Kritik Altyapılarda Siber Güvenlik

www.alperbasaran.com

Alper
Başaran

Alper
Başaran

•  Ser3fikalı
E3k
Hacker
(CEH)

•  Ser3fikalı
Güvenlik
Analis3
(ECSA)

•  Lisanslı
Sızma
Tes3
Uzmanı
(LPT)

•  Ser3fikalı
Yazılım
Test
Uzmanı
(CTFL)

•  ISO
27001
Baş
Denetçi


Savaşan
Dünya:
Siber

•  1982:
Sibirya
Boru
HaU

@basaranalper
|

Savaşan
Dünya:
Siber

•  2007:
Estonya

@basaranalper
|

Savaşan
Dünya:
Siber

•  2007:
A.B.D.
Savunma
Bakanlığı

@basaranalper
|

Savaşan
Dünya:
Siber

•  2008:
Bakü
–
Ceyhan
Boru
HaU

@basaranalper
|

Savaşan
Dünya:
Siber

•  2010:
Stuxnet

@basaranalper
|

Savaşan
Dünya:
Siber

•  2011:
RSA

@basaranalper
|

Savaşan
Dünya:
Siber

•  2012:
Kızıl
Ekim

@basaranalper
|

•  2014:
Almanya
-‐
Demir
Çelik
Fabrikası

@basaranalper
|

Savaşan
Dünya:
Siber

•  2014:
JP
Morgan
Chase

@basaranalper
|

Kullanılan
“Silahlar”

@basaranalper
|

Poison
Ivy


Siber
Silah:
Flame

@basaranalper
|

Siber
Silah:
Mahdi

@basaranalper
|

Siber
Silah:
FinFisher

@basaranalper
|

FinFisher


Social
Engineering
Toolkit

@basaranalper
|

(Uygulama)

Rakamlar...

•  Siber
saldırının
tespit
edilmesi
ortalama
220

gün

•  Sistemlerin
temizlenmesi
ortalama
180
gün

•  3
olaydan
2’si
dışarıdan
öğreniliyor

•  İlk
saldırı
=
t0
+
7
dakika


Savunma?

@basaranalper
|

Savunma
Topolojisi

@basaranalper
|

Geleneksel
Güvenlik
Mimarisi

Örnek
Savunma
Senaryosu

@basaranalper
|

hpp://www.abc.com

Örnek
Savunma
Senaryosu

@basaranalper
|

hpp://www.abc.com

Firewall

Örnek
Savunma
Senaryosu

@basaranalper
|

hpp://www.abc.com

Firewall

Kaynak
IP,
Hedef
IP,
Port

Kaynak
IP:
192.168.10.1

Hedef
IP:
10.10.11.11

Port:
80

Örnek
Savunma
Senaryosu

@basaranalper
|

hpp://www.abc.com

IPS/IDS

Örnek
Savunma
Senaryosu

@basaranalper
|

hpp://www.abc.com

IPS/IDS

XSS
=
<script>alert(‘XSS’)</script>

Örnek
Savunma
Senaryosu

@basaranalper
|

hpp://www.abc.com

IPS/IDS

XSS
=
<script>alert(‘XSS’)</script>

<IMG
SRC=javascript:alert('XSS')>

Yeni
Güvenlik
Doktrini

•  Savunma
haUnın
geçilebileceğini
kabul

etmemiz
gerek

•  Önlemeye
çalışmak
kadar
tespit
etmeye
de

çaba
harcamalıyız

İlk

saldırı

Erişimi

Koruma

Yayılma

Süre:

Saniye/dakika

Süre:

Saat/gün

Süre:

Gün/Haza/ay

Siber
Saldırılar


APT
Saldırıları
ve
Mevcut
Güvenlik

1
milyon
TL’yi
korumak
için

1
milyon
TL
harcar
mısınız?


Siber
Saldırı
Düşük
Riskli
bir
İş

2011
yılında
A.B.D.’de
ortalama

banka
soygunu
$8,450
kazandırdı


Suç
İşlemek
ve
Risk


Risk

Kazanç

Kazanç

Risk

Siber
Ölüm
Zinciri

Bilgi
Toplama

• Pasif
bilgi

toplama

• Kuruluş

şemaları

• IP
adresleri

• Port

taramaları

• İnternet

servis

sağlayıcısı

bilgileri

• Dışarıya

dönük

sistemler

• ...

Silahlandırma

• İs3smar

kodunun

hazırlanması

• Zararlı
yazılım

• Ambalaj

Teslimat

• Hedefli

oltalama

saldırısı

(spear

phishing)

• Zararlı
içerikli

web
sayfası

• İnternet

servis

sağlayıcısı

İs3smar

• Kodun

çalış€rılması

• Hedef

sistemle

bağlan€

kurma

• Üçüncü

tarafların

is3smarı

Kurulum

• Trojan
veya

arkakapı

• Kalıcı
erişim

kurabilme

• Yetki

yükseltme

• Kullanıcı

adlarını
ve

parolaları

çalma

Komuta
ve

kontrol

• Hedefle

ile3şim

yolunun

açılması

• Yatay
hareket

• İç
ağda
bilgi

toplama

• Erişimi
kalıcı

hale
ge3rme

Hedef
üzerinde

işlemler

• Derinleşme

• Bağlan€yı
ve

erişimi
kalıcı

hale
ge3recek

ek
yöntemler

• Veri
sızdırma

1
2
3
4
5
6
7

Siber
Saldırı

•  1.
adım:
Hazırlık

– Hedef
seçimi

– Destek
olabilecek
kişi/örgütlerin
bulunması

– Araçları
seçmek
veya
yapmak

– Hedef/altyapı/personel
araş€rmaları

– Tespit
edilip
edilmediğini
test
etmek


Siber
Saldırı

•  2.
adım:
Saldırı

– Saldırının
başlaması

– İlk
sızma

– Dışarıya
doğru
bağlan€nın
kurulması


2.
Adım:
Saldırı


Siber
Saldırı

•  3.
adım:
Yayılma

– İç
ağda
yayılma

– Kullanıcı
adı
ve
parolaları
ele
geçirme

– Kalıcı
bağlan€lar
oluşturma


3.
Adım:
Yayılma


Siber
Saldırı

•  4.
adım:
Kalıcı
Olmak

– Öncelik
an3virüse
yakalanmamak

– Birden
fazla
sistemi
ele
geçirmek

– Zaman
ayarlı
ile3şim
kanalları
gizlemek


4.
Adım:
Kalıcı
Olma


Siber
Saldırı

•  5.
adım:
Arama
ve
Sızdırma

– Veriyi
bulmak

– Veriyi
sızdırmak


5.
Adım:
Arama
ve
Sızdırma


Siber
Saldırı

•  6.
adım:
Görünmezlik

– İzleri
silme

– Mümkün
olduğunca
uzun
süre
gizlenme


APT
Cephesinden

•  İş
ortaklarından
birinin
sistemindeki
açık

nedeniyle
muhasebe
yazılımına
müdahale

edildi:

5.4
milyon
TL
çalındı.

•  Banka:
9.5
milyon
TL
çalındı


Olay
1

1.  Web
sayfasındaki
SQL
İnjec3on
is3smar
edildi

2.  Aynı
sunucuda
bir
paylaşım
klasörü
varmış

3.  Bu
klasördeki
dosyalara
arka
kapı
yerleş3rildi

4.  Arka
kapı
devreye
girince
(1
haza+
süre)
yerel
ağa
sızıldı

5.  Hedef
şirketle
olan
VPN
bağlan€sı
kullanıcısı
ele
geçirildi

6.  VPN
üzerinden
hedef
şirket
ağına
ulaşıldı,
çeşitli

kullanıcı
bilgileri
ele
geçirildi

7.  Yetkili
kullanıcı
hesapları
ile
muhasebe
veritabanının

yedeği
ele
geçirildi

8.  Yedek
üzerinde
yapılan
incelemeler
banka
ile
entegre

elektronik
ödeme
sisteminin
yapısını
ortaya
koydu

9.  Ödeme
sistemine
müdahale
ederek
5.4
Milyon
TL’lik

ödemenin
kendilerine
yapılmasını
sağladılar


Olay
2

1.  Finans
haberleri
sitesinden
“drive-‐by-‐download”
ile
zararlı

yüklendi

2.  Zararlı
yazılım
“ﬁnans
konularına
meraklı”
IP
adreslerinin

listesini
çıkarU

3.  Hacker
1
bu
bilgiyi
Hacker
2
ile
paylaş€

4.  Hacker
2
bu
IP
adreslerinin
bankalarla
ilişkilerini
araş€rdı

5.  Uygun
gördüğü
IP
adreslerine
RAT
yüklenmesi
için
Hacker

1’e
para
ödedi

6.  RAT
ile
iç
ağa
erişebilen
Hacker
2
banka
personelinin

bilgisayarını
ele
geçirdi

7.  Hacker
2
banka
DC’de
yetkili
kullanıcı
oldu

8.  Banka
içerisinde
para
transferi
işlemi
yapan
personelin
ekran

ve
klavye
kayıtları
alındı

9.  Kayıtlara
bakılarak
para
transfer
işlemi
yapıldı


Siber
Güvenlik

@basaranalper
|

Zafiyet
Taraması

•  Zafiyet
taraması
planının
oluşturulması

– Taranacak
sistemlerin
belirlenmesi

– Zafiyet
tarama
prosedürlerinin
belirlenmesi


Bilgi
(Threat
Intel)

•  USOM

•  Özel
şirketler

•  Uluslararası
listeler


Zafiyet
Yöne3mi
Programı

•  Sistem
envanterini
çıkartmak

–  Listele

–  Grupla

–  Önceliklendir

•  Zafiyet,
çözüm
ve
tehditleri
takip
etmek

–  Üre3ci
siteleri

–  Güvenlik
siteleri

–  Mail
grupları

–  Zafiyet
tarayıcıları

–  Zafiyet
veritabanları

–  Yama
yöne3mi
yazılımları


Zafiyet
Yöne3mi
Programı

•  Zafiyetleri
önceliklendir

– Erişilebilir
sistemleri
belirle

– İs3smar
olup
olmadığını
tespit
et

– Riskleri
değerlendir

•  Kuruluşa
özel
zafiyet
müdahale
sistemi
geliş3r

•  Çözümleri
test
et

– Yamaları/Güncellemeleri
AV
ile
kontrol
et

– Örnek
sistemler
üzerinde
test
et


Zaﬁyet
Yöne3mi
Programı

•  Çözümü
uygula
(yama/güncelleme)

– Kur

– Ayarla

– Sil/kaldır

•  Otoma3k
yama
yöne3mi

•  Otoma3k
güncelleme

•  Zaﬁyet
taramaları
ile
çözümleri
kontrol
et


Zafiyet
Taraması

•  Ağ
üzerindeki
sistemleri
belirler

•  Çalışan
ve
zafiyet
içeren
servisleri
tespit
eder

•  Bilinen
zafiyetleri
listeler

•  Uyumluluk
kontrollerini
yapar


Zaﬁyet
Yöne3mi

Envanter
çıkart

Zaﬁyet/
tehditleri

sürekli
izle

Yama/
güncellemeleri

önceliklendir

Yama/
güncellemeleri

test
et

Yama/
güncellemeleri

uygula

Sonucu
kontrol

et


Siber
Güvenlik
Poli3kası

@basaranalper
|

Siber
Güvenlik

Davranışlar

Güvenlik
Hedeﬂeri

Siber
Güvenlik
Poli3kası

Poli3kalar

•  Kabul
edilebilir
kullanım
poli3kası

•  İnternet
erişim
poli3kası

•  E-‐posta
ve
ile3şim
poli3kası

•  Ağ
güvenliği
poli3kası

•  Uzaktan
erişim
poli3kası

•  Şifreleme
poli3kası

•  Gizlilik
poli3kası

@basaranalper
|

Siber
Güvenlik
Poli3kası

•  Örnekler:

– Veri
Tabanı
güvenliği
poli3kası

– Log
tutma
poli3kası

– Sunucu
güvenliği
poli3kası

– Yazılım
kurulumu
poli3kası

@basaranalper
|

Siber
Güvenlik
Poli3kası

•  Örnekler:

•  Veri
Tabanı
güvenliği
poli3kası

– Bu
poli3ka
merkezi
veri
tabanına
erişecek

uygulamaların
tamamını
kapsar

– Veri
tabanına
erişim
parola
ile
yapılır,
hiç
bir

şekilde
parola
me3n
olarak
kodun
içerisinde
yer

alamaz

@basaranalper
|

Siber
Güvenlik
Poli3kası

•  Örnekler:

•  Log
tutma
poli3kası

–  Bu
poli3ka
ağa
bağlı
bütün
sistemler
için
geçerlidir

–  Tutulan
loglar
aşağıdaki
soruları
cevaplar:

•  Ne
yapılmış?

•  Kim
veya
ne?

•  Ne
zaman
yapılmış?

•  Sonuç
ne
olmuş?

–  Logu
tutulacak
olaylar:

–  Log
kayıtlarında
bulunması
gerekenler:

–  Logların
kayıt
ve
saklanma
şartları

@basaranalper
|

@basaranalper
|

Sunucuları
koruyun

•  Sunucu
kurulum
kontrol
listesi

•  Sunucu
baseline

•  Sunucu
listesi

•  Sunucu
sahibi

•  Ağ
bağlan€sı

•  Yama
yöne3mi

@basaranalper
|

Sunucuları
koruyun

•  AV

•  Elektrik

•  Kullanılmayan
servislerin
kaldırılması

•  Yedek
alınması

•  Zaﬁyet
taraması

•  Onay
ile
açılması

@basaranalper
|

Siber
Güvenlik
Poli3kası

•  Örnekler:

•  Sunucu
güvenliği
poli3kası

– Bu
poli3ka
kurumsal
ağda
kullanılacak
sunucuların

temel
özelliklerini
(baseline)
belirler

– Her
sunucunun
bir
sahibi
olmalıdır

– Sistemler
arasında
güvene
dayalı
ile3şim
yasak€r

– Sunucuların
bulunduğu
alana
giriş
denetlenmelidir

– Sistem
odası
dışında
sunucu
çalış€rmak
yasak€r

@basaranalper
|

Siber
Güvenlik
Poli3kası

•  Örnekler:

•  Yazılım
kurulumu
poli3kası

– Çalışanlar
şirket
ağına
bağlı
bilgisayarlara
yazılım

yükleyemez

– Bu
poli3ka
masaüstü,
taşınabilir
bilgisayar,
tablet

bilgisayar,
akıllı
telefon
benzeri
cihazların

tamamını
kapsar

@basaranalper
|

Siber
Güvenlik
Poli3kası

•  Genel

•  Amaç

•  Kapsam

•  Poli3ka

•  Uyumluluk

•  Bağlı
standartlar

@basaranalper
|

Olay
Tespi3

@basaranalper
|

Olay
Tespi3

•  Olay
tespiE
ve
analizi
için:

– Ağ
ve
sistemleri
proﬁlleyin

– Normal
davranışları
belirleyin

– Log
tutma
poli3kası
oluşturun

– Olay
korelasyonu
yapın

– İstemci
saatlerini
senkronize
edin

– Bilgi
birikimini
kullanılabilir
halde
tutun

Olay
Tespi3

•  Olay
tespi3
ve
analizi
için:

– Araş€rın

– Ek
bilgi
toplamak
için
paket
yakalama
yazılımı

kullanın

– Veriyi
ﬁltreleyin

– Destek
alın

Olay
tespi3

•  “Öncü”
kabul
edilebilecek
belir3ler

– Birçok
saldırının
“öncü”
belir3si
olmaz

– Zaﬁyet
tarama
yazılımı
kullanıldığını
gösteren
web

sunucusu
logları

– Kurum
envanterinde
bulunan
sistemlere
ilişkin

yeni
zaﬁyetlerin
duyurulması

– Siyasi
gruplardan
tehdit
almak

Olay
tespi3

•  Saldırı
belir3lerinden
bazıları:

– SIEM
alarmları

– IDS/IPS
alarmları

– An3virüs
yazılımının
zararlı
yazılım
tespit
etmesi

– Farklı
karakterlerle
yazılmış
dosya
adı

– İstemcilerden
birinde
konfigürasyon
değişikliği

– Uzak
bir
sistemden
yapılan
başarısız
giriş

denemeleri

– Normal
ağ
trafiğinin
dışında
trafik

Olay
tespi3

•  Saldırı
belir3lerinden
bazıları:

– SIEM
alarmları

Firewall

IDS

Sunucu

Switch

AV

Uygulama

Router

Conﬁg

OLAY

Olay
tespi3

•  Bildirilmesi
gereken
olaylar:
Personel
için

Örnekler

–  Başkalarına
ait
görmemeniz
gereken
bilgileri
görmek

–  Bilgisayarınız
“garip”
davranıyor

–  E-‐posta
ile
kişisel
bilgilerinizi
istediler

–  Hesaplarınıza
başkasının
erişebildiğini

düşünüyorsunuz

–  Hesap
bilgilerinizi
isteyen
bir
e-‐postaya
cevap
verdiniz

–  Güvenlik
tedbirlerini
atlatmanın
bir
yolunu
buldunuz

Olay
tespi3

•  Bildirilmesi
gereken
olaylar:
Üçüncü
Taraﬂar

için
Örnekler

– Kamuya
açılan
bilgilerde
özel/kişisel
veriler
var

– Kurumdan
gönderilen
bir
e-‐posta
ile
kişisel

bilgileriniz
istendi

– Kurum
IP
adreslerinden
size
bir
saldırı
yapıldı

– IP
adreslerimiz
bir
DoS/DDoS
saldırısına
karış€

– Sistemlerimizde
bir
zaﬁyet
buldunuz

Müdahale

•  Olay
dokümantasyonu

–  Olayın
durumu
(yeni,
takip,
çözüldü,
vb.)

–  Olayın
öze3

–  Olayın
göstergeleri

–  Olayla
bağlan€lı
olaylar

–  Müdahale
için
yapılanlar

–  Olayın
etki
analizi

–  İlgili
kişilerin
ile3şim
bilgileri

–  Toplanan
kanıtlar

–  Müdahalecilerin
yorumları

–  A€lması
gereken
adımlar

Müdahale

•  Kontrol
alJna
alma
yönteminin
seçilmesi

–  Kaynakların
çalınması
ve
olası
zararlar

–  Kanıtları
saklama
gereksinimi

–  Hizmet
verebilirlik
(ağ
bağlan€sı,
üçüncü
taraﬂara

verilen
hizmetler,
vb.)

–  Strateji
yürürlüğe
koymak
için
ih3yaç
duyulan
zaman

ve
kaynaklar

–  Stratejinin
etkinliği
(olayı
tamamen
veya
kısmen

kontrol
al€na
alma)

–  Çözüm
süresi
(Örneğin;
acil
durum
çözümü
4
saat,

geçici
çözüm
iki
haza
içerisinde
devreden
çıkar€lıp

kalıcı
çözüme
geçilir)

Müdahale

•  Olay
konusunda
bilgilendirme:

– Kurumdan
kuruma
ve
yasal
zorunluluklara
göre

değişebilir

– Genel
olarak;

•  Bilgi
işlem
yöne3cileri,
Güvenlik
sorumlusu,
(varsa)

diğer
SOME’ler,
İK
birimi
(personelle
ilgiliyse),
hukuk

birimi,
USOM,
vb...

Müdahale

•  Sınırlandırma,
temizleme
ve
geri
dönme

– Kanıt
toplama
ve
düzenleme

•  Tespit
etmeye
yardımcı
bilgiler
(IP
adresi,
MAC
adresi,

seri
numarası,
port
bilgisi,
istemci
adı,
vb.)

•  Olay
sırasında
kanıtları
toplayanların
isim
ve
ile3şim

bilgileri

•  Tarih
ve
saat
bilgileri

•  Kanıtların
tutulduğu
yer

Kanıt
toplama
konusunda
NIST
SP
800-‐86
yol

gösterebilir

Müdahale

temizleme
ve
geri
dönme

– Saldıran
tespi3

•  Saldırgan
IP
adresin
tespit
edilmesi

•  Saldıranı
arama
motorlarından
sorgulamak

•  Olay
veritabanlarını
kullanmak

•  Olası
saldırgan
ile3şim
yöntemlerini
izlemek

Müdahale

temizleme
ve
geri
dönme

– Temizleme
ve
geri
dönme

•  Kademeli
yaklaşım
izlenmeli

–  Sistemleri
çalışır
hale
ge3r

–  Zaﬁyetleri
gider

–  Güvenlik
önlemlerini
sıkılaş€r

–  Toplanan
logların
iyileş3rilmesi

Olay
Sonrası

•  Çıkar€lan
dersler:

–  Tam
olarak
ne
oldu?

–  Olaya
müdahale
uygun
muydu?

–  Hangi
bilgilere
daha
erken
sahip
olunmalıydı?

–  Geri
dönmeyi
kolaylaş€rabilecek
adımlar
a€labilir
miydi?

–  Benzer
bir
olayın
tekrarında
neyi
farklı
yapmalıyız?

–  Bilgi
paylaşımı
ve
ile3şim
iyileş3rilebilir
mi?

–  Benzer
olayların
yaşanmasını
nasıl
engelleriz?

–  Benzer
olayları
önceden
tespit
etmemizi
sağlayacak

göstergeler
var
mıydı?

–  Benzer
olaylarda
ih3yaç
duyacağımız
ek
yazılım/donanım

ve
eği3mler
nelerdir?

Olay
Sonrası

•  SOME
etkinlik
göstergeleri:

– Müdahale
edilen
olay
sayısı

– Olay
başına
harcanan
süre

– Müdahale
sürecinin
objek3f
değerlendirmesi

(kayıtların
gözden
geçirilmesi)

– Müdahale
sürecinin
sübjek3f
değerlendirmesi

(SOME
üyeleri
ve
hedef
sistem
sahibinin
görüşleri)

“Hacker”
Kimdir?

@basaranalper
|

Hacker
Türleri

•  Siyah
Şapkalı

•  Beyaz
Şapkalı

•  Gri
Şapkalı

•  Hack3vist

@basaranalper
|

Siber
Saldırgan
Proﬁlleme

•  Egemen
uluslar

•  Suç
örgütleri
ve
suçlular

•  Hack3vistler

•  İç
tehditler

•  Yetersiz
ürün
ve
hizmetler

@basaranalper
|

Siber
Saldırgan
Proﬁlleme

•  Egemen
uluslar

– “Çöl
Fır€nası”
dönüm
noktasıdır

– Düşman
hatlarının
gerisindeki
teknoloji
savaş
aracı

olarak
kullanıldı

– “Savaş”
ﬁkri
gelişmeye
başladı

– Siber
ordular
kuruldu

@basaranalper
|

Egemen
uluslar

– Siber
uzayda
ülke
çıkarlarının
korunması

– Siber
uzayda
is3harat
toplamak

– Kine3c
savaşı
siber
savaşla
desteklemek

– Büyük
ordular:

•  Çin

•  A.B.D.

•  Rusya

•  İsrail

•  İran

@basaranalper
|

Siber
Saldırgan
Proﬁlleme

•  Suçlular
ve
Suç
Örgütleri

–  İnterpol
rakamlarına
göre
küresel
siber
suçlar;

•  2008
yılında:
8
Milyar
A.B.D.
Doları

•  2013
yılında:
100
Milyar
A.B.D.
Doları

•  Siber
suçlular
holding
ölçeğinde
personel
ve
teknoloji

kaynağına
sahip

•  FBI’ın
kongreye
verdiği
bir
raporda
“10
yıllık
ve
1
Milyar

dolarlık”
bir
Ar-‐Ge
projesinin
1
gecede
çalındığı
yazıyor

•  Botnet
kiralamak,
özel
is3smar
kodları
yazmak,

saldırıya
veya
hedefe
özel
is3smar
araçları

geliş3rmek...

@basaranalper
|

Siber
Saldırgan
Proﬁlleme

•  Hack3vist

•  Anonymous
ve
Redhack

•  LoIC

•  Önemli
sorular:

– Hack3vist
saldırısına
hazır
mıyız?

– Personelimizin
arasında
bu
yapılara
sempa3

duyanlar
var
mı?

– Varsa
buna
karşı
da
hazır
mıyız?

@basaranalper
|

Siber
Saldırgan
Proﬁlleme

•  İç
Tehdit:

