Some’lerden Beklenen Adli bilişim Yetkinlikleri

@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr
Halil ÖZTÜRKCİ
Microsoft MVP
CISSP, GPEN, GCFA, CEH, CHFI
twitter.com/halilozturkci

ADEO Kurucu Ortak&Güvenlik Birimi
Yöneticisi
Adli Bilişim Derneği & USMED
Adli Bilişim Uzmanı
Beyaz Şapkalı Hacker
Microsoft MVP, Enterprise Security
Güvenlik TV Yapımcısı ve Sunucusu
SANS Mentor (www.sans.org)
CISSP, GPEN, GCFA, CHFI, CEH...
www.halilozturkci.com
halilozturkci

Nedir Bu SOME Dedikleri
SOME ’lerden Beklentiler
Siber Olaylar ve Olay Müdahalesi
(Incident Response)
SOME ve Adli Bilişim
İncelemeleri

 Siber Güvenlik Kurulu’nun ilk toplantısında “Ulusal
Siber Güvenlik Stratejisi ve 2013-2014 Eylem
Planı” kabul edilmiştir.
 Bu eylem planında kamu kurum ve kuruluşları
bünyesinde Siber Olaylara Müdahale Ekipleri
(Kurumsal SOME, Sektörel SOME) oluşturulması
öngörülmüştür.
 4. Madde:Stratejik Siber Güvenlik Eylemleri
▪ c.) Ulusal Siber Olaylara Müdahale Organizasyonunun
Oluşturulması

Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar
Hakkında Tebliğden;
MADDE 5 − (1) Kurumsal SOME’ler;
Kurumlarına doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemel
siber saldırılara karşı;
▪ Gerekli önlemleri alma veya aldırma
Bu▪ tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veya
kurdurma
▪ Kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla
yükümlüdürler .
 (3) Kurumsal SOME’ler,
Siber olayların önlenmesi veya zararlarının azaltılmasına yönelik faaliyetlerini varsa birlikte çalıştığı
sektörel SOME ile eşgüdüm içerisinde yürütürler.
Durumdan gecikmeksizin USOM'u haberdar ederler.
 (4) Kurumsal SOME’ler bir siber olayla karşılaştıklarında;
USOM ve birlikte çalıştığı sektörel SOME'ye bilgi vermek koşulu ile öncelikle söz konusu olayı
kendi imkân ve kabiliyetleri ile bertaraf etmeye çalışırlar.
Bunun mümkün olmaması halinde varsa birlikte çalıştığı sektörel SOME'den ve/veya USOM'dan
yardım talebinde bulunabilirler.@ADEO Bilişim Danışmanlık Hizmetleri, 2015 www.adeo.com.tr

Kurumun imkânları çerçevesinde bu fonksiyonların tamamını yerine getirmesi için hâlihazırda bilgi
işlem bünyesinde görev yapan personelin Kurumsal SOME kurulumunun ilk aşamasında ikiz görevli
olarak görevlendirilebileceği; nihai hedef olarak ayrı uzmanlık gerektiren her bir fonksiyon için en
az bir sözleşmeli/kadrolu personel istihdamı yapılması tavsiye edilmektedir.

 Siber Olay Öncesi Beklentiler
 Kurum içi farkındalık çalışmalarının
gerçekleştirilmesi
 Kurumsal bilişim sistemleri sızma testlerinin
yapılması / yaptırılması
 Kayıtların düzenli olarak incelenmesi
 Siber Olay Esnasındaki Beklentiler
 Siber Olay Sonrasındaki Beklentiler

İki temel başlık altında toplanabilir
Reaktif Servisler
Proaktif Servisler
Reaktif servisler herhangi bir siber saldırı anında
veya sonrasında verilebilecek servislerdir
Proaktif servisler ise herhangi bir siber olay
meydana gelmeden önce altyapıyı ve güvenlik
süreçlerini iyileştirmeye yönelik servislerdir.

Reaktif servis kategorisinde yer alan servisler
temel manada şunlardır;
Alerts and Warnings
Incident Handling
Incident Analysis▪
Forensic Evidence Collection▪
Tracking or Tracing▪
Incident Response on Site▪
Incident Response Support▪
Incident Response Coordination▪

 Vulnerability Handling
 Vulnerability Analysis
 Vulnerability Response
 Vulnerability Response Coordination
 Artifact Handling
 Artifact Analysis
 Artifact Response
 Artifact Response Coordination

 Ulak-CSIRT UlusalAkademik Ağ kapsamında kurulmuş bir güvenlik
birimidir.
 Ulak-CSIRT (Computer Security Incident ResponseTeam)
 Dış ağlardan ULAKNET'e yapılabilecek güvenlik ihlallerini
▪ Önleme,
▪ Gerçekleşen saldırı ve sorumlularını tespit etme
 ULAKNET'ten dış dünyaya yapılan saldırıları
▪ Önleme
▪ Eğer saldırı oluşmuşsa saldırı sorumlusunu tespit ederek saldırıyla karşılaşan ağın
yöneticileriyle bilgileri paylaşmakla
sorumludur.
 http://csirt.ulakbim.gov.tr adresinden detaylara ulaşılabilir.

