24. Rakamlar...
• Siber
saldırının
tespit
edilmesi
ortalama
220
gün
• Sistemlerin
temizlenmesi
ortalama
180
gün
• 3
olaydan
2’si
dışarıdan
öğreniliyor
• İlk
saldırı
=
t0
+
7
dakika
www.alperbasaran.com
30. Örnek
Savunma
Senaryosu
@basaranalper
|
www.alperbasaran.com
hpp://www.abc.com
Firewall
Kaynak
IP,
Hedef
IP,
Port
Kaynak
IP:
192.168.10.1
Hedef
IP:
10.10.11.11
Port:
80
32. Örnek
Savunma
Senaryosu
@basaranalper
|
www.alperbasaran.com
hpp://www.abc.com
IPS/IDS
XSS
=
<script>alert(‘XSS’)</script>
33. Örnek
Savunma
Senaryosu
@basaranalper
|
www.alperbasaran.com
hpp://www.abc.com
IPS/IDS
XSS
=
<script>alert(‘XSS’)</script>
<IMG
SRC=javascript:alert('XSS')>
34. Yeni
Güvenlik
Doktrini
• Savunma
haUnın
geçilebileceğini
kabul
etmemiz
gerek
• Önlemeye
çalışmak
kadar
tespit
etmeye
de
çaba
harcamalıyız
İlk
saldırı
Erişimi
Koruma
Yayılma
Süre:
Saniye/dakika
Süre:
Saat/gün
Süre:
Gün/Haza/ay
36. APT
Saldırıları
ve
Mevcut
Güvenlik
1
milyon
TL’yi
korumak
için
1
milyon
TL
harcar
mısınız?
www.alperbasaran.com
37. Siber
Saldırı
Düşük
Riskli
bir
İş
2011
yılında
A.B.D.’de
ortalama
banka
soygunu
$8,450
kazandırdı
www.alperbasaran.com
38. Suç
İşlemek
ve
Risk
www.alperbasaran.com
Risk
Kazanç
Kazanç
Risk
39. Siber
Ölüm
Zinciri
Bilgi
Toplama
• Pasif
bilgi
toplama
• Kuruluş
şemaları
• IP
adresleri
• Port
taramaları
• İnternet
servis
sağlayıcısı
bilgileri
• Dışarıya
dönük
sistemler
• ...
Silahlandırma
• İs3smar
kodunun
hazırlanması
• Zararlı
yazılım
• Ambalaj
Teslimat
• Hedefli
oltalama
saldırısı
(spear
phishing)
• Zararlı
içerikli
web
sayfası
• İnternet
servis
sağlayıcısı
İs3smar
• Kodun
çalış€rılması
• Hedef
sistemle
bağlan€
kurma
• Üçüncü
tarafların
is3smarı
Kurulum
• Trojan
veya
arkakapı
• Kalıcı
erişim
kurabilme
• Yetki
yükseltme
• Kullanıcı
adlarını
ve
parolaları
çalma
Komuta
ve
kontrol
• Hedefle
ile3şim
yolunun
açılması
• Yatay
hareket
• İç
ağda
bilgi
toplama
• Erişimi
kalıcı
hale
ge3rme
Hedef
üzerinde
işlemler
• Derinleşme
• Bağlan€yı
ve
erişimi
kalıcı
hale
ge3recek
ek
yöntemler
• Veri
sızdırma
1
2
3
4
5
6
7
40. Siber
Saldırı
• 1.
adım:
Hazırlık
– Hedef
seçimi
– Destek
olabilecek
kişi/örgütlerin
bulunması
– Araçları
seçmek
veya
yapmak
– Hedef/altyapı/personel
araş€rmaları
– Tespit
edilip
edilmediğini
test
etmek
www.alperbasaran.com
41. Siber
Saldırı
• 2.
adım:
Saldırı
– Saldırının
başlaması
– İlk
sızma
– Dışarıya
doğru
bağlan€nın
kurulması
www.alperbasaran.com
45. Siber
Saldırı
• 4.
adım:
Kalıcı
Olmak
– Öncelik
an3virüse
yakalanmamak
– Birden
fazla
sistemi
ele
geçirmek
– Zaman
ayarlı
ile3şim
kanalları
gizlemek
www.alperbasaran.com
49. Siber
Saldırı
• 6.
adım:
Görünmezlik
– İzleri
silme
– Mümkün
olduğunca
uzun
süre
gizlenme
www.alperbasaran.com
50. APT
Cephesinden
• İş
ortaklarından
birinin
sistemindeki
açık
nedeniyle
muhasebe
yazılımına
müdahale
edildi:
5.4
milyon
TL
çalındı.
• Banka:
9.5
milyon
TL
çalındı
www.alperbasaran.com
51. Olay
1
1. Web
sayfasındaki
SQL
İnjec3on
is3smar
edildi
2. Aynı
sunucuda
bir
paylaşım
klasörü
varmış
3. Bu
klasördeki
dosyalara
arka
kapı
yerleş3rildi
4. Arka
kapı
devreye
girince
(1
haza+
süre)
yerel
ağa
sızıldı
5. Hedef
şirketle
olan
VPN
bağlan€sı
kullanıcısı
ele
geçirildi
6. VPN
üzerinden
hedef
şirket
ağına
ulaşıldı,
çeşitli
kullanıcı
bilgileri
ele
geçirildi
7. Yetkili
kullanıcı
hesapları
ile
muhasebe
veritabanının
yedeği
ele
geçirildi
8. Yedek
üzerinde
yapılan
incelemeler
banka
ile
entegre
elektronik
ödeme
sisteminin
yapısını
ortaya
koydu
9. Ödeme
sistemine
müdahale
ederek
5.4
Milyon
TL’lik
ödemenin
kendilerine
yapılmasını
sağladılar
www.alperbasaran.com
52. Olay
2
1. Finans
haberleri
sitesinden
“drive-‐by-‐download”
ile
zararlı
yüklendi
2. Zararlı
yazılım
“finans
konularına
meraklı”
IP
adreslerinin
listesini
çıkarU
3. Hacker
1
bu
bilgiyi
Hacker
2
ile
paylaş€
4. Hacker
2
bu
IP
adreslerinin
bankalarla
ilişkilerini
araş€rdı
5. Uygun
gördüğü
IP
adreslerine
RAT
yüklenmesi
için
Hacker
1’e
para
ödedi
6. RAT
ile
iç
ağa
erişebilen
Hacker
2
banka
personelinin
bilgisayarını
ele
geçirdi
7. Hacker
2
banka
DC’de
yetkili
kullanıcı
oldu
8. Banka
içerisinde
para
transferi
işlemi
yapan
personelin
ekran
ve
klavye
kayıtları
alındı
9. Kayıtlara
bakılarak
para
transfer
işlemi
yapıldı
www.alperbasaran.com
55. Bilgi
(Threat
Intel)
• USOM
• Özel
şirketler
• Uluslararası
listeler
www.alperbasaran.com
56. Zafiyet
Yöne3mi
Programı
• Sistem
envanterini
çıkartmak
– Listele
– Grupla
– Önceliklendir
• Zafiyet,
çözüm
ve
tehditleri
takip
etmek
– Üre3ci
siteleri
– Güvenlik
siteleri
– Mail
grupları
– Zafiyet
tarayıcıları
– Zafiyet
veritabanları
– Yama
yöne3mi
yazılımları
www.alperbasaran.com
57. Zafiyet
Yöne3mi
Programı
• Zafiyetleri
önceliklendir
– Erişilebilir
sistemleri
belirle
– İs3smar
olup
olmadığını
tespit
et
– Riskleri
değerlendir
• Kuruluşa
özel
zafiyet
müdahale
sistemi
geliş3r
• Çözümleri
test
et
– Yamaları/Güncellemeleri
AV
ile
kontrol
et
– Örnek
sistemler
üzerinde
test
et
www.alperbasaran.com
58. Zafiyet
Yöne3mi
Programı
• Çözümü
uygula
(yama/güncelleme)
– Kur
– Ayarla
– Sil/kaldır
• Otoma3k
yama
yöne3mi
• Otoma3k
güncelleme
• Zafiyet
taramaları
ile
çözümleri
kontrol
et
www.alperbasaran.com
59. Zafiyet
Taraması
• Ağ
üzerindeki
sistemleri
belirler
• Çalışan
ve
zafiyet
içeren
servisleri
tespit
eder
• Bilinen
zafiyetleri
listeler
• Uyumluluk
kontrollerini
yapar
www.alperbasaran.com
60. Zafiyet
Yöne3mi
Envanter
çıkart
Zafiyet/
tehditleri
sürekli
izle
Yama/
güncellemeleri
önceliklendir
Yama/
güncellemeleri
test
et
Yama/
güncellemeleri
uygula
Sonucu
kontrol
et
www.alperbasaran.com
61. Siber
Güvenlik
Poli3kası
@basaranalper
|
www.alperbasaran.com
Siber
Güvenlik
Davranışlar
Güvenlik
Hedefleri
Siber
Güvenlik
Poli3kası
62. Poli3kalar
• Kabul
edilebilir
kullanım
poli3kası
• İnternet
erişim
poli3kası
• E-‐posta
ve
ile3şim
poli3kası
• Ağ
güvenliği
poli3kası
• Uzaktan
erişim
poli3kası
• Şifreleme
poli3kası
• Gizlilik
poli3kası
@basaranalper
|
www.alperbasaran.com
63. Siber
Güvenlik
Poli3kası
• Örnekler:
– Veri
Tabanı
güvenliği
poli3kası
– Log
tutma
poli3kası
– Sunucu
güvenliği
poli3kası
– Yazılım
kurulumu
poli3kası
@basaranalper
|
www.alperbasaran.com
64. Siber
Güvenlik
Poli3kası
• Örnekler:
• Veri
Tabanı
güvenliği
poli3kası
– Bu
poli3ka
merkezi
veri
tabanına
erişecek
uygulamaların
tamamını
kapsar
– Veri
tabanına
erişim
parola
ile
yapılır,
hiç
bir
şekilde
parola
me3n
olarak
kodun
içerisinde
yer
alamaz
@basaranalper
|
www.alperbasaran.com
65. Siber
Güvenlik
Poli3kası
• Örnekler:
• Log
tutma
poli3kası
– Bu
poli3ka
ağa
bağlı
bütün
sistemler
için
geçerlidir
– Tutulan
loglar
aşağıdaki
soruları
cevaplar:
• Ne
yapılmış?
• Kim
veya
ne?
• Ne
zaman
yapılmış?
• Sonuç
ne
olmuş?
– Logu
tutulacak
olaylar:
– Log
kayıtlarında
bulunması
gerekenler:
– Logların
kayıt
ve
saklanma
şartları
@basaranalper
|
www.alperbasaran.com
67. Sunucuları
koruyun
• Sunucu
kurulum
kontrol
listesi
• Sunucu
baseline
• Sunucu
listesi
• Sunucu
sahibi
• Ağ
bağlan€sı
• Yama
yöne3mi
@basaranalper
|
www.alperbasaran.com
68. Sunucuları
koruyun
• AV
• Elektrik
• Kullanılmayan
servislerin
kaldırılması
• Yedek
alınması
• Zafiyet
taraması
• Onay
ile
açılması
@basaranalper
|
www.alperbasaran.com
69. Siber
Güvenlik
Poli3kası
• Örnekler:
• Sunucu
güvenliği
poli3kası
– Bu
poli3ka
kurumsal
ağda
kullanılacak
sunucuların
temel
özelliklerini
(baseline)
belirler
– Her
sunucunun
bir
sahibi
olmalıdır
– Sistemler
arasında
güvene
dayalı
ile3şim
yasak€r
– Sunucuların
bulunduğu
alana
giriş
denetlenmelidir
– Sistem
odası
dışında
sunucu
çalış€rmak
yasak€r
@basaranalper
|
www.alperbasaran.com
70. Siber
Güvenlik
Poli3kası
• Örnekler:
• Yazılım
kurulumu
poli3kası
– Çalışanlar
şirket
ağına
bağlı
bilgisayarlara
yazılım
yükleyemez
– Bu
poli3ka
masaüstü,
taşınabilir
bilgisayar,
tablet
bilgisayar,
akıllı
telefon
benzeri
cihazların
tamamını
kapsar
@basaranalper
|
www.alperbasaran.com
71. Siber
Güvenlik
Poli3kası
• Genel
• Amaç
• Kapsam
• Poli3ka
• Uyumluluk
• Bağlı
standartlar
@basaranalper
|
www.alperbasaran.com
73. Olay
Tespi3
• Olay
tespiE
ve
analizi
için:
– Ağ
ve
sistemleri
profilleyin
– Normal
davranışları
belirleyin
– Log
tutma
poli3kası
oluşturun
– Olay
korelasyonu
yapın
– İstemci
saatlerini
senkronize
edin
– Bilgi
birikimini
kullanılabilir
halde
tutun
74. Olay
Tespi3
• Olay
tespi3
ve
analizi
için:
– Araş€rın
– Ek
bilgi
toplamak
için
paket
yakalama
yazılımı
kullanın
– Veriyi
filtreleyin
– Destek
alın
75. Olay
tespi3
• “Öncü”
kabul
edilebilecek
belir3ler
– Birçok
saldırının
“öncü”
belir3si
olmaz
– Zafiyet
tarama
yazılımı
kullanıldığını
gösteren
web
sunucusu
logları
– Kurum
envanterinde
bulunan
sistemlere
ilişkin
yeni
zafiyetlerin
duyurulması
– Siyasi
gruplardan
tehdit
almak
76. Olay
tespi3
• Saldırı
belir3lerinden
bazıları:
– SIEM
alarmları
– IDS/IPS
alarmları
– An3virüs
yazılımının
zararlı
yazılım
tespit
etmesi
– Farklı
karakterlerle
yazılmış
dosya
adı
– İstemcilerden
birinde
konfigürasyon
değişikliği
– Uzak
bir
sistemden
yapılan
başarısız
giriş
denemeleri
– Normal
ağ
trafiğinin
dışında
trafik
77. Olay
tespi3
• Saldırı
belir3lerinden
bazıları:
– SIEM
alarmları
Firewall
IDS
Sunucu
Switch
AV
Uygulama
Router
Config
OLAY
78. Olay
tespi3
• Bildirilmesi
gereken
olaylar:
Personel
için
Örnekler
– Başkalarına
ait
görmemeniz
gereken
bilgileri
görmek
– Bilgisayarınız
“garip”
davranıyor
– E-‐posta
ile
kişisel
bilgilerinizi
istediler
– Hesaplarınıza
başkasının
erişebildiğini
düşünüyorsunuz
– Hesap
bilgilerinizi
isteyen
bir
e-‐postaya
cevap
verdiniz
– Güvenlik
tedbirlerini
atlatmanın
bir
yolunu
buldunuz
79. Olay
tespi3
• Bildirilmesi
gereken
olaylar:
Üçüncü
Taraflar
için
Örnekler
– Kamuya
açılan
bilgilerde
özel/kişisel
veriler
var
– Kurumdan
gönderilen
bir
e-‐posta
ile
kişisel
bilgileriniz
istendi
– Kurum
IP
adreslerinden
size
bir
saldırı
yapıldı
– IP
adreslerimiz
bir
DoS/DDoS
saldırısına
karış€
– Sistemlerimizde
bir
zafiyet
buldunuz
80. Müdahale
• Olay
dokümantasyonu
– Olayın
durumu
(yeni,
takip,
çözüldü,
vb.)
– Olayın
öze3
– Olayın
göstergeleri
– Olayla
bağlan€lı
olaylar
– Müdahale
için
yapılanlar
– Olayın
etki
analizi
– İlgili
kişilerin
ile3şim
bilgileri
– Toplanan
kanıtlar
– Müdahalecilerin
yorumları
– A€lması
gereken
adımlar
81. Müdahale
• Kontrol
alJna
alma
yönteminin
seçilmesi
– Kaynakların
çalınması
ve
olası
zararlar
– Kanıtları
saklama
gereksinimi
– Hizmet
verebilirlik
(ağ
bağlan€sı,
üçüncü
taraflara
verilen
hizmetler,
vb.)
– Strateji
yürürlüğe
koymak
için
ih3yaç
duyulan
zaman
ve
kaynaklar
– Stratejinin
etkinliği
(olayı
tamamen
veya
kısmen
kontrol
al€na
alma)
– Çözüm
süresi
(Örneğin;
acil
durum
çözümü
4
saat,
geçici
çözüm
iki
haza
içerisinde
devreden
çıkar€lıp
kalıcı
çözüme
geçilir)
82. Müdahale
• Olay
konusunda
bilgilendirme:
– Kurumdan
kuruma
ve
yasal
zorunluluklara
göre
değişebilir
– Genel
olarak;
• Bilgi
işlem
yöne3cileri,
Güvenlik
sorumlusu,
(varsa)
diğer
SOME’ler,
İK
birimi
(personelle
ilgiliyse),
hukuk
birimi,
USOM,
vb...
83. Müdahale
• Sınırlandırma,
temizleme
ve
geri
dönme
– Kanıt
toplama
ve
düzenleme
• Tespit
etmeye
yardımcı
bilgiler
(IP
adresi,
MAC
adresi,
seri
numarası,
port
bilgisi,
istemci
adı,
vb.)
• Olay
sırasında
kanıtları
toplayanların
isim
ve
ile3şim
bilgileri
• Tarih
ve
saat
bilgileri
• Kanıtların
tutulduğu
yer
Kanıt
toplama
konusunda
NIST
SP
800-‐86
yol
gösterebilir
84. Müdahale
• Sınırlandırma,
temizleme
ve
geri
dönme
– Saldıran
tespi3
• Saldırgan
IP
adresin
tespit
edilmesi
• Saldıranı
arama
motorlarından
sorgulamak
• Olay
veritabanlarını
kullanmak
• Olası
saldırgan
ile3şim
yöntemlerini
izlemek
85. Müdahale
• Sınırlandırma,
temizleme
ve
geri
dönme
– Temizleme
ve
geri
dönme
• Kademeli
yaklaşım
izlenmeli
– Sistemleri
çalışır
hale
ge3r
– Zafiyetleri
gider
– Güvenlik
önlemlerini
sıkılaş€r
– Toplanan
logların
iyileş3rilmesi
86. Olay
Sonrası
• Çıkar€lan
dersler:
– Tam
olarak
ne
oldu?
– Olaya
müdahale
uygun
muydu?
– Hangi
bilgilere
daha
erken
sahip
olunmalıydı?
– Geri
dönmeyi
kolaylaş€rabilecek
adımlar
a€labilir
miydi?
– Benzer
bir
olayın
tekrarında
neyi
farklı
yapmalıyız?
– Bilgi
paylaşımı
ve
ile3şim
iyileş3rilebilir
mi?
– Benzer
olayların
yaşanmasını
nasıl
engelleriz?
– Benzer
olayları
önceden
tespit
etmemizi
sağlayacak
göstergeler
var
mıydı?
– Benzer
olaylarda
ih3yaç
duyacağımız
ek
yazılım/donanım
ve
eği3mler
nelerdir?
87. Olay
Sonrası
• SOME
etkinlik
göstergeleri:
– Müdahale
edilen
olay
sayısı
– Olay
başına
harcanan
süre
– Müdahale
sürecinin
objek3f
değerlendirmesi
(kayıtların
gözden
geçirilmesi)
– Müdahale
sürecinin
sübjek3f
değerlendirmesi
(SOME
üyeleri
ve
hedef
sistem
sahibinin
görüşleri)
89. Hacker
Türleri
• Siyah
Şapkalı
• Beyaz
Şapkalı
• Gri
Şapkalı
• Hack3vist
@basaranalper
|
www.alperbasaran.com
90. Siber
Saldırgan
Profilleme
• Egemen
uluslar
• Suç
örgütleri
ve
suçlular
• Hack3vistler
• İç
tehditler
• Yetersiz
ürün
ve
hizmetler
@basaranalper
|
www.alperbasaran.com
91. Siber
Saldırgan
Profilleme
• Egemen
uluslar
– “Çöl
Fır€nası”
dönüm
noktasıdır
– Düşman
hatlarının
gerisindeki
teknoloji
savaş
aracı
olarak
kullanıldı
– “Savaş”
fikri
gelişmeye
başladı
– Siber
ordular
kuruldu
@basaranalper
|
www.alperbasaran.com
92. Egemen
uluslar
– Siber
uzayda
ülke
çıkarlarının
korunması
– Siber
uzayda
is3harat
toplamak
– Kine3c
savaşı
siber
savaşla
desteklemek
– Büyük
ordular:
• Çin
• A.B.D.
• Rusya
• İsrail
• İran
@basaranalper
|
www.alperbasaran.com
93. Siber
Saldırgan
Profilleme
• Suçlular
ve
Suç
Örgütleri
– İnterpol
rakamlarına
göre
küresel
siber
suçlar;
• 2008
yılında:
8
Milyar
A.B.D.
Doları
• 2013
yılında:
100
Milyar
A.B.D.
Doları
• Siber
suçlular
holding
ölçeğinde
personel
ve
teknoloji
kaynağına
sahip
• FBI’ın
kongreye
verdiği
bir
raporda
“10
yıllık
ve
1
Milyar
dolarlık”
bir
Ar-‐Ge
projesinin
1
gecede
çalındığı
yazıyor
• Botnet
kiralamak,
özel
is3smar
kodları
yazmak,
saldırıya
veya
hedefe
özel
is3smar
araçları
geliş3rmek...
@basaranalper
|
www.alperbasaran.com
94. Siber
Saldırgan
Profilleme
• Hack3vist
• Anonymous
ve
Redhack
• LoIC
• Önemli
sorular:
– Hack3vist
saldırısına
hazır
mıyız?
– Personelimizin
arasında
bu
yapılara
sempa3
duyanlar
var
mı?
– Varsa
buna
karşı
da
hazır
mıyız?
@basaranalper
|
www.alperbasaran.com
95. Siber
Saldırgan
Profilleme
• İç
Tehdit:
• Dışarıdan
saldıranı
tespit
etmek
kolaydır
• İçeriden
gelecek
saldırılara
karşı
savunma
haU
kurulmalıdır
• Sadece
kötü
niyetli
personel
değil
• Kurbanlar
da
iç
tehdit
haline
gelir
@basaranalper
|
www.alperbasaran.com
96. Siber
Saldırgan
Profilleme
• Yetersiz
ürün
ve
hizmet
• İnsan
tek
hata
faktörü
değildir
• Sahte/yetersiz/eksik/yanlış/uygun
olmayan
ürünler
tehdit
oluşturuyor
• Doğru
ürün
yanlış
hizmet
ile
tehdit
haline
gelebilir
@basaranalper
|
www.alperbasaran.com
98. Kri3k
Altyapılar:
Tehdit
Ajanları
“Yanlışlıkla”
Düşmanca
Veri
Sızın€sı
x
x
Casusluk
x
x
Finansal
x
x
Kötüye
Kullanım
x
x
Veri
Hırsızlığı
x
x
Fiziksel
Hırsızlık
x
x
Sabotaj
x
Şiddet
x
@basaranalper
|
www.alperbasaran.com
100. Kri3k
Altyapılar:
Durum
• Güvenlik
çözümlerine
yersiz/artan
güven
• Tehditler
ar€yor
• Devletle
işbirliğinin
önemine
inanıyorlar
• Saldırıya
uğrayacaklarına
artan
inanç
• Kullanıcılar
hala
en
zayıf
halka
Aspen
Ins3tute
(2015)
@basaranalper
|
www.alperbasaran.com
103. NSM
Katmanları
• Fiziksel
• VLAN
• ACL
• Yazılım
• Kullanıcı
• Yöne3m
• Bilgi
İşlem
Birimi
104. NSM
Katmanları
• NSM
bize
her
ağda
geçerli
olacak
şekilde
güvenliği;
– İnceleme
– Oluşturma/kurma
– Sürdürme
Imkanı
verir
105. NSM
Katmanları
• Metodolojik
yaklaşım
önemlidir
• Mevcut
yapılara
uygulanabilir
• Gözden
bir
şey
kaçırmadığımızdan
emin
oluruz
• Güvenlik
olaylarını
tespit
etmemize
imkan
verir
106. Katman
1:
Fiziksel
• Fiziksel
güvenlik
• Amaç:
Saldırganların
sistemlere
fiziksel
erişimini
engellemek.
• Diğer
bütün
katmanları
destekler
• Fiziksel
güvenlik
sağlanmadan
diğer
katmanların
güvenliği
sağlanamaz
107. Katman
1:
Fiziksel
• Bu
kapsamda;
– Bina
tasarımı
– Sistem
odası
tasarımı
– Kamera
– Kartlı
geçiş
sistemleri
– Alarmlar
– ...
108. Katman
1:
Fiziksel
• Güvenliği
en
kolay
olduğu
katmandır
• Fiziksel
güvenlik
ya€rımları
daha
kolay
anla€lır
• Fiziksel
güvenlik
gereklilikleri
tar€şılmaz
• Bu
konuda
uzman
firma
bulmak
kolaydır
• Bu
konuda
uzman
firmadan
destek
almak
kolaydır
/
alışılmış€r
117. Katman
2:
VLAN
• VLAN
“best
prac3ces”
– VLAN’ı
neden
kullanıyoruz?
• Güvenlik
nedeniyle
subnet
ayrımı
• VoIP
/
Data
ayrımı
yapılması
118. Katman
2:
VLAN
• VLAN
“best
prac3ces”
– Router
yükünün
azal€lması
• Yazıcı
kullanıcıyla
aynı
VLAN
üzerinde
olsun
119. Katman
2:
VLAN
• VLAN
“best
prac3ces”
– Çok
fazla
VLAN
oluşturmayın
• 42
katlı
binada
42
VLAN
olması
şart
olmayabilir
120. Katman
2:
VLAN
• VLAN
türleri:
– Port
bazında
– Protokol
bazında
– MAC
adresi
bazında
– IP
adresi
bazında
121. Katman
2:
VLAN
• VLAN
türleri:
– Port
bazında
Switch
üzerindeki
port
belli
bir
VLAN’a
tanımlanır,
o
porta
bağlı
cihaz
o
VLAN’a
dahil
olur
122. Katman
2:
VLAN
• VLAN
türleri:
– Protokol
bazında
Protokolü
kullanan
cihaz
o
protokole
ayrılan
VLAN’a
dahil
olur.
IP
tabanlı
ağlarda
kullanışlı
değil
123. Katman
2:
VLAN
• VLAN
türleri:
– MAC
adresi
bazında
Port
bazlı
yapıda
porta
takılan
cihaz
VLAN’a
dahil
olur.
MAC
bazlı
VLAN
tanımı
zaman
alabilir
125. Katman
3:
ACL
• Access
Control
List
–
Erişim
Kontrol
Listesi
• Ağ
içerisindeki
erişim
yetkilerinin
düzenlenmesi
• Router
ve/veya
Firewall
üzerinden
denetlenebilir
• ACL
olmadan
ağ
güvenliği
olmaz
126. Katman
3:
ACL
• ACL
oluşturulması:
– Gelen
ve
giden
trafik
denetlenmelidir
– Port
bazında
bakacak
olursak:
• KOBİ
80,
443
izinli
• VPN
portları
127. Katman
3:
ACL
• Firewall
“best
prac3ces”
– Çıkan
trafiğin
denetlenmesi
– ANY
kullanmayın
– Kullandığınız
IP’lere
izin
verin
(10.10.0.0?
192.168.0.0?)
– Protokol
bazında
engelleme
yapın
(Kurum
DNS
varsa
dışarıya
DNS
pake3
neden
gidiyor?)
128. Katman
3:
ACL
• Firewall
“best
prac3ces”
– Değişiklikleri
belgeleyin
– Gerekli
sayıda
port
açın
– Kuralların
uygunluğunu
kontrol
edin
– Kullanılmayan
/
ih3yaç
kalmayan
kuralları
kaldırın
– Firewall
dene3mi
yapın
– Firewall
kurallarını
yedekleyin
131. Katman
4:
Yazılım
• Amacımız
güncel
yazılım
kullanmak
– Zafiyetleri
yönetmek
– Risk
oluşturan
yazılımları
yönetmek
– Yazılımı
kim
kullanıyor?
– “Lazım
mı?”
