Halil ÖZTÜRKCİ Microsoft MVP CISSP, GPEN, GCFA, CEH, CHFI Security Labs,

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Halil ÖZTÜRKCİ Microsoft MVP CISSP, GPEN, GCFA, CEH, CHFI twitter.com/halilozturkci. @ADEO Security Labs, 2014 www.adeosecurity."

Emine Belgin Uslu
8 yıl önce
İzleme sayısı:

1 Halil ÖZTÜRKCİ Microsoft MVP CISSP, GPEN, GCFA, CEH, CHFI twitter.com/halilozturkci

2 Adli Bilişim Uzmanı Beyaz Şapkalı Hacker Adli Bilişim Derneği & USMED Microsoft MVP, Enterprise Security ADEO Kurucu Ortak&Güvenlik Birimi Yöneticisi Güvenlik TV Yapımcısı ve Sunucusu SANS Mentor ( CISSP, GPEN, GCFA, CHFI, CEH... halilozturkci

3 Olay Müdahalesi (Incident Response) Nedir

4 Olay müdahalesi (Incident Response) bir güvenlik ihlali sırasında ve sonrasında hangi eylemlerin gerçekleştirilmesi gerektiğine ilişkin organize yaklaşıma verilen isimdir. Olay müdahalesinde amaç olası zararı en aza indirmek ve normal duruma dönmek için gerekli zamanı ve maliyeti azaltmaktır. Yukarıdaki şartları sağlamak adına olası bir olay gerçekleştiğinde hangi adımların izlenmesi gerektiği olay müdahale planı nda yer alır.

5 Web Defacement Stolen Laptop Theft of Proprietary Information Accidents Denial of Service System Failure Fire! Malicious active content Back door attacks

6 Web sayfası deface edilmiş ve bir mesaj bırakılmış olabilir.(son bir ayda hangi kurum ve şirketlerin sayfası hacklenmişti J ) Bilgisayarların ekranına mesaj bırakılmış olabilir (bknz Sony J ) Sunucular servis vermiyordur (birileri DDoS saldırısı gerçekleştiriyor olabilir mi. Bknz Londra havasahasının kapatılmasıj ) Çalışanlarımızdan birisi laptopunu çaldırmıştır. Rutin kontroller sırasında web sunucusunda illegal içeriğe rastlanmıştır.(web server loglarında gözüken en çok istekde bulunulan dosya da neyin nesi böyle?j ) IDS (Saldırı Tespit Sistemi) yada Antivirüs alarm üretmiştir. Şirkete ait kritik dosyalar internette dolaşmaya başlamıştır. (Müşteri bilgilerimizin pastebin de ne işi varj ) Twitter da hacklendiğimize dair haberler dolaşıyordur. (Yeni mi hacklendik yoksa çok mu eski bir olay bu J ) Kullanıcılar hesaplarına erişemiyorlardır. Polis kapıya dayanmıştır (Emekli öğretmen banka hesabı boşaltıyorj )

7 Hazırlık Olay öncesinde mutlaka plan yapılmalı Alınan Dersler Prosesi İyileştir Tanımlama Meydana gelen olayın ne olduğunu tanımla Onar Operasyonu normale döndür Kapsamı Belirle & Yükseltme Olayın sınırlarını belirle Analiz Et & Kökünden Çöz Temel sebebi bul ve ortadan kaldır Bildir Eğer veri sızması olduysa paydaşları bilgilendir

8 Herhangi bir olayla karşılaşılmadan önce aşağıdaki soruların yanıtları mutlaka verilmelidir. Her bir olay türüne göre ne şekilde davranılacağı (örneğin bir zararlı kod tespitinde ya da web defacement olayında nasıl davranılacağ, hangi birimlerin olaya dahil edileceği vb açıkça belirlenmeli) Her bir olay türü için olay müdahalesi sırasında ekipman olarak nelere ihtiyaç duyulacağı Üçüncü partilerin haberdar edilmesi gerekiyorsa bunu kimin ne şekilde yapacağı. (Örneğin USOM (Ulusal Siber Olaylara Müdahale Merkezi nin bildirilmesi) Polisin veya adli makamların hangi olay türlerinde bilgilendirileceği ve bu bilgilendirmeleri yapmakla kimin sorumlu olacağı

9 Bu aşamada temel amaç olayı tanımlamak, kategorize etmek ve önceliklendirme yapmaktır. Bu bağlamda aşağıdaki soruların cevapları aranır. Ne tür bir olayla karşı karşıyayız? Olayın ciddiyeti ne boyutta? Kimi aramalıyız? Delil toplama işlemine bir an önce başlamak gerekiyor mu? Kurumsal yada Sektörel SOME(Siber Olaylara Müdahale Ekiplerinin) kapsamında bu adımı sizin yapmanız bekleniyor.

10 Bu aşamada olay müdahale ekipleri devreye sokulur (sadece teknik ekipler değil, hukuk, halkla ilişkiler vb ekiplerden de ilgili kişiler) Problem izole edilir. (Örneğin virüs bulaşmış sunucu ağdan izole edilir, saldırganın IP si firewall a yazılarak erişimi engellenir vb.) Deliller belirlenir ve delillere el konulur&toplanır

11 Saldırının nasıl meydana geldiğini ortaya çıkar: Kim, Ne Zaman, Nasıl ve Neden sorularının yanıtlarını bulmaya çalış. (Forensics daha çok burada devreye giriyorj ) Problemin ana sebebini ortadan kaldır. Sistemi yeniden kur Yönetici hesapları ele geçirilmişse bütün şifreleri yenile Eksik yamaların tamamını yükle Zafiyet taraması yap Koruma kontrollerini gözden geçir ve gerekiyorsa katman ekle

12 İşleyişi normale döndürün Web sitesi yayına devam etsinj Müşteriler servis alabilsin Onarımın sorunsuz gerçekleştiğini mutlaka test edin.

13 Olay müdahalesi başarılı şekilde gerçekleştikten sonra; Bir olay raporu yazın ve bu raporda Nelerin doğru nelerin yanlış gittiği Prosesi iyileştirmek için nelerin yapılabileceği Olayın kuruma&şirkete yaklaşık maliyeti gibi konu başlıkları olsun Bu raporu yetkili kişilerce paylaşın Eksiklerinizi iyileştirecek adımları tespit edine ve Olay Müdahale Planınızı güncelleyin.

15 Yapılan Yanlışlar

16 Dahil olduğumuz bir çok olay bize kurumların ve şirketlerin bir Olay Müdahale Planı na (Incident Response Plan) sahip olmadığını göstermiştir. Kurumlar veya şirketler başlarına kötü bir olay gelmeden önce mutlaka bir Olay Müdahale Planı oluşturmalıdırlar. Olay sırasında mutlaka hazırlanan bu plan çerçevesinde hareket edilmelidir. Bu plan canlı bir plan olmalı ve meydana gelen ve çözülen olaylar sonunda elde edilen bilgiler bu planı iyileştirmek adına kullanılmalıdır.

17 Olay Müdahale Planı hazırlama noktasında yardımı dokunacak bir kaç whitepaper; An Incident Handling Process for Small and Medium Businesses ( handling- process- small- medium- businesses_1791) The Incident Handlers Handbook ( whitepapers/incident/incident- handlers- handbook_33901) Incident Management 101 Preparation & Initial Response (aka Identification) ( incident- management preparation- initial- response- aka- identification_1516) NIST Computer Security Incident Handling Guide ( csrc.nist.gov/publications/nistpubs/800-61rev2/sp800-61rev2.pdf) NIST Guide to Integrating Forensic Techniques into Incident Response (

19 Kurum veya şirkette bir Olay Müdahale Planı olsa dahi, olay sırasındaki karmaşa anında genellikle bu plan göz ardı ediliyorj Bu karmaşanın yaşanmaması için mutlaka çok iyi bir iletişim matrisi oluşturulmalı ve olay müdahale takımında yer alan herkesi bu matrisi çok iyi bilmeli. Bu matris hangi durumlarda, kimlere, nasıl bir raporlama yapılacağını adreslemeli. Olay müdahalesi mutlaka tek bir merkezden ve tek bir yönetici tarafından yönetilmeli. Bütün birimler mutlaka önemli/önemsiz bütün ayrıntıları merkeze aktarmalı. Önemsiz gözüken bir bilgi, olayın çözümünde kilit rol oynayabilir.

