Upload
serkan-oezden
View
97
Download
5
Embed Size (px)
Citation preview
Serkan Özden
Servis Olarak SOC ve SIEM
Norbury
Değişim...
Big Data ve IOT Etkisi
Siber Tehditler
Securityintelligence.com
DDOS, Malware, SQLi, Misconfigurations,…
Target Veri Sızdırma Vakası(Eylül 2013 – Ocak 2014)
Saldırgan cephesi
Target cephesi
Eylül2013
12Kas
Target PCI-DSS
sertifikasyonu
Saldırganların Fazio hesapbilgilerini oltalama yöntemi
ile ele geçirmesi
15-28Kas
30Kas
2Ara
12Ara
15Ara
19Ara
10Oca
Target ağına sızılması
Zararlı yazılımın TargetPOS sisteminde test edilmesi
POS zararlı yazılımının tamfaal hale gelmesi
Veri sızdırma yazılımlarınınyüklenmesi
Sızdırme ve zararlı yazılım güncellemesiİle
kart bilgilerinin sızdırmanın başlaması
Symantec zararlı yazılım aktivitesitespiti
İlk FireEyeAlarmlarının tetiklenmesi
Daha fazla FireEyealarmı
US DoJ Target’taki sızmavakasını duyurması
Target vakayı onadı,zararlı yazılımları bertaraf etmeye başlaması
Saldırganların Target ağınaerişimi kaybetmeleri
Target 40M kart bilgisinin çalındığını duyurması
Target ilave 70Mkart bilgisininçalındığını duyurması
Bengladeş Merkez Bankası Vakası(Şubat 2016)
Bangladesh Central Bank
Federal Reserve Bank (NY)
Philippine Bank Sri Lanka Bank
Hackers
Saldırganlar Bengladeş Merkez Bankası sistemlerine malware yüklemesi gerçekleştirir. Yüksek olasılıkla 0-gün tipte mail veya web tipi açıklıktan faydalanılarak gerçekleştiği düşünülmektedir.
Malware, yüksek olasılıkla uzaktan yönetilebilir bir özelliktedir. Keylogger, spyware tipi bilgi toplama yöntemi kullanılır.
Saldırganların uzaktan haftalar süren incelemeleri ile banka süreçleri öğrenilmeye çalışılır.
2
Amerika’daki bankalardan çekilecek şekilde paranın çıkartılma yöntemi belirlenir. Yüksek olasılıkla FTT (Fedwire Fund Transfer) servisinin incelenmesi ile.
Bankanın SWIFT hesap bilgileri kullanılarak Sri Lanka ve Filipinlerde daha önce açılmış olan hesaplara para transferi gerçekleşir. (Şubat 2016)
Mayıs 2015’te Sri Lanka ve FilipinBankalarında sahte banka hesabı açılır
Toplamda 100mio USD Sri Lanka ve Filipinlerdeki banka hesaplarına ağırlığı Filipinler olmak üzere 5 farklı transfer ile gerçekleştirilir.
3
4
5
7
1
SWIFT transflereri için kullanılan hesap bilgileri ele geçirilir.8
Fonlar Filipinlerdeki kişisel hesaplara transfer edilmiştir. Daha sonra iki farklı hesaba konsolide edilip buradan da yurt dışındaki farklı Casino hesaplarına gönderilir. Filipinlerdeki hesapların sahibi olan iş adamı daha sonra yapılan sorgulamada hesapların kendisine ait olmadığını belirtir.
6
Fake Personal Accounts
Consolidation
Accounts
Outside Entities
9
Yönetim ve İzleme
Madalyonun iki yüzü
İZLEME
YÖNETİM
5 x 8
Tanımlama
Planlama
Tasarım
Kuruluş
7 x 24
Troubleshooting
SIEM
NMS
Olay Yönetimi
SOC Mimarisi
Güvenlik Bilgi ve Olay Yönetimi Platformu (SIEM)( HTTP, SMTP, SNMP, SYSLOG, API, ..)
Güvenlik Sistemleri Sunucu ve Sanallaştırma Sistemleri Network Cihazları Uygulamalar ( Mail, Veri tabanı, AD, vb..)
İşletmen
Güvenlik Sistemleri YönetimiNetwork Altyapı Yönetimi
Sunucu Sistemleri Uygulama Yönetimi
7x24 İzleme Tehdit Analizi ve Yönetimi
Zafiyet Yönetimi SIEM Yönetimi
Korelasyon Kural Yazım ve Uygulanması Flow Analiz
Analist ( Küresel )
Analist SIEM Mühendisi
SOC Mühendisi
L2
L3
L1
L2 + L3
Neden SOC?
Siber güvenlik ürünlerinin gerçek saldırılar karşısındaki uyarı ve engelleme kabiliyeti
20%
İç ve dış veya kaynağı bilinmeyen siber saldırı olayı yaşanma oranı ( Son 2 yılda)
63%
Zamanında siber saldırıyı farketme ve önleme oranı5%
Kullanılan siber güvenlik ürünlerine olan güven
80%
Çalışanların Siber Güvenlik “teknik farkındalığı”
30%
Bir saldırı olsa da konunun önemi artsa diyenler
70%
Güvenlik Operasyon Merkezi (SOC)Temel Standart İleri
Güvenlik cihazlarının Performans ve Trafik izlemesi URL izleme Güvenlik Cihazlarında Problem Tespiti ve Müdahale* Atak Durumlarının Tespit, Takip ve Raporlanması (SNMP) SIEM Sistemi Tasarlanması ve Kurulumu Log Kaynaklarının Belirlenmesi ve Entegrasyonu Korelasyon Kurallarının Oluşturulması Gold Platin
SIEM İşletimi Global Tehdit İstihbarat Servisi Kullanımı Gold Platin
Müşteri Özelinde SIEM ve SOC Danışmanlığı* Güvenlik İhlal Durumlarının Detaylı Anlık Analizi Zafiyet Tarama ve Flow Analizi Gold Platin
Offense (Use Case) Kuralları
12
3. Parti Danışmanlar (VPN, Proxy, AV) - Kullanıcı Listesi - VPN Subnetleri - Aktivite izleme
POS ve kasa sistemleri(Firewall, IPS, AV) - AV statüsü izleme - Deaktif - Eski imzalar
Phishing Saldırıları(Ironport, Symantec.cloud Email Sec, Office 365) - Phishing Email alan kullanıcılar- Zararlı sitelere ulaşmaya çalışan kullanıcılar
Sunucu Aktivitelerinin İzlenmesi(domain üyeleri, IP addresleri, Sunucu isimleri, lokasyonlar)- AD loğları üzerinden kimlik doğrulama loğlarının izlenmesi- AV loğlarından AV statülerinin izlenmesi- SCCM logları ile uygulama üzerindeki değişikliklerin izlenmesi
Uzak şube izleme(AD, LDAP, ACS, MS Office 365, IPS, sunucu loğları)- Şubelerden çoklu kimlik doğrulama hataları- Shell bağlantı denemeleri- Uzak şubelerden tarama aktiviteleri- Uzak şubeden kaynaklanan SPAM postalar
Kritik zararlı tip programların tespiti(IIS, Apache HTTP sunucuları, proxy logları, SSL VPN)- Müşterinin sistemlerindeki ulaşılabilir zafiyetler- Kritik malware tool tespiti
Deaktif hesap kullanımı(AD, LDAP, ACS)- Deaktif edilen kullanıcılar- Login olan deaktif kullanıcıların izlenmesi
Yaşanmış vaka örneği
13
1
2
3
Vaka: Internet üzerinden şirketin AD sunucusuna bağlantı gerçekleştirilmesi
Zaman: Yeni bir müşterimizin SIEM işletim hizmeti geçiş çalışmaları aşaması
Bir şirket çalışanına ait mail hesabına ait şifrenin brute-force yöntemiyle ele geçirilmesi
Ele geçirilen hesaba ait şifrenin değiştirilmesi
OWA sunucusuna dışarıdan erişilmesi
4 AD sunucusuna aynı hesapla bağlantı sağlanması
Hangi SOC?
