açık kaynak sistemlerle siber saldırı gözlemleme sistemi kurulum ve yönetimi

Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi

Kurulum ve YönetimiÇağrı Ersen

Linux Akademihttp://www.linuxakademi.com.tr

Twitter ⇒ @CagriErsen

http://www.linuxakademi.com.tr

http://www.linuxakademi.com.tr

Amaç

Bu seminer, yerel ve sunucu ağlarında açık kaynak kod uygulamalar kullanarak bir “Siber Saldırı Gözlemleme Sistemi” kurgulanması ve

bu yolla “Güvenlik Odaklı 360 Derece Alan Hakimiyeti” konseptinin neden ve nasılına

değinecektir!

BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Ajanda● Siber Saldırı Gözlemleme Konsepti

○ Kavramlar (Ne, Neden, Nasıl ?)

● İhtiyaçlar & Bileşenler○ Ossec & Snort○ ELK Stack (ElasticSearch & Logstash & Kibana)○ Parçaların birleştirilmesi

● Gerçek Hayattan ÖrneklerBGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Siber Saldırı Gözlemleme Konsepti

Kavramlar

Bir takım laf salatası (mı acaba ?)● Farkındalık● Güvenlik Odaklılık● 360º Alan Hakimiyeti● Bir DevOps süreci olarak “Gözlemleme”


Farkındalık

Hepimiz aynı “fizik yasaları”na tabiyiz...

… ve hayatın tüm dinamikleri insanlık tarihince üretilmiş “aynı bilgi”ye dayalı olarak meydana

geliyor...


Farkındalık

Buna rağmen aynı imkanlara sahip, aynı “şey”’i yapan iki farklı kişi/kurumdan neden birisi “daha” başarılı oluyor ? Ya da diğeri neden daha başarısız ?

Yani “input” aynı iken “output”’un neden bir standartı yok ?


Farkındalık

Evet doğru......cevabı etkileyen bir çok faktör var…

...ancak listesinin en tepesine yazılan ve diğer tüm faktörleri doğrudan etkileyen gerekçe

istisnasız aynıdır:“Farkındalık”


Farkındalık

Farkındalık, vizyonu şekillendirir, konuyu her ayrıntısı ile ele alma dürtüsünü tetikler ve

ayrıntılar önemlidir; farkı yaratır...

deyimi bile var...“Şeytan ayrıntıda gizlidir!”


Farkındalık…ve başarılı olanlar, fark yaratanlardır...


Güvenlik Odaklılık

Farkındalığın yüksek olması, üzerinde mesai harcanan sistemi, dayanıklılık, güvenilirlik ve süreklilik esasları çerçevesinde ele alacak bir

disiplin ihtiyacını doğurur…

ve günümüzdeki ITIL/COBIT/PCI gibi disiplinlerin odağında güvenlik bulunmaktadır.



Bu anlamda güvenlik, sürekli üzerinde durulması ve sisteme çakılan her bir çivinin bu odak ekseninde olması gerektiğini dikte eden

bir süreçtir…



… ve bir sürprizin sistem sürekliliğine

ve güvenilirliğine zarar vermemesi için yegane şart güvenlik odaklı

olmaktır...


360º Alan Hakimiyeti

“Farkındalık”, güvenlik odaklılığı, “Güvenlik odaklılık” ise “Hakimiyet” gereksinimini

doğurmaktadır.

Disiplinin bir zorunluluk olarak dayattığı bu durum, sistemi oluşturan tüm katmanlara hakim olma felsefesinin afili tercümesidir.



İçeriden ya da dışarıdan gelebilecek müdahalelerin güvenilirlik ve sürekliliğe ket vurmaması için bu

“hakim olma durumu” elzem bir konudur…

...ve tüm altyapının herhangi bir kör nokta kalmayacak şekilde gözlemlenmesi ile hayata

geçirilir...



...her yönüyle ve hiç bir kör nokta kalmayacak şekilde gözlemlemek! :)


Gözlemleme

Güvenlik odaklı, 360 derece alan hakimiyeti kurmak üzere ihtiyaç duyulan bu “Gözlemleme İşi”, oluşabilecek sorunlara henuz oluşmadan önce -proaktif olarak- yanıt verebilmek üzere

kurgulanması gereken bir “Monitoring altyapısı” ihtiyacı doğurmaktadır...


Gözlemleme

Bu altyapının en önemli dinamiği ise, “ihtiyaçlara göre esnetilebilir ve disiplin sürecine dahil

edilebilir” şekilde kurgulanabilmesidir.

Zira - daha önce de bahsedildiği gibi -,“Güvenlik bir süreçtir...”


Gözlemleme

İhtiyaca göre esnetilemeyen bir monitoring sistemi kuvvetle muhtemel; “Yalancı Çoban Sendromu”

ndan muzdarip olarak efektifliğini yitirmiş ve süreçlere dahil edilemediğinden zamanla bir

kenarda unutulacak, tek varlık sebebi “Var mı ? Var!” olan boynu bükük bir sistem olacaktır...


GözlemlemeYalancı Çoban Sendromu

Çok sayıda false-positive alarm üretip inanılırlığını yitiren ve esnetilemeyen sistemlerin muzdarip olduğu sendrom.


GözlemlemeSürece dahil

edilemeyen bir monitoring

sistemi nedeni ile varılan “reaktif”

nokta...


GözlemlemeTüm bu nedenlerden dolayı kurgulanacak sistemin,

olması, hem micro hem macro management anlamında ihtyaçlara göre esnetilebilir olması

efektiflik açısından zorunlu bir ihtiyaçtır..

İşte bu yüzden tercih edilen araçların ne kadar “açık”olduğu önemlidir; zira...


Gözlemleme

“Açık Kaynak Kod Araçlar”

=“Esnetilebilirlik”

= “İhtiyaca Göre Kurgu”


İhtiyaçlar ve Bileşenler

İhtiyaçlar

İlk olarak ihtiyaçlarımızı belirleyelim:

Bahsi geçen özelliklerde, yani IT güvenlik sürecine dahil edilerek atıl kalması engellenecek bir

gözlemleme sisteminin “temel” özellikleri neler olmalıdır ?


İhtiyaçlar

İhtiyaçlarımıza göre kurgulayacağımız monitoring sistemimizin temel özellikleri spesifik olarak aşağıdaki iki soruyu adresleyecek yetenekte

olmalıdır:

“Ne oldu ?”“Ne değişti ?”


İhtiyaçlar

Ekseni belirlemek, kurgulanacak sistemin efektifliğine direk etki ettiği için en önemli

konudur...

… bu yüzden “Ne oldu ve Ne değişti ?” ekseninde gözlemleme sistemimizin özelliklerini

belirleyelim...


İhtiyaçlar

… ilk olarak her bir host ve network cihazında:● Log Analizi tabanlı Anomaly Detection,● Dosya Bütünlük Kontrolü,● Rootkit Detection,

yapabilme ve sistem katmanında cereyan eden olayları tespit edebilme ihtiyacımız bulunuyor...


İhtiyaçlar

… ardından network trafiğini izleyebilmeli ve;

● Protokol analizi tabanlı anomaly detection,● Trafik içeriğinde pattern search

yaparak network katmanındaki atak vektörlerini ve anormallikleri tanıyabilmeliyiz...


İhtiyaçlar

… Sistem ve Network katmanından elde ettiğimiz bu verileri mutlak olarak,

● Okunaklı ve anlamlı bir halde, ● Geçmişe yönelik ve hiyerarşik olarak,

Bir mecrada depolayabilmeliyiz...


İhtiyaçlar… ve depolanmış bu veriyi,

● Problematik durumların bir bakışta farkedilmesini sağlayacak,

● Detaylı aramaya ve analize imkan verecek,

ekranlar üzerinden monitor edebilmeliyiz...


Bileşenler

Tüm bu ihtiyaçları karşılayacak sistem için reçete:

● Ossec● Snort (ya da Suricata)● ELK Stack

○ ElastichSearch○ Logstash○ Kibana


Bileşenler - OssecTrend Micro tarafından desteklenen, GPLv3 lisanslı (Open Source) bir HIDS (Host Based Instrution Detection System) uygulaması…

● Kural tabanlı log analizi,● Dosya Bütünlük Kontrolü● Rootkit Detection● Active Response (Otomatik Aksiyon)


Bileşenler - Ossec● Manager / Agent Yapısı ile merkezi yönetim,● Yapılandırılabilir (esnek) alarm desteği,● Multi Platform (Linux, Solaris, AIX, HP UNIX,

BSD, OSX, VMWare ESX ve Windows)● Üzerine agent kurulamayan (router, switch vs.)

aktif ağ cihazları için agentless monitoring desteği.


Bileşenler - Ossec

● Hemen hertür log formatı desteği.● Öntanımlı 1000’in üzerinde decoder ve rule,

(http://www.ossec.net/?page_id=36)


http://www.ossec.net/?page_id=36

Bileşenler - Snort

4~ milyon indirme sayısıyla dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS uygulaması.

● 98 yılında başlayan bir proje,● Multi Platform (*nix/Windows)● Stateful Packet Tracking● Akademik, askeri, ticari

kullanım alanıBGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi

Bileşenler - Snort● Cisco (SourceFire) tarafından geliştirilmektedir.● Gartner Raporuna Göre en başarılı IPS’lerden

biri, (Sourcefire)● Açık kural dili & Kendi kurallarınızı geliştirebilme● ~15.000 öntanımlı kural● ~3000 tavsiye edilen block kuralı● 1 Mb -10Gb arası performans


Bileşenler - ELK Stack

ElasticSearchEsnek, güçlü açık kaynak kod, dağıtık, gerçek zamanlı bir arama ve analitik motoru.

(Verimizi anlamlandırarak depoladığımız mecra)



LogstashAçık kaynak kodlu bir “log parser”.

(Ossec ve Snort alarmlarını parse edip elasticsearch’e export ettiğimiz araç.)



KibanaElasticsearch için veri görselleştirme motoru.

(Elasticsearch'deki anlamlı veriyi sorgulamak ve görselleştirmek üzere kullandığımız bileşen.)


Parçaları Birleştirelim


Gerçek Hayattan Örnekler


10 Ekim Akşamı “Ne oldu” ?

Bazı dosyalar ve registry anahtarları “değişmiş”...

Gerçek Hayattan ÖrneklerSpesifik bir tarih aralığında “ne oldu” ?


Gerçek Hayattan ÖrneklerHmmm… Snort Alarmları... Detaylar ??


Gerçek Hayattan ÖrneklerVuln Scanner

Detaylar


Colorado yöresinden bir shellshock’çu arkadaş...


Bash zafiyetinin duyurulduğu zaman dilimi...

Adamlar Rus beyler..BGA Linux Akademi 2014 | www.linuxakademi.com.tr | @linuxakademi


Shellshock...



May the brute force be with you...


PortScan

Heartbeat

Sensitive Data



WebApp Scanner

Exploit denemesi



Sisteme yüklenen yeni paket...

Eklenen kullanıcı



Yeni dinlenmeye başlanan bir port...



İçeriği değişmiş bir dosya...


TEŞEKKÜRLER

açık kaynak sistemlerle siber saldırı gözlemleme sistemi kurulum ve yönetimi

Internet