16 Mar, 2021

[:tr]Binalyze DRONE ile Kuş Bakışı Olay Müdahale[:en]Bird’s Eye View Incident Response with Binalyze DRONE[:]

[:tr]

Binalyze DRONE ile Kuş Bakışı Olay Müdahale

Binalyze AIR güncellenen 1.7.35 sürümü ile global rekabette bir adım daha öne çıkıyor. Aynı zamanda KVKK ve ISO 27001’e ek olarak ISO 27035, ISO 27701 ve Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi uyumluluğu açısından önemli kolaylıklar sunuyor.

Bu sürümle gelen yenilikler:

  • Binalyze AIR, Linux desteği ile artık tüm yaygın Linux sistemlerinde çalışmaktadır.
  • Binalyze Drone ile olay müdahaleye hızlı ve proaktif bir bakış gerçekleştirmek mümkün. Default uçuş modunda Binalyze Drone sorunlu noktaları yakalamanızı ve compromise assessment yapmanızı kolaylaştıracaktır.
  • En son Sunburst vakasında da gördüğümüz gibi YARA ile hunting yapılması durumunda bir sonraki aşama olan endpoint isolation aşamasını da otomatize etmek gerekiyor. AIR End Point Isolation ile; herhangi bir YARA kuralına lockdown tagı ekleyerek anında aksiyon alınması ve %100 emin olduğumuz alarmlarda önce acquire, sonra lock down yaparak yöneticiye email bildirimi artık mümkün.
  • Büyük sistemlerde ihtiyaç duyulan kurulum politikaları desteği devreye alındı.
  • Delil sıkıştırma özelliğiyle depolama alanından önemli tasarruf edilmeye başlandı.
  • Delilleri şifrelerken toplanan kanıtların AES-256 ile şifreli şekilde muhafaza edilmesi mümkün hale geldi.
  • Lokal ve evidence repository dışında toplanan delilleri SFTP sunucuya yükleme opsiyonu eklendi.

Uyumluluk açısından Binalyze AIR:

  • Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi: Genelge, tüm kamu kurum ve kuruluşları ile kritik altyapı sektörlerinden “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Ulaştırma”, “Bankacılık ve Finans”, “Sağlık”, alanlarında kamu hizmeti veren işletmeleri kapsamaktadır Binalyze AIR, uç noktalardaki bütün olaylara ait kanıtların toplanması, izlenmesi, analiz ve raporlandırılması işlemlerini başarılı bir şekilde yürüten yerli bir teknolojidir. Bu açılardan Rehberin gereklerine uygun bir çözümdür.
  • ISO 27701 Kişisel Veri Yönetim Sistemi: Bireylerin gizlilik haklarına yönelik riskin azaltılabilmesi için gizlilik kontrollerini yönetmek amacıyla ISO tarafından oluşturulmuş bir standarttır.  Binalyze AIR, kişisel verilerin yönetilmesi ve gizliliğin sağlanması açısından ISO 27701 KVYS standardına uygun bir çözümdür.
  • ISO 27035: ISO/IEC 27035 ile olayların etkili bir şekilde yönetilmesi, olayları tanımak ve bunlara müdahale etmek, olumsuz etkileri en aza indirmek, adli kanıtları toplamak, düzenleyici ve önleyici kontrolleri oluşturmak, analistler tarafından uzun zaman ve maliyetli olan bu süreci Binalyze AIR aracı sayesinde hız ve maliyetten kazanç sağlayabilmek mümkündür.  Uzaktan delil toplayabilme özelliği sayesinde analistlere büyük kolaylıklar sağlamakta ve yeri geldiğinde gerçekleşen siber olay sonrasında, iyileştirmeleri teşvik etmek ve dersler çıkarılması için rapor sunabilmektedir.

[mnky_heading title=”SORU-CEVAP” line_color=”#dd1818″]

Deliller skorlanırken hangi standart veya regülasyon baz alınıyor?

Belirli bir standart ve regülasyon bulunmamaktadır. Binalyze AIR, ağ ve sistemlerde bulunan SIEM, SOAR ve EDR gibi diğer güvenlik cihazları ile entegrasyon yapmak mümkündür. Mitre Att&ck Framework ile olay müdahale esnasında odaklanılması gereken noktaları belirten Mitre Att&ck Framework kullanılmaktadır.


Ransomware bulaşmış bir bilgisayardan da kanıt toplayabiliyor muyuz?

Evet. Ransomware siber dünyadaki tehditlerden yalnızca biridir. Sistemin herhangi bir açığından içeriye sızmış ve hedefi doğrultusunda ilerleyen bir Ransomware vakasında olayın kök nedeninin bulunması önemlidir. Binalyze AIR, Ransomware vakalarının aydınlatılmasında kullanılan ve aynı zamanda globaldeki tek üründür. Shield özelliği ile Ransomware bulaşmış bir bilgisayardan dakikalar içerisinde delil toplamak mümkündür.

