2. • 5N1K Yaklaşımı hakkında
• Saldırı Trafiği Analizi nedir?
• Saldırı Trafiği Analizi ne zaman yapılır?
• Saldırı Trafiği Analizi nerede yapılır?
• Saldırı Trafiği Analizi nasıl yapılır?
• Saldırı Trafiği Analizi neden yapılır?
• Saldırı Trafiği Analizi kimi ilgilendirir?
• Soru ve Cevap
Sunum Planı
3. 5N1K Yaklaşımı
• Gazetecilikte ve eğitim bilimlerinde kullanılan, konuları 6
temel soru etrafında ele almaya odaklanan yaklaşımdır.
Saldırı
Trafiği
Analizi
Ne?Nasıl?
4. Ağda meydana gelen kötüye kullanım ve saldırıları belirlemek, sonlandırmak ve en önemlisi
önlemek amacıyla, ağ trafiğinin ve ağ bileşenlerinden toplanan kayıtların düzenli ve sistematik
bir şekilde izlenmesi ve analiz edilmesidir.
Saldırı Trafiği izleme mekanizma ve yöntemleri
• Ağ bileşenleri ve güvenlik cihazlarının loglarının izlenmesi,
• Olası saldırı hedefindeki cihaz veya sunucuların loglarının izlenmesi ve analizi
• Trafik analizörler kullanma
• IDS/IPS donanım ve yazılımlarının logları
• SIEM altyapısı oluşturma ve kullanma
• Tüm ağ bileşenlerinden çeşitli verilerin toplanması ve korelasyonu
• Toplanan verilerin anlamlandırılması ve görselleştirilmesi
• Saldırı imzası oluşturma ve saklama
• Alarm oluşturma (olay ve aksiyonlar)
• Delil toplama ve kayıt altına alma
Saldırı Trafiği Analizi Nedir?Saldırı Trafiği Analizi
Ne?
Saldırı Trafiği
Analizi
5. Saldırı Trafiği
Analizi
Ne zaman?
Saldırı Trafiği Analizi Ne Zaman Yapılır?
Sürekli
• Güvenlik, süreklilik gerektirir.
• Su uyur düşman uyumaz
Saldırı Öncesinde
• Normal trafiği öğrenmek için
• Ağdaki bantgenişliği ve kullanım eğilimlerini belirlemek için
• Saldırı öncesi bilgi toplama eylemlerini tespit edebilmek için
Saldırı Sırasında
• Başlamış bir saldırının karakterini belirlemek için
• Saldırı kaynaklarını belirlemek ve gerektiğinde geçici önlemler almak için
• Devam eden saldırıyı engellemek amacıyla yapılan girişimlerin sonucunu görmek için
• Delillerin ortadan kaldırılmasını engellemek için
Saldırı Sonrasında
• Tekrarlamasını engellemek amacıyla kalıcı çözümler geliştirmek için
• Adli takip amacıyla delil toplamak için
• Tekrarlandığında tanıyabilmek amacıyla saldırı imza veritabanına yazmak için
6. Ağ cihazlarında
•Router
•Switch
•Load Balancer
•Accesspoint
Güvenlik cihazlarında
•FW
•IDS/IPS
•DoS, DDoS koruma
•SIEM Donanım ve yazılımları
Sunucu ve kullanıcı cihazlarında
Yerel Ağda
Mobil Ağlarda
Omurgada
Internet Giriş ve Çıkışlarında
Dünya çapında (global) ??
Saldırı Trafiği
Analizi
Nerede?
Saldırı Trafiği Analizi Nerede Yapılır?
7. Paket toplayarak
•Kaynak ve Hedef IP analizi
•Uygulama, protokol ve Port analizi
•Paket bütünlüğü ve yapısı analizi
Ağ cihazlarının flow verileri ve logları analiz edilerek
•Erişim logları
•Olay logları
•ACL logları
•Trafik miktarı ve davranışı
•Bantgenişliği analizi
Trafik çoklanarak (mirroring)
•Kritik sistemlerin trafiği (port mirroring ile)
Trafik koklanarak (sniffing)
•Ağ giriş ve çıkışında sniffer kullanılarak trafiğin analizi (snort vb)
Sunucular ve kullanıcı cihazları takip edilerek
•Anormal paket istekleri
•Anormal sistem davranışları (RAM, CPU, network, disk kullanımı)
•Ağ durumu izleme (netstat, tcpdump vb.)
Analiz yöntemleri
•Saldırı vektörü analizi
•İmza temelli
•Kural temelli
•Heuristic
•Kara listeler
•SIEM ürünleri
Saldırı Trafiği
Analizi Nasıl?
Saldırı Trafiği Analizi Nasıl Yapılır?
8. Hizmet sürekliliğini sağlayabilmek için
Kurallara uygun trafiği belirleyerek, buna izin vermek için
Saldırıları belirleyebilmek için
Belirlenmiş saldırılara engel olabilmek için
Devam eden saldırıyı durdurabilmek için
Saldırı sonrasında, saldırının özelliklerini belirleyerek tekrarlanmasını engellemek için
Saldırının hedefindeki zayıflıkları belirleyerek, bunları ortadan kaldırabilmek için
Saldırganların bulunabilmesi amacıyla delil toplamak için
Saldırı imzası veritabanı oluşturabilmek için
Saldırılara daha hızlı yanıt verebilmek için
Saldırı Trafiği
Analizi
Neden?
Saldırı Trafiği Analizi Neden Yapılır?
9. Ağ yöneticileri
Güvenlik Uzmanları
Sistem Yöneticileri
USOM/SOME
Son kullanıcılar
Erişim ve servis sağlayıcılar
Mobil operatörler
Hacker’lar
Saldırı Trafiği
Analizi
Saldırı Trafiği Analizi Kimi İlgilendirir?
10. Kısaltmalar Açıklama
SIEM Bilgi Güvenliği ve Olay Yönetimi (Security Information and Event Management
IDP Saldırı Tespit ve Engelleme (Intrusion Detection and Prevention)
IDS Saldırı Tespit Sistemi(Intrusion Detection System)
IPS Saldırı Önleme Sistemi(Intrusion Prevention System)
FW Güvenlik Duvarı (Firewall)
USOM Ulusal Siber Olaylarla Mücadele Merkezi
SOME Siber Olaylara Müdahale Ekibi
Kaynaklar
https://tr.wikipedia.org/wiki/5n_1k
http://www.bga.com.tr/calismalar/Ankara_DDoS_BGA_Sunum.pdf
http://journeyintoir.blogspot.com.tr/2015/05/security-monitoring-with-attack.html
https://en.wikipedia.org/wiki/Security_information_and_event_management
http://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise/design-zone-security-technology-partners/bn_cisco_siem.pdf
https://nigesecurityguy.wordpress.com/2013/12/12/apt-detection-indicators-part-1/
https://securosis.com/assets/library/reports/Securosis_Understanding_Selecting_SIEM_LM_FINAL.pdf
Kısaltmalar ve Kaynaklar