HİZMET OLARAK ALINAN ÖZKAYNAK VS
KURUM KOÇSİSTEM
BORDRO
$
Müşteri 1 Müşteri 2 Müşteri 3 Müşteri 4 Müşteri 5
BORDRO
$SERVİS
$SERVİS
$YEMEK
$YEMEK
$
YER MALİYETİ
$
YER MALİYETİ
$YEDEKYEDEK
KURUM
KOÇSİSTEM
Korelasyon Ekibi
Alarm
Alarm Ekibi
Korelasyon
Korelasyon #1 Korelasyon #2 Korelasyon #3 Korelasyon #4 Korelasyon #5
Alarm #1 Alarm #2 Alarm #3 Alarm #4 Alarm #5
! !!! !! !!!! !! ! !
Korelasyon #1 Korelasyon #2 Korelasyon #3 Korelasyon #4 Korelasyon #5 Alarm #1 Alarm #2 Alarm #3 Alarm #4 Alarm #5 Korelasyon #6 Alarm #6
Uçtan Uça Yönetim ve Bakım Hizmeti (Güvenlik – Network – Ses)
Geniş kapsamlı yönetilen güvenlik hizmet ürünleri
Öz kaynaklarla yönetilen hizmetler
Türkiye’deki ilk SOC ve küresel iş ortaklıkları ile L3 destek
Internet ve/veya ISP'den bağımsız bir güvenlik hizmeti olması
Güvenlik üreticileri ve ISP’ler ile üst seviye iş ortaklıkları
Güvenlik odağı ile birlikte ulaşılan 100+ YH Müşterisi
Neyi Farklı Yapıyoruz?
Hangi üreticilerle çalışıyoruz?
Yol Haritamız
İleri Güvenlik Çözümleri
• Web Uygulama Güvenlik Duvarı (WAF)
• Global Yük Dengeleme• DDoS Atak Önleme
(Uygulama Seviyesi)• Ağ Erişim Güvenliği (NAC)• Veritabanı Güvenlik Duvarı• Log Yönetimi
Temel Güvenlik Çözümleri
• Güvenlik Duvarı• Saldırı Önleme (IPS)• Yük Dengeleme • VPN (SSL, Ipsec)• Web/URL Filtreleme • Mail Filtreleme/Güvenliği• Hotspot
Proaktif Güvenlik Çözümleri
• Otomatize Zafiyet Tarama
• Korelasyon/Olay Yönetimi (SIEM)
• Otomatize Sızma Testi
Güvenlik Operasyon
Merkezi (SOC)
• 2016 Planı• 2017– 2018 Planı
Küresel Güvenlik Operasyon
Merkezi
Uçtan Uca Yönetilen Güvenlik Hizmetleri
Nereye Gidiyoruz?
• Büyük Veri daha çok önem kazanacak
• “Internet of Things” ile “Network”
kavramı farklı bir anlam kazanacak ve
sosyal medya güvenlik anlamında
tehditlerin odak noktası haline gelecek
• Kredi kartı hırsızları ‘’Bilgi Tacirleri’’ne
dönüşecek
• MDM Güvenliği ihtiyaç artacak
• Coğrafi yedekli SOC yapılanması
• Güvenlik analizinin odak haline gelmesi
(SOME vb.)
• Veri sızıntıları ve tehditlere istihbarat
servisleriyle ileri seviye entegrasyon
• İç ve dış tehditlere karşı yeni nesil
proaktif yaklaşım (Danışmanlık)
• Küresel ölçekte hizmet vermeye yönelik
yapılanma
Trend KoçSistem SOC
Dünyada yapılabilecek en büyük iyilik, korku içinde yaşayan bir
kimseyi emniyete kavuşturmaktır.BEYDEBA