Binalyze DRONE ile Kuş Bakışı Olay Müdahale

Binalyze AIR güncellenen 1.7.35 sürümü ile global rekabette bir adım daha öne çıkıyor. Aynı zamanda KVKK ve ISO 27001’e ek olarak ISO 27035, ISO 27701 ve Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi uyumluluğu açısından önemli kolaylıklar sunuyor.

Bu sürümle gelen yenilikler:

  • Binalyze AIR, Linux desteği ile artık tüm yaygın Linux sistemlerinde çalışmaktadır.
  • Binalyze Drone ile olay müdahaleye hızlı ve proaktif bir bakış gerçekleştirmek mümkün. Default uçuş modunda Binalyze Drone sorunlu noktaları yakalamanızı ve compromise assessment yapmanızı kolaylaştıracaktır.
  • En son Sunburst vakasında da gördüğümüz gibi YARA ile hunting yapılması durumunda bir sonraki aşama olan endpoint isolation aşamasını da otomatize etmek gerekiyor. AIR End Point Isolation ile; herhangi bir YARA kuralına lockdown tagı ekleyerek anında aksiyon alınması ve %100 emin olduğumuz alarmlarda önce acquire, sonra lock down yaparak yöneticiye email bildirimi artık mümkün.
  • Büyük sistemlerde ihtiyaç duyulan kurulum politikaları desteği devreye alındı.
  • Delil sıkıştırma özelliğiyle depolama alanından önemli tasarruf edilmeye başlandı.
  • Delilleri şifrelerken toplanan kanıtların AES-256 ile şifreli şekilde muhafaza edilmesi mümkün hale geldi.
  • Lokal ve evidence repository dışında toplanan delilleri SFTP sunucuya yükleme opsiyonu eklendi.

Uyumluluk açısından Binalyze AIR:

  • Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi: Genelge, tüm kamu kurum ve kuruluşları ile kritik altyapı sektörlerinden “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Ulaştırma”, “Bankacılık ve Finans”, “Sağlık”, alanlarında kamu hizmeti veren işletmeleri kapsamaktadır Binalyze AIR, uç noktalardaki bütün olaylara ait kanıtların toplanması, izlenmesi, analiz ve raporlandırılması işlemlerini başarılı bir şekilde yürüten yerli bir teknolojidir. Bu açılardan Rehberin gereklerine uygun bir çözümdür.
  • ISO 27701 Kişisel Veri Yönetim Sistemi: Bireylerin gizlilik haklarına yönelik riskin azaltılabilmesi için gizlilik kontrollerini yönetmek amacıyla ISO tarafından oluşturulmuş bir standarttır.  Binalyze AIR, kişisel verilerin yönetilmesi ve gizliliğin sağlanması açısından ISO 27701 KVYS standardına uygun bir çözümdür.
  • ISO 27035: ISO/IEC 27035 ile olayların etkili bir şekilde yönetilmesi, olayları tanımak ve bunlara müdahale etmek, olumsuz etkileri en aza indirmek, adli kanıtları toplamak, düzenleyici ve önleyici kontrolleri oluşturmak, analistler tarafından uzun zaman ve maliyetli olan bu süreci Binalyze AIR aracı sayesinde hız ve maliyetten kazanç sağlayabilmek mümkündür.  Uzaktan delil toplayabilme özelliği sayesinde analistlere büyük kolaylıklar sağlamakta ve yeri geldiğinde gerçekleşen siber olay sonrasında, iyileştirmeleri teşvik etmek ve dersler çıkarılması için rapor sunabilmektedir.

SORU-CEVAP

Deliller skorlanırken hangi standart veya regülasyon baz alınıyor?

Belirli bir standart ve regülasyon bulunmamaktadır. Binalyze AIR, ağ ve sistemlerde bulunan SIEM, SOAR ve EDR gibi diğer güvenlik cihazları ile entegrasyon yapmak mümkündür. Mitre Att&ck Framework ile olay müdahale esnasında odaklanılması gereken noktaları belirten Mitre Att&ck Framework kullanılmaktadır.


Ransomware bulaşmış bir bilgisayardan da kanıt toplayabiliyor muyuz?

Evet. Ransomware siber dünyadaki tehditlerden yalnızca biridir. Sistemin herhangi bir açığından içeriye sızmış ve hedefi doğrultusunda ilerleyen bir Ransomware vakasında olayın kök nedeninin bulunması önemlidir. Binalyze AIR, Ransomware vakalarının aydınlatılmasında kullanılan ve aynı zamanda globaldeki tek üründür. Shield özelliği ile Ransomware bulaşmış bir bilgisayardan dakikalar içerisinde delil toplamak mümkündür.

Bazı çözümlerde 'Phishing Simulation' gibi mevcut özelliklerinin yanında bir de Olay Müdahale yaptıkları belirtiliyor. Binalyze'ın yaptığı olay müdahale ile hangi noktalarda ayrışıyor bu bahsedilen özellikler?

Olay müdahale, siber olay olduktan sonra araştırılması gereken kaynaklardan delil toplanması ile başlayan bir süreçtir. Phishing simulation ürünlerinde olay müdahale esnasında; mailin hangi kullanıcılar tarafından açıldığı, çalıştırılabilir dosyaların kimler tarafından indirildiği gibi bazı özellikler bulunmaktadır. Binalyze AIR’in olay müdahaleye bakış açısında sadece phising simulation çözümlerinin özellikleri dışında tüm kanıt bulgularını elde etmesi ürünün güçlü yanlarından biridir.

Cryptolocker’a maruz kalmadan önce Binalyze AIR' in kurulu olmasıyla yedikten sonra müdahalenin yapılması nasıl farklar içeriyor?

Cryptolocker cihazlara farklı bir boyutta zarar veriyor gibi görünse de esasında bir siber saldırı çeşididir. Sistemlerin cyptolocker’a maruz kalmadan önce saldırganların sistemde belirli bir süre kalmış olabileceği unutulmamalıdır. Saldırganın sistemdeki ilerleyişi esnasında Binalyze AIR ile tüm bulguların toplanması, olası risklerin önüne geçilmesinde büyük önem arz etmektedir.

SIEM'le entegrasyon yapılabiliyor mu?

Evet. Siber olaylara hızlı ve proaktif bir çözüm sunan Binalyze AIR sistemlerinizde çalışan SIEM, SOAR, EDR gibi ürünlere çok kısa sürede entegre olmaktadır. İlk çıkış amacı SIEM’e entegrasyon olan Binalyze AIR, SIEM sistemlerine “Trigger” özelliği ile kolay ve hızlı bir şekilde entegre olmaktadır. Bu işlem tamamlandıktan sonra sistemlerden gelebilecek uyarılara anlık olarak cevap vermek mümkündür.

Drone’nun toplamış olduğu delilleri hukuki boyutunu nasıl kanıtlarız?

Binalyze Drone ile olay müdahale sonucunda elde edilen tüm delilleri ayrıntılı bir şekilde incelemektedir. Bu sayede analistlere, delillerin bulunduğu alanlardan ne şekilde deliller elde edildiğine ait detaylı analiz ve raporlama imkanı sunmaktadır. Elde edilen kanıtlar, zaman damgalı olarak saklandığı için hukuki dayanağı sağlanmış olur.

SYSTEM, SOFTWARE, SAM, SECURITY” gibi registy dosyalarından da detaylı bilgi çıkartabiliyor mu?

Evet. Binalyze Drone endpointlerde Memory(RAM+Pagefile), event logs, browsing history gibi alanlardan delil toplamakta ve topladığı delilleri parse etme ihtiyacı olmadan analiste sunmaktadır. Registry dosyalarından toplanan tüm delillere elde edilen Binalyze raporu ile ulaşmak mümkündür.

Siber olay müdahalesinde tecrübe çok önemli olduğunu söylediniz gerçekleşen olay müdahalelerinden nasıl ders alınır ve sizin sürekli olarak takip etmiş olduğunuz gerçekleşen siber olay müdahale örnekleri var mı varsa nerelerden takip ediyorsunuz?

Binalyze AIR ile olay müdahale sonucunda detaylı ve hızlı elde edilen kanıtlar sayesinde olayın kök nedeni bulunabilir. Bu sayede doğru aksiyonlarla benzer olayların gerçekleşmesi önlenebilir.

Bu kadar hızlı delil toplarken kaçırmış olduğu deliller olmadığından nasıl emin olabiliriz?

Binalyze Drone, cihazlardan delil toplarken her bir işlemi bulgu olarak değerlendirir. Bu nedenle çalışma mekanizması gereğince olayın kritiklik seviyesini kolayca belirleyip hızlı bir şekilde analiste sunmaktadır. Önceden tanımlanmış otomatik kanıt toplama sayesinde delillerin toplanması konusunda gözden kaçırma söz konusu değildir.

KONUŞMACILAR

Erdem Eriş
CyberArts
Kurucu & Genel Müdür

Emre Tınaztepe
Binalyze
Managing Director

KVKK, ISO 270001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

< Önceki Sonraki >