Post on 14-Apr-2017
Bilgi Güvenliği için
Açık Kaynak ile 360 Derece
Alan Hakimiyeti
19 Kasım 2015 | BilgiOkayra.otaner@bilgio.com
KonuşmacıHakkında
Kayra Otaner | kayra.otaner@bilgio.com● 1994'den beri Linux kullanıcısı● 2000'de ilk Türkçe Php ve MySQL kitabı yazarı● 2000-2012 New York City / USA finans ve İnternet reklamcılığı şirketlerinde BigData,
Güvenlik ve Açık Kaynak altyapı direktörlüğü● 2012 – BilgiO A.Ş. Genel Müdür / Kurucu Ortak● 1999'dan beri Bilişim Zirvesi, Akademik Bilişim, Inet-TR, UlakNet Çalıştayları, Özgür Web
Günleri etkinliklerinde konuşmacı● Evli ve 2 çocuk babası, İstanbul aşığı● https://twitter.com/kayraotaner● https://linkedin.com/in/kayraotaner
Bu sunumda
Know how vs Know why Bilgi Güvenliğinda Savunma Odaklılık Pentagon'dan F35 planları çalınması (2007) ve Edward Snowden
(Haziran 2013) sonrası dönem White House Executive Order 13636: Zero Trust 360 Derece Alan Hakimiyeti konsepti SecOps nedir? Some Nedir? PAM (Privileged Access Monitoring) Yetkili Erişimi Takibi Gerçek hayattan örnekler
Know How nedir?Know Why nedir?
Those who know HOW will always have a job, those who know
WHY, will be in charge.
Bu sunumun amacı 360 Derece Alan HakimiyetininNASIL kurgulanacağını göstermek değil, NİÇİN kurgulanması gerektiğini anlatmak.
2007: 50 terabyte! 600 Milyar USD tutarındaki F-35 planları
Çinli hacker'lar tarafından çalındı.
NSA: Snowden 1.7 milyon çok gizli dökümanı çaldı.
http://www.businessinsider.com/how-many-docs-did-snowden-take-2013-12
Snowden etkisi
http://www.computerworld.com/article/2474270/cybercrime-hacking/how-the-nsa-is-preventing-another-snowden--and-why-you-should-do-the-same-.html
Verizon : Data Breach Investigation Report
2014 senesi içinde :● Ebay 145 milyon hesap (Mayıs 2014)● Icloud (Eylül 2014)● Home Depot (Eylül 2014)● Whitehouse (Ekim 2014)● Sony (Kasım 2014)
http://www.verizonenterprise.com/DBIR/2015/
Kimse kendine güvenemiyor
2015 Mart tarihli ankette 800+ IT yöneticisinin katılımında 52% oranında büyük oranda başarılı bir siber saldırıya maruz kalacaklarını düşünüyor, bu oran geçen sene 39% dan artmış. Daha da ilginci 71% geçen senelerde hack'lendiklerini itiraf etmiş durumda.
http://fortune.com/2015/03/20/corporate-hacking/
Bilgi Güvenliği'nde Saklı kalan gerçekler
2013 de gelinen noktayı en net şu söz özetliyor.
Saldırılara karşı kendinizi savunamıyoruz, saldırıları durduramıyoruz. Tek yapabileceğimiz erken tespit etmek ve hızlı cevap verebilmek.
You can't defend. You can't prevent. The only thing you can do is detect and respond.Bruce Schneier
WhiteHouse : Zero Trust
Şubat 2013'de President Obama’nın Cybersecurity Executive Order (EO) emriyle NIST (National Institute of Standards and Technology (NIST) ABD'nin yeni siber güvenlik politikasını tarif etmesini istedi. NIST ise 2013'ün ilk yarısında Forrester Research'ın Zero Trust modelini benimsediklerini açıkladı.
https://www.whitehouse.gov/issues/foreign-policy/cybersecurity/eo-13636
Sorunun temelinde
Kurumlar/Firmalar
Önleme (Prevention) Tespit (Detection)ve Müdehale (Response) bütçelerini / önceliklerini doğru kurgulayamıyorlar.
Bir gün sunucunuz hack'lenecek, bunu tespit edip cevap verebilecek mekanizmalar aslında işletilebilir durumda değil (SOME?)
Hacklenildiğinin farkedilme süresinde endüstri ortalaması : 7 ay .
Ezberi bozma vakti.
In an increasingly complex world, sometimes old questions require new answers.
Zero Trust
Google da Zero Trust diyor.
Zero Trust Nedir?
Zero Trust
Peki... Açık Kaynak'la nasıl bir ilgisi var?
