Soc bülten 11.2015

KoçSistem SOC Aylık Bülteni Kasım, 2015

1


2

Oltaya Gelmeyin

Son dönemde sosyal mühendislik kapsamında, Phishing

"Password" (Şifre) ve "Fishing" (Balık avlamak) sözcüklerinin

birleştirilmesiyle oluşturulan Türkçe'ye yemleme (oltalama)

olarak çevrilmiş bir saldırı çeşididir. Phishing saldırıları son

zamanların en gözde saldırı çeşidi olarak karşımıza

çıkmaktadır. Yemleme yöntemi kullanılarak bilgisayar

kullanıcıları her yıl milyarlarca dolar zarara uğratılmaktadır.

Phishing Saldırılar Nasıl Gerçekleşir

Saldırgan kişiler özellikle bankalar, mail servisleri, alış-veriş siteleri, sosyal paylaşım ağları(Facebook, Twitter, MySpace vb.) gibi arkaşdaşlık ve anlık sohbet sistemleri, online oyunlar gibi kullanıcı adı ve parola kullanılarak giriş yapılan sistemlerin bir kopyasını hazırlayarak ilk adımı atarlar.

Saldırganlar ellerinde mevcut olan e-posta listelerine veya hedefledikleri kişilere gönderdikleri e-postalarla kurbanlarını hazırladıkları sahte sayfalara yönlendirirler.

Kurbanların sahte sayfalara girerek istenen bilgileri paylaşmasıyla saldırı amacına ulaşmış olur.

Dünya üzerinde gerçekleşen tüm atakların % 3,6’lik dilimini oluşturan Phishing atakları en çok Sağlık sektöründe görülmekle birlikte Medya & Eğlence, Bilişim ve Kamu sektörlerde daha yaygın gerçekleşmektedir. İşte büyük veri kayıplarıyla sonuçlanan Phishing atakları:

4 Şubat 2015 tarihinde Amerika’da bir sağlık kuruluşu e-

posta adresi, sosyal güvenlik numarası vs. içeren müşteri

bilgilerinin sızdırıldığı “çok sofistike bir dış siber saldırıya”

hedef olduğunu duyurmuştur. Toplam sayısı 78.800.000’e

ulaşan bu bilgiler tıbbi ve hasta bilgilerini içermemektedir.

9 Nisan 2015 tarihinde gerçekleşen olayda, bir Fransız yayın firmasında saldırganlar 11 kanalda yayını devraldılar, şirket websiteleri ve sosyal medya hesapları üzerinden mesajlar gönderdiler. İlk saldırı 18 saatten fazla sürdü. Birkaç ay geçmesine rağmen BT fonksiyonları ve Internet bağlantısında devam eden kesintiler milyonlarca Euroluk maliyeti etkiledi.


3

2015 Ekim Ayında Gerçekleşen ve Kayıtlara Geçen Ataklar

31 Ekim 2015

İrlanda’da gerçekleşen olayda, phishing atak hedefleyen online bir reklam platformu, üçüncü parti

websitelerine gömülü javaScript widgetleri üzerinden erişim sağlamaya çalışmıştır. Websitelerinin

ziyaretçileri, bir saatin üzerinde kötü amaçlı yazılıma(malware) maruz kalmıştır.

30 Ekim 2015

Amerika’da gerçekleşen atakta, Mac torrent sitesinden

e-posta adresleri, kullanıcı adları ve zayıf MD5 karma

şifreleri olmak üzere 93.992 veri sızdırılmıştır.

29 Ekim 2015

İngiltere’de telekom sağlayıcı bir kuruluşa ait hesapların bir numarası sızdırılmış ve şirket, henüz bu

ihlale ait kanıt bulamamıştır. 1827 verinin sızdırıldığı olayın phishing taktiklerinden veya paroladan

kaynaklı olabileceği düşünülmektedir.

İngiltere’de kamu sektöründe faaliyet gösteren bir kuruluşa ait e-posta ve şifreler başka bir sitede

yayınlanmıştır. 2200 verinin sızdırıldığı ve hala nasıl olduğu bilinememekte olan olayın phishing

saldırısı sonucu olabileceği düşünülmektedir.

23 Ekim 2015

Amerika’da Maine eyaletinde bir market zincirinin POS sisteminde kötü amaçlı yazılım(malware)

bulunmuş ve kart numaraları dahil kredi kartı bilgilerinin yer aldığı 3000 veri çalınmıştır.

22 Ekim 2015

Litvanya’da ücretsiz ağ sağlayan hizmetten e-posta adresi, IP adresi ve encripte edilmemiş metin

şifreleri olmak üzere 13.545.468 veri sızdırılmıştır. Hizmet, yamasız PHP güvenlik açığı yoluyla ihlal

edilmiştir.

21 Ekim 2015

İngiltere’de bir telekom şirketi, bir veri sızıntısının müşterilerine ait

e-posta adresi, doğum tarihi ve kısmı kredi kartı bilgilerini içeren

1.200.000 verinin çalınmasına yol açtığını raporlamıştır.

15 Ekim 2015

Amerika’da gerçekleşen olayda, PHP programlama diliyle ilgili tartışma forumu ihlal edilmiştir. E-

posta adresleri, şifreler ve diğer kişisel bilgilerin yer aldığı 173.891 veri sızdırılmıştır.


4

14 Ekim 2015

Amerika’da Oklahoma Üniversitesi’nin bir tıp kliniğinin şifrelenmemiş PHI(Protected Health

Information-Korumalı Sağlık Bilgisi) verilerini içeren bir dizüstü bilgisayar, bir otomobil içinden

çalınmıştır. Toplamda 9300 verinin sızdırıldığı olay, bu yıl bu üniversitede gerçekleşen ikinci benzer

vaka olarak kayıtlara geçmiştir.

8 Ekim 2015

Amerika’da bir Texas ruh sağlığı ağı, hastaları

bir sunucuya yetkisiz kişi tarafından erişildiği

ve PHI verilerinin de buna maruz kalmış

olabileceğini duyurmuştur. Toplamda 11.100

verinin sızdırıldığı düşünülmektedir.

2 Ekim 2015

Avustralya’da bir mağaza online alışveriş veritabanının ihlal edildiğini açıklamıştır. Müşteriye ait

isim, online alışveriş sipariş ayrıntıları, posta ve e-posta adresleri sızdırılmıştır. Bu olay, online

perakendecileri de etkileyen aynı hafta içinde ikinci benzer bir olay olmuştur.

1 Ekim 2015

Popüler bir Avustralyalı perakendecinin online ürün sipariş sistemi ihlal edilmiştir. Müşterilere ait

isim, e-posta adresi, teslimat ve fatura adresleri, telefon numarası ve ürünü satın alma ayrıntılarını

içeren açıklanmayan sayıda veri sızdırılmıltır.

Bunu biliyor muyduz? (Misconfig atak)

Amerika’da 28 Eylül 2015 tarihinde

sanatçılara ve içerik yaratıcılara fon

sağlayan bir hizmetten e-posta adresi, şifre

ve diğer kişisel bilgilerin yer aldığı

milyonlarca kullanıcı bilgisi (2.330.382

veri) sızdırılmıştır. Bu da kamunun kimlik

doğrulaması olmadan erişebileceği üretim

verilerini içeren debug sunucusunun yanlış

yapılandırılması nedeniyle gerçekleşmiştir.


5

KAMU YATIRIMLARI HIZLANMALI

Bugün dünyada 3 milyar internet kullanıcısı ve yaklaşık 7 milyar mobil

kullanıcı bulunmaktadır. Akıllı telefonlar ve daha akıllı internet bant

genişliği sürekli olarak artmakta; bu sebeple çevrimiçi olan insan sayısı da

aynı oranda büyümektedir. Bu gelişmeler beraberinde güvenlik konusunu

getirmektedir.

2016 yılında siber savaşların daha da artacağını, yapılacak saldırıların geniş zaman dilimlerinde daha

karmaşık, hedef gözeterek içeriye sızma ve kritik altyapıları hedef alarak ciddi hasar verme amaçlı

olacağını ön görüyoruz. Hatta daha da ilerisi için de üçüncü dünya savaşının siber savaşlar olacağını

düşünüyoruz. Ayrıca kurumların olaylara anında müdahale edebilmesi için kayıt yönetimi ve analiz

sistemlerini kendi içlerinde iyi oturtması gerekmektedir. Sadece 5651 nolu kanunu karşılıyor olmak

saldırılar olup bittikten sonra size yapılan saldırıyı öğrenmenizi sağlar; bazen günler ve haftalar sonra

öğrenebilirsiniz. Bu sebeple öncelikle kamu sektörü olmak üzere bilişim yatırımlarının doğru ürünlerle

artması ve yatırımların hızlanması gerekmektedir. Bu kadar hızlı büyümeye karşı kayıtsız kalmak

zaman içerisinde kaybolmaya sebep olur.

Günümüzde çalışanlar artık eskisi gibi ofislerine bağımlı kalmak zorunda değiller. Akıllı

telefonlarından, taşınabilir bilgisayarlarından ve tabletlerinden kurum dışından işlerini

yapabilmektedirler. Denetimsiz son kullanıcılar bize güvenlik zafiyeti olarak yansımaktadır. Örneğin;

son zamanlarda mobil cihazlarda en çok banka şifrelerinin çalınma vakaları görülmektedir. Öte yandan

bulut uygulamalarının yaygınlaşmasıyla yeni nesil güvenlik çözümleri benimsenmeye başlandı.

Barış Güney Yılmaz

KoçSistem BT Güvenlik Olay

Yönetimi Takım Lideri

Pazarda yeni eğilimlerin (bulut, mobil, büyük

veri ve sosyal) yaygınlaşması ve iç içe geçmesiyle

güvenlik tehditleri artmakta ve farklılaşmakta,

güvenlik teknolojisini barındırma ihtiyacı, farklı

sağlayıcılar ve maliyetler artmakta, hizmet

kalitesi ve güvenlik uzmanlığı daha da önem

kazanmakta, reaktif güvenlik yaklaşımı proaktif

güvenlik yaklaşımına dönüşmekte ve bütünsel

bir yaklaşım ve yönetim ihtiyacı duyulmaktadır.

Değişen tüm bu ihtiyaçlar doğrultusunda

KoçSistem güvenliğinizi nasıl sağlıyor?


6

KOÇSİSTEM GÜVENLİK HİZMETLERİ Log Yönetimi ve Korelasyon (SIEM) Hizmeti

Tüm sunucu ve ağ sistemlerinden toplanan güvenlik loglarının, merkezi olarak saklandığı, izlendiği ve

ilişkilendirme özellikleriyle özel alarmların oluşturulduğu yapılanmadır. Mevcut durumda KoçSistem

bünyesinde 250 adet sunucu için loglama hizmeti verilmektedir. Bunlardan bir kısmı kanuni

yükümlülük bir kısmı ise hizmet satışıdır.

5651 yükümlülüğü kapsamında toplanması gereken logların yasanın öngördüğü şekilde saklanması,

tüm sistemlere ait sistem ve network loglarının toplanıp ilişkilendirmelerle anlamlı hale getirilmesi,

geriye dönük olay takibinin ve izlemenin yapılmasını sağlar.

Log Yönetimi

Bu hizmet firma altyapısını oluşturan her türlü yazılım ve donanımların ürettiği kayıtların (log) tek bir

merkezde toplanmasını, arşivlenmesini ve bu kayıtları belirli bir düzen ve yapıya göre sorgulanmasını,

filtrelenmesini ve raporlanmasını sağlar. Sistemlerden toparlanan tüm loglarda oluşabilecek şüpheli

durumları tespit edebilmek için, logların analizi gerekmektedir. Bilgi güvenliği ve olay yönetimi (SIEM)

sistemleri sayesinde, kişi hatasına mahal vermeden, logların ilişkilendirilmesiyle şüpheli olaylar net bir

şekilde ortaya çıkartılabilmektedir. Her ne kadar, log yönetim sistemleriyle logları toplamak gerekli

olsa da yeterli değildir. Toplanan bu logların birbirleriyle ilişkilendirilmesi ve otomatik olarak

analizlerinin yapılması gerekmektedir ve bu sebeple SIEM sistemleri büyük önem taşımaktadır.

Korelasyon

Korelasyon hizmeti, KoçSistem’den dedike veya paylaşımlı log yönetimi hizmeti alan müşteriler için

talep edilmesi halinde sunulmaktadır. Bu hizmet ile farklı sunucu ya da network cihazlarından toplanan

loğlar belirlenen korelasyon politikaları çerçevesinde anlamlı hale getirilir. Bu sayede olay öncesi için

oluşturulan alarmlarla proaktif bir izleme sağlanabilirken, olay sonrasında da detaylı analiz yapılması

sağlanır.

KoçSistem SOC hizmeti alınması durumunda bu yapıdan oluşturulan alarmlarla ilgili farklı seviyelerde

aksiyon alımı sağlanabilir. KoçSistem korelasyon hizmeti, müşteri sunucularının ve/veya

kullanıcılarının toplam anlık üretebileceği olay sayısına ve korelasyon sayısına göre ücretlendirilir.

Korelasyon politikalarının hazırlanması ve uygulanması hizmet dahilinde sağlanmaktadır.

Korelasyon Örneği; Apply Malware: Communication with a web site known to be a phishing or fraud site on flows which are

detected by the Local system and when a flow matches any of the following BB:CategoryDefinition: Successful

Communication and when the flow matches Application is any of [Web.Malware(fraud) or Web.Malware(phish)]


7

BİZ’den Haberler TrendMicro ile İş Ortaklığı

IBM’den sonra küresel bir iş ortaklığı daha!

Küresel bir marka olma yolunda önemli bir

kilometre taşını daha aşmış bulunuyoruz. Trend

Micro Türkiye ile bir süredir görüştüğümüz lokal

destek iş ortaklığı konusunda sonuca vardık. Buna

göre Türkiye içindeki TrendMicro müşterilerine

ilk müdahale KoçSistem SOC ekibi tarafından

gerçekleştirilecek. Ayrıca SOC hizmeti ile paket

haline getireceğimiz AntiMalware (Zeroday, Apt,

Spearphishing) tipi hizmetlerimiz olacak.

Müşterilerimize daha iyi hizmet verebilmek için çalışıyor, ilk ve tek olmaya devam ediyoruz.

Havelsan Ziyareti

Yerli bir SIEM hayat buluyor

Kamu tarafında siber saldırılara karşı oluşan bilinç arttıkça,

bunun en önemli unsuru olan SIEM yazılımlarına ihtiyaç

da paralelde arttı. Türk Silahlı Kuvvetleri Kalkındırma

Vakfı tarafından desteklenen projeyle Havelsan, 10 kişilik

ekibiyle yerel bir SIEM çözümü üretmeye başladı bile.

Projelerinin ilk adımı olarak ekibimizi yerinde ziyaret eden

misafirlerimize sınırlı zamanda önemli bilgiler verdik ve

projenin devamında da birlikte çalışmak üzere

tecrübelerimizi aktardık.

Geçmiş deneyimlerimizden ve alanında uzman

personelimizden aldığımız gücün ışığında Havelsan SIEM

Geliştirme ekibine projelerinde vereceğimiz destek ve

danışmanlıkla güçlü yerel bir SIEM çözümünün ülkemize

kazandırılacağına olan inancımız tam. Havelsan SIEM

ekibine başladıkları bu projede başarılar diliyoruz.

Services

Soc bülten 11.2015