İstanbul Şehir Üniversitesi - Kablosuz Ağlarda Adli Analiz - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Gökhan Karaçay
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıBGA Cyber Security
Bir kurum sızma testi yaptıracağı zaman, bu testi yapacak olan profesyoneller öncelikle hedef sistem hakkında bilgi toplamak zorundadır. Hedef sistemin kullandığı IP aralığı, subdomainler, aynı kullanıcı üzerinden alınmış diğer domainler, dns kayıtları, çalışanlarına açılan mail adresi politikası, bağlantılı mobil uygulamalar, kurumun sosyal medya hesapları, çalışanlarının sosyal medya hesapları, çalışan profili, güvenlik sertifikası bilgileri, kurum veya çalışanları adına gerçekleştirilen veri sızıntıları, forumlarda paylaşılan bilgiler ve daha fazlası OSINT kullanılarak elde edilebilir.
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Bu sunum web uygulamalarının kritikliği ne kadar düşük olursa olsun uygulama açıklıklarının sistem ve ağ güvenliğini tehdit edebileceğini göstermektedir.
İstanbul Şehir Üniversitesi - Kablosuz Ağlarda Adli Analiz - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Gökhan Karaçay
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıBGA Cyber Security
Bir kurum sızma testi yaptıracağı zaman, bu testi yapacak olan profesyoneller öncelikle hedef sistem hakkında bilgi toplamak zorundadır. Hedef sistemin kullandığı IP aralığı, subdomainler, aynı kullanıcı üzerinden alınmış diğer domainler, dns kayıtları, çalışanlarına açılan mail adresi politikası, bağlantılı mobil uygulamalar, kurumun sosyal medya hesapları, çalışanlarının sosyal medya hesapları, çalışan profili, güvenlik sertifikası bilgileri, kurum veya çalışanları adına gerçekleştirilen veri sızıntıları, forumlarda paylaşılan bilgiler ve daha fazlası OSINT kullanılarak elde edilebilir.
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Bu sunum web uygulamalarının kritikliği ne kadar düşük olursa olsun uygulama açıklıklarının sistem ve ağ güvenliğini tehdit edebileceğini göstermektedir.
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
Bilgi Güvenliği ve Ağ Güvenliği
Ben Kimim ? ? ?
Neler Yaparım
Aldığım Eğitimler ve Sertifikalar
BlinkCursor ??
Konu İçerikleri
Bilgi Güvenliği Kavramı
Bilgi Güvenliğinin Amacı
Tehdit Türleri
Dahili Tehdit Unsurları
Harici Tehdit Unsurları
Saldırı Kavramı
Saldırgan Türleri
Saldırgan Motivasyonu
Ağda Bulunan ve Potansiyel Risk İçeren Sistemler
Saldırı Yöntemleri
Saldırılarda Sıkça Kullanılan Teknikler
Sosyal Mühendislik
Sosyal Mühendislik – Önleme Yöntemleri
Ağ Haritalama
Ağ Haritalamada Ulaşılmak İstenen Bilgiler
Ağ Haritalamada Kullanılan Teknikler
Ağ Haritalama – Önleme Yöntemleri
Uygulama Zayıflıkları
Uygulama Zayıflıkları – Önleme Yöntemleri
Yerel Ağ Saldırıları
Yerel Ağ Saldırılarında Kullanılan Teknikler
Yerel Ağ Saldırıları – Önleme Yöntemleri
Spoofing
Spoofing Teknikleri
Spoofing – Örnek Spoofing İşlemi
Spoofing – Önleme Yöntemleri
Hizmet Aksatma Saldırıları
Dağıtık Hizmet Aksatma Saldırıları
Hizmet Aksatma Saldırıları – Önleme Yöntemleri
Virüs, Worm ve Trojan Tehlikeleri
Virüs, Worm ve Trojan’ları Önleme Yöntemleri
Saldırıya Uğrayabilecek Değerler
Görülebilecek Zararın Boyutu
Güvenlik İhtiyacının Sınırları
Genel Güvenlik Önlemleri
Ağ Güvenlik Duvarı (Firewall)
Internet bağlantısında bir kurumun karşılaşabileceği sorunlar şunlardır;
Bir güvenlik duvarı çözümünde verilebilecek servisler
Paket Filtreleme
Dinamik (Stateful) Filtreleme;
DMZ (Silahtan Arındırılmış Bölge):
Proxy:
Firewall çözümleri:
İçerik Filtreleme (content filtering):
VPN:
Saldırı Tespiti (ID):
Loglama ve Raporlama:
SORULAR ???
Sosyal Medya Hesaplarım:
BENİ DİNLEDİĞİNİZ İÇİN HEPİNİZE ÇOK TEŞEKKÜR EDİYORUM
İletişim veya sorularınız için iletişim adreslerim ;
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
Belediyeler için siber güvenlik önerilerinin yer aldığı bu dosyada yer alan ana başlıklar detaylı olarak incelenmiştir:
- Belediyeler Açısından Siber Güvenlik
- 2018 yılında Belediyelere Yapılan Siber Saldırılar
- Belediyeleri Hedef Alan Siber Saldırıları Türleri
- Belediyelere Yapılan Siber Saldırıların Sıklığı
- Belediyelere Yapılan Siber Saldırılarda Yıllar İçinde Görülen Artış
- Muhtemel bir Siber Saldırı Sonucu Oluşabilecek Zararlar
- Siber Güvenlik Yönetim Stratejisi
- Siber Güvenlik Kontrolleri
Genel olarak görülen siber saldırgan profillerine ek olarak belediyeleri hedef alması muhtemel bir saldırganın terör, siber savaş ve casusluk amacıyla hareket etme ihtimali yüksektir. Bunun yanında belediyeler vatandaş bilgisi, imar, vb. satış değeri olan bilgileri tutan kuruluşlar olmaları nedeniyle sıradan siber saldırganlar açısından da iştah açıcı hedeflerdir.
Bu dosyada belediyeler için gerekli olabilecek siber güvenlik önerileri yer almaktadır.
Sızma testi kısaca; ağ, sistem ve uygulamaların siber saldırganlar tarafından kullanılan araç ve teknikler kullanılarak test edilmesidir.
Bu sayede var olan güvenlik açıkları ve bunların oluşturduğu tehlikeler önceden tespit edilip gerekli önlemler alınabilmektedir.
Bu dosyada; Sızma testinin amacı, Sızma testi nasıl yapılır, Sızma testinin raporlanması, dikkat edilmesi gereken noktalar, Sızma testi sürecinde yapılması gerekenler, Sızma testi yaklaşımları, Tandem, Zafiyet taraması, Zafiyet yönetimi gibi başlıklara yer verilmektedir.
Unutmayın! Siber saldırılarda her türde ve büyüklükteki işletme risk altındadır ve en zayıf halka insan faktörüdür! Hem teorik hem pratik örneklerle oluşan içeriğiyle bu eğitim, son savunma hattınız olan çalışanlarınızın güncel siber tehditleri daha iyi anlayıp gerekli önlemleri almasını sağlamada çok faydalı olacaktır.
BGA Security tarafından her yıl yaklasık olarak 200’e yakın
sızma testi projesi gerçeklestirilmektedir. Bu projeler standart
olmayıp müsterilerin taleplerine göre farklı boyutlarda
olabilmektedir. Bu rapor yapılan çalışmalarda karşılaşılan zafiyetler ve istismar yöntemlerinin istatistiklerini paylaşmak amacıyla hazırlanmıştır.
Fidye yazılımı, kurbanın dosyalarını şifreleyen kötü amaçlı bir yazılım türüdür. Saldırgan, ödeme yapıldıktan sonra
verilerine tekrar erişebilmesi için kurbandan fidye talep eder.
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
Bu raporda 2020 yılının ilk yarısı için Türkiye'de bulunan bankalar adına açılan sahte alan adları
(domain), bu alan adlarının SSL sertifikası durumları ve kayıt bilgilerine yönelik analizler yer almakta
olup, aylara göre artışları ve saldırganların motivasyonları incelenmiştir.
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
Ağ haritalama (Enumeration), sızma testi metodolojilerinden biridir. Hedef ile aktif bir bağ oluşturulduğunda ve hedefe saldırıda bulunurken giriş noktasını tespit etmek amacıyla sistemin ağ yapısının detaylı belirlenmesidir:
Açık sistemler ve üzerindeki açık portlar, servisler ve servislerin hangi yazılımın hangi sürümü olduğu bilgileri, ağ girişlerinde bulunan VPN, Firewall, IPS cihazlarının belirlenmesi, sunucu sistemler çalışan işletim sistemlerinin ve versiyonlarının belirlenmesi ve tüm bu bileşenler belirlendikten sonra hedef sisteme ait ağ haritasının çıkartılması Ağ haritalama adımlarında yapılmaktadır.
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
3. parti firma risklerinden nasıl korunulur?
1. 3. Parti Firma Risklerinden Nasıl
Korunulur?
Ferhat DİKBIYIK
Head of Research
Webinar Serisi – 6 Ekim 2021
2. 3. Parti Kaynaklı Veri İhlalleri
• Saldırı yüzeyi sandığımızdan çok daha geniş mi?
• 3. taraf (tedarikçi) kaynaklı veri ihlallerinin anatomisi
• SolarWinds, Kaseya, Acellion ve Accenture saldırıları nasıl büyük çaplı
3. taraf kaynaklı veri ihlallerine dönüştü
• 3. taraf kaynaklı veri ihlallerini engellemek için neler yapılmalı?
• Siber Skorlama çözümleri tedarikçi risk yönetiminde ne kadar yeterli?
• Dijital ekosisteminize karşı siber saldırılarının işaretlerini önceden
görmek mümkün mü?
• Gelişmiş bir üçüncü taraf siber risk yönetimi neleri kapsamalı?
3. Siber Saldırı Yüzeyi
Bulut
Sağlayıcılar
Veri İşleme
Çözümleri
Pazarlama
Firmaları
Harici
Javascript
Sağlayıcıları
Hukuk
Firmaları
IT Çözümleri
E-posta
Hizmet
Sağlayıcıları
Online
Toplantı
Araçları
Proje
Geliştirme
Çözümleri
Uzaktan
Yönetim
Sistemleri
Mobil
Uygulama
Geliştiriciler
4. 3. Parti Kaynaklı Veri İhlallerinin Anatomisi
3. Taraf
3. Taraf ile veri
paylaşan firmalar
3. Tarafa erişim
veren firmalar
3. Tarafın ürününü
kullanan firmalar
Critical Open
Ports
Poor email
configurations
Software
vulnerabilities
Application
weaknesses
Leaked
Credentials
Poor system
configurations
Malicious
Code
9. SolarWinds Vakası: Etkilenen
Kurumlar
ABD Savunma Bakanlığı
ABD Enerji Bakanlığı
ABD Ticaret Bakanlığı
ABD Sağlık Bakanlığı
ABD İçişleri Bakanlığı
ABD Dışişleri Bakanlığı
ABD Hazine Bakanlığı
Belkin International
California Department of State Hospitals
Cisco
Cox Communications
Deloitte
Digital Sense
FireEye
Intel
ITPS
Kent State University
Microsoft
Netdecisions
Nvidia
Pima County, State of Arizona
SolarWinds
Stratus Networks
VMware
13. Accenture Vakası
BT hizmetleri ve danışmanlık
Not: Accenture, tehdit aktörünün iddiasının doğru olmadığını
beyan etti.
Tehdit aktörü, Accenture ihlalinin onlara Accenture
müşterilerinin hedef almalarını sağlayacak kullanıcı adı ve
şifrelere erişim imkanı verdiğini söyledi.
14. Gri Gergedan
"Gri gergedan", oldukça olası, yüksek
etkili ancak ihmal edilen bir tehdittir.
Hem odadaki filin hem de olası ve
öngörülemeyen siyah kuğun akrabası.
Gri gergedanlar rastgele sürprizler değildir,
bir dizi uyarı ve görünür kanıttan sonra
ortaya çıkar.
15. Ne sıklıkla oluyor?
• En son örnekler;
• Confluence / Atlassian
• RCE zafiyeti 25 Ağustos’da yayınlandı.
• Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek
kurbanlarını seçmeye başladı (5 Ekim).
• NewHotel Software
• Büyük otel zincirleri için yazılım üreticisi.
16. Ne sıklıkla oluyor?
• En son örnekler;
• Confluence / Atlassian
• RCE zafiyeti 25 Ağustos’da yayınlandı.
• Atom Silo adındaki yeni bir ransomware grubu bu zafiyeti istismar ederek
kurbanlarını seçmeye başladı (5 Ekim).
• NewHotel Software
• Büyük otel zincirleri için yazılım üreticisi.
https://blackkite.com/data-breaches-caused-by-third-parties/
17. 3. Parti Kaynaklı Veri İhlalleri Nasıl
Engellenir?
• Erişimleri yetkilendirmek/kısıtlamak.
• Paylaşılan veri miktarını küçültmek.
• Log tutmak.
• Peki yeterli mi?
• 3. taraf şirketlerin (daha geniş ifadesi ile dijital ekosistemin) sürekli
gözlemlenmesi.
• 3. taraf şirketlerin siber güvenlik/risk durumlarını ölçümle
• Önceliklendir
• Sonuçları paylaş
• On-site ziyaretler
• Sözleşmeyi feshetme
21. Siber Risk Değerlendirme Yöntemleri
Yönetimsel
Harici /
Dışarıdan
İçeriye
Dahili
/İçeriden
dışarıya
Senaryo-
tabanlı
testler
Olasılıksal
Veri Modelleri
- Kontrol tabanlı çerçeveler
- ISO27001,
- PCI-DSS,
- NIST, vb.
- Kurumun iyi uygulamalarını ve
regülasyonlara uyumluluğunu
gösterir
- Uyumluluk ≠ Güvenlik
- Olgunluk seviyeleri sınırlı bilgi verir
22. Siber Risk Değerlendirme Yöntemleri
Dahili
/İçeriden
dışarıya
Yönetimsel
Değerlendirm
eler
Harici /
Dışarıdan
İçeriye
Senaryo-
tabanlı
testler
Olasılıksal
Veri Modelleri
- Soru Setleri, dış teftişler, denetim
raporları
- Kontrol/hazırlık konusunda
perspektif verir
- Sonuçların yorumlanması ağır
süreçlerdir
- Manuel iş yükü çok fazla, yavaş
- Risk terminolojisine çevirmek zor
- Subjektif
- Maliyetli
23. Siber Risk Değerlendirme Yöntemleri
Olasılııksal
Veri Modelleri
Harici /
Dışarıdan
İçeriye
Dahili
/İçeriden
dışarıya
Senaryo-
tabanlı
testler
Yönetimsel
- Kayba dair faydalı istatistiki
projeksiyonlar sunar
- Sınırlı veri ile oluşturulmuş veri
setlerine fazlasıyla bağlı
24. Siber Risk Değerlendirme Yöntemleri
Senaryo-
tabanlı
testler
Yönetimsel
Değerlendirm
eler
Harici /
Dışarıdan
İçeriye
Dahili
/İçeriden
dışarıya
Olasılıksal
Veri Modelleri
- En kötü senaryo analizleri
- Teknik kısmı saldırı simülatörleri ile
sağlanabilir
- Kurumdaki uzman kişilerle
görüşmeleri gerektirebilir
- Şirketin kayıplara karşı kurumun
nasıl dayandığını gösterebilir
- Uzun süren süreç
- Ölçeklenebilir değil
25. Siber Risk Ölçümü için Veri Kaynakları
Ölçeklenebilirllik
Kesinlik
Harici Bilgi
Pasif tarama ile elde
edilen 3. taraf
şirketin müdahelesi
veya doğrulaması
olmayan bilgi
Soru Setleri
3. tarafça
cevaplanmış anketler
ve görüşmeler.
Teknik bir kaynak
verisi değil.
Paylaşılan Veri
Erişim verilmeden 3.
tarafça sağlanan
loglar ve
konfigürasyonlar
Direkt Veri Sorgusu
Analistlerin veri
üzerinde direkt sorgu
çalıştırması (3. tarraf
teknik personelin
göztiminde)
On-Prem araçlar
3. Taraf şirketinin
içerisine on-prem
yerleştirilmiş veri
toplama araçları
26. Nasıl bir 3. Taraf Risk Değerlendirmesi?
Kurgu Gerçek
Ölçeklenebillir
Varsayımlar kabul edilebilir
Risk jargonuna çevrilebilir
Önceliklendirme için yeterli
27. Nasıl bir skorlama?
F
D
C
B
A
0
2
0
40 60 8
0
100
Olgunluk Seviyesi
1
2
3
4
Risk Seviyesi
Düşük
Normal
Yüksek
Kritik
Bir standart yok. Discrete bir puanlama = etiketleme
28. Siber skorlar neyi gösterir?
• Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder.
• Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip
firmalar.
29. Siber skorlar neyi gösterir?
• Siber skorlar tehdit aktörlerinin radarına girecek firmaları işaret eder.
• Veri ihlali yaşayan firmaların büyük çoğunluğu düşük skora sahip
firmalar.
Accenture veri ihlali öncesi genel siber skoru
33. Nasıl bir skorlama?
• Hangisi daha riskli?
TEDARİKÇİ X
• Veri paylaşımı yok
• İç sistemlere erişimi
yok
• Yazılım sağlıyor
TEDARİKÇİ Y
• Veri paylaşımı var (PII)
• İç sistemlere erişimi
yok
• Yazılım sağlamıyor
TEDARİKÇİ Z
• Veri paylaşımı yok
• İç sistemlere erişimi
var
• Yazılım sağlamıyor
B B B
34. Nasıl bir skorlama?
• Hangisi daha riskli?
TEDARİKÇİ X
• Veri paylaşımı yok
• İç sistemlere erişimi
yok
• Yazılım sağlıyor
TEDARİKÇİ Y
• Veri paylaşımı var (PII)
• İç sistemlere erişimi
yok
• Yazılım sağlamıyor
TEDARİKÇİ Z
• Veri paylaşımı yok
• İç sistemlere erişimi
var
• Yazılım sağlamıyor
B B B
C
D
35. Nasıl bir skorlama?
• Hangisi daha riskli?
TEDARİKÇİ X
• Veri paylaşımı yok
• İç sistemlere erişimi
yok
• Yazılım sağlıyor
TEDARİKÇİ Y
• Veri paylaşımı var (PII)
• İç sistemlere erişimi
yok
• Yazılım sağlamıyor
TEDARİKÇİ Z
• Veri paylaşımı yok
• İç sistemlere erişimi
var
• Yazılım sağlamıyor
B B B
C
D
Kayıp: $200K
Risk, oluşabilecek kayıp ile oluşma sıklığının (ihtimalinin) çarpımıdır.
Kayıp: $10M Kayıp: $1M
37. Ücretsiz skorlama imkanı var mı?
Ücretsiz Siber Skor
ve Raporu
Ücretsiz
Ransomware Skoru
ve Raporu
https://blackkite.com/free-cyber-rating/
https://blackkite.com/free-rsi-rating/