2. Güvenlik İzleme & Olay Müdahale Yetkilisi @
www.furkancaliskan.com
GCFA, CISA, CISM, 27001 LA
NSM, DFIR, açık kaynak kod, Linux, Python, edebiyat
meraklısı
Öncesi;
TÜBİTAK Kamu SM - Siber Güvenlik Takım Lideri
Ziraat Bankası – BT Müfettişi
Netaş – Linux Sistem Programcısı
Hakkımda
3. Giriş
Neden güvende hissedemiyoruz?
NSM nedir? Neden kaçınılmazdır?
Security Onion
Giriş
Araçlar
Demo
Teşekkürler
İçerik
4. Gelişen siber tehditler
Devlet destekli faaliyetler, ransomware, APT, fileless m/w vs.
False sense of security! (Cahillik, mutluluktur)
SIEM vs. Visibility
Durumsal farkındalık «SA» eksikliği. Büyük yapıların
getirdiği zorluklar. Varlıkları tanımamak. Eksik/hatalı DY.
Ürünlere bağımlı güvenlik anlayışı (IPS ve Antivirüsüm beni
korur)
«Prevention is ideal but detection is must» Eric Cole
Neden güvende hissed(em)iyoruz?
5. Assume breach (Aksini kim iddia edebilir? )
Sistemlerine ait «normal»’i bil.
Sistemlerden toplayabildiğin (ve analiz edebileceğin!)
kadar çok veri topla (Sysmon, DNS, flow, PCAP vs.)
Bunları kaydet, zenginleştir, korele et.
Otomatikleştir!
Anormallikleri sapta
NSM Nedir? CM Nedir?
8. 232.23.54.33’e adresinden bir EXE içeriği indirilmiş (Kaynak: Snort IDS imzası)
İlgili IP için başka Snort IDS alarmları da üremiş (Beaconing, C&C)
Bu IP’yi Bro datası ile zenginleştirsen;
www.sezginler.com.tc/wp-admin/static/muhasebe_v1_FULL.exe
Dosya MD5: 747429a377671f8f0ebbe241694e2683 (Python Virustotal )
EXE dosyası, registry’de ASEP’e yazıyor (Autoruns)
EXE dosyası, açılır açılmaz uzun bir Powershell kodu çalıştırıyor (Sysmon)
domain_stats ile zenginleştirsen;
domain.com 3 gün önce kaydedilmiş
geo_ip ile zenginleştirsen;
Rusya’da shared hosting sağlayan bir firma
İlgili IP, domain ve hash’i OSINT kaynaklara sorduk (Critical Stack vb.) 8/10
Veri zenginleştirme?
9. Eski Mandiant (Fireeye) çalışanlarından Doug Burks
Şirket içi kullanım amaçlı (Mandiant)
Temelde bir entagrasyon projesi
IDS + Bro + PCAP kayıt + endpoint + loglama + analiz
ortamı vb.
Ücretsiz, açık kaynak kodlu
Kurulumu ve kullanımı kolay
10. IDS (Saldırı Tespit Sistemi)
Snort yada Suricata: Talos ruleset, ET ruleset
PCAP kayıt
netsniff_ng
Bro
Trafik analiz aracı ~ IDS
Endpoint
Sysmon + Autoruns + OSSEC
Sguil/Squert
Analiz konsolu
Elsa
Loglama modülü
ELK
Temel Bileşenler
11. 3 mod
Standalone
Sensor
Server
Salt ile merkezi yönetim
Donanım planlaması
En az 2 network interface
Disk
Ram
Daha çok ram ve disk!
‘Production’ ve ‘evaluation’ kurulumlar
Adım adım kurulum rehberi: http://tiny.cc/gazisecon
Kurulum
https://github.com/Security-Onion-Solutions/security-onion/wiki/Hardware
15. Rob Joyce @ NSA//TAO Chief
‘en büyük
kabusumuz, tüm ağ
akışını loglayan ve o
veri içerisinde
anormallik arayan
birilerinin olması’
https://www.youtube.com/watch?v=bDJb8WOJYdA