Filtreler

20257
Filtreleri Sıfırla

Ayarlar

Bölüm: Işık University, School of Graduate Studies, Master’s Program in Cybersecurity ×

Arama Sonuçları

Listeleniyor 1 - 7 / 7
  • Küçük Resim
    Yayın
    Kültürel bağlamda otorite temelli sosyal mühendislik saldırılarının etkinliği: Türkiye ve Katar örneği
    (Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, 2025-06-30) Taş, Serhat; Çeliktaş, Barış; Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, Siber Güvenlik Yüksek Lisans Programı; Işık University, School of Graduate Studies, Master’s Program in Cybersecurity
    Bu çalışmada otorite figürlerinin sosyal mühendislik saldırılarındaki etkinliği kültürel bir bağlamda incelenmektedir. Türkiye ve Katar'daki elektrik dağıtım şirketlerinde çalışan 900 katılımcının yer aldığı deneysel bir tasarım kullanılmıştır. Analizde, bireysel ve kurumsal otorite figürlerine göre farklılaştırılmış genel oltalama ve hedefli oltalama saldırılarının başarı oranları karşılaştırılmıştır. Sonuçlar, hedefli oltalama saldırılarının genel oltalama saldırılarına kıyasla önemli ölçüde daha yüksek başarı oranlarına ulaştığını göstermiştir. Otorite türünün etkisi kültürel bağlamlar arasında farklılık göstermiştir. Türkiye'de bireysel otorite figürlerine dayalı saldırılar daha başarılı olurken; Katar'da kurumsal otorite figürlerini kullanan saldırılar daha etkili olmuştur. Ayrıca, ülke ile otorite türü arasındaki anlamlı etkileşim, otorite temelli saldırıların etkinliğinin büyük ölçüde uygulandıkları ülkeye ve otoritenin biçimine bağlı olduğunu ortaya koymaktadır. Çalışma ayrıca, oltalamanın gerçekleşeceği web bağlantısına tıklama etkileşimi ile müteakip veri gönderimi arasında güçlü bir ardışık ilişki olduğunu ortaya koyarak, ilk güvenlik açığı ortaya çıktıktan sonra artan davranışsal kırılganlığı göstermektedir. Bulgular, sosyal mühendislik saldırılarına karşı savunma stratejileri tasarlanırken kültürel faktörlerin dikkatle değerlendirilmesi gerektiğini ve bilgi güvenliği politikaları geliştirilirken sosyokültürel kodların dikkate alınması gerektiğini ortaya koymaktadır. Özellikle, yüksek güç mesafeli kültürler otorite taleplerini sorgulamaya odaklanan eğitimler gerektirebilirken, düşük güç mesafeli kültürler otonom karar verme sürecini güçlendirmeyi amaçlayan müdahalelerden faydalanabilir. Kuruluşlara, güvenlik farkındalığı programlarını hedef kitlelerinin otorite dinamiklerine ve kültürel özelliklerine göre uyarlanmalıdır.
  • Küçük Resim
    Yayın
    Kuantum sonrası kimlik doğrulama ile sıfır bilgi ispatları: zk-SNARK'lar ve zk-STARK'ların karşılaştırmalı güvenlik ve performans analizi
    (Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, 2025-07-01) Güner, Sabri Serhan; Çeliktaş, Barış; Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, Siber Güvenlik Yüksek Lisans Programı; Işık University, School of Graduate Studies, Master’s Program in Cybersecurity
    Parola tabanlı kimlik doğrulama yöntemleri en yaygın kullanılan güvenlik mekanizmalarından biri olsa da ciddi zaafiyetler barındırmaktadır. Ayrıca, parola altyapılarının kurulması, yönetilmesi ve güvenli bir şekilde saklanması yüksek hesaplama ve operasyonel maliyetler doğurmaktadır. Forrester Research’e göre, 1.000 kişilik bir kurumda yıllık parola sıfırlama maliyetleri yaklaşık 420.000–490.000 dolar arasında değişmektedir. Buna karşılık, sıfır bilgi ispatları (ZeroKnowledge Proofs, ZKP), hassas kimlik verilerini ifşa etmeden doğrulama yapılmasına olanak sağlayan güçlü bir kriptografik yöntemdir. 