Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

NetsecTR "Her Yönüyle Siber Tehdit İstihbaratı"

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Chargement dans…3
×

Consultez-les par la suite

1 sur 33 Publicité
Publicité

Plus De Contenu Connexe

Diaporamas pour vous (20)

Les utilisateurs ont également aimé (20)

Publicité

Similaire à NetsecTR "Her Yönüyle Siber Tehdit İstihbaratı" (20)

Plus par BGA Cyber Security (20)

Publicité

NetsecTR "Her Yönüyle Siber Tehdit İstihbaratı"

  1. 1. HER YÖNÜYLE SİBER TEHDİT İSTİHBARATI MEHMET KILIÇ BGA BİLGİ GÜVENLİĞİ A.Ş. 26 MART 2016 | NETSECTR @netsectr
  2. 2. HAKKIMDA  İYTE Bilgisayar Mühendisi  Senior SOC Analyst (BGA Bilgi Güvenliği A.Ş.)  Blog : blog.bga.com.tr, mehmetkilic.pro  Twitter : @mehmet_klic  LinkedIn : mhmtklc  Mail : mehmet.kilic@bga.com.tr @netsectr
  3. 3. AJANDA Siber Tehdit İstihbaratı İstihbarat Döngüsü Gerçekçi Faydaları İstihbarat Türleri Ölçümleme Anketler Paylaşım Standartları @netsectr
  4. 4. TANIDIK GÖRÜNTÜLER @netsectr
  5. 5. İSTİHBARAT ? • Türkçe ’de sözlük anlamı bilgi toplama, haber almadır. HABER != İSTİHBARAT • Belirlenen ihtiyaçlara karşılık farklı kaynaklardan toplanan haber, bilgi ve dokümanların işlenmesi sonucunda elde edilen üründür. @netsectr
  6. 6. FARKLAR Bilgi • Ham, filtrelenmemiş veri • Analizi yapılmadan iletilir • Hemen hemen her kaynaktan toplanır • Doğru, yanlış, yanıltıcı, eksik, alakalı veya alakasız olabilir • Aksiyon alınamaz İstihbarat • Filtrelenen veri • Yetkin kişilerce analiz edilir ve yorumlanır • Kurumla ilişkili güvenilir kaynaklardan toplanır • Kesin, güncel, bütün(eksiksiz), kurumla ilişkisi değerlendirilendir • Aksiyon alınabilir @netsectr
  7. 7. ” “The set of data collected, assessed and applied regarding security threats, threat actors, exploits, malware, vulnerabilities and compromise indicators Tehdit İstihbaratı Dave Shackleford, Who’s Using Cyberthreat Intelligence and How?, 2015 @netsectr
  8. 8. ” “It is the knowledge about adversaries and their motivations, intentions, and methods that is collected, analyzed, and disseminated in ways that help security and business staff at all levels protect the critical assets of the enterprise. Siber Tehdit İstihbaratı Jon Friedman and Mark Bouchard, Definitive Guide to Cyber Threat Intelligence (CyberEdge Press, Annapolis, MD, 2015). @netsectr
  9. 9. ÇOK VERİ ÇOK PROBLEM @netsectr
  10. 10. 5N1K - SİBER TEHDİT İSTİHBARATI • Kim saldırıyor? – bilinen grupların saldırı/zararlı davranışları • Neden bunu yapıyorlar? – saldırıların arkasında olan kişi/kişilerin motivasyonu (hedef odaklı saldırı, endüstriyel/ticari saldırılar olabilir) • Ne peşindeler? – karşılaşılan siber saldırıların önceliklerinin belirlenebilmesi • Nasıl yapıyorlar? – kullandıkları yöntemler, taktikler, araçlara • Nereden geliyorlar? – saldırganların jeopolitik durumları • Nasıl savunabilirim? – IP adresi, hash, url, email adres bilgisi gibi bilgilerden yola çıkarak tanımlama ve aksiyon alma @netsectr
  11. 11. SİBER TEHDİT İSTİHBARATI DÖNGÜSÜ İhtiyaçlarının Belirlenmesi İstihbarat Toplama Saldırı TespitiAnaliz Paylaşma @netsectr
  12. 12. SİBER TEHDİT İSTİHBARATI GEREKSİNİMLERİ Üretim Ortamı Gereksinimleri • Aksiyon Alınamayan Zafiyetler, • Gerçek Dünyadaki Açıklıklar ve Onlara Yönelik Saldırılar İstihbarat Gereksinimleri • Sömürülebilen Zafiyetler Neler? • Kurumdaki Mevcut Durum(Savunma/Tespit Etme)? • Hangi Saldırılar(Zafiyet/Arka Kapı) Araştırılıyor? Toplama Gereksinimleri • Marka İzleme • Veri Sızıntı Takibi • Online Forum Takibi • Sosyal Medya Takibi • Oltalama Sayfa/Uygulama Takibi • Botnet Kontrolü @netsectr
  13. 13. GERÇEK ÖRNEKLER @netsectr
  14. 14. SALDIRI YÖNTEMLERİ • Güvenlik cihazları ile savunma yöntemleri yeterli mi? • Farklı hedef, aynı saldırı yöntemi • Tehdidi tanımla, aksiyon al • Alınan istihbarat ile politikaları/alarmları güncelle @netsectr
  15. 15. SİBER TEHDİT İSTİHBARATI ÖNEMİ Saldırgan Kurum A Saldırgan Kurum B Kurum C Kurum D Kurum E SİBER TEHDİT İSTİHBARATI Saldırı Saldırı (Aynı Yöntem) Tespit/Aksiyon @netsectr
  16. 16. GERÇEKÇİ FAYDALARI  Sahte Alan Adlarının Tespiti  Botnet Komuta Kontrol Merkezi Tespiti  Ağ Trafiği Üzerinde Tespit  Kullanıcı İfşası Tespiti  Veri Sızıntı Tespiti  ... @netsectr
  17. 17. GENEL BAŞLIKLAR @netsectr
  18. 18. SİBER TEHDİT İSTİHBARATI TÜRLERİ Stratejik Operasyonel Taktiksel @netsectr
  19. 19. SİBER TEHDİT İSTİHBARATI TÜRLERİ • Karar Vericiler • Jeopolitik • Yabancı Marketler • Riskler Stratejik: Operasyonel: Taktiksel: • Savunanlar • Saldırı Hakkında Detaylı Bilgi • Erken Saldırı Uyarısı • Sosyal Medya • Kim, Ne, Ne Zaman • Mimari, SOC, IR • Saldırı Yöntemleri, Taktikler, Araçlar • Saldırgan Profili • Zararlı Yazılımlara Ait İndikatorler • Host, Network Artifacts • Yara, Snort, IOC @netsectr
  20. 20. SİBER TEHDİT İSTİHBARAT ÖLÇÜMLEME • Nicelik – Kaç tane siber tehdit istihbaratı sağlandı? • Kalite – İstihbaratın güncel, doğru ve kurumun gereksinimlerini karşılıyor mu? @netsectr
  21. 21. PONEMON INSTITUTE ARAŞTIRMASI PONEMON INSTITUTE – MART 2015 35 60 53 54 Geleneksel güvenlik çözümlerinin Siber Tehdit İstihbaratı ile birlikte daha verimli olduğunu belirtti. Katılımcılar gerçek zamanlı istihbaratın zararlı IP’lerin kendi alt yapılarında tespit edip aksiyon almalarına katkısını olduğunu belirtti. Zararlı IP, URL, dosya gibi istihbarat bilgileri ile kurum yapısındaki aktiviteleri izlemenin güvenlik riskini ölçümlemelerine olanak sağladığını aktardı. Katılımcılar, toplanan tehdit istihbaratı ile kurumlarındaki güvenlik olaylarında ciddi oranda azalma olduğuna katılım sağladı. 0 10 20 30 40 50 60 70 Ponemon Institute - The Importance of Cyber Threat Intelligence to a Strong Security Posture, 2015 @netsectr
  22. 22. SİBER SALDIRILARIN TESPİTİ 0 10 20 30 40 50 60 70 80 90 Evet Hayır Emin Değilim Siber Tehdit İstihbaratı Katkısı PONEMON INSTITUTE – MART 2015 @netsectr
  23. 23. PAYLAŞIM STANDARTLARI • MITRE – STIX, TAXII, CybOX, MAEC • Verizon – VERIS • IETF – IODEF • Mandiant – OpenIOC • MANTIS @netsectr
  24. 24. STIX • Structured Threat Information eXpression( https://stixproject.github.io/ ) • MITRE tarafından desteklenen bir projedir • STIX, tutarlılık, verimlilik, birlikte çalışabilirlik ve durumsal farkındalığı geliştirerek yapısal bir hale getirilen siber tehdit bilgisinin kullanılmasını sağlayan ortak bir mekanizmadır. • Cyber Threat Information, Language, Community-Driven, Communicate, Specify, Clarity, Support Automation, Consistency,.... @netsectr
  25. 25. STIX MİMARİSİ @netsectr
  26. 26. TAXII • Trusted Automated eXchange of Indicator Information ( http://taxiiproject.github.io/about/ ) • TAXII, siber tehdit bilgilerinin değişimi/paylaşımı için tercih edilen bir mekanizmadır. Amacı : • Tehdit bilgilerinin güncel ve güvenli şekilde paylaşımını sağlamak, • Topluluklar arasında geniş bir skalada uygulamalar ve kullanım durumları paylaşımı sağlamak, • TAXII ye uyumluluk sağlanması için operasyonel gereksinimleri azaltmak. Paylaşım Modelleri : @netsectr
  27. 27. CYBOX NESNELERİ Network • Address • Domain Name • Hostname • URI • Email Message, SMS • Network Packet, ... System • Account • File Unix/Win (PDF, Exe, …) • Process • Win Service • Win Registry Key • Device, Disk Memory … https://cyboxproject.github.io/documentation/object-relationships/ @netsectr
  28. 28. CYBOX DOMAIN PATTERN
  29. 29. CYBOX RELATIONAL PATTERN @netsectr
  30. 30. AÇIK KAYNAK ARAÇLAR • APIs, Bindings: Python-stix, Java-stix • Stix-validator • Openioc2stix • Stix2html • STIX Generator • STIXVizTAXII™: lib-taxii, java-taxii, YETI… @netsectr
  31. 31. TİCARİ ÇÖZÜMLER bugThreats @netsectr
  32. 32. NORMSHIELD - SİBER TEHDİT İSTİHBARAT Data Leakage Monitoring Social Network Monitoring DeepWeb / DarkWeb Digging Fraudulent Domain Tracking Brand Watch Smart Intelligence Botnet Control Fraudulent Mobile App Monitoring Phishing Web Site Monitoring DNS / Domain Whois Monitoring Passive Vulnerability Scanning Paste Site Monitoring Cyber Threat Intelligence @netsectr
  33. 33. Sorular Teşekkürler ? ?? @netsectr

