Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)PRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
Kitabımızın son 4 bölümünü içermektedir.
BÖLÜM 4: MALWARE TEMEL DİNAMİK ANALİZ
• Backdoor Temel Dinamik Analiz
• Kalıcı Meterpreter Dinamik Analiz
• Keylogger Temel Dinamik Analiz
• Reverse Shell Temel Dinamik Analiz
• PMA Lab 03-01 Temel Dinamik Analiz
• PMA Lab 03-02 Temel Dinamik Analiz
• PMA Lab 03-03 Temel Dinamik Analiz
• PMA Lab 03-04 Temel Dinamik Analiz
BÖLÜM 5: ASSEMBLY
• Register Kod Yapısı
• Veri Aktarım Komutları
• Adresleme Modları
• Veri Tanımlamaları
• Kontrol Yapıları ve Döngüler
• String İşlemleri
• Aritmetik Mantık Komutları
• İşletim Sistemi ve BIOS İlişkisi
• Ekran ve Klavye İşlemleri
• Temel Giriş ve Çıkış Teknikleri
• Alt Programlarla Bağlantı Kurma
• Kaydırma ve Yönlendirme İşlemleri
• Aritmetik İşlemler
• Diziler
• Klasör ve Dosya İşlemleri
BÖLÜM 6: İLERİ SEVİYE MALWARE ANALİZ
• IDA ile Disassembly
• Backdoor İleri Seviye Malware Analiz
• IDA Pro ile Keylogger Analiz
• PMA Lab 07-01 Analiz
• PMA Lab 07-02 Analiz
• PMA Lab 07-03 Analiz
• PMA Lab 09-01 Analiz
• PMA Lab 09-02 Analiz
• PMA Lab 09-03 Analiz
BÖLÜM 7: BELLEK DÖKÜM ANALİZİ
• PMA Lab 03-01 Bellek Döküm Analizi
• PMA Lab 03-03 Bellek Döküm Analizi
Beyaz Şapkalı Hacker CEH Eğitimi - Post Exploit AşamasıPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
Kitabımızın ilk 3 bölümünü içermektedir.
BÖLÜM 1: NETWORK FORENSİC
• Port Tarama Trafik Paket Analizi
• Host Keşif Trafik Analizi
• Ağ Trafiğinde Dosya Türleri Tespiti
• HTTP Trafiğinde Filtreler
• HTTP Brute Force Saldırı Analizi
• MITM Saldırı Analizi
• MYSQL Brute Force Saldırı Analizi
• SQL Injection Saldırı Analizi
• Yerel Ağ Sızma Testi Analizi
• Zararlı Dosya Transfer Analizi
• Web Shell Tespiti
BÖLÜM 2: MALWARE KAYNAK KOD ANALİZ
• C Keylogger Kaynak Kod Analizi
• C Reverse Shell Kaynak Kod Analizi
• Python Keylogger Kaynak Kod Analizi
• Python Reverse Shell Kaynak Kod Analizi
BÖLÜM 3: MALWARE TEMEL STATİK ANALİZ
• C Keylogger Temel Statik Analiz
• C Reverse Shell Temel Statik Analiz
• Python Reverse Shell Temel Statik Analiz
• Temel Statik Malware Analiz Teknikleri
• PMA Lab 01-04 Temel Statik Analizi
• PMA Lab 01-02 Temel Statik Analizi
• PMA Lab 01-03 Temel D-Statik Analizi
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
APT (Advanced Persistent Threat - Gelişmiş Devamlı Tehdit) saldırıları konusunda düzenlediğim seminere ait sunumun bir kısmıdır. Sunum içerisinde yer alan konu başlıkları buradadır, sunumun tamamını dağıtımını kontrol edebilmek ve içerisindeki hassas bilgilerin korunması amacıyla paylaşmıyorum.
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)PRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
Kitabımızın son 4 bölümünü içermektedir.
BÖLÜM 4: MALWARE TEMEL DİNAMİK ANALİZ
• Backdoor Temel Dinamik Analiz
• Kalıcı Meterpreter Dinamik Analiz
• Keylogger Temel Dinamik Analiz
• Reverse Shell Temel Dinamik Analiz
• PMA Lab 03-01 Temel Dinamik Analiz
• PMA Lab 03-02 Temel Dinamik Analiz
• PMA Lab 03-03 Temel Dinamik Analiz
• PMA Lab 03-04 Temel Dinamik Analiz
BÖLÜM 5: ASSEMBLY
• Register Kod Yapısı
• Veri Aktarım Komutları
• Adresleme Modları
• Veri Tanımlamaları
• Kontrol Yapıları ve Döngüler
• String İşlemleri
• Aritmetik Mantık Komutları
• İşletim Sistemi ve BIOS İlişkisi
• Ekran ve Klavye İşlemleri
• Temel Giriş ve Çıkış Teknikleri
• Alt Programlarla Bağlantı Kurma
• Kaydırma ve Yönlendirme İşlemleri
• Aritmetik İşlemler
• Diziler
• Klasör ve Dosya İşlemleri
BÖLÜM 6: İLERİ SEVİYE MALWARE ANALİZ
• IDA ile Disassembly
• Backdoor İleri Seviye Malware Analiz
• IDA Pro ile Keylogger Analiz
• PMA Lab 07-01 Analiz
• PMA Lab 07-02 Analiz
• PMA Lab 07-03 Analiz
• PMA Lab 09-01 Analiz
• PMA Lab 09-02 Analiz
• PMA Lab 09-03 Analiz
BÖLÜM 7: BELLEK DÖKÜM ANALİZİ
• PMA Lab 03-01 Bellek Döküm Analizi
• PMA Lab 03-03 Bellek Döküm Analizi
Beyaz Şapkalı Hacker CEH Eğitimi - Post Exploit AşamasıPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
Kitabımızın ilk 3 bölümünü içermektedir.
BÖLÜM 1: NETWORK FORENSİC
• Port Tarama Trafik Paket Analizi
• Host Keşif Trafik Analizi
• Ağ Trafiğinde Dosya Türleri Tespiti
• HTTP Trafiğinde Filtreler
• HTTP Brute Force Saldırı Analizi
• MITM Saldırı Analizi
• MYSQL Brute Force Saldırı Analizi
• SQL Injection Saldırı Analizi
• Yerel Ağ Sızma Testi Analizi
• Zararlı Dosya Transfer Analizi
• Web Shell Tespiti
BÖLÜM 2: MALWARE KAYNAK KOD ANALİZ
• C Keylogger Kaynak Kod Analizi
• C Reverse Shell Kaynak Kod Analizi
• Python Keylogger Kaynak Kod Analizi
• Python Reverse Shell Kaynak Kod Analizi
BÖLÜM 3: MALWARE TEMEL STATİK ANALİZ
• C Keylogger Temel Statik Analiz
• C Reverse Shell Temel Statik Analiz
• Python Reverse Shell Temel Statik Analiz
• Temel Statik Malware Analiz Teknikleri
• PMA Lab 01-04 Temel Statik Analizi
• PMA Lab 01-02 Temel Statik Analizi
• PMA Lab 01-03 Temel D-Statik Analizi
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
APT (Advanced Persistent Threat - Gelişmiş Devamlı Tehdit) saldırıları konusunda düzenlediğim seminere ait sunumun bir kısmıdır. Sunum içerisinde yer alan konu başlıkları buradadır, sunumun tamamını dağıtımını kontrol edebilmek ve içerisindeki hassas bilgilerin korunması amacıyla paylaşmıyorum.
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Siber Olaylara Müdahale ve Hukuki BoyutlarıAlper Başaran
"Hacklendikten sonra yapılacaklar ve kimi mahkemeye verebilirsiniz?"
Bilişim hukuku konusunda uzman Avukat Seval Sönmez Durmuşoğlu'nun katılımıyla düzenlenen webinarda sibr olayların tespiti, müdahale süreçleri ve bazı komutları içeren sunum
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiEPICROUTERS
Bilge Adam Bilgi Teknolojileri Akademisi - Beşiktaş Şube'sinde Sn. Neslihan Türkeri'nin katkıları ile 22.04.2012 tarihinde gerçekleştirilen Ethical Hacking ve Sızma Yöntemleri konu başlıklı eğitime ait etkinlik fotoğrafları ve etkinlik sunumu.
Uluslararası siber savaşlarda kullanılacak en önemli bileşenlerden biri de son kullanıcıların internet bağlantıları için kullandıkları soho modemlerdir. Bu sistemler genellikle aynı özellikleri taşıdığından tespit edilecek bir açıklık tüm ülkeyi etkileyecektir. Sunum süresince böyle bir kitle saldırısının nasıl gerçekleştirileceği, ev kullanıcılarının modemlerini hedef alan bir ar-ge çalışmasının adımları ve sonuçları üzerinden ele alınacaktır. Çalışmanın içeriğindeki ana başlıklar, belli özelliklerdeki hedeflerin belirlenmesi, etkili bir zafiyetin bulunması, gömülü sistemler (MIPS) gibi farklı zorlukları olan platformlar için istismar kodunun yazılması, toplu istismarı gerçekleştirecek betiklerin yazılması, büyük ölçekli taramalar için performans optimizasyonlarının yapılması olarak sayılabilir.
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
Bilgi Güvenliği ve Ağ Güvenliği
Ben Kimim ? ? ?
Neler Yaparım
Aldığım Eğitimler ve Sertifikalar
BlinkCursor ??
Konu İçerikleri
Bilgi Güvenliği Kavramı
Bilgi Güvenliğinin Amacı
Tehdit Türleri
Dahili Tehdit Unsurları
Harici Tehdit Unsurları
Saldırı Kavramı
Saldırgan Türleri
Saldırgan Motivasyonu
Ağda Bulunan ve Potansiyel Risk İçeren Sistemler
Saldırı Yöntemleri
Saldırılarda Sıkça Kullanılan Teknikler
Sosyal Mühendislik
Sosyal Mühendislik – Önleme Yöntemleri
Ağ Haritalama
Ağ Haritalamada Ulaşılmak İstenen Bilgiler
Ağ Haritalamada Kullanılan Teknikler
Ağ Haritalama – Önleme Yöntemleri
Uygulama Zayıflıkları
Uygulama Zayıflıkları – Önleme Yöntemleri
Yerel Ağ Saldırıları
Yerel Ağ Saldırılarında Kullanılan Teknikler
Yerel Ağ Saldırıları – Önleme Yöntemleri
Spoofing
Spoofing Teknikleri
Spoofing – Örnek Spoofing İşlemi
Spoofing – Önleme Yöntemleri
Hizmet Aksatma Saldırıları
Dağıtık Hizmet Aksatma Saldırıları
Hizmet Aksatma Saldırıları – Önleme Yöntemleri
Virüs, Worm ve Trojan Tehlikeleri
Virüs, Worm ve Trojan’ları Önleme Yöntemleri
Saldırıya Uğrayabilecek Değerler
Görülebilecek Zararın Boyutu
Güvenlik İhtiyacının Sınırları
Genel Güvenlik Önlemleri
Ağ Güvenlik Duvarı (Firewall)
Internet bağlantısında bir kurumun karşılaşabileceği sorunlar şunlardır;
Bir güvenlik duvarı çözümünde verilebilecek servisler
Paket Filtreleme
Dinamik (Stateful) Filtreleme;
DMZ (Silahtan Arındırılmış Bölge):
Proxy:
Firewall çözümleri:
İçerik Filtreleme (content filtering):
VPN:
Saldırı Tespiti (ID):
Loglama ve Raporlama:
SORULAR ???
Sosyal Medya Hesaplarım:
BENİ DİNLEDİĞİNİZ İÇİN HEPİNİZE ÇOK TEŞEKKÜR EDİYORUM
İletişim veya sorularınız için iletişim adreslerim ;
Sızma testi kısaca; ağ, sistem ve uygulamaların siber saldırganlar tarafından kullanılan araç ve teknikler kullanılarak test edilmesidir.
Bu sayede var olan güvenlik açıkları ve bunların oluşturduğu tehlikeler önceden tespit edilip gerekli önlemler alınabilmektedir.
Bu dosyada; Sızma testinin amacı, Sızma testi nasıl yapılır, Sızma testinin raporlanması, dikkat edilmesi gereken noktalar, Sızma testi sürecinde yapılması gerekenler, Sızma testi yaklaşımları, Tandem, Zafiyet taraması, Zafiyet yönetimi gibi başlıklara yer verilmektedir.
12.04.2012 Tarihinde Çorlu Namık Kemal Üniversitesi ev sahipliğinde, Gökmen Güreşçi tarafından düzenlenen İnternet Haftası etkinliklerinde LabSec Community olarak yerimizi aldık.
Web Guvenligi Konferansi - Web Hacking YontemleriEPICROUTERS
08 Eylül 2012 tarihinde Haliç Kongre ve Kültür Merkezi'nde gerçekleştirmiş olduğumuz "Web Saldırıları ve Web Güvenliği" konferansında "Web Hacking Yöntemleri" konu başlıklı sunumum.
Fuzzing can be an effecive way to uncover bugs and vulnerabilities. Bug bounty hunters, penetration testers and developers can benefit from this quick and efficient technique.
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
Belediyeler için siber güvenlik önerilerinin yer aldığı bu dosyada yer alan ana başlıklar detaylı olarak incelenmiştir:
- Belediyeler Açısından Siber Güvenlik
- 2018 yılında Belediyelere Yapılan Siber Saldırılar
- Belediyeleri Hedef Alan Siber Saldırıları Türleri
- Belediyelere Yapılan Siber Saldırıların Sıklığı
- Belediyelere Yapılan Siber Saldırılarda Yıllar İçinde Görülen Artış
- Muhtemel bir Siber Saldırı Sonucu Oluşabilecek Zararlar
- Siber Güvenlik Yönetim Stratejisi
- Siber Güvenlik Kontrolleri
Microsoft Windows İşletim Sistemi SıkılaştırmaAlper Başaran
İşletim sistemleri siber saldırganların birincil hedefi. Elimizdeki veriler gösteriyor ki siber saldırganlar en fazla saldırıyı Windows işletim sistemlerine gerçekleştiriliyor.
Sparta işletim sistemi sıkılaştırma hizmeti ile saldırgan faaliyetlere karşı önemli bir tedbir almış olursunuz.
2018 yılında siber saldırganların hedef aldığı sistemlerin %80'i Windows oldu. İşletim sistemi sıkılaştırma proje süreci, çalışma kapsamı, işletim sistemi sıkılaştırma hizmeti alabileceğiniz sistemlerin açıklandığı bir dokümandır.
Tedarikçilerden kaynaklı siber güvenlik risklerinin belirlenmesi konusunda verdiğimiz danışmanlık hizmeti kapsamında düzenlenen 2 günlük çalıştaya ait giriş sunumudur.
RECOVERY: Olay sonrası sistemleri düzeltmekAlper Başaran
Siber saldırıların sayısında görülen artış ve saldırganların beceri düzeyinde gözlemlenen iyileşme sonucunda kuruluşların bir siber güvenlik ihlali yaşama ihtimalleri artmaktadır.
Saldırıyı önlemeye odaklanan siber güvenlik yaklaşımının pek çok kuruluş için yetersiz kaldığını gözlemlediğimiz yüzlerce olay yaşandı ve yaşanmaya devam ediyor. Günümüz şartlarında bir kuruluşun siber güvenlik ihlali yaşaması halinde yapacaklarını bilmesi ve olay sonrası durumunu/sistemlerini düzeltmek için izleyeceği bir metodolojiye sahip olması çok önemlidir.
Bu webinarımızda yaşanması muhtemel bir siber güvenlik olayı sonrasında yapılması gerekenleri ve izlenmesi gereken yolu ele alacağız.
Webinarın amacı
Kuruluş bünyesinde, ağır veya hafif etkili, yaşanacak bir güvenlik ihlali sonrasında izlenebilecek bir yol haritası paylaşmak.
Kimler katılmalı
BT Birim çalışanları ve yöneticileri, risk birimi yöneticileri, SOME (Siber Olaylara Müdahale Ekibi) üyeleri
Kuruluş bünyenizde yaşanması muhtemel bir güvenlik ihlali sonrası atılması gereken adımları hatırlatmak amacıyla hazırlanmış basit bir kontrol listesi.
1. Rusya Kaynaklı Siber Saldırılar
Alper Başaran
alper@sparta.com.tr
www.sparta.com.tr
2. Sparta Bilişim
• 2013 yılından beri siber güvenlik hzimetleri veriyor
• Sızma testleri
• SOC/SOME danışmanlığı
• Yönetilen güvenlik hizmetleri
www.sparta.com.tr
3. Sparta Bilişim
• Yönetilen hizmetler:
• Backup
• Felaket kurtarma
• Fidye yazılım önleme
• Zararlı yazılım önleme
• Zafiyet tarama
• Yama/güncelleme takibi
• URL filtreleme
• E-posta güvenliği
• Balküpü sistem kurulumu
• Ağ tabanlı saldırı tespiti hizmeti
www.sparta.com.tr
4. Konularımız
• Rusya siber saldırıları nasıl kullanıyor?
• Rusya kaynaklı siber saldırı grupları nasıl çalışıyor?
• Bu çerçevede nasıl saldırılar beklenmelidir?
• Siber güvenlik çözümlerini atlatmak için hangi yöntemler kullanılıyor?
• Ağ ve sistemlere sızmış saldırganları nasıl tespit edebiliriz?
• EDR benzeri yeni nesil çözümler nasıl atlatılıyor?
• APT saldırılarına uygun olarak SIEM kuralları nasıl ele alınmalıdır?
• APT saldırılarında kullanılan zararlı yazılımların temel özellikleri nedir?
• Bu çerçevede, siber tehdit istihbaratı nasıl kullanılır?
www.sparta.com.tr
7. Rusya siber saldırıları nasıl kullanıyor?
• Jeopolitik çıkarlarını korumak amacıyla
• Kinetik savaşa destek olarak
• Sadece "siber saldırılar" değil…
www.sparta.com.tr
8. Rusya siber saldırıları nasıl kullanıyor?
• Estonya – 2007: Ülke çapında DDoS
• Gürcistan – 2008: Cumhurbaşkanlığı sitesi
• Kırgısiztan – 2009: Ülke çapında DDoS
• Fransa – 2015: TV5 televizyonu
• Almanya – 2015: Almanya parlementosu
• İngiltere – 2016: Seçim altyapısı
• Güney Kore – 2018: Olimpiyat altyapısı
• Ukrayna…
www.sparta.com.tr
9. Rusya kaynaklı siber saldırı grupları nasıl
çalışıyor?
• Brute force saldırılar
• Hedefli oltalama saldırıları
• Çalıntı kullanıcı bilgileri
• Bilinen zafiyetler
www.sparta.com.tr
10. Rusya kaynaklı siber saldırı grupları nasıl
çalışıyor?
• Keşif
• İlk erişim
• Yetki yükseltme
• Güvenlik çözümü atlatma
• Amaç
www.sparta.com.tr
11. Siber Ölüm Zinciri
Bilgi Toplama
• Pasif bilgi
toplama
• Kuruluş
şemaları
• IP adresleri
• Port
taramaları
• İnternet
servis
sağlayıcısı
bilgileri
• Dışarıya
dönük
sistemler
• ...
Silahlandırma
• İstismar
kodunun
hazırlanması
• Zararlı yazılım
• Ambalaj
Teslimat
• Hedefli
oltalama
saldırısı
(spear
phishing)
• Zararlı içerikli
web sayfası
• İnternet
servis
sağlayıcısı
İstismar
• Kodun
çalıştırılması
• Hedef
sistemle
bağlantı
kurma
• Üçüncü
tarafların
istismarı
Kurulum
• Trojan veya
arkakapı
• Kalıcı erişim
kurabilme
• Yetki
yükseltme
• Kullanıcı
adlarını ve
parolaları
çalma
Komuta ve
kontrol
• Hedefle
iletişim
yolunun
açılması
• Yatay hareket
• İç ağda bilgi
toplama
• Erişimi kalıcı
hale getirme
Hedef üzerinde
işlemler
• Derinleşme
• Bağlantıyı ve
erişimi kalıcı
hale getirecek
ek yöntemler
• Veri sızdırma
1 2 3 4 5 6 7
www.sparta.com.tr
14. Rusya kaynaklı siber saldırı grupları nasıl
çalışıyor?
• Brute force saldırılar (ID: T1110)
• Hedefli oltalama saldırıları (ID: T1566)
• Çalıntı kullanıcı bilgileri (ID: T1589)
• Bilinen zafiyetler (T1190)
www.sparta.com.tr
15. Bu çerçevede nasıl saldırılar beklenmelidir?
Kaynak: https://www.cisa.gov/uscert/sites/default/files/publications/AA22-047A%20Russian%20State-
Sponsored%20Cyber%20Actors%20Target%20CDC%20Networks.pdf
www.sparta.com.tr
16. Bu çerçevede nasıl saldırılar beklenmelidir?
• Aktif APT gruplarının %90'ı ilk erişim vektörü olarak sosyal
mühendislik e-postalarını kullanıyor (maliyet +/- 300 USD)
• "Watering hole attacks" (%14, maliyet +/- 10.000 USD)
• Zeroday zafiyeti (maliyet +/- 1.000.000 USD)
Siz hangisini kullanırdınız?
www.sparta.com.tr
17. Bu çerçevede nasıl saldırılar beklenmelidir?
• APT gruplarının %48'I sızma testi araçları kullanıyor (Cobalt Strike yıllık
3.500 USD)
• Değiştirilmiş Teamviewer (maliyet +/- 100 USD)
• Değiştirilmiş VNC (maliyet +/- 1.000 USD)
• Sysinternals Suite (BEDAVA!)
www.sparta.com.tr
18. Bu çerçevede nasıl saldırılar beklenmelidir?
• https://mitre-attack.github.io/attack-navigator/
www.sparta.com.tr
21. Siber güvenlik çözümlerini atlatmak için hangi
yöntemler kullanılıyor?
• Kullanıcı hesapları
• Microsoft, vb. "legal" yazılımlar
• Gelişmiş zararlı yazılımlar
• Hazır zararlı yazılımlar (Örn. Cobalt Strike)
www.sparta.com.tr
22. Bu çerçevede, siber tehdit istihbaratı nasıl
kullanılır?
• Kullanılmaz
• Kullanılamaz
• Kullanılabilemez
• Beyhudedir…
www.sparta.com.tr
23. Bu çerçevede, siber tehdit istihbaratı nasıl
kullanılır?
• Siber tehdit istihbaratı size ne sağlar?
• Çalınan kullanıcı bilgileri
• Saldırgan IP adresleri
• Saldırgan IoCleri
www.sparta.com.tr
24. Bu çerçevede, siber tehdit istihbaratı nasıl
kullanılır?
• Siber tehdit istihbaratı size ne sağlar?
• Çalınan kullanıcı bilgileri
• Saldırgan IP adresleri
• Saldırgan IoCleri
• Cobalt Strike
• Malleable C2 Profiles
www.sparta.com.tr
25. Bu çerçevede, siber tehdit istihbaratı nasıl
kullanılır?
• Cobalt Strike
• Malleable C2 Profiles
www.sparta.com.tr
26. APT saldırılarına uygun olarak SIEM kuralları
nasıl ele alınmalıdır?
• Sigma kuralları: https://github.com/SigmaHQ/sigma
www.sparta.com.tr
27. APT saldırılarına uygun olarak SIEM kuralları
nasıl ele alınmalıdır?
• Yara kuralları: https://github.com/Yara-Rules/rules
www.sparta.com.tr
28. APT saldırılarına uygun olarak SIEM kuralları
nasıl ele alınmalıdır?
• Yara kuralları: https://github.com/Yara-Rules/rules
www.sparta.com.tr
29. Ağ ve sistemlere sızmış saldırganları nasıl
tespit edebiliriz?
• Örn: Emotet ve Cobalt Strike trafik incelemesi
www.sparta.com.tr
30. Ağ ve sistemlere sızmış saldırganları nasıl
tespit edebiliriz?
• Tehdit avcılığı sayesinde
• Tehdit avcılığı: "Mevcut güvenlik çözümlerini atlatmış olabilecek
zararlı yazılım ve/veya siber saldırganları yakalamak amacıyla; insan
tarafından, proaktif ve tekrar eden inceleme süreçleri."
www.sparta.com.tr
31. Tehdit avcılığı temel gereksinimler
• Reaktif siber güvenlik tedbirleri
• SIEM, IPS, vb. otomatik tespit tedbirleri
• "Savunulabilir network yapısı"
• Ağ, sistem ve uygulama loglarının toplanması
www.sparta.com.tr
32. Tehdit avcılığı temel gereksinimler
• Merkezi bir log yapısının oluşturulması (proxy, firerwall, switch, Active
Directory, vs.)
• Alarmların incelenmesi için gerekli süreçlerin oluşturulması
• Zafiyet ve "siber tehdit istihbaratı"
www.sparta.com.tr
33. Tehdit avcılığı temel gereksinimler
• Metrikler:
• Alarm sayısı ve önem derecesi
• Olay ile olayın tespiti arasaında geçen süre
• Doldurulan "tespit boşluğu" sayısı
• Doldurulan "loglama boşluğu" sayısı
• Tespit edilen ve giderilen zafiyet sayısı
www.sparta.com.tr
34. Siber Ölüm Zinciri
Bilgi Toplama Silahlandırma Teslimat İstismar Kurulum
Komuta ve
kontrol
Hedef üzerinde
işlemler
1 2 3 4 5 6 7
www.sparta.com.tr
35. Siber Ölüm Zinciri
Bilgi Toplama Silahlandırma Teslimat İstismar Kurulum
Komuta ve
kontrol
Hedef üzerinde
işlemler
1 2 3 4 5 6 7
www.sparta.com.tr
36. Siber Ölüm Zinciri
Bilgi Toplama Silahlandırma Teslimat İstismar Kurulum
Komuta ve
kontrol
Hedef üzerinde
işlemler
1 2 3 4 5 6 7
www.sparta.com.tr
• Zararlı yazılım trafiği
• Pass-the-Hash
• DNS tünelleme
• vs…
37. Tehdit avcılığı temel gereksinimler
• Takvim
• Hangi inceleme, ne zaman yapılacak?
• İncelemeye nereden başlanacak?
• Örn:
• 2 haftada 1 yüksek etkisi olacak olaylar
• Ayda 1 orta etkisi olacak olaylar
www.sparta.com.tr
38. Tehdit avcılığı temel gereksinimler
• Neler arayacağız?
• Sistem keşif çalışmaları
• Yerel ağ keşif çalışmaları
• Kalıcı olmaya yönelik çalışmalar
• Komuta sunucusu trafiği
• Yatay hareketler
• Veri sızdırma işlemleri
www.sparta.com.tr
44. Sorular…
• Ülkemiz de Ruslarla benzer şekilde çalışıyor mu? Yerli APT grupları var
mı?
www.sparta.com.tr
45. Sorular…
• Ülkemiz de Ruslarla benzer şekilde çalışıyor mu? Yerli APT grupları var
mı?
www.sparta.com.tr
46. Sorular…
• Sizce Ruslar nükleer santralde ileride saldırı için backdoor yada sıfırınci
gün için açık bırakırlar mı?
www.sparta.com.tr
47. Sorular…
• İnternete açık servislerde (Exchange, iis vb.) bu saldırılara karşı nasıl
ek önlemler almalıyız.
www.sparta.com.tr
48. Sorular…
• KOBİ'ler bu tür siber saldırılardan nasıl korunur. Hangi tür IT
yatırımlarına kaynak ayırmalıdır? Siber güvenlik önlemlerine ait
yatırımların amortismanı hesaplanabilir mi? Makul yatırım seviyeleri
nedir?
www.sparta.com.tr