Bilgi Güvenliği için

Açık Kaynak ile 360 Derece

Alan Hakimiyeti

19 Kasım 2015 | BilgiOkayra.otaner@bilgio.com

KonuşmacıHakkında

Kayra Otaner | kayra.otaner@bilgio.com● 1994'den beri Linux kullanıcısı● 2000'de ilk Türkçe Php ve MySQL kitabı yazarı● 2000-2012 New York City / USA finans ve İnternet reklamcılığı şirketlerinde BigData,

Güvenlik ve Açık Kaynak altyapı direktörlüğü● 2012 – BilgiO A.Ş. Genel Müdür / Kurucu Ortak● 1999'dan beri Bilişim Zirvesi, Akademik Bilişim, Inet-TR, UlakNet Çalıştayları, Özgür Web

Günleri etkinliklerinde konuşmacı● Evli ve 2 çocuk babası, İstanbul aşığı● https://twitter.com/kayraotaner● https://linkedin.com/in/kayraotaner

Bu sunumda

Know how vs Know why Bilgi Güvenliğinda Savunma Odaklılık Pentagon'dan F35 planları çalınması (2007) ve Edward Snowden

(Haziran 2013) sonrası dönem White House Executive Order 13636: Zero Trust 360 Derece Alan Hakimiyeti konsepti SecOps nedir? Some Nedir? PAM (Privileged Access Monitoring) Yetkili Erişimi Takibi Gerçek hayattan örnekler

Know How nedir?Know Why nedir?

Those who know HOW will always have a job, those who know

WHY, will be in charge.

Bu sunumun amacı 360 Derece Alan HakimiyetininNASIL kurgulanacağını göstermek değil, NİÇİN kurgulanması gerektiğini anlatmak.

2007: 50 terabyte! 600 Milyar USD tutarındaki F-35 planları

Çinli hacker'lar tarafından çalındı.

NSA: Snowden 1.7 milyon çok gizli dökümanı çaldı.

http://www.businessinsider.com/how-many-docs-did-snowden-take-2013-12

Snowden etkisi

http://www.computerworld.com/article/2474270/cybercrime-hacking/how-the-nsa-is-preventing-another-snowden--and-why-you-should-do-the-same-.html

Verizon : Data Breach Investigation Report

2014 senesi içinde :● Ebay 145 milyon hesap (Mayıs 2014)● Icloud (Eylül 2014)● Home Depot (Eylül 2014)● Whitehouse (Ekim 2014)● Sony (Kasım 2014)

http://www.verizonenterprise.com/DBIR/2015/

Kimse kendine güvenemiyor

2015 Mart tarihli ankette 800+ IT yöneticisinin katılımında 52% oranında büyük oranda başarılı bir siber saldırıya maruz kalacaklarını düşünüyor, bu oran geçen sene 39% dan artmış. Daha da ilginci 71% geçen senelerde hack'lendiklerini itiraf etmiş durumda.

http://fortune.com/2015/03/20/corporate-hacking/

Bilgi Güvenliği'nde Saklı kalan gerçekler

2013 de gelinen noktayı en net şu söz özetliyor.

Saldırılara karşı kendinizi savunamıyoruz, saldırıları durduramıyoruz. Tek yapabileceğimiz erken tespit etmek ve hızlı cevap verebilmek.

You can't defend. You can't prevent. The only thing you can do is detect and respond.Bruce Schneier

WhiteHouse : Zero Trust

Şubat 2013'de President Obama’nın Cybersecurity Executive Order (EO) emriyle NIST (National Institute of Standards and Technology (NIST) ABD'nin yeni siber güvenlik politikasını tarif etmesini istedi. NIST ise 2013'ün ilk yarısında Forrester Research'ın Zero Trust modelini benimsediklerini açıkladı.

https://www.whitehouse.gov/issues/foreign-policy/cybersecurity/eo-13636

Sorunun temelinde

Kurumlar/Firmalar

Önleme (Prevention) Tespit (Detection)ve Müdehale (Response) bütçelerini / önceliklerini doğru kurgulayamıyorlar.

Bir gün sunucunuz hack'lenecek, bunu tespit edip cevap verebilecek mekanizmalar aslında işletilebilir durumda değil (SOME?)

Hacklenildiğinin farkedilme süresinde endüstri ortalaması : 7 ay .

Ezberi bozma vakti.

In an increasingly complex world, sometimes old questions require new answers.

Zero Trust

Google da Zero Trust diyor.

Zero Trust Nedir?

Zero Trust

Peki... Açık Kaynak'la nasıl bir ilgisi var?