•  Dışarıdan
saldıranı
tespit
etmek
kolaydır

•  İçeriden
gelecek
saldırılara
karşı
savunma
haU

kurulmalıdır

•  Sadece
kötü
niyetli
personel
değil

•  Kurbanlar
da
iç
tehdit
haline
gelir

@basaranalper
|

Siber
Saldırgan
Proﬁlleme

•  Yetersiz
ürün
ve
hizmet

•  İnsan
tek
hata
faktörü
değildir

•  Sahte/yetersiz/eksik/yanlış/uygun
olmayan

ürünler
tehdit
oluşturuyor

•  Doğru
ürün
yanlış
hizmet
ile
tehdit
haline

gelebilir

@basaranalper
|

Kri3k
Altyapılar:
Tehdit
Ajanları

@basaranalper
|

Yanlışlıkla
Düşmanca

Kri3k
Altyapılar:
Tehdit
Ajanları

“Yanlışlıkla”
Düşmanca

Veri
Sızın€sı
x
x

Casusluk
x
x

Finansal

x
x

Kötüye
Kullanım
x
x

Veri
Hırsızlığı
x
x

Fiziksel
Hırsızlık
x
x

Sabotaj
x

Şiddet
x

@basaranalper
|

Tehdit
Grupları

Yanlışlıkla

•  Dikkatsiz
personel

•  Eği3msiz
personel

•  Sempa3zan

•  Tedarikçi

•  Taşeron

•  Bayi

Düşmanca

•  Hırsız

•  Mutsuz
çalışan

•  Terörist

•  Organize
suçlar

•  Siber
suçlular

•  Rakip

•  Egemen
uluslar

@basaranalper
|

Kri3k
Altyapılar:
Durum

•  Güvenlik
çözümlerine
yersiz/artan
güven

•  Tehditler
ar€yor

•  Devletle
işbirliğinin
önemine
inanıyorlar

•  Saldırıya
uğrayacaklarına
artan
inanç

•  Kullanıcılar
hala
en
zayıf
halka

Aspen
Ins3tute
(2015)

@basaranalper
|

7
Kat

•  OSI
Katmanları

•  NSM
Katmanları

NSM
Katmanları

•  Fiziksel

•  VLAN

•  ACL

•  Yazılım

•  Kullanıcı

•  Yöne3m

•  Bilgi
İşlem
Birimi

NSM
Katmanları

•  NSM
bize
her
ağda
geçerli
olacak
şekilde

güvenliği;

– İnceleme

– Oluşturma/kurma

– Sürdürme

Imkanı
verir

NSM
Katmanları

•  Metodolojik
yaklaşım
önemlidir

•  Mevcut
yapılara
uygulanabilir

•  Gözden
bir
şey
kaçırmadığımızdan
emin
oluruz

•  Güvenlik
olaylarını
tespit
etmemize
imkan

verir

Katman
1:
Fiziksel

•  Fiziksel
güvenlik

•  Amaç:
Saldırganların
sistemlere
ﬁziksel

erişimini
engellemek.

•  Diğer
bütün
katmanları
destekler

•  Fiziksel
güvenlik
sağlanmadan
diğer

katmanların
güvenliği
sağlanamaz

Katman
1:
Fiziksel

•  Bu
kapsamda;

– Bina
tasarımı

– Sistem
odası
tasarımı

– Kamera

– Kartlı
geçiş
sistemleri

– Alarmlar

– ...

Katman
1:
Fiziksel

•  Güvenliği
en
kolay
olduğu
katmandır

•  Fiziksel
güvenlik
ya€rımları
daha
kolay
anla€lır

•  Fiziksel
güvenlik
gereklilikleri
tar€şılmaz

•  Bu
konuda
uzman
ﬁrma
bulmak
kolaydır

•  Bu
konuda
uzman
ﬁrmadan
destek
almak

kolaydır
/
alışılmış€r

Katman
1:
Fiziksel

•  Fiziksel
güvenlik
ih3yacı:

– Doğal
afetler

Katman
1:
Fiziksel

•  Fiziksel
güvenlik
ih3yacı:

– Doğal
afetler

– Altyapı
kesin3leri

Katman
1:
Fiziksel

•  Fiziksel
güvenlik
ih3yacı:

– Doğal
afetler

– Altyapı
kesin3leri

– Saldırgan
/
insan
müdahalesi

– Siyasi

Katman
1:
Fiziksel

•  Fiziksel
güvenlik
tasarım
ih3yaçlarının

belirlenmesi

•  Can,
mülk,
süreç
güvenliği
sağlanmalı

•  Katmanlı
yaklaşım
izlenmeli

Katman
1:
Fiziksel

Oﬁs

Güvenliği

Bina
dışı

Bina

Bina
girişi

Kat
girişi

Oﬁs
girişi

Katman
2:
VLAN

•  VLAN
ayrımının
yapılması

1.  İç
VLAN
–
Dış
VLAN
(DMZ
–
www,
DNS,
FTP,...)

2.  Kullanıcı
VLAN
–
Sunucu
VLAN

3.  Birim
VLAN

Katman
2:
VLAN

•  VLAN
amacı:

– Veriye
erişimi
denetlemek

– Saldırgan
tespi3
(hangi
VLAN
traﬁk
üre3yor?)

– Sorun
tespi3
(arayan
kullanıcı
hangi
VLANda?)

– Broadcast
paket
miktarının
azal€lması

Katman
2:
VLAN

•  VLAN
zorlukları:

Katman
2:
VLAN

•  VLAN
“best
prac3ces”

– VLAN’ı
neden
kullanıyoruz?

•  Güvenlik
nedeniyle
subnet
ayrımı

•  VoIP
/
Data
ayrımı
yapılması

Katman
2:
VLAN

•  VLAN
“best
prac3ces”

– Router
yükünün
azal€lması

•  Yazıcı
kullanıcıyla
aynı
VLAN
üzerinde
olsun

Katman
2:
VLAN

•  VLAN
“best
prac3ces”

– Çok
fazla
VLAN
oluşturmayın

•  42
katlı
binada
42
VLAN
olması
şart
olmayabilir

Katman
2:
VLAN

•  VLAN
türleri:

– Port
bazında

– Protokol
bazında

– MAC
adresi
bazında

– IP
adresi
bazında

Katman
2:
VLAN

•  VLAN
türleri:

– Port
bazında

Switch
üzerindeki
port
belli
bir
VLAN’a
tanımlanır,
o

porta
bağlı
cihaz
o
VLAN’a
dahil
olur

Katman
2:
VLAN

•  VLAN
türleri:

– Protokol
bazında

Protokolü
kullanan
cihaz
o
protokole
ayrılan
VLAN’a

dahil
olur.

IP
tabanlı
ağlarda
kullanışlı
değil

Katman
2:
VLAN

•  VLAN
türleri:

– MAC
adresi
bazında

Port
bazlı
yapıda
porta
takılan
cihaz
VLAN’a
dahil

olur.

MAC
bazlı
VLAN
tanımı
zaman
alabilir

Katman
2:
VLAN

•  VLAN
türleri:

– IP
adresi
bazında:

Katman
3:
ACL

•  Access
Control
List
–
Erişim
Kontrol
Listesi

•  Ağ
içerisindeki
erişim
yetkilerinin

düzenlenmesi

•  Router
ve/veya
Firewall
üzerinden

denetlenebilir

•  ACL
olmadan
ağ
güvenliği
olmaz

Katman
3:
ACL

•  ACL
oluşturulması:

– Gelen
ve
giden
traﬁk
denetlenmelidir

– Port
bazında
bakacak
olursak:

•  KOBİ
80,
443
izinli

•  VPN
portları

Katman
3:
ACL

•  Firewall
“best
prac3ces”

– Çıkan
traﬁğin
denetlenmesi

– ANY
kullanmayın

– Kullandığınız
IP’lere
izin
verin
(10.10.0.0?

192.168.0.0?)

– Protokol
bazında
engelleme
yapın
(Kurum
DNS

varsa
dışarıya
DNS
pake3
neden
gidiyor?)

Katman
3:
ACL

•  Firewall
“best
prac3ces”

– Değişiklikleri
belgeleyin

– Gerekli
sayıda
port
açın

– Kuralların
uygunluğunu
kontrol
edin

– Kullanılmayan
/
ih3yaç
kalmayan
kuralları
kaldırın

– Firewall
dene3mi
yapın

– Firewall
kurallarını
yedekleyin

Katman
3:
ACL

•  Firewall
dene3mi

– PCI
DSS
ﬁrewall
dene3mini
zorunlu
tutuyor

– Dene3m:

•  Konﬁgürasyon

•  Kurallar

Katman
3:
ACL

•  Firewall
dene3mi

– Ağ
topolojisinin
gözden
geçirilmesi

– Bilgi
akışının
incelenmesi

– İzinli
protokol/port/servis
listesinin
gözden

geçirilmesi

– Firewall
konﬁgürasyonunun
denetlenmesi

– Kuralların
denetlenmesi

Katman
4:
Yazılım

•  Amacımız
güncel
yazılım
kullanmak

– Zaﬁyetleri
yönetmek

– Risk
oluşturan
yazılımları
yönetmek

– Yazılımı
kim
kullanıyor?

– “Lazım
mı?”

Katman
5:
Kullanıcı

•  Kullanıcının
temel
güvenlik
konularında
bilinçli

olmasını
sağlamak

– Sistemleri
üzerinde
çalışan
uygulamaları
bilmeleri

lazım

– Sistemin
“normal”
halini
biliyor

– Ağ
güvenliği
için
kullanıcılara
ih3yacımız
var

Katman
5:
Kullanıcı

•  Kullanıcı
güvenliği

– Uzak
durulması
gereken
uygulamaların
anla€lması

– E-‐posta
eklerinde
nelere
dikkat
etmeleri

gerek3ğinin
anla€lması

Katman
6:
İdari

•  Yetkili
kullanıcıların
güvenliği

– Üst
yöne3m
bu
katmandadır

– Kullanıcı
katmanı
gibi
eği3lmeli

– Kullanıcı
katmanındaki
sorunları
tespit
edebilecek

durumda
olmalıdır

Katman
6:
İdari

•  Farkındalık
düzeyi
çok
önemli
(yeni
personeli

bunlar
eği3yor
olabilir)

•  Güvenlik
birimiyle
ile3şim
kurabilecek

seviyede
olmalılar

Katman
7:
Bilgi
İşlem

•  Bilgi
işlemde
çalışan
HERKES
güvenlik

konusunda
asgari
düzeyde
bilgili
olmalıdır

•  ACL,
VLAN,
vs.
buranın
kontrolünde

•  En
önemli
birim

NSM
Devreye
Alınması

•  Mükemmel
iyinin
düşmanıdır

•  Her
katmanda
temel
tedbirleri
alın

•  Her
seviyede
kullanıcıları
güvenlik
konusunda

bilgilendirin

Siber
Saldırı:
Örnek
Senaryo

•  Blackenergy

@basaranalper
|

IoC

•  IP
Adresleri:

–  193.239.152.131

–  62.210.83.213

•  XLS
SHA-‐1:

–  1DD4241835BD741F8D40BE63CA14E38BBDB0A816

•  Exe
SHA-‐1:

–  920EB07BC8321EC6DE67D02236CF1C56A90FEA7D

–  BC63A99F494DE6731B7F08DD729B355341F6BF3D

@basaranalper
|

IoC:
Vola3le
Cedar

@basaranalper
|

IoC:
Pawn
Storm

@basaranalper
|

IoC:
Pawn
Storm

•  Dosyalar:

– 05298a48e4ca6d9778b32259c8ae74527be33815

– 176e92e7cfc0e57be83e901c36ba17b255ba0b1b

– 30e4decd68808cb607c2aba4aa69ˆ5fdb598c64

•  Alanadları:

– eurosatory2014.com

– qov.hu

@basaranalper
|

FACC

Gerçek
alanadı:
26northavia3on.com

Sahte
alanadı:
26northavia3ons.com

Gerçek
alanadı:
bee-‐jet.com

Sahte
alanadı:
bee-‐jets.com

Gerçek
alanadı:
eurojet-‐service.com

Sahte
alanadı:
eurojets-‐service.com

@basaranalper
|

ICS-‐CERT

•  Varlık
yöne3mi
için
gerekli
yetki
ve
sorumlulukları
belirleyin

•  Ağ
mimarisini
kontrol
edin

•  Yama,
güncelleme
ve
yaşam
döngüsü
yöne3mi
süreçlerini

oluşturun

•  Ağ
bölmelerini
(segment)
düzenleyin.

•  Kri3k
varlıkların
ﬁziksel
güvenliğini
sağlayın.

•  Güvenlik
operasyonları
personeli
sayısını
arUrın
ve
görev

ve
sorumluluklarını
belirleyin.

•  Çalışmasına
izin
verilen
uygulamaları
beyaz
listeye
alın
ve

uzak
bağlan€larda
kimlik
doğrulaması
kullanın.

•  Sistemleri
izlemek
için
gerekli
güvenlik
izleme
sistemini

kurun.

@basaranalper
|

NIST:
Cybersecurity
Framework

1.  Belirleme

2.  Koruma

3.  Tespit

4.  Müdahale

5.  Düzeltme

@basaranalper
|

NIST:
Cybersecurity
Framework

1.  Belirleme

–  Kaynak/varlık

–  Risk

–  İş
süreçleri

2.  Koruma

3.  Tespit

4.  Müdahale

5.  Düzeltme

@basaranalper
|

NIST:
Cybersecurity
Framework

1.  Belirleme

2.  Koruma

–  Hizmet
vermeye
devam
etmek
için
gerekli

tedbirleri
belirle

3.  Tespit

4.  Müdahale

5.  Düzeltme

@basaranalper
|

NIST:
Cybersecurity
Framework

1.  Belirleme

2.  Koruma

3.  Tespit

–  Olay
tespit
etme
yeteneklerini
geliş3r

4.  Müdahale

5.  Düzeltme

@basaranalper
|

NIST:
Cybersecurity
Framework

1.  Belirleme

2.  Koruma

3.  Tespit

4.  Müdahale

–  Tespit
edilen
olaylara
müdahale
etme
yeteneğini

geliş3r

5.  Düzeltme

@basaranalper
|

NIST:
Cybersecurity
Framework

1.  Belirleme

2.  Koruma

3.  Tespit

4.  Müdahale

5.  Düzeltme

–  Sistemleri
olay
öncesi
haline
ge3r

@basaranalper
|

NIST:
Cybersecurity
Framework

@basaranalper
|

•  Üst
Yöne3m:

–  Odak:
Risk
Yöne3mi

–  Görev:
Kararlar
ve
Öncelikler

•  İş
süreçleri:

–  Odak:
Kri3k
altyapı
yöne3mi

–  Görev:
Bütçe
belirleme,
vb.

•  Operasyon:

–  Odak:
Kri3k
sistemlerin
koruması

–  Görev:
Uygulama

NIST:
Cybersecurity
Framework

@basaranalper
|

NIST:
Cybersecurity
Framework

Örn:

•  Koruma

– Access
Control

– Farkındalık
eği3mleri

– Bilgi
güvenliğ
poli3ka
ve
prosedürleri

– Bakım/onarım

– Güvenlik
teknolojileri

@basaranalper
|

NIST:
Cybersecurity
Framework

Örn:

•  Koruma

– Access
Control

•  Kullanıcı
kimlik
doğrulama
bilgilerinin
yöne3mi

•  Korunan
varlıklarlara
ﬁziksel
erişimin
dene3mi

•  Uzaktan
erişim
dene3mi

•  Erişim
izinleri
yöne3mi

•  Ağ
bütünlüğünün
güvenliği

@basaranalper
|

7
Adımda
Güvenlik

•  Uygulamaların
denetlenmesi

•  Yama
yöne3mi

•  Saldırı
yüzeyini
küçültme

•  Ağ
ve
sistemlerin
güvenliği

•  Erişim
yetkilerinin
dene3mi

•  Güvenli
uzaktan
erişim

•  İzleme
ve
müdahale

@basaranalper
|

basaranalper@gmail.com


TwiVer:
@basaranalper

Kritik Altyapılarda Siber Güvenlik

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (6)

More from Alper Başaran

More from Alper Başaran (17)

Kritik Altyapılarda Siber Güvenlik