3. BilgiO Hakkında
İŞİMİZ
Açık Kaynak Kodlu Siber Savunma Sistemleri
UZMANLIĞIMIZ
- Network Security Analytics
- BigData
- Threat Intelligence
- SecOps
4. BilgiO Hakkında
EKİBİMİZ
Siber Güvenlik, Açık Kaynak Kod İşletim Sistemleri & Yazılımları
ve Networking konularında derinleşmesi olan, Open Source
ekosistemindeki gelişmeleri ve US'deki Cyber Defense
yaklaşımlarını çok yakından takip eden, “Data Nerd”’lerden
oluşan ve işin teknik boyutu kadar filozofisi üzerine de kafa
yoran bir takım.
8. Honeypot Nedir ?
● Zafiyet içeren sistemleri taklit eden tuzak güvenlik
mekanizmalarıdır.
● Hedef şaşırtma, saldırganı yavaşlatma gibi amaçlarla
kurgulanan yem sunucu / servis ve istemciler’den oluşur.
● İçerdikleri çoklu zafiyet ve (akıllıca dizayn edilmek şartı ile)
sağladıkları alenilik sayesinde hem pasif bilgi toplama hem
de fiili saldırı aşamasında saldırganı kendilerine çekerler.
9. Neyi Amaçlar ?
● Gerçek sistemlerin korunması için erken uyarı ve oyalama sureti
ile proaktivite sağlarlar.
● Honeypot’lardan toplanan veri:
○ Tehdit istihbaratı (Threat Intelligence) amaçlı kullanılabilir.
○ Saldırı ve saldırgan profilleri üzerinde analitik yapılmasına
olanak tanır.
○ Genel güvenlik seviyesinin arttırılması için output teşkil eder.
10. Dizayn Açısından Honeypot Türleri
● High-Interaction Honeypots
○ Gerçek bir production ortamını taklit eden tuzak sistemlerdir.
○ Bilindik bir zafiyet içermeyecek şekilde gerçekte varolan
altyapıyı mimic ettiklerinden saldırgan için tuzak olduğunun
tespit edilmesi zordur.
○ Saldırgana zaman kaybettirme amaçlıdır. (Gerçek bir sisteme
sızdığını düşünüyor.Motivasyon yüksek, zaman bol.)
○ Yönetimsel olarak maliyetlidir.
○ İyi monitor edilmesi gerekir.
11. Dizayn Açısından Honeypot Türleri
● Low-Interaction Honeypots
○ Gerçek bir sistemi taklit etmek yerine, saldırganlar
tarafından rağbet gören cezbedici fake açıklar içeren
sınırlı sayıdaki servisi koşturan sistemlerdir.
○ Bu hali ile saldırgan tarafında tuzak olduğu anlaşılabilir.
(Eğer zeki ise.)
○ Yönetilmeleri kolaydır.
○ Saldırı verisi açısından daha zengindirler.
12. Topografi Açısından Honeypot Türleri
Ağda bir çok farklı noktada konumlandırılabilirler.
● İç Ağ (Güvenlik bileşenlerinin arkası) Sensörleri
○ Yüksek hassasiyet,
○ İçeriden yapılan saldırıların / bilgi toplama (scanning)
faliyerlerinin net tespiti,
○ Düşük gürültü nedeni ile berraklık.
13. Topografi Açısından Honeypot Türleri
● Dış Ağ (Güvenlik bileşenlerinin önü) Sensörleri
○ Saldırı teşebbüslerinin (engellenmiş olsa bile) tümünün
izlenebilmesi.
○ Düşük hassasiyet. (False positive)
○ Profiling amaçlı analitik için zengin veri havuzu.
14. Topografi Açısından Honeypot Türleri
● Dağıtık Ağ Sensörleri
○ Dağıtık yapılarda birden fazla sensör deployment.
○ Daha fazla granularity ile görünürlük ve tespit yeteneği.
○ Dağıtık ağın istatistiki saldırı haritasının çıkarılabilmesi.