Zero Trust : Firewall Host + Network IDS / IPS Log Management / SIEM Privileged Access Monitoring / PAM / IDM Network Analysis and Visibility (NAV / NPM)

SecOps nedir?

CERT nedir? NetSA nedir?

ABD Ordu ve NSA kaynaklarına baktığımızda “Situational Awareness” ifadesine çok sık rastlıyoruz.

“Situational Awareness a New Way to Attack Cybersecurity Issues Rather Than Using a System Defense Approach”

http://csrc.nist.gov/cyberframework/rfi_comments/tri-county_electric_cooperative_part2_032613.pdf

360 Derece Alan Hakimiyeti

Ulubilge (SecOps / SIEM) Gözcü (Host & Network IDS) : PTT, Tüpraş, Yıldız

Holding, Asecco, Ford Otosan Baykuş (NAV) : Maltepe Üniversitesi, Gazi

Üniversitesi, Asecco Bekçi (PAM) : Geliştirme aşamasında

SecOPS : 360 Derece Alan Hakimiyeti Projesi BSGS 1 Ekim 2015'den itibaren başlandı. Tübitak / Sanayi Bakanlığı Fonlamalı Pardus Kurumsal Tabanlı Türkiye sathında oldukça dağıtık bir kurumun

altyapısına tek merkezden hakim olunması.

Gözcü (Host & Network IDS) Open Source Host based IDS Network Based IDS Log Correlation Labaratuar da pisiyor :

Anomaly Detection Passif Asset ve OS Tespiti Vulnerability Scanning

Bekçi (PAM) Open Source SSH gateway & keystroke logging Screen recording Kepenk Indir / Kaldir (Lock Down) : Zaman tabanli

erisim engelleme PKI altyapısıyla entegre merkezi SSH yönetimi Kriptografik anahtar altyapısıyla kullanıcı kısıtlama

Baykuş (NAV) Open Source Netflow / Sflow collection Scan & Botnet detection In line HTTP & SMTP, Open Source DB protocol

logging Full packet capture alt yapısı

Tüm Trafik Kaydı

In order to do so, network analysis and visibility (NAV) tools are required to provide scalable and non-disruptive situational awareness. NAV is not a single tool, but a collection of tools that have similar functionality. TheseNAV tools include network discovery tools for finding and tracking assets, flow data analysis tools to analyze traffic patterns and user behavior, packet capture and analysis tools that function like anetwork DVR, network metadata analysis tools to provide streamlined packet analysis, and network forensics tools to assist with incident response and criminal investigations.

Depolama Miktarları

Network Profili

Mbit Saniye (MB)

Saat (GB)

Gün (TB)

Ay (TB)

Sıkıştırma (0.75)

IPFix (TB)

Netflow v5 (TB)

Ev Kullanıcısı

8 1 3.52 0.08 2.47 1.85 0.05 0.02

Ufak e-ticaret

100 12.5 43.95 1.03 30.90 23.17 0.62 0.31

Ortalama e-ticaret

300 37.5 131.84 3.09 92.70 69.52 1.85 0.93

Tam Kullanım

1024 128 450.00 10.55 316.41 237.30 6.33 3.16

Aylık Maaliyet

Network Profili Mbit Ay (TB) Sıkıştırma(0.75)

Adet TL

Ev Kullanıcısı 8 2.47 1.85 0.46 361.06 TRL

Ufak e-ticaret 100 30.90 23.17 5.79 4,513.19 TRL

Ortalama e-ticaret

300 92.70 69.52 17.38 13,539.58 TRL

Tam Kullanım 1024 316.41 237.30 59.33 46,215.09 TRL

4TB lik WD Caviar Green fiyat : 779TL kullanıldığında

SecOps nedir?

SecOps nedir? Sistem yöneticilerinin müşteri ve yönetim

taleplerini karşılamak için güvenlik ve uyumluluk kaygılarını 2. sıraya atmalarına, Security ekiplerinin giderek sayıları artan sistemlerinin yönetimini olabildiğince otomatize ederek cevap vermesidir.

SecOps nedir?

SecOps nedir? DevOps'u biz sistemleri yöneten sistemler

kurmak olarak tarif ediyoruz. SecOps'u da sistemleri güvenli hale getiren VE

güvenli halde tutan sistemler kurmak olarak tarif ediyoruz.

Port Scan tespiti gerçek hayattan örnekler

Port Scan ile erken uyarı ve tehdit algılama?● Horizontal Scan● Vertical Scan● Block Scan

Teşekkürler

Those who know, do. Those who understand, teach.— Aristotle

Bilenler yapar, anlayanlar öğretir. Aristo

Bilgi Güvenliği: Pentest

Bilgi Güvenliği : Firewall

Bilgi Güvenliği : SIEM