SOSAM: SANAL ORTAM SAVUNMA MERKEZİ

Transkript

1 SOSAM: SANAL ORTAM SAVUNMA MERKEZİ Bahtiyar BİRCAN 6 HAZİRAN 2008

2 Gündem Neden DPT E-Dönüşüm Eylem Planı 88.madde (UBGP) Günümüz BT sistemlerindeki problemler Motivasyon Çözüm Sistemin özellikleri Sistem bileşenleri Mimari yapı Sistemin mevcut problemlere getirdiği çözümler Dünyadaki örnekler 2

3 Neden Motivasyon Siber alemdeki güvenlik tehditlerini sürekli olarak takip edecek, uyarılar yayınlayacak, bu risklere karşı ne şekilde tedbir alınabileceğine dair bilgilendirme yapacak, risklerin ortaya çıkması durumunda karşı tedbirleri koordine edebilecek bir bilgisayar olaylarına acil müdahale merkezi (CERT) kurulacaktır. 3 Kamu kurumları için gerekli minimum güvenlik seviyeleri kurum ve yapılan işlem bazında tanımlanacak, kurumlar tarafından kullanılan sistem, yazılım ve ağların güvenlik seviyeleri tespit edilecek ve eksikliklerin giderilmesi yönünde öneriler oluşturulacaktır.

4 4 Neden Motivasyon

5 Sanal Ortam Savunma Merkezi Ülkedeki kamu kurumlarına internet ortamında yapılan saldırıları merkezi olarak takip eden, saldırı profillerini çıkaran ve raporlayan, ilgili kurumları uyaran sanal ortam savunma merkezi 5

6 Gerçekleştirilen sistemin özellikleri Fiili Sistem - Merkez Fiziksel lokasyon : Ankara Teknik altyapı Esnek, genişletilebilir ve ekonomik açık kaynak kodlu sistemlerden oluşan altyapı Veri kaynakları: Gerçek sistemler, Tuzak sistemler Kurumlar: TÜBİTAK: Ankara Gebze : pilot olarak seçildi Planlanan genişleme Kurumlar : Üniversiteler ve kamu kurumları Teknik kabiliyetler Malware ve botnet tespiti Daha fazla sistemden/üründen kayıt alabilme 6

7 Gerçekleştirilen sistemin özellikleri Hedefler: Merkez : Kamu kurumlarına ait kritik sistemleri hedef alan tehditlerin tespiti Genel saldırı profillerinin belirlenmesi ve raporlanması Tespit edilen tehditler ile ilgili uyarılar ve raporlar yayınlayarak önlem alınmasını sağlamak. Botnet lerin tespiti ve bertaraf edilmesi Kurum : 7 Kendi sistemlerinde tam olarak neler olup bittiğinin haberdar olunması Daha az zaman ve insan gücü ile daha etkili olay takibi Yeni çıkan virüs/wormlardan haberdar olunarak hızlı şekilde önlem alınması Zararlı yazılımların (malware) tespiti

8 Teknik altyapı : Veri Kaynakları Gerçek sistemler : Saldırı tespiti Merkezi kayıt toplama Olay ilişkilendirme Risk hesaplama Raporlama ve olay takibi Tuzak sistemler (honeypot): Saldırıların tuzak sistemlere çekilmesi Malware/worm tespiti,toplanması ve incelenmesi Saldırılara dair rapor üretilmesi Honeynet projesi tabanlı 8

9 Teknik altyapı : Veri Kaynakları : Gerçek Sistemler Gerçek sistemler : Saldırı tespiti Merkezi kayıt toplama Olay ilişkilendirme Risk hesaplama Raporlama ve olay takibi Tuzak sistemler (honeypot): Saldırıların tuzak sistemlere çekilmesi Malware/worm tespiti ve incelenmesi Saldırılara dair raporlar tabanlı 9

10 Sistemin çalışma şekli Tespit et Topla İlişkilendir Riski hesapla 10 Raporla

11 Tespit et > Topla > İlişkilendir > Riski hesapla > Raporla Saldırı tespiti Dağıtık yapıdaki saldırı tespit sistemlerinin ürettiği alarmları alınmaktadır Envanter ve Açıklık taraması Korunan sistemlere ait önemli bileşenlerin envanteri çıkartılmakta;açıklık tarayıcıları ile bu sistemler taranarak üzerlerinde bulunan açıklıklar tespit edilmekte ve merkezi bir açıklık veritabanına kaydedilmektedir Ağ trafiği inceleme Ağ izleme yazılımları ile korunan sistemlerin trafik kullanım oranları ve kullanım profili çıkartılmaktadır Anomali tespiti Bir saldırı imzası olmayan, ağdaki anormal hareketler tespit edilmektedir İşletim sistemi değişikliği MAC adresi değişikliği Ağ kullanım profilindeki değişiklik 11

12 Tespit et > Topla > İlişkilendir > Riski hesapla > Raporla Toplama : STS,Güvenlik Duvarı, Ağ cihazları, Antivirüs, İşletim sistemi ve Uygulama kayıtlarını merkezi bir veritabanında toplanmaktadır Normalizasyon : Toplanan farklı formatlardaki loglar normalize edilecek standart bir log formatına dönüştürülmekte ve kaydedilmektedir Önceliklendirme : Kayıtları içindeki uyarılar, kaynak ve hedef IP adresi, servis bilgisine bakılarak alınan kayıt için öncelik belirlenmektedir 12

13 13 Tespit et > Topla > İlişkilendir > Riski hesapla > Raporla

14 Tespit et > Topla > İlişkilendir > Riski hesapla > Raporla Envanter bazlı ilişkilendirme Alınan saldırı kayıtları envanter veritabanındaki bilgilerle karşılaştırılırak doğrulanır.eğer saldırı envanterde olmayan bir sisteme karşı yapılıyorsa dikkate alınmaz. Varolan bir sisteme saldırılıyorsa dikkate alınır. Çapraz ilişkilendirme Alınan saldırı kayıtları açıklık veritabanı ile karşılaştırlır. Gerçekten varolan bir açıklığa saldırı yapılıyorsa bu kaydın önem derecesi yükseltilir. 14

15 Tespit et > Topla > İlişkilendir > Riski hesapla > Raporla Mantıksal ilişkilendirme : Farklı kaynaklardan (STS, GD kayıtları, Ağ bilgisi, işletim sistemi kayıtları ) gelen bilgiler oluşturulan mantıksal kurallar çerçevesinde birleştirilerek tek başına anlam ifade etmeyen bilgilerden saldırılar tespit edilmekte. Bu sayede çok fazla sayıdaki kayıt yerine daha az sayıda, ilişkilendirilmiş, daha yüksek öncelikli saldırılar izlenebilmektedir. On milyonlarca : Olay kaydı Milyonlarca : Güvenlikle ilgili kayıt Binlerce : İlişkilendirilmiş olay kaydı 15 Yüzlerce : Yüksek seviyeli olay kaydı

16 Tespit et > Topla > İlişkilendir > Riski hesapla > Raporla Önceden belirlenen politikalar, varlık değerleri, üretilen alarm önceliğine göre sunucu,ağ ve tüm sistem için risk seviyesi hesaplanmaktadır. Belirli bir risk seviyesi üstündeki uyarılar için otomatik önlem alınabilmektedir. Sistem Ağ Sunucu 16

17 Tespit et > Topla > İlişkilendir > Riski hesapla > Raporla Sistem elde edilen bilgilerden aşağıdaki kriterlere göre raporlar üretebilmektedir: - Saldırı trendleri - En fazla saldırı yapan IP adresleri - Saldırıların ülkelere göre dağılımı - Hedef alınan servisler/portların dağılımı - En fazla yapılan saldırı çeşitleri - En fazla hedef alınan IP adresleri - Hedef alınan alan isimleri - Saldırganların işletim sistemi dağılımı - Hedef alınan işletim sistemleri dağılımı - Hedef alınan sistemlerdeki açıklıkların dağılımı - Hedef sistemlerin ağ trafiği kullanım oranları - Sunucu/ağ/ sistem bazından risk değerleri 17

18 Tespit et > Topla > İlişkilendir > Riski hesapla > Raporla Örnek saldırı raporları 18

19 Mimari yapı TÜBİTAK (SOSAM merkez) SOSAM merkez Kamu Kurumu (SOSAM Sensör) Web E-Posta Veritaban ı DMZ SOSAM kurum sunucusu IDS Internet Yönlendirici STS GD İç ağ 19

20 20 Mimari yapı merkez

21 Dünyadaki örnekler SANS ISC : Dshield mynetwatchman Arbor Atlas atlas.arbor.net NATO NCIRC 21

22 Sonuç Çok fazla sayıda olay kaydı: Takip edilmesi zor Merkezi kayıt yönetiminin olmaması STS lerin çok fazla yalnış alarm üretmesi - False Positive - True Negative Olay ilişkilendirme ile milyonlarca olay kaydından anlamlı ve daha az alarm çıkartılmakta Güvenlik ürünlerine ait tüm kayıtlar merkezi bir veritabanına kaydedilmekte STS alarmları diğer kayıtlar, açıklık ve envanter veritabanı ile karşılaştırılarak yalnış alarmlar önlenmektedir 22

23 Teşekkürler Sorular? Bahtiyar BİRCAN