IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumcal SOME Kurulumu ve Yönetimi

IstSec Bilgi Güvenliği Konferansı -‐ 2014 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 IstSec Bilgi Güvenliği Konferansı -‐ 2014

Kurumsal Ortamlar için SOME (Siber Olaylara Müdahele Ekibi) Kurulumu

Huzeyfe ÖNAL BGA Bilgi Güvenliği A.Ş.

[email protected]

IstSec Bilgi Güvenliği Konferansı -‐ 2014 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 IstSec Bilgi Güvenliği Konferansı -‐ 2014

Huzeyfe ÖNAL •  Kurumsal Bilgi Güvenliği Hizmetleri Yöne=cisi @BGA •  Penetra=on Tester •  Eğitmen – Bilgi Güvenliği AKADEMİSİ – Linux AKADEMİ

•  Öğre=m Görevlisi Bahçeşehir Üniversitesi


BGA Bilgi Güvenliği… •  Ne yaparız? •  Ekibimiz…


Ajanda •  Siber güvenliğin önemi ve güncel durum •  Siber tehditlerle mücadele yöntemleri ve SOME / CERT ekiplerinin önemi

•  Dünya’da CERT ekiplerinin görev ve işleyişleri •  Türkiye’de SOME / CERT ekipleri , kurulumu ve detayları


Güvenlik Sağlık/Sigorta/Masraf İlişkisi

IstSec Bilgi Güvenliği Konferansı -‐ 2014 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr

Neden Siber Güvenlik? Dün… Bugün…


Siber Tehditler Güncel Durum •  Türkiye ve dünyada neler oluyor

?


Türkiye’de Siber Güvenlik Problemi •  Son iki yılda iç, dış veya kaynağı bilinmeyen siber saldırı olayı yaşanma oranı %63~ – Ortalama 100 şirket ve kamu kurumu için

•  Zamanında siber saldırıyı farketme ve önleme oranı %5

•  Kullanılan siber güvenlik ürünlerine olan güven:%80 •  Siber güvenlik ürünlerinin gerçek saldırılar karşısındaki uyarı ve engelleme kabiliye=: %20

•  Çalışanların Siber Güvenlik “teknik farkındalığı” %30 •  Bir saldırı olsa da konunun önemi artsa diyenler %70


Türkiye’den Resmi Olmayan Rakamlar •  2013-‐2014 yıllarında dikkate değer bilgiler: – Deep web ve açık bilgi toplama kaynakları ile elde edilebilecek bilgiler sonucu toplanmışmr

•  Başarıyla sonuçlanmış APT saldırıları*: – 9 banka – 13 sigorta şirke= – 2 Telekomünikasyon şirke= – 27 üniversite – 30 kamu kurumu


HeartBleed Zafiye= Güncel Durum •  Nisan ayında Openssl kütüphanesinde yayınlanan kri=k güvenlik zafiye=

•  Eylül ayında Türkiye’de 6874 adet sistemde açıklık devam etmekte…

•  Türkiye’nin elinde bir güvenlik zafiye= haritası yoktur, bunu çıkartmaya çalışanlara da aba almndan sopa gösterilmektedir L


Türkiye’de Siber Güvenlik #2013 •  Ağırlığı kamu kurumları olmak üzere 100 farklı kurumda yapılan “resmi olmayan” araşmrmalar sonucu:

•  Türkiye’de siber güvenlik bilinci 2011 öncesi ve 2011 sonrası olmak üzere iki döneme ayrılır

•  Kamu kurumları ilk defa 2012 yılı i=bariyle siber güvenlik zafiyetleri dolayısıyla zor durumda kalmışmr, siber saldırılar sonrası görevden almalar olmuştur.


Yerli/Yabancı Siber Savunma Ürünleri

3%

97%

Yerli – Yabancı Siber Savunma Ürünleri Oranı Yerli Ürün Yabancı Ürün


Ülkelere Göre Dağılım

0

10

20

30

40

50

60

İsrail Amerika Avrupa Ülkeleri Diğerleri

Series1

Açık Kaynak Kod Sistem Kullanımı •  Ticari sistemler içinde kullanılan açık kaynak kod yazılımların oranı yaklaşık olarak %30

•  Bağımsız olarak açık kaynak kod yazılım/sistem kullanım oranı %6

•  Genel olarak açık kaynak kodlu sistemler daha fazla bilgi ve uğraşı istediği için bağımsız kullanım oranları oldukça düşük çıkmışmr.


Siber Saldırılarda Mo=vasyon / Sebep

hsp://hackmageddon.com/2014/10/06/16-‐30-‐september-‐2014-‐cyber-‐asacks-‐=meline/


Siber Saldırı Çeşitleri


Siber Saldırılarda Hedef Kurumlar


Siber Saldırılarda Olay Müdahele •  Amaç, siber saldırıları olmadan önce ak=f/pasif sistemler kullanarak keşfetme, oluşabilecek zararı en az seviyeye indirme ve başa gelebilecek bir güvenlik sorunu esnasında, sonrasında amlacak olan adımlar bütünü.

•  Önceden bir poli=ka ve prosedürle sınırları net olarak çizilmeli ve altyapısal olarak sistemler buna hazırlıklı olmalı.


Olay Müdahe Yaşam Döngüsü


Seç, Beğen, Al Tadında Kavramlar •  CERT/CERT CC – Computer Emergency Response Team / Coordina=on Center

•  CSIRT – Computer Security Incident Response Team •  IRT – Incident Response Team •  CIRT – Computer Incident Response Team •  SERT – Security Emergency Respose Team •  FIRST – Forum for Incident Response and Security Team

•  BGA-‐SIRT – Security Incident Response Team


Neden SOME ? •  Siber güvenlik olaylarına etkin müdahale •  Güvenlik problemlerinin yöne=minde insan faktörünü olabildiğince oyun dışına çıkarma – Sunucu hacklendi acil çağrısı karşısında bir güvenlik uzmanı ne yapar?

•  Kurumlar arası bilgi paylaşımına olan ih=yaç…


Önemli SOME Bileşenleri


Türkiye’de SOME/CERT İşleri •  Ulusal Siber Güvenlik Stratejisi ve 2013-‐2014 Eylem Planı’nı oluşturulmuş ve 20/06/2012 tarihinde Bakanlar Kurulu kararı olarak yayınlanmışmr.

•  Söz konusu eylem planı kapsamında temel görevi koordinasyon ve işbirliği olan Ulusal Siber Olaylara Müdahale Merkezi (USOM) kurularak, faaliyetlerine başlamışmr.

•  Eylem planı çerçevesinde kamu kurum ve kuruluşları bünyesinde Siber Olaylara Müdahale Organizasyonları (Kurumsal SOME) oluşturulması öngörülmüştür.


Türkiye’de SOME/CERT İşleri •  USOM ve Kurumsal SOME’ler siber olayları bertaraf etmede, oluşması muhtemel zararları önlemede veya azaltmada, siber olay yöne=minin ulusal düzeyde koordinasyon ve işbirliği içerisinde gerçekleş=rilmesinde haya= önemi olan yapılardır.


SOME Kurulumu Kimler İçindir? •  Önerilen: Müstakil bir bilgi işlem birimi barındıran tüm kamu ve özel sektör kurum ve kuruluşları. –  ISP’ler – Kamu Kurumları – Kri=k Altyapılar – Finans Kurumları


SOME Çeşitleri ve Görevleri

USOM

Kurumsal SOME

Sektörel SOME


USOM •  Temel görevi koordinasyon ve işbirliğidir. –  Siber olaylar ile ilgili olarak diğer ülkelerin eşdeğer makamları ve uluslararası kuruluşlarla işbirliği USOM tarazndan yerine ge=rilir.

•  22.05.2013 Tarih ve 2013/DK-‐TİB/278 sayılı Bilgi Teknolojileri ve İle=şim Kurulu Kararı ile USOM görevleri, çalışma usul ve esasları belirlenmiş=r.

•  USOM, faaliyet gösteren kurum ve kuruluşları bilgilendirme ve olası çözüm yolları hakkında bilgi sağlama hizme= verir.

•  Kri=k sektörü kapsayacak şekilde siber saldırı uyarısı ve güvenlik açığı duyurusu yayınlar ya da yeni bir siber açıklık ile ilgili mücadele yöntemlerini sektördeki kurum ve kuruluşlara aktarırlar.

•  USOM, Sektörel SOME'nin talep etmesi üzerine kri=k sektörler için siber olaya yerinde müdahale desteği verebilir.


Sektörel SOME •  Siber Güvenlik Kurulu tarazndan belirlenir ve her bir kri=k sektör için, söz konusu sektörü düzenlemek ve denetlemekten sorumludur.

•  Kri=k sektörler Siber Güvenlik Kurulu tarazndan tespit edilip, ih=yaç halinde güncellenmektedir.

•  Sektörel SOME, sektör içi siber güvenlik poli=kalarını belirler ve bu poli=kaların uygulandığını kontrol eder.

•  Siber Güvenlik Kurulunun aldığı stratejik kararın sektörel seviyedeki karşılığı Sektörel SOME’ler tarazndan yerine ge=rilir.

•  Sektörel SOME’ler talep edilen raporları ve bilgileri USOM’a sunarlar.


Kurumsal SOME •  Müstakil bir bilgi işlem birimi olan kurumların bünyesinde kurulan ve temel görevi kurumun ih=yacı olan siber güvenlik yöne=mini sağlamak olan SOME’lerdir.

•  Kurumsal SOME’ler kamu kurumları bünyesinde veya kri=k özel sektör kuruluşları bünyesinde oluşturulabilir. –  Kurumsal SOME’ler siber güvenlik ile ilgili kurumsal faaliyetleri gerçekleş=ren ve takip eden yapılardır.

•  Siber Güvenlik Kurulunun aldığı stratejik kararın kurumsal seviyedeki karşılığı Kurumsal SOME’ler tarazndan yerine ge=rilir.

•  Kurumsal SOME’ler sorumluluk alanındaki bir siber olaya yerinde müdahale desteği verir.


USOM-‐SOME İlişkileri


SOME Ekiplerinin Organizasyon Yapısı •  Kurulacak bir SOME ekibi icin en temel sorun kimlerden oluşacağı ve kime bağlı olarak nasıl bir yapıda çalışacağıdır.

•  Kurumsal SOME’nin, kurumun bilgi işlem birimi (şube, daire, başkanlık vb.) almnda ayrı bir birim olarak kurulması tavsiye edilir.

•  Kurumda hâlihazırda bilgi güvenliği veya siber güvenlikten sorumlu bir birim (şube, daire, başkanlık vb.) kurulmuş ise Kurumsal SOME bu birim almnda da oluşturulabilir.


SOME Ekiplerinin Organizasyon Yapısı-‐II •  Bilgi işlem tarazndan gerçekleş=rilen faaliyetlerin hedefi ağ ve sistem sürekliliğini sağlamak ve kurumsal siber güvenlik poli=kalarını uygulamakmr. –  Kurumsal SOME’nin görevi ise kurumsal siber güvenliğe ilişkin poli=kaları belirlemek, uygulanıp uygulanmadıklarını izlemek, olaylardan sonra yetkili makamlarla ile=şime geçmek, delil, kayıt vb. veriyi yetkili makamlara aktarmak ve müdahalenin yapılmasına yardımcı olmakmr.

•  Bu iki görev birbiri ile çamşmktadır –  Bu görevleri yapan ekipler arasında “görevler ayrılığı” prensibinin uygulanması gerekir.

•  Bu ilkenin tam anlamıyla uygulanabilmesi amacıyla bilgi işlem biriminin sistem işle=mi fonksiyonları ile Kurumsal SOME fonksiyonlarının farklı personel tarazndan yapılması önemlidir.


SOME’ler için Görev Paylaşımı •  Bir Kurumsal SOME siber olay öncesi, esnası ve sonrasında, siber güvenliği yönetmek amacıyla USOM, Sektörel SOME, hukuk müşavirliği, basın ve halkla ilişkiler müşavirliği ve bilgi işlem birimi ile birlikte çalışır

•  Kurumsal SOME, kayıt yöneam sisteminin sahibidir. •  Saldırı tespit sistemi, Güvenlik duvarı ve kurulu ise balküpü sisteminin uygulama seviyesi işle=mi ile ilgili olarak ise poli=kaların belirlenmesini sağlar.

•  Kurumsal SOME, siber olay öncesinde sızma tes= yapmrır, siber olay sırasında olay müdahaleyi yöne=r ve bilgi işlem birimindeki ilgili personeli koordine eder.

•  Kurum bünyesindeki hukuk müşavirliği ile basın ve halkla ilişkiler müşavirliğine yaşanan siber olay ile ilgili bilgi notu hazırlar.


SOME Görev ve Paydaşları


SOME Ekipleri •  Kurulacak olan Kurumsal SOME için hâlihazırda bilgi işlem bünyesinde görev yapan personelin SOME kurulumunun ilk aşamasında ikiz görevli olarak kullanılabilir

•  Nihai hedef olarak ayrı bir uzmanlık gerek=ren bu konuda sözleşmeli/kadrolu personel is=hdamı yapılmasıdır.


SOME Ekipleri için Önerilen Eği=mler


Teknik SOME Altyapısı için Yazılımlar •  Siber Olaylara Müdahele Ekibi kurulabilmesi için bu ekibi besleyecek çeşitli güvenlik sistemlerine ih=yaç duyulmaktadır.

•  Güvenlik sistemlerinin başında merkezi kayıt (log) sistemi /SIM /SIEM gelmektedir.

•  Ekip içinde düzenli güvenlik taramaları için Güvenlik Tarama Yazılımlarına ih=yaç duyulmaktadır.

•  Geri kalan güvenlik sistemleri orta ve büyük ölçekli her kurumda hali hazırda bulunan ve savunma amaçlı kullanılan yazılımlardır.


Niyet E}k Kurumsal SOME Kurulumuna…


Kaynakca

SOME ile ilgili bazı tanımlarda UHDB tara7ndan hazırlanan “Kurumsal SOME Kurulum ve Yöne@m

Rehberi” dökümanından faydalanılmışHr.


İle=şim Bilgileri

• www.lifeoverip.net • Blog.bga.com.tr Blog

• @bgasecurity • @huzeyfeonal • @linuxakademi

Twiser

• [email protected] İle=şim

Technology

IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumcal SOME Kurulumu ve Yönetimi