12.04.2012 Tarihinde Çorlu Namık Kemal Üniversitesi ev sahipliğinde, Gökmen Güreşçi tarafından düzenlenen İnternet Haftası etkinliklerinde LabSec Community olarak yerimizi aldık.
12.04.2012 Tarihinde Çorlu Namık Kemal Üniversitesi ev sahipliğinde, Gökmen Güreşçi tarafından düzenlenen İnternet Haftası etkinliklerinde LabSec Community olarak yerimizi aldık.
Unutmayın! Siber saldırılarda her türde ve büyüklükteki işletme risk altındadır ve en zayıf halka insan faktörüdür! Hem teorik hem pratik örneklerle oluşan içeriğiyle bu eğitim, son savunma hattınız olan çalışanlarınızın güncel siber tehditleri daha iyi anlayıp gerekli önlemleri almasını sağlamada çok faydalı olacaktır.
BGA Security tarafından her yıl yaklasık olarak 200’e yakın
sızma testi projesi gerçeklestirilmektedir. Bu projeler standart
olmayıp müsterilerin taleplerine göre farklı boyutlarda
olabilmektedir. Bu rapor yapılan çalışmalarda karşılaşılan zafiyetler ve istismar yöntemlerinin istatistiklerini paylaşmak amacıyla hazırlanmıştır.
Fidye yazılımı, kurbanın dosyalarını şifreleyen kötü amaçlı bir yazılım türüdür. Saldırgan, ödeme yapıldıktan sonra
verilerine tekrar erişebilmesi için kurbandan fidye talep eder.
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
Bu raporda 2020 yılının ilk yarısı için Türkiye'de bulunan bankalar adına açılan sahte alan adları
(domain), bu alan adlarının SSL sertifikası durumları ve kayıt bilgilerine yönelik analizler yer almakta
olup, aylara göre artışları ve saldırganların motivasyonları incelenmiştir.
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
Ağ haritalama (Enumeration), sızma testi metodolojilerinden biridir. Hedef ile aktif bir bağ oluşturulduğunda ve hedefe saldırıda bulunurken giriş noktasını tespit etmek amacıyla sistemin ağ yapısının detaylı belirlenmesidir:
Açık sistemler ve üzerindeki açık portlar, servisler ve servislerin hangi yazılımın hangi sürümü olduğu bilgileri, ağ girişlerinde bulunan VPN, Firewall, IPS cihazlarının belirlenmesi, sunucu sistemler çalışan işletim sistemlerinin ve versiyonlarının belirlenmesi ve tüm bu bileşenler belirlendikten sonra hedef sisteme ait ağ haritasının çıkartılması Ağ haritalama adımlarında yapılmaktadır.
2. • DoS/DDoS Nedir?
• Geleneksel Topolojilerde Neden DDoS
Başarılı Oluyor?
• DDoS ile saldırı gizleme
• Olay İnceleme: Smoke Screening
• Sonuç ve Öneriler
• Öngörüler
AJANDA
3. 3
Temel DDoS Tipleri
Volümetrik Saldırılar (bps)
Saldırı hedefi hedefin giriş bant genişliğini doldurmaktır. (UDP floods, ICMP floods, ve diğer sahte IP sel saldırıları)
Tüketme Saldırıları (pps)
Sunucunun kaynaklarını ya da güvenlik duvarı, yük dengeleme sistemi, IPS gibi ara ekipmanların limitlerini tüketme
amaçlıdır. (SYN flood, fragmente paket saldırıları, Ping of Death, Smurf DDoS vb.)
Uygulama Katmanı Saldırıları (req/s)
Katman 7’de gerçekleşen ilgili protokolün komut setini kullanan saldırılardır. (Slowloris, HTTP Flood, SIP Flood, Zero-Day-
DoS vb.)
7. 7
Smokescreening / Sisleme
DDoS daha zeki saldırıları gizlemek için kullanılıyor.
1. Mekanizma: Odak Şaşırtma
2. Mekanizma: İzleme ve İnceleme kapasitesinin aşımı
Bu mekanizmada gerçek kurban sunucu değil;
a- Saldırı Tespit ve Önleme Sistemleri (IPS)
b- SIEM
c- Malware Engelleme Sistemleri,
gibi yüksek maliyetli sistemlerdir.
9. 9
Odak Şaşırtma
Örnekler:
«Dirt Jumper» DDoS saldırıları, 2013.
Yasadışı transferler sonrası DDoS saldırıları
Fraud işlemleri sırasında DDoS saldırıları
2014-2015 Linode DDoS saldırıları
2011: Sony
Ukrayna Elektrik İdaresi – 23 Aralık 2015 2-6 saat kesinti sırasında Telefon sistemlerine DoS
10. 10
İzleme ve İnceleme kapasitesinin aşımı
• IPS’lerdeki Darboğazlar:
• İnceleme kapasitesi
• Ağ kapasitesi
• Gecikme
• Saniyedeki bağlantı
• Aynı andaki oturum
11. 11
İzleme ve İnceleme kapasitesinin aşımı
Örnekler:
2013: BIPS Bitcoin: 1M USD Bitcoin bir DDoS saldırısı sırasında çalındı.
2015: Carphone Warehouse Veri Sızıntısı: 2.4 milyon müşteri bilgisi DDoS sırasında çalındı.
2015 TalkTalk:
12. 12
Kurban IPS: Olay İnceleme
HARPP DDOS CERT ekosisteminde bir olay yaşandı.
Kurban: Kar amacı gütmeyen bir sivil toplum örgütü
Bildirim: DDoS saldırısı ve ardından birkaç gün içinde bağışcı kişisel bilgilerinin sızdırılması tehdidiyle şantaj
DMZ sunucusu DDoS saldırısı ile yakın zamanlı başarılı sızmaya uğradı. Sızma öncesinde zayıflık tarama ve keşif kayıtları güvenlik
duvarı ve web sunucu kayıtlarında var.
Markalı bir IPS üzerinde az sayıda orta önemde alarm var. Keşif sırasında daha fazla alarm beklenirdi.
Saldırı vektörü PHP zayıflığı ve bir kabuk arka kapı bulundu.
DDoS büyüklüğü: ~250 Mbps
Sonuç: Küçük boyutlu, akıllı, ISP radar altı kalabilen dağınık DDoS saldırıları volümetrik olanlardan daha tehlikeli
olabilir.
Büyük volumetrik DDOS saldırılarında hat dolacağı için, o an, veri sızıntısı ve sağlıklı ele geçirme zor.
13. 13
Labris SOC ve HARPP CERT İstatistikleri
Aynı Zamanda
Portscan ve Zayıflık
Tetikleme
1 gün 28%
1 hafta 70%
Aynı Zamanda
DDoS ve Zayıflık
Tetikleme
1 gün 6%
1 hafta 21%
Tüm DDoS’lar içinde Karma-
DDoS
18%
14. 14
Diğer Önemli Bildirimler
Neustar 2015 Raporu: DDoS saldırı alan finans kurumlarının %71’i bir çeşit hırsızlık girişimi, %38’i de virüs yada kötücül
yazılım aktivasyonu raporluyor. Neustar verisi 2014’te %55 idi.
FFIEC: US Federal Financial Institutions Examination Council: DDoS ile saldırı gizleme için genel uyarı
Kaspersky 2016 Security Report: DDoS saldırılarının %26’sı gizleme amaçlı. (eski değer %16)
KOBİ’de: %31, Kurumsal’da %22
15. 15
IPS Kurban: Laboratuvar Simülasyonu
Siber Savaş Laboratuvarımızda (CWL) benzer senaryoyu simüle ettik. Sonuçlar benzer.
Açık Kaynak Snort IPS motoru (IPS’lerin 1/3 ündeki ana motor)
Simülasyon 1:
Saldırı: L3 TCP SYN Sel
Kontrol: ICMP ping
18. 18
IPS Kurban: Laboratuvar Simülasyonu
• Neden etkilendi?
• Ethernet’ten paket alımı
• Interrupts, queues, buffers
• SYN koruma mekanizmaları
• Paket birleştirme, açma ve inceleme
• L7 payload inceleme
• Kötü multi-thread verimi
• Kayıt tutma ve Raporlama fonksiyonları
• Diğer 1.000 ‘lerce imza
19. 19
Sonuç
DDOS Sisleme konvansiyonel L7 güvenlik önlemlerini geçmek için gittikçe popülerleşiyor.
DDoS saldırılarının, Siber Saldırı zincirinde bir yeri var. Keşif, Zararlı İletme, Açık kullanımı, Veri kaçırma aşamalarında
yer alabilir.
Minimum 5 ortalamada 30 dakikalar mertebesinde devreye girebilen Scrubbing Merkezleri nitelikli gizleme karşısında
işe yaramıyor.
İnternet Servis Sağlayıcı antiDDOS çözümleri nitelikli gizleme karşısında yetersiz:
- Birkaç dakikalar mertebesinde devre giriyorlar
- Eşik Değeri ve Oran Limitlerinde dayanıyorlar ve radar altı kalmak kolay
- UDP gibi protokoller açık kalmak zorunda ise başarısız oluyorlar
- L7 inceleme efektif ve yaygın protokol desteği ile yapılamıyor.
20. 20
Öneriler
Aksiyonlar:
1- İşe özel ve tüm diğer ürünlerin önünde Anti-DDOS CPE (Hibrit koruma)
2- ISP DDoS Koruma servisleri ile bant genişliği koruması
3- Takım tepki planı, DDoS sorumlusu
4- DDoS sırasında DDoS dışı saldırıları için daha da tetikte olunması
5- DDoS özel CERT takımlarının olaya müdahale ve alan bilgisi (aynı saat içinde yatıştırma)
24. 24
DDoS Öngörüleri
• 2014 Öngörülerimiz:
APT characteristics in DDoS Realized
More migration to L7 Realized
Out of sight new NTPs Realized – SSDP, RPC
Real user mimic Not Widely – But Expect.
Mobile Botnets Not Widely – But Expect.
• Gelecek:
DDoS saldırılarında APT karakteri artacak
L4 DDoS yatıştırma standart İSS servisi olacak.
Sel şeklinde olmayan yaygın DDoS zayıflıkları
Gerçek kullanıcı taklidi
Mobil botnetler
28. Guard of the Guards
«Quis custodiet ipsos custodes»
DDOS Yatıştırma Cihazları Olaya Müdahale Hizmetleri (CERT)
29. 29
Uygulama Koruma - HARPP DDOS Mitigator
Guard of the Guards:
Tüm DoS/DDoS savunma tekniklerini bir arada toplayan tek çözüm
• DDoS Özel Yüksek Performanslı Donanım
• Dinamik Anormallik Tespiti (DDI)
• L7 Özel DoS/DDoS IPS
• Çoklu Protokol Destekli
• Web Yönetimi
• Delil toplama ve zaman damgalama
31. Bazı çözümler, bypass edilebilir trafik yönlendirme
bazlıdır.
Harpp ağa girer. Bypass mümkün değildir.
Bazıları yalnızca OSI L4 odaklıdır. Harpp ise OSI L7 ‘ye odaklanır. (DDI™)
Bazıları HTTP gibi tek protokole yoğunlaşır. Harpp Çoklu-Protokol ürünü olarak tasarlanmıştır.
Pahalıdır. Özel ASIC ve pahalı donanım mimarilerinde
çalışırlar.
Harpp kolay ulaşılır, x86 donanımlar üzerinde çalışır.
Donanım bağımlı değildir. Bulut çözümlere açıktır.
Statik eşik değer bazlı tasarlanmıştır. Harpp ise Makine Öğrenmesi ve AI bazlıdır.
Bazıları geç tepki verir. Harpp ise gerçek zamanlıya yakın çalışır.
Diğer çözümler ya cihaz ya hizmettir. Harpp donanımı ve üreticiden olaya müdahale
hizmetini bir arada sunar.
Rekabet Analizi ve DDI™ Teknolojisi
32. 32
Servis Koruma: Benzersiz CERT ve SOC
Harpp Olaya Müdahale ekibi hazırdır!
İzleme
Olaya Müdahale
Raporlama
34. 34
HARPP DDoS CERT İzleme
• Müşteri İnternet Servislerinin
Kontrolü(SoC)
• Hat erişim kontrolü
• İnternet Yavaşlığı ve Paket
kaybı kontrolü
• Acil durumda hemen koruma
• DDoS Saldırı Tespiti ve
Öneriler
• Sağlık raporları ve oluşan
açıklıkları kapatmak için
öneriler
DDOS CERT
DASHBOARD
Müşteri
İç Ağı
INTERNET
36. 36
HARPP DDoS CERT Hizmet Akışı
1 –Demo Süreci
Sunum
Uzaktan Demo
Cihaz ile Demo
Kısa PoC
Detaylı PoC
3 – Sürekli
İzleme (NMS, Alarm Takibi) *
Sağlık Raporları *
Sistem İyileştirme Raporları *
2 – Aktivasyon & Kurulum
Aktivasyon Toplantısı
Topoloji Tasarımı
Teknik Gereksinim Formu
Aktivasyon Planı ve Onayı
Aktivasyon Ayarları
4 – Saldırıdan Sonra
DDoS Saldırı Sonrası Raporu
Sistem Sağlık Raporu