Halil ÖZTÜRKCİ Microsoft MVP CISSP, GPEN, GCFA, CEH, CHFI twitter.com/halilozturkci @ADEO Security Labs, 2014 www.adeosecurity.com ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Adli Bilişim Uzmanı Beyaz Şapkalı Hacker Adli Bilişim Derneği & USMED Microsoft MVP, Enterprise Security ADEO Kurucu Ortak&Güvenlik Birimi Yöneticisi Güvenlik TV Yapımcısı ve Sunucusu SANS Mentor (www.sans.org) CISSP, GPEN, GCFA, CHFI, CEH... www.halilozturkci.com halilozturkci @ADEO Security Labs, 2014 www.adeosecurity.com Olay Müdahalesi (Incident Response) Nedir @ADEO Security Labs, 2014 www.adeosecurity.com ¡ ¡ ¡ Olay müdahalesi (Incident Response) bir güvenlik ihlali sırasında ve sonrasında hangi eylemlerin gerçekleştirilmesi gerektiğine ilişkin organize yaklaşıma verilen isimdir. Olay müdahalesinde amaç olası zararı en aza indirmek ve normal duruma dönmek için gerekli zamanı ve maliyeti azaltmaktır. Yukarıdaki şartları sağlamak adına olası bir olay gerçekleştiğinde hangi adımların izlenmesi gerektiği “olay müdahale planı” nda yer alır. @ADEO Security Labs, 2014 www.adeosecurity.com Denial of Service Web Defacement n Accide ts Stolen Laptop Theft of Proprietary Information System Failure Fire! Malicious active content @ADEO Security Labs, 2014 Back door attacks www.adeosecurity.com ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Web sayfası deface edilmiş ve bir mesaj bırakılmış olabilir.(Son bir ayda hangi kurum ve şirketlerin sayfası hacklenmişti J) Bilgisayarların ekranına mesaj bırakılmış olabilir (bknz Sony J) Sunucular servis vermiyordur (birileri DDoS saldırısı gerçekleştiriyor olabilir mi. Bknz Londra havasahasının kapatılmasıJ) Çalışanlarımızdan birisi laptopunu çaldırmıştır. Rutin kontroller sırasında web sunucusunda illegal içeriğe rastlanmıştır.(Web server loglarında gözüken en çok istekde bulunulan dosya da neyin nesi böyle?J) IDS (Saldırı Tespit Sistemi) yada Antivirüs alarm üretmiştir. Şirkete ait kritik dosyalar internette dolaşmaya başlamıştır. (Müşteri bilgilerimizin pastebin’de ne işi varJ) Twitter’da hacklendiğimize dair haberler dolaşıyordur. (Yeni mi hacklendik yoksa çok mu eski bir olay bu J) Kullanıcılar hesaplarına erişemiyorlardır. Polis kapıya dayanmıştır (Emekli öğretmen banka hesabı boşaltıyorJ) @ADEO Security Labs, 2014 www.adeosecurity.com Hazırlık • Olay öncesinde mutlaka plan yapılmalı Alınan Dersler Tanımlama • Prosesi İyileştir • Meydana gelen olayın ne olduğunu tanımla Onar Kapsamı Belirle & Yükseltme • Operasyonu normale döndür • Olayın sınırlarını belirle Analiz Et & Kökünden Çöz • Temel sebebi bul ve ortadan kaldır @ADEO Security Labs, 2014 Bildir Eğer veri sızması olduysa paydaşları bilgilendir www.adeosecurity.com ¡ Herhangi bir olayla karşılaşılmadan önce aşağıdaki soruların yanıtları mutlaka verilmelidir. § Her bir olay türüne göre ne şekilde davranılacağı (örneğin bir zararlı kod tespitinde ya da web defacement olayında nasıl davranılacağ, hangi birimlerin olaya dahil edileceği vb açıkça belirlenmeli) § Her bir olay türü için olay müdahalesi sırasında ekipman olarak nelere ihtiyaç duyulacağı § Üçüncü partilerin haberdar edilmesi gerekiyorsa bunu kimin ne şekilde yapacağı. (Örneğin USOM (Ulusal Siber Olaylara Müdahale Merkezi’nin bildirilmesi) § Polisin veya adli makamların hangi olay türlerinde bilgilendirileceği ve bu bilgilendirmeleri yapmakla kimin sorumlu olacağı @ADEO Security Labs, 2014 www.adeosecurity.com ¡ ¡ Bu aşamada temel amaç olayı tanımlamak, kategorize etmek ve önceliklendirme yapmaktır. Bu bağlamda aşağıdaki soruların cevapları aranır. § § § § ¡ Ne tür bir olayla karşı karşıyayız? Olayın ciddiyeti ne boyutta? Kimi aramalıyız? Delil toplama işlemine bir an önce başlamak gerekiyor mu? Kurumsal yada Sektörel SOME(Siber Olaylara Müdahale Ekiplerinin) kapsamında bu adımı sizin yapmanız bekleniyor. @ADEO Security Labs, 2014 www.adeosecurity.com ¡ Bu aşamada olay müdahale ekipleri devreye sokulur (sadece teknik ekipler değil, hukuk, halkla ilişkiler vb ekiplerden de ilgili kişiler) ¡ Problem izole edilir. (Örneğin virüs bulaşmış sunucu ağdan izole edilir, saldırganın IP’si firewall’a yazılarak erişimi engellenir vb.) ¡ Deliller belirlenir ve delillere el konulur&toplanır @ADEO Security Labs, 2014 www.adeosecurity.com ¡ ¡ Saldırının nasıl meydana geldiğini ortaya çıkar: Kim, Ne Zaman, Nasıl ve Neden sorularının yanıtlarını bulmaya çalış. (Forensics daha çok burada devreye giriyorJ) Problemin ana sebebini ortadan kaldır. § Sistemi yeniden kur § Yönetici hesapları ele geçirilmişse bütün şifreleri yenile § Eksik yamaların tamamını yükle § Zafiyet taraması yap § Koruma kontrollerini gözden geçir ve gerekiyorsa katman ekle @ADEO Security Labs, 2014 www.adeosecurity.com ¡ İşleyişi normale döndürün § Web sitesi yayına devam etsinJ § Müşteriler servis alabilsin § Onarımın sorunsuz gerçekleştiğini mutlaka test edin. @ADEO Security Labs, 2014 www.adeosecurity.com ¡ ¡ Olay müdahalesi başarılı şekilde gerçekleştikten sonra; Bir olay raporu yazın ve bu raporda § Nelerin doğru nelerin yanlış gittiği § Prosesi iyileştirmek için nelerin yapılabileceği § Olayın kuruma&şirkete yaklaşık maliyeti gibi konu başlıkları olsun ¡ Bu raporu yetkili kişilerce paylaşın ¡ Eksiklerinizi iyileştirecek adımları tespit edine ve Olay Müdahale Planınızı güncelleyin. @ADEO Security Labs, 2014 www.adeosecurity.com @ADEO Security Labs, 2014 www.adeosecurity.com Yapılan Yanlışlar @ADEO Security Labs, 2014 www.adeosecurity.com ¡ ¡ ¡ ¡ Dahil olduğumuz bir çok olay bize kurumların ve şirketlerin bir Olay Müdahale Planı’na (Incident Response Plan) sahip olmadığını göstermiştir. Kurumlar veya şirketler başlarına kötü bir olay gelmeden önce mutlaka bir Olay Müdahale Planı oluşturmalıdırlar. Olay sırasında mutlaka hazırlanan bu plan çerçevesinde hareket edilmelidir. Bu plan canlı bir plan olmalı ve meydana gelen ve çözülen olaylar sonunda elde edilen bilgiler bu planı iyileştirmek adına kullanılmalıdır. @ADEO Security Labs, 2014 www.adeosecurity.com ¡ Olay Müdahale Planı hazırlama noktasında yardımı dokunacak bir kaç whitepaper; § An Incident Handling Process for Small and Medium Businesses (http:// § § § § www.sans.org/reading_room/whitepapers/incident/incident-‐handling-‐ process-‐small-‐medium-‐businesses_1791) The Incident Handlers Handbook (http://www.sans.org/reading_room/ whitepapers/incident/incident-‐handlers-‐handbook_33901) Incident Management 101 Preparation & Initial Response (aka Identification) (http://www.sans.org/reading_room/whitepapers/incident/ incident-‐management-‐101-‐preparation-‐initial-‐response-‐aka-‐ identification_1516) NIST 800-‐61 -‐Computer Security Incident Handling Guide (http:// csrc.nist.gov/publications/nistpubs/800-‐61rev2/SP800-‐61rev2.pdf) NIST 800-‐86 -‐Guide to Integrating Forensic Techniques into Incident Response (http://csrc.nist.gov/publications/nistpubs/800-‐86/SP800-‐86.pdf) @ADEO Security Labs, 2014 www.adeosecurity.com @ADEO Security Labs, 2014 www.adeosecurity.com ¡ ¡ ¡ ¡ ¡ Kurum veya şirkette bir Olay Müdahale Planı olsa dahi, olay sırasındaki karmaşa anında genellikle bu plan göz ardı ediliyorJ Bu karmaşanın yaşanmaması için mutlaka çok iyi bir iletişim matrisi oluşturulmalı ve olay müdahale takımında yer alan herkesi bu matrisi çok iyi bilmeli. Bu matris hangi durumlarda, kimlere, nasıl bir raporlama yapılacağını adreslemeli. Olay müdahalesi mutlaka tek bir merkezden ve tek bir yönetici tarafından yönetilmeli. Bütün birimler mutlaka önemli/önemsiz bütün ayrıntıları merkeze aktarmalı. Önemsiz gözüken bir bilgi, olayın çözümünde kilit rol oynayabilir. @ADEO Security Labs, 2014 www.adeosecurity.com ¡ ¡ ¡ ¡ ¡ Olay müdahalesinin eksik veya yanlış bilgiye sahip personel tarafından yapılması yine çokça karşılaştığımız durumlar arasında. Çok hassas olan sayısal delillerin bozulmadan muhafaza edilmesi çok önemli. Bilgisini aşan personeller tarafından yapılan ilk müdahalede çoğu kez sayısal deliller zarara uğruyor. İlk müdahaleyi yapacak birimdeki çalışanların tamamına İlk Müdahale eğitimi verilmeli. İlk müdahale eğitimi için referans alınabilecek "First Responders Guide to Computer Forensics" dokümanı www.cert.org/archive/pdf/FRGCF_v1.3.pdf adresinden indirilebilir. @ADEO Security Labs, 2014 www.adeosecurity.com ¡ ¡ ¡ ¡ Şirketler ve kurumlar karşılaştıkları bir incident sonrasında hemen aksiyon alıp ilgili olayı tez elden kapatmayı amaçlıyor. Bu durum mevcut olayın kapsamını gözden kaçırmaya sebep olabiliyor. Olay sonrasında mutlaka mevcut yapının sahip olduğu izleme (monitoring) yapısından daha güçlü bir izleme yapısı kurularak olayın devam edip etmediği yada başka sistemlerin ilgili olaya dahil olup olmadığı izlenmelidir. Bir çok şirket monitoring, loglama vb yapılarının düzgün çalışmadığını olay sırasında öğreniyorJ @ADEO Security Labs, 2014 www.adeosecurity.com ¡ Bir çok olayda, olayın ana sebebi tespit edilmeden olay kapatılıyor. ¡ Örneğin, zafiyet barındıran bir temel kurulum CD’si üzerinden yapılan yeniden bir kurulum, zafiyeti beraberinde getirecek ve sonrasında gerçekleşecek olası bir olay tekrarına sebebiyet verebilecektir. ¡ Ana sebep mutlaka tespit edilmeli ve olay tekrarının önüne geçilmelidir. @ADEO Security Labs, 2014 www.adeosecurity.com ¡ ¡ ¡ Olay sıcakken planlanan bir çok iş, olay biraz soğuduktan sonra operasyonel işlere kurban ediliyorJ Bu durum tekrardan aynı yada benzer olaylar ile karşılaşılmasına davetiye çıkartıyor. Bunun için mutlaka güvenlik zafiyetlerinin ortaya çıkartılmasına yardımcı olacak Penetrasyon Testi, Risk Analizi gibi çalışmalar yapılmalı, yapılıyorsa da sıklığı arttırılmalı. (3 yılda bir penetrasyon testi olmazJ) @ADEO Security Labs, 2014 www.adeosecurity.com ¡ ¡ ¡ ¡ ¡ ¡ Olayı gerçekleştiren kişi müdahale ekibinde olursa ne olacağını düşünün J Şimdiye kadar müdahalede bulunduğum olayların çoğunda IT’den birilerinin müdahil olduğu olaylar vardı. Özellikle içerden birilerinin karıştığı olaylarda delil karartma işleminin çokça yapıldığını şahit olabilirsiniz. Logların silinmesi, bilgisayarların wipe edilmesi, sahte izler oluşturulması gibi delil karatma yöntemlerinin hepsi ile karşılaştım.J Delil karartmanın önüne geçmek için mutlaka merkezi bir loglama yapısı kurulmalı. IT’den birilerinin olaya karıştığından şüpheleniliyorsa mutlaka inceleme bitene kadar bütün sistemlerden uzak tutulmalı. @ADEO Security Labs, 2014 www.adeosecurity.com ¡ Mutlaka bir bilene sorun. ¡ Müdahale sırasında yapacağınız en ufak bir hata, sayısal delillerin bir daha geri dönülemez şekilde yok olmasına sebep olabilir. @ADEO Security Labs, 2014 www.adeosecurity.com Teşekkürler @ADEO Security Labs, 2014 www.adeosecurity.com
© Copyright 2024 Paperzz