Bazı çözümlerde 'Phishing Simulation' gibi mevcut özelliklerinin yanında bir de Olay Müdahale yaptıkları belirtiliyor. Binalyze'ın yaptığı olay müdahale ile hangi noktalarda ayrışıyor bu bahsedilen özellikler?

Olay müdahale, siber olay olduktan sonra araştırılması gereken kaynaklardan delil toplanması ile başlayan bir süreçtir. Phishing simulation ürünlerinde olay müdahale esnasında; mailin hangi kullanıcılar tarafından açıldığı, çalıştırılabilir dosyaların kimler tarafından indirildiği gibi bazı özellikler bulunmaktadır. Binalyze AIR’in olay müdahaleye bakış açısında sadece phising simulation çözümlerinin özellikleri dışında tüm kanıt bulgularını elde etmesi ürünün güçlü yanlarından biridir.

Cryptolocker’a maruz kalmadan önce Binalyze AIR' in kurulu olmasıyla yedikten sonra müdahalenin yapılması nasıl farklar içeriyor?

Cryptolocker cihazlara farklı bir boyutta zarar veriyor gibi görünse de esasında bir siber saldırı çeşididir. Sistemlerin cyptolocker’a maruz kalmadan önce saldırganların sistemde belirli bir süre kalmış olabileceği unutulmamalıdır. Saldırganın sistemdeki ilerleyişi esnasında Binalyze AIR ile tüm bulguların toplanması, olası risklerin önüne geçilmesinde büyük önem arz etmektedir.

SIEM'le entegrasyon yapılabiliyor mu?

Evet. Siber olaylara hızlı ve proaktif bir çözüm sunan Binalyze AIR sistemlerinizde çalışan SIEM, SOAR, EDR gibi ürünlere çok kısa sürede entegre olmaktadır. İlk çıkış amacı SIEM’e entegrasyon olan Binalyze AIR, SIEM sistemlerine “Trigger” özelliği ile kolay ve hızlı bir şekilde entegre olmaktadır. Bu işlem tamamlandıktan sonra sistemlerden gelebilecek uyarılara anlık olarak cevap vermek mümkündür.

Drone’nun toplamış olduğu delilleri hukuki boyutunu nasıl kanıtlarız?

Binalyze Drone ile olay müdahale sonucunda elde edilen tüm delilleri ayrıntılı bir şekilde incelemektedir. Bu sayede analistlere, delillerin bulunduğu alanlardan ne şekilde deliller elde edildiğine ait detaylı analiz ve raporlama imkanı sunmaktadır. Elde edilen kanıtlar, zaman damgalı olarak saklandığı için hukuki dayanağı sağlanmış olur.

SYSTEM, SOFTWARE, SAM, SECURITY” gibi registy dosyalarından da detaylı bilgi çıkartabiliyor mu?

Evet. Binalyze Drone endpointlerde Memory(RAM+Pagefile), event logs, browsing history gibi alanlardan delil toplamakta ve topladığı delilleri parse etme ihtiyacı olmadan analiste sunmaktadır. Registry dosyalarından toplanan tüm delillere elde edilen Binalyze raporu ile ulaşmak mümkündür.

Siber olay müdahalesinde tecrübe çok önemli olduğunu söylediniz gerçekleşen olay müdahalelerinden nasıl ders alınır ve sizin sürekli olarak takip etmiş olduğunuz gerçekleşen siber olay müdahale örnekleri var mı varsa nerelerden takip ediyorsunuz?

Binalyze AIR ile olay müdahale sonucunda detaylı ve hızlı elde edilen kanıtlar sayesinde olayın kök nedeni bulunabilir. Bu sayede doğru aksiyonlarla benzer olayların gerçekleşmesi önlenebilir.

Bu kadar hızlı delil toplarken kaçırmış olduğu deliller olmadığından nasıl emin olabiliriz?

Binalyze Drone, cihazlardan delil toplarken her bir işlemi bulgu olarak değerlendirir. Bu nedenle çalışma mekanizması gereğince olayın kritiklik seviyesini kolayca belirleyip hızlı bir şekilde analiste sunmaktadır. Önceden tanımlanmış otomatik kanıt toplama sayesinde delillerin toplanması konusunda gözden kaçırma söz konusu değildir.

[mnky_heading title=”KONUŞMACILAR” line_color=”#dd3333″]

Erdem Eriş
CyberArts
Kurucu & Genel Müdür

Emre Tınaztepe
Binalyze
Managing Director

KVKK, ISO 270001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

[:en]

Bird’s Eye View Incident Response with Binalyze DRONE

Binalyze AIR stands out one step further in global competition with the updated version 1.7.35. At the same time, in addition to KVKK and ISO 27001, it offers important facilities in terms of compliance with ISO 27035, ISO 27701 and the Presidential Information and Communication Security Guide.

What’s new with this version