1980’lerin ortalarında temelleri atılan ZKP protokolleri, özellikle blokzinciri teknolojisi, Nesnelerin İnterneti (IoT), finans sektörü ve kimlik yönetimi gibi alanlarda kritik öneme sahiptir. Etkileşimli (Interactive Zero-Knowledge Proofs, IZKP) ve etkileşimsiz (Non-Interactive Zero-Knowledge Proofs, NIZKP) olarak ikiye ayrılan bu protokoller arasında, NIZKP çözümleri örneğin zk-SNARK ve zkSTARK, tek yönlü mesajlaşmayla doğrulama sağlayarak Ortadaki Adam (Manin-the-Middle, MitM) saldırılarına karşı daha dayanıklı bir yapı sunar. zkSNARK’lar, küçük ispat boyutları ve hızlı doğrulama süreleri sayesinde yaygınca kullanılır. zk-STARK’lar ise güvenilir kurulum gereksinimini ortadan kaldırarak daha şeffaf bir yapı ve kuantum sonrası saldırılara karşı dayanıklı bir yaklaşım sunar. ZKP, operasyonel maliyetleri azaltır, parola sıfırlama yükünü ortadan kaldırır ve veri ihlali riskini önemli ölçüde düşürür. Ayrıca, GDPR, PCIDSS ve ISO gibi düzenleyici çerçevelere uyumu kolaylaştırarak kurumlar için daha sürdürülebilir bir çözüm sunar. Sonuç olarak, bu çalışma parola tabanlı sistemlerin yerini alabilecek daha güvenli, gizliliği koruyan ve ölçeklenebilir ZKP tabanlı kimlik doğrulama tekniklerinin benimsenmesine yönelik bir perspektif sunmayı amaçlamaktadır.
  • Küçük Resim
    Yayın
    Organizasyon seviyesinde yapay zeka, siber güvenlik ve dijitalleşme olgunluğu: anket bazlı değerlendirme
    (Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, 2025-07-01) Kubilay, Burak; Çeliktaş, Barış; Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, Siber Güvenlik Yüksek Lisans Programı; Işık University, School of Graduate Studies, Master’s Program in Cybersecurity
    Dijital teknolojilerin sektörler genelinde ivmelenen gelişimi, örgütlerin rekabet gücünü sürdürebilmeleri ve çevik biçimde dönüşüme ayak uydurabilmeleri için Yapay Zekâ (YZ), Siber Güvenlik (SG) ve Dijital Dönüşüm (DD) alanlarında daha derinlemesine yetkinliklere sahip olmalarını zorunlu kılmıştır. Bu üç alan, dijital çağda sadece teknik kapasite olarak değil; aynı zamanda yönetsel strateji, risk yönetimi, veri bütünlüğü ve sürdürülebilir inovasyon açısından da hayati rol oynamaktadır. Literatürde her bir alan için ayrı ayrı önemli çalışmalar bulunmakla birlikte, bu alanların birbirleriyle olan etkileşimleri ve bütünleşik bir çerçevede organizasyonel olgunluk üzerindeki bileşik etkileri yeterince derinlemesine analiz edilmemiştir. Bu bağlamda sunulan çalışma, YZ, SG ve DD olgunluk düzeylerini çok boyutlu bir yapıda ele alarak aralarındaki nedensel ilişkileri Yapısal Eşitlik Modellemesi (SEM) ile ortaya koymayı amaçlamaktadır. Ayrıca, karma yöntemli bir metodoloji benimsenmiş; nicel anket bulguları sentetik modelleme teknikleriyle desteklenerek kapsamlı bir değerlendirme gerçekleştirilmiştir. Araştırma bulguları, YZ, SG ve DD arasında istatistiksel olarak anlamlı ve çift yönlü korelasyonlar bulunduğunu göstermekte; özellikle teknoloji ve finans sektörlerinde bu olgunluk düzeylerinin kamu ve eğitim sektörlerine kıyasla daha ileri düzeyde olduğunu ortaya koymaktadır. Çalışma, bu alanlar arasında stratejik entegrasyonun sağlanmasının dijital dayanıklılık açısından kritik olduğunu savunmakta ve entegre bir YZ-SG stratejisinin uygulanmasına yönelik yol gösterici ampirik veriler sunmaktadır. Böylece, sunulan model hem kuramsal katkı sağlamakta hem de ileride yapılacak ampirik saha araştırmaları için stratejik ve metodolojik bir temel oluşturmaktadır.
  • Küçük Resim
    Yayın
    Tuş vuruşlarına dayalı kimlik doğrulama yöntemleri: evrimi, zorlukları ve gelecek yönelimlerinin kapsamlı bir incelemesi
    (Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, 2025-09-23) Gündoğan, Nebil Vural; Çeliktaş, Barış; Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, Siber Güvenlik Yüksek Lisans Programı; Işık University, School of Graduate Studies, Master’s Program in Cybersecurity
    Tuş vuruşu (keystroke) ile kimlik doğrulama, bireylerin klavye kullanımındaki yazım ritimlerini ve zamanlama desenlerini analiz ederek kimlik doğruluğunu sağlayan sofistike bir davranışsal biyometrik yöntemdir. Bu yöntemin dikkat çekici avantajları arasında, kullanıcıdan ek bir işlem gerektirmemesi, herhangi bir ek donanım ihtiyacı doğurmaması ve maliyet etkinliği bulunmaktadır. Gelişmiş bilişim altyapılarında ve güvenlik hassasiyeti yüksek uygulamalarda, kullanıcıyı tanımak için sürekli izleme ve ikinci faktör doğrulama gerekliliği artarken, tuş vuruşu temelli yöntemler bu gereksinimlere düşük maliyetli ve sezgisel bir çözüm sunmaktadır. Bu çalışma, tuş vuruşu dinamik kimlik doğrulama yöntemleri ile ilgili literatürü sistematik olarak incelemektedir. İlk olarak, farklı setler ve özellikleri gözden geçirilmekte, ardından makine öğrenimi (ML), derin öğrenme (DL) ve hibrit modeller performans, güvenlik ve kullanılabilirlik açısından karşılaştırılmaktadır. Ayrıca, mevcut metodolojiler OWASP Kimlik Doğrulama Hile Sayfası aracılığıyla sunulan kılavuz bağlamında ele alınarak, güvenlik açıkları ve olası saldırılar analiz edilmektedir. Hibrit modellerin, daha yüksek doğruluk ve üstün dayanıklılık açısından otonom ML veya DL yöntemlerinden daha iyi performans gösterdiği ortaya çıkmaktadır. Gelecekteki yönelimler açısından, federatif öğrenme (FL), açıklanabilir yapay zekâ (XAI) ve multimodal biyometrik füzyon, gizlilik, açıklana bilirlik ve platformlar arasında genelleştirile bilirlik açısından daha sağlam çözümler üretme konusunda umut vaat etmektedir. Değerlendirme kapsamında, söz konusu modellerin masaüstü sistemlerde, web tabanlı platformlarda ve mobil cihazlarda sergilediği performanslar karşılaştırmalı olarak analiz edilmiştir. Elde edilen veriler, bazı modellerin yüksek doğruluk oranlarına ulaştığını ancak kullanıcı deneyiminde sürtünme (friction) oluşturduğunu; diğer modellerin ise kullanıcı dostu yapısına karşın daha düşük güvenlik sunduğunu ortaya koymaktadır. Bu bağlamda, sistem seçiminde güvenlik, doğruluk ve kullanıcı konforu arasında bir denge kurulması gerektiği sonucuna varılmıştır. Bu bağlamda önerdiğimiz hibrit doğrulama çerçevesi, derin sinir ağlarının sınıflandırma yeteneklerini anomali tespit teknikleriyle birleştirmekte ve bağlamsal farkındalığa sahip özellik çıkarımı ile uyarlanabilir eşikleme mekanizmaları kullanmaktadır. Böylelikle, modelimiz hem yeni kullanıcı davranışlarına uyum sağlayabilmekte hem de sahtecilik girişimlerine karşı yüksek hassasiyetle yanıt verebilmektedir. Ayrıca, önerilen çerçevenin farklı kullanım bağlamlarında—örneğin sürekli oturum denetimi veya ikinci faktör doğrulama senaryolarında—uygulanabilirliği değerlendirildiğinde, sistemin ölçeklenebilirliği ve uygulama kolaylığı da ön plana çıkmaktadır. Sonuç olarak, elde edilen bulgular, tuş vuruşu doğrulama sistemlerinin, özellikle diğer biyometrik yöntemlerle bütünleştiğinde veya bağlamsal verilerle desteklendiğinde, yüksek güvenlik gerektiren uygulamalarda etkin, uyarlanabilir ve kullanıcı dostu bir çözüm sunduğunu göstermektedir. Çalışma sadece literatürde bulunan yöntemlerin kapsamlı bir karşılaştırmasını yapmakla kalmayıp, aynı zamanda gelecekteki çalışmalarda metodolojik seçimler için bir kılavuz da çizmektedir.
  • Küçük Resim
    Yayın
    Parola karma algoritmalarının derinlemesine karşılaştırması: kriptografik güvenlik, performans etkinliği, regülasyon uyumluluğu ve anahtar türetim stratejilerinde gelecek eğilimler
    (Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, 2025-06-30) Ulutaş, Erdem; Çeliktaş, Barış; Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, Siber Güvenlik Yüksek Lisans Programı; Işık University, School of Graduate Studies, Master’s Program in Cybersecurity
    Parola karma ve anahtar türetme fonksiyonlarının uygulanması, kullanıcı kimlik bilgilerinin kaba kuvvet saldırılarına ve yetkisiz erişime karşı korunmasını amaçlayan kimlik doğrulama ve kriptografik güvenlik şemalarının temelini oluşturmaktadır. PBKDF2, bcrypt ve scrypt gibi parola karma algoritmaları günümüzde oldukça popüler olmasına rağmen modern donanımdaki gelişmeler, paralel işlem yetenekleri ve gelişmiş kriptoanalitik saldırılar karşısında yetersiz kalmaktadır. Bu eksiklikleri gidermek amacıyla, 2013 yılında parola karma yarışması başlatılmış ve parola karma için 22 aday fonksiyonel değerlendirmeye alınmıştır. Yapılan kapsamlı incelemeler sonucunda, güvenlik, hız, bellek dostu olma, esneklik ve verimlilik kriterlerine dayanarak 9 finalist belirlenmiştir. Bu çalışma, parola karma yarışması finalistleri olan Argon, battcrypt, Catena, Lyra2, MAKWA, Parallel, POMELO, Pufferfish ve yescrypt üzerine yapılan derleme ve performans değerlendirme çalışmalarını ele almaktadır. Finalistler mimari açıdan değerlendirilmiş, güvenlik özellikleri, bellek kullanım dayanıklılığı, performans açısından avantaj ve dezavantajları ayrıca pratik kullanımları incelenmiştir. Bu yeni fonksiyonların geleneksel parola karma algoritmaları ile kıyaslanarak eksiklikleri ve avantajları ortaya konmuştur. Parola karma algoritmalarının kuantum sonrası dayanıklılığı ele alınarak, bu fonksiyonların kuantum saldırılarına karşı dayanıklılığı ve ek bir güvenlik önlemi olarak kullanılan "peppering" tekniğinin rolü araştırılmıştır. Ayrıca parola karma yarışması finalistlerinin NIST SP 800-63B, OWASP ASVS, PCI DSS, GDPR, KVKK ve ISO/IEC 27001 gibi küresel standartlar ve regülasyonlarla olan uyumluluklarını kapsamlı bir şekilde haritalandırılarak, regülasyonlara uyumlu olması gereken organizasyonlarda güvenli dağıtım için pratik uygunlukları değerlendirilmiştir. Son olarak, web kimlik doğrulaması, anahtar türetme fonksiyonları ve gömülü platformlar için bu fonksiyonların kullanımına yönelik öneriler sunulmuştur. Bu çalışmanın amacı, en güncel parola karma ve anahtar türetme fonksiyonları hakkında bilgi sahibi olması gereken araştırmacılar, geliştiriciler ve güvenlik mühendisleri için bir referans kaynağı olmaktır.
