Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu @BGASecurity - NETSEC / İbrahim Akgül

2. Ibrahim AKGUL
• Offically - Security Researcher
• Hobbies – Anything about with low-level,coding …
• Ex – Exploit and Malware developer
• Etc.. – Bug Hunting, R&D, Consulting
• Experience – 2000 - …… (Aviation - Finance - R&D)
• Blog: kernelturk.blogspot.com – updated once a year ☺
• Twitter: https://twitter.com/Stre4meR

3. Attackers Defenders

4. Sadece Ülkemiz’de
her yıl en az 25
Milyon Siber
saldırı
gerçekleşiyor.

8. Dünya’da Her yıl
120 milyar $
Güvenlik Ürünü Yatırımı
Yapılıyor!!!

9. Load Balancer Network Visiblity
Web Server File Server Backup ServerApplication
Server
Endpoint Security
Solutions
AV,Hips,DLP, etc…
Server Room
Sunucular
SAN Storage SAN Switch
Privileged Account
Management
Endpoint Privilege
Management
Deception Technology

10. Firewall – Tehditler
@BGASecurity
BGA
• Kurumların %76’sı firewalllarını doğru bir şekilde yapılandırmıyor!
• Yapılan bir veri ihlali soruşturmasında incelenen Firewall’arın% 80 kadarı kötü yapılandırılmış bulundu!
• İngiltere ve ABD'deki işletmelerin dörtte biri, policyleri doğru
bir şekilde uygulanmadıkları için tüm kural değişikliklerinin % 60'ından fazlasını yeniden düzenlemek zorunda kaldılar
• Bangladesh Swift soygunu ve gerçekleşen daha bir çok hacking
Aktivitesinin kök nedeni doğru yapılandırılmamış firewallardır!
• Denetlenmeyen firewall kuralları IT varlıklarını doğrudan
saldırılara açık hale getirir.

11. Firewall – Denetim
@BGASecurity
BGA
• Dış dünyaya açık servisler sürekli olarak kontrol ediliyor
mu?
• Hassas – İş Kritik sunucular için ayrı bir güvenlik duvarı
segmentasyonu/politikası mevcut mu?
• Yapılan policy değişiklikleri izleniyor mu?
• Policy değişiklikleri bir talep-onay mekanizması içerisinde
mi değerlendiriliyor?
• Firewall’a ait trafik ve denetim iz kayıtları SIEM ortamına
alınıyor mu?
• Firewall yöneticileri için yetki kontrolleri gerçekleştiriliyor
mu?
Sunuma Git

12. IDS/IPS
@BGASecurity
BGA
• Ağ trafiği üzerinde imza&anomali tabanlı tehdit analizi gerçekleştirirler,
• Öğrenme yetenekleri ile ağınıza ait trafiği tanır ve sonradan oluşabilecek
anomalilere karşı uyarılar oluşturur.
• Yöneten kişi kurum ağının izlendiği tüm trafiği görebilir!!!
• Varsayılan olarak şifreli trafiği dinleyemezler!!!
• Yeni nesil zafiyetlere karşı ağ katmanında 0 day patching işlevi görürler.

13. IDS/IPS – Denetim
@BGASecurity
BGA
• WAF ların yerine geçemezler!
• IPS varsayılan olarak şifreli trafiği çözmez. Günümüzde gerçekleşen saldırıların
neredeyse tümünün şifreli protokoller yolu ile gerçekleştirildiği düşünüldüğünde
IPS lerin de mutlaka uygun bir şekilde şifreli trafiği denetlemesi sağlanmalıdır.
• IPS’ler BW tabanlı DDoS lar için çare değildir!

14. WAF
@BGASecurity
BGA

15. Endpoint Security
@BGASecurity
BGA
• İmza tabanlı çalışırlar,
• On-Demand / Planlanmış taramalar
• On-Access / Gerçek zamanlı koruma
• Heuristic / Sezgizel tespit
• Behaviour Analysis / Davranış analizi
• Machine Learning ile tüm bilinen
zararlıların matematik modeli öğrenilir
• Artifical Intelligence ile bu matematik model
üzerinden tüm varlıklar skorlanır
• Score-based yeteneği ile de bloklanır

17. Switch – Tehditler
@BGASecurity
BGA
• CAM Attack – Content Addressable Memory
• ARP Spoofing
• Switch Spoofing - Vlan Hopping
• Double Tagging – Double Encapsulation
• VLAN Query Protocol (VQP) attack
• Cisco Discovery Protocol (CDP) Attack
• Multicast Brute-Force Attack
• Random Frame-Stress Attack
• Private VLAN (PVLAN) Attack
• Spanning Tree Protocol (STP) Attacks
https://www.redscan.com/news/ten-top-threats-to-vlan-security/

