Bilişim Zirvesi Siber Güvenlik Konferansı - Dev ops ile siber saldırılar karşısında 360 derece alan hakimiyeti

1. DevOps ile
Siber Saldırılar
Karşısında
360 Derece
Alan Hakimiyeti
Kayra OTANER
Linux Akademi
www.linuxakademi.com.tr

2. Bu seminerin sonunda
Those who know will always have a job, those
who know why, will be in charge.
Bu seminerin amacı 360 Derece Alan
Hakimiyetinin nasıl kurgulanacağını göstermek
değil, niçin kurgulanması gerektiğini anlatmak.

3. ● DevOps Nedir?
● Yön belirleyiciler :
– US Cert : NetSA (Network Situational Awareness)
– Gartner Raporu : Network Performance Monitoring
and Diagnostics
– Forrester Raporu : Zero Trust
● Netflow Nedir?
● NetSA için Netflow kullanım senaryoları :
– DevOps amaçlı network sorunu gözlemleme
– SecOps amaçlı port scan gözlemleme
●
●

4. DevOps :
Any fool can know.
The point is to understand.
Albert Einstein

5. Yani?
● DevOps sistem yönetimi alanında bir akımdır.
● Tıpkı fonksiyonel programlama paradigmasının zaman içinde yetersiz kaldığının ortaya çıkıp
yerini Object Oriented programlama paradigmasına bırakması gibi DevOps da klasik sistem
yönetim kalıplarının kırılmak zorunda kalınmasında ortaya çıkmıştır.
● Çevik IT operasyonu (Agile Operations) olarak da adlandırılır.

7. Multi Focus
● Kullanıcı tatmini (Usability Goals)
● Performans / kaynak yönetimi (Capacity
Planning)
● Şirket hedefleri (Business Requirements)
● Uyumluluk tatmini (PCI, SOX, 5651)

8. ITIL

9. Cobit (ilk çıkış 1996)

11. Tüm bu akım ve standartlara
göre sormamız gereken soru:
Ne değişti?

12. The Only Thing That Is Constant Is
Change
● Değişmeyen tek şey değişim. IT'de adı geçen
standartların peşinde olduğu yegane şey değişeni
anlamak.
● IT standartlarının özünü anlamak istiyorsanız,
değişim farkındalığını anlamalısınız.
● DevOps Open Source altyapılar yöneten bizlerin
Cobit/ITIL/PCI/SOX'ların tarif ettiği değişim
yönetimlerinin hayata geçirilmiş halidir. Temelleri
1980'lerde atılan teorilerin 2010'lara uyarlanmasına
DevOps diyoruz.

13. Change
To improve is to change; to be perfect is to change often.
Winston Churchill

14. Eğer klasik bir IT operasyonu
yapıyorsanız
Saatte 15km hız yapmak için bu yeterli :

15. Ortalama bir IT operasyonu
Saatte 180 km hız yapıyorsanız :

16. Saatte 1000km yapıyorsanız :

17. Saatte 28,000 km yapıyorsanız :
Endeavaur'un kokpiti

18. Peki yani?
● DevOps için dashboard'da hangi metric'ler
önemli?
● Dünyada Trendler ne yöne gidiyor? Yön
belirleyicilere bakalım.

19. Devlet : NetSA

20. NetSA
● Network situational awareness is the
systematic gathering, analysis, and
interpretation of data from local and remote
networks, regarding structure, applications,
traffic, and resources to produce actionable
information for decision making in network
operations and defense.

21. Gartner
Raporu
Gartner Temmuz 2013'de su yeni
kategoriyi olusturdu :
Introducing the Network Performance
Monitoring and Diagnostics Market
Mart 2014'de ilk raporlarını yayınladılar
At an estimated $1 billion, the NPMD
market is a fast-growing segment of
the larger network management space
($1.8 billion in 2012), and overlaps
slightly with aspects of the application
performance monitoring (APM) space
($2 billion in 2012)

22. Forrester
Raporu
Zero Trust
Model
Designing networks
from inside out

23. NetFlow V5

24. Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Flags Tos Packets Bytes pps bps Bpp Flows
2014-01-01 00:04:23.980 25.000 TCP 172.16.0.156:33510 -> 172.16.0.94:58781 .AP... 0 296 237484 11 75994 802 1
2014-01-01 00:04:23.980 34.000 TCP 192.168.0.133:20022 -> 172.16.0.121:64327 .AP... 0 375 24206 11 5695 64 1
2014-01-01 00:04:23.980 25.000 TCP 172.16.0.156:5910 -> 172.16.0.132:63880 .AP... 0 319 173587 12 55547 544 1
2014-01-01 00:04:23.980 21.000 TCP 172.16.0.22:39621 -> 172.16.2.135:80 .AP... 0 35 9504 1 3620 271 1
2014-01-01 00:04:23.980 11.000 TCP 172.16.0.99:65192 -> 172.16.9.132:80 .AP..F 0 39 6800 3 4945 174 1

27. Senaryo 1
● Kabaca 2 saat süreyle sistemlere erişimde
sorun yaşandı.
● Network'de nerede ne oldu?

32. Senaryo 2
● Kimler port scan yapıyor?
● 3 tipik Port Scan örneğine bakacağız.
– Vertical Scan
– Horizontal Scan
– Block Scan

39. www.linuxakademi.com.tr

40. Türkiye de DevOps
● 8 KASIM 2012 Eskişehir InetConf'da
Ölçeklenebilir operasyonun adı: DevOps
● Aralık 2011'de DevOpsTR eposta listesi
https://groups.google.com/forum/#!forum/devopstr

41. DevOps ile
Siber Saldırılar
Karşısında
360 Derece
Alan Hakimiyeti
Kayra OTANER
Linux Akademi
www.linuxakademi.com.tr

42. Bu seminerin sonunda
Those who know will always have a job, those
who know why, will be in charge.
Bu seminerin amacı 360 Derece Alan
Hakimiyetinin nasıl kurgulanacağını göstermek
değil, niçin kurgulanması gerektiğini anlatmak.

43. ● DevOps Nedir?
● Yön belirleyiciler :
– US Cert : NetSA (Network Situational Awareness)
– Gartner Raporu : Network Performance Monitoring
and Diagnostics
– Forrester Raporu : Zero Trust
● Netflow Nedir?
● NetSA için Netflow kullanım senaryoları :
– DevOps amaçlı network sorunu gözlemleme
– SecOps amaçlı port scan gözlemleme
●
●
Bu sunumun ilk yarısı biraz teorik, biraz kavramları
oturtma, piyasa trendlerine, araştırmalara bakmaya
odaklı olarak geçecek. İkinci yarısında gerçek
hayattan yakalanmış 2 anlamlı senaryoda DevOps
pratiklerinin SecOps için neler getirebileceğine göz
atacağız.

44. DevOps :
Any fool can know.
The point is to understand.
Albert Einstein
Önce DevOps 'un sözlük anlamına bir göz atalım.
Yeterince açık değil mi? Anlatmaya ya da tercüme
etmeye gerek olduğunu sanmıyorum buradaki
izleyenler için :-)

45. Yani?
● DevOps sistem yönetimi alanında bir akımdır.
● Tıpkı fonksiyonel programlama paradigmasının zaman içinde yetersiz kaldığının ortaya çıkıp
yerini Object Oriented programlama paradigmasına bırakması gibi DevOps da klasik sistem
yönetim kalıplarının kırılmak zorunda kalınmasında ortaya çıkmıştır.
● Çevik IT operasyonu (Agile Operations) olarak da adlandırılır.
Sizi Ingilizce BuzzWord'lerle bombardiman edileceginiz
bir prezantasyona maruz birakmayacagim merak
etmeyin. DevOps'un anlamini en guzel bu akımın
nereden çıktığına bakarak aciklayabiliriz. İnternette
baktıysanız görmüş olmalısınız DevOps'un net ve
kesin bir tarifi yok. Bu açıdan BigData'ya da çok
benziyor. Günün sonunda bu kelimelere takılmamak
lazım, özünü anlamak idrak etmek için arkalarındaki
anlam ve nereden hayatımıza girdiğine bakmak
gerekiyor.
Agile Development'da bildiğimiz Scrum, Kanban,
Extreme programming, lean software development
vb gibi modellerin sistem yönetimine sıçramasından
ortaya çıkmıştır diyebiliriz.

47. Multi Focus
● Kullanıcı tatmini (Usability Goals)
● Performans / kaynak yönetimi (Capacity
Planning)
● Şirket hedefleri (Business Requirements)
● Uyumluluk tatmini (PCI, SOX, 5651)
Klasik bir e-ticaret, sosyal medya ya da internet startup
ortamında takip edilmesi gereken odaklar çeşitlidir.
Bir taşla bir kaç kuş vurulması gereken, kısıtlı
imkanlar dar zamanlarda yüksek trafik ve tatmin
amaçlı operasyon.
Bu amaçların peşinde çevik olarak koşmak
istediğinizde size bir önceki jenerasyon IT yöneticileri
hemen ITIL COBIT I hatırlatacaktır.

48. ITIL
1980'lerde başlıyor.
http://www.itiltraining.com/itil-downloads.asp
http://download.ilxgroup.com/docs/downloads/ITIL-V3-Roadshow.The purpose of ITIL
Business benefits of ITIL
Structure of ITIL
Descriptions of each of the new lifecycle books
http://www.itil-officialsite.com/key-benefits/key-benefits-itil.
aspx

49. Cobit (ilk çıkış 1996)
● • Are new projects likely to deliver solutions that meet
business needs?
●• Are new projects likely to be delivered on time and
within budget?
●• Will the new systems work properly when
implemented?
●• Will changes be made without upsetting current
business operations?

50. PCI 3.0
Regularly Monitor and Test Networks
10. Track and monitor all access to network resources and
cardholder data
Best Practices for Implementing PCI DSS into Business-as-Usual Processes
3. Review changes to the environment (for example, addition of new systems,
changes in system or network configurations) prior to
completion of the change, and perform the following:
Determine the potential impact to PCI DSS scope (for example, a new
firewall rule that permits connectivity between a system in the
CDE and another system could bring additional systems or networks into
scope for PCI DSS).
Identify PCI DSS requirements applicable to systems and networks
affected by the changes (for example, if a new system is in scope
for PCI DSS, it would need to be configured per system configuration
standards, including FIM, AV, patches, audit logging, etc., and
would need to be added to the quarterly vulnerability scan schedule).
Update PCI DSS scope and implement security controls as
appropriate.

51. Tüm bu akım ve standartlara
göre sormamız gereken soru:
Ne değişti?
Change boundary

52. The Only Thing That Is Constant Is
Change
● Değişmeyen tek şey değişim. IT'de adı geçen
standartların peşinde olduğu yegane şey değişeni
anlamak.
● IT standartlarının özünü anlamak istiyorsanız,
değişim farkındalığını anlamalısınız.
● DevOps Open Source altyapılar yöneten bizlerin
Cobit/ITIL/PCI/SOX'ların tarif ettiği değişim
yönetimlerinin hayata geçirilmiş halidir. Temelleri
1980'lerde atılan teorilerin 2010'lara uyarlanmasına
DevOps diyoruz.
DevOps dışarıdan dikte edilen uyum ya da
standartlardan dolayı değil yapılan işin doğal olarak
kontrol edilebilirliğinin zorlaştığı ve değişim takibinin
artık bir tercih değil zorunluluk haline gelmesinden
içseleştirilmiş süreçlerden ortaya çıktı.
3 pillars of issue management :
1 instant discovery
2 fast escalation
3 quick resolution

53. Change
To improve is to change; to be perfect is to change often.
Winston Churchill
Today, we can see how DevOps patterns enable
organizations like Etsy, Netflix, Facebook, Amazon,
Twitter and Google to achieve levels of performance
that were unthinkable even five years ago. They are
doing tens, hundreds or even thousands of code
deploys per day, while delivering world-class stability,
reliability and security,” writes Kim in a blog post.
http://www.forbes.com/sites/reuvencohen/2013/10/16/s
aving-your-infrastructure-from-devops/

54. Eğer klasik bir IT operasyonu
yapıyorsanız
Saatte 15km hız yapmak için bu yeterli :

55. Ortalama bir IT operasyonu
Saatte 180 km hız yapıyorsanız :

56. Saatte 1000km yapıyorsanız :

57. Saatte 28,000 km yapıyorsanız :
Endeavaur'un kokpiti

58. Peki yani?
● DevOps için dashboard'da hangi metric'ler
önemli?
● Dünyada Trendler ne yöne gidiyor? Yön
belirleyicilere bakalım.

59. Devlet : NetSA
●Network Situational Awareness
●Computer Emergency Response Team : 1988 de
kuruldu CERT
●Carnegie Mellon tarafından opere ediliyor.
●Kabaca ABD'nin proaktif Internet savunma
sistemlerinin geliştirilmesinden sorumlu sivil
Üniversite bacağı.
●Bugün TİB gibi TR'deki yerel regulatörlerin kullandığı
DPI tool'larının çoğu buradan çıkıyor.
●Devlet ya da Kurum, Bilişim Güvenliği NetSA olmadan
gerçekleşemeyen bir hayal olarak kalır.

60. NetSA
● Network situational awareness is the
systematic gathering, analysis, and
interpretation of data from local and remote
networks, regarding structure, applications,
traffic, and resources to produce actionable
information for decision making in network
operations and defense.

61. Gartner
Raporu
Gartner Temmuz 2013'de su yeni
kategoriyi olusturdu :
Introducing the Network Performance
Monitoring and Diagnostics Market
Mart 2014'de ilk raporlarını yayınladılar
At an estimated $1 billion, the NPMD
market is a fast-growing segment of
the larger network management space
($1.8 billion in 2012), and overlaps
slightly with aspects of the application
performance monitoring (APM) space
($2 billion in 2012)

62. Forrester
Raporu
Zero Trust
Model
Designing networks
from inside out

63. NetFlow V5

64. Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Flags Tos Packets Bytes pps bps Bpp Flows
2014-01-01 00:04:23.980 25.000 TCP 172.16.0.156:33510 -> 172.16.0.94:58781 .AP... 0 296 237484 11 75994 802 1
2014-01-01 00:04:23.980 34.000 TCP 192.168.0.133:20022 -> 172.16.0.121:64327 .AP... 0 375 24206 11 5695 64 1
2014-01-01 00:04:23.980 25.000 TCP 172.16.0.156:5910 -> 172.16.0.132:63880 .AP... 0 319 173587 12 55547 544 1
2014-01-01 00:04:23.980 21.000 TCP 172.16.0.22:39621 -> 172.16.2.135:80 .AP... 0 35 9504 1 3620 271 1
2014-01-01 00:04:23.980 11.000 TCP 172.16.0.99:65192 -> 172.16.9.132:80 .AP..F 0 39 6800 3 4945 174 1

67. Senaryo 1
● Kabaca 2 saat süreyle sistemlere erişimde
sorun yaşandı.
● Network'de nerede ne oldu?

68. Güne ait tüm network aktivitesien göz gezdirdiğmizde
saat 14:30 and 20:00, especially around 14:30 and
15:30

70. Once we started zooming into the timeframe when the
anomaly occured, we can see all other graphs
updated according to the window we selected. In the
mid section of the dashboard I have source IP,
source address, destination IP and destination
address pie charts, showing flow itself. In destination
port pie chart, I immediately noticed that port 12201
is accounting for roughly 20% of the trafffic/flows
happened at that time, which is way above normal
characteristic of the traffic :

71. When I click 12201 on the destination port pie chart,
Kibana re filters and re graphs data according to the
selection I made. I immediately can see that, TCP
traffic nearly diminished, and only UDP traffic is
hitting port 12201, which happened to be the
GrayLog server's default port listening for logs send
by the various app servers.

72. Senaryo 2
● Kimler port scan yapıyor?
● 3 tipik Port Scan örneğine bakacağız.
– Vertical Scan
– Horizontal Scan
– Block Scan

74. This first screen will show everything we got in the
index. We want to use ES's and Kibana's capabilities
to drill down to all port scan activity so we'll filter out
connections to port 80 and 443 as this flow data is
from a high traffic web site and we're not interested
in connections to those ports. Also lets focus on only
TCP protocol as other scan methods are outside
scope of this blog post. As we drill down, we start to
see some scan activity in 'SYN ATTEMPTS' widget
on the right hand side. This widget shows ratio of S
only flows to all flows, so between 03:00 and 08:00
there was clearly increase in S flows. This is not
typical and is a clear indication of increased port
scan activity during night ours.

75. If we like we can focus on this window and drill down
from there, but I would love to focus on IPs listed on
the left in 'SCAN IP' window and demonstrate
different types of scans performed by each IP. Lets
click on 185.12.44.17 and see what how IP appeared
in our dashboard. This IP is registered in Switzerland
and performed block scan, both touching a lot of IPs
in our network and trying various ports which is
clearly visible in the dashboard.

79. www.linuxakademi.com.tr

80. Türkiye de DevOps
● 8 KASIM 2012 Eskişehir InetConf'da
Ölçeklenebilir operasyonun adı: DevOps
● Aralık 2011'de DevOpsTR eposta listesi
https://groups.google.com/forum/#!forum/devopstr
http://inet-tr.org.tr/inetconf17/ayrinti.html