Notes de l'éditeur

  • Türkçe’de sözlük anlamı bilgi toplama, haber alma olan istihbarat, siyasi makamlara sunulmak üzere toplanmış ve çözümlenmiş izlemsel veya taktiksel içerikli işlenmiş bilgilere denir.
  • Tehdit İstihbaratını tanımlayan bu cümle SANS Araştırması olan ve Dave Shackleford tarafından yazıyla ifade edilmiştir.
  • Kurumlarda kullanılmakta olan güvenlik çözümleri sayesinde belirli bir ölçüde(ürünlerin kabiliyetleri ölçüsünde) savunma sağlanmaktadır. Ayrıca, birçok sistemler üzerinde hatırı sayılır ham veri oluşmaktadır. Buradaki önemli nokta oluşan ham veri içerisinde gerçek tehditlerin var olup olmadığıdır. Güvenlik ekipleri veya ürünleri hali hazırda ham bilgi içerisinde tabiri caizse boğulmakta ve daha fazlası ile karşı karşıya kaldıklarında hem işleri oldukça güç hem de analizlerinde hata payı oldukça yüksektir. Bu nedenle, siber tehdit istihbaratı ile aksiyon alınabilir verilere ihtiyaç önem arz eder.
  • Kim saldırıyor? : Siber Tehdit İstihbaratı güvenlik ekiplerine saldırı/zararlı aktivitelere ilişkin davranışların kimlere (siber suçlular, hacktivist gibi) ait olduğu hakkında yardımcı olur.
    Neden bunu yapıyorlar? : Saldırının arkasında kim/kimler olduğunu bilmek ve bunların motivasyonunun, harcayacakları eforun ne kadar olabileceği(APT gibi uzun soluklu) veya endüstriye özel bir saldırımı gibi istihbaratları elde etmek güvenlik ekiplerinin savunmasına katkı sağlar.
    Ne peşindeler? : Saldırıyı düzenleyen(ler)in elde etmek istediklerinin önceden ne olduğu bilmek varlıkları korumada öncelikliendirme sağlama gibi konularda yardımcı olur.
    Nasıl yapıyorlar? : Saldırganların hedeflerine ulaşmak için kullandıkları yöntemlerin, taktiklerin, araçların ne olduğunu bilmek aksiyon alma aşamasında fayda sağlar.
    Nereden geliyorlar? : Saldırıların kaynaklarının neresi olduğunu bilmek düşmanlar hakkında daha anlamlı veriler sağlayabilir.
    Nasıl savunabilirim? : Siber Tehdit İstihbaratı ile edilen IOC, IP, Hash, İfşa edilmiş kullanıcı gibi veriler zararlı aktivitelerin tespit edilmesine önemli rol oynar.
  • Kurumların bilgi ve varlıklarını korumak için kullandıkları güvenlik çözümlerinin bir çoğu saldırılara karşı belirli ölçüde etkinlik sağlamaktadır. Ancak, gerçek dünyada meydana gelen yeni saldırılar gibi olası bilgi/kullanıcı ifşa ları durumlarda etkinlik seviyeleri düşmektedir. Genel olarak saldırılara bakıldığında aynı saldırı yöntemleri ile farklı hedeflere saldırılar gerçekleşmektedir. İzlenilen yöntem nasıl ? Saldırı/tehdidi tespit et ve karantina, engelleme gibi aksiyonu al. Sonrasında politikalarını ve kullanmakta olduğun alarmlarını güncelle.
  • Kurum A ya yönelik gerçekleştirilen bir saldırının güvenlikten sorumlu kişilerce tespit edildiğinde saldırgana ait bilgiler bilinmeyende bilinene dönüşür. Bu bilgilerin tehdit istihbaratı ile paylaşıldığını varsaydığımızda benzer saldırıya diğer kurumlar maruz kalmadan tespiti mümkün olur.
  • Stratejik Siber Tehdit İstihbaratı : Jeopolitik, yabancı marketlerden olası tehditlerin olabileceğine dair alınan istihbaratlardır. Kurumdaki karar verici kişilerinde değişen etkenler karşısında riskleri göz önünde bulundurarak karar vermelerini yardımcı olurlar.

    Operasyonel Siber Tehdit İstihbaratı : Güvenlik operasyoncularına yönelik tehdit istihbaratıdır. Hedef odaklı saldırılara yönelik içerik paylaşımının yapıldığı hangi kaynaklara (IP adresi, URL, ...) ait analiz edilmiş istihbaratlardır.

    Taktiksel Siber Tehdit İstihbaratı : Genellikler mimari ekiplerin, Güvenlik Ürünü yöneticileri kullanmaktadır. Saldırılarda kullanılan araçlara ait, Data Exfiltration/ C2 yöntemlerine ait bilgilerin paylaşımı sağlanır. Genellikler SOC ve IR ekiplerine yöneliktir. Zararlı yazılımlara yönelik indikatörler, snort imzaları, yara ve IOC kuralları gibi içerikler sağlanır.

  • Ponemon Institute - The Importance of Cyber Threat Intelligence to a Strong Security Posture _ Mart 2015 etkinliğinde katılımcılara Siber Tehdit İstihbaratı ile ilgili sorulan sorulara verilen cevaplar.
  • http://stixproject.github.io/getting-started/whitepaper/

    Observable - What activity are we seeing?
    Indicator - What threats should I look for on my networks and systems and why?
    Incident - Where has this threat been seen?
    TTP - What does it do?
    Exploit Target - What weaknesses does this threat exploit?
    Campaign - Why does it do this?
    Threat Actor - Who is responsible for this threat?
    Coure of Action - What can I do about it?
  • Paylaşım modelleri (http://taxiiproject.github.io/about/):
    Hub and Spoke
    Source/Subscriber
    Peer to Peer

×