18. Switch – Denetim
@BGASecurity
BGA
• Management portu için ayrı bir vlan mevcut mu?
• Tüm varsayılan parolalar güvenli hale getirildi mi?
• SNMPv3 güçlü bir şekilde yapılandırıldı mı?
• STP protection aktif mi?
• Kullanılmayan portlar disable edilmiş mi?
• Port güvenliği için Mac Lock koruması sağlanıyor mu? CAM attack protection!
• Console port’a bağlantı parola korumalı mı?
• 802.1x desteği aktif mi?
• Authentication Radius/Tacacs+ üzerinden sağlanıyor mu?
• Radius/Tacacs+ çalışmadığı durumlar da yedek local yönetici hesabı mevcut mu?
• Varsayılan olarak açık gelebilecek SSH harici uzaktan yönetim servisleri disable edildi mi?
• SSH oturum zaman aşımı süresi belirlendi mi?
• SSH parola deneme sayısı sınırlandırıldı mı?

19. Email Gateway
@BGASecurity
BGA
• Mailbox hizmetleri ile karıştırılmamalı!
• MTA hizmetleri üstünde güvenlik denetimlerini icra eder,
• İçerik skorlama teknikleri ile Spam denetlerimi gerçekleştrir,
• Bütünleşik AV ile email eklerini denetler,
• SPF, DKIM, DMARC gibi denetimleri yönetir
• GTI ve Sandbox lar ile çalışarak üst düzey email güvenliği sağlar,

20. Web Gateway
@BGASecurity
BGA
• Kurum içinden gerçekleştirilen internet istekleri üzerinde içerik denetimi yapar
• Request, Response ve nesne denetimleri gerçekleştirir,
• Requestleri kategorilerine göre değerlendirilir,
• White/black listler ile uri/user/extension denetimide sağlanabilir,
• Upload ve Download süreçleride malware analizleri gerçekleştirir,
• AD entegrasyonu ile kullanıcı ve grup bazlı yetkilendirilmeleri mümkün kılar,
• Gelişmiş raporlama yeteneği ile en çok trafik tüketen kişi/url leri bildirir,

21. Web ve Email Gateway Denetimi
@BGASecurity
BGA
• Tüm kurum kullanıcı ve servisleri bu hizmetleri kullanmalıdır!
• Kurum veya IT yöneticileri için istisna uygulanmamalı!
• Whitelistler sürekli olarak denetlenmeli! ANY!!!
• Raporlar haftalık ve aylık olarak incelenmeli ve istismarlara karşı
aksiyonlar alınmalıdır,

23. Data Loss Prevention – Tehdit
@BGASecurity
BGA
• Data Exfiltration
• Data theft
• Ransom?
Ticari sırlar, hassas veriler…

24. Data Loss Prevention - Denetim
@BGASecurity
BGA
• Hassas bilgilerin tespiti edilmesi ve kritiklik derecelerine göre sınıflandırılması..
• Güvenlik politikalarının ihlali durumda caydırıcı yaptırımların uygulanması,
• Mevcut verilerin nerede bulunduğunu ve bu verilerin nasıl sınıflandırıldığını belirleyin.
• Ağ içindeki ve dışındaki veri akışlarını anlamak için yöneticiler ve meslektaşlarla görüşün.
• Halihazırda bulunan kontrolleri ve veri depolarını inceleyin.
• DLP discover ile ağ ve host taraması, ağ paylaşımlarında ve endpoint'lerde bulunan gizli verileri
bulabilmelidir. Pek çok durumda, gizli verilerin korunmamış kopyaları bulunacaktır;
bu veriler korunmalı veya silinmelidir. İlk olarak en hassas veri kategorisini koruyun.
• https://www.nsslabs.com/linkservid/13C2364A-5056-9046-931EC4F06A25968B/

25. Data Classification
@BGASecurity
BGA
• DLP ile birlikte güçlü bir exfiltration koruması sağlar,
• Tüm kullanıcı sistemlerinde bulunması şarttır,
• Verilerin doğru şekilde etiketlenmesi gerekmektedir,
• Sınıflandırılmayan veriler DLP nezdinde risk
olarak ele alınmalıdır

27. Domain Security – Tehditler ve Sorunlar
@BGASecurity
BGA
• Privelege Escalation,
• Credential Theft
• GPO Hack
• LDAP Injection
• Password Attacks
• Weak Algorithm Attacks
• Domain Hijack
• Varsayılan kurulum geleneği,
• Çok fazla Domain Admin hesabı
• Kırılabilir, kısa servis hesabı parolaları
• Zaafiyetli parola dağıtım uygulaması kullanımı,
• Gerekmese dahi uygulamalara verilen yönetici hesapları,
• Loglanmayan hassas AD Olayları
• Bir türlü güncellenmeyen Windows sunucuları

28. Domain Security - Denetim
@BGASecurity
BGA
• Kurumuzun sahip olduğu Site ve Domain Controller sayısını öğrenerek şemanızı tanıyın,
• Mümkün olan en az sayıda Yönetici hesabı olmalı!
• DNS, DHCP ve IIS vb loglar SIEM çözümüne alınmalı,
• Varsayılan tüm yönetici hesap isimleri değiştirilmeli!
• Tüm Yönetici ve GPO hareketleri loglanmalı,
• Birden çok domain olması durumunda Domain Admins grubu yetkileri kısıtlanmalı!!!
• Servis hesaplarında minimum 20, kullanıcı hesaplarında ise 9 karakterli ve karmaşıklık ilkesine uygun parola olmalı,
• Mimikatz türevi kimlik hırsızlığı saldırıları için özel registry taraflı parametreler tüm domaine set edilmeli,
• Powershell izinleri ve log ayarlarını sıkılaştırın,
• Local admin parola dağıtım ilkenizi GPP ise LAPS ile değiştirin, yada PAM çözümleri kullanın,

29. Domain Security – Windows Server
@BGASecurity
BGA
• Sunucular için ağ seviyesinde erişim yetkilendirilmeleri yapılmalı RDP, CIFS, SMB gibi.
• Audit log detay ayarları enable edilmeli,
• Mimikatz, Responder tarzı saldırı vektörleri için Registry key’leri eklenmeli,
• Güncellemeler gecikme olmaksızın geçilmeli veya 0day patching yapılmalı (IPS/WAF)
• Endpoint security çözümü uygulanmalı,
• Kritik sunuculara erişim PAM + PSM +OTP/Jump Server üzerinden gerçekleşmeli
• İstisnasız her sunucuya ait event log kayıtları SIEM’e aktarılmalıdır,
• Var ise sunucunun özel rolüne ait File-based loglar da SIEM’e aktarılmalıdır,
• File Server’lar için Object Access logları alınmalı veya Third party bir ürün kullanılmalıdır,
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations

30. Domain Security – Windows Client
@BGASecurity
BGA
• Client kullanıcıları hiçbir şekilde yerel yönetici hesabı ile çalışmamalı!! Admin yetkileri EPM ürünleri ile sağlanmalı!
• Endpoint Security ürünü kullanmayan Client kalmamalı ve güncel imzalara sahip olmalıdır,
• İş saatleri dışında aktivite gösteren Client’lar için alarmlar üretilmeli,
• Client’lar kritik sunuculara asla doğrudan erişmemeli ve bunun için PSM veya Jump Server kullanmalı!

31. Domain Security – Linux - Mainframe
@BGASecurity
BGA
• Auditd açılmalı!!!
• Çalıştırılan komutlara ait loglar alınmalı bunun için bash script yazılmalı,
• Kritik klasör ve dosyalar için (/etc/ /opt/{..} vb) file integrity logları alınmalı
• /etc/audit/audit.rules verbosity için ayarlanmalı,
• /var/log/audit/audit.log
• /var/log/secure
• File Integrity için third-party ürünler kullanılmalı ör FIM
• Kritik işlemlerin gerçekleştiği “mainframe” tarafına ait işlemlerin kim
tarafından hangi işlemin ne zaman yapıldığı gibi bilgiler dahilinde
logların merkezi loglama sistemine dahil edilmesi gerekmektedir.

32. Sanallaştırma ve Konteyner Güvenliği BGA
• İş yüklerini hypervisor halleder
• Farklı os’ler, farklı sunucular için idealdir,
• Güvenlik daha iyidir (konteyner’a göre),
• Olgunlaşmış altyapının stabilite garantisi,
• Kurumsal firmalar için idealdir.
• İş yüklerini host os halleder, kaynak verimliliği sağlar
• Microservisler için idealdir
• Güvenlik riskleri fazladır,
• Gelişme sürecinde ve performans yan etkileri var
• Servis sağlayıcılar için idealdir.

33. -Teşekkürler-
bgasecurity.com | @bgasecurity