Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz? - Picus Security / Süleyman Özarslan

1. Dr. Süleyman ÖZARSLAN @su13ym4n @PicusSecurity
SOME Tatbikatları ve SIEM Testleri için
Siber Saldıları Nasıl Otomatize Yapabiliriz?

6. Güvenlik Sistemlerim Bu Saldırıları Engelleyebilir miydi?

7. SIEM Sistemim Bu Saldırıları Tespit Edebilir miydi?

8. Kurumum Böyle Bir Olaya Nasıl Müdahale Ederdi?

9. Güvenlik Sistemleriniz Bu Saldırıları Engelleyebilir miydi?

11. ü Alanında kendini ispatlamış ürünler
ü Üretici veya iş ortağından bakım ve yerinde destek
ü Deneyimli ve eğitimli personel
Ne Kadar Güvenliyim?
«Zamansızlıktan kurulum sırasında güvenlik kurallarını sıkılaştırmadık. Buradan
ufak tefek bir şeyler çıkabilir.»
80% – 99%

12. Ağ Güvenlik Sistemleri
§ Malware Infection
§ C&C communication
§ SQL Injection
§ Vulnerability Exploitation
§ Phishing
§ Data Leakage, …
Internet

13. ü Alanında kendini ispatlamış ürünler
ü Üretici ve iş ortağından bakım ve yerinde destek
ü Eğitim almış personel
Ne Kadar Güvenliyim?
80% – 99% 23% –
38%

14. Problemler
1. Performans sorunları

15. Problemler
2. Donanım/Stabilite sorunları

16. Problemler
3. Mimari sorunlar

17. Problemler
4. Teknoloji sorunları

18. Problemler
5. Yapılandırma sorunları

19. Bu Sorunlar Benim Altyapımda Var mı?
Nasıl Test Edebilirim?
§ Kurum için risk oluşturan 50-100 atak belirlenir.
§ Web Uygulama Atağı, Zafiyet Sömürü Atağı, Kod Atağı, Veri Sızıntısı, Oltalama Saldırısı
vb.
§ Atağı belirle, örneklerini bul/geliştir, doğrula ve test et.
§ Belirlenen sıklıkta kurum güvenlik sistemlerinin bu ataklara karşı başarımı
test edilir.
§ Oluşturulacak test altyapısıyla
§ Hizmet alımı yapılarak
§ Ürün alımı yapılarak

20. Ağ Güvenlik Sistemleri
Internet

21. SIEM Sisteminiz Bu Saldırıları Tespit Edebilir miydi?

22. Problemler
1. Kurumda kullanılan güvenlik sistemleri SIEM sisteminin etkin
çalışması için gerekli kayıt ve alarmları üretebiliyor mu?
2. Üretilen kayıt ve alarmlar doğru bir şekilde toplanıyor mu?
3. Toplanan verilerin korelasyonu doğru bir şekilde yapılıyor mu?
4. Korelasyon kuralları yeterli mi?

23. Nasıl Test Edebilirim?
§ Kurum için risk oluşturan senaryolar belirlenir.
§ Senaryoyu belirle, doğrula ve test et.
§ Belirlenen sıklıkta kurum güvenlik sistemlerinin bu senaryolara karşı
başarımı test edilir.
§ Oluşturulacak test altyapısıyla
§ Hizmet alımı yapılarak
§ Ürün alımı yapılarak
§ SIEM, atak senaryosunu tespit etti mi kontrol et.

24. Kurumunuz Bu Saldırılara Nasıl Müdahale Ederdi?

26. SOME nedir?
• Computer Security Incident Response Team (CSIRT)
• Cybersecurity Operations Center (CSOC, or SOC)
• Computer Emergency Response Team (CERT)
• Computer Incident Response Team (CIRT)
• Computer Security Incident Response Capability (CSIRC)
• Network Operations and Security Center (NOSC)
Kaynak: Ten Strategies of a World-Class Cybersecurity Operations Center (The
MITRE Corporation)

27. SOME Yaklaşımları ve Kurumunuz
Ölçmediğin şeyi yönetemezsin!
§ Şu anda neredeyim?
§ Neyi hedefliyorum?
§ Hedefime nasıl ulaşırım?

