28 May, 2020

Binalyze: Incident Response from the Perspective of KVKK and ISO27001/ISMS

You can watch our webinar, which we organized by combining our experience in KVKK and BGYS/ISO27001 projects with the capabilities of Binalyze AIR, which has references such as PwC and Deloitte in the world, and we provide answers to the following questions.

  • Is it possible to ensure that the evidence is always in our hands without having to rush to collect evidence when a cyber incident occurs?
  • What is the importance of incident response in terms of KVKK and ISO27001?
  • What is the importance of incident response in the setting of working from home?
  • What is the proactive contribution of pre-incident incident response resolution?
  • What do we mean when we say incident response resolution? Are we talking about a new EDR, SIEM or SOAR solution?
  • Does SIEM only play a triggering role, or do we contribute to the enrichment of SIEM alarms?
  • Where do we record the evidence we collect? How do we prevent the deletion and modification of this evidence?

 

[vc_row][vc_column][vc_video link=”https://youtu.be/kIUzGrIJUlE” el_width=”100″][vc_empty_space][mnky_heading title=”Soru-Cevap” line_color=”#dd1818″][vc_empty_space][vc_toggle title=”Veri ihlali yaşandığında, 72 saatte kurula bilgilendirme yapılmadığında her hangi bir ceza var mıdır?”]Kişisel Verileri Koruma Kurulu’nun 24.01.2019 tarih ve 2019/10 sayılı kararı gereğince kurumların veri ihlalini öğrendikten sonra 72 saat içerisinde kurula bildirim yapılmasını eğer haklı bir gerekçe (Haklı gerekenin sınırları belirtilmemiş.) ile bildirim yapılamadıysa da bu gerekçeyle birlikte kurula yine bildirim yapılması gerektiği belirtiliyor. Bildirim yapılmaması halinde tüzel kişilikle idari para veya uyarı cezalarıyla karşılaşabilmekteler.[/vc_toggle][vc_toggle title=”72 saatte kurula herhangi bir bildirim yapılmazsa, kurul, kurumlara herhangi bir insiyatif gösterir mi?”]Bir önceki soruda da belirttiğim gibi kurulun bu karardaki tavrı net, veri ihlali öğrenildikten sonra 72 saat içerisinde bildirim yapılması gerekiyor. Bunu şu örnek (https://www.kvkk.gov.tr/Icerik/6656/2019-352) üzerinden incelediğimizde daha net anlayabiliriz. Linkten de ulaşabileceğiniz kurulun sitesinden yapmış olduğu duyuruda;

It was determined that a bank employee sent the critical data of 3 customers to his own e-mail, and money was withdrawn from the account of one of these customers with fake documents. Later, more extensive fraud activities were carried out with the data obtained from here.

From this point of view, the mistake made by an employee seems to have cost the entire bank, but it is not. When the necessary investigations were made, it was determined that although the bank already has data leak detection / prevention systems, this inappropriate e-mail sending was not noticed by the system. As we have always stated, no matter how much cyber security investment has been made, these systems must be updated and their configurations must be constantly monitored. Otherwise, even if you have taken all the technical measures, if it is not up-to-date and does not work, the board imposes a fine on the grounds that administrative and technical measures are not taken, as seen in the example above.

As we can see from the same example, since the bank did not notify the board within 72 hours, the bank fined the bank 30,000 TL, although the data of only 6 people were leaked as a completely separate item.

Buradan aslında kurulun bu konuda taviz vermediğini 72 saat içerinde bildirimi yapılmayan veri ihlallerin para cezasıyla sonuçlandırdığını net bir şekilde görebiliyoruz.[/vc_toggle][vc_toggle title=”Binalyze ile üzerinden uzun zaman geçmiş olan vakalarda da delil toplamak ve analizini yapmak mümkün mü? Gördüğümüz bazı örneklerde saldırganların çok uzun zamandır sistemlerde olduğunu görüyoruz.”]Burada, Siber Saldırılarda delil toplama ve analizin olay anına olan uzaklığı esas faktör. Saldırganlar, sistemlerdeki izlerini silme konusunda Antivirüs gibi ürünleri tetiklememek için çok dikkatli davrandıkları için yüksek oranda izlerin tespit edilmesi mümkün fakat wipe edilmiş verilerde klasik adli bilişim yöntemleri de dahil tam sonuç almak mümkğn olmamaktadır. Yinede, AIR’ın geniş bir yelpazede delil toplayarak sunduğu raporda, iz silme işlemi yapılmış dahi olsa kalıntılara rastlanması ihtimali yüksektir.[/vc_toggle][vc_toggle title=”Üründe var olan tüm artifactlerin bir listesi mevcut mudur? “]https://binalyze.com/faq adresinden detaylı bilgi edinebilirsiniz.[/vc_toggle][vc_toggle title=”Ekstra olarak ürünü kullandım. Network tabanlı olarak artifactleri hızlı bir şekilde topluyor. Fakat opensource ürünler de toplama işlemi yapabiliyor. Asla ürünü kötülemek amaçlı söylemiyorum yanlış anlaşılmak istemem. Kurumumuzda Air neden ihtiyacımız olur sorusuna detaylı cevap verebilir misiniz?”]Açık kaynak ürünlerin kullanımı da bir alternatif olmasına rağmen, AIR’ın ana maksadı hızlı ve kapsamlı delil toplama ve triage yapmaktır. Bu sayede kullanıcı hatası, yanlış işlem ya da farkında olmadan delil bütünlüğünü bozma gibi işlemlerle karşılaşmazsınız. Bunu, anahtar yerine çeşitli araçlarla kapı açmaya çalışmaya benzetebilirsiniz. AIR, açık kaynak ürünlerde olmayan entegrasyon imkanları ile bu işin tasarlanmış bir anahtardır.[/vc_toggle][vc_toggle title=”Binalyze hangi çözümlerle entegre oluyor?”]Splunk, QRadar, Cryptech gibi ülkemizde yaygın kullanılan ürünlerin yanında RESTful post action gönderebilen tüm SIEM ve SOAR çözümleri ile entegre çalışabilmektedir.[/vc_toggle][vc_toggle title=”SIEM ürünlerinin alarmlarının zenginleştirmesinde nasıl katkı sağlıyorsunuz ?”]AIR, SIEM ürünleri tarafından tetiklenerek olay anında, alarm yaratan makinenin kapsamlı bir görüntüsünü alır. Bu görüntü SIEM alarmalarının zenginleştirilmesi ve false positive elemesi konusunda L1 ve L2 analistlere ciddi kolaylık sağlamaktadır.[/vc_toggle][vc_toggle title=”Kaydedilen verilerin silinmesi veya yok edilmesini nasıl önlüyorsunuz?”]AIR, olay müdahalesi esnasında kaydedilen verileri kullanıcı adı ve şifre ile korunan bir dosya paylaşımına ya da lokal sisteme kaydeder. SHIELD özellliği ile de kaydedilen delilleri işletim sistemi çekirdeği seviyesinde korur.[/vc_toggle][vc_toggle title=”Kurulum ve entegrasyon için isterler nelerdir? Bunlar için sistemlerde kesinti yapmamız gerekir mi?”]Kurulum süreci Active Directory entegrasyonu da dahil olmak üzere 10 dakikadır. Donanım gereksinimleri olarak 4GB+ RAM ve modern bir işlemciye sahip Windows 7 ve sonrası bir işletim sistemi yeterlidir. Sistem kesintisi gerek server, gerekse agent kurulumlarında söz konusu değildir. SCCM ya da manuel kurulum yöntemlerinden birisi tercih edilerek kurulum gerçekleştirilebilir.[/vc_toggle][vc_toggle title=”Bir vaka yaşandığında ve durum tespit edildiğinde Ürün agent base çalıştığından etkinin büyüklüğü nasıl tespit ediliyor? Hacker hala içeridemi sorusuna nasıl yanıt üretilebiliyor?”]Bu gibi soruların cevaplanmasındaki aydınlatıcı etken AIR tarafından oluşturulan rapordur. Bu rapor sayesinde söz konusu makinede gerçekleşen vakanın hızlı analizi mümkün kılınarak, söz konusu makinenin iletişimde olduğu diğer makinelerin de incelenmesi yoluna gidilmektedir.[/vc_toggle][vc_toggle title=”Delil toplamak için ürünü manuel olarak çalıştırmanın ve SIEM/SOAR entegrasyonunun dışında başka bir yöntem var mı? Ürünü bizim belirlediğimiz kurallar ya da periyotlarda otomatik trigger edebilir miyiz?”]Özellikle kritik varlıklarda, zamanlanmış görev olarak delil toplama işlemi yapılması tavsiye edilmektedir. Kritik varlıktan kasıt; Domain Controller, Email Server gibi varlıklardır. Bu varlıkların, günlük, haftalık ya da aylık şekilde düzenli loglarının alınması, olası bir olayda karşılaştırma yapabilmeyi mümkün kılarak hız kazandırmaktadır.[/vc_toggle][vc_toggle title=”Olayın olduğu an itibari ile process tree çıkarsa ve yer alan tüm process ile ilgili detayları görüntüleyebiliyor olsak güzel olabilir.”]Toplanan deliller arasında process tree mevcuttur.[/vc_toggle][vc_toggle title=”Olay anında evidence toplayabilmek için post request’i yapacak event’in (SIEM mesela) mutlaka yakalanabilmiş olmasımı gerekiyor?”]SIEM’de girilen kural sonucu tetikleme işlemi gerçekleştirildiği için, SIEM tarafından alert yaratılmış olması gerekmektedir.[/vc_toggle][vc_toggle title=”Process benzerlikleri ile ilgili bir anomali çıkartabiliyor mu?”]Process Anomali ve benzerlikleri, Cortex.AI da sağlanan özellikler arasındadır.[/vc_toggle][vc_toggle title=”Malware analizi için bir database’e sahip mi? malware bulamış bir sistemde .dll veya sistem dosyaları adı ile kaydedilmişse bunları nasıl tespit edebiliriz? teşekkürler”]Cortex.AI tarafından bu gibi durumlarda, malware dosyasının dijital imzası kontrol edilmekte ve uyarı üretilmektedir.[/vc_toggle][vc_toggle title=”Processlerin tree yapısı kullanması analizcinin işini kolaylaştırmaz mı “]Evet kolaylaştırır. Bu nedenle AIR’da çok detaylı bir process tree sunulmaktadır.[/vc_toggle][vc_toggle title=”Cortex üzerinde manuel kural yazabiliyor muyuz?”]İlerleyen versiyonlarda Sigma ile kural yazılması mümkün olacaktır.[/vc_toggle][vc_toggle title=”MITRE uyumluluğu da olsa çok harika olur. Bir analistin APT saldırısı hakkında hangi grup ile ilgili uğraştığı hakkında fikir de vermiş olacaktır “]Tespit edilen yöntemlerin MITRE yöntemleri ile ilişkilendirilmesi planlanmaktadır.[/vc_toggle][vc_toggle title=”100 veya 200 lisans almış olduğumuzu varsayalım sadece. Fakat kurumumuzda 1000+ client mevcut. Dediğiniz gibi bir visibility mevcut. Sadece olay olduğunda 100 lisans ile olayın olduğu makinelerde triage alabiliyor mu? Öyle bir lisans modeliniz mevcut mu?”]Lisanslama konusunda kapsamlı ve amaca yönelik lisanslama modellerimiz mevcuttur. Bu konuda CyberArts ile daha detaylı görüşerek bilgi alabilirsiniz.[/vc_toggle][vc_toggle title=”AIR sadece windowsta mı kullanılmaktadır? “]Linux desteği yakın zamanda yayınladığımız, piyasadaki en kapsamlı Linux delil toplama yazılımı olan IREC for Linux ile mümkün olacaktır. 2020 Q3 ortasında Linux delil toplama ve triage özelliklerinin aktif edilmesi planlanmaktadır.[/vc_toggle][/vc_column][/vc_row]

[vc_column][vc_empty_space][mnky_heading title=”KONUŞMACILAR” line_color=”#dd3333″][vc_empty_space][vc_row_inner][vc_column_inner width=”1/2″][vc_column_text]Moderatör
Erdem Eriş
CyberArts
Genel Müdürü[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/2″][vc_single_image image=”2721″][/vc_column_inner][/vc_row_inner][vc_separator][vc_row_inner][vc_column_inner width=”1/2″][vc_column_text]Emre Tınaztepe
Binalyze
Managing Director[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/2″][vc_single_image image=”2720″][/vc_column_inner][/vc_row_inner][vc_separator][vc_row_inner][vc_column_inner width=”1/2″][vc_column_text]Neslihan Kocacık
CyberArts
Tecnical Account Manager[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/2″][vc_single_image image=”2724″][/vc_column_inner][/vc_row_inner][vc_separator][vc_row_inner][vc_column_inner width=”1/2″][vc_column_text]İlker Akyol
CyberArts
Senior Consultant[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/2″][vc_single_image image=”2723″][/vc_column_inner][/vc_row_inner]

About Content:
Share on Social Media:
Facebook
Twitter
LinkedIn
Telegram