Bilgi sistemlerine yönelik veya bilgi sistemleri kullanılarak işlenen suçlar ve gerçekleştirilen saldırılar bu sistemler üzerinde izler bırakmaktadır. Ayrıca sistem hafızalarında ve ağ üzerinde söz konusu aktivitelere ilişkin canlı analiz ile işlenen suçların izleri gözlenebilmektedir.
Bilgi sistemleri üzerindeki kalıcı ve geçici suç izlerinin elde edilmesi ve analizi için çoğunlukla ticari adli bilişim çözümlerinin kullanılması gerekmektedir. Bunun sebebi incelenecek verilerin çokluğu ve bu büyüklükteki verilerin manuel yöntemlerle makul bir zaman aralığında incelenememesidir.
Ticari çözümler kullanım kolaylığı sağlayabilmek için pek çok teknik detayı kullanıcılardan gizlemektedirler. Ancak kullanıcıların temel teknik bilgilere sahip olmaması uzmanlıklarının sınırlanmasına ve olası problemlere karşı etkili çözümler geliştirememelerine yol açmaktadır.
Bilgi sistemlerine yönelik veya bilgi sistemleri kullanılarak işlenen suçlar ve gerçekleştirilen saldırılar bu sistemler üzerinde izler bırakmaktadır. Ayrıca sistem hafızalarında ve ağ üzerinde söz konusu aktivitelere ilişkin canlı analiz ile işlenen suçların izleri gözlenebilmektedir.
Bilgi sistemleri üzerindeki kalıcı ve geçici suç izlerinin elde edilmesi ve analizi için çoğunlukla ticari adli bilişim çözümlerinin kullanılması gerekmektedir. Bunun sebebi incelenecek verilerin çokluğu ve bu büyüklükteki verilerin manuel yöntemlerle makul bir zaman aralığında incelenememesidir.
Ticari çözümler kullanım kolaylığı sağlayabilmek için pek çok teknik detayı kullanıcılardan gizlemektedirler. Ancak kullanıcıların temel teknik bilgilere sahip olmaması uzmanlıklarının sınırlanmasına ve olası problemlere karşı etkili çözümler geliştirememelerine yol açmaktadır.
BGA eğitmenleri tarafından hazırlanan Beyaz Şapkalı Hacker (CEH) Laboratuvar Kitabıdır. Dokümanı https://www.bgasecurity.com/makale/beyaz-sapkali-hacker-ceh-lab-kitabi/ adresimiz üzerinden indirebilirsiniz.
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
BGA eğitmenleri tarafından hazırlanan Beyaz Şapkalı Hacker (CEH) Laboratuvar Kitabıdır. Dokümanı https://www.bgasecurity.com/makale/beyaz-sapkali-hacker-ceh-lab-kitabi/ adresimiz üzerinden indirebilirsiniz.
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Beyaz Şapkalı Hacker CEH Eğitimi - Aktif Bilgi ToplamaPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
Bilgi Güvenliği ve Ağ Güvenliği
Ben Kimim ? ? ?
Neler Yaparım
Aldığım Eğitimler ve Sertifikalar
BlinkCursor ??
Konu İçerikleri
Bilgi Güvenliği Kavramı
Bilgi Güvenliğinin Amacı
Tehdit Türleri
Dahili Tehdit Unsurları
Harici Tehdit Unsurları
Saldırı Kavramı
Saldırgan Türleri
Saldırgan Motivasyonu
Ağda Bulunan ve Potansiyel Risk İçeren Sistemler
Saldırı Yöntemleri
Saldırılarda Sıkça Kullanılan Teknikler
Sosyal Mühendislik
Sosyal Mühendislik – Önleme Yöntemleri
Ağ Haritalama
Ağ Haritalamada Ulaşılmak İstenen Bilgiler
Ağ Haritalamada Kullanılan Teknikler
Ağ Haritalama – Önleme Yöntemleri
Uygulama Zayıflıkları
Uygulama Zayıflıkları – Önleme Yöntemleri
Yerel Ağ Saldırıları
Yerel Ağ Saldırılarında Kullanılan Teknikler
Yerel Ağ Saldırıları – Önleme Yöntemleri
Spoofing
Spoofing Teknikleri
Spoofing – Örnek Spoofing İşlemi
Spoofing – Önleme Yöntemleri
Hizmet Aksatma Saldırıları
Dağıtık Hizmet Aksatma Saldırıları
Hizmet Aksatma Saldırıları – Önleme Yöntemleri
Virüs, Worm ve Trojan Tehlikeleri
Virüs, Worm ve Trojan’ları Önleme Yöntemleri
Saldırıya Uğrayabilecek Değerler
Görülebilecek Zararın Boyutu
Güvenlik İhtiyacının Sınırları
Genel Güvenlik Önlemleri
Ağ Güvenlik Duvarı (Firewall)
Internet bağlantısında bir kurumun karşılaşabileceği sorunlar şunlardır;
Bir güvenlik duvarı çözümünde verilebilecek servisler
Paket Filtreleme
Dinamik (Stateful) Filtreleme;
DMZ (Silahtan Arındırılmış Bölge):
Proxy:
Firewall çözümleri:
İçerik Filtreleme (content filtering):
VPN:
Saldırı Tespiti (ID):
Loglama ve Raporlama:
SORULAR ???