15. Topografi Açısından Honeypot Türleri
● Global Dış Ağ Sensörleri
○ İnternet üzerinde farklı noktalara konuşlandırılmış
sensörler.
○ Daha fazla sayıda ve farklılık arzeden teşebbüs tespiti.
○ Genel saldırı haritası çıkarma olanağı.
17. Threat Intelligence ve Honeypot’lar
● Honeypot’lar tehdit istihbarat mekanizmaları için en önemli girdi
kaynağıdır.
● Özellikle external ya da global olarak deploy edilmiş honeypot’ların
collect ettiği verinin paylaşılması tehdit istihbaratında önemli rol
oynar.
● Özel olarak yönetilen tuzak sistemlere yapılan saldırılara ait
bilgiler 3rd party threat intelligence servislerine paylaşılabilir.
18. Threat Intelligence ve Honeypot’lar
● Honeypot’lar tarafından tespit edilen:
○ Saldırgan ip’leri,
○ Malware içerien dosyalara ait hash’ler,
○ Phising amaçlı kullanılan domain ve URL’ler,
Threat Intelligence servislerini doğrudan besler.
19. Threat Intelligence ve Honeypot’lar
Bir Kullanım Örneği (Use Case)
● BilgiO A.Ş kendi yönettiği ve ülke geneline yayılmış honeypot
ağından elde ettiği saldırı metriclerini, geliştirmekte olduğu ”
Threatsonar” isimli tehdit istihbaratı ürününü beslemek üzere
kullanıyor.
● Ülke içerisinden saldırılara özendirmek üzere dizayn edilen tuzak
sistemlerden oluşan BilgiO Honeynet, Türkiye için özelleştirilmiş
saldırı haritasının oluşması için kullanılmakla birlikte Threatsonar
üzerinden kurum ve kuruluşlarla paylaşılıyor.
21. Kurumsal Ağ’lar İçin Kullanım Senaryoları
● Low-Noise Saldırı Tespit Sistemi (İç Ağ Yerleşimi)
● Tehdit İstihbaratı
● Forensics
22. Kurumsal Ağ’lar İçin Honeypotlar
● Dionaea
○ Bir çok Linux & Windows servisini taklit etme
■ SMTP, FTP, SMB, MySQL, MSSQL, vs. vs.
● Amun
○ Bir çok zafiyeti taklit etme (SMB vb.)
○ Fake CMD.EXE sunma,
● Kippo
○ SSH Emulation,
○ Key stroke / session data logging,
○ Sahte dosya sistemi sunma,
24. Kurumsal Ağ’lar Kullanım Problemleri
● Güvenlik ?
● High-Interaction Honeypot’lar için komplike deployment.
● Honeypot sistemleri yönetim zorlukları.
25. Kurumsal Ağ Problemleri için Çözümler
“DOCKER”
● Honeypotlar container olarak jail ortamda çalıştırılabilirler.
● Öntanımlı bir çok docker honeypot imajı bulunmaktadır.
● Container kullanımı, taklit sistemlerin jailed bir ortamda
yalıtılmış olarak çalışmasına olanak sağladığı için öntanımlı
olarak belirli bir güvenlik seviyesi sağlamaktadır.
● Docker kullanarak çok kolayca bir çok honeypot
çalıştırılabilir ve yönetimi yapılabilir.
26. Kurumsal Ağ Problemleri için Çözümler
“Modern Honey Network (MHN)”
● Açık kaynak kodlu bir honeypot yönetim platformu.
● Web arayüzü üzerinden kolayca bir çok farklı honeypot
deploy edebilme özelliği.
● Sahadaki honeypot’lardan veri toplama ve analiz yeteneği.
● Web based yönetim ve raporlama.
● SIEM Entegrasyonu (ELK, Arcsight, Splunk)
● Snort / Suricata / p0f desteği.
27. Kurumsal Ağ Problemleri için Çözümler
“Docker & Modern Honey Network (MHN)”
● Jailed ortamda, tam teşekküllü ve otomatize honeypot
altyapısı oluşturma imkanı.
● Kolay yönetim.