28. Picus Güvenlik
§ Üretim ortamındaki ağ güvenlik sistemlerini üretici bağımsız bir şekilde sürekli
olarak siber tehditlere karşı test eden bir güvenlik yazılımı.
§ 2013 yılında McAfee, Intellect, HP ve ISECOM gibi firmalarda çalışmış alanında uzman
ekip tarafından kurulmuştur.
§ ODTÜ Teknokent ve Londra ofisleri mevcuttur.
§ TÜBİTAK ve KOSGEB destekli 3 ArGe Projesi
§ ABD, Avustralya, İngiltere, Almanya, Dubai gibi 8 farklı ülkede iş ortakları
§ Kamu, finans, telekom gibi çeşitli sektörlerde 20+ müşteri

29. Picus yazılımı kurumun ağ güvenlik sistemleri için bir tomografi cihazı gibi
çalışarak kurumun siber ataklara karşı hazır olup olmadığını ölçer.
① Test etmek istediğin ağ yolunu seç
② Testi anında başlat veya planla
③ Bulgu ve iyileştirme önerilerini gözden geçir
Picus Network Security Testing Software

30. Nasıl Çalışıyor?
LAN-1
DMZ-1
Internet
Corporate
Security
SQL Injection Testing Scenario -
MISSED
Cryptolocker Download Scenario -
PREVENTED
IE Memory Corruption Scenario - MISSED
MISSED

31. ÖLÇEMEDİĞİN ŞEYİ YÖNETEMEZSİN!

32. Soru: SOC’unuz siber saldırılara hazır mı?
Yaklaşım: SOC’unuz bilinen atak metotlarına karşı koruma sağlıyor
mu?
Faydası: Bilinen atak metotlarına karşı koruma sağlarsak, gelecek bir
çok atağa hazır oluruz.*
*Verizon DBIR (Data Breach Investigations Report) gibi güvenlik raporları aynı
sömürü kodlarının birçok atak metodu tarafından tekrar tekrar kullanıldığını
raporlamaktadır.

33. Ölçüm: SOC’unuz hangi atak tiplerine karşı etkin koruma sağlıyor?
Hangi atakları tespit edip, engellemede başarısız?

34. Ölçüm: Sektörünüzde bir kurumun başına gelen siber güvenlik olayı,
sizin başınıza gelse tespit edebilir veya engelleyebilir misiniz?

35. Ölçüm: SOC’unuzun güvenlik başarımı zaman içerisinde nasıl
değişiyor?

36. Ölçüm: Ağ güvenliği sistemleriniz yeni versiyon yazılım, imza veya
politika ile stabil çalışıyor mu?

37. Ölçüm: Kurumda kullanılan güvenlik sistemleri SIEM sisteminin etkin
çalışması için gerekli kayıt ve alarmları üretebiliyor mu?

38. Kill Chain Yaklaşımı

39. Ölçüm: Kill Chain aşamalarında güvenlik seviyem nedir? Hangi
aşamalarda zayıf, hangilerinde güçlüyüm?

40. Özetle
§ Ölçmediğin Şeyi Yönetemezsin: Güvenlik ürünlerini ve süreçlerini
analiz etmek için belli bir olgunluğa gelmeyi beklememek lazım.
§ Picus, ağ güvenlik sistemlerinin sağladığı güvenlik başarımını sürekli
ölçerek, kurum güvenlik seviyesinin arttırılmasına katkı sağlar.
§ Picus, SIEM sistemlerinizin doğru çalışıp çalışmadığını test ederek
başarımlarını artırır.
§ Picus, SOME’lerin siber olaylara karşı hazır hale gelmesine yardımcı
olur.

41. Süleyman Özarslan
suleyman@picussecurity.com @su13ym4n
@PicusSecurity
www.picussecurity.com
Teşekkürler!