MS ATA ile tehdit analizi bu sunumda anlatılmaktadır.

1. b-mustak@microsoft.com
mustafa.kara@comparex.com.tr

2. Mustafa Kara @mustafakara01
Son 10 Yıldır:
Konuşmacı & Yazar:
• Mshowto.org mustafakara.net.tr

3. COMPAREX
Genel Merkez
COMPAREX
Şubeler
Ciro
(€ Milyon)
1,066
11/12
1,191
12/13
1,512
13/14
1,77
0
14/1
5
Yıl:

4. msHOWTO

5. “ KURUMLAR İKİYE AYRILIR. HACK’LENENLER
VE HACK’LENDİĞİNİN FARKINDA
OLMAYANLAR.”
-JAMES COMEY, FBI DIRECTOR
““ İNSANLARIN APTALLIĞINI KAPATACAK
PATCH YOKTUR.”
-ANONİM

7. $3.5M
Veri çalıntılarının bir kuruma
verdiği ortalama mali zarar:
3.5 milyon $
200+
Hacker'lar kurum ağına
girdikten sonra ortalama 200
gün boyunca fark edilmiyor
%75+
Saldırıların %75’inden fazlası
hacker’ların kimlik bilgilerini
çalması sonucu meydana
geliyor
$500B
Siber suçların küresel
ekonomiye verdiği mali zarar:
500 milyar $

8. Çok ciddi ekonomik zarara neden oldukları
gibi, kurumsal veri kaybına ve marka
değerinde zarara da yol açıyorlar
Saldırıların çoğunu kullanıcı kimliklerini
çalarak yapıyorlar
Malware yerine var olan BT araçlarını kullanıyorlar,
dolayısıyla fark edilmeleri zorlaşıyor
Kurum ağına girdikten sonra ortalama 8 ay
boyunca fark edilmiyorlar
Günümüzde siber saldırganlar;

9. Malware yerine var olan BT araçlarını kullanıyorlar,
dolayısıyla fark edilmeleri zorlaşıyor
Çok ciddi ekonomik zarara neden oldukları
gibi, kurumsal veri kaybına ve marka
değerinde zarara da yol açıyorlar
Saldırıların çoğunu kullanıcı kimliklerini
çalarak yapıyorlar
Kurum ağına girdikten sonra ortalama 8 ay
boyunca fark edilmiyorlar
Günümüzde siber saldırganlar;

10. Kurum ağına girdikten sonra ortalama 8 ay
boyunca fark edilmiyorlar
Çok ciddi ekonomik zarara neden oldukları
gibi, kurumsal veri kaybına ve marka
değerinde zarara da yol açıyorlar
Saldırıların çoğunu kullanıcı kimliklerini
çalarak yapıyorlar
Malware yerine var olan BT araçlarını kullanıyorlar,
dolayısıyla fark edilmeleri zorlaşıyor
Günümüzde siber saldırganlar;

11. Saldırıların çoğunu kullanıcı kimliklerini
çalarak yapıyorlar
Malware yerine var olan BT araçlarını kullanıyorlar,
dolayısıyla fark edilmeleri zorlaşıyor
Kurum ağına girdikten sonra ortalama 8 ay
boyunca fark edilmiyorlar
Çok ciddi ekonomik zarara neden oldukları
gibi, kurumsal veri kaybına ve marka
değerinde zarara da yol açıyorlar
Günümüzde siber saldırganlar;

12. Yalnızca çevresel
koruma yapıyorlar
Karmaşıklar Çok sayıda yanlış
uyarı veriyorlar
Kimlik bilgileri çalındıktan ve
saldırganlar ağ içine girdikten
sonra bu çözümler kısıtlı
koruma sağlıyorlar.
Kurulumu, ayarlanması,
öğrenilmesi zor ve uzun
sürüyor.
Çok fazla rapor üretiyorlar,
bunlar çoğunlukla vakit bulup
okuyamayacağınız kadar
karmaşık oluyorlar ve
içerilerinde çok sayıda yanlış
uyarı bulunuyor. Bunlar da
vakit kaybına sebep oluyor.

13. Gelişmiş güvenlik saldırılarını iş işten geçmeden fark etmenizi sağlayan kurum içi bir çözüm
 Kredi kartı şirketleri kart
sahiplerinin davranışlarını
takip ediyor.
 Eğer anormal bir davranış
fark edilirse, kart sahibi
aranıyor ve onaylaması
isteniyor.
Microsoft Advanced Threat Analytics, bu konsepti BT’ye getiriyor
Aynı şunun gibi…

14. Behavioral
Analytics
Bilinen saldırıları
dağarcığına ekliyor
Advanced Threat
Detection
Gelişmiş güvenlik saldırılarını iş işten geçmeden fark etmenizi sağlayan kurum içi bir çözüm

15. Öğrenir ve
adapte olur
Hızlıdır Bilgiyi açık ve net
bir şekilde sunar
Yalnızca gerektiğinde
uyarı verir
Neden ATA?

16.  Mobil cihazlar üzerinden
kurumsal kaynaklara yapılan
erişim ve kimlik doğrulama
hareketlerinin tümünü izler
Mobil destek SIEM entegrasyonu Uyumlu kurulum
 SIEM çözümleriyle uyumlu çalışır
 Bu çözümlerden gelen logları da
saldırı zaman çizelgesine ekler
 ATA’nın tespit ettiği güvenlik
uyarılarını SIEM çözümünüze
iletebilir veya belli kişilere email
göndertebilirsiniz
 Fiziksel veya sanal makineler üzerinde
çalışabilen bir yazılım
 Port mirroring teknolojisi sayesinde
Active Directory ile kusuruz uyum sağlar
 Mevcut network topolojinize uyum sağlar,
izinsiz bir şekilde müdahale etmez
Önemli özellikler

17. Analiz eder1 Kurulumun ardından:
• Port mirroring teknolojisiyle tüm Active
Directory trafiğini kopyalar
• Saldırganlar fark edemez
• Tüm AD trafiğini inceler
• SIEM çözümlerinden etkinlikleri, AD’den
gerekli bilgileri alır (ünvanlar, grup üyelikleri
ve diğer bilgiler)

18. ATA:
• Objelerin davranışlarını otomatik olarak
öğrenmeye ve profillemeye başlar
• Objelerin normal davranışlarını tespit eder
• Sürekli bir şekilde öğrenir, objelerin
davranışlarında değişiklikler olduğunda
dağarcığındaki bilgileri günceller
Öğrenir2
Objeler nedir?
Kullanıcılar, cihazlar ve diğer kaynaklar

19. Fark eder3 Microsoft Advanced Threat Analytics:
• Anormal davranışları arar, şüpheli hareketleri
tespit eder
• Şüpheli hareketler, yalnızca farklı bağlamlar
içerisinde doğrulandıkları zaman uyarıya
dönüştürülür
• Dünyadaki güvenlik riskleri ve saldırılarıyla ilgili
geniş bir bilgi dağarcığı vardır. Saldırganların
taktiklerini, tekniklerini ve prosedürlerini (TTP)
inceleyerek riskleri ve saldırıları neredeyse
gerçek zamanlı olarak fark eder.
Objeleri yalnızca kendi içlerinde
değerlendirmez, ilişki içinde oldukları diğer
objelerin davranışlarıyla da kıyaslar.

20. Uyarır4
Şüpheli bulduğu
hareketleri basit ve
işlevsel bir zaman
çizelgesi üzerinde sunar,
bu çizelge üzerinde
aksiyon almak
kolaydır.
Şunları gösterir:
• Kim?
• Ne?
• Ne zaman?
• Nasıl?
Her şüpheli hareket
için, daha derin
incelemeye veya
çözüme yönelik
öneriler sunar

21. Abnormal resource access
Account enumeration
Net Session enumeration
DNS enumeration
Directory Services recon using SAM over RPC
Abnormal working hours
Brute force using NTLM, Kerberos or LDAP
Sensitive accounts exposed in plain text authentication
Service accounts exposed in plain text authentication
Honey Token account suspicious activities
Unusual protocol implementation
Malicious Data Protection Private Information (DPAPI) Request
Abnormal authentication
Abnormal resource Access
Pass-the-Ticket
Pass-the-Hash
Overpass-the-Hash
MS14-068 exploit (Forged PAC)
MS11-013 exploit (Silver PAC)
Skeleton key malware
Golden ticket
Remote execution
Malicious replication requests
Reconnaissance
Keşif
Lateral
Movement
Yanal
Haraket
Privilege
Escalation
Ayrıcalık
Yükseltme
Domain
Dominance
Etki Alanı Hakimiyeti
Compromised
Credential
Kimlik
Tehlikeleri

23. Örnek: Çoklu Microsoft
Advanced Threat
Analytics (ATA)
Topolojisi
ATALightweight
Gateway
ATALightweight
Gateway

24. ?
mustafa.kara@comparex.com.tr
b-mustak@microsoft.com

25. mustafa.kara@comparex.com.tr
b-mustak@microsoft.com