Post on 08-Jun-2015
description
information security services
Abdurrahman BEYAZASLANGenel Müdür, Kurucu OrtakGüvenlik Danışmanı
Ajanda
• Yeni Siber Saldırı Standartları• Analist ve CISO ‘nun Rolü• Bir Atağın Anatomisi• Atak Zincirini Kırmak• Sonuç
Yeni Standartlar
YeniNormlar
• De‐facto standardı• Görünme frenkansında artış
HedefAtaklar
• Belirli kitliler• Belirli coğrafi bölgeler• Gruplar• Beliri kişiler
Yeni Normlar
KarmaşıkAtaklar
• Tek vücut olarakçalışan farklı aktörler
• Her safhasındakiuzmanlık ve motivasyon çeşitliliği
• Karmaşıklığı ve gelişmişliği sürekliartıyor
Ekosistem
Karmaşık Atak Ekosistem Örneği: Zeus
İlk 10KaynakÜlke
1. US2. UK3. India4. Canada5. Brazil6. Australia7. Mexico8. Italy9. France10. Turkey
Karmaşık Atak Ekosistem Örneği: Zeus
İlk 10HedefSektör
1. Servis2. Üretim3. Finans4. Devlet5. İletişim6. Eğitim7. Perakende8. Sağlık9. Taşımacılık10. Kamu Hizmetleri
Analist’in Bugünkü Rolü
Analist, önceliklendirme, doğrulama, analizetmek zorunda.
Farklı FormatlarPDF, TXT, CSF, XML, DB
Bunalmış Analist
Analist, önleyici güvenlikkatmanlarından gelen farklıtipteki bilgileri programatikolarak derleyip anlamlıbilgilere dönüştürmekzorundadır.
Günümüzde CISO Rolü
Günümüzde CISO Rolü
DROPPER FILEEXPLOIT KITYÖNLENDİRMEYEMBİLGİ TOPLAMA
Bir Atağın Anatomisi
Hedef Kurum
Kurum çalışanı Emailserver
Ele geçirilmiş makina Saldırgan
Web proxy Control server
CALL HOMEVERİ SIZINTISI
Zararlı KodEnjekteEdilmişWebsite
Atak Zincirini Kırmak: Bilgi Toplama
• Pasif Bilgi Toplama: Hedef hakkındaki araştırma genele a.ikkaynaklar üzerinden yapılır. (Sosyal Medya, haberler vb. gibi)
• Aktif Bilgi Toplama: Teknik veya farklı bilgiler için sızma
• Öneriler– Veri akışlarına hakim olun– Partner güvenliğinden de emin olur
… Amerika’da Target marketlerine iş yapanbir partner firması hedef alınarak Target Corp’unkilit sistemlerine ait şifreler çalındı
Atak Zincirini Kırmak: Yem
• Gelişmiş Sosyal Mühendislik– Sadece gerektiği kadar karmaşık– Zararlı linklerin %85’I ele geçirilmiş güvenilir web sitelerinde barındırılıyor
• Watering holes: Sessiz yemleme– Çok ziyaret edilen siteler üzerinden, belirli bir konuya yönelen
kişilere ulaşmak– Duyuru/Yemleme yapmaya gerek yok
• Spam:– Tüm Spam mesajların %3.3’ü zararlı içerik barındıran sitelere
yönlendiriyor
• Öneriler– Son Kullanıcı Eğitimi– Gerçek zamanlı trafik analizleri– Detaylı görünülürlük için Gelişmiş Raporlama
Atak Zincirini Kırmak: Yönlendirme
• Kimlik Gizleme ve koruma sağlayan cihazlara saldırı– Ortalama redirect linki:4, maksimum 20
• Örnek: Ele geçirilen bir Web Sitesi– Basit bir HTML dosyası, ziyaretçiyi bir Adobe flash dosyasına
yönlendiriyor– Yönlendirme 2 farklı HTML dosyasına daha yapılıyor– Son dosyada IE exploit’I çalışıyor– Hiçbirisi zararlı kod ile ilgili bir bilgi barındırmıyor
• Öneriler– İmza tabanlı olmayan koruma yöntemleri– Tüm yönlendirme path’ini analiz etme
Atak Zincirini Kırmak: Exploit Kit
• Exploit Kit’leri bilinen ve bilinmeyen açıklıkları tarar• Statik koruma cihazlarını atlatırlar
– Hızlı adapte edilen exploit kitleri, son güvenlik güncellemelerini bypass edebiliyorlar.
• Bilinen ve yaması bulunan açıklar hala çok büyük fırsatyaratıyor– Java, Flash, XP vb. gibi.
• Geçici Exploit Kit Pazarı
• Öneriler– Başımız ağrımadan yama geçmek– Exploit kit’leri tesipt edebilen, dinamikve gerçek zamanlı korumalar
Atak Zincirini Kırmak: Dropper File
• Atak yapan kişinin, hedefte kalıcı olmasını ve ilerlemesinisağlar– Tek aşamalı dosyalar payload’u içerir– Çok aşamalı dosyalar ek payload’ları sonradan download ederler
• Hızlı varyasyonları sayesinde static koruma kalkanlarını hızlıcaatlatırlar
• Sandbox kullanımı ile, sanal kaçırma tekniklerinde de artışmeydana geldi.– Zararlı aktiviteyi gerçekleştirmeden önce zaman gecikmeleri kullanımı– Sanal ortam araştırmaları– İnsan etkileşimi testi
• Öneriler– Kaçırma teknikleri genişliği ve karmaşıklığı faaliyetlerin bir kombinasyonu
gerektirir. Bunlar objenin etrafındaki bilgiler (kim imzaladı, kökeni, reputation bilgisi), bize nasıl ulaştırıldı, vb. gibi
Atak Zincirini Kırmak: Call Home
• Komuta&Kontrol Sunucularına doğru yapılan bir istek ileprogram, araç veya talimatlar beklenir– Yönlendirme, Dynamic DNS, şifreli iletişim
• Örnek: Mevade– Full bir proxy kurulumu ve NAT’lı ortam üzerinden arka kapı açılması– Tor uygulaması kullanılarak neredeye komple anonimlik sağlanması
• Öneriler– Outbound trafiğin taranmsı ve izlenmesi– SSL/TLS çözümleme
• Kurumsal trafiğin %30‐40’I• En çok ziyaret edilen web sitelerinin %40’I kullanıyor (Facebook, Google, Twitter, Yahoo gibi)
Atak Zincirini Kırmak: Veri Sızıntısı
• Veri hırsızlığı,veri imhası veya fidye• Veri sızıntısının 3 temel yolu:
– Şifresiz trafik: Meşru gibi görünebilir. Veri koruma çözümleri ile kolaylıklatespit edilebilir.
– SSL/TLS: Hızla artmaya başladı. Daha maliyetli olsa da tespiti mümkün.– Custom‐Encrypted Dosyalar: B’r.ok koruma yönteminde tespit ve taraması
mümkün değil.
• Tek seferde veya parçalı gönderim
• Öneriler– Diğer 6 Atak Zincirinde güvenlik sağlayın!– Tam bir DLP çözümü kullanın– Custom Encryption tespiti– İmaj dosyalarının OCR Taraması– “Parçalı Gönderim” in tespiti– Şifreli ve şifresiz outbound trafiğin taranması
Sonuç• Atak Zinciri’nin tüm halkaları için koruma sistemlerimizi
gözden geçirmeliyiz.
• Mevcut koruma teknolojilerimizi, atlatma metodlarınıdüşünerek tekrar değerlendirmemiz gerekiyor.
• Tüm iletişim kanallarımız için (web, email, mobile) güvenli iletişimi ve içerik kontrollerini devreye almalıyız
• Veri sızıntıları için hem inbound hem de outbound trafikiçeriğini monitor etmeliyiz
• Yüksek riskli olay ve trendleri izleyebilecek log korelasyon çözümleri kullanmalıyız
• Gerçek zamanli analizler yapan koruma metodlarınakaymalıyız
Contact
InfoSec Bilgi Teknolojileri Saray Mah. Dr. Adnan Büyükdeniz Cad. No: 4 Akkom OfisPark 2. Blok 10. Kat 34768 Ümraniye İSTANBUL / Turkey
T: +90 216 250 35 35 www.infosec.com.trF: +90 216 250 35 39 info@infosec.com.tr