| 1 |
Tehdit Modellemesi ve Çok Katmanlı Savunma |
Örnek bir web uygulaması için 5 tehdit vektörü belirleyip her biri için karşı-önlem ve doğrulama adımı tasarlama |
Web uygulaması üzerinde tehdit vektörleri belirleme ve karşı-önlem tasarımı |
|
| 2 |
Algoritmik Sertleştirme ve FSM ile Doğrulama |
Rate limit ve otomatik kilitleme için akış şeması hazırlama; FSM tabanlı bir giriş doğrulama süreci kurup tüm köşe durumlarını test etme |
Rate limiting + kilitleme akış şeması ve yalın psödo kod; giriş doğrulama FSM’i kurma ve köşe durumlarını test etme |
|
| 3 |
Saldırı Tespiti için Karar Kuralları |
HTTP günlüklerinden (log) anomali ve imza temelli kurallar türetmek; doğruluk ve yanlış-pozitif/negatif oranlarını hesaplamak |
HTTP loglarından karar kuralları türetme; küçük veri kümesi üzerinde doğruluk ve yanlış-pozitif/negatif oranlarını ölçme |
|
| 4 |
Ağ Savunma Politikaları ve Otomasyon |
Belirlenen senaryo için güvenlik duvarı ve politika kuralları geliştirme; betik kullanarak otomatik dağıtım ve doğrulama yapma |
Senaryo için güvenlik duvarı, kara/ak liste ve hız sınırlama kural setleri oluşturma; betik ile bu kuralları dağıtma ve test etme |
|
| 5 |
Kimlik ve Oturum Koruması |
Çok faktörlü kimlik doğrulama (MFA), oturum yaşam döngüsü ve token yenileme akışı üzerinden oturum hırsızlığına karşı çözüm geliştirme |
Örnek uygulamada oturum yenileme ve oturum hırsızlığına karşı sertleştirme akışını tasarlama |
|
| 6 |
Kriptografik Savunma Seçimi |
Hash, MAC, KDF ve AEAD yapıtaşlarını kullanarak bütünlük, kimlik doğrulama ve saklama için uygun savunma şeması seçmek ve test etmek |
Üç farklı kullanım senaryosu (saklama, aktarım, token imzalama) için doğru kriptografik şemayı seçme ve gerekçelendirme |
|
| 7 |
Zafiyet Giderme Algoritmaları |
Zafiyetler için risk=etki×olasılık yaklaşımıyla önceliklendirme yapmak; çözüm adımlarını planlayıp doğrulama zinciri kurmak; basit bir betik ile takip sürecini otomatikleştirmek |
5 bulgu için “öncelik → çözüm → doğrulama” zinciri kurma; küçük bir betik ile takip listesi üretimi |
|
| 8 |
Bütünleşik Senaryo ve Paydaş Raporlama |
Önceki haftalardaki tüm savunma kararlarını bir senaryoda birleştirmek; kanıta dayalı rapor ve kısa sunum ile paydaşlara aktarmak |
Mini savunma mimarisi, tespit kuralları ve politika seti oluşturma; kısa sunum hazırlama |
|
| 10 |
Proje Başlangıcı: Senaryo Seçimi ve Tehdit Modeli |
Senaryo belirleme, tehdit vektörlerinin listelenmesi ve MITRE ATT&CK’e göre ilk tehdit modeli oluşturma |
Her grup gerçek/kurgu bir sistem (web app, IoT cihaz, mini ağ) seçerek MITRE ATT&CK tablosu ile ilk tehdit modelini hazırlar |
|
| 11 |
Algoritmik Sertleştirme ve FSM Uygulaması |
Girdi doğrulama, rate limiting veya otomatik kilitleme gibi sertleştirme algoritmalarını proje senaryosuna entegre etmek; FSM tabanlı doğrulama süreci oluşturmak |
Proje senaryosuna uygun en az 2 sertleştirme algoritması geliştirme ve bir FSM akışı tasarlama |
|
| 12 |
Tespit ve Otomasyon Mekanizmaları |
Proje senaryosuna uygun tespit kuralları geliştirmek, log analizi yapmak, alarm üretimini ve kural dağıtımını otomatikleştirmek |
Projeye özel log kuralları üretmek; Bash/Python ile alarm ve kural dağıtımı için otomasyon betikleri geliştirmek |
|
| 13 |
Kimlik, Oturum ve Kripto Katmanı |
MFA entegrasyonu, oturum yaşam döngüsünün korunması ve nonce/anahtar yönetimini kullanarak kriptografik güvenliği projeye uygulamak |
Projede oturum koruması (ör. token yenileme) uygulamak; uygun kriptografik şemayı seçmek ve entegre etmek |
|
| 14 |
Zafiyet Giderme ve Politika Tasarımı |
Risk=etki×olasılık yaklaşımını kullanarak zafiyetleri önceliklendirmek, uygun çözüm adımları tasarlamak ve doğrulama zinciri oluşturmak; firewall/WAF politikalarını projeye entegre etmek |
En az 3 bulgu için “öncelik → çözüm → doğrulama” zinciri kurmak; projede temel ağ ve politika kuralları uygulamak |
|
| 15 |
Proje Sunumları ve Kapanış |
Proje kapsamında geliştirilen tüm savunma katmanlarını bütünleşik olarak sunmak, raporlamak ve paydaş iletişimi üzerinden değerlendirmek |
Her grup mini savunma mimarisi, sertleştirme algoritmaları, tespit kuralları, kriptografik seçimler ve politika setlerini kanıta dayalı rapor ve kısa sunumla aktarır |
|
