27
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr Halil ÖZTÜRKCİ Microsoft MVP CISSP, GPEN, GCFA, CEH, CHFI twitter.com/halilozturkci

Some’lerden Beklenen Adli bilişim Yetkinlikleri

Embed Size (px)

Citation preview

Page 1: Some’lerden Beklenen Adli bilişim Yetkinlikleri

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Halil ÖZTÜRKCİMicrosoft MVP

CISSP, GPEN, GCFA, CEH, CHFI

twitter.com/halilozturkci

Page 2: Some’lerden Beklenen Adli bilişim Yetkinlikleri

ADEO Kurucu Ortak&Güvenlik Birimi YöneticisiAdli Bilişim Derneği & USMED

Adli Bilişim UzmanıBeyaz Şapkalı HackerMicrosoft MVP, Enterprise SecurityGüvenlik TV Yapımcısı ve Sunucusu

SANS Mentor (www.sans.org)

CISSP, GPEN, GCFA, CHFI, CEH...

www.halilozturkci.com

halilozturkci

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 3: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Nedir Bu SOME DedikleriSOME ’lerden BeklentilerSiber Olaylar ve Olay Müdahalesi(Incident Response)SOME ve Adli Bilişimİncelemeleri

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 4: Some’lerden Beklenen Adli bilişim Yetkinlikleri

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 5: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Siber Güvenlik Kurulu’nun ilk toplantısında “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” kabul edilmiştir.

Bu eylem planında kamu kurum ve kuruluşları bünyesinde Siber Olaylara Müdahale Ekipleri (Kurumsal SOME, Sektörel SOME) oluşturulması öngörülmüştür.

4. Madde:Stratejik Siber Güvenlik Eylemleri▪ c.) Ulusal Siber Olaylara Müdahale Organizasyonunun

Oluşturulması

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 6: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğden;

MADDE 5 − (1) Kurumsal SOME’ler;

Kurumlarına doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemelsiber saldırılara karşı;▪ Gerekli önlemleri alma veya aldırma

Bu ▪ tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veyakurdurma

▪ Kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla

yükümlüdürler .

(3) Kurumsal SOME’ler, Siber olayların önlenmesi veya zararlarının azaltılmasına yönelik faaliyetlerini varsa birlikte çalıştığısektörel SOME ile eşgüdüm içerisinde yürütürler.

Durumdan gecikmeksizin USOM'u haberdar ederler.

(4) Kurumsal SOME’ler bir siber olayla karşılaştıklarında;USOM ve birlikte çalıştığı sektörel SOME'ye bilgi vermek koşulu ile öncelikle söz konusu olayıkendi imkân ve kabiliyetleri ile bertaraf etmeye çalışırlar.

Bunun mümkün olmaması halinde varsa birlikte çalıştığı sektörel SOME'den ve/veya USOM'danyardım talebinde bulunabilirler.@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 7: Some’lerden Beklenen Adli bilişim Yetkinlikleri

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Kurumun imkânları çerçevesinde bu fonksiyonların tamamını yerine getirmesi için hâlihazırda bilgi

işlem bünyesinde görev yapan personelin Kurumsal SOME kurulumunun ilk aşamasında ikiz görevli

olarak görevlendirilebileceği; nihai hedef olarak ayrı uzmanlık gerektiren her bir fonksiyon için en

az bir sözleşmeli/kadrolu personel istihdamı yapılması tavsiye edilmektedir.

Page 8: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Siber Olay Öncesi Beklentiler

Kurum içi farkındalık çalışmalarının gerçekleştirilmesi

Kurumsal bilişim sistemleri sızma testlerinin yapılması / yaptırılması

Kayıtların düzenli olarak incelenmesi

Siber Olay Esnasındaki Beklentiler Siber Olay Sonrasındaki Beklentiler

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 9: Some’lerden Beklenen Adli bilişim Yetkinlikleri

İki temel başlık altında toplanabilir

Reaktif Servisler

Proaktif Servisler

Reaktif servisler herhangi bir siber saldırı anındaveya sonrasında verilebilecek servislerdirProaktif servisler ise herhangi bir siber olaymeydana gelmeden önce altyapıyı ve güvenliksüreçlerini iyileştirmeye yönelik servislerdir.

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 10: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Reaktif servis kategorisinde yer alan servislertemel manada şunlardır;

Alerts and Warnings

Incident Handling

Incident Analysis▪

Forensic Evidence Collection▪

Tracking or Tracing▪

Incident Response on Site▪

Incident Response Support▪

Incident Response Coordination▪

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 11: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Vulnerability Handling

Vulnerability Analysis

Vulnerability Response

Vulnerability Response Coordination

Artifact Handling

Artifact Analysis

Artifact Response

Artifact Response Coordination

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 12: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Ulak-CSIRT Ulusal Akademik Ağ kapsamında kurulmuş bir güvenlikbirimidir.

Ulak-CSIRT (Computer Security Incident Response Team)

Dış ağlardan ULAKNET'e yapılabilecek güvenlik ihlallerini

▪ Önleme,

▪ Gerçekleşen saldırı ve sorumlularını tespit etme

ULAKNET'ten dış dünyaya yapılan saldırıları

▪ Önleme

▪ Eğer saldırı oluşmuşsa saldırı sorumlusunu tespit ederek saldırıyla karşılaşan ağınyöneticileriyle bilgileri paylaşmakla

sorumludur.

http://csirt.ulakbim.gov.tr adresinden detaylara ulaşılabilir.

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 13: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Ağ genelinde bilgi güvenliği bilincini artırmakAkademik ağa yapılan bilgisayar güvenliğini tehdit edicisaldırı sayısını azaltmakGüvenlik ihlali sorumlularını tespit etme aşamasınınkoordinasyonunu sağlamakGüncel açıkları ve çözümleri hakkında ağa bağlı uçlarınyöneticilerini bilgilendirmekBağlı uç yöneticilerine bilgi güvenliği hakkında eğitimvermekBilgi güvenliğini sağlamak için kullanılacak yöntemlerhakkında Türkçe döküman sağlamak

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 14: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Siber Olay Esnasında Beklentiler

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 15: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Kurumsal SOME olay müdahale esnasında bilişim sistemlerine yetkisiz erişim yapılmaması için gerekli tedbirleri alır, aldırır.

Siber olay müdahale akışı içinde suç unsuruna rastlanması halinde savcılık, kolluk makamı vb. makamlara haber verilmesi hem kanuni yükümlülüğün yerine getirilmesi, hem de ulusal siber güvenlik kapsamında caydırıcılığın sağlanması açısından önem arz etmektedir.

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 16: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Siber Olay Sonrası Beklentiler

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 17: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Zaman geçirmeden olaya neden olan açıklık belirlenir ve çıkarılan dersler kayıt altına alınır.

Kurumsal SOME, siber olay ile ilgili bilgileri USOM tarafından belirlenen kriterlere uygun şekilde Siber Olay Değerlendirme Formunu doldurarak USOM’a ve varsa bağlı olduğu SektörelSOME’ye gönderir ve kayıt altına alır.

Olayla ilgili olarak gerçekleştirilebilecek düzeltici/önleyici faaliyetlere ilişkin öneriler kurum yönetimine arz edilir.

Yaşanan siber olayların türleri, miktarları ve maliyetleri ölçülüp izlenir.

Yaşanan siber olaya ilişkin iş ve işlemlerin detaylı bir şekilde anlatıldığı siber olay müdahale raporu hazırlanır, üst yönetim, USOM ve varsa bağlı olduğu Sektörel SOME’ye iletilir.

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 18: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Olay müdahalesi (Incident Response) bir güvenlikihlali sırasında ve sonrasında hangi eylemleringerçekleştirilmesi gerektiğine ilişkin organize yaklaşıma verilen isimdir.

Olay müdahalesinde amaç olası zararı en azaindirmek ve normal duruma dönmek için gereklizamanı ve maliyeti azaltmaktır.

Yukarıdaki şartları sağlamak adına olası bir olaygerçekleştiğinde hangi adımların izlenmesi gerektiği“olay müdahale planı” nda yer alır.

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 19: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Hazırlık

Olay • öncesindemutlaka plan yapılmalı

Tanımlama

•Meydana gelenolayın ne olduğunutanımla

Kapsamı Belirle & Yükseltme

•Olayın sınırlarınıbelirle

Analiz Et & Kökünden Çöz

•Temel sebebi bul veortadan kaldır

Onar

Operasyonu•normale döndür

Alınan Dersler

•Prosesi İyileştir

BildirEğer veri sızması

olduysa paydaşlarıbilgilendir

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 20: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Mutlaka bir bilene sorun.Müdahale sırasında yapacağınız

en ufak bir hata, sayısal delillerin bir daha geri dönülemez şekilde yok olmasına sebep olabilir.

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 21: Some’lerden Beklenen Adli bilişim Yetkinlikleri

SOME ve Adli Bilişim İncelemeleri

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 22: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Computer Forensics

Windows Forensics

Registry Forensics▪

Windows Memory ▪ Forensics

Shadow▪ Copy Forensics

Linux/Unix Forensics

Network Forensics

Mobile Forensics

Malware Forensics

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 23: Some’lerden Beklenen Adli bilişim Yetkinlikleri

File Sistem Forensics

FAT, exFAT, NFTS, ext2, ext3, ext4, jfs..

Windows Forensics

Canlı İncileme

Memory Forensics

Registry Forensics

Linux/Unix Forensics Mac OS X Forensics Virtualization Forensics

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 24: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Paket Yakalama ve Paket Analizi

Kurbanın bilgisayarından paket yakalama

TAP cihazları kullanarak paket yakalama

Aktif Ağ Cihazlarının Log Analizleri

Aktif ağ Cihazları Yönetim Yazılımlarının

Log AnalizleriSIEM ürünlerinin Log Analizleri

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 25: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Cep Telefonu ve SIM Kartlarda Forensics

Akıllı Telefonlarda Forensics

iPhone

Android

Windows

Tablet Cihazlarda Forensics

Akıllı Telefonların Bilgisayarlarda Tutulan

Yedekleri Üzerinden Forensics

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 26: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Statik Analiz

String Analizi, Disassembler

Dinamik Analiz

Kendi Lab Ortamımızda

Anubis

Sandbox (Cuckoo Sandbox vb)

Kod Analizi

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Page 27: Some’lerden Beklenen Adli bilişim Yetkinlikleri

Teşekkürler

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr