2. Agenda
CryptTech; company profile, background and milestones
CryptTech upcoming products and channels
Log , Log management and SIEM
CryptoSIM, SIEM solution
General overview
Signature/Rule Based Correlation
New Approach to SIEM, Machine Learning Project
Threat Intelligence Simulation via CryptoSim
Artificial intelligent Siem Project – Crypttech Threat Exchange
3. Company Profile
Leading R&D companies in Turkey in security intelligent solutions area
~3000 clients, small to large size enterprises over Turkey
Our Services
Log management
Security Information and Event Management
Hotspot solution
Vulnerability and penetration tests
Our Products
CRYPTOLOG – Software based log manager
CRYPTOSIM – Security Information and Event Management solution
CRYPTOSPOT – Hotspot gateway Solution
5. On Road Products…
CryptoCTX - Crypttech Cyber Threat Exchange
CryptoDLP - Data Lackage/Loss Prevention
CryptoVMS – Vulnerability Management System
CryptoWELA – Windows Event Log Analyser
CryptoESC – Endpoint Security Client
CryptoMON – Application and Network Monitoring System
6. Logs, Log Management and SIEM
What are
LOGs?
Why Log
management?
What is
SIEM?
Records of actions and
requests of application,
operating system, network
devices, servers
Log data need to be processed
into actionable intelligence
for further analysis, reports,
compliance.
Security Information and Event
Management
Security intelligence on APTs,
Risks and Incident management
7. Logs, Log Management and SIEM
Collection
Collect, Transport
Parse, Normalize
Categorize
Analysis
Search, Compliance
Statistical reports
Compression and
Retention
Correlation
Events correlation
Risk evaluation
Alerts and Incident
management
Collection
LOGs
CRYPTOLOG
CRYPTOSIM
Correlation
Analysis
7
8. General Overview
Security Intelligence across network
Universal Visibility over one Interface
Forensic Analysis
Compliance, Regulations
Out-Of-the-Box Reports
Application Troubleshooting
10. Correlation
A
Linking multiple events together
to detect strange behavior
Event Based
Rules Based
Anomaly
Based
Risk Based
Association of different but related
events to provide broader context
Event
Time Source
AccessContext
11. Correlation Types
A
Logical Correlation
Cross Correlation
Basic Correlation
Basic
Correlation
Logical
Correlation
Cross
Correlation
Contextual
Correlation
Historical
Correlation
Hierarchical
Correlation
Contextual
Correlation
Historical Correlation
Hierarchical
Correlation Simple Rules, Login failures
Performing cross correlation
Between different source logs
Of same events
Based on priority assignment
To events through a logical tree
algorithm
Based on asset’s characteristics
Signature based and
Anomaly based threat detection
From previously gathered data
Re-correlates the stored log
with different correlation rules
12. Threat Intelligence A
PortScan
DMZ
PortScan
5
Risk Level
PortScan Detected
Web Servers
Detected by Hacker
SQL
Injection
SQL
Injection
6
SQL Injection
Detected
Deploying Payload
Symetric Traffic
7
Symetric Traffic
Detected
Infected Web Server
Open Connection
8
Open Connection
to LAN by infected
server
Exploit
9
Windows
Exploited – New
User added
10
Windows
Exploited – User
Added Domain
Admin Group
13. The more data, the more efficiency…
Big data analytics from the point of Security view
Complexity of system
Thousands of correlation rules, billions or records for a day
Elimination of false positives
Updated rules, advancing system
Professional services and expert team
Unfortunately you need more and more data
Solution is CTX – Threat Exchange Service
14. Innovative Aproaches to SIEM
A
CTX
Crypttech Threat Exchange
Advanced Threat and Malware Analyses Services
CTX Agent
Rules
ML – Central Machine Learning Grid
ML
New CryptoSIM Engine
Data
New Rules
Data
New Rules
CRYPTTECH SOC
Merhabalar,
Hoşgeldiniz,
İsmim Tarık Kobalas,
Bu oturumda sizlere Siber Saldırı Tespitlerinde Yenilikçi Yaklaşımlar başlığı altında öğrenebilir bilgi güvenliği ve olay yönetim sisteminden bahsetmeye çalışıcam.
Aynı zamanda kural tabanlı bir SIEM sistemiyle APT (gelişmiş kalıcı tehditlerini) yakalayan bir senaryoyu örneklendireceğim.
Öncelikle şirketimiz Crypttech hakkında bilgi vereyim.
Crypttech 2006 yılında kurulmuş, bilgi güvenliği alanında ürünler üreten %100 Yerli bir yazılım şirketidir.
Yaklaşık 5 senedir SIEM ürünümüz ile birlikte Bilgi Güvenliği alanında birçok projede yer aldık. Edindiğimiz tecrübeler ile ürünümüzü daha ileri taşıdık. Şimdi yenilikçi yaklaşımlar ve gelecek nesil modeller üzerine çalışıyoruz. Siem sistemlerinin ötesinde Yeni Teknolojiler geliştireceğiz.
Şu an geliştirilmesi devam eden ürünlerimizden ilk dördünü 2015 ikinci çeyrek sonuna kadar piyasa sürmeyi planlıyoruz. Kalan iki ürünümüzü de 2015 sonunda lansmanının yapacağız. Bazı projelerimizde bu ürünlerinden birkaçının beta versiyonlarını kullanmaya başladık.
CTX – Siber tehdit ve analiz servisimizi detaylı olarak sunumun ilerleyen kısımlarında aktaracağım.
DLP – Data Lackage Prevention ürünümüzün beta testleri devam etmekte. DLP’nin alt kolu NLP (doğal dil işleme) modülü için özel bir çalışma yapıyoruz. Bu konuda Türkçe verilerde başarı oranlarının düşük olduğunu görmekteyiz. Bu sebeple, Türkçe metin ve içerikleri anlayacak, zararlı sızmaları önleyecek algoritmalar üzerine geliştirmelerimiz devam ediyor.
VMS – Güvenlik açıklıkları yönetim sistemi. Yıllar önce Türkiyenin önde gelen bir ISP’si yaptığımız projeyi ürün haline getiriyoruz. Bir çatı çözüm olacak. Birçok zafiyet tarama sisteminin sonuçlarını kullanarak ilişkilendiren sistem üzerinde çalışıyoruz.
WELA – Sadece Windows sistemlerin güvenlik olay günlüklerinden, anormallik, zafiyet çıkaran bir ürün.
ESC – Uç nokta güvenliği, uygulama, port, erişim kontrolleri yapan, verinin dışarı çıkmasını izleyen ve engelleyebilen bir ürün.
MON – Uygulama, servis, Erişilebilirlik kontrolü yapan ürünümüz. Web servis, sitelerin çalışırlık durumunu, içerik değişikliklierini, iç içe akışları kontrol eden.
Temelde bir olay yönetimi olarak düşünebiliriz SIEM sistemlerini. Veritabanına bir uygulama ya da kişinin bağlanması olaydır.
Bu olaya bir risk değeri atarsanız artık risk değerlendirmedir. Bir servisin kişinin yetkilerinin olmadığı veritabanı, tablo, dosya sistemi üzerinde işlem yapılabiliyor olması riskli bir durumdur.
Ve bu durumu başka bir veri ile ilişkilendirebiliyorsanız korelasyondur. Firewall kayıtlarından bu kişinin dışarıdan geldiğini bulabiliyorsanız sakıncalı bir durumdur.
Birçok farklı ilişkilendirme kurallarını devreye aldığınız zaman artık bir saldırı tespitidir.
Korelasyon, bağımlı ilişkilendirme olarak tanımlanabilir.
CryptoSIM ürünümüz ile Olay tabanlı, kural tabanlı, anormallik tabanlı, risk tabanlı bir ya da birden fazla çeşit kaynağı ilişkilendirebiliyoruz. Böylelikle, zaman, adet, varlık değeri ekseninde davranışsal analizler yapabiliyoruz.
Biz bunların hepsini 2010dan beri CryptoSim ile sağlıyoruz.
Artık kurumlara özgü worm, solucan lar yazılmakta. İmza tabanlı sistemler bu olayı yakalayamamakta. Çünkü bu signature lar daha önce karşılaşılmamış. Dolayısıyla Güvenlik duvarları, IPS/IDS sistemleri bu tür saldırıları bulamamakta. Bu tür davranışsal analizler başarılı bir SIEM ürünü yapabilirsiniz.
Bu örnekte saldırgan internete açık sunuculara bir port taraması gerçekleştiriyor. CryptoSim fw loğları aldığı için, bir IP den farklı Portlara erişilmeye çalışıldığını farkederek bunun bir port taraması olduğunu algılıyor ve Risk Seviyesi 5 olarak alarmı üretiyor.
Sonrasında saldırgan DMZ ağında bulduğu web sunuculara SQL injection denemeleri yapıyor. CryptoSim hem fw hem web server loğlarını alarak ve daha önceki saldırı/IP ile ilişkilendirerek SQL injection saldırısını, risk seviyesi 1 artırarark alarmı veriyor.
Sonrasında saldırgan injecte edebileceği sunucu olduğunu görüp bir exploit kullanarak karşı tarafa bir program/payload yüklüyor. CryptoSim bu saldırı sonrasında firewall loğlarından ve önceki saldırıları da ilişkilendirerek Simetric Trafiği buluyor. Ve başarılı olmuş saldırıyı tespit edip alarm sevisyesini 1 yükseltiyor.
Sonrasında saldırgan ele geçirdiği web sunucu üzerinden local networkteki sunuculara açık bağlantılar aramaya çalışıyor. CryptoSim local fw loğunu da işlediği için, ve önceki saldırılarla ilişkilendirdiği iç ağa başarılı bağlantıyı tespit edip risk seviyesini 1 artırarak alarm veriyor.
Sonrasında saldırgan local networkteki sunuculara bir erişim olduğunu farkedip, olası exploitleri deneyip bir tanesinde başarılı olup karşı sunucuda bir kullanıcı oluşturuyor. CryptoSim iç sunucu kayıtlarını ve iç firewall kayıtlarını topladığı için bu loğlar ile önceki saldırıları ilişkilendirip, saldırgan tarafından bir kullanıcı açıldığını tespit edip risk seviyesini 1 artırarak alarm veriyor.
Ve en son olarak ele geçirdiği sunucu üzerinde oluşturduğu kullanıcıyı, yine bir exploit kullanarak Domain Admin grubuna ekliyor. CryptoSim bu sunucu ve domain admin kayıtlarını da topladığı için bu kayıtları ve önceki saldırıları ilişkilendirip saldırgan tarafından domain admin grubuna kullanıcı eklendiğini tespit ederek risk seviyesini 1 artırarak alarm veriyor.
Bu senaryo kurgulanmış bir veri değildir, gerçekleştirilmiş veri setinden alınmıştır.
Yıldız Teknik Üniversitesi, Bilgisayar Mühendisliği Bölümü ile ortaklaşa yürüttüğümüz projede CTX(Crypttech Threat Exchange) servislerini 2015 itibari ile piyasa çıkarıyoruz. Bu ürünümüz, CryptoSim motoru ile beraber bir makine öğrenmesi sisteminin çalıştığı bir altyapı sağlamaktadır.
CryptoSim motorunun işlediği kural setlerinin algılayamadığı tehditleri makine öğrenmesi ile tespit eden bir yapıdan oluşuyor. Bunlar doğrudan yeni kural setleri olarak girilebildiği gibi merkezi «siber tehdit ve malware analiz servisleri» ne gönderecek. Birçok dağıtık sunucuda oluşan olayları, Crypttech tehdit ve analiz servisleri bu yeni tehdit adayını analiz etmesi için diğer sensörlerden gelen verilerle karşılaştıracak. Merkezi Makine Öğrenmesi Algoritmalarını da kullanarak, sınıflandırıp Crypttech Ar-ge/SOC ekibine iletecek. Bu olay onaylandıktan sonra tüm sensörlere kural olarak gönderilecek ve servisi almak isteyen tüm müşteri ve iş ortaklarına bu hizmet verilecek.
Aynı zamanda bu sistemin bir parçası olarak CryptoSim den bağımsız projelendirilecek olan CTX Agent uygulamamız, bu hizmetten gelen verilere göre anormallikleri ve tehditleri tespit edip alarmlar üretecek.