Sosyal Medya Hesaplarım:
BENİ DİNLEDİĞİNİZ İÇİN HEPİNİZE ÇOK TEŞEKKÜR EDİYORUM
İletişim veya sorularınız için iletişim adreslerim ;
Uç nokta güvenliğinin önemi, EPP ve EDR çözümleri,
Microsoft ATA ve osquery gibi yardımcı hızlı araçlar
Hazırlayan: Fevziye Taş, Bilgi Güvenliği Mühendisi
2. Güvenlik İzleme & Olay Müdahale Yetkilisi @
www.furkancaliskan.com
GCFA, CISA, CISM, 27001 LA
NSM, DFIR, açık kaynak kod, Linux, Python, edebiyat
meraklısı
Öncesi;
TÜBİTAK Kamu SM - Siber Güvenlik Takım Lideri
Ziraat Bankası – BT Müfettişi
Netaş – Linux Sistem Programcısı
Hakkımda
3. Giriş
Neden güvende hissedemiyoruz?
NSM nedir? Neden kaçınılmazdır?
Security Onion
Giriş
Araçlar
Demo
Teşekkürler
İçerik
4. Gelişen siber tehditler
Devlet destekli faaliyetler, ransomware, APT, fileless m/w vs.
False sense of security! (Cahillik, mutluluktur)
SIEM vs. Visibility
Durumsal farkındalık «SA» eksikliği. Büyük yapıların
getirdiği zorluklar. Varlıkları tanımamak. Eksik/hatalı DY.
Ürünlere bağımlı güvenlik anlayışı (IPS ve Antivirüsüm beni
korur)
«Prevention is ideal but detection is must» Eric Cole
Neden güvende hissed(em)iyoruz?
5. Assume breach (Aksini kim iddia edebilir? )
Sistemlerine ait «normal»’i bil.
Sistemlerden toplayabildiğin (ve analiz edebileceğin!)
kadar çok veri topla (Sysmon, DNS, flow, PCAP vs.)
Bunları kaydet, zenginleştir, korele et.
Otomatikleştir!
Anormallikleri sapta
NSM Nedir? CM Nedir?
8. 232.23.54.33’e adresinden bir EXE içeriği indirilmiş (Kaynak: Snort IDS imzası)
İlgili IP için başka Snort IDS alarmları da üremiş (Beaconing, C&C)
Bu IP’yi Bro datası ile zenginleştirsen;
www.sezginler.com.tc/wp-admin/static/muhasebe_v1_FULL.exe
Dosya MD5: 747429a377671f8f0ebbe241694e2683 (Python Virustotal )
EXE dosyası, registry’de ASEP’e yazıyor (Autoruns)
EXE dosyası, açılır açılmaz uzun bir Powershell kodu çalıştırıyor (Sysmon)
domain_stats ile zenginleştirsen;
domain.com 3 gün önce kaydedilmiş
geo_ip ile zenginleştirsen;
Rusya’da shared hosting sağlayan bir firma
İlgili IP, domain ve hash’i OSINT kaynaklara sorduk (Critical Stack vb.) 8/10
Veri zenginleştirme?
9. Eski Mandiant (Fireeye) çalışanlarından Doug Burks
Şirket içi kullanım amaçlı (Mandiant)
Temelde bir entagrasyon projesi
IDS + Bro + PCAP kayıt + endpoint + loglama + analiz
ortamı vb.
Ücretsiz, açık kaynak kodlu
Kurulumu ve kullanımı kolay
10. IDS (Saldırı Tespit Sistemi)
Snort yada Suricata: Talos ruleset, ET ruleset
PCAP kayıt
netsniff_ng
Bro
Trafik analiz aracı ~ IDS
Endpoint
Sysmon + Autoruns + OSSEC
Sguil/Squert
Analiz konsolu
Elsa
Loglama modülü
ELK
Temel Bileşenler
11. 3 mod
Standalone
Sensor
Server
Salt ile merkezi yönetim
Donanım planlaması
En az 2 network interface
Disk
Ram
Daha çok ram ve disk!
‘Production’ ve ‘evaluation’ kurulumlar
Adım adım kurulum rehberi: http://tiny.cc/gazisecon
Kurulum
https://github.com/Security-Onion-Solutions/security-onion/wiki/Hardware
15. Rob Joyce @ NSA//TAO Chief
‘en büyük
kabusumuz, tüm ağ
akışını loglayan ve o
veri içerisinde
anormallik arayan
birilerinin olması’
https://www.youtube.com/watch?v=bDJb8WOJYdA