SİBER SUÇLARA KARŞI SİBER ZEKA Aytuğ Çelikbaş Sistem Mühendisi Copyright 2013 EMC Corporation. All rights reserved. 1
2 Ajanda Günümüz Tehditleri Güvenlikte Büyük Veri Yaklaşımları Siber İstihbarat Atak Senaryosu
Copyright 2012 EMC Corporation. All rights reserved. 3 Yeni Güvenlik Dünyası Altyapıları güvenli hale getirmek her geçen gün daha da zorlaşıyor İnsana, verinin akışına ve işlemlere odaklanmalıyız
Günümüz Tehditleri 1 GİZLİ DERİN VE YAVAŞ 2 ODAKLI SPEFİFİK AMAÇ 3 INTERAKTİF İNSAN ETKİLEŞİMLİ Atak Pivot ve Gizleme Kapatma İzinsiz Giriş Bekleme Süresi Tepki Süresi Önleme Tespit Tepki A Bekleme Süresini Azaltma Tepki Süresini B Arttırma Copyright 2013 EMC Corporation. All rights reserved. 4
Ajanda Günümüz Tehditleri Güvenlikte Büyük Veri Yaklaşımları Siber İstihbarat Atak Senaryosu Copyright 2013 EMC Corporation. All rights reserved. 5
6 2012 2000 YILINDA DÜNYADA İKİ EXABYTES YENİ VERİ YARATILDI HER GÜN! Sources: How Much Information? Peter Lyman and Hal Varian, UC Berkeley,. 2011 IDC Digital Universe Study.
8 Büyük Veri Güvenlik Yaklaşımını Değiştiriyor
Günümüzün Güvenlik İhtiyaçları Copyright 2013 EMC Corporation. All rights reserved. 9 Büyük Veri Altyapısı Hızlı ve Ölçeklenebilir bir altyapı üzerinden kısa ve uzun vadeli analiz yeteneği Kapsamlı Görünürlük Olan biten her şey hakkında haberdar olabilme Güçlü Analitik Yetenekleri Tehditleri anlık olarak tespit ve inceleme için gerekli hız ve zeka gücü Bütünleşik İstihbarat Proaktif olarak odaklanma ve önceliklendirme yeteneği
10 Ajanda Günümüz Tehditleri Güvenlikte Büyük Veri Yaklaşımları Siber İstihbarat Atak Senaryosu
RSA Security Analytics: Güvenlik Yönetiminde Yeni Bir Döneme Geçiş Güvenlik İzleme için Bütünleşik Bir Platform, Olay Soruşturması, Uyumluluk Raporlaması SIEM Uyumluluk Raporlaması a ası Log Uyumlandırm RSA Security Analytics Network İzleme l Hızlı ı & Güçlü Analitik Log & Paket İstihbarat, aa, t Baglamsal a a Yüksek Analitik Gücü inceleme e e Büyük ük Veri Yaklaşımı Güvenlik Veri Madenciliği Copyright 2013 EMC Corporation. All rights reserved. 11
12 İstihbarat Odaklı Güvenlik Risk bazlı, içeriksel ve çevik Risk İstihbaratı risklerin anlaşılarak aktivitelerin öncelendirilmesi Gelişmiş Analitik bağlam ve görünürlük Sağlayarak tehditlerin tespiti Adaptif Kontroller risk ve tehdit seviyesine göre dinamik olarak ayarlanır Bilgi Paylaşımı güvenilir kaynaklardan aksiyon alınabilir istihbarat
13 1 Şüpheli Atak Senaryosu: Veri hırsızlığı ALARM!!... Şüpheli Ağ Trafiği IP adresi standart dışı bır port üzerinden tünellenmiş birden fazla bağlantı gösterir Yetkili kullanıcı Active Directory'ye oturum açar AD logları şüpheli IP adresinden yetkili kullanıcı hesabı ile oturum açıldığını gösterir 2 PASSWORD 4 Veri hırsızlığı Şifreli ZIP dosyası FTP server aracılığı ile internete gönderilir Önce test sunucusuna daha sonra şirket dosya sunucusuna aynı IP adresinden farklı kullanıcılar oturum açar VPN ve host logları, VPN ve bir kaç iç sunucuya oturum açmak için farklı yetkili kullacılar kullanıldığını gösterir 3 PASSWORD SWO
14 Şüpheli VPN Trafiği VPN Aktivitesinde şüpheli artış
15 Süpheli VPN Aktivite Detayı Şirket dışı bir cihaz Atanan şirket IP si dışında gerçek bir IP adresi
16 Atanan İç IP Adresi Aktivitesi IP adresinin aktivite detayları
17 Şüpheli Aktivite Uyarısı Şüpheli aktivite uyarısı Erişim yapılan IP adresleri
18 Şüpheli Aktivite Uyarısı Şüpheli aktivite detayı
19 Şüpheli Aktivite Detayı Şüpheli aktivitenin yapıldığı IP adresleri
20 Şüpheli Aktivite Detayı Şüpheli hedef IP aktiviteleri Şüpheli aktivite alarmı
21 Şüpheli Aktivite Detayı Admin hesabı ile açılan oturum
22 Şüpheli Aktivite Detayı Session ın yeniden oluşturulması
23 Oturumu Tekrar Yapılandırma Hedef IP adresindeki dizin Admin hesabı ile açılan oturum
24 Oturumu Tekrar Yapılandırma Hedeflenen veriye ulaşma çalışması - Dizin tarama
25 Oturumu Tekrar Yapılandırma Verinin transferi sonrasında sistemden silinmesi
26 Süpheli Veri Transferi Şüpheli veri transferi detayı
27 Süpheli Veri Transferi Şüpheli veri transferi detayı
28 Süpheli Veri Transferi Detayı Şüpheli veri transferi detayı
29 Süpheli Veri Transferi Detayı
30 Süpheli Veri
31
32
33
34
35
36
37
38
39
40
41 RSA Security Analytics Malware Analizi Birden fazla analitik yöntem kullanarak, daha önce görülmemiş saldırılar da dahil olmak üzere zararlı yazılım tabanlı saldırıları tespit eden ve tanımlayan analitik uygulama
Copyright 2012 EMC Corporation. All rights reserved. 42 Zararlı Yazılım (Malware) Analizi Çoklu analitik metodlar tek bir uygulama içinde Muhtemelen Sıfır Gün Statik Analiz Network Analysis Sandbox Analizi Muhtemel Sandbox Farkında malware İstihbarat ve Güvenlik Komüniteleri Muhtemel Malware
Copyright 2012 EMC Corporation. All rights reserved. 43 RSA ECAT Fonksiyonalite ve Yararları Beyaz Liste Dosyalar Çoklu Antivirus taraması Sertifika Doğrulaması Ağ Trafik Analizi Tüm Sistem Envanteri Direk Fiziksel Disk Kontrolü Canlı Hafıza Analizi Son kullanıcı ve sunucular üzerinde ne olduğunun X-ray görünümü Davranış tabanlı malware tespiti Cihaz Şüphe Seviyesi özelliği sayesinde olası enfeksiyonları tespit etme imkanı Ağdaki diğer enfekte makineleri bularak ve ihlalin kapsamını belirleme Adli veri toplama Aksiyon alınabilir istihbarat için hızlı önceliklendirme
Komple Son Kullanıcı ve Ağ Görünümü RSA ECAT ve RSA Security Analytics RSA Security Analytics Kaydetme ve Analiz - Paketler, Kayıtlar ve Tehdit İstihbarat Verileri Cihaz Şüphe Seviyesi alarmlarının SYSLOG ile gönderilmesi RSA ECAT ECAT üzerinden direk SA sorguları Son kullanıcı ve sunucular üzerinde gelişmiş tehdit tespiti Komple ağ ve son kullanıcı görünümü Çok hızlı analiz imkanı sayesinde bekleme süresinin azaltılması Şüpheli son kullanıcı aktivitelerinin tespiti Copyright 2013 EMC Corporation. All rights reserved. 44
Olay Müdahele Senaryosu RSA Security Analytics Kurulum ve Tarama RSA ECAT ajanı kurulumu ve makina üzerinde derin tarama/analiz 1 2 Şüpheli bir ağ trafiği alarmı - Komuta kontrol trafiği, zararlı bir IP adresine bağlantı vb. Değerlendirme ve Analiz ECAT konsolu üzerinden makinanın zararlı bir yazılım içerip içermediği tespit edilir. 3 4 İyileştirme Zaralı yazılımın temizlenmesi veya makinanın yeniden imajlanması Copyright 2013 EMC Corporation. All rights reserved. 45