close

Enter

Log in using OpenID

buradan - Halil ÖZTÜRKCİ

embedDownload
Halil ÖZTÜRKCİ Microsoft MVP CISSP, GPEN, GCFA, CEH, CHFI twitter.com/halilozturkci @ADEO Security Labs, 2014
www.adeosecurity.com
¡ 
¡ 
¡ 
¡ 
¡ 
¡ 
¡ 
¡ 
¡ 
Adli Bilişim Uzmanı Beyaz Şapkalı Hacker Adli Bilişim Derneği & USMED Microsoft MVP, Enterprise Security ADEO Kurucu Ortak&Güvenlik Birimi Yöneticisi Güvenlik TV Yapımcısı ve Sunucusu SANS Mentor (www.sans.org) CISSP, GPEN, GCFA, CHFI, CEH... www.halilozturkci.com halilozturkci
@ADEO Security Labs, 2014
www.adeosecurity.com
Olay Müdahalesi (Incident Response) Nedir @ADEO Security Labs, 2014
www.adeosecurity.com
¡ 
¡ 
¡ 
Olay müdahalesi (Incident Response) bir güvenlik ihlali sırasında ve sonrasında hangi eylemlerin gerçekleştirilmesi gerektiğine ilişkin organize yaklaşıma verilen isimdir. Olay müdahalesinde amaç olası zararı en aza indirmek ve normal duruma dönmek için gerekli zamanı ve maliyeti azaltmaktır. Yukarıdaki şartları sağlamak adına olası bir olay gerçekleştiğinde hangi adımların izlenmesi gerektiği “olay müdahale planı” nda yer alır. @ADEO Security Labs, 2014
www.adeosecurity.com
Denial of Service
Web Defacement
n
Accide
ts
Stolen Laptop
Theft of Proprietary Information
System Failure
Fire!
Malicious active content
@ADEO Security Labs, 2014
Back door attacks
www.adeosecurity.com
¡ 
¡ 
¡ 
¡ 
¡ 
¡ 
¡ 
¡ 
¡ 
¡ 
Web sayfası deface edilmiş ve bir mesaj bırakılmış olabilir.(Son bir ayda hangi kurum ve şirketlerin sayfası hacklenmişti J) Bilgisayarların ekranına mesaj bırakılmış olabilir (bknz Sony J) Sunucular servis vermiyordur (birileri DDoS saldırısı gerçekleştiriyor olabilir mi. Bknz Londra havasahasının kapatılmasıJ) Çalışanlarımızdan birisi laptopunu çaldırmıştır. Rutin kontroller sırasında web sunucusunda illegal içeriğe rastlanmıştır.(Web server loglarında gözüken en çok istekde bulunulan dosya da neyin nesi böyle?J) IDS (Saldırı Tespit Sistemi) yada Antivirüs alarm üretmiştir. Şirkete ait kritik dosyalar internette dolaşmaya başlamıştır. (Müşteri bilgilerimizin pastebin’de ne işi varJ) Twitter’da hacklendiğimize dair haberler dolaşıyordur. (Yeni mi hacklendik yoksa çok mu eski bir olay bu J) Kullanıcılar hesaplarına erişemiyorlardır. Polis kapıya dayanmıştır (Emekli öğretmen banka hesabı boşaltıyorJ) @ADEO Security Labs, 2014
www.adeosecurity.com
Hazırlık • Olay öncesinde mutlaka plan yapılmalı Alınan Dersler Tanımlama • Prosesi İyileştir • Meydana gelen olayın ne olduğunu tanımla Onar Kapsamı Belirle & Yükseltme • Operasyonu normale döndür • Olayın sınırlarını belirle Analiz Et & Kökünden Çöz • Temel sebebi bul ve ortadan kaldır @ADEO Security Labs, 2014
Bildir Eğer veri sızması olduysa paydaşları bilgilendir www.adeosecurity.com
¡ 
Herhangi bir olayla karşılaşılmadan önce aşağıdaki
soruların yanıtları mutlaka verilmelidir.
§  Her bir olay türüne göre ne şekilde davranılacağı (örneğin bir
zararlı kod tespitinde ya da web defacement olayında nasıl
davranılacağ, hangi birimlerin olaya dahil edileceği vb açıkça
belirlenmeli)
§  Her bir olay türü için olay müdahalesi sırasında ekipman olarak
nelere ihtiyaç duyulacağı
§  Üçüncü partilerin haberdar edilmesi gerekiyorsa bunu kimin ne
şekilde yapacağı. (Örneğin USOM (Ulusal Siber Olaylara
Müdahale Merkezi’nin bildirilmesi)
§  Polisin veya adli makamların hangi olay türlerinde
bilgilendirileceği ve bu bilgilendirmeleri yapmakla kimin sorumlu
olacağı
@ADEO Security Labs, 2014
www.adeosecurity.com
¡ 
¡ 
Bu aşamada temel amaç olayı tanımlamak,
kategorize etmek ve önceliklendirme yapmaktır.
Bu bağlamda aşağıdaki soruların cevapları
aranır.
§ 
§ 
§ 
§ 
¡ 
Ne tür bir olayla karşı karşıyayız?
Olayın ciddiyeti ne boyutta?
Kimi aramalıyız?
Delil toplama işlemine bir an önce başlamak gerekiyor
mu?
Kurumsal yada Sektörel SOME(Siber Olaylara
Müdahale Ekiplerinin) kapsamında bu adımı
sizin yapmanız bekleniyor.
@ADEO Security Labs, 2014
www.adeosecurity.com
¡  Bu
aşamada olay müdahale ekipleri
devreye sokulur (sadece teknik ekipler
değil, hukuk, halkla ilişkiler vb ekiplerden
de ilgili kişiler)
¡  Problem izole edilir. (Örneğin virüs
bulaşmış sunucu ağdan izole edilir,
saldırganın IP’si firewall’a yazılarak erişimi
engellenir vb.)
¡  Deliller belirlenir ve delillere el
konulur&toplanır
@ADEO Security Labs, 2014
www.adeosecurity.com
¡ 
¡ 
Saldırının nasıl meydana geldiğini ortaya çıkar: Kim, Ne
Zaman, Nasıl ve Neden sorularının yanıtlarını bulmaya
çalış. (Forensics daha çok burada devreye giriyorJ)
Problemin ana sebebini ortadan kaldır.
§  Sistemi yeniden kur
§  Yönetici hesapları ele geçirilmişse bütün şifreleri
yenile
§  Eksik yamaların tamamını yükle
§  Zafiyet taraması yap
§  Koruma kontrollerini gözden geçir ve gerekiyorsa
katman ekle
@ADEO Security Labs, 2014
www.adeosecurity.com
¡  İşleyişi
normale döndürün
§  Web sitesi yayına devam etsinJ
§  Müşteriler servis alabilsin
§  Onarımın sorunsuz gerçekleştiğini
mutlaka test edin.
@ADEO Security Labs, 2014
www.adeosecurity.com
¡ 
¡ 
Olay müdahalesi başarılı şekilde gerçekleştikten
sonra;
Bir olay raporu yazın ve bu raporda
§  Nelerin doğru nelerin yanlış gittiği
§  Prosesi iyileştirmek için nelerin yapılabileceği
§  Olayın kuruma&şirkete yaklaşık maliyeti
gibi konu başlıkları olsun
¡ 
Bu raporu yetkili kişilerce paylaşın
¡ 
Eksiklerinizi iyileştirecek adımları tespit edine ve
Olay Müdahale Planınızı güncelleyin.
@ADEO Security Labs, 2014
www.adeosecurity.com
@ADEO Security Labs, 2014
www.adeosecurity.com
Yapılan Yanlışlar @ADEO Security Labs, 2014
www.adeosecurity.com
¡ 
¡ 
¡ 
¡ 
Dahil olduğumuz bir çok olay bize kurumların ve şirketlerin bir Olay Müdahale Planı’na (Incident Response Plan) sahip olmadığını göstermiştir. Kurumlar veya şirketler başlarına kötü bir olay gelmeden önce mutlaka bir Olay Müdahale Planı oluşturmalıdırlar. Olay sırasında mutlaka hazırlanan bu plan çerçevesinde hareket edilmelidir. Bu plan canlı bir plan olmalı ve meydana gelen ve çözülen olaylar sonunda elde edilen bilgiler bu planı iyileştirmek adına kullanılmalıdır. @ADEO Security Labs, 2014
www.adeosecurity.com
¡ 
Olay Müdahale Planı hazırlama noktasında yardımı dokunacak bir kaç whitepaper; §  An Incident Handling Process for Small and Medium Businesses (http://
§ 
§ 
§ 
§ 
www.sans.org/reading_room/whitepapers/incident/incident-­‐handling-­‐
process-­‐small-­‐medium-­‐businesses_1791) The Incident Handlers Handbook (http://www.sans.org/reading_room/
whitepapers/incident/incident-­‐handlers-­‐handbook_33901) Incident Management 101 Preparation & Initial Response (aka Identification) (http://www.sans.org/reading_room/whitepapers/incident/
incident-­‐management-­‐101-­‐preparation-­‐initial-­‐response-­‐aka-­‐
identification_1516) NIST 800-­‐61 -­‐Computer Security Incident Handling Guide (http://
csrc.nist.gov/publications/nistpubs/800-­‐61rev2/SP800-­‐61rev2.pdf) NIST 800-­‐86 -­‐Guide to Integrating Forensic Techniques into Incident Response (http://csrc.nist.gov/publications/nistpubs/800-­‐86/SP800-­‐86.pdf) @ADEO Security Labs, 2014
www.adeosecurity.com
@ADEO Security Labs, 2014
www.adeosecurity.com
¡ 
¡ 
¡ 
¡ 
¡ 
Kurum veya şirkette bir Olay Müdahale Planı olsa dahi, olay sırasındaki karmaşa anında genellikle bu plan göz ardı ediliyorJ Bu karmaşanın yaşanmaması için mutlaka çok iyi bir iletişim matrisi oluşturulmalı ve olay müdahale takımında yer alan herkesi bu matrisi çok iyi bilmeli. Bu matris hangi durumlarda, kimlere, nasıl bir raporlama yapılacağını adreslemeli. Olay müdahalesi mutlaka tek bir merkezden ve tek bir yönetici tarafından yönetilmeli. Bütün birimler mutlaka önemli/önemsiz bütün ayrıntıları merkeze aktarmalı. Önemsiz gözüken bir bilgi, olayın çözümünde kilit rol oynayabilir. @ADEO Security Labs, 2014
www.adeosecurity.com
¡ 
¡ 
¡ 
¡ 
¡ 
Olay müdahalesinin eksik veya yanlış bilgiye sahip personel tarafından yapılması yine çokça karşılaştığımız durumlar arasında. Çok hassas olan sayısal delillerin bozulmadan muhafaza edilmesi çok önemli. Bilgisini aşan personeller tarafından yapılan ilk müdahalede çoğu kez sayısal deliller zarara uğruyor. İlk müdahaleyi yapacak birimdeki çalışanların tamamına İlk Müdahale eğitimi verilmeli. İlk müdahale eğitimi için referans alınabilecek "First Responders Guide to Computer Forensics" dokümanı www.cert.org/archive/pdf/FRGCF_v1.3.pdf adresinden indirilebilir. @ADEO Security Labs, 2014
www.adeosecurity.com
¡ 
¡ 
¡ 
¡ 
Şirketler ve kurumlar karşılaştıkları bir incident sonrasında hemen aksiyon alıp ilgili olayı tez elden kapatmayı amaçlıyor. Bu durum mevcut olayın kapsamını gözden kaçırmaya sebep olabiliyor. Olay sonrasında mutlaka mevcut yapının sahip olduğu izleme (monitoring) yapısından daha güçlü bir izleme yapısı kurularak olayın devam edip etmediği yada başka sistemlerin ilgili olaya dahil olup olmadığı izlenmelidir. Bir çok şirket monitoring, loglama vb yapılarının düzgün çalışmadığını olay sırasında öğreniyorJ @ADEO Security Labs, 2014
www.adeosecurity.com
¡  Bir çok olayda, olayın ana sebebi tespit edilmeden olay kapatılıyor. ¡  Örneğin, zafiyet barındıran bir temel kurulum CD’si üzerinden yapılan yeniden bir kurulum, zafiyeti beraberinde getirecek ve sonrasında gerçekleşecek olası bir olay tekrarına sebebiyet verebilecektir. ¡  Ana sebep mutlaka tespit edilmeli ve olay tekrarının önüne geçilmelidir. @ADEO Security Labs, 2014
www.adeosecurity.com
¡ 
¡ 
¡ 
Olay sıcakken planlanan bir çok iş, olay biraz soğuduktan sonra operasyonel işlere kurban ediliyorJ Bu durum tekrardan aynı yada benzer olaylar ile karşılaşılmasına davetiye çıkartıyor. Bunun için mutlaka güvenlik zafiyetlerinin ortaya çıkartılmasına yardımcı olacak Penetrasyon Testi, Risk Analizi gibi çalışmalar yapılmalı, yapılıyorsa da sıklığı arttırılmalı. (3 yılda bir penetrasyon testi olmazJ) @ADEO Security Labs, 2014
www.adeosecurity.com
¡ 
¡ 
¡ 
¡ 
¡ 
¡ 
Olayı gerçekleştiren kişi müdahale ekibinde olursa ne olacağını düşünün J Şimdiye kadar müdahalede bulunduğum olayların çoğunda IT’den birilerinin müdahil olduğu olaylar vardı. Özellikle içerden birilerinin karıştığı olaylarda delil karartma işleminin çokça yapıldığını şahit olabilirsiniz. Logların silinmesi, bilgisayarların wipe edilmesi, sahte izler oluşturulması gibi delil karatma yöntemlerinin hepsi ile karşılaştım.J Delil karartmanın önüne geçmek için mutlaka merkezi bir loglama yapısı kurulmalı. IT’den birilerinin olaya karıştığından şüpheleniliyorsa mutlaka inceleme bitene kadar bütün sistemlerden uzak tutulmalı. @ADEO Security Labs, 2014
www.adeosecurity.com
¡ Mutlaka bir bilene sorun. ¡ Müdahale sırasında yapacağınız en ufak bir hata, sayısal delillerin bir daha geri dönülemez şekilde yok olmasına sebep olabilir. @ADEO Security Labs, 2014
www.adeosecurity.com
Teşekkürler @ADEO Security Labs, 2014
www.adeosecurity.com
Author
Document
Category
Uncategorized
Views
0
File Size
2 807 KB
Tags
1/--pages
Report inappropriate content