28 May, 2020

Binalyze: KVKK ve ISO27001/BGYS Gözüyle Olay Müdahale

KVKK ve BGYS/ISO27001 projelerindeki tecrübelerimiz ile dünyada PwC, Deloitte gibi referansları olan Binalyze AIR’in sahip olduğu yetenekleri birleştirerek gerçekleştirdiğimiz ve aşağıdaki soruların cevaplarını verdiğimiz webinarımızı izleyebilirsiniz.

  • Siber olay yaşandığında kanıt toplama telaşına düşmeden kanıtların sürekli elimizde olmasını sağlamak mümkün mü?
  • KVKK ve ISO27001 açısından olay müdahalenin önemi nedir?
  • Evden çalışma kurgusunda olay müdahalenin önemi nedir?
  • Olay öncesinde olay müdahale çözümünün proaktif katkısı nedir?
  • Olay müdahale çözümü dediğimizde ne anlamalıyız? Yeni bir EDR, SIEM ya da SOAR çözümünden mi bahsediyoruz?
  • SIEM sadece bizi tetikleyen bir rol mü oynuyor, yoksa SIEM alarmlarının zenginleştirilmesine katkı sağlıyor muyuz?
  • Topladığımız delilleri nereye kaydediyoruz? Bu delillerin silinmesini ve değiştirilmesini nasıl engelliyoruz?

 

[mnky_heading title=”Soru-Cevap” line_color=”#dd1818″]

Veri ihlali yaşandığında, 72 saatte kurula bilgilendirme yapılmadığında her hangi bir ceza var mıdır?

Kişisel Verileri Koruma Kurulu’nun 24.01.2019 tarih ve 2019/10 sayılı kararı gereğince kurumların veri ihlalini öğrendikten sonra 72 saat içerisinde kurula bildirim yapılmasını eğer haklı bir gerekçe (Haklı gerekenin sınırları belirtilmemiş.) ile bildirim yapılamadıysa da bu gerekçeyle birlikte kurula yine bildirim yapılması gerektiği belirtiliyor. Bildirim yapılmaması halinde tüzel kişilikle idari para veya uyarı cezalarıyla karşılaşabilmekteler.

72 saatte kurula herhangi bir bildirim yapılmazsa, kurul, kurumlara herhangi bir insiyatif gösterir mi?

Bir önceki soruda da belirttiğim gibi kurulun bu karardaki tavrı net, veri ihlali öğrenildikten sonra 72 saat içerisinde bildirim yapılması gerekiyor. Bunu şu örnek (https://www.kvkk.gov.tr/Icerik/6656/2019-352) üzerinden incelediğimizde daha net anlayabiliriz. Linkten de ulaşabileceğiniz kurulun sitesinden yapmış olduğu duyuruda;

Bir banka çalışanının 3 müşterinin kritik verilerini kendi e-postasına iletmek suretiyle sahte belgelerle bu müşterilerden birinin hesabndan para çekildiği tespit edilmiş. Daha sonrasında buradan elde edilen verilerle de daha kapsamlı dolandırıcılık faaliyetleri gerçekleştirilmiş.

Buradan bakıldığında aslında bir çalışanın yaptığı hata tüm bankaya mal olmuş gibi görünüyor fakat öyle değil. Gerekli incelemeler yapıldığında bankada hali hazırda veri sızıntısı tespit /önleme sistemlerinin olmasına karşın bu uygun olmayan e-posta gönderiminin sistem tarafından farkedilmediği tespit edilmiş. Hep belirttiğimiz gibi her ne kadar siber güvenlik yatırımı yapılmış olursa olsun bu sistemlerin güncellenmesi ve konfigurasyonlarının sürekli takip edilmesi gerekmektedir. Aksi takdirde kurul, tüm teknik tedbirleri almış olursanız olun güncel değilse ve işe yaramıyorsa burada idari ve teknik tedbirlerin alınmadığı gerekçesiyle para cezası uyguluyor yukarıdaki örnekte de görüldüğü üzere.

Aynı örnekten de görebileceğimiz gibi banka 72 saat içerisinde kurula bildirim yapmadığı için tamamen ayrı bir kalem olarak sadece 6 kişinin verisi sızdırılmış olmasına rağmen bankaya 30.000 TL para cezası vermiş.

Buradan aslında kurulun bu konuda taviz vermediğini 72 saat içerinde bildirimi yapılmayan veri ihlallerin para cezasıyla sonuçlandırdığını net bir şekilde görebiliyoruz.

Binalyze ile üzerinden uzun zaman geçmiş olan vakalarda da delil toplamak ve analizini yapmak mümkün mü? Gördüğümüz bazı örneklerde saldırganların çok uzun zamandır sistemlerde olduğunu görüyoruz.

Burada, Siber Saldırılarda delil toplama ve analizin olay anına olan uzaklığı esas faktör. Saldırganlar, sistemlerdeki izlerini silme konusunda Antivirüs gibi ürünleri tetiklememek için çok dikkatli davrandıkları için yüksek oranda izlerin tespit edilmesi mümkün fakat wipe edilmiş verilerde klasik adli bilişim yöntemleri de dahil tam sonuç almak mümkğn olmamaktadır. Yinede, AIR’ın geniş bir yelpazede delil toplayarak sunduğu raporda, iz silme işlemi yapılmış dahi olsa kalıntılara rastlanması ihtimali yüksektir.

Üründe var olan tüm artifactlerin bir listesi mevcut mudur?

https://binalyze.com/faq adresinden detaylı bilgi edinebilirsiniz.

Ekstra olarak ürünü kullandım. Network tabanlı olarak artifactleri hızlı bir şekilde topluyor. Fakat opensource ürünler de toplama işlemi yapabiliyor. Asla ürünü kötülemek amaçlı söylemiyorum yanlış anlaşılmak istemem. Kurumumuzda Air neden ihtiyacımız olur sorusuna detaylı cevap verebilir misiniz?

Açık kaynak ürünlerin kullanımı da bir alternatif olmasına rağmen, AIR’ın ana maksadı hızlı ve kapsamlı delil toplama ve triage yapmaktır. Bu sayede kullanıcı hatası, yanlış işlem ya da farkında olmadan delil bütünlüğünü bozma gibi işlemlerle karşılaşmazsınız. Bunu, anahtar yerine çeşitli araçlarla kapı açmaya çalışmaya benzetebilirsiniz. AIR, açık kaynak ürünlerde olmayan entegrasyon imkanları ile bu işin tasarlanmış bir anahtardır.

Binalyze hangi çözümlerle entegre oluyor?

Splunk, QRadar, Cryptech gibi ülkemizde yaygın kullanılan ürünlerin yanında RESTful post action gönderebilen tüm SIEM ve SOAR çözümleri ile entegre çalışabilmektedir.

SIEM ürünlerinin alarmlarının zenginleştirmesinde nasıl katkı sağlıyorsunuz ?

AIR, SIEM ürünleri tarafından tetiklenerek olay anında, alarm yaratan makinenin kapsamlı bir görüntüsünü alır. Bu görüntü SIEM alarmalarının zenginleştirilmesi ve false positive elemesi konusunda L1 ve L2 analistlere ciddi kolaylık sağlamaktadır.

Kaydedilen verilerin silinmesi veya yok edilmesini nasıl önlüyorsunuz?

AIR, olay müdahalesi esnasında kaydedilen verileri kullanıcı adı ve şifre ile korunan bir dosya paylaşımına ya da lokal sisteme kaydeder. SHIELD özellliği ile de kaydedilen delilleri işletim sistemi çekirdeği seviyesinde korur.

Kurulum ve entegrasyon için isterler nelerdir? Bunlar için sistemlerde kesinti yapmamız gerekir mi?

Kurulum süreci Active Directory entegrasyonu da dahil olmak üzere 10 dakikadır. Donanım gereksinimleri olarak 4GB+ RAM ve modern bir işlemciye sahip Windows 7 ve sonrası bir işletim sistemi yeterlidir. Sistem kesintisi gerek server, gerekse agent kurulumlarında söz konusu değildir. SCCM ya da manuel kurulum yöntemlerinden birisi tercih edilerek kurulum gerçekleştirilebilir.

Bir vaka yaşandığında ve durum tespit edildiğinde Ürün agent base çalıştığından etkinin büyüklüğü nasıl tespit ediliyor? Hacker hala içeridemi sorusuna nasıl yanıt üretilebiliyor?

Bu gibi soruların cevaplanmasındaki aydınlatıcı etken AIR tarafından oluşturulan rapordur. Bu rapor sayesinde söz konusu makinede gerçekleşen vakanın hızlı analizi mümkün kılınarak, söz konusu makinenin iletişimde olduğu diğer makinelerin de incelenmesi yoluna gidilmektedir.

Delil toplamak için ürünü manuel olarak çalıştırmanın ve SIEM/SOAR entegrasyonunun dışında başka bir yöntem var mı? Ürünü bizim belirlediğimiz kurallar ya da periyotlarda otomatik trigger edebilir miyiz?

Özellikle kritik varlıklarda, zamanlanmış görev olarak delil toplama işlemi yapılması tavsiye edilmektedir. Kritik varlıktan kasıt; Domain Controller, Email Server gibi varlıklardır. Bu varlıkların, günlük, haftalık ya da aylık şekilde düzenli loglarının alınması, olası bir olayda karşılaştırma yapabilmeyi mümkün kılarak hız kazandırmaktadır.

Olayın olduğu an itibari ile process tree çıkarsa ve yer alan tüm process ile ilgili detayları görüntüleyebiliyor olsak güzel olabilir.

Toplanan deliller arasında process tree mevcuttur.

Olay anında evidence toplayabilmek için post request'i yapacak event'in (SIEM mesela) mutlaka yakalanabilmiş olmasımı gerekiyor?

SIEM’de girilen kural sonucu tetikleme işlemi gerçekleştirildiği için, SIEM tarafından alert yaratılmış olması gerekmektedir.

Process benzerlikleri ile ilgili bir anomali çıkartabiliyor mu?

Process Anomali ve benzerlikleri, Cortex.AI da sağlanan özellikler arasındadır.

Malware analizi için bir database'e sahip mi? malware bulamış bir sistemde .dll veya sistem dosyaları adı ile kaydedilmişse bunları nasıl tespit edebiliriz? teşekkürler

Cortex.AI tarafından bu gibi durumlarda, malware dosyasının dijital imzası kontrol edilmekte ve uyarı üretilmektedir.

Processlerin tree yapısı kullanması analizcinin işini kolaylaştırmaz mı

Evet kolaylaştırır. Bu nedenle AIR’da çok detaylı bir process tree sunulmaktadır.

Cortex üzerinde manuel kural yazabiliyor muyuz?

İlerleyen versiyonlarda Sigma ile kural yazılması mümkün olacaktır.

MITRE uyumluluğu da olsa çok harika olur. Bir analistin APT saldırısı hakkında hangi grup ile ilgili uğraştığı hakkında fikir de vermiş olacaktır

Tespit edilen yöntemlerin MITRE yöntemleri ile ilişkilendirilmesi planlanmaktadır.

100 veya 200 lisans almış olduğumuzu varsayalım sadece. Fakat kurumumuzda 1000+ client mevcut. Dediğiniz gibi bir visibility mevcut. Sadece olay olduğunda 100 lisans ile olayın olduğu makinelerde triage alabiliyor mu? Öyle bir lisans modeliniz mevcut mu?

Lisanslama konusunda kapsamlı ve amaca yönelik lisanslama modellerimiz mevcuttur. Bu konuda CyberArts ile daha detaylı görüşerek bilgi alabilirsiniz.

AIR sadece windowsta mı kullanılmaktadır?

Linux desteği yakın zamanda yayınladığımız, piyasadaki en kapsamlı Linux delil toplama yazılımı olan IREC for Linux ile mümkün olacaktır. 2020 Q3 ortasında Linux delil toplama ve triage özelliklerinin aktif edilmesi planlanmaktadır.

[mnky_heading title=”KONUŞMACILAR” line_color=”#dd3333″]

Moderatör
Erdem Eriş
CyberArts
Genel Müdürü

Emre Tınaztepe
Binalyze
Managing Director

Neslihan Kocacık
CyberArts
Tecnical Account Manager

İlker Akyol
CyberArts
Senior Consultant

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram