some’lerden beklenen adli bilişim yetkinlikleri
TRANSCRIPT
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Halil ÖZTÜRKCİMicrosoft MVP
CISSP, GPEN, GCFA, CEH, CHFI
twitter.com/halilozturkci
ADEO Kurucu Ortak&Güvenlik Birimi YöneticisiAdli Bilişim Derneği & USMED
Adli Bilişim UzmanıBeyaz Şapkalı HackerMicrosoft MVP, Enterprise SecurityGüvenlik TV Yapımcısı ve Sunucusu
SANS Mentor (www.sans.org)
CISSP, GPEN, GCFA, CHFI, CEH...
www.halilozturkci.com
halilozturkci
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Nedir Bu SOME DedikleriSOME ’lerden BeklentilerSiber Olaylar ve Olay Müdahalesi(Incident Response)SOME ve Adli Bilişimİncelemeleri
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Siber Güvenlik Kurulu’nun ilk toplantısında “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” kabul edilmiştir.
Bu eylem planında kamu kurum ve kuruluşları bünyesinde Siber Olaylara Müdahale Ekipleri (Kurumsal SOME, Sektörel SOME) oluşturulması öngörülmüştür.
4. Madde:Stratejik Siber Güvenlik Eylemleri▪ c.) Ulusal Siber Olaylara Müdahale Organizasyonunun
Oluşturulması
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğden;
MADDE 5 − (1) Kurumsal SOME’ler;
Kurumlarına doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemelsiber saldırılara karşı;▪ Gerekli önlemleri alma veya aldırma
Bu ▪ tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veyakurdurma
▪ Kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla
yükümlüdürler .
(3) Kurumsal SOME’ler, Siber olayların önlenmesi veya zararlarının azaltılmasına yönelik faaliyetlerini varsa birlikte çalıştığısektörel SOME ile eşgüdüm içerisinde yürütürler.
Durumdan gecikmeksizin USOM'u haberdar ederler.
(4) Kurumsal SOME’ler bir siber olayla karşılaştıklarında;USOM ve birlikte çalıştığı sektörel SOME'ye bilgi vermek koşulu ile öncelikle söz konusu olayıkendi imkân ve kabiliyetleri ile bertaraf etmeye çalışırlar.
Bunun mümkün olmaması halinde varsa birlikte çalıştığı sektörel SOME'den ve/veya USOM'danyardım talebinde bulunabilirler.@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Kurumun imkânları çerçevesinde bu fonksiyonların tamamını yerine getirmesi için hâlihazırda bilgi
işlem bünyesinde görev yapan personelin Kurumsal SOME kurulumunun ilk aşamasında ikiz görevli
olarak görevlendirilebileceği; nihai hedef olarak ayrı uzmanlık gerektiren her bir fonksiyon için en
az bir sözleşmeli/kadrolu personel istihdamı yapılması tavsiye edilmektedir.
Siber Olay Öncesi Beklentiler
Kurum içi farkındalık çalışmalarının gerçekleştirilmesi
Kurumsal bilişim sistemleri sızma testlerinin yapılması / yaptırılması
Kayıtların düzenli olarak incelenmesi
Siber Olay Esnasındaki Beklentiler Siber Olay Sonrasındaki Beklentiler
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
İki temel başlık altında toplanabilir
Reaktif Servisler
Proaktif Servisler
Reaktif servisler herhangi bir siber saldırı anındaveya sonrasında verilebilecek servislerdirProaktif servisler ise herhangi bir siber olaymeydana gelmeden önce altyapıyı ve güvenliksüreçlerini iyileştirmeye yönelik servislerdir.
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Reaktif servis kategorisinde yer alan servislertemel manada şunlardır;
Alerts and Warnings
Incident Handling
Incident Analysis▪
Forensic Evidence Collection▪
Tracking or Tracing▪
Incident Response on Site▪
Incident Response Support▪
Incident Response Coordination▪
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Vulnerability Handling
Vulnerability Analysis
Vulnerability Response
Vulnerability Response Coordination
Artifact Handling
Artifact Analysis
Artifact Response
Artifact Response Coordination
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Ulak-CSIRT Ulusal Akademik Ağ kapsamında kurulmuş bir güvenlikbirimidir.
Ulak-CSIRT (Computer Security Incident Response Team)
Dış ağlardan ULAKNET'e yapılabilecek güvenlik ihlallerini
▪ Önleme,
▪ Gerçekleşen saldırı ve sorumlularını tespit etme
ULAKNET'ten dış dünyaya yapılan saldırıları
▪ Önleme
▪ Eğer saldırı oluşmuşsa saldırı sorumlusunu tespit ederek saldırıyla karşılaşan ağınyöneticileriyle bilgileri paylaşmakla
sorumludur.
http://csirt.ulakbim.gov.tr adresinden detaylara ulaşılabilir.
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Ağ genelinde bilgi güvenliği bilincini artırmakAkademik ağa yapılan bilgisayar güvenliğini tehdit edicisaldırı sayısını azaltmakGüvenlik ihlali sorumlularını tespit etme aşamasınınkoordinasyonunu sağlamakGüncel açıkları ve çözümleri hakkında ağa bağlı uçlarınyöneticilerini bilgilendirmekBağlı uç yöneticilerine bilgi güvenliği hakkında eğitimvermekBilgi güvenliğini sağlamak için kullanılacak yöntemlerhakkında Türkçe döküman sağlamak
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Siber Olay Esnasında Beklentiler
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Kurumsal SOME olay müdahale esnasında bilişim sistemlerine yetkisiz erişim yapılmaması için gerekli tedbirleri alır, aldırır.
Siber olay müdahale akışı içinde suç unsuruna rastlanması halinde savcılık, kolluk makamı vb. makamlara haber verilmesi hem kanuni yükümlülüğün yerine getirilmesi, hem de ulusal siber güvenlik kapsamında caydırıcılığın sağlanması açısından önem arz etmektedir.
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Siber Olay Sonrası Beklentiler
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Zaman geçirmeden olaya neden olan açıklık belirlenir ve çıkarılan dersler kayıt altına alınır.
Kurumsal SOME, siber olay ile ilgili bilgileri USOM tarafından belirlenen kriterlere uygun şekilde Siber Olay Değerlendirme Formunu doldurarak USOM’a ve varsa bağlı olduğu SektörelSOME’ye gönderir ve kayıt altına alır.
Olayla ilgili olarak gerçekleştirilebilecek düzeltici/önleyici faaliyetlere ilişkin öneriler kurum yönetimine arz edilir.
Yaşanan siber olayların türleri, miktarları ve maliyetleri ölçülüp izlenir.
Yaşanan siber olaya ilişkin iş ve işlemlerin detaylı bir şekilde anlatıldığı siber olay müdahale raporu hazırlanır, üst yönetim, USOM ve varsa bağlı olduğu Sektörel SOME’ye iletilir.
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Olay müdahalesi (Incident Response) bir güvenlikihlali sırasında ve sonrasında hangi eylemleringerçekleştirilmesi gerektiğine ilişkin organize yaklaşıma verilen isimdir.
Olay müdahalesinde amaç olası zararı en azaindirmek ve normal duruma dönmek için gereklizamanı ve maliyeti azaltmaktır.
Yukarıdaki şartları sağlamak adına olası bir olaygerçekleştiğinde hangi adımların izlenmesi gerektiği“olay müdahale planı” nda yer alır.
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Hazırlık
Olay • öncesindemutlaka plan yapılmalı
Tanımlama
•Meydana gelenolayın ne olduğunutanımla
Kapsamı Belirle & Yükseltme
•Olayın sınırlarınıbelirle
Analiz Et & Kökünden Çöz
•Temel sebebi bul veortadan kaldır
Onar
Operasyonu•normale döndür
Alınan Dersler
•Prosesi İyileştir
BildirEğer veri sızması
olduysa paydaşlarıbilgilendir
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Mutlaka bir bilene sorun.Müdahale sırasında yapacağınız
en ufak bir hata, sayısal delillerin bir daha geri dönülemez şekilde yok olmasına sebep olabilir.
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
SOME ve Adli Bilişim İncelemeleri
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Computer Forensics
Windows Forensics
Registry Forensics▪
Windows Memory ▪ Forensics
Shadow▪ Copy Forensics
Linux/Unix Forensics
Network Forensics
Mobile Forensics
Malware Forensics
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
File Sistem Forensics
FAT, exFAT, NFTS, ext2, ext3, ext4, jfs..
Windows Forensics
Canlı İncileme
Memory Forensics
Registry Forensics
Linux/Unix Forensics Mac OS X Forensics Virtualization Forensics
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Paket Yakalama ve Paket Analizi
Kurbanın bilgisayarından paket yakalama
TAP cihazları kullanarak paket yakalama
Aktif Ağ Cihazlarının Log Analizleri
Aktif ağ Cihazları Yönetim Yazılımlarının
Log AnalizleriSIEM ürünlerinin Log Analizleri
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Cep Telefonu ve SIM Kartlarda Forensics
Akıllı Telefonlarda Forensics
iPhone
Android
Windows
Tablet Cihazlarda Forensics
Akıllı Telefonların Bilgisayarlarda Tutulan
Yedekleri Üzerinden Forensics
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Statik Analiz
String Analizi, Disassembler
Dinamik Analiz
Kendi Lab Ortamımızda
Anubis
Sandbox (Cuckoo Sandbox vb)
Kod Analizi
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Teşekkürler
@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr