25 Ocak 2016 Pazartesi

SIEM Çözümlerini Merkezileştirmek

Siber olaylara müdahale ekiplerinin olmazsa olmazı SIEM çözümleri denilebilir. Çünkü olay müdahalesi sürecinde gelişmiş şekilde yapılan log korelasyon senaryoları ile herhangi bir incident yaşandığı zaman SIEM sayesinde aldığımız alarmlardan yola çıkarak müdahale edebiliriz. Örnek vericek olursak bir saldırgan ya da birden fazla saldırgan belirli zaman dahilinde belirli bir url'e sql injection ya da Xss saldırısı düzenliyorsa yani IPS,firewall,waf, web sunucu loglarından bulunan o url'i her zaman yoklayan birileri varsa(ateş olmayan yerden duman çıkmaz) burada bir şeylerin ters gidebileceğini düşünerek önlem alınabilir. SIEM'i merkezileştirmek SOC' yapısında gerekli tüm işlevlerini faz-1,faz-2,faz-3'ten sonra aslında tümüyle kullanmakta denilebilir. Kurum topoloji yapısı bir şekilde değişebilir ancak merkezileştirmiş olduğumuz SIEM' çözümlerini tabiri yerindeyse her şeyin tam göbeğine oturtursanız yukarıdaki gibi bir durumda SOME'nin de işlevlerini yerine getirmede yardımcı olmuş olursunuz.

Bu konularda gezerken şöyle bir resme rastlamıştım. Yazıyı özetler nitelikte olduğu için buradan paylaşıyorum.


23 Ocak 2016 Cumartesi

Bilgi Güvenliği ve SOME' ler Açısından Farkındalığın Önemi

Kurumsal bilgi güvenliğinin sağlanması çok önemli bir konudur. Bilgi güvenliğinin sağlanmasının üç temel unsuru(gizlilik,bütünlük,erişilebilirlik) faktörleri çok önemlidir. Ancak bunu bir takım güvenlik ürünleri ve süreçler ile devam ettirirken, "zincirin en zayıf halkası insandır" eğitim, farkındalık çalışmaları ayrı bir öneme sahiptir. Ransomware, cryptolocker ve diğer scam, phishing kampanyalarında kurbanların bir şekilde istenilen linke tıklamalarını ya da attach edilen dosyaları indirtmek vardır.  Bu noktada SOME ya da SOC yapınız ne kadar işleve sahip olursa olsun, eğitimsel farkındalık çalışmaları yapmıyorsanız bunun pek faydası olmayacaktır.


Biz de bunu düşünerek phishingler ile ilgili şöyle bir video animasyonu hazırladık. Sizde some'nizi daha işlevli hale getirmek için ayda bir böyle videolar hazırlayıp çalışanlarınıza izletir seniz, umarım faydalı olacaktır :)



15 Ocak 2016 Cuma

Log Korelasyon Senaryolarının Oluşturulması ve Örnek Log Korelasyonları

Çok yakında oluşturulmuş olan belirli sayıda korelasyon kurallarını güncel olarak buradan paylaşıyor olacağım. Şu an yazı daha tamamlanmadı.

Görüşmek dileğiyle,

Kritik Altyapılara Yönelik DDOS Saldırıları Hakkında Bilinmesi Gerekenler

Geçtiğimiz günlerde gerçekleştirilen nic.tr dns amplification attack ve akbank, iş bankası, garanti, ziraat bankasına yönelik saldırılar kamuoyunu bir hayli meşgul etmişti. Ddos saldırılarını kökten, "tamamen" engellemek için bir çözüm olmamasına rağmen belirli başlı şekilde olanlarını("saldırının tipine göre") engellemek bir açıdan mümkün. Örneğin saldırının geldiği ip bloğundan gelen trafiğin bloklanması, ddos'a karşı rate limiting özeliklerinin kullanılması, firewall, ips cihazlarının etkin kullanımı, ddos incident response methodlarının öğrenilmesi, access control listler ile yapılabilecek kısıtlamalar, load balance yöntemlerinin kurum network altyapısına uygun bir şekilde düzenlenmesi, trafic diversion yöntemleri kullanarak BGP ile uygulanabilecek cloud çözümler, ISP tarafında alınılabilecek önlemler,. Bu konuda bilgi güvenliği akademisi şöyle güzel bir çalışma yapmış bundan faydalanabilirsiniz. Ama belirtmekte fayda var, kesin bir çözüm olmamakla birlikte "mitigation" yapabilmek mümkün.

Geçtiğimiz günlerde Hazar Strateji enstitüsü "Kritik Altyapılarda Siber Güvenlik ve Ddos saldırıları ile ilgili aşağıdaki gibi bir infografik paylaşmış. Orjinal kaynağa buradan ulaşabilirsiniz.
Blogumu ziyaret edenlerin bilgilenmesi açısından sizlerle bu infografiği paylaşıyorum.

Ayrıca bu ve benzeri konular ile ilgili olay müdahalesi ve mitigation teknikleri ile ilgili şöyle güzel iki kitap var. Bu kitapların SOME tarafında yapılacak iyileştirmelere katkı sağlayacağını belirtmekte fayda var. Kitap 1 ve Kitap 2 Gorusmek dileğiyle,


11 Ocak 2016 Pazartesi

Security Operation Center Fazları {Güvenlik Operasyon Merkezi) ve Dışarıdan Alınacak Hizmetlerde Bilinmesi Gerekenler!

Son günlerde kurumların gündemini siber olaylara müdahale ekiplerinin(some) kurulumu kapsamında yapılan çalışmalar meşgul etmekte. Ancak bazı kurumlar bu işi sektörel some olarak dışarıya yaptırmaktalar. Sektörel some kapsamında hizmet alacakları neler bekliyor? Ne kadar sağlıklı? Ya da bu işi aldığınız kurum ne kadar önem veriyor orası ayrı bir konu olmakla birlikte temel olarak bu işi dışarıdan alan kurumları neler bekliyor bu yazımda açıklamaya çalışacağım.

Açıklamaya başlamadan önce SOME ile ilgili ne nedir? Bu konu hakkında pek bilgim yok diyebilirsiniz. Ön bilgi olması adına buradaki yazıyı okumakta yarar olduğunu öncelikle belirtmeliyim. :)

Dışarıdan alınan hizmetlerin başında faz-1 aşaması geliyor. Ücretlendirmesine göre dışarıya log toplama, monitoring, filtreleme işlemlerini yaptırabiliyorsunuz.

Faz-2 aşamasında ise yine ücretlendirmesine göre SIEM ile log korelasyon, normalizasyon, sınıflandırma gibi işlevler yerine getirilebilmektedir.

Faz-3 aşamasında ise müşterilere yaşanan bir takım incidentlara karşı çağrı açılabiliyor, telefon yoluyla ulaşılabiliyor, mail atılabiliyor ve olay ile ilgili bir ticket oluşturularak kapsamlı bir bilgi verilebiliyor.

Aşağıdaki resim temel SOC hizmetlerini anlatıyor.


İmage Source: For further information click here!

Peki temel tanımları açıkladıktan sonra dikkat edilmesi gereken hususlara geçelim!

** Faz -1'de loglarınız toplanırken potansiyel ve gerekli tüm kaynaklarından loglar alınıyor mu alınmıyor mu bundan emin olmanız gerekir? 3.parti firma herhangi bir log kaynağı down olduğunda ya da sorun yaşandığında ticket açıp size ulaşıyor mu? dikkat etmeniz gerekir. Loglarınızın toplandığı disk ne kadar sürede gözetiliyor? Disk dolduğu zaman hemen değiştiriliyor mu? Log kaybı yaşıyor musunuz? gibi farklı yönleri düşünmelisiniz

** Faz-2' de hizmet satın aldığınız firma ne kadar gelişmiş log korelasyon senaryosuna sahip, en önemli dikkat edilmesi gereken yerdir. Çünkü q-radar ya da hp-arsight default korelasyon senaryolarını kullanarak log korelasyonu yaptıkları adı altında aslında monitoring' ten öteye gidemiyor olabilirler. Fazla para ödemiş olursunuz. :)

** Faz-3' de alınan hizmet 7/24 hizmet sağlanıyor mu? Aylık size ait özel rapor oluşturuyorlar mı? SOC' yapısında olay müdahale(incident response) hizmeti veriyorlar mı? Kapsamları neler ?gibi sorular sorulmalıdır.

SOC'ta aslında alınan hizmet ve kalitesine göre değişebilmekle birlikte; ülkemizde maalesef bu konuda gelişmiş hizmetler sunan bir firma en azından benim bildiğim kadarıyla bir kurum yok!

SOC yapısına sahip bir kurum için bir olay müdahale uzmanı, sızma testi uzmanı, tier 1-2-3' te çalışan uzman ve bunu kanıtlamış kişilerin bulunması ve gelişmiş log korelasyon senoryalarının uygulanması SOC yapısını daha güçlü kılar. Eğer maddi imkanlardan kaçmayan ve güvenliğine önem veren bir kurumsa bunların işlevsel olarak yerine getirilmesi ayrıca önemli bir kurumdur.

3 Ocak 2016 Pazar

Bilgi Güvenliği Risk Yönetimi

Bilgi güvenliği, bt yönetişimi veya risk yönetimi ile ilgili oluşmuş belirli bir takım standartlar bulunmaktadır. (ISO 27001, ISO 31000, ISO 27005.. gibi) Şimdiye kadar bu konularda pek çalışma fırsatım olmadı. :) Ancak kurumsal bilgi güvenliğinin sağlanabilmesi, standart, politika prosedürlerin uygun bir şekilde yürütülmesi için bu standartlara uyulması gerektiğini biliyordum. 

Malum şu günlerde SOME(siber olaylara müdahale ekipleri)'nin kurulması gündemde. Yurt dışında bu iş çok daha öncelerden CERT, CSIRT gibi ekipler kurularak yapılmış durumda. Bende ülkemizde USOM'un yayımladığı dökümanları yeterli bulmayarak, bakalım Dünya'da bu alanda nasıl çalışmalar yapılıyor diye araştırmaya koyuldum. Hindistanın CERT' sitesinde workshoplarda ve konferanslarda yayımladıkları bir sunumda ilk parağrafta belirtmiş olduğum konuları özetleyen bir resme denk geldim. Bunuda blogumda paylaşmak istedim. Sitede  CERT ilgili bir çok faydalı bilgi var. Dökümanlara vakit bulabilirseniz mutlaka incelemenizi tavsiye ederim.



Blog Arşivi