Ağ genelinde bilgi güvenliği bilincini artırmak
Akademik ağa yapılan bilgisayar güvenliğini tehdit edici
saldırı sayısını azaltmak
Güvenlik ihlali sorumlularını tespit etme aşamasının
koordinasyonunu sağlamak
Güncel açıkları ve çözümleri hakkında ağa bağlı uçların
yöneticilerini bilgilendirmek
Bağlı uç yöneticilerine bilgi güvenliği hakkında eğitim
vermek
Bilgi güvenliğini sağlamak için kullanılacak yöntemler
hakkında Türkçe döküman sağlamak

Siber Olay Esnasında Beklentiler

 Kurumsal SOME olay müdahale
esnasında bilişim sistemlerine
yetkisiz erişim yapılmaması için
gerekli tedbirleri alır, aldırır.
 Siber olay müdahale akışı içinde
suç unsuruna rastlanması
halinde savcılık, kolluk makamı
vb. makamlara haber verilmesi
hem kanuni yükümlülüğün yerine
getirilmesi, hem de ulusal siber
güvenlik kapsamında
caydırıcılığın sağlanması
açısından önem arz etmektedir.

Siber Olay Sonrası Beklentiler

 Zaman geçirmeden olaya neden olan açıklık belirlenir ve çıkarılan
dersler kayıt altına alınır.
 Kurumsal SOME, siber olay ile ilgili bilgileri USOM tarafından
belirlenen kriterlere uygun şekilde Siber Olay Değerlendirme
Formunu doldurarak USOM’a ve varsa bağlı olduğu Sektörel
SOME’ye gönderir ve kayıt altına alır.
 Olayla ilgili olarak gerçekleştirilebilecek düzeltici/önleyici
faaliyetlere ilişkin öneriler kurum yönetimine arz edilir.
 Yaşanan siber olayların türleri, miktarları ve maliyetleri ölçülüp
izlenir.
 Yaşanan siber olaya ilişkin iş ve işlemlerin detaylı bir şekilde
anlatıldığı siber olay müdahale raporu hazırlanır, üst yönetim,
USOM ve varsa bağlı olduğu Sektörel SOME’ye iletilir.

 Olay müdahalesi (Incident Response) bir güvenlik
ihlali sırasında ve sonrasında hangi eylemlerin
gerçekleştirilmesi gerektiğine ilişkin organize
yaklaşıma verilen isimdir.
 Olay müdahalesinde amaç olası zararı en aza
indirmek ve normal duruma dönmek için gerekli
zamanı ve maliyeti azaltmaktır.
 Yukarıdaki şartları sağlamak adına olası bir olay
gerçekleştiğinde hangi adımların izlenmesi gerektiği
“olay müdahale planı” nda yer alır.

Hazırlık
Olay• öncesinde
mutlaka plan
yapılmalı
Tanımlama
•Meydana gelen
olayın ne olduğunu
tanımla
Kapsamı Belirle &
Yükseltme
•Olayın sınırlarını
belirle
Analiz Et &
KökündenÇöz
•Temel sebebi bul ve
ortadan kaldır
Onar
Operasyonu•
normale döndür
Alınan Dersler
•Prosesi İyileştir
Bildir
Eğer veri sızması
olduysa paydaşları
bilgilendir

 Mutlaka bir bilene sorun.
 Müdahale sırasında yapacağınız
en ufak bir hata, sayısal delillerin
bir daha geri dönülemez şekilde
yok olmasına sebep olabilir.

SOME ve Adli Bilişim İncelemeleri

Computer Forensics
Windows Forensics
Registry Forensics▪
Windows Memory▪ Forensics
Shadow▪ Copy Forensics
Linux/Unix Forensics
Network Forensics
Mobile Forensics
Malware Forensics

 File Sistem Forensics
 FAT, exFAT, NFTS, ext2, ext3, ext4, jfs..
 Windows Forensics
 Canlı İncileme
 Memory Forensics
 Registry Forensics
 Linux/Unix Forensics
 Mac OS X Forensics
 Virtualization Forensics

Paket Yakalama ve Paket Analizi
Kurbanın bilgisayarından paket yakalama
TAP cihazları kullanarak paket yakalama
Aktif Ağ Cihazlarının Log Analizleri
Aktif ağ Cihazları Yönetim Yazılımlarının
Log Analizleri
SIEM ürünlerinin Log Analizleri

Cep Telefonu ve SIM Kartlarda Forensics
Akıllı Telefonlarda Forensics
iPhone
Android
Windows
Tablet Cihazlarda Forensics
Akıllı Telefonların Bilgisayarlarda Tutulan
Yedekleri Üzerinden Forensics

 Statik Analiz
 String Analizi, Disassembler
 Dinamik Analiz
 Kendi Lab Ortamımızda
 Anubis
 Sandbox (Cuckoo Sandbox vb)
 KodAnalizi

Teşekkürler

Some’lerden Beklenen Adli bilişim Yetkinlikleri

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Some’lerden Beklenen Adli bilişim Yetkinlikleri

Similar to Some’lerden Beklenen Adli bilişim Yetkinlikleri (20)

Some’lerden Beklenen Adli bilişim Yetkinlikleri