Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu

1,175 views

Published on

Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu @BGASecurity - NETSEC / İbrahim Akgül

Published in: Technology
  • Be the first to comment

Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu

  1. 1. Ibrahim AKGUL • Offically - Security Researcher • Hobbies – Anything about with low-level,coding … • Ex – Exploit and Malware developer • Etc.. – Bug Hunting, R&D, Consulting • Experience – 2000 - …… (Aviation - Finance - R&D) • Blog: kernelturk.blogspot.com – updated once a year ☺ • Twitter: https://twitter.com/Stre4meR
  2. 2. Attackers Defenders
  3. 3. Sadece Ülkemiz’de her yıl en az 25 Milyon Siber saldırı gerçekleşiyor.
  4. 4. Dünya’da Her yıl 120 milyar $ Güvenlik Ürünü Yatırımı Yapılıyor!!!
  5. 5. Load Balancer Network Visiblity Web Server File Server Backup ServerApplication Server Endpoint Security Solutions AV,Hips,DLP, etc… Server Room Sunucular SAN Storage SAN Switch Privileged Account Management Endpoint Privilege Management Deception Technology
  6. 6. Firewall – Tehditler @BGASecurity BGA • Kurumların %76’sı firewalllarını doğru bir şekilde yapılandırmıyor! • Yapılan bir veri ihlali soruşturmasında incelenen Firewall’arın% 80 kadarı kötü yapılandırılmış bulundu! • İngiltere ve ABD'deki işletmelerin dörtte biri, policyleri doğru bir şekilde uygulanmadıkları için tüm kural değişikliklerinin % 60'ından fazlasını yeniden düzenlemek zorunda kaldılar • Bangladesh Swift soygunu ve gerçekleşen daha bir çok hacking Aktivitesinin kök nedeni doğru yapılandırılmamış firewallardır! • Denetlenmeyen firewall kuralları IT varlıklarını doğrudan saldırılara açık hale getirir.
  7. 7. Firewall – Denetim @BGASecurity BGA • Dış dünyaya açık servisler sürekli olarak kontrol ediliyor mu? • Hassas – İş Kritik sunucular için ayrı bir güvenlik duvarı segmentasyonu/politikası mevcut mu? • Yapılan policy değişiklikleri izleniyor mu? • Policy değişiklikleri bir talep-onay mekanizması içerisinde mi değerlendiriliyor? • Firewall’a ait trafik ve denetim iz kayıtları SIEM ortamına alınıyor mu? • Firewall yöneticileri için yetki kontrolleri gerçekleştiriliyor mu? Sunuma Git
  8. 8. IDS/IPS @BGASecurity BGA • Ağ trafiği üzerinde imza&anomali tabanlı tehdit analizi gerçekleştirirler, • Öğrenme yetenekleri ile ağınıza ait trafiği tanır ve sonradan oluşabilecek anomalilere karşı uyarılar oluşturur. • Yöneten kişi kurum ağının izlendiği tüm trafiği görebilir!!! • Varsayılan olarak şifreli trafiği dinleyemezler!!! • Yeni nesil zafiyetlere karşı ağ katmanında 0 day patching işlevi görürler.
  9. 9. IDS/IPS – Denetim @BGASecurity BGA • WAF ların yerine geçemezler! • IPS varsayılan olarak şifreli trafiği çözmez. Günümüzde gerçekleşen saldırıların neredeyse tümünün şifreli protokoller yolu ile gerçekleştirildiği düşünüldüğünde IPS lerin de mutlaka uygun bir şekilde şifreli trafiği denetlemesi sağlanmalıdır. • IPS’ler BW tabanlı DDoS lar için çare değildir!
  10. 10. WAF @BGASecurity BGA
  11. 11. Endpoint Security @BGASecurity BGA • İmza tabanlı çalışırlar, • On-Demand / Planlanmış taramalar • On-Access / Gerçek zamanlı koruma • Heuristic / Sezgizel tespit • Behaviour Analysis / Davranış analizi • Machine Learning ile tüm bilinen zararlıların matematik modeli öğrenilir • Artifical Intelligence ile bu matematik model üzerinden tüm varlıklar skorlanır • Score-based yeteneği ile de bloklanır
  12. 12. Switch – Tehditler @BGASecurity BGA • CAM Attack – Content Addressable Memory • ARP Spoofing • Switch Spoofing - Vlan Hopping • Double Tagging – Double Encapsulation • VLAN Query Protocol (VQP) attack • Cisco Discovery Protocol (CDP) Attack • Multicast Brute-Force Attack • Random Frame-Stress Attack • Private VLAN (PVLAN) Attack • Spanning Tree Protocol (STP) Attacks https://www.redscan.com/news/ten-top-threats-to-vlan-security/
  13. 13. Switch – Denetim @BGASecurity BGA • Management portu için ayrı bir vlan mevcut mu? • Tüm varsayılan parolalar güvenli hale getirildi mi? • SNMPv3 güçlü bir şekilde yapılandırıldı mı? • STP protection aktif mi? • Kullanılmayan portlar disable edilmiş mi? • Port güvenliği için Mac Lock koruması sağlanıyor mu? CAM attack protection! • Console port’a bağlantı parola korumalı mı? • 802.1x desteği aktif mi? • Authentication Radius/Tacacs+ üzerinden sağlanıyor mu? • Radius/Tacacs+ çalışmadığı durumlar da yedek local yönetici hesabı mevcut mu? • Varsayılan olarak açık gelebilecek SSH harici uzaktan yönetim servisleri disable edildi mi? • SSH oturum zaman aşımı süresi belirlendi mi? • SSH parola deneme sayısı sınırlandırıldı mı?
  14. 14. Email Gateway @BGASecurity BGA • Mailbox hizmetleri ile karıştırılmamalı! • MTA hizmetleri üstünde güvenlik denetimlerini icra eder, • İçerik skorlama teknikleri ile Spam denetlerimi gerçekleştrir, • Bütünleşik AV ile email eklerini denetler, • SPF, DKIM, DMARC gibi denetimleri yönetir • GTI ve Sandbox lar ile çalışarak üst düzey email güvenliği sağlar,
  15. 15. Web Gateway @BGASecurity BGA • Kurum içinden gerçekleştirilen internet istekleri üzerinde içerik denetimi yapar • Request, Response ve nesne denetimleri gerçekleştirir, • Requestleri kategorilerine göre değerlendirilir, • White/black listler ile uri/user/extension denetimide sağlanabilir, • Upload ve Download süreçleride malware analizleri gerçekleştirir, • AD entegrasyonu ile kullanıcı ve grup bazlı yetkilendirilmeleri mümkün kılar, • Gelişmiş raporlama yeteneği ile en çok trafik tüketen kişi/url leri bildirir,
  16. 16. Web ve Email Gateway Denetimi @BGASecurity BGA • Tüm kurum kullanıcı ve servisleri bu hizmetleri kullanmalıdır! • Kurum veya IT yöneticileri için istisna uygulanmamalı! • Whitelistler sürekli olarak denetlenmeli! ANY!!! • Raporlar haftalık ve aylık olarak incelenmeli ve istismarlara karşı aksiyonlar alınmalıdır,
  17. 17. Data Loss Prevention – Tehdit @BGASecurity BGA • Data Exfiltration • Data theft • Ransom? Ticari sırlar, hassas veriler…
  18. 18. Data Loss Prevention - Denetim @BGASecurity BGA • Hassas bilgilerin tespiti edilmesi ve kritiklik derecelerine göre sınıflandırılması.. • Güvenlik politikalarının ihlali durumda caydırıcı yaptırımların uygulanması, • Mevcut verilerin nerede bulunduğunu ve bu verilerin nasıl sınıflandırıldığını belirleyin. • Ağ içindeki ve dışındaki veri akışlarını anlamak için yöneticiler ve meslektaşlarla görüşün. • Halihazırda bulunan kontrolleri ve veri depolarını inceleyin. • DLP discover ile ağ ve host taraması, ağ paylaşımlarında ve endpoint'lerde bulunan gizli verileri bulabilmelidir. Pek çok durumda, gizli verilerin korunmamış kopyaları bulunacaktır; bu veriler korunmalı veya silinmelidir. İlk olarak en hassas veri kategorisini koruyun. • https://www.nsslabs.com/linkservid/13C2364A-5056-9046-931EC4F06A25968B/
  19. 19. Data Classification @BGASecurity BGA • DLP ile birlikte güçlü bir exfiltration koruması sağlar, • Tüm kullanıcı sistemlerinde bulunması şarttır, • Verilerin doğru şekilde etiketlenmesi gerekmektedir, • Sınıflandırılmayan veriler DLP nezdinde risk olarak ele alınmalıdır
  20. 20. Domain Security – Tehditler ve Sorunlar @BGASecurity BGA • Privelege Escalation, • Credential Theft • GPO Hack • LDAP Injection • Password Attacks • Weak Algorithm Attacks • Domain Hijack • Varsayılan kurulum geleneği, • Çok fazla Domain Admin hesabı • Kırılabilir, kısa servis hesabı parolaları • Zaafiyetli parola dağıtım uygulaması kullanımı, • Gerekmese dahi uygulamalara verilen yönetici hesapları, • Loglanmayan hassas AD Olayları • Bir türlü güncellenmeyen Windows sunucuları
  21. 21. Domain Security - Denetim @BGASecurity BGA • Kurumuzun sahip olduğu Site ve Domain Controller sayısını öğrenerek şemanızı tanıyın, • Mümkün olan en az sayıda Yönetici hesabı olmalı! • DNS, DHCP ve IIS vb loglar SIEM çözümüne alınmalı, • Varsayılan tüm yönetici hesap isimleri değiştirilmeli! • Tüm Yönetici ve GPO hareketleri loglanmalı, • Birden çok domain olması durumunda Domain Admins grubu yetkileri kısıtlanmalı!!! • Servis hesaplarında minimum 20, kullanıcı hesaplarında ise 9 karakterli ve karmaşıklık ilkesine uygun parola olmalı, • Mimikatz türevi kimlik hırsızlığı saldırıları için özel registry taraflı parametreler tüm domaine set edilmeli, • Powershell izinleri ve log ayarlarını sıkılaştırın, • Local admin parola dağıtım ilkenizi GPP ise LAPS ile değiştirin, yada PAM çözümleri kullanın,
  22. 22. Domain Security – Windows Server @BGASecurity BGA • Sunucular için ağ seviyesinde erişim yetkilendirilmeleri yapılmalı RDP, CIFS, SMB gibi. • Audit log detay ayarları enable edilmeli, • Mimikatz, Responder tarzı saldırı vektörleri için Registry key’leri eklenmeli, • Güncellemeler gecikme olmaksızın geçilmeli veya 0day patching yapılmalı (IPS/WAF) • Endpoint security çözümü uygulanmalı, • Kritik sunuculara erişim PAM + PSM +OTP/Jump Server üzerinden gerçekleşmeli • İstisnasız her sunucuya ait event log kayıtları SIEM’e aktarılmalıdır, • Var ise sunucunun özel rolüne ait File-based loglar da SIEM’e aktarılmalıdır, • File Server’lar için Object Access logları alınmalı veya Third party bir ürün kullanılmalıdır, https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations
  23. 23. Domain Security – Windows Client @BGASecurity BGA • Client kullanıcıları hiçbir şekilde yerel yönetici hesabı ile çalışmamalı!! Admin yetkileri EPM ürünleri ile sağlanmalı! • Endpoint Security ürünü kullanmayan Client kalmamalı ve güncel imzalara sahip olmalıdır, • İş saatleri dışında aktivite gösteren Client’lar için alarmlar üretilmeli, • Client’lar kritik sunuculara asla doğrudan erişmemeli ve bunun için PSM veya Jump Server kullanmalı!
  24. 24. Domain Security – Linux - Mainframe @BGASecurity BGA • Auditd açılmalı!!! • Çalıştırılan komutlara ait loglar alınmalı bunun için bash script yazılmalı, • Kritik klasör ve dosyalar için (/etc/ /opt/{..} vb) file integrity logları alınmalı • /etc/audit/audit.rules verbosity için ayarlanmalı, • /var/log/audit/audit.log • /var/log/secure • File Integrity için third-party ürünler kullanılmalı ör FIM • Kritik işlemlerin gerçekleştiği “mainframe” tarafına ait işlemlerin kim tarafından hangi işlemin ne zaman yapıldığı gibi bilgiler dahilinde logların merkezi loglama sistemine dahil edilmesi gerekmektedir.
  25. 25. Sanallaştırma ve Konteyner Güvenliği BGA • İş yüklerini hypervisor halleder • Farklı os’ler, farklı sunucular için idealdir, • Güvenlik daha iyidir (konteyner’a göre), • Olgunlaşmış altyapının stabilite garantisi, • Kurumsal firmalar için idealdir. • İş yüklerini host os halleder, kaynak verimliliği sağlar • Microservisler için idealdir • Güvenlik riskleri fazladır, • Gelişme sürecinde ve performans yan etkileri var • Servis sağlayıcılar için idealdir.
  26. 26. -Teşekkürler- bgasecurity.com | @bgasecurity

×