  • Küçük Resim
    Yayın
    Güvenlik operasyonu merkezlerinde olayların önceliklendirilmesi ve analist atamasına yönelik çok kriterli bir karar destek çerçevesi
    (Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, 2025-07-01) Kılınçdemir, Eyüp Can; Çeliktaş, Barış; Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, Siber Güvenlik Yüksek Lisans Programı; Işık University, School of Graduate Studies, Master’s Program in Cybersecurity
    Bu çalışmada, Güvenlik Operasyon Merkezleri (SOC) için olay atama ve önceliklendirme süreçlerine yönelik kapsamlı ve ölçeklenebilir bir çerçeve önerilmektedir. Önerilen model; analist iş yoğunluğu, alarm yoğunluğu ve tutarsız olay yönetimi gibi temel operasyonel zorlukları ele alarak SOC iş akışlarını optimize etmeyi amaçlamaktadır. Geliştirilen çerçeve, her bir olayı; şiddet seviyesi, SLA aciliyeti, olay türü, varlık kritiklik düzeyi, tehdit istihbaratı göstergeleri, tekrar sıklığı ve geçmiş olay verilerine dayalı korelasyon puanı gibi çok sayıda faktörü içeren çok kriterli bir puanlama modeli ile değerlendirmektedir. Bu değerlendirme süreci, dinamik olay puanlarını hesaplayan ve olayın karmaşıklık düzeyini belirleyen matematiksel fonksiyonlar aracılığıyla biçimsel hale getirilmiştir. Eşzamanlı olarak, analist profilleri; iş yükü dağılımını ve uzmanlık uyumunu dikkate alan iki yenilikçi metrik olan Analist Yük Faktörü (ALF) ve Deneyim Uyumluluk Faktörü (EMF) kullanılarak nicelleştirilmiştir. Olay–analist eşleştirme süreci, olay önceliği ile analist uygunluğunu dengeleyen kısıtlı bir optimizasyon problemi olarak tanımlanmıştır. Bu formülasyon; olayların en uygun analistlere, gerçek zamanlı ve otomatik olarak atanmasını sağlarken; operasyonel değerin korunmasını ve triyaj hassasiyetinin sürdürülmesini mümkün kılar. Model, algoritmik yalancı kodlar, puanlama tabloları ve büyük ölçekli SOC ortamlarında modelin karar mantığını ve pratik uygulanabilirliğini gösteren örnek bir vaka çalışması ile doğrulanmıştır. Gerçek dünya koşullarında çerçevenin geçerliliğini değerlendirmek amacıyla, CICIDS2017 benchmark veri setinden seçilen 10 saldırı senaryosu kullanılarak ampirik bir vaka çalışması gerçekleştirilmiştir. Genel olarak, bu çalışmanın katkısı; ikili faktöre dayalı bir analist puanlama şemasının biçimselleştirilmesi ve bağlamsal olay özelliklerinin uyarlanabilir ve kural tabanlı bir yapı çerçevesiyle bütünleştirilmesidir. Operasyonel değeri daha da artırmak amacıyla, gelecekte yapılacak çalışmalarda dinamik ağırlıklandırma mekanizmaları ile gerçek zamanlı SIEM veri akışlarıyla entegrasyon sağlanması planlanmaktadır. Ayrıca, analist geri bildirim döngülerinin ve denetimli öğrenme modellerinin sisteme entegre edilmesiyle olay-atama ve önceliklendirme süreçlerinin sürekli olarak iyileştirilmesi hedeflenmektedir.
  • Küçük Resim
    Yayın
    Evaluation of password hashing competition finalists: performance, security, compliance mapping, and post-quantum readiness
    (Karyay Karadeniz Yayımcılık Ve Organizasyon Ticaret Limited Şirketi, 2025-11-15) Ulutaş, Erdem; Çeliktaş, Barış
    Password hashes and key derivation functions (KDFs) are central to authentication and cryptographic security schemes crafted to defend user credentials from brute-force attacks and unauthorized access. Password hashing algorithms, for example PBKDF2, bcrypt, or scrypt, are very popular today, but are lacking in the face of modern hardware acceleration, parallel processing, and advanced cryptanalytic attacks. To contest these shortcomings, the Password Hashing Competition (PHC) was started in 2013 and had 22 candidates for functions for hashing passwords. After thorough evaluation, 9 finalists were selected based on how secure, fast, memory-friendly, flexible, and efficient these functions were. This study evaluates the nine PHC finalists—Argon2, battcrypt, Catena, Lyra2, MAKWA, Parallel, POMELO, Pufferfish, and yescrypt—through survey findings and performance benchmarks. We have evaluated these functions from an architectural standpoint and studied their security features, memory hardness, performance tradeoff, and practical usage. We also compare these finalists with traditional password hashing functions to highlight their advantages and limitations. We also investigate the post-quantum assumption for password hashing – the effectiveness of these functions against quantum assaults, their position in a new cryptography set, and the role of peppering as an additional security measure. In addition, we perform a comprehensive compliance mapping of the PHC finalists against major global standards and regulations such as NIST SP 800-63B, OWASP ASVS, PCI DSS, GDPR, KVKK, and ISO/IEC 27001, highlighting their practical suitability for secure deployment in regulated environments. Finally, we provide usage recommendations for these functions for web authentication, KDFs, and embedded platforms. This paper serves as a reference for researchers, developers, and security engineers, while also introducing a complianceaware, post-quantum-ready framework that bridges cryptographic design with regulatory and deployment needs.