1. @ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Halil ÖZTÜRKCİ
Microsoft MVP
CISSP, GPEN, GCFA, CEH, CHFI
twitter.com/halilozturkci
2. ADEO Kurucu Ortak&Güvenlik Birimi
Yöneticisi
Adli Bilişim Derneği & USMED
Adli Bilişim Uzmanı
Beyaz Şapkalı Hacker
Microsoft MVP, Enterprise Security
Güvenlik TV Yapımcısı ve Sunucusu
SANS Mentor (www.sans.org)
CISSP, GPEN, GCFA, CHFI, CEH...
www.halilozturkci.com
halilozturkci
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
3. Nedir Bu SOME Dedikleri
SOME ’lerden Beklentiler
Siber Olaylar ve Olay Müdahalesi
(Incident Response)
SOME ve Adli Bilişim
İncelemeleri
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
5. Siber Güvenlik Kurulu’nun ilk toplantısında “Ulusal
Siber Güvenlik Stratejisi ve 2013-2014 Eylem
Planı” kabul edilmiştir.
Bu eylem planında kamu kurum ve kuruluşları
bünyesinde Siber Olaylara Müdahale Ekipleri
(Kurumsal SOME, Sektörel SOME) oluşturulması
öngörülmüştür.
4. Madde:Stratejik Siber Güvenlik Eylemleri
▪ c.) Ulusal Siber Olaylara Müdahale Organizasyonunun
Oluşturulması
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
6. Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar
Hakkında Tebliğden;
MADDE 5 − (1) Kurumsal SOME’ler;
Kurumlarına doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemel
siber saldırılara karşı;
▪ Gerekli önlemleri alma veya aldırma
Bu▪ tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veya
kurdurma
▪ Kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla
yükümlüdürler .
(3) Kurumsal SOME’ler,
Siber olayların önlenmesi veya zararlarının azaltılmasına yönelik faaliyetlerini varsa birlikte çalıştığı
sektörel SOME ile eşgüdüm içerisinde yürütürler.
Durumdan gecikmeksizin USOM'u haberdar ederler.
(4) Kurumsal SOME’ler bir siber olayla karşılaştıklarında;
USOM ve birlikte çalıştığı sektörel SOME'ye bilgi vermek koşulu ile öncelikle söz konusu olayı
kendi imkân ve kabiliyetleri ile bertaraf etmeye çalışırlar.
Bunun mümkün olmaması halinde varsa birlikte çalıştığı sektörel SOME'den ve/veya USOM'dan
yardım talebinde bulunabilirler.@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
7. @ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Kurumun imkânları çerçevesinde bu fonksiyonların tamamını yerine getirmesi için hâlihazırda bilgi
işlem bünyesinde görev yapan personelin Kurumsal SOME kurulumunun ilk aşamasında ikiz görevli
olarak görevlendirilebileceği; nihai hedef olarak ayrı uzmanlık gerektiren her bir fonksiyon için en
az bir sözleşmeli/kadrolu personel istihdamı yapılması tavsiye edilmektedir.
8. Siber Olay Öncesi Beklentiler
Kurum içi farkındalık çalışmalarının
gerçekleştirilmesi
Kurumsal bilişim sistemleri sızma testlerinin
yapılması / yaptırılması
Kayıtların düzenli olarak incelenmesi
Siber Olay Esnasındaki Beklentiler
Siber Olay Sonrasındaki Beklentiler
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
9. İki temel başlık altında toplanabilir
Reaktif Servisler
Proaktif Servisler
Reaktif servisler herhangi bir siber saldırı anında
veya sonrasında verilebilecek servislerdir
Proaktif servisler ise herhangi bir siber olay
meydana gelmeden önce altyapıyı ve güvenlik
süreçlerini iyileştirmeye yönelik servislerdir.
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
10. Reaktif servis kategorisinde yer alan servisler
temel manada şunlardır;
Alerts and Warnings
Incident Handling
Incident Analysis▪
Forensic Evidence Collection▪
Tracking or Tracing▪
Incident Response on Site▪
Incident Response Support▪
Incident Response Coordination▪
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
12. Ulak-CSIRT UlusalAkademik Ağ kapsamında kurulmuş bir güvenlik
birimidir.
Ulak-CSIRT (Computer Security Incident ResponseTeam)
Dış ağlardan ULAKNET'e yapılabilecek güvenlik ihlallerini
▪ Önleme,
▪ Gerçekleşen saldırı ve sorumlularını tespit etme
ULAKNET'ten dış dünyaya yapılan saldırıları
▪ Önleme
▪ Eğer saldırı oluşmuşsa saldırı sorumlusunu tespit ederek saldırıyla karşılaşan ağın
yöneticileriyle bilgileri paylaşmakla
sorumludur.
http://csirt.ulakbim.gov.tr adresinden detaylara ulaşılabilir.
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
13. Ağ genelinde bilgi güvenliği bilincini artırmak
Akademik ağa yapılan bilgisayar güvenliğini tehdit edici
saldırı sayısını azaltmak
Güvenlik ihlali sorumlularını tespit etme aşamasının
koordinasyonunu sağlamak
Güncel açıkları ve çözümleri hakkında ağa bağlı uçların
yöneticilerini bilgilendirmek
Bağlı uç yöneticilerine bilgi güvenliği hakkında eğitim
vermek
Bilgi güvenliğini sağlamak için kullanılacak yöntemler
hakkında Türkçe döküman sağlamak
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
14. Siber Olay Esnasında Beklentiler
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
15. Kurumsal SOME olay müdahale
esnasında bilişim sistemlerine
yetkisiz erişim yapılmaması için
gerekli tedbirleri alır, aldırır.
Siber olay müdahale akışı içinde
suç unsuruna rastlanması
halinde savcılık, kolluk makamı
vb. makamlara haber verilmesi
hem kanuni yükümlülüğün yerine
getirilmesi, hem de ulusal siber
güvenlik kapsamında
caydırıcılığın sağlanması
açısından önem arz etmektedir.
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
16. Siber Olay Sonrası Beklentiler
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
17. Zaman geçirmeden olaya neden olan açıklık belirlenir ve çıkarılan
dersler kayıt altına alınır.
Kurumsal SOME, siber olay ile ilgili bilgileri USOM tarafından
belirlenen kriterlere uygun şekilde Siber Olay Değerlendirme
Formunu doldurarak USOM’a ve varsa bağlı olduğu Sektörel
SOME’ye gönderir ve kayıt altına alır.
Olayla ilgili olarak gerçekleştirilebilecek düzeltici/önleyici
faaliyetlere ilişkin öneriler kurum yönetimine arz edilir.
Yaşanan siber olayların türleri, miktarları ve maliyetleri ölçülüp
izlenir.
Yaşanan siber olaya ilişkin iş ve işlemlerin detaylı bir şekilde
anlatıldığı siber olay müdahale raporu hazırlanır, üst yönetim,
USOM ve varsa bağlı olduğu Sektörel SOME’ye iletilir.
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
18. Olay müdahalesi (Incident Response) bir güvenlik
ihlali sırasında ve sonrasında hangi eylemlerin
gerçekleştirilmesi gerektiğine ilişkin organize
yaklaşıma verilen isimdir.
Olay müdahalesinde amaç olası zararı en aza
indirmek ve normal duruma dönmek için gerekli
zamanı ve maliyeti azaltmaktır.
Yukarıdaki şartları sağlamak adına olası bir olay
gerçekleştiğinde hangi adımların izlenmesi gerektiği
“olay müdahale planı” nda yer alır.
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
19. Hazırlık
Olay• öncesinde
mutlaka plan
yapılmalı
Tanımlama
•Meydana gelen
olayın ne olduğunu
tanımla
Kapsamı Belirle &
Yükseltme
•Olayın sınırlarını
belirle
Analiz Et &
KökündenÇöz
•Temel sebebi bul ve
ortadan kaldır
Onar
Operasyonu•
normale döndür
Alınan Dersler
•Prosesi İyileştir
Bildir
Eğer veri sızması
olduysa paydaşları
bilgilendir
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
20. Mutlaka bir bilene sorun.
Müdahale sırasında yapacağınız
en ufak bir hata, sayısal delillerin
bir daha geri dönülemez şekilde
yok olmasına sebep olabilir.
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
21. SOME ve Adli Bilişim İncelemeleri
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
22. Computer Forensics
Windows Forensics
Registry Forensics▪
Windows Memory▪ Forensics
Shadow▪ Copy Forensics
Linux/Unix Forensics
Network Forensics
Mobile Forensics
Malware Forensics
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
23. File Sistem Forensics
FAT, exFAT, NFTS, ext2, ext3, ext4, jfs..
Windows Forensics
Canlı İncileme
Memory Forensics
Registry Forensics
Linux/Unix Forensics
Mac OS X Forensics
Virtualization Forensics
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
24. Paket Yakalama ve Paket Analizi
Kurbanın bilgisayarından paket yakalama
TAP cihazları kullanarak paket yakalama
Aktif Ağ Cihazlarının Log Analizleri
Aktif ağ Cihazları Yönetim Yazılımlarının
Log Analizleri
SIEM ürünlerinin Log Analizleri
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr