Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması. Akademik Bilişim Şubat 2006

Benzer belgeler
Ağ Trafik ve Forensik Analizi

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Windows Hacking - II

Hastalık nasıl ilerler ya da bulaşır? Hastalıktan vücudumuz nasıl etkilenir? Hastalıktan nasıl kurtuluruz?

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

SİBER SUÇLARA KARŞI SİBER ZEKA

FABREKA YAZILIM ELEKTRONİK DANIŞMANLIK TİC. LTD. ŞTİ.

/pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ

Bilgi Güvenliği Eğitim/Öğretimi

Bilgisayar Yazılımları

Bilgi ve Olay Yönetim Sistemi

Bilgisayar Mühendisliği Bölümü. Cisco PT Kullanımı. Arzu Kakışım BİL 372 Bilgisayar Ağları. GYTE - Bilgisayar Mühendisliği Bölümü

Vitel. Manage Engine. Opmanager Yönetici Özeti

Ağ Topolojisi ve Ağ Yazılımları

Bilgi ve Olay Yönetim Sistemi

ADOBE FLASH PLAYER / CVE (Sıfırıncı Gün Zafiyeti)

Veritabanı Sızma Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Windows İşletim Sistemi

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

Aktif Dizin Logon/Logoff Script Ayarları Versiyon

Armitage Nedir? Kullanım Öncesi

İşletim Sistemleri ve Yardımcı Programlar

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

Zararlı Kodlar& Analiz Temelleri ve Bir Saldırının Anatomisi

Uzak Masaüstü Lisans Server ı Aktive Etme

Kurumsal Güvenlik ve Web Filtreleme

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Labris LBR-S Labris LBR-S4-100A YILI DEVLET MALZEME OFİSİ ÜRÜN KATALOĞU Labris Güvenlik Programlar

Fiery seçenekleri 1.3 yardımı (sunucu)

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

ADIM ADIM METASPLOIT METERPRETER SHELL DAVRANIŞ ANALİZİ

Bilgi ve İletişim Teknolojileri (JFM 102) Ders 7. LINUX OS (Sistem Yapısı) BİLGİ & İLETİŞİM TEKNOLOJİLERİ. LINUX Yapısı

Web Servis-Web Sitesi Bağlantısı

Güvenlik Java ve Web Uygulama Güvenliği

Kurumsal Güvenlik ve Web Filtreleme

BİLGİ SİSTEMLERİ GÜVENLİĞİ

ERİŞİM ENGELLEME DOS VE DDOS:

Coslat Monitor (Raporcu)

Açık Kaynak Güvenlik Duvarı Sistemi

FTP ve Güvenlik Duvarları

Bilgisayar Yazılımları

BONASUS. Ertuğrul AKBAS [ANET YAZILIM]

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Metasploit Framework ile Güvenlik Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci at gamasec.net

ÖRÜN (WEB) GÜVENLİĞİ. Hazırlayan: Arda Balkanay

Öğr.Gör. Gökhan TURAN Gölhisar Meslek Yüksekokulu

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

AĞ ve SİSTEM GÜVENLİĞİ

VoIP Pentest NetSEC / Microso3 Türkiye Ozan UÇAR ozan.ucar@bga.com.tr

aselsan Güvenli Bilgi Paylaşımı ve SAHAB aselsan Ali YAZICI Türk Silahlı Kuvvetlerini Güçlendirme Vakfı nın bir AZERBAYCAN-Temmuz kuruluşudur.

SAÜ BİLGİSAYAR VE BİLİŞİM BİLİMLERİ FAKÜLTESİ ORTAK BİLGİSAYAR DERSLERİ KOORDİNATÖRLÜĞÜ HAFTA 1 İÇERİĞİNE AİT UYGULAMA FÖYÜ

THE RAINBOW SCADA D-500

Aktarımı Çalıştırmak/Geri Almak 146 Alan Seçenekleri 148 Veri Tabanı Şeması 150 Veri Tabanı ile İlgili Bazı Rake Görevleri 162 Modeller 164

MT4 Platformu Kullanıcı Kılavuzu

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

BİLGİ GÜVENLİĞİ DERSİ GÜZ

E-postaya Tarama Hızlı Kurulum Kılavuzu

KASPERSKY LAB. Kaspersky Small Office Security GUIDE BA BAŞLARKEN

VIO ERP12 Muhasebe Kurulum

Bilgi Sistem altyapısında kullanılan sistemlerin 7x24 izlenmesi ve analiz edilmesi. Tespit edilen güvenlik olaylarını önleyici tedbirlerin alınması

