Finsec etkinliği sunumu

1. Serkan Özden
Servis Olarak SOC ve
SIEM

2. Norbury

3. Değişim...

4. Big Data ve IOT Etkisi

5. Siber Tehditler
Securityintelligence.com
DDOS, Malware, SQLi, Misconfigurations,…

6. Target Veri Sızdırma Vakası
(Eylül 2013 – Ocak 2014)
Saldırgan cephesi
Target cephesi
Eylül
2013
12
Kas
Target
PCI-DSS
sertifikasyonu
Saldırganların Fazio hesap
bilgilerini oltalama yöntemi
ile ele geçirmesi
15-28
Kas
30
Kas
2
Ara
12
Ara
15
Ara
19
Ara
10
Oca
Target ağına sızılması
Zararlı yazılımın Target
POS sisteminde test edilmesi
POS zararlı yazılımının tam
faal hale gelmesi
Veri sızdırma yazılımlarının
yüklenmesi
Sızdırme ve zararlı yazılım güncellemesi
İle
kart bilgilerinin sızdırmanın başlaması
Symantec zararlı yazılım aktivitesi
tespiti
İlk FireEye
Alarmlarının tetiklenmesi
Daha fazla FireEye
alarmı
US DoJ Target’taki sızma
vakasını duyurması
Target vakayı onadı,zararlı yazılımları
bertaraf etmeye başlaması
Saldırganların Target ağına
erişimi kaybetmeleri
Target 40M kart bilgisinin
çalındığını duyurması
Target ilave 70Mkart bilgisinin
çalındığını duyurması

7. Bengladeş Merkez Bankası Vakası
(Şubat 2016)
Bangladesh
Central Bank
Federal Reserve
Bank (NY)
Philippine Bank Sri Lanka Bank
Hackers
Saldırganlar Bengladeş
Merkez Bankası sistemlerine
malware yüklemesi
gerçekleştirir. Yüksek olasılıkla
0-gün tipte mail veya web tipi
açıklıktan faydalanılarak
gerçekleştiği
düşünülmektedir.
Malware, yüksek olasılıkla
uzaktan yönetilebilir bir
özelliktedir. Keylogger,
spyware tipi bilgi toplama
yöntemi kullanılır.
Saldırganların uzaktan haftalar
süren incelemeleri ile banka
süreçleri öğrenilmeye çalışılır.
2
Amerika’daki bankalardan çekilecek şekilde
paranın çıkartılma yöntemi belirlenir.
Yüksek olasılıkla FTT (Fedwire Fund
Transfer) servisinin incelenmesi ile.
Bankanın SWIFT hesap bilgileri kullanılarak Sri Lanka ve
Filipinlerde daha önce açılmış olan hesaplara para transferi
gerçekleşir. (Şubat 2016)
Mayıs 2015’te Sri Lanka ve Filipin
Bankalarında sahte banka hesabı açılır
Toplamda 100mio USD Sri Lanka ve Filipinlerdeki
banka hesaplarına ağırlığı Filipinler olmak üzere 5
farklı transfer ile gerçekleştirilir.
3
4
5
7
1
SWIFT transflereri için kullanılan hesap
bilgileri ele geçirilir.8
Fonlar Filipinlerdeki kişisel hesaplara transfer edilmiştir.
Daha sonra iki farklı hesaba konsolide edilip buradan da yurt
dışındaki farklı Casino hesaplarına gönderilir. Filipinlerdeki
hesapların sahibi olan iş adamı daha sonra yapılan
sorgulamada hesapların kendisine ait olmadığını belirtir.
6
Fake
Personal
Accounts
Consolida
tion
Accounts
Outside
Entities
9

8. Yönetim ve İzleme
5 x 8
Tanımlama
Planlama
Tasarım
Kuruluş
7 x 24
Troubleshooting
SIEM
NMS
Olay Yönetimi

9. SOC Mimarisi
Güvenlik Bilgi ve Olay Yönetimi Platformu (SIEM)
( HTTP, SMTP, SNMP, SYSLOG, API, ..)
Güvenlik Sistemleri Sunucu ve Sanallaştırma Sistemleri
Network Cihazları Uygulamalar ( Mail, Veri tabanı, AD, vb..)
İşletmen
Güvenlik Sistemleri Yönetimi
Network Altyapı Yönetimi
Sunucu Sistemleri
Uygulama Yönetimi
7x24 İzleme
Tehdit Analizi ve Yönetimi
Zafiyet Yönetimi
SIEM Yönetimi
Korelasyon Kural Yazım ve
Uygulanması
Flow Analiz
Analist ( Küresel )
Analist
SIEM Mühendisi
SOC Mühendisi
L2
L3
L1
L2 + L3

10. Neden SOC?
Siber güvenlik ürünlerinin
gerçek saldırılar karşısındaki
uyarı ve engelleme kabiliyeti
20%
İç ve dış veya kaynağı
bilinmeyen siber saldırı olayı
yaşanma oranı ( Son 2 yılda)
63%
Zamanında siber saldırıyı
farketme ve önleme oranı5%
Kullanılan siber güvenlik
ürünlerine olan güven 80%
Çalışanların Siber Güvenlik
“teknik farkındalığı”30%
Bir saldırı olsa da konunun
önemi artsa diyenler70%

11. Güvenlik Operasyon Merkezi (SOC)
Temel Standart İleri
Güvenlik cihazlarının Performans ve Trafik izlemesi   
URL izleme   
Güvenlik Cihazlarında Problem Tespiti ve Müdahale*   
Atak Durumlarının Tespit, Takip ve Raporlanması  (SNMP)  
SIEM Sistemi Tasarlanması ve Kurulumu  
Log Kaynaklarının Belirlenmesi ve Entegrasyonu  
Korelasyon Kurallarının Oluşturulması Gold Platin
SIEM İşletimi  
Global Tehdit İstihbarat Servisi Kullanımı Gold Platin
Müşteri Özelinde SIEM ve SOC Danışmanlığı*  
Güvenlik İhlal Durumlarının Detaylı Anlık Analizi 
Zafiyet Tarama ve Flow Analizi Gold Platin

12. Offense (Use Case) Kuralları
12
3. Parti Danışmanlar
(VPN, Proxy, AV)
- Kullanıcı Listesi
- VPN Subnetleri
- Aktivite izleme
POS ve kasa sistemleri
(Firewall, IPS, AV)
- AV statüsü izleme
- Deaktif
- Eski imzalar
Phishing Saldırıları
(Ironport, Symantec.cloud Email Sec, Office 365)
- Phishing Email alan kullanıcılar
- Zararlı sitelere ulaşmaya çalışan kullanıcılar
Sunucu Aktivitelerinin İzlenmesi
(domain üyeleri, IP addresleri, Sunucu isimleri, lokasyonlar)
- AD loğları üzerinden kimlik doğrulama loğlarının
izlenmesi
- AV loğlarından AV statülerinin izlenmesi
- SCCM logları ile uygulama üzerindeki
değişikliklerin izlenmesi
Uzak şube izleme
(AD, LDAP, ACS, MS Office 365, IPS, sunucu loğları)
- Şubelerden çoklu kimlik doğrulama hataları
- Shell bağlantı denemeleri
- Uzak şubelerden tarama aktiviteleri
- Uzak şubeden kaynaklanan SPAM postalar
Kritik zararlı tip programların tespiti
(IIS, Apache HTTP sunucuları, proxy logları, SSL VPN)
- Müşterinin sistemlerindeki ulaşılabilir
zafiyetler
- Kritik malware tool tespiti
Deaktif hesap kullanımı
(AD, LDAP, ACS)
- Deaktif edilen kullanıcılar
- Login olan deaktif kullanıcıların izlenmesi

13. Yaşanmış vaka örneği
13
1
2
3
Vaka: Internet üzerinden şirketin AD sunucusuna bağlantı gerçekleştirilmesi
Zaman: Yeni bir müşterimizin SIEM işletim hizmeti geçiş çalışmaları aşaması
Bir şirket çalışanına ait mail hesabına ait şifrenin brute-force yöntemiyle ele
geçirilmesi
Ele geçirilen hesaba ait şifrenin değiştirilmesi
OWA sunucusuna dışarıdan erişilmesi
4
AD sunucusuna aynı hesapla bağlantı sağlanması

14. Hangi SOC?
HİZMET OLARAK
ALINAN
ÖZKAYNAK VS

15. KURUM KOÇSİSTEM
BORDRO
$
Müşteri 1 Müşteri 2 Müşteri 3 Müşteri 4 Müşteri 5
BORDRO
$
SERVİS
$
SERVİS
$
YEMEK
$
YEMEK
$
YER
MALİYETİ
$
YER
MALİYETİ
$
Y
E
D
E
K
Y
E
D
E
K

16. K
U
R
U
M
K
O
Ç
S
İ
S
T
E
M
Korelasyon Ekibi
Alarm
Alarm Ekibi
Korelasyon
 Korelasyon #1
 Korelasyon #2
 Korelasyon #3
 Korelasyon #4
 Korelasyon #5
 Alarm #1
 Alarm #2
 Alarm #3
 Alarm #4
 Alarm #5
! !! !
 Korelasyon #1 Korelasyon #2 Korelasyon #3 Korelasyon #4 Korelasyon #5  Alarm #1 Alarm #2 Alarm #3 Alarm #4 Alarm #5 Korelasyon #6  Alarm #6

17. Uçtan Uça Yönetim ve Bakım Hizmeti (Güvenlik – Network – Ses)
Geniş kapsamlı yönetilen güvenlik hizmet ürünleri
Öz kaynaklarla yönetilen hizmetler
Türkiye’deki ilk SOC ve küresel iş ortaklıkları ile L3 destek
Internet ve/veya ISP'den bağımsız bir güvenlik hizmeti olması
Güvenlik üreticileri ve ISP’ler ile üst seviye iş ortaklıkları
Güvenlik odağı ile birlikte ulaşılan 100+ YH Müşterisi
Neyi Farklı Yapıyoruz?

18. Hangi üreticilerle çalışıyoruz?

19. Yol Haritamız
• Web Uygulama Güvenlik
Duvarı (WAF)
• Global Yük Dengeleme
• DDoS Atak Önleme
(Uygulama Seviyesi)
• Ağ Erişim Güvenliği (NAC)
• Veritabanı Güvenlik Duvarı
• Log Yönetimi
• Güvenlik Duvarı
• Saldırı Önleme (IPS)
• Yük Dengeleme
• VPN (SSL, Ipsec)
• Web/URL Filtreleme
• Mail Filtreleme/Güvenliği
• Hotspot
• Otomatize Zafiyet
Tarama
• Korelasyon/Olay
Yönetimi (SIEM)
• Otomatize Sızma Testi
Güvenlik
Operasyon
Merkezi (SOC)
• 2016 Planı
• 2017– 2018 Planı
Küresel Güvenlik
Operasyon
Merkezi

20. Nereye Gidiyoruz?
• Büyük Veri daha çok önem kazanacak
• “Internet of Things” ile “Network”
kavramı farklı bir anlam kazanacak ve
sosyal medya güvenlik anlamında
tehditlerin odak noktası haline gelecek
• Kredi kartı hırsızları ‘’Bilgi Tacirleri’’ne
dönüşecek
• MDM Güvenliği ihtiyaç artacak
• Coğrafi yedekli SOC yapılanması
• Güvenlik analizinin odak haline gelmesi
(SOME vb.)
• Veri sızıntıları ve tehditlere istihbarat
servisleriyle ileri seviye entegrasyon
• İç ve dış tehditlere karşı yeni nesil
proaktif yaklaşım (Danışmanlık)
• Küresel ölçekte hizmet vermeye yönelik
yapılanma
Trend KoçSistem SOC

21. Dünyada yapılabilecek en büyük iyilik,
korku içinde yaşayan bir kimseyi
emniyete kavuşturmaktır.
BEYDEBA