Siber Tehdit Avcılığı (Threat Hunting) Nedir? - Özgür Yazılım Günleri 17 @Huzeyfeonal

1. @BGASecurity
Siber Tehdit Avcılığı
- Özgür Yazılım Günleri 2017 -

2. @BGASecurity
BGA Bilgi Güvenliği A.Ş
BGA Security Hakkında
Siber güvenlik dünyasına yönelik, yenilikçi profesyonel
çözümleri ile katkıda bulunmak amacı ile 2008 yılında
kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber
güvenlik danışmanlığı ve güvenlik eğitimleri
konularında büyük ölçekli çok sayıda kuruma hizmet
vermektedir.
Gerçekleştirdiği vizyoner danışmanlık projeleri ve
nitelikli eğitimleri ile sektörde saygın bir yer kazanan
BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar
alanında lider finans, enerji, telekom ve kamu
kuruluşları ile 1.000'den fazla eğitim ve danışmanlık
projelerine imza atmıştır.
ARGE
EĞİTİM
MSSP
PENTEST
SOME / SOC
SECOPS
BGA | Hakkında

3. @BGASecurity
Huzeyfe Önal
Siber Tehdit Araştırmacısı
Yönetici Ortak – BGA Bilgi Güvenliği A.Ş.
Öğretim Görevlisi (Yüksek Lisans Programı)
Bahçeşehir Üniversitesi (Yüksek Lisans Programı)

4. @BGASecurity
TEŞEKKÜR
Düzenleyicilere Teşekkürler!
BGA | STA

5. @BGASecurity
BGA Bilgi
BGA Bilgi Güvenliği A.Ş.
BGA | STA
• BGA markası ile 7 yıldır kurumlara stratejik siber
güvenlik danışmanlığı sunmaktadır.
• 45 teknik personel (Mühendis ağırlıklı)
• 2016 itibariyle Ankara, İstanbul, Bakü ve
Virginia(USA) ofisleri
• Ağırlıklı çalışılan sektörler
• Finans (32 Banka)
• Enerji
• Telekom
• Savunma Sanayi
• Kamu
• Bilgi Güvenliği AKADEMİSİ markası ile siber
güvenlik konusunda üretim merkezi rolü

6. @BGASecurity
İÇİNDEKİLER
Konu Başlıkları
BGA | STA
Türkiye’de Siber Tehdit Algısı
Saldırı Tespitinde Yeni Nesil
Yöntemler
Tehdit Avcılığı İçin Kullanılan
Özgür Yazılımlar
1
2
3

7. @BGASecurity
NEDEN TEHDİT AVCILIĞI?
Tehdit Avcılığı Konusu
BGA | STA

8. @BGASecurity
SİBER GÜVENLİKTE YÖNETİM
Siber Güvenlikte Yönetim ve Hakimiyet Problemleri
BGA | STA
Günümüz Siber Güvenlik problemleri incelendiğinde
<anket çıktısı> büyük oranda problemin kurumların
siber güvenlik altyapılarına hakim olmadıkları ortaya
çıkmaktadır.
Son iki yılda iç, dış veya kaynağı bilinmeyen siber
saldırı olayı yaşanma oranı %63~ (Ortalama 100 şirket ve kamu
kurumu için)
Zamanında siber saldırıyı farketme ve önleme oranı %5
Siber güvenlik ürünlerinin gerçek saldırılar karşısındaki
uyarı ve engelleme kabiliyeti: %20
Yapılan güvenlik yatırımlarının verimli kullanım ölçümü
%17

9. @BGASecurity
TÜRKİYE’DE NELER OLDU?
Örnekler
BGA | STA
4 banka
hacklendi
3 büyük, 12
küçük-orta e-
ticaret sitesi
hacklendi,
8.000.000
kişiye ait e-
posta şifresi
ifşa oldu
1 adet
havayolu
şirketi
hacklendi
3-4 milyon
kredi kartı
ifşa oldu
1 adet
havalimanı
altyapısı
hacklendi
Sigorta
firmalarından
50 milyon
kişiye ait
“bilgiler”
çalındı
2
ISP/Teleko
m şirketi
hacklendi
2 Kargo
şirketi
hacklendi

10. @BGASecurity
ÖRNEK OLAY İNCELEMESİ?
Örnekler
BGA | STA
Nasıl gerçekleştirilmiş?
Nasıl tespit edildi?
Daha Erken Tespit Edilebilirdi?
Nasıl Engellenebilirdi?
Olağan şüpheliler
Amaç...
Yıkım/maliyet

11. @BGASecurity
VERİ SIZMA TESPİTİNDE BAŞARI?
Başarısız!!!
BGA | STA
• Eğitim eksikliği
• Ürünlerin eski mantıkla geliştirilmesi
• Makine – İnsan savaşı
• Varsayımcıl Yaklaşım

12. @BGASecurity
TEHDİT AVCILIĞI NEDİR?
Threat Hunting Nedir?
BGA | STA
Kurumların siber saldırılar karşısında proaktif
yaklaşım göstererek düzenli olarak kendi
sistemlerinde olası gerçekleşmiş bir siber
saldırının izlerinin aranmasıdır.
Proaktif bir yaklaşımdır
IDS, Log, SIEM kavramları varken neden yeni bir
kavram, yeni bir yaklaşım…

13. @BGASecurity
TEHDİT AVCILIĞI NEDİR?
Özet olarak…
BGA | STA

14. @BGASecurity
TEHDİT AVCILIĞI NEDEN GEREKLİ?
Neden Gereklidir?
BGA | STA

15. @BGASecurity
SIEM/LOG YÖNETİM SİSTEMLERİ YETERLİ DEĞİL!
Yetersiz Siem Log Yönetimi
BGA | STA

16. @BGASecurity
THREAT HUNTING NASIL YAPILIR?
Nasıl Yapılır?
BGA | STA
Bir av süreci için gerekli malzemeler
Avcı, av, av ortamı, amaç/niyet, silah vs…

17. @BGASecurity
NİYET ETTİM TEHDİTLERİ AVLAMAYA!
Başlangıç
BGA | STA
• Tehdit kavramı iyi tanımlanmalı
• Tehdit avcılığı genellikle aşağıdaki
durumlarla başlatılır;
• Şüpheli durumlar dikkate alınır
• Siber tehdit istihbaratından gelen veriler
üzerine başlanır
• Yapay zeka sistemlerinin verdiği alarm
üzerine
• IDS/SIEM sistemlerinden gelen
alarmlar
• Öylesine kurcalama

18. @BGASecurity
AVCI (HUNTER) ÖZELLİKLERİ
Avcıların Özellikleri Nelerdir?
BGA | STA

19. @BGASecurity
THREAT HUNTING MATURITY MODEL
Modelleme
BGA | STA

20. @BGASecurity
TEHDİT AVCILIĞI HANGİ PLATFORMLARDA YAPILIR?
Nerede? Nasıl?
BGA | STA
• Her tür veriyi atıp esnek olarak sorgulayabileceğimiz bir ortam
• SIEM+TIP+OSINT+Diğer veri kaynakları
• Büyük veri güvenlik analizi
• Ne tip özellikleri olması gerekir
• Temel arama, pivoting, görselleştirme, aramaları kaydetme ve aramalar arası ilişki kurma
• Gelişmiş işlemler için entegrasyon
• Makine ogrenimi icin Python/R dili entegrasyonu

21. @BGASecurity
TEHDİT AVCILIĞI HANGİ PLATFORMLARDA YAPILIR?
Nerede? Nasıl?
BGA | STA
OSSEC PRADSSNORT SURICATABRO IDS NFSEN
MALTRAILELASTICSEARCH CIF MOLOCHNAGIOS SECURITYONION

22. @BGASecurity
AÇIK KAYNAK THREAT HUNTING BİLEŞENLERİ
Açık Kaynak Kullanımı
BGA | STA

23. @BGASecurity
FİRMALAR HANGİ AMAÇLA KULLANIYOR?
Firmalarda Threat Hunting Kullanımı?
BGA | STA

24. @BGASecurity
THREAT HUNTING İÇİN BÜYÜK VERİ KULLANIMI
BIG DATA KULLANIMI
BGA | STA

25. @BGASecurity
THREAT HUNTING İÇİN BÜYÜK VERİ KULLANIMI
BIG DATA KULLANIMI
BGA | STA

26. @BGASecurity
BÜYÜK VERİ KAVRAMI
BIG DATA KULLANIMI
BGA | STA
• 2000 yılında tüm dünyada 800,000 petabyte büyüklüğünde veri saklandı.
2020 yılında bu verinin 35 zetabyte olacağı tahmin ediliyor.
• Diskte çok fazla yer kaplayan veri” anlamına değil, aynı zamanda geleneksel
yöntem ve araçlarla işlenemeyen veri anlamına da geliyor.
• Google milyarlarca internet sayfasının verisini Google File System üzerinde
tutuyor, veritabanı olarak Big Table kullanıyor, dev veriyi işlemek
için MapReduce kullanıyor.
• düşük maliyetli binlerce bilgisayarın bir araya gelerek oluşturduğu kümeler
• Yapılandırılmamış verilerin klasik DB mantığıyla işlenememesi

27. @BGASecurity
BDSA (BIG DATA SECURTY ANALYTICS)
BIG DATA KULLANIMI
BGA | STA
Log->SIM->SEM->SIEM->SA->Big Data SAà ….

28. @BGASecurity
AÇIK KAYNAK THREAT HUNTING PLATFORMU
OpenSOC
BGA | STA

29. @BGASecurity
BİLGİSAYARLARA TEHDİTLERİ ÖĞRETMEK
Machine Learning
BGA | STA
Oldukça popüler ama zor iş…
Akademik çalışmaların başarı oranı
Kağıt üzerinde
Gerçek hayatta
Günlük yayınlanan açıklık sayısı
Saldırı != Açıklık
Senaryolra eşliğinde öğretme

30. @BGASecurity
BİLGİSAYARLARA TEHDİTLERİ ÖĞRETMEK
Machine Learning
BGA | STA

31. @BGASecurity
AÇIK KAYNAK ÖĞRENİM PROJESİ
APACHE SPOT
BGA | STA

32. @BGASecurity
TEHDİT AVINDA İSTİHBARATIN ÖNEMİ
Siber Tehdit İstihbaratı Nedir?
BGA | STA

33. @BGASecurity
PYRAMID OF PAIN
Siber Tehdit İstihbaratı Nedir?
BGA | STA

34. @BGASecurity
SİBER TEHDİT İSTİHBARATI NE İŞE YARAR?
Faydaları
BGA | STA

35. @BGASecurity
TÜRKİYE’YE YÖNELİK SALDIRILARIN ÖLÇÜMÜ
Yerel ve Türkiye’ye Özel İstatistikler
BGA | STA

36. @BGASecurity
TÜRKİYE’YE YÖNELİK SALDIRILARIN ÖLÇÜMÜ
Yerel ve Türkiye’ye Özel İstatistikler
BGA | STA

37. @BGASecurity
-Teşekkürler-
bgasecurity.com | @bgasecurity
www.lifeoverip.net | @huzeyfeonal | huzeyfe@lifeoverip.net