8 ocak 2015 some etkinligi - bga bankalar icin some kurulumu

Kurumsal SOME Etkinliği – 2015 / İstanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Kurumsal SOME Etkinliği – 2015 / İstanbul

Bankalar için Kurumsal SOME Kurulum ve YöneRmi

Huzeyfe ÖNAL BGA Bilgi Güvenliği A.Ş.

[email protected]

Kurumsal SOME Etkinliği – 2015 / İstanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Kurumsal SOME Etkinliği – 2015 / İstanbul

Huzeyfe ÖNAL •  Kurumsal SOME Yöne9cisi @BGA •  Penetra9on Tester •  Eğitmen – Bilgi Güvenliği AKADEMİSİ – Linux AKADEMİ

•  Öğre9m Görevlisi Bahçeşehir Üniversitesi / Bilgi Üniversitesi


Bilgi Güvenliği AKADEMİSİ


BGA Bilgi Güvenliği •2008 yılından beri kurumlara Siber Güvenlik eği9mleri ve danışmanlığı konusunda hizmet sunmaktayız.

•Ankara, İstanbul ve Bakü ofisleri •Ağırlıklı olarak çalışZğımız sektörler:> Finans, Telekom, Enerji, Kamu ve Askeriye

–Banka(%50), Telco(%100), Kamu (%60), Askeriye (%100)

•BGA Security Group olarak ak9f 18 güvenlik danışmanı ile hizmet vermekteyiz


Ajanda •  Siber güvenliğin önemi ve güncel durum •  Siber tehditlerle mücadele yöntemleri ve SOME / CERT ekiplerinin önemi

•  Dünya’da CERT ekiplerinin görev ve işleyişleri •  Türkiye’de SOME / CERT ekipleri , kurulumu ve detayları


Siber Tehditler Güncel Durum •  Türkiye ve dünyada neler oluyor

?


Türkiye’de Siber Güvenlik Problemi •  Son iki yılda iç, dış veya kaynağı bilinmeyen siber saldırı olayı yaşanma oranı %63~ – Ortalama 100 şirket ve kamu kurumu için

•  Zamanında siber saldırıyı farketme ve önleme oranı %5

•  Kullanılan siber güvenlik ürünlerine olan güven:%80 •  Siber güvenlik ürünlerinin gerçek saldırılar karşısındaki uyarı ve engelleme kabiliye9: %20

•  Çalışanların Siber Güvenlik “teknik farkındalığı” %30 •  Bir saldırı olsa da konunun önemi artsa diyenler %70


Siber Tehditler AraşZrma Sonuçları @BGA


Türkiye’den Resmi Olmayan Rakamlar •  2013-‐2014 yıllarında dikkate değer bilgiler: – Deep web ve açık bilgi toplama kaynakları ile elde edilebilecek bilgiler sonucu toplanmışZr

•  Başarıyla sonuçlanmış APT saldırıları*: – 9 banka – 13 sigorta şirke9 – 2 Telekomünikasyon şirke9 – 27 üniversite – 30 kamu kurumu


3. Par9 Firmalara(Ajans) YapZrılan İşler

%80’I kurumsal toplamda 778 firma…


Siber Saldırılarda Olay Müdahele •  Amaç, siber saldırıları olmadan önce ak9f/pasif sistemler kullanarak keşfetme, oluşabilecek zararı en az seviyeye indirme ve başa gelebilecek bir güvenlik sorunu esnasında, sonrasında aZlacak olan adımlar bütünü.

•  Önceden bir poli9ka ve prosedürle sınırları net olarak çizilmeli ve altyapısal olarak sistemler buna hazırlıklı olmalı.


Seç, Beğen, Al Tadında Kavramlar •  CERT/CERT CC – Computer Emergency Response Team / Coordina9on Center

•  CSIRT – Computer Security Incident Response Team •  IRT – Incident Response Team •  CIRT – Computer Incident Response Team •  SERT – Security Emergency Respose Team •  FIRST – Forum for Incident Response and Security Team


Dünyadaki İlk SOME… •  2 Kasım 1988 – Morris Worm – 6.000 UNIX makine etkilendi, 10-‐100 milyon $

•  Gene Spafford tara}ndan süreci yönetmek için bir e-‐posta listesi kuruldu

•  Aynı yıl içinde CERT/CC kuruldu •  Aynı model kullanılarak 1992 yılında Avrupa’da kuruldu


Avrupa SOME Haritası


Neden SOME ? •  Siber güvenlik olaylarına etkin müdahale •  Güvenlik problemlerinin yöne9minde insan faktörünü olabildiğince oyun dışına çıkarma – Sunucu hacklendi acil çağrısı karşısında bir güvenlik uzmanı ne yapar?

–  Internet sayfası çalışmıyor, ddos saldırısı mı var?

•  Kurumlar arası bilgi paylaşımına olan ih9yaç…


Örnek SOME Olayları


Hukuki Süreç


Olay Müdahe Yaşam Döngüsü


Önemli SOME Bileşenleri


Siber Olay Müdahale “Ekibi”


Ekip Üyelerinde Aranan Özellikler •  Teknik Özellikler – Windows, Linux, mobil işle9m sistemi bilgisi –  İyi Google kullanabilme – Ağ ve “temel” güvenlik bilgisi – Log ve sistem analizi – Güvenlik dene9mi – Zararlı yazılım analizi

•  İnsani ÖzelliklerJ – Stres alZnda çalışabilme –  İle9şim yeteneği – Ekip çalışması


Teknik SOME Altyapısı için Yazılımlar •  Siber Olaylara Müdahele Ekibi kurulabilmesi için bu ekibi besleyecek çeşitli güvenlik sistemlerine ih9yaç duyulmaktadır.

•  Güvenlik sistemlerinin başında merkezi kayıt (log) sistemi /SIM /SIEM gelmektedir.

•  Ekip içinde düzenli güvenlik taramaları için Güvenlik Tarama Yazılımlarına ih9yaç duyulmaktadır.

•  Geri kalan güvenlik sistemleri orta ve büyük ölçekli her kurumda hali hazırda bulunan ve savunma amaçlı kullanılan yazılımlardır.


Türkiye’de SOME/CERT İşleri •  Ulusal Siber Güvenlik Stratejisi ve 2013-‐2014 Eylem Planı’nı oluşturulmuş ve 20/06/2012 tarihinde Bakanlar Kurulu kararı olarak yayınlanmışZr.

•  Söz konusu eylem planı kapsamında temel görevi koordinasyon ve işbirliği olan Ulusal Siber Olaylara Müdahale Merkezi (USOM) kurularak, faaliyetlerine başlamışZr.

•  Eylem planı çerçevesinde kamu kurum ve kuruluşları bünyesinde Siber Olaylara Müdahale Organizasyonları (Kurumsal SOME) oluşturulması öngörülmüştür.


Türkiye’de SOME/CERT İşleri •  USOM ve Kurumsal SOME’ler siber olayları bertaraf etmede, oluşması muhtemel zararları önlemede veya azaltmada, siber olay yöne9minin ulusal düzeyde koordinasyon ve işbirliği içerisinde gerçekleş9rilmesinde haya9 önemi olan yapılardır.


SOME Kurulumu Kimler İçindir? •  Önerilen: Müstakil bir bilgi işlem birimi barındıran tüm kamu ve özel sektör kurum ve kuruluşları. –  ISP’ler – Kamu Kurumları – Kri9k Altyapılar – Finans Kurumları


SOME Çeşitleri ve Görevleri

USOM

Kurumsal SOME

Sektörel SOME


USOM •  Temel görevi koordinasyon ve işbirliğidir. –  Siber olaylar ile ilgili olarak diğer ülkelerin eşdeğer makamları ve uluslararası kuruluşlarla işbirliği USOM tara}ndan yerine ge9rilir.

•  22.05.2013 Tarih ve 2013/DK-‐TİB/278 sayılı Bilgi Teknolojileri ve İle9şim Kurulu Kararı ile USOM görevleri, çalışma usul ve esasları belirlenmiş9r.

•  USOM, faaliyet gösteren kurum ve kuruluşları bilgilendirme ve olası çözüm yolları hakkında bilgi sağlama hizme9 verir.

•  Kri9k sektörü kapsayacak şekilde siber saldırı uyarısı ve güvenlik açığı duyurusu yayınlar ya da yeni bir siber açıklık ile ilgili mücadele yöntemlerini sektördeki kurum ve kuruluşlara aktarırlar.

•  USOM, Sektörel SOME'nin talep etmesi üzerine kri9k sektörler için siber olaya yerinde müdahale desteği verebilir.


Sektörel SOME •  Siber Güvenlik Kurulu tara}ndan belirlenir ve her bir kri9k sektör için, söz konusu sektörü düzenlemek ve denetlemekten sorumludur.

•  Kri9k sektörler Siber Güvenlik Kurulu tara}ndan tespit edilip, ih9yaç halinde güncellenmektedir.

•  Sektörel SOME, sektör içi siber güvenlik poli9kalarını belirler ve bu poli9kaların uygulandığını kontrol eder.

•  Siber Güvenlik Kurulunun aldığı stratejik kararın sektörel seviyedeki karşılığı Sektörel SOME’ler tara}ndan yerine ge9rilir.

•  Sektörel SOME’ler talep edilen raporları ve bilgileri USOM’a sunarlar.


Kurumsal SOME •  Müstakil bir bilgi işlem birimi olan kurumların bünyesinde kurulan ve temel görevi kurumun ih9yacı olan siber güvenlik yöne9mini sağlamak olan SOME’lerdir.

•  Kurumsal SOME’ler kamu kurumları bünyesinde veya kri9k özel sektör kuruluşları bünyesinde oluşturulabilir. –  Kurumsal SOME’ler siber güvenlik ile ilgili kurumsal faaliyetleri gerçekleş9ren ve takip eden yapılardır.

•  Siber Güvenlik Kurulunun aldığı stratejik kararın kurumsal seviyedeki karşılığı Kurumsal SOME’ler tara}ndan yerine ge9rilir.

•  Kurumsal SOME’ler sorumluluk alanındaki bir siber olaya yerinde müdahale desteği verir.


USOM-‐SOME İlişkileri


SOME Görev ve Paydaşları


Niyet E�k Kurumsal SOME Kurulumuna…


I. Adım •  AMAÇ ve KAPSAM BELİRLEME – Kimlere hizmet verilecek? – Müşterilere? Çalışanlara?


II. Adım •  DÖKÜMANTASYON ve SÜREÇ TASARIMI


III. Adım •  EKİP OLUŞTURMA


IV. Adım •  GÜVENLİK İZLEME ALTYAPISI KURULUMU


V. Adım •  SİBER TATBİKAT ve SALDIRI SİMÜLASYONU – Süreç iyileş9rmeleri


VI. Adım •  DENETİM…


BGA CSIRT/SOME Hizmetleri •  SOME Poli9kası ve Süreç Yöne9mi •  Kurumsal SOME Eği9mleri •  Dış Kaynak SOME Yöne9mi •  Siber Tatbikat ve Saldırı Simülasyon Hizme9 •  APT Test Hizme9 •  NormShield -‐ Düzenli Güvenlik Tarama Hizme9 •  SIEM ve Log Yöne9m Sistemi Korelasyon Hizme9 •  Siber İs9hbarat Hizme9

Kurumsal SOME Etkinliği – 2015 / İstanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr

Saldırı Simülasyonu ve Siber Tatbikat ●  Siber Güvenlik Tatbikat Hizme9 bir kurumun dış ve iç siber saldırgan gözüyle

kurumdaki tüm güvenlik bileşenleri (çalışanlar dahil) gerçek haya�akine benzer bir saldırı simulasyonu ile ölçümüdür.

●  Hizmet sonrası kurumların, yaZrım yapZkları bilgi güvenliği alanlarının ne kadar efek9f olduğunu, gerçek manada eksik noktalarını ve iyileş9rme alanlarını görmüş olacaklardır.

●  Hizmet boyunca kurum icin yapılan tüm güvenlik yaZrımlarının(Loglama, An9virüs, IPS, Firewall, bilgilendirme vs) gerçek bir siber saldırı karşısında ne kadar işe yaradığı somut bulgularla ortaya çıkacakZr.

●  Son 3 yılda Türkiye ve dünyadaki finans, telekom, enerji ve kamu sızınZları incelenmiş olup toplamda 65 farklı senaryo ile gerçekleş9rilmektedir.

Kurumsal SOME Etkinliği – 2015 / İstanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr

Örnek Tatbikat Senaryoları


CSIRT/SOME Kaynakları


Kaynakca

SOME ile ilgili bazı tanımlarda UHDB tara7ndan hazırlanan “Kurumsal SOME Kurulum ve Yöne@m

Rehberi” dökümanından faydalanılmışHr.


İle9şim Bilgileri

• www.lifeoverip.net • Blog.bga.com.tr Blog

• @bgasecurity • @huzeyfeonal • @linuxakademi

Twi�er

• [email protected] İle9şim

8 ocak 2015 some etkinligi - bga bankalar icin some kurulumu

Technology