Serkan Özden

Servis Olarak SOC ve SIEM

Norbury

Değişim...

Big Data ve IOT Etkisi

Siber Tehditler

Securityintelligence.com

DDOS, Malware, SQLi, Misconfigurations,…

Target Veri Sızdırma Vakası(Eylül 2013 – Ocak 2014)

Saldırgan cephesi

Target cephesi

Eylül2013

12Kas

Target PCI-DSS

sertifikasyonu

Saldırganların Fazio hesapbilgilerini oltalama yöntemi

ile ele geçirmesi

15-28Kas

30Kas

2Ara

12Ara

15Ara

19Ara

10Oca

Target ağına sızılması

Zararlı yazılımın TargetPOS sisteminde test edilmesi

POS zararlı yazılımının tamfaal hale gelmesi

Veri sızdırma yazılımlarınınyüklenmesi

Sızdırme ve zararlı yazılım güncellemesiİle

kart bilgilerinin sızdırmanın başlaması

Symantec zararlı yazılım aktivitesitespiti

İlk FireEyeAlarmlarının tetiklenmesi

Daha fazla FireEyealarmı

US DoJ Target’taki sızmavakasını duyurması

Target vakayı onadı,zararlı yazılımları bertaraf etmeye başlaması

Saldırganların Target ağınaerişimi kaybetmeleri

Target 40M kart bilgisinin çalındığını duyurması

Target ilave 70Mkart bilgisininçalındığını duyurması

Bengladeş Merkez Bankası Vakası(Şubat 2016)

Bangladesh Central Bank

Federal Reserve Bank (NY)

Philippine Bank Sri Lanka Bank

Hackers

Saldırganlar Bengladeş Merkez Bankası sistemlerine malware yüklemesi gerçekleştirir. Yüksek olasılıkla 0-gün tipte mail veya web tipi açıklıktan faydalanılarak gerçekleştiği düşünülmektedir.

Malware, yüksek olasılıkla uzaktan yönetilebilir bir özelliktedir. Keylogger, spyware tipi bilgi toplama yöntemi kullanılır.

Saldırganların uzaktan haftalar süren incelemeleri ile banka süreçleri öğrenilmeye çalışılır.

2

Amerika’daki bankalardan çekilecek şekilde paranın çıkartılma yöntemi belirlenir. Yüksek olasılıkla FTT (Fedwire Fund Transfer) servisinin incelenmesi ile.

Bankanın SWIFT hesap bilgileri kullanılarak Sri Lanka ve Filipinlerde daha önce açılmış olan hesaplara para transferi gerçekleşir. (Şubat 2016)

Mayıs 2015’te Sri Lanka ve FilipinBankalarında sahte banka hesabı açılır

Toplamda 100mio USD Sri Lanka ve Filipinlerdeki banka hesaplarına ağırlığı Filipinler olmak üzere 5 farklı transfer ile gerçekleştirilir.

3

4

5

7

1

SWIFT transflereri için kullanılan hesap bilgileri ele geçirilir.8

Fonlar Filipinlerdeki kişisel hesaplara transfer edilmiştir. Daha sonra iki farklı hesaba konsolide edilip buradan da yurt dışındaki farklı Casino hesaplarına gönderilir. Filipinlerdeki hesapların sahibi olan iş adamı daha sonra yapılan sorgulamada hesapların kendisine ait olmadığını belirtir.

6

Fake Personal Accounts

Consolidation

Accounts

Outside Entities

9

Yönetim ve İzleme

Madalyonun iki yüzü

İZLEME

YÖNETİM

5 x 8

Tanımlama

Planlama

Tasarım

Kuruluş

7 x 24

Troubleshooting

SIEM

NMS

Olay Yönetimi

SOC Mimarisi

Güvenlik Bilgi ve Olay Yönetimi Platformu (SIEM)( HTTP, SMTP, SNMP, SYSLOG, API, ..)

Güvenlik Sistemleri Sunucu ve Sanallaştırma Sistemleri Network Cihazları Uygulamalar ( Mail, Veri tabanı, AD, vb..)

İşletmen

Güvenlik Sistemleri YönetimiNetwork Altyapı Yönetimi

Sunucu Sistemleri Uygulama Yönetimi

7x24 İzleme Tehdit Analizi ve Yönetimi

Zafiyet Yönetimi SIEM Yönetimi

Korelasyon Kural Yazım ve Uygulanması Flow Analiz

Analist ( Küresel )

Analist SIEM Mühendisi

SOC Mühendisi

L2

L3

L1

L2 + L3

Neden SOC?

Siber güvenlik ürünlerinin gerçek saldırılar karşısındaki uyarı ve engelleme kabiliyeti

20%

İç ve dış veya kaynağı bilinmeyen siber saldırı olayı yaşanma oranı ( Son 2 yılda)

63%

Zamanında siber saldırıyı farketme ve önleme oranı5%

Kullanılan siber güvenlik ürünlerine olan güven

80%

Çalışanların Siber Güvenlik “teknik farkındalığı”

30%

Bir saldırı olsa da konunun önemi artsa diyenler

70%

Güvenlik Operasyon Merkezi (SOC)Temel Standart İleri

Güvenlik cihazlarının Performans ve Trafik izlemesi URL izleme Güvenlik Cihazlarında Problem Tespiti ve Müdahale* Atak Durumlarının Tespit, Takip ve Raporlanması (SNMP) SIEM Sistemi Tasarlanması ve Kurulumu Log Kaynaklarının Belirlenmesi ve Entegrasyonu Korelasyon Kurallarının Oluşturulması Gold Platin

SIEM İşletimi Global Tehdit İstihbarat Servisi Kullanımı Gold Platin

Müşteri Özelinde SIEM ve SOC Danışmanlığı* Güvenlik İhlal Durumlarının Detaylı Anlık Analizi Zafiyet Tarama ve Flow Analizi Gold Platin

Offense (Use Case) Kuralları

12

3. Parti Danışmanlar (VPN, Proxy, AV) - Kullanıcı Listesi - VPN Subnetleri - Aktivite izleme

POS ve kasa sistemleri(Firewall, IPS, AV) - AV statüsü izleme - Deaktif - Eski imzalar

Phishing Saldırıları(Ironport, Symantec.cloud Email Sec, Office 365) - Phishing Email alan kullanıcılar- Zararlı sitelere ulaşmaya çalışan kullanıcılar

Sunucu Aktivitelerinin İzlenmesi(domain üyeleri, IP addresleri, Sunucu isimleri, lokasyonlar)- AD loğları üzerinden kimlik doğrulama loğlarının izlenmesi- AV loğlarından AV statülerinin izlenmesi- SCCM logları ile uygulama üzerindeki değişikliklerin izlenmesi

Uzak şube izleme(AD, LDAP, ACS, MS Office 365, IPS, sunucu loğları)- Şubelerden çoklu kimlik doğrulama hataları- Shell bağlantı denemeleri- Uzak şubelerden tarama aktiviteleri- Uzak şubeden kaynaklanan SPAM postalar

Kritik zararlı tip programların tespiti(IIS, Apache HTTP sunucuları, proxy logları, SSL VPN)- Müşterinin sistemlerindeki ulaşılabilir zafiyetler- Kritik malware tool tespiti

Deaktif hesap kullanımı(AD, LDAP, ACS)- Deaktif edilen kullanıcılar- Login olan deaktif kullanıcıların izlenmesi

Yaşanmış vaka örneği

13

1

2

3

Vaka: Internet üzerinden şirketin AD sunucusuna bağlantı gerçekleştirilmesi

Zaman: Yeni bir müşterimizin SIEM işletim hizmeti geçiş çalışmaları aşaması

Bir şirket çalışanına ait mail hesabına ait şifrenin brute-force yöntemiyle ele geçirilmesi

Ele geçirilen hesaba ait şifrenin değiştirilmesi

OWA sunucusuna dışarıdan erişilmesi

4 AD sunucusuna aynı hesapla bağlantı sağlanması

Hangi SOC?

HİZMET OLARAK ALINAN ÖZKAYNAK VS

KURUM KOÇSİSTEM

BORDRO

$

Müşteri 1 Müşteri 2 Müşteri 3 Müşteri 4 Müşteri 5

BORDRO

$SERVİS

$SERVİS

$YEMEK

$YEMEK

$

YER MALİYETİ

$

YER MALİYETİ

$YEDEKYEDEK

KURUM

KOÇSİSTEM

Korelasyon Ekibi

Alarm

Alarm Ekibi

Korelasyon

Korelasyon #1 Korelasyon #2 Korelasyon #3 Korelasyon #4 Korelasyon #5

Alarm #1 Alarm #2 Alarm #3 Alarm #4 Alarm #5

! !!! !! !!!! !! ! !

Korelasyon #1 Korelasyon #2 Korelasyon #3 Korelasyon #4 Korelasyon #5 Alarm #1 Alarm #2 Alarm #3 Alarm #4 Alarm #5 Korelasyon #6 Alarm #6

Uçtan Uça Yönetim ve Bakım Hizmeti (Güvenlik – Network – Ses)

Geniş kapsamlı yönetilen güvenlik hizmet ürünleri

Öz kaynaklarla yönetilen hizmetler

Türkiye’deki ilk SOC ve küresel iş ortaklıkları ile L3 destek

Internet ve/veya ISP'den bağımsız bir güvenlik hizmeti olması

Güvenlik üreticileri ve ISP’ler ile üst seviye iş ortaklıkları

Güvenlik odağı ile birlikte ulaşılan 100+ YH Müşterisi

Neyi Farklı Yapıyoruz?

Hangi üreticilerle çalışıyoruz?

Yol Haritamız

İleri Güvenlik Çözümleri

• Web Uygulama Güvenlik Duvarı (WAF)

• Global Yük Dengeleme• DDoS Atak Önleme

(Uygulama Seviyesi)• Ağ Erişim Güvenliği (NAC)• Veritabanı Güvenlik Duvarı• Log Yönetimi

Temel Güvenlik Çözümleri

• Güvenlik Duvarı• Saldırı Önleme (IPS)• Yük Dengeleme • VPN (SSL, Ipsec)• Web/URL Filtreleme • Mail Filtreleme/Güvenliği• Hotspot

Proaktif Güvenlik Çözümleri

• Otomatize Zafiyet Tarama

• Korelasyon/Olay Yönetimi (SIEM)

• Otomatize Sızma Testi

Güvenlik Operasyon

Merkezi (SOC)

• 2016 Planı• 2017– 2018 Planı

Küresel Güvenlik Operasyon

Merkezi

Uçtan Uca Yönetilen Güvenlik Hizmetleri

Nereye Gidiyoruz?

• Büyük Veri daha çok önem kazanacak

• “Internet of Things” ile “Network”

kavramı farklı bir anlam kazanacak ve

sosyal medya güvenlik anlamında

tehditlerin odak noktası haline gelecek

• Kredi kartı hırsızları ‘’Bilgi Tacirleri’’ne

dönüşecek

• MDM Güvenliği ihtiyaç artacak

• Coğrafi yedekli SOC yapılanması

• Güvenlik analizinin odak haline gelmesi

(SOME vb.)

• Veri sızıntıları ve tehditlere istihbarat

servisleriyle ileri seviye entegrasyon

• İç ve dış tehditlere karşı yeni nesil

proaktif yaklaşım (Danışmanlık)

• Küresel ölçekte hizmet vermeye yönelik

yapılanma

Trend KoçSistem SOC

Dünyada yapılabilecek en büyük iyilik, korku içinde yaşayan bir

kimseyi emniyete kavuşturmaktır.BEYDEBA