İstanbul Şehir Üniversitesi - İnternet Üzerinde Anonimlik ve Tespit Yöntemleri - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı - Bilgisayar Adli Analizi Dersi
Hazırlayan: Muhammed Zaid Alperen
Fidye yazılımı, kurbanın dosyalarını şifreleyen kötü amaçlı bir yazılım türüdür. Saldırgan, ödeme yapıldıktan sonra
verilerine tekrar erişebilmesi için kurbandan fidye talep eder.
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
İstanbul Şehir Üniversitesi - Man in-the-browser Saldırılarının Analizi - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Emine Firuze Taytaş
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıSparta Bilişim
Bilişim Teknolojileri alt yapısının güvenliğini sağlamak karmaşık ve genellikle tecrübeli siber güvenlik uzmanlarını ilgilendiren bir konu. Ancak günümüzde ağ güvenliğinin sağlanabilmesi için çok daha fazla kişinin ağ yapısının bileşenlerini anlamaya ihtiyacı oluyor. Bu “Ağ Güvenliği Raporu”nu oluştururken elimizden geldiğince tüm bilişim teknolojisi çalışanlarına ve sistem yöneticilerine uygun bir çalışma ile karşılaşılan riskler konusunda bilgi vermeye ve farkındalık yaratmaya çalıştık.
Unutmayın! Siber saldırılarda her türde ve büyüklükteki işletme risk altındadır ve en zayıf halka insan faktörüdür! Hem teorik hem pratik örneklerle oluşan içeriğiyle bu eğitim, son savunma hattınız olan çalışanlarınızın güncel siber tehditleri daha iyi anlayıp gerekli önlemleri almasını sağlamada çok faydalı olacaktır.
İstanbul Şehir Üniversitesi - İnternet Üzerinde Anonimlik ve Tespit Yöntemleri - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı - Bilgisayar Adli Analizi Dersi
Hazırlayan: Muhammed Zaid Alperen
Fidye yazılımı, kurbanın dosyalarını şifreleyen kötü amaçlı bir yazılım türüdür. Saldırgan, ödeme yapıldıktan sonra
verilerine tekrar erişebilmesi için kurbandan fidye talep eder.
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
İstanbul Şehir Üniversitesi - Man in-the-browser Saldırılarının Analizi - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Emine Firuze Taytaş
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıSparta Bilişim
Bilişim Teknolojileri alt yapısının güvenliğini sağlamak karmaşık ve genellikle tecrübeli siber güvenlik uzmanlarını ilgilendiren bir konu. Ancak günümüzde ağ güvenliğinin sağlanabilmesi için çok daha fazla kişinin ağ yapısının bileşenlerini anlamaya ihtiyacı oluyor. Bu “Ağ Güvenliği Raporu”nu oluştururken elimizden geldiğince tüm bilişim teknolojisi çalışanlarına ve sistem yöneticilerine uygun bir çalışma ile karşılaşılan riskler konusunda bilgi vermeye ve farkındalık yaratmaya çalıştık.
Unutmayın! Siber saldırılarda her türde ve büyüklükteki işletme risk altındadır ve en zayıf halka insan faktörüdür! Hem teorik hem pratik örneklerle oluşan içeriğiyle bu eğitim, son savunma hattınız olan çalışanlarınızın güncel siber tehditleri daha iyi anlayıp gerekli önlemleri almasını sağlamada çok faydalı olacaktır.
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
IDC Security Roadshow etkinliğinde “Yolu Güvenle Geçmek” sunumumuz ile güncel tehditler, 2017 öngörülerimiz ve bunlara yönelik geliştirdiğimiz KoçSistem Toplam Güvenlik Yaklaşımımız ile yer aldık.
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
Bilgi Güvenliği ve Ağ Güvenliği
Ben Kimim ? ? ?
Neler Yaparım
Aldığım Eğitimler ve Sertifikalar
BlinkCursor ??
Konu İçerikleri
Bilgi Güvenliği Kavramı
Bilgi Güvenliğinin Amacı
Tehdit Türleri
Dahili Tehdit Unsurları
Harici Tehdit Unsurları
Saldırı Kavramı
Saldırgan Türleri
Saldırgan Motivasyonu
Ağda Bulunan ve Potansiyel Risk İçeren Sistemler
Saldırı Yöntemleri
Saldırılarda Sıkça Kullanılan Teknikler
Sosyal Mühendislik
Sosyal Mühendislik – Önleme Yöntemleri
Ağ Haritalama
Ağ Haritalamada Ulaşılmak İstenen Bilgiler
Ağ Haritalamada Kullanılan Teknikler
Ağ Haritalama – Önleme Yöntemleri
Uygulama Zayıflıkları
Uygulama Zayıflıkları – Önleme Yöntemleri
Yerel Ağ Saldırıları
Yerel Ağ Saldırılarında Kullanılan Teknikler
Yerel Ağ Saldırıları – Önleme Yöntemleri
Spoofing
Spoofing Teknikleri
Spoofing – Örnek Spoofing İşlemi
Spoofing – Önleme Yöntemleri
Hizmet Aksatma Saldırıları
Dağıtık Hizmet Aksatma Saldırıları
Hizmet Aksatma Saldırıları – Önleme Yöntemleri
Virüs, Worm ve Trojan Tehlikeleri
Virüs, Worm ve Trojan’ları Önleme Yöntemleri
Saldırıya Uğrayabilecek Değerler
Görülebilecek Zararın Boyutu
Güvenlik İhtiyacının Sınırları
Genel Güvenlik Önlemleri
Ağ Güvenlik Duvarı (Firewall)
Internet bağlantısında bir kurumun karşılaşabileceği sorunlar şunlardır;
Bir güvenlik duvarı çözümünde verilebilecek servisler
Paket Filtreleme
Dinamik (Stateful) Filtreleme;
DMZ (Silahtan Arındırılmış Bölge):
Proxy:
Firewall çözümleri:
İçerik Filtreleme (content filtering):
VPN:
Saldırı Tespiti (ID):
Loglama ve Raporlama:
SORULAR ???
Sosyal Medya Hesaplarım:
BENİ DİNLEDİĞİNİZ İÇİN HEPİNİZE ÇOK TEŞEKKÜR EDİYORUM
İletişim veya sorularınız için iletişim adreslerim ;
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Uç nokta güvenliğinin önemi, EPP ve EDR çözümleri,
Microsoft ATA ve osquery gibi yardımcı hızlı araçlar
Hazırlayan: Fevziye Taş, Bilgi Güvenliği Mühendisi
#4G LTE ve 5G gibi yeni nesil iletişim teknolojileri sayesinde IP üzerinden ses ve video iletişiminin artması ile veri zafiyeti ve güvenlik eksikleri, IP altyapısının doğası da düşünüldüğünde, ana endişe konuları haline gelmiştir. IP tabanlı yeni iletişim teknolojileri, tüketicilerin iletişim alışkanlıklarından, kurumların altyapılarına ve iletişim sağlayıcıların iş modellerine kadar kapsamlı bir dönüşüme neden olmaktadır. IP tabanlı bu sistemler, maliyet avantajı, operasyon ve kurulum kolaylığı, lokasyon bağımsızlığı gibi avantajlar getirmesinin yanında ciddi güvenlik risklerini de beraberinde getirmektedir. Bu yüzden güvenli IP iletişiminin en önemli amacı, uygulama seviyesi ataklara yoğunlaşmak olmalıdır. NOVA çözümümüz ile zafiyetleri tespit edip, ataklara karşı önlem alabilir ve güvenli medya iletişimi sağlayabilirsiniz.
6. Target Veri Sızdırma Vakası
(Eylül 2013 – Ocak 2014)
Saldırgan cephesi
Target cephesi
Eylül
2013
12
Kas
Target
PCI-DSS
sertifikasyonu
Saldırganların Fazio hesap
bilgilerini oltalama yöntemi
ile ele geçirmesi
15-28
Kas
30
Kas
2
Ara
12
Ara
15
Ara
19
Ara
10
Oca
Target ağına sızılması
Zararlı yazılımın Target
POS sisteminde test edilmesi
POS zararlı yazılımının tam
faal hale gelmesi
Veri sızdırma yazılımlarının
yüklenmesi
Sızdırme ve zararlı yazılım güncellemesi
İle
kart bilgilerinin sızdırmanın başlaması
Symantec zararlı yazılım aktivitesi
tespiti
İlk FireEye
Alarmlarının tetiklenmesi
Daha fazla FireEye
alarmı
US DoJ Target’taki sızma
vakasını duyurması
Target vakayı onadı,zararlı yazılımları
bertaraf etmeye başlaması
Saldırganların Target ağına
erişimi kaybetmeleri
Target 40M kart bilgisinin
çalındığını duyurması
Target ilave 70Mkart bilgisinin
çalındığını duyurması
7. Bengladeş Merkez Bankası Vakası
(Şubat 2016)
Bangladesh
Central Bank
Federal Reserve
Bank (NY)
Philippine Bank Sri Lanka Bank
Hackers
Saldırganlar Bengladeş
Merkez Bankası sistemlerine
malware yüklemesi
gerçekleştirir. Yüksek olasılıkla
0-gün tipte mail veya web tipi
açıklıktan faydalanılarak
gerçekleştiği
düşünülmektedir.
Malware, yüksek olasılıkla
uzaktan yönetilebilir bir
özelliktedir. Keylogger,
spyware tipi bilgi toplama
yöntemi kullanılır.
Saldırganların uzaktan haftalar
süren incelemeleri ile banka
süreçleri öğrenilmeye çalışılır.
2
Amerika’daki bankalardan çekilecek şekilde
paranın çıkartılma yöntemi belirlenir.
Yüksek olasılıkla FTT (Fedwire Fund
Transfer) servisinin incelenmesi ile.
Bankanın SWIFT hesap bilgileri kullanılarak Sri Lanka ve
Filipinlerde daha önce açılmış olan hesaplara para transferi
gerçekleşir. (Şubat 2016)
Mayıs 2015’te Sri Lanka ve Filipin
Bankalarında sahte banka hesabı açılır
Toplamda 100mio USD Sri Lanka ve Filipinlerdeki
banka hesaplarına ağırlığı Filipinler olmak üzere 5
farklı transfer ile gerçekleştirilir.
3
4
5
7
1
SWIFT transflereri için kullanılan hesap
bilgileri ele geçirilir.8
Fonlar Filipinlerdeki kişisel hesaplara transfer edilmiştir.
Daha sonra iki farklı hesaba konsolide edilip buradan da yurt
dışındaki farklı Casino hesaplarına gönderilir. Filipinlerdeki
hesapların sahibi olan iş adamı daha sonra yapılan
sorgulamada hesapların kendisine ait olmadığını belirtir.
6
Fake
Personal
Accounts
Consolida
tion
Accounts
Outside
Entities
9
8. Yönetim ve İzleme
5 x 8
Tanımlama
Planlama
Tasarım
Kuruluş
7 x 24
Troubleshooting
SIEM
NMS
Olay Yönetimi
9. SOC Mimarisi
Güvenlik Bilgi ve Olay Yönetimi Platformu (SIEM)
( HTTP, SMTP, SNMP, SYSLOG, API, ..)
Güvenlik Sistemleri Sunucu ve Sanallaştırma Sistemleri
Network Cihazları Uygulamalar ( Mail, Veri tabanı, AD, vb..)
İşletmen
Güvenlik Sistemleri Yönetimi
Network Altyapı Yönetimi
Sunucu Sistemleri
Uygulama Yönetimi
7x24 İzleme
Tehdit Analizi ve Yönetimi
Zafiyet Yönetimi
SIEM Yönetimi
Korelasyon Kural Yazım ve
Uygulanması
Flow Analiz
Analist ( Küresel )
Analist
SIEM Mühendisi
SOC Mühendisi
L2
L3
L1
L2 + L3
10. Neden SOC?
Siber güvenlik ürünlerinin
gerçek saldırılar karşısındaki
uyarı ve engelleme kabiliyeti
20%
İç ve dış veya kaynağı
bilinmeyen siber saldırı olayı
yaşanma oranı ( Son 2 yılda)
63%
Zamanında siber saldırıyı
farketme ve önleme oranı5%
Kullanılan siber güvenlik
ürünlerine olan güven 80%
Çalışanların Siber Güvenlik
“teknik farkındalığı”30%
Bir saldırı olsa da konunun
önemi artsa diyenler70%
11. Güvenlik Operasyon Merkezi (SOC)
Temel Standart İleri
Güvenlik cihazlarının Performans ve Trafik izlemesi
URL izleme
Güvenlik Cihazlarında Problem Tespiti ve Müdahale*
Atak Durumlarının Tespit, Takip ve Raporlanması (SNMP)
SIEM Sistemi Tasarlanması ve Kurulumu
Log Kaynaklarının Belirlenmesi ve Entegrasyonu
Korelasyon Kurallarının Oluşturulması Gold Platin
SIEM İşletimi
Global Tehdit İstihbarat Servisi Kullanımı Gold Platin
Müşteri Özelinde SIEM ve SOC Danışmanlığı*
Güvenlik İhlal Durumlarının Detaylı Anlık Analizi
Zafiyet Tarama ve Flow Analizi Gold Platin
12. Offense (Use Case) Kuralları
12
3. Parti Danışmanlar
(VPN, Proxy, AV)
- Kullanıcı Listesi
- VPN Subnetleri
- Aktivite izleme
POS ve kasa sistemleri
(Firewall, IPS, AV)
- AV statüsü izleme
- Deaktif
- Eski imzalar
Phishing Saldırıları
(Ironport, Symantec.cloud Email Sec, Office 365)
- Phishing Email alan kullanıcılar
- Zararlı sitelere ulaşmaya çalışan kullanıcılar
Sunucu Aktivitelerinin İzlenmesi
(domain üyeleri, IP addresleri, Sunucu isimleri, lokasyonlar)
- AD loğları üzerinden kimlik doğrulama loğlarının
izlenmesi
- AV loğlarından AV statülerinin izlenmesi
- SCCM logları ile uygulama üzerindeki
değişikliklerin izlenmesi
Uzak şube izleme
(AD, LDAP, ACS, MS Office 365, IPS, sunucu loğları)
- Şubelerden çoklu kimlik doğrulama hataları
- Shell bağlantı denemeleri
- Uzak şubelerden tarama aktiviteleri
- Uzak şubeden kaynaklanan SPAM postalar
Kritik zararlı tip programların tespiti
(IIS, Apache HTTP sunucuları, proxy logları, SSL VPN)
- Müşterinin sistemlerindeki ulaşılabilir
zafiyetler
- Kritik malware tool tespiti
Deaktif hesap kullanımı
(AD, LDAP, ACS)
- Deaktif edilen kullanıcılar
- Login olan deaktif kullanıcıların izlenmesi
13. Yaşanmış vaka örneği
13
1
2
3
Vaka: Internet üzerinden şirketin AD sunucusuna bağlantı gerçekleştirilmesi
Zaman: Yeni bir müşterimizin SIEM işletim hizmeti geçiş çalışmaları aşaması
Bir şirket çalışanına ait mail hesabına ait şifrenin brute-force yöntemiyle ele
geçirilmesi
Ele geçirilen hesaba ait şifrenin değiştirilmesi
OWA sunucusuna dışarıdan erişilmesi
4
AD sunucusuna aynı hesapla bağlantı sağlanması
15. KURUM KOÇSİSTEM
BORDRO
$
Müşteri 1 Müşteri 2 Müşteri 3 Müşteri 4 Müşteri 5
BORDRO
$
SERVİS
$
SERVİS
$
YEMEK
$
YEMEK
$
YER
MALİYETİ
$
YER
MALİYETİ
$
Y
E
D
E
K
Y
E
D
E
K
16. K
U
R
U
M
K
O
Ç
S
İ
S
T
E
M
Korelasyon Ekibi
Alarm
Alarm Ekibi
Korelasyon
Korelasyon #1
Korelasyon #2
Korelasyon #3
Korelasyon #4
Korelasyon #5
Alarm #1
Alarm #2
Alarm #3
Alarm #4
Alarm #5
! !! !
Korelasyon #1 Korelasyon #2 Korelasyon #3 Korelasyon #4 Korelasyon #5 Alarm #1 Alarm #2 Alarm #3 Alarm #4 Alarm #5 Korelasyon #6 Alarm #6
17. Uçtan Uça Yönetim ve Bakım Hizmeti (Güvenlik – Network – Ses)
Geniş kapsamlı yönetilen güvenlik hizmet ürünleri
Öz kaynaklarla yönetilen hizmetler
Türkiye’deki ilk SOC ve küresel iş ortaklıkları ile L3 destek
Internet ve/veya ISP'den bağımsız bir güvenlik hizmeti olması
Güvenlik üreticileri ve ISP’ler ile üst seviye iş ortaklıkları
Güvenlik odağı ile birlikte ulaşılan 100+ YH Müşterisi
Neyi Farklı Yapıyoruz?
19. Yol Haritamız
• Web Uygulama Güvenlik
Duvarı (WAF)
• Global Yük Dengeleme
• DDoS Atak Önleme
(Uygulama Seviyesi)
• Ağ Erişim Güvenliği (NAC)
• Veritabanı Güvenlik Duvarı
• Log Yönetimi
• Güvenlik Duvarı
• Saldırı Önleme (IPS)
• Yük Dengeleme
• VPN (SSL, Ipsec)
• Web/URL Filtreleme
• Mail Filtreleme/Güvenliği
• Hotspot
• Otomatize Zafiyet
Tarama
• Korelasyon/Olay
Yönetimi (SIEM)
• Otomatize Sızma Testi
Güvenlik
Operasyon
Merkezi (SOC)
• 2016 Planı
• 2017– 2018 Planı
Küresel Güvenlik
Operasyon
Merkezi
20. Nereye Gidiyoruz?
• Büyük Veri daha çok önem kazanacak
• “Internet of Things” ile “Network”
kavramı farklı bir anlam kazanacak ve
sosyal medya güvenlik anlamında
tehditlerin odak noktası haline gelecek
• Kredi kartı hırsızları ‘’Bilgi Tacirleri’’ne
dönüşecek
• MDM Güvenliği ihtiyaç artacak
• Coğrafi yedekli SOC yapılanması
• Güvenlik analizinin odak haline gelmesi
(SOME vb.)
• Veri sızıntıları ve tehditlere istihbarat
servisleriyle ileri seviye entegrasyon
• İç ve dış tehditlere karşı yeni nesil
proaktif yaklaşım (Danışmanlık)
• Küresel ölçekte hizmet vermeye yönelik
yapılanma
Trend KoçSistem SOC
21. Dünyada yapılabilecek en büyük iyilik,
korku içinde yaşayan bir kimseyi
emniyete kavuşturmaktır.
BEYDEBA
Editor's Notes
İsim değişecek
Ön kısma target tarafından bir girizgah eklenecek
Türkçe yapılacak
SOC seviyeleri tablo haline getirilecek
FH
IPS, WAF paylaşımlı 2013 sonu , dedike yönetim verebiliyoruz.