Kategori:Allplan->Teknik Destek ve Kurulum->SSS_Allplan_2016_Server_Lisans_Kurulumu

HP Yazılım Zirvesi - İstanbul 20 May Wyndham Grand Levent Erdem Alaşehir / Finansbank Güvenlik Olay Korelasyonunda Büyük Veri Kullanımı

Ufuk Üniversitesi Kütüphanesi Kütüphane Kaynaklarına Erişim Bilgileri

BotNet vs Kurumsal Güvenlik. 15 Şubat 2011 Volkan ERTÜRK

Mehmet Fatih Zeyveli CISSP Kullanıcı Tarafı Güvenliği

WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA

Sibergüvenlik Faaliyetleri

MULTI - CORE UTM NİN AVANTAJLARI. Gerçek zamanlı ve kapsamlı tehdit koruması için hız engelleri nasıl aşılır.

Bilişim Teknolojileri Temelleri 2011

MCR02-AE Ethernet Temassız Kart Okuyucu

Sızma Testlerinde Fiziksel Güvenlik Riskleri

Anti-Virüs Atlatma 1. Resimden anlaşıldığı üzere 56 anti-virüs yazılımından 36 tanesi zararlı yazılım olduğunu doğrulamıştır.

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM

İstemci Tabanlı Saldırı Türleri. Ozan UÇAR

Intrusion Belirleme Araçları

Trickbot Zararlı Yazılımı İnceleme Raporu

Sistem Programlama. (*)Dersimizin amaçları Kullanılan programlama dili: C. Giriş/Cıkış( I/O) Sürücülerinin programlaması

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

Sunucu İşletim Sistemini Ayarlamak ve Yönetmek

Kampüs Ağ Yönetimi. Ar. Gör. Enis Karaarslan Ege Ü. Kampüs Network Yöneticisi. Ege Üniversitesi BİTAM Kampüs Network Yönetim Grubu

Yazıcı camından veya otomatik belge besleyicisinden (ADF) taramaları başlatabilirsiniz. Posta kutusunda saklanan tarama dosyalarına erişebilirsiniz.

Yeni Nesil Ağ Güvenliği

(... GÜÇLÜ KORUMA, DÜŞÜK SİSTEM KAYNAĞI KULLANIMI...)

Kets DocPlace LOGO Entegrasyonu

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

V-Ray Lisanslama Sistemi

Dokunmatik Panel Ürün Ailesi. Eğitim Sunumu: Proje Uyarlama Kılavuzu

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

Bilgi Teknolojisi Altyapısı. Tarihi Gelişim. Tarihi Gelişim. Bulut Servis Sağlayıcı. Bulut Bilişim

Bilgi ve iletişim teknolojileri Dersi Ders Notlarıdır?

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya

Güvenlik Mühendisliği

Widows un çalışmasında birinci sırada önem taşıyan dosyalardan biriside Registry olarak bilinen kayıt veri tabanıdır.

UserLock bir servis olarak çalışıyor ve son kullanıcının çalışmasını engellenmeden otomatik olarak yüklenen aracı programlar (agent) kullanıyor.

Scan Station Pro 550 Adminstration & Scan Station Service Araçları

Bilişim Teknolojilerine Giriş

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı. Öğr. Gör. Murat KEÇECĠOĞLU

MT4 Platformu u Kullanıcı Kılavuzu ARALIK 2011

Transkript:

Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması Akademik Bilişim Şubat 2006 Hakan Tağmaç htagmac@cisco.com Sistem Müh. 1

Bildiri Konusu Günümüzde klasik veri toplama sunucuları çok yoğun ağ ve güvenlik bilgisi altında ezildiğinden ağda atak tespiti ve önlenmesi ciddi bir sorun haline gelmiştir. Bu sorunu çözmek için genel eğilim sadece cihazlardan veri toplayan ve bunu depolayan sunucuların kullanılması yerine farklı üreticilere ait cihazlardan topladığı olaylar arasında ilişkilendirme yapan ve tehlike yaratmayan olaylar için yanlış alarmlar vermek yerine sadece etkili olabilecek atakları ilk planda gösteren cihazların kullanılması yönündedir. Böylelikle atağa ait topolojinin anında görülmesi ve hızlı müdahale edilmesi olanaklı hale gelmektedir. 2

Ajanda Güvenliğin İzlenmesinde Karşılaşılan Zorluklar Cisco MARS Teknolojisi (Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması) Nasıl Çalışır? MARS - Sasser-D Demo 3

Güvenliğin İzlenmesinde Karşılaşılan Zorluklar 4

Güvenlik Operasyonları Ağ Operasyonları Güvenlik Operasyonları Aksiyon Adımları: 1. Alarm 2. İncele 3. Önle Sınır Güvenliği Saldırı Tespit Cihazları Ağ topolojileri, Milyonlarca veri!!! Oku ve Analiz Et Tekrar Et Win, UNIX Antivirüs Kripto cihazları Ağ tarayıcıları Kimlik SorgulamaYönlendirici/Anahtar Sunucuları 5

Defans Derinliği ve Karmaşık Yapı Alarmlar Virus Bulaşmış PC 6

IPS Alarmları 7

Firewall Kayıtları 8

Cisco MARS Teknolojisi 9

Nasıl Çalışır? 1. Ağ, güvenlik cihazları ve sunucular olayları Cisco MARS'a gönderir. 2. Cisco Mars'ta toplanan olaylar ayrış ıştırılır ve normalleştirilir. 3. Olaylar biribiri ile ilişkilendirilip oturumlar belirlenir. 4. Kural motoru çalış ıştırlır (Düşürme Kuralları, Sistem Kuralları, Kullanıcı Kuralları) 5. Yanlış Alarm Analizleri Yapılır. 6. Şüpheli makina ve cihazlar için güvenlik açıkları değerlendirilmesi yapılır. 7. Trafik sınıflandırılması yapılır ve anormal durumlar istatiksel olarak belirlenir. 10

MARS ve Sasser-D 11

Solucanlar Tipik Atak Safhaları Saldırıya Açık Makina Tespiti için Tarama Infected station 1 Probing Saldırıya Açık Porta Saldırma Shell Ekranı Ele Geçirme Bir İşlem Başlatma Atak Kodunu İndirme 3 Launch Server Process 01001 4 2 Shell 01001 5 Kodu çalıştır Tekrar et 6 12

Hızlı Yayılım Sasser Solucanı May 1, 2004 128 IP blokları halinde TCP/445e bağlanma ve OS tespiti için SMB Banner Elde Etmeye Çalışma 445 LSA exploit payload 445 gönderme Port 9996 port 9996 ya bağlan ve random_up.exe dosyasını indirip çalıştıracak script yolla. 9996 Ara Bellek Taşması sağlayacak kodu çalıştır ve komut shell ile port 9996 birbirine bağla FTP Sunucu port 5554 de çalışmaya başlar. 5554 random_up.exe nin FTP ile indirilmesi Not: Takip eden Korgo worm 6/2/04, keystroke logger programı kurar, bilgi çalar ve uzaktan komut çalıştırılmasına imkan sağlar windows, registry ye yazma Atağı yiyen makina çöker ve reload olur. 13

Grafik Herşeyi Anlatıyor! 14

Kritik Olaylar 15

Ele Geçirilmiş Makinalar 16

Atağın Durdurulması 17

Demo 18

Özet 19

Ataklar 20

Detaya Bakma 21

Oturumun içindeki Olaylar 22

Atak vektörü 23

Atakların Durdurulması Durdurulacak cihaz DURDURMA 24

Grafikler 25

Cihaz Detayları MAC Adresi OS and SP 26

Vektör Diyagramı 27

Anormallikler: Belli portta gözlenen yoğun trafik Sorgulama Yapılabilir 28

Problemlerin Kolay Çözülmesi Click q icon to get to the Query Page 29

Raporlar Kural olarak kaydedilebilir teks 30

Araştırma Can save as a rule 31

Anormallikler: Belli portta gözlenen yoğun trafik 32

Rapor Seçenekleri 33

Kurallar 34

Özet Yerine! 35

Saldırı Tespit Sistemleri Saldırı Tespitinin Tüm Bileşenleri CSA Güvenlik Politikaları Sınır Merkezi Yönetim, Korelasyon ve Analiz CSA Cisco ISR Servis Sağlayıcı PIX & ASA VMS, CS-MARS CSA Sınır Güvenliği Cisco Guard Cisco IPS 4200 Servis Modülleri CSA Sıfır Gün Koruması DDoS ve Spoofing in Durdurulması Saldırıların Durdurulması Sunucu Koruması 36

Tehditlerin Durdurulması Anormallik Tespiti Birleştirme Korelasyon CS-MARS DTM Yönetimi Akıllı Aktivasyon IPS MC Alarmlar Gerekli imzaların Açılması Konfigurasyon Değişiklik Yöntetimi Birleştir Bilgi Uygula Korelasyon 37

38

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim