Siber Saldırılar i̇çin Erken Uyarı Sistemi - İstsec @ Huzeyfe Önal

1. @BGASecurity
Siber Saldırılar için Erken Uyarı Sistemi
- İstSec 2017 -

2. @BGASecurity
BGA Bilgi Güvenliği A.Ş
BGA Security Hakkında
Siber güvenlik dünyasına yönelik, yenilikçi profesyonel
çözümleri ile katkıda bulunmak amacı ile 2008 yılında
kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber
güvenlik danışmanlığı ve güvenlik eğitimleri
konularında büyük ölçekli çok sayıda kuruma hizmet
vermektedir.
Gerçekleştirdiği vizyoner danışmanlık projeleri ve
nitelikli eğitimleri ile sektörde saygın bir yer kazanan
BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar
alanında lider finans, enerji, telekom ve kamu
kuruluşları ile 1.000'den fazla eğitim ve danışmanlık
projelerine imza atmıştır.
ARGE
EĞİTİM
MSSP
PENTEST
SOME / SOC
SECOPS
BGA | Hakkında

3. @BGASecurity
Huzeyfe Önal
Siber Tehdit Araştırmacısı
Yönetici Ortak – BGA Bilgi Güvenliği A.Ş.
Öğretim Görevlisi (Yüksek Lisans Programı)
Bahçeşehir Üniversitesi (Yüksek Lisans Programı)

4. @BGASecurity
BGA Bilgi Güvenliği AKADEMİSİ
BGA Bilgi Güvenliği A.Ş.
BGA | Hakkında
• BGA markası ile 7 yıldır kurumlara stratejik siber
güvenlik danışmanlığı sunmaktadır.
• 45 teknik personel (Mühendis ağırlıklı)
• 2016 itibariyle Ankara, İstanbul, Bakü ve
Virginia(USA) ofisleri
• Ağırlıklı çalışılan sektörler
• Finans (32 Banka)
• Enerji
• Telekom
• Savunma Sanayi
• Kamu
• Bilgi Güvenliği AKADEMİSİ markası ile siber
güvenlik konusunda üretim merkezi rolü

5. @BGASecurity
BAŞLARKEN
ANLATIM
BGA | İSTSEC

6. @BGASecurity
SİBER GÜVENLİK YAZ KAMPI
Siberkamp.org
BGA | İSTSEC

7. @BGASecurity
İÇİNDEKİLER
Konu Başlıkları
BGA | KONULAR
Türkiye’de Siber Tehdit Algısı
Saldırı Tespitinde Yeni Nesil
Yöntemler
Tehdit Avcılığı İçin Kullanılan
Özgür Yazılımlar
1
2
3

8. @BGASecurity
NEDEN ERKEN UYARI SİSTEMİ?
Erken Uyarı Sistemi Nedir?
BGA | İSTSEC
Ortalama bir firmaya günde gelen saldırı sayısı 10.000
Gerçek saldırı? Keşif çalışması?
Klasik güvenlik anlayışında saldırıları tespit etme amaçlı IDS, SIEM, Firewall vs gibi ürünler
kullanılmakta
Yayınlanan veri sızıntısı raporlarına göre hedefli bir saldırının ortaya çıkması için geçen ortalama
süre 130 gün (2015-2016)

9. @BGASecurity
MADENDEKİ KANARYA!
Madenler ve Kanarya Kuşu
BGA | İSTSEC

10. @BGASecurity
SİBER GÜVENLİKTE ERKEN UYARI SİSTEMLERİ
Nedir? Nasıl? Neden?
BGA | İSTSEC
Siber saldırılar nasıl gerçekleştirilir?
IP adresi+Alan adı+Biraz sihir …
Sık gerçekleştirilen saldırı tipleri
Ransomware
Phishing
Web atakları
Ddos
...
Temeli “Siber İstihbarat” kavramına
dayanır
Yapay zeka yardımıyla siber saldırı
yaşayacak firmaları önceden tespit etme
Emekleme aşamasında bir çalışma

11. @BGASecurity
SWIFT SİSTEMLERİNE YÖNELİK SİBER SALDIRILAR
Swift Sistemleri Zafiyetleri
BGA | İSTSEC

12. @BGASecurity
SWIFT SALDIRILARININ MALİYETLERİ
Maliyetler
BGA | STA

13. @BGASecurity
SWIFT SALDIRILARINDA GECİKME!
Özet olarak…
BGA | STA

14. @BGASecurity
SİBER ”TEHDİT” İSTİHBARATI #CYBERINT #THREATINT
Neden Gereklidir?
BGA | STA
İstihbarat, siyasi makamlara sunulmak üzere toplanmış ve çözümlenmiş izlemsel veya taktik içerikli
işlenmiş bilgilere denir.
Her türlü kaynaktan elde edilen ham bilgi ilişkisiz gibi görünen parçalardan oluşan, çelişkili,
güvenilmez, yanıltıcı veya yanlış olabilir(WikiPedia)
İngilizcede “intelligence” ve akıl, zeka, haber bilgi ve istihbarat anlamına gelir.
Bu vurgu, haberin toplanmasında değil, toplananların birleştirilmesinde, işlenmesinde,
değerlendirilmesindedir.
Siber Tehdit istihbaratı…
• 1HUMINT (Human Intelligence)
• 2GEOINT (Geospatial Intelligence)
• 3MASINT (Measurement and Signature Intelligence)
• 4OSINT (Open source intelligence)5
• SIGINT (Signals intelligence)
• 6TECHINT (Technical intelligence)
• 7CYBINT/DNINT (Cyber Intelligence/Digital Network Intelligence)
• FININT (Financial intelligence)

15. @BGASecurity
SİBER İSTİHBARAT NE DEĞİLDİR?
Görünen Kısım
BGA | STA

16. @BGASecurity
DİJİTAL AYAK İZİ KAVRAMI
Dijital Ayak İzlerimiz
BGA | STA

17. @BGASecurity
NİYET ETTİM TEHDİTLERİ AVLAMAYA!
Başlangıç
BGA | STA
Data Leakage Monitoring
Social Network Monitoring
DeepWeb / DarkWeb Digging
Fraudulent Domain Tracking
Brand Watch
Smart Intelligence
Botnet Control
Fraudulent Mobile App Monitoring
Phishing Web Site Monitoring
DNS / Domain Whois Monitoring
Passive Vulnerability Scanning
Paste Site Monitoring
Cyber
Intelligence

18. @BGASecurity
TÜRKİYE’DEN MANZARALAR
Ülkemizdeki Durum!
BGA | STA

19. @BGASecurity
TESPİT ETMEK MÜMKÜN MÜ?
Siber İstihbarat İle Tespit Etmek Mümkün Mü?
BGA | STA

20. @BGASecurity
ORTAK HESAP KULLANIMI?
ÖRNEK -1
BGA | STA

21. @BGASecurity
E-POSTA NE KADAR ÖNEMLİ?
Kurumsal E-posta Adresleriniz
BGA | STA

22. @BGASecurity
ÇALINTI ORTAK HESAP KULLANIMI ZARARLARI
Neler Olabilir?
BGA | STA

23. @BGASecurity
NASIL KONTROL EDERİM?
E-posta Adresiniz Güvenli mi?
BGA | STA

24. @BGASecurity
ORTAK HESAPLARIN KÖTÜYE KULLANIMI?
Çalıntı Hesapların Kötü Niyetle Kullanımı
BGA | STA

25. @BGASecurity
ÇALINTI HESAP İSTİHBARATI
E-posta İstihbaratı
BGA | STA

26. @BGASecurity
DOMAIN İSTİHBARATI
Alan Adlarında Siber İstihbarat
BGA | STA

27. @BGASecurity
DOMAIN – DNS
NE AMAÇLA KULLANILIR?
BGA | STA

28. @BGASecurity
DOMAIN İSTİHBARATI
Alan Adı İstihbarat Servisi
BGA | STA

29. @BGASecurity
DGA - DOMAIN GENARATION ALGORITHM
Alan Adı Üretme Algoritması
BGA | STA

30. @BGASecurity
DOMAIN İSTİHBARATI KULLANIM ALANLARI
Alan Adı İstihbaratı
BGA | STA
Saldırıları erken tespit etme amaçlı;
• Ransomware saldırılarının erken tespiti
• Oltalama, sosyal mühendislik saldırılarının erken tespiti
• Marka ihlal tespiti
• Hacker gruplarının takibi(Whois üzerinden)
• Botnet’e üye bilgisayarların belirlenmesi
• Botnet komuta merkezlerinin tespiti

31. @BGASecurity
YENİ ALINAN ALAN ADLARI
Alan Adı İstihbaratı
BGA | STA
Alım tarihi 2 haftadan az alınan domainlerin durumu
• Tld fazlalığının getirdiği sorunlar?

32. @BGASecurity
ZAFİYET İSTİHBARATI YÖNTEMİ
ÖRNEK
BGA | STA

33. @BGASecurity
ZAFİYET İSTİHBARATI YÖNTEMİ
ÖRNEK
BGA | STA

34. @BGASecurity
HONEYPOT SİSTEMLERİ YÖNETİMİ
ÖRNEK - Tuzak Sistemlerin Yönetimi
BGA | STA
• Hackerları, siber saldırganları sahte servislerle tuzağa düşürme
yöntemi
• Saldırganların yöntemlerini anlamada ve kullandıkları sistemleri
erkenden tespit etmede kullanılır
• Ne kadar gerçekci ise o çıktıları o kadar işe yarar olur
• Genele açık honeypot sistemlerin bazı yasal sorunlara sebep olduğu
gözlemlenmiştir
• Genellikle IP toplama ve kategorizasyon için kullanılır
• IP harici başka bir sürü ek bilgi de alınmaktadır.

35. @BGASecurity
DAĞITIK HONEYPOT PROJESİ
Global CTI Project
BGA | STA

36. @BGASecurity
TÜRKİYE’YE YÖNELİK SALDIRILARIN ÖLÇÜMÜ
Siber Tehdit İstihbaratı Nedir?
BGA | STA

37. @BGASecurity
NELER ELDE EDİYORUZ?
Faydaları
BGA | STA
Anlık ve geriye yönelik olarak;
• Türkiye’ye yönelik hangi ülkelerin siber saldırı yaptığı
• Türkiye’den en fazla hangi ülkelere siber saldırı denemesi yapıldığı
• Yeni çıkmış güvenlik zafiyetlerinin tespiti (pre 0 day)
• Popüler Botnet’lerin komuta merkezlerinin tespiti

38. @BGASecurity
NASIL KULLANABİLİRİZ?
Faydaları
BGA | STA
• Tehdit gözetleme sistemlerine entegrasyon
• SIEM / Log Yönetimi sistemlerine entegrasyon
• Güvenlik duvarı / IPS gibi engelleme cihazlarına otomatik eklettirmek
• Threat Hunting/DFIR çalışmalarında sorgulama

39. @BGASecurity
ÖLÇÜMLEME
İstatistikler
BGA | STA

40. @BGASecurity
SPAM TRAP
Kullanımı
BGA | STA

41. @BGASecurity
HACKLENEBİLECEĞİNİZİ TAHMİN EDEBİLİR MİSİNİZ?
TAHMİNLER?
BGA | STA

42. @BGASecurity
-Teşekkürler-
bgasecurity.com | @bgasecurity
www.lifeoverip.net | @huzeyfeonal | huzeyfe@lifeoverip.net