemi 15. Güvenlik Önlemleri - CSP / HSTS - Firewall ACL - SRI kullanımı - Eğitim 16. Sonuç - Genel değerlendirme - Kurumun güvenlik seviyesi 17. Öneriler - Kısa, uygulanabilir aksiyonlar EK İSTEKLER: - Teknik terimleri doğru kullan - Gerektiğinde örnek ver (XSS nasıl çalışır gibi kısa açıklama) - Slayt başlıkları dikkat çekici olsun - Her kritik slayt için 1-2 cümlelik konuşma notu ekle - Grafik/diagram önerileri de yaz (örn: "Bu slayta katmanlı mimari diyagramı eklenebilir") ÇIKTI FORMATI: - Slayt başlığı - Madde madde içerik - (Altında) Speaker Notes Sunumu direkt PowerPoint’e aktarılabilir formatta hazırla.

Kurumsal siber güvenlik seviyesinin NIST SP 800-30 ve ISO 27001 standartları ışığında değerlendirilmesi, risk analizi, ağ mimarisi, OSINT tabanlı saldırı yüzeyi inceleme, kritik tehditler, varlık yönetimi ve iyileştirme aksiyon planı içeren kapsamlı呈

March 17, 202618 slides
Slide 1 of 18

Slide 1 - Kapak

Siber Güvenlik Durum Analizi ve Tehdit Modelleme

Risk Analizi, Ağ Güvenliği ve Varlık Yönetimi Değerlendirmesi

---

Photo by Tom Parkes on Unsplash

Slide 1 - Kapak
Slide 2 of 18

Slide 2 - Giriş: Stratejik Hedefler ve Kapsam

  • Kurumsal siber güvenlik duruşunun değerlendirilmesi
  • Risk yönetimi ve tehdit modelleme süreçlerinin iyileştirilmesi
  • Defense in Depth prensipleriyle mimari güçlendirme
  • Varlık yönetimi ve OSINT ile saldırı yüzeyinin azaltılması
  • Uluslararası standartlar (NIST SP 800-30, ISO 27001) ile uyumluluk
Slide 2 - Giriş: Stratejik Hedefler ve Kapsam
Slide 3 of 18

Slide 3 - Metodoloji: Analiz Yaklaşımımız

  • NIST SP 800-30: Tehdit ve risk değerlendirme çerçevesi
  • Risk Formülü: Risk = Etki (Impact) x Olasılık (Likelihood)
  • OSINT Yaklaşımı: Açık kaynaklı istihbarat ile dış saldırı yüzeyi analizi
  • Pasif Analiz Yöntemleri: Ağ trafiği ve servis incelemeleri (iz bırakmadan)
Slide 3 - Metodoloji: Analiz Yaklaşımımız
Slide 4 of 18

Slide 4 - Ağ ve Güvenlik Mimarisi

  • Defense in Depth: Tek bir güvenlik katmanına bağımlılığı kaldırmak
  • Katmanlı Yapı: Internet -> Firewall -> DMZ -> İç Ağ/VLAN
  • DMZ Mantığı: Kamuya açık servislerin izole edilerek iç ağın korunması
  • Grafik/Diagram Önerisi: Katmanlı ağ mimarisi diyagramı eklenebilir
Slide 4 - Ağ ve Güvenlik Mimarisi
Slide 5 of 18

Slide 5 - Ağ Topolojisi: Segmentasyon Detayları

  • VLAN Yapılandırması: İşlevsel segmentasyon (Sunucu, Kullanıcı, Yönetim)
  • Segmentasyon: Ağlar arası geçişlerin sıkı kurallarla kısıtlanması
  • OoB (Out-of-Band) Yönetim: Kritik cihazlara yönetim için izole ağ erişimi
  • Grafik/Diagram Önerisi: VLAN segmentasyon topolojisi şeması
Slide 5 - Ağ Topolojisi: Segmentasyon Detayları
Slide 6 of 18

Slide 6 - Trafik Akışı ve İzleme

  • Normal Kullanıcı Akışı: Kullanıcı -> WAF/Firewall -> Uygulama Katmanı
  • Saldırı Akışı (Incident Flow): Saldırgan -> Egress/Ingress kontrol noktaları
  • Trafik Denetimi: Her geçiş noktasında derin paket inceleme (DPI) yapılması
  • Grafik/Diagram Önerisi: Trafik akış ve engelleme noktaları şeması
Slide 6 - Trafik Akışı ve İzleme
Slide 7 of 18

Slide 7 - Varlık Yönetimi: Envanter Bilinci

  • Donanım: Fiziksel sunucular, network cihazları, uç birimler
  • Yazılım: Uygulamalar, işletim sistemleri, third-party kütüphaneler
  • Veri: Hassas müşteri verisi, kurum içi fikri mülkiyet
  • Kullanıcılar: Yetkilendirme düzeyleri (Privileged Users)
Slide 7 - Varlık Yönetimi: Envanter Bilinci
Slide 8 of 18

Slide 8 - OSINT: Dış Saldırı Yüzeyi Analizi

  • External Attack Surface: İfşa olmuş servisler ve açık portlar
  • Third-party Servisler: Bulut tabanlı entegrasyonlar ve API'lar
  • DNS/IP Bulguları: Subdomain ifşaları ve yapılandırma hataları
  • Önem: Saldırganların hedef belirleme aşamasındaki keşif verileri
Slide 8 - OSINT: Dış Saldırı Yüzeyi Analizi
Slide 9 of 18

Slide 9 - Kritik Riskler: Genel Görünüm

  • XSS (Cross-Site Scripting): Kullanıcı verisinin çalınması/oturum gaspı
  • Supply Chain: Üçüncü taraf kütüphanelerden bulaşan zararlı kodlar
  • WAF Bypass: Güvenlik filtrelerini aşan manipüle edilmiş istekler
  • Phishing: Sosyal mühendislik ile yetkili erişim çalınması
Slide 9 - Kritik Riskler: Genel Görünüm
Slide 10 of 18

Slide 10 - Risk Analizi: Metrik ve Mantık

  • Analiz: Tehdit kaynağının zafiyeti sömürme kapasitesi x Varlık değeri
  • Olasılık: Saldırganın yetenek seviyesi ve saldırı karmaşıklığı
  • Etki: Operasyonel duruş, veri sızıntısı maliyeti, itibar kaybı
  • Örnek: XSS saldırısı x Müşteri Veritabanı Erişimi = Yüksek Risk
Slide 10 - Risk Analizi: Metrik ve Mantık
Slide 11 of 18

Slide 11 - En Kritik 3 Risk

  • CSP (Content Security Policy) eksikliği: Tarayıcı tabanlı saldırılara açık kapı
  • Third-party script riski: Güvenilmeyen içeriklerin (CDN vb.) izinsiz kod çalıştırması
  • Origin IP ifşası: WAF arkasındaki sunucunun doğrudan erişilebilir olması
Slide 11 - En Kritik 3 Risk
Slide 12 of 18

Slide 12 - Risk Matrisi: Özet Tablo

Risk TürüOlasılıkEtkiRisk Seviyesi
XSSYüksekOrtaYüksek
PhishingYüksekÇok YüksekKritik
Supply ChainDüşükKritikYüksek
Slide 12 - Risk Matrisi: Özet Tablo
Slide 13 of 18

Slide 13 - Veri Güvenliği: Standartlar ve KVKK

  • KVKK Uyumluluğu: Kişisel verilerin korunması ve erişim kısıtı
  • Veri Sınıflandırma: Her veri parçasının hassasiyetine göre (Public/Internal/Confidential) etiketlenmesi
  • Kritik Veriler: Müşteri kimlik bilgileri, finansal kayıtlar, sağlık verileri
  • Koruma: Şifreleme (Encryption) ve maskeleme teknikleri
Slide 13 - Veri Güvenliği: Standartlar ve KVKK
Slide 14 of 18

Slide 14 - İnsan Faktörü: Güvenliğin En Zayıf Halkası

  • Phishing: Kurumsal kimlik avı saldırıları (e-posta/SMS)
  • Ghost Accounts: Silinmeyen/unutulan aktif yetkili hesaplar
  • MFA Önemi: Çok faktörlü doğrulamanın ihlalleri %99 azalttığı kanıtlanmıştır
  • Eğitim: Düzenli farkındalık simülasyonları
Slide 14 - İnsan Faktörü: Güvenliğin En Zayıf Halkası
Slide 15 of 18

Slide 15 - Güvenlik Önlemleri ve İyileştirmeler

  • CSP / HSTS: Tarayıcı seviyesinde güvenlik politikalarının zorlanması
  • Firewall ACL: Erişim Kontrol Listelerinin "Least Privilege" prensibine göre daraltılması
  • SRI (Subresource Integrity): Third-party kütüphanelerin bütünlüğünü doğrulamak
  • Eğitim: Sürekli güvenlik eğitimleri ve simülasyonlar
Slide 15 - Güvenlik Önlemleri ve İyileştirmeler
Slide 16 of 18

Slide 16 - Sonuç: Durum Değerlendirmesi

  • Savunma derinliği mimarisi başarıyla kurgulanmıştır
  • OSINT ve Varlık Yönetimi ile saldırı yüzeyi görünür kılınmıştır
  • Kritik riskler tanımlanmış ve önceliklendirilmiştir
  • Güvenlik, statik bir durum değil, sürekli bir iyileştirme sürecidir
Slide 16 - Sonuç: Durum Değerlendirmesi
Slide 17 of 18

Slide 17 - Öneriler: Aksiyon Planı

  • Kısa Vadeli: Kritik zafiyetlerin (XSS, CSP) kapatılması
  • Orta Vadeli: MFA'nın tüm sistemlere tam entegrasyonu
  • Uzun Vadeli: Sürekli izleme (SOC/SIEM) ve otomatize varlık yönetimi
  • Kültürel: Güvenlik farkındalık kültürünün kurumsallaştırılması
Slide 17 - Öneriler: Aksiyon Planı
Slide 18 of 18

Slide 18 - Kapanış

Teşekkürler - Soru & Cevap

Siber güvenlik sürekli bir yolculuktur.

Slide 18 - Kapanış

Discover More Presentations

Explore thousands of AI-generated presentations for inspiration

Browse Presentations
Powered by AI

Create Your Own Presentation

Generate professional presentations in seconds with Karaf's AI. Customize this presentation or start from scratch.

Create New Presentation

Powered by Karaf.ai — AI-Powered Presentation Generator