20 Olay müdahalesinin eksik veya yanlış bilgiye sahip personel tarafından yapılması yine çokça karşılaştığımız durumlar arasında. Çok hassas olan sayısal delillerin bozulmadan muhafaza edilmesi çok önemli. Bilgisini aşan personeller tarafından yapılan ilk müdahalede çoğu kez sayısal deliller zarara uğruyor. İlk müdahaleyi yapacak birimdeki çalışanların tamamına İlk Müdahale eğitimi verilmeli. İlk müdahale eğitimi için referans alınabilecek "First Responders Guide to Computer Forensics" dokümanı adresinden indirilebilir.

21 Şirketler ve kurumlar karşılaştıkları bir incident sonrasında hemen aksiyon alıp ilgili olayı tez elden kapatmayı amaçlıyor. Bu durum mevcut olayın kapsamını gözden kaçırmaya sebep olabiliyor. Olay sonrasında mutlaka mevcut yapının sahip olduğu izleme (monitoring) yapısından daha güçlü bir izleme yapısı kurularak olayın devam edip etmediği yada başka sistemlerin ilgili olaya dahil olup olmadığı izlenmelidir. Bir çok şirket monitoring, loglama vb yapılarının düzgün çalışmadığını olay sırasında öğreniyorj

22 Bir çok olayda, olayın ana sebebi tespit edilmeden olay kapatılıyor. Örneğin, zafiyet barındıran bir temel kurulum CD si üzerinden yapılan yeniden bir kurulum, zafiyeti beraberinde getirecek ve sonrasında gerçekleşecek olası bir olay tekrarına sebebiyet verebilecektir. Ana sebep mutlaka tespit edilmeli ve olay tekrarının önüne geçilmelidir.

23 Olay sıcakken planlanan bir çok iş, olay biraz soğuduktan sonra operasyonel işlere kurban ediliyorj Bu durum tekrardan aynı yada benzer olaylar ile karşılaşılmasına davetiye çıkartıyor. Bunun için mutlaka güvenlik zafiyetlerinin ortaya çıkartılmasına yardımcı olacak Penetrasyon Testi, Risk Analizi gibi çalışmalar yapılmalı, yapılıyorsa da sıklığı arttırılmalı. (3 yılda bir penetrasyon testi olmazj )

24 Olayı gerçekleştiren kişi müdahale ekibinde olursa ne olacağını düşünün J Şimdiye kadar müdahalede bulunduğum olayların çoğunda IT den birilerinin müdahil olduğu olaylar vardı. Özellikle içerden birilerinin karıştığı olaylarda delil karartma işleminin çokça yapıldığını şahit olabilirsiniz. Logların silinmesi, bilgisayarların wipe edilmesi, sahte izler oluşturulması gibi delil karatma yöntemlerinin hepsi ile karşılaştım.j Delil karartmanın önüne geçmek için mutlaka merkezi bir loglama yapısı kurulmalı. IT den birilerinin olaya karıştığından şüpheleniliyorsa mutlaka inceleme bitene kadar bütün sistemlerden uzak tutulmalı.

25 Mutlaka bir bilene sorun. Müdahale sırasında yapacağınız en ufak bir hata, sayısal delillerin bir daha geri dönülemez şekilde yok olmasına sebep olabilir.

26 Teşekkürler

Benzer belgeler

Yeni Nesil Siber Güvenlik Operasyon Merkezleri. Halil ÖZTÜRKCİ ADEO BİLİŞİM DANIŞMANLIK HİZMETLERİ A.Ş.

Yeni Nesil Siber Güvenlik Operasyon Merkezleri Halil ÖZTÜRKCİ ADEO BİLİŞİM DANIŞMANLIK HİZMETLERİ A.Ş. Siber Güvenlik Operasyon Merkezi (Cyber Security Operations Center- CSOC) Nedir? Siber Güvenlik Operasyon