Zero Trust : Firewall Host + Network IDS / IPS Log Management / SIEM Privileged Access Monitoring / PAM / IDM Network Analysis and Visibility (NAV / NPM)
SecOps nedir?
CERT nedir? NetSA nedir?
ABD Ordu ve NSA kaynaklarına baktığımızda “Situational Awareness” ifadesine çok sık rastlıyoruz.
“Situational Awareness a New Way to Attack Cybersecurity Issues Rather Than Using a System Defense Approach”
http://csrc.nist.gov/cyberframework/rfi_comments/tri-county_electric_cooperative_part2_032613.pdf
360 Derece Alan Hakimiyeti
Ulubilge (SecOps / SIEM) Gözcü (Host & Network IDS) : PTT, Tüpraş, Yıldız
Holding, Asecco, Ford Otosan Baykuş (NAV) : Maltepe Üniversitesi, Gazi
Üniversitesi, Asecco Bekçi (PAM) : Geliştirme aşamasında
SecOPS : 360 Derece Alan Hakimiyeti Projesi BSGS 1 Ekim 2015'den itibaren başlandı. Tübitak / Sanayi Bakanlığı Fonlamalı Pardus Kurumsal Tabanlı Türkiye sathında oldukça dağıtık bir kurumun
altyapısına tek merkezden hakim olunması.
Gözcü (Host & Network IDS) Open Source Host based IDS Network Based IDS Log Correlation Labaratuar da pisiyor :
Anomaly Detection Passif Asset ve OS Tespiti Vulnerability Scanning
Bekçi (PAM) Open Source SSH gateway & keystroke logging Screen recording Kepenk Indir / Kaldir (Lock Down) : Zaman tabanli
erisim engelleme PKI altyapısıyla entegre merkezi SSH yönetimi Kriptografik anahtar altyapısıyla kullanıcı kısıtlama
Baykuş (NAV) Open Source Netflow / Sflow collection Scan & Botnet detection In line HTTP & SMTP, Open Source DB protocol
logging Full packet capture alt yapısı
Tüm Trafik Kaydı
In order to do so, network analysis and visibility (NAV) tools are required to provide scalable and non-disruptive situational awareness. NAV is not a single tool, but a collection of tools that have similar functionality. TheseNAV tools include network discovery tools for finding and tracking assets, flow data analysis tools to analyze traffic patterns and user behavior, packet capture and analysis tools that function like anetwork DVR, network metadata analysis tools to provide streamlined packet analysis, and network forensics tools to assist with incident response and criminal investigations.
Depolama Miktarları
Network Profili
Mbit Saniye (MB)
Saat (GB)
Gün (TB)
Ay (TB)
Sıkıştırma (0.75)
IPFix (TB)
Netflow v5 (TB)
Ev Kullanıcısı
8 1 3.52 0.08 2.47 1.85 0.05 0.02
Ufak e-ticaret
100 12.5 43.95 1.03 30.90 23.17 0.62 0.31
Ortalama e-ticaret
300 37.5 131.84 3.09 92.70 69.52 1.85 0.93
Tam Kullanım
1024 128 450.00 10.55 316.41 237.30 6.33 3.16
Aylık Maaliyet
Network Profili Mbit Ay (TB) Sıkıştırma(0.75)
Adet TL
Ev Kullanıcısı 8 2.47 1.85 0.46 361.06 TRL
Ufak e-ticaret 100 30.90 23.17 5.79 4,513.19 TRL
Ortalama e-ticaret
300 92.70 69.52 17.38 13,539.58 TRL
Tam Kullanım 1024 316.41 237.30 59.33 46,215.09 TRL
4TB lik WD Caviar Green fiyat : 779TL kullanıldığında
SecOps nedir?
SecOps nedir? Sistem yöneticilerinin müşteri ve yönetim
taleplerini karşılamak için güvenlik ve uyumluluk kaygılarını 2. sıraya atmalarına, Security ekiplerinin giderek sayıları artan sistemlerinin yönetimini olabildiğince otomatize ederek cevap vermesidir.
SecOps nedir?
SecOps nedir? DevOps'u biz sistemleri yöneten sistemler
kurmak olarak tarif ediyoruz. SecOps'u da sistemleri güvenli hale getiren VE
güvenli halde tutan sistemler kurmak olarak tarif ediyoruz.
Port Scan tespiti gerçek hayattan örnekler
Port Scan ile erken uyarı ve tehdit algılama?● Horizontal Scan● Vertical Scan● Block Scan
Teşekkürler
Those who know, do. Those who understand, teach.— Aristotle
Bilenler yapar, anlayanlar öğretir. Aristo
Bilgi Güvenliği: Pentest
Bilgi Güvenliği : Firewall
Bilgi Güvenliği : SIEM