Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
information security services
Abdurrahman BEYAZASLAN
Genel Müdür, Kurucu Ortak
Güvenlik Danışmanı
Ajanda
• Yeni Siber Saldırı Standartları
• Analist ve CISO ‘nun Rolü
• Bir Atağın Anatomisi
• Atak Zincirini Kırmak
• Sonuç
Yeni Standartlar
Yeni
Normlar
• De‐facto standardı
• Görünme frenkansında 
artış
Hedef
Ataklar
• Belirli kitliler
• Belirl...
Karmaşık Atak Ekosistem Örneği: Zeus 
İlk 10
Kaynak
Ülke
1. US
2. UK
3. India
4. Canada
5. Brazil
6. Australia
7. Mexico
8...
Karmaşık Atak Ekosistem Örneği: Zeus 
İlk 10
Hedef
Sektör
1. Servis
2. Üretim
3. Finans
4. Devlet
5. İletişim
6. Eğitim
7....
Analist’in Bugünkü Rolü
Analist, 
önceliklendirme, 
doğrulama, analiz
etmek zorunda.
Farklı Formatlar
PDF, TXT, CSF, XML, ...
Günümüzde CISO Rolü
Günümüzde CISO Rolü
DROPPER FILEEXPLOIT KITYÖNLENDİRMEYEMBİLGİ TOPLAMA
Bir Atağın Anatomisi
Hedef Kurum
Kurum çalışanı Email
server
Ele geçiri...
Atak Zincirini Kırmak: Bilgi Toplama
• Pasif Bilgi Toplama: Hedef hakkındaki araştırma genele a.ik
kaynaklar üzerinden yap...
Atak Zincirini Kırmak: Yem
• Gelişmiş Sosyal Mühendislik
– Sadece gerektiği kadar karmaşık
– Zararlı linklerin %85’I ele g...
Atak Zincirini Kırmak: Yönlendirme
• Kimlik Gizleme ve koruma sağlayan cihazlara saldırı
– Ortalama redirect linki:4, maks...
Atak Zincirini Kırmak: Exploit Kit
• Exploit Kit’leri bilinen ve bilinmeyen açıklıkları tarar
• Statik koruma cihazlarını ...
Atak Zincirini Kırmak: Dropper File
• Atak yapan kişinin, hedefte kalıcı olmasını ve ilerlemesini
sağlar
– Tek aşamalı dos...
Atak Zincirini Kırmak: Call Home
• Komuta&Kontrol Sunucularına doğru yapılan bir istek ile
program, araç veya talimatlar b...
Atak Zincirini Kırmak: Veri Sızıntısı
• Veri hırsızlığı,veri imhası veya fidye
• Veri sızıntısının 3 temel yolu:
– Şifresi...
Sonuç
• Atak Zinciri’nin tüm halkaları için koruma sistemlerimizi
gözden geçirmeliyiz.
• Mevcut koruma teknolojilerimizi, ...
Contact
InfoSec Bilgi Teknolojileri Saray Mah. Dr. Adnan Büyükdeniz Cad. No: 4 Akkom Ofis
Park 2. Blok 10. Kat 34768 Ümran...
Upcoming SlideShare
Loading in …5
×

Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14

2,503 views

Published on

Siber Güvenlik Konferansı'14 etkinliğinde Abdurrahman Beyazarslan tarafından gerçekleştirilen sunum dosyasıdır.

Published in: Technology
  • Be the first to comment

Bir Atağın Anatomisi - Abdurrahman Beyazarslan #SiberGuvenlikKonferansi 14.05.14

  1. 1. information security services Abdurrahman BEYAZASLAN Genel Müdür, Kurucu Ortak Güvenlik Danışmanı
  2. 2. Ajanda • Yeni Siber Saldırı Standartları • Analist ve CISO ‘nun Rolü • Bir Atağın Anatomisi • Atak Zincirini Kırmak • Sonuç
  3. 3. Yeni Standartlar Yeni Normlar • De‐facto standardı • Görünme frenkansında  artış Hedef Ataklar • Belirli kitliler • Belirli coğrafi bölgeler • Gruplar • Beliri kişiler Yeni Normlar Karmaşık Ataklar • Tek vücut olarak çalışan farklı aktörler • Her safhasındaki uzmanlık ve  motivasyon çeşitliliği • Karmaşıklığı ve  gelişmişliği sürekli artıyor Ekosistem
  4. 4. Karmaşık Atak Ekosistem Örneği: Zeus  İlk 10 Kaynak Ülke 1. US 2. UK 3. India 4. Canada 5. Brazil 6. Australia 7. Mexico 8. Italy 9. France 10. Turkey
  5. 5. Karmaşık Atak Ekosistem Örneği: Zeus  İlk 10 Hedef Sektör 1. Servis 2. Üretim 3. Finans 4. Devlet 5. İletişim 6. Eğitim 7. Perakende 8. Sağlık 9. Taşımacılık 10. Kamu Hizmetleri
  6. 6. Analist’in Bugünkü Rolü Analist,  önceliklendirme,  doğrulama, analiz etmek zorunda. Farklı Formatlar PDF, TXT, CSF, XML, DB Bunalmış Analist Analist, önleyici güvenlik katmanlarından gelen farklı tipteki bilgileri programatik olarak derleyip anlamlı bilgilere dönüştürmek zorundadır.
  7. 7. Günümüzde CISO Rolü
  8. 8. Günümüzde CISO Rolü
  9. 9. DROPPER FILEEXPLOIT KITYÖNLENDİRMEYEMBİLGİ TOPLAMA Bir Atağın Anatomisi Hedef Kurum Kurum çalışanı Email server Ele geçirilmiş makina Saldırgan Web proxy Control server CALL HOMEVERİ SIZINTISI Zararlı Kod Enjekte Edilmiş Website
  10. 10. Atak Zincirini Kırmak: Bilgi Toplama • Pasif Bilgi Toplama: Hedef hakkındaki araştırma genele a.ik kaynaklar üzerinden yapılır. (Sosyal Medya, haberler vb. gibi) • Aktif Bilgi Toplama: Teknik veya farklı bilgiler için sızma • Öneriler – Veri akışlarına hakim olun – Partner güvenliğinden de emin olur … Amerika’da Target  marketlerine iş yapan bir partner firması hedef alınarak Target  Corp’unkilit sistemlerine ait şifreler çalındı
  11. 11. Atak Zincirini Kırmak: Yem • Gelişmiş Sosyal Mühendislik – Sadece gerektiği kadar karmaşık – Zararlı linklerin %85’I ele geçirilmiş güvenilir web sitelerinde barındırılıyor • Watering holes: Sessiz yemleme – Çok ziyaret edilen siteler üzerinden, belirli bir konuya yönelen kişilere ulaşmak – Duyuru/Yemleme yapmaya gerek yok • Spam: – Tüm Spam mesajların %3.3’ü zararlı içerik barındıran sitelere yönlendiriyor • Öneriler – Son Kullanıcı Eğitimi – Gerçek zamanlı trafik analizleri – Detaylı görünülürlük için Gelişmiş Raporlama
  12. 12. Atak Zincirini Kırmak: Yönlendirme • Kimlik Gizleme ve koruma sağlayan cihazlara saldırı – Ortalama redirect linki:4, maksimum 20 • Örnek: Ele geçirilen bir Web Sitesi – Basit bir HTML dosyası, ziyaretçiyi bir Adobe flash dosyasına yönlendiriyor – Yönlendirme 2 farklı HTML dosyasına daha yapılıyor – Son dosyada IE exploit’I çalışıyor – Hiçbirisi zararlı kod ile ilgili bir bilgi barındırmıyor • Öneriler – İmza tabanlı olmayan koruma yöntemleri – Tüm yönlendirme path’ini analiz etme
