KoçSistem SOC Aylık Bülteni Kasım, 2015
2
Oltaya Gelmeyin
Son dönemde sosyal mühendislik kapsamında, Phishing
"Password" (Şifre) ve "Fishing" (Balık avlamak) sözcüklerinin
birleştirilmesiyle oluşturulan Türkçe'ye yemleme (oltalama)
olarak çevrilmiş bir saldırı çeşididir. Phishing saldırıları son
zamanların en gözde saldırı çeşidi olarak karşımıza
çıkmaktadır. Yemleme yöntemi kullanılarak bilgisayar
kullanıcıları her yıl milyarlarca dolar zarara uğratılmaktadır.
Phishing Saldırılar Nasıl Gerçekleşir
Saldırgan kişiler özellikle bankalar, mail servisleri, alış-veriş siteleri, sosyal paylaşım ağları(Facebook, Twitter, MySpace vb.) gibi arkaşdaşlık ve anlık sohbet sistemleri, online oyunlar gibi kullanıcı adı ve parola kullanılarak giriş yapılan sistemlerin bir kopyasını hazırlayarak ilk adımı atarlar.
Saldırganlar ellerinde mevcut olan e-posta listelerine veya hedefledikleri kişilere gönderdikleri e-postalarla kurbanlarını hazırladıkları sahte sayfalara yönlendirirler.
Kurbanların sahte sayfalara girerek istenen bilgileri paylaşmasıyla saldırı amacına ulaşmış olur.
Dünya üzerinde gerçekleşen tüm atakların % 3,6’lik dilimini oluşturan Phishing atakları en çok Sağlık sektöründe görülmekle birlikte Medya & Eğlence, Bilişim ve Kamu sektörlerde daha yaygın gerçekleşmektedir. İşte büyük veri kayıplarıyla sonuçlanan Phishing atakları:
4 Şubat 2015 tarihinde Amerika’da bir sağlık kuruluşu e-
posta adresi, sosyal güvenlik numarası vs. içeren müşteri
bilgilerinin sızdırıldığı “çok sofistike bir dış siber saldırıya”
hedef olduğunu duyurmuştur. Toplam sayısı 78.800.000’e
ulaşan bu bilgiler tıbbi ve hasta bilgilerini içermemektedir.
9 Nisan 2015 tarihinde gerçekleşen olayda, bir Fransız yayın firmasında saldırganlar 11 kanalda yayını devraldılar, şirket websiteleri ve sosyal medya hesapları üzerinden mesajlar gönderdiler. İlk saldırı 18 saatten fazla sürdü. Birkaç ay geçmesine rağmen BT fonksiyonları ve Internet bağlantısında devam eden kesintiler milyonlarca Euroluk maliyeti etkiledi.
KoçSistem SOC Aylık Bülteni Kasım, 2015
3
2015 Ekim Ayında Gerçekleşen ve Kayıtlara Geçen Ataklar
31 Ekim 2015
İrlanda’da gerçekleşen olayda, phishing atak hedefleyen online bir reklam platformu, üçüncü parti
websitelerine gömülü javaScript widgetleri üzerinden erişim sağlamaya çalışmıştır. Websitelerinin
ziyaretçileri, bir saatin üzerinde kötü amaçlı yazılıma(malware) maruz kalmıştır.
30 Ekim 2015
Amerika’da gerçekleşen atakta, Mac torrent sitesinden
e-posta adresleri, kullanıcı adları ve zayıf MD5 karma
şifreleri olmak üzere 93.992 veri sızdırılmıştır.
29 Ekim 2015
İngiltere’de telekom sağlayıcı bir kuruluşa ait hesapların bir numarası sızdırılmış ve şirket, henüz bu
ihlale ait kanıt bulamamıştır. 1827 verinin sızdırıldığı olayın phishing taktiklerinden veya paroladan
kaynaklı olabileceği düşünülmektedir.
İngiltere’de kamu sektöründe faaliyet gösteren bir kuruluşa ait e-posta ve şifreler başka bir sitede
yayınlanmıştır. 2200 verinin sızdırıldığı ve hala nasıl olduğu bilinememekte olan olayın phishing
saldırısı sonucu olabileceği düşünülmektedir.
23 Ekim 2015
Amerika’da Maine eyaletinde bir market zincirinin POS sisteminde kötü amaçlı yazılım(malware)
bulunmuş ve kart numaraları dahil kredi kartı bilgilerinin yer aldığı 3000 veri çalınmıştır.
22 Ekim 2015
Litvanya’da ücretsiz ağ sağlayan hizmetten e-posta adresi, IP adresi ve encripte edilmemiş metin
şifreleri olmak üzere 13.545.468 veri sızdırılmıştır. Hizmet, yamasız PHP güvenlik açığı yoluyla ihlal
edilmiştir.
21 Ekim 2015
İngiltere’de bir telekom şirketi, bir veri sızıntısının müşterilerine ait
e-posta adresi, doğum tarihi ve kısmı kredi kartı bilgilerini içeren
1.200.000 verinin çalınmasına yol açtığını raporlamıştır.
15 Ekim 2015
Amerika’da gerçekleşen olayda, PHP programlama diliyle ilgili tartışma forumu ihlal edilmiştir. E-
posta adresleri, şifreler ve diğer kişisel bilgilerin yer aldığı 173.891 veri sızdırılmıştır.
KoçSistem SOC Aylık Bülteni Kasım, 2015
4
14 Ekim 2015
Amerika’da Oklahoma Üniversitesi’nin bir tıp kliniğinin şifrelenmemiş PHI(Protected Health
Information-Korumalı Sağlık Bilgisi) verilerini içeren bir dizüstü bilgisayar, bir otomobil içinden
çalınmıştır. Toplamda 9300 verinin sızdırıldığı olay, bu yıl bu üniversitede gerçekleşen ikinci benzer
vaka olarak kayıtlara geçmiştir.
8 Ekim 2015
Amerika’da bir Texas ruh sağlığı ağı, hastaları
bir sunucuya yetkisiz kişi tarafından erişildiği
ve PHI verilerinin de buna maruz kalmış
olabileceğini duyurmuştur. Toplamda 11.100
verinin sızdırıldığı düşünülmektedir.
2 Ekim 2015
Avustralya’da bir mağaza online alışveriş veritabanının ihlal edildiğini açıklamıştır. Müşteriye ait
isim, online alışveriş sipariş ayrıntıları, posta ve e-posta adresleri sızdırılmıştır. Bu olay, online
perakendecileri de etkileyen aynı hafta içinde ikinci benzer bir olay olmuştur.
1 Ekim 2015
Popüler bir Avustralyalı perakendecinin online ürün sipariş sistemi ihlal edilmiştir. Müşterilere ait
isim, e-posta adresi, teslimat ve fatura adresleri, telefon numarası ve ürünü satın alma ayrıntılarını
içeren açıklanmayan sayıda veri sızdırılmıltır.
Bunu biliyor muyduz? (Misconfig atak)
Amerika’da 28 Eylül 2015 tarihinde
sanatçılara ve içerik yaratıcılara fon
sağlayan bir hizmetten e-posta adresi, şifre
ve diğer kişisel bilgilerin yer aldığı
milyonlarca kullanıcı bilgisi (2.330.382
veri) sızdırılmıştır. Bu da kamunun kimlik
doğrulaması olmadan erişebileceği üretim
verilerini içeren debug sunucusunun yanlış
yapılandırılması nedeniyle gerçekleşmiştir.
KoçSistem SOC Aylık Bülteni Kasım, 2015
5
KAMU YATIRIMLARI HIZLANMALI
Bugün dünyada 3 milyar internet kullanıcısı ve yaklaşık 7 milyar mobil
kullanıcı bulunmaktadır. Akıllı telefonlar ve daha akıllı internet bant
genişliği sürekli olarak artmakta; bu sebeple çevrimiçi olan insan sayısı da
aynı oranda büyümektedir. Bu gelişmeler beraberinde güvenlik konusunu
getirmektedir.
2016 yılında siber savaşların daha da artacağını, yapılacak saldırıların geniş zaman dilimlerinde daha
karmaşık, hedef gözeterek içeriye sızma ve kritik altyapıları hedef alarak ciddi hasar verme amaçlı
olacağını ön görüyoruz. Hatta daha da ilerisi için de üçüncü dünya savaşının siber savaşlar olacağını
düşünüyoruz. Ayrıca kurumların olaylara anında müdahale edebilmesi için kayıt yönetimi ve analiz
sistemlerini kendi içlerinde iyi oturtması gerekmektedir. Sadece 5651 nolu kanunu karşılıyor olmak
saldırılar olup bittikten sonra size yapılan saldırıyı öğrenmenizi sağlar; bazen günler ve haftalar sonra
öğrenebilirsiniz. Bu sebeple öncelikle kamu sektörü olmak üzere bilişim yatırımlarının doğru ürünlerle
artması ve yatırımların hızlanması gerekmektedir. Bu kadar hızlı büyümeye karşı kayıtsız kalmak
zaman içerisinde kaybolmaya sebep olur.
Günümüzde çalışanlar artık eskisi gibi ofislerine bağımlı kalmak zorunda değiller. Akıllı
telefonlarından, taşınabilir bilgisayarlarından ve tabletlerinden kurum dışından işlerini
yapabilmektedirler. Denetimsiz son kullanıcılar bize güvenlik zafiyeti olarak yansımaktadır. Örneğin;
son zamanlarda mobil cihazlarda en çok banka şifrelerinin çalınma vakaları görülmektedir. Öte yandan
bulut uygulamalarının yaygınlaşmasıyla yeni nesil güvenlik çözümleri benimsenmeye başlandı.
Barış Güney Yılmaz
KoçSistem BT Güvenlik Olay
Yönetimi Takım Lideri
Pazarda yeni eğilimlerin (bulut, mobil, büyük
veri ve sosyal) yaygınlaşması ve iç içe geçmesiyle
güvenlik tehditleri artmakta ve farklılaşmakta,
güvenlik teknolojisini barındırma ihtiyacı, farklı
sağlayıcılar ve maliyetler artmakta, hizmet
kalitesi ve güvenlik uzmanlığı daha da önem
kazanmakta, reaktif güvenlik yaklaşımı proaktif
güvenlik yaklaşımına dönüşmekte ve bütünsel
bir yaklaşım ve yönetim ihtiyacı duyulmaktadır.
Değişen tüm bu ihtiyaçlar doğrultusunda
KoçSistem güvenliğinizi nasıl sağlıyor?
KoçSistem SOC Aylık Bülteni Kasım, 2015
6
KOÇSİSTEM GÜVENLİK HİZMETLERİ Log Yönetimi ve Korelasyon (SIEM) Hizmeti
Tüm sunucu ve ağ sistemlerinden toplanan güvenlik loglarının, merkezi olarak saklandığı, izlendiği ve
ilişkilendirme özellikleriyle özel alarmların oluşturulduğu yapılanmadır. Mevcut durumda KoçSistem
bünyesinde 250 adet sunucu için loglama hizmeti verilmektedir. Bunlardan bir kısmı kanuni
yükümlülük bir kısmı ise hizmet satışıdır.
5651 yükümlülüğü kapsamında toplanması gereken logların yasanın öngördüğü şekilde saklanması,
tüm sistemlere ait sistem ve network loglarının toplanıp ilişkilendirmelerle anlamlı hale getirilmesi,
geriye dönük olay takibinin ve izlemenin yapılmasını sağlar.
Log Yönetimi
Bu hizmet firma altyapısını oluşturan her türlü yazılım ve donanımların ürettiği kayıtların (log) tek bir
merkezde toplanmasını, arşivlenmesini ve bu kayıtları belirli bir düzen ve yapıya göre sorgulanmasını,
filtrelenmesini ve raporlanmasını sağlar. Sistemlerden toparlanan tüm loglarda oluşabilecek şüpheli
durumları tespit edebilmek için, logların analizi gerekmektedir. Bilgi güvenliği ve olay yönetimi (SIEM)
sistemleri sayesinde, kişi hatasına mahal vermeden, logların ilişkilendirilmesiyle şüpheli olaylar net bir
şekilde ortaya çıkartılabilmektedir. Her ne kadar, log yönetim sistemleriyle logları toplamak gerekli
olsa da yeterli değildir. Toplanan bu logların birbirleriyle ilişkilendirilmesi ve otomatik olarak
analizlerinin yapılması gerekmektedir ve bu sebeple SIEM sistemleri büyük önem taşımaktadır.
Korelasyon
Korelasyon hizmeti, KoçSistem’den dedike veya paylaşımlı log yönetimi hizmeti alan müşteriler için
talep edilmesi halinde sunulmaktadır. Bu hizmet ile farklı sunucu ya da network cihazlarından toplanan
loğlar belirlenen korelasyon politikaları çerçevesinde anlamlı hale getirilir. Bu sayede olay öncesi için
oluşturulan alarmlarla proaktif bir izleme sağlanabilirken, olay sonrasında da detaylı analiz yapılması
sağlanır.
KoçSistem SOC hizmeti alınması durumunda bu yapıdan oluşturulan alarmlarla ilgili farklı seviyelerde
aksiyon alımı sağlanabilir. KoçSistem korelasyon hizmeti, müşteri sunucularının ve/veya
kullanıcılarının toplam anlık üretebileceği olay sayısına ve korelasyon sayısına göre ücretlendirilir.
Korelasyon politikalarının hazırlanması ve uygulanması hizmet dahilinde sağlanmaktadır.
Korelasyon Örneği; Apply Malware: Communication with a web site known to be a phishing or fraud site on flows which are
detected by the Local system and when a flow matches any of the following BB:CategoryDefinition: Successful
Communication and when the flow matches Application is any of [Web.Malware(fraud) or Web.Malware(phish)]
KoçSistem SOC Aylık Bülteni Kasım, 2015
7
BİZ’den Haberler TrendMicro ile İş Ortaklığı
IBM’den sonra küresel bir iş ortaklığı daha!
Küresel bir marka olma yolunda önemli bir
kilometre taşını daha aşmış bulunuyoruz. Trend
Micro Türkiye ile bir süredir görüştüğümüz lokal
destek iş ortaklığı konusunda sonuca vardık. Buna
göre Türkiye içindeki TrendMicro müşterilerine
ilk müdahale KoçSistem SOC ekibi tarafından
gerçekleştirilecek. Ayrıca SOC hizmeti ile paket
haline getireceğimiz AntiMalware (Zeroday, Apt,
Spearphishing) tipi hizmetlerimiz olacak.
Müşterilerimize daha iyi hizmet verebilmek için çalışıyor, ilk ve tek olmaya devam ediyoruz.
Havelsan Ziyareti
Yerli bir SIEM hayat buluyor
Kamu tarafında siber saldırılara karşı oluşan bilinç arttıkça,
bunun en önemli unsuru olan SIEM yazılımlarına ihtiyaç
da paralelde arttı. Türk Silahlı Kuvvetleri Kalkındırma
Vakfı tarafından desteklenen projeyle Havelsan, 10 kişilik
ekibiyle yerel bir SIEM çözümü üretmeye başladı bile.
Projelerinin ilk adımı olarak ekibimizi yerinde ziyaret eden
misafirlerimize sınırlı zamanda önemli bilgiler verdik ve
projenin devamında da birlikte çalışmak üzere
tecrübelerimizi aktardık.
Geçmiş deneyimlerimizden ve alanında uzman
personelimizden aldığımız gücün ışığında Havelsan SIEM
Geliştirme ekibine projelerinde vereceğimiz destek ve
danışmanlıkla güçlü yerel bir SIEM çözümünün ülkemize
kazandırılacağına olan inancımız tam. Havelsan SIEM
ekibine başladıkları bu projede başarılar diliyoruz.