132. Katman
5:
Kullanıcı
• Kullanıcının
temel
güvenlik
konularında
bilinçli
olmasını
sağlamak
– Sistemleri
üzerinde
çalışan
uygulamaları
bilmeleri
lazım
– Sistemin
“normal”
halini
biliyor
– Ağ
güvenliği
için
kullanıcılara
ih3yacımız
var
133. Katman
5:
Kullanıcı
• Kullanıcı
güvenliği
– Uzak
durulması
gereken
uygulamaların
anla€lması
– E-‐posta
eklerinde
nelere
dikkat
etmeleri
gerek3ğinin
anla€lması
134. Katman
6:
İdari
• Yetkili
kullanıcıların
güvenliği
– Üst
yöne3m
bu
katmandadır
– Kullanıcı
katmanı
gibi
eği3lmeli
– Kullanıcı
katmanındaki
sorunları
tespit
edebilecek
durumda
olmalıdır
135. Katman
6:
İdari
• Farkındalık
düzeyi
çok
önemli
(yeni
personeli
bunlar
eği3yor
olabilir)
• Güvenlik
birimiyle
ile3şim
kurabilecek
seviyede
olmalılar
136. Katman
7:
Bilgi
İşlem
• Bilgi
işlemde
çalışan
HERKES
güvenlik
konusunda
asgari
düzeyde
bilgili
olmalıdır
• ACL,
VLAN,
vs.
buranın
kontrolünde
• En
önemli
birim
137. NSM
Devreye
Alınması
• Mükemmel
iyinin
düşmanıdır
• Her
katmanda
temel
tedbirleri
alın
• Her
seviyede
kullanıcıları
güvenlik
konusunda
bilgilendirin
138. Siber
Saldırı:
Örnek
Senaryo
• Blackenergy
@basaranalper
|
www.alperbasaran.com
148. ICS-‐CERT
• Varlık
yöne3mi
için
gerekli
yetki
ve
sorumlulukları
belirleyin
• Ağ
mimarisini
kontrol
edin
• Yama,
güncelleme
ve
yaşam
döngüsü
yöne3mi
süreçlerini
oluşturun
• Ağ
bölmelerini
(segment)
düzenleyin.
• Kri3k
varlıkların
fiziksel
güvenliğini
sağlayın.
• Güvenlik
operasyonları
personeli
sayısını
arUrın
ve
görev
ve
sorumluluklarını
belirleyin.
• Çalışmasına
izin
verilen
uygulamaları
beyaz
listeye
alın
ve
uzak
bağlan€larda
kimlik
doğrulaması
kullanın.
• Sistemleri
izlemek
için
gerekli
güvenlik
izleme
sistemini
kurun.
@basaranalper
|
www.alperbasaran.com
151. NIST:
Cybersecurity
Framework
1. Belirleme
2. Koruma
3. Tespit
4. Müdahale
5. Düzeltme
@basaranalper
|
www.alperbasaran.com
152. NIST:
Cybersecurity
Framework
1. Belirleme
– Kaynak/varlık
– Risk
– İş
süreçleri
2. Koruma
3. Tespit
4. Müdahale
5. Düzeltme
@basaranalper
|
www.alperbasaran.com
153. NIST:
Cybersecurity
Framework
1. Belirleme
2. Koruma
– Hizmet
vermeye
devam
etmek
için
gerekli
tedbirleri
belirle
3. Tespit
4. Müdahale
5. Düzeltme
@basaranalper
|
www.alperbasaran.com
154. NIST:
Cybersecurity
Framework
1. Belirleme
2. Koruma
3. Tespit
– Olay
tespit
etme
yeteneklerini
geliş3r
4. Müdahale
5. Düzeltme
@basaranalper
|
www.alperbasaran.com
155. NIST:
Cybersecurity
Framework
1. Belirleme
2. Koruma
3. Tespit
4. Müdahale
– Tespit
edilen
olaylara
müdahale
etme
yeteneğini
geliş3r
5. Düzeltme
@basaranalper
|
www.alperbasaran.com
156. NIST:
Cybersecurity
Framework
1. Belirleme
2. Koruma
3. Tespit
4. Müdahale
5. Düzeltme
– Sistemleri
olay
öncesi
haline
ge3r
@basaranalper
|
www.alperbasaran.com
157. NIST:
Cybersecurity
Framework
@basaranalper
|
www.alperbasaran.com
• Üst
Yöne3m:
– Odak:
Risk
Yöne3mi
– Görev:
Kararlar
ve
Öncelikler
• İş
süreçleri:
– Odak:
Kri3k
altyapı
yöne3mi
– Görev:
Bütçe
belirleme,
vb.
• Operasyon:
– Odak:
Kri3k
sistemlerin
koruması
– Görev:
Uygulama