  13. 13. Atak Zincirini Kırmak: Exploit Kit • Exploit Kit’leri bilinen ve bilinmeyen açıklıkları tarar • Statik koruma cihazlarını atlatırlar – Hızlı adapte edilen exploit kitleri, son güvenlik güncellemelerini bypass  edebiliyorlar. • Bilinen ve yaması bulunan açıklar hala çok büyük fırsat yaratıyor – Java, Flash, XP vb. gibi. • Geçici Exploit Kit Pazarı • Öneriler – Başımız ağrımadan yama geçmek – Exploit kit’leri tesipt edebilen, dinamik ve gerçek zamanlı korumalar
  14. 14. Atak Zincirini Kırmak: Dropper File • Atak yapan kişinin, hedefte kalıcı olmasını ve ilerlemesini sağlar – Tek aşamalı dosyalar payload’u içerir – Çok aşamalı dosyalar ek payload’ları sonradan download ederler • Hızlı varyasyonları sayesinde static koruma kalkanlarını hızlıca atlatırlar • Sandbox kullanımı ile, sanal kaçırma tekniklerinde de artış meydana geldi. – Zararlı aktiviteyi gerçekleştirmeden önce zaman gecikmeleri kullanımı – Sanal ortam araştırmaları – İnsan etkileşimi testi • Öneriler – Kaçırma teknikleri genişliği ve karmaşıklığı faaliyetlerin bir kombinasyonu gerektirir. Bunlar objenin etrafındaki bilgiler (kim imzaladı, kökeni,  reputation bilgisi), bize nasıl ulaştırıldı, vb. gibi
  15. 15. Atak Zincirini Kırmak: Call Home • Komuta&Kontrol Sunucularına doğru yapılan bir istek ile program, araç veya talimatlar beklenir – Yönlendirme, Dynamic DNS, şifreli iletişim • Örnek: Mevade – Full bir proxy kurulumu ve NAT’lı ortam üzerinden arka kapı açılması – Tor uygulaması kullanılarak neredeye komple anonimlik sağlanması • Öneriler – Outbound trafiğin taranmsı ve izlenmesi – SSL/TLS çözümleme • Kurumsal trafiğin %30‐40’I • En çok ziyaret edilen web sitelerinin %40’I kullanıyor (Facebook,  Google, Twitter, Yahoo gibi)
  16. 16. Atak Zincirini Kırmak: Veri Sızıntısı • Veri hırsızlığı,veri imhası veya fidye • Veri sızıntısının 3 temel yolu: – Şifresiz trafik: Meşru gibi görünebilir. Veri koruma çözümleri ile kolaylıkla tespit edilebilir.  – SSL/TLS: Hızla artmaya başladı. Daha maliyetli olsa da tespiti mümkün. – Custom‐Encrypted Dosyalar: B’r.ok koruma yönteminde tespit ve taraması mümkün değil.  • Tek seferde veya parçalı gönderim • Öneriler – Diğer 6 Atak Zincirinde güvenlik sağlayın! – Tam bir DLP çözümü kullanın – Custom Encryption tespiti – İmaj dosyalarının OCR Taraması – “Parçalı Gönderim” in tespiti – Şifreli ve şifresiz outbound trafiğin taranması
  17. 17. Sonuç • Atak Zinciri’nin tüm halkaları için koruma sistemlerimizi gözden geçirmeliyiz. • Mevcut koruma teknolojilerimizi, atlatma metodlarını düşünerek tekrar değerlendirmemiz gerekiyor. • Tüm iletişim kanallarımız için (web, email, mobile)  güvenli iletişimi ve içerik kontrollerini devreye almalıyız • Veri sızıntıları için hem inbound hem de outbound trafik içeriğini monitor etmeliyiz • Yüksek riskli olay ve trendleri izleyebilecek log  korelasyon çözümleri kullanmalıyız • Gerçek zamanli analizler yapan koruma metodlarına kaymalıyız
  18. 18. Contact InfoSec Bilgi Teknolojileri Saray Mah. Dr. Adnan Büyükdeniz Cad. No: 4 Akkom Ofis Park 2. Blok 10. Kat 34768 Ümraniye İSTANBUL / Turkey T: +90 216 250 35 35 www.infosec.com.tr F: +90 216 250 35 39  info@infosec.com.tr

×