3. Amaç
Bu seminer siber güvenlik ve siber savunma ile ilgili güncel bir
problemin çözülmesinde görece yeni, paylaşımcı ve proaktif bir yaklaşım
getiren “Threat Intelligence (Tehdit İstihbaratı)” kavramının:
- Ne olduğuna,
- Neden gerektiğine,
- ve “Açık Kaynak Kod” uygulamalar ile nasıl hayata geçirilebileceğine
değinmektedir.
5. Problem ?
IT altyapılarının gün geçtikte daha kompleks bir hal alması, bu
altyapılarca üretilen veri miktarının da sürekli artmasına ve daha
dinamik bir şekil almasına neden olmaktadır.
Her geçen gün daha hızlı, daha çeşitli ve daha yoğun olarak
üretilebilen bu “veri”, doğru orantılı “transfer” gereksinimleri
nedeniyle ağ trafiğinin de gittikçe daha yoğunlaşması/hızlanması
sonucunu doğurmaktadır.
6. Problem ?
Özetle;
- Herşeyin daha çok, yoğun ve çeşitli olması operasyonel
yönetim anlamında başlı başına bir problemken ( Örn: Patch
Management )
- Odağında bu altyapıları güvenli tutmak ve siber saldırılara
karşı savunmak olan güvenlikçiler için bu “kalabalığın ve
gürültünün” yol açtığı problem daha içinden çıkılmaz bir hal
almaktadır.
7. Problem ?
Bu complexity, istatistiklere
de yansıdığı üzere siber
güvenlik ihlallerinin bırakın
önüne geçilmesini, olduktan
sonra tespit edilebilmesini
bile oldukça
zorlaştırmaktadır.
9. Threat Intelligence
Kurum içi insan kaynağı ile çözülemediği defalarca ispatlanmış bu
problemin adreslenmesine yardımcı olmak ve proaktivite
sağlamak üzere henüz olgunlaşma sürecindeki bir kavram:
“Threat Intelligence”
10. Threat Intelligence
“The set of data collected, assessed and applied regarding
security threats, threat actors, exploits, malware,
vulnerabilities and compromise indicators.”
SANS Institute
11. Threat Intelligence
● Daha önce bilinen kötücül aktivite bilgilerinin paylaşımı:
○ Ip adres
○ Domain
○ URL
○ File Hash
● Henüz olgunlaşma sürecinde,
● 2018 itibari ile 1.5 Milyar dolarlık bir pazar payı öngörülüyor,
12. Threat Intelligence
Paylaşıma dayalı olduğundan dolayı bir çok Open Source Feed’e ulaşmak
mümkündür:
- abuse.ch
- alienvault.com
- badips.com
- osint.bambenekconsulting.com
- binarydefense.com
- blocklist.de
- dshield.org
- hosts-file.net
- isc.sans.edu
13. Threat Intelligence
● Threat Intelligence feed’lerinden sağlanan bilgi ile network
aktivitesinde daha önceden malicious aktivitede kullanılmış
atak vektorleri henüz zarara neden olmadan tespit edilerek
önlem alınabilir.
● Bu anlamda proaktif bir bakış açısı sağlar.
14. Threat Intelligence
● Bu bakış, bir anlamda “topluluk” anlayışına dayalı olduğundan
dolayı feed çeşitliliği günden güne artmaktadır.
● Bir çok büyük firma kendi Threat Intelligence servisini hayata
geçirip kamuya mal etmektedir. ( Bkz: IBM X Force )
15. Threat Intelligence
● Aynı şekilde siz de kendi networkünüzde meydana gelen
malicious aktivite ile ilgili paylaşımda bulunabilirsiniz.
○ Blockladığınız IP adresleri
○ Malware file hash değerleri ( Örn: Cryptolocker )
○ Zararlı içerik yayını yapan URL’ler, Domain’ler.
● En basit indicator paylaşım şekli ⇒ github
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/cruzit_web_attacks.ipset
16. Açık Kaynak Threat Intelligence
Threat Intelligence amaçlı kullanmak üzere bir çok Open Source
Proje bulunuyor.
Pasif network sniffing ile indicator tespiti için en iyi set:
● Suricata + ET Rule Set
17. Açık Kaynak Threat Intelligence
https://rules.emergingthreats.net/open/snort-2.9.0/rules/emerging-compromised.rules
alert tcp
[1.234.27.16,1.34.253.152,1.52.59.143,1.53.4.104,1.9.139.32,1.9.79.191,1.9.79.193,101.100.181.2
44,101.100.181.97,101.200.206.134,101.254.141.27,101.99.31.23,101.99.31.32,103.1.29.157,103
.12.117.42,103.18.1.81,103.19.252.10,103.206.22.48,103.24.244.49,103.243.107.25,103.248.157.
55,103.254.97.27,103.27.236.246,103.31.250.153,103.4.199.230,103.47.136.21,103.54.249.235,1
03.54.250.106,103.54.250.95,104.131.116.227] any -> $HOME_NET any (msg:"ET COMPROMISED
Known Compromised or Hostile Host Traffic TCP group 1"; flags:S; reference:url,doc.
emergingthreats.net/bin/view/Main/CompromisedHosts; threshold: type limit, track by_src,
seconds 60, count 1; classtype:misc-attack; flowbits:set,ET.Evil; flowbits:set,ET.CompIP; sid:
2500000; rev:3918;)
18. Açık Kaynak Threat Intelligence
● Suricata kullanarak file extraction yapabilir, networkte dolaşan
dosyaların md5 hash değerlerini toplayabilirsiniz.
● Daha sonra bu hash değerlerini herhangi bir intel feed’de
sorgulayabilirsiniz.
19. Açık Kaynak Threat Intelligence
- file-store:
enabled: no # set to yes to enable
log-dir: files # directory to store the files
force-magic: yes # force logging magic on all stored files
force-md5: yes # force logging of md5 checksums
- file-log:
enabled: yes
filename: files-json.log
append: yes
force-magic: yes # force logging magic on all logged files
force-md5: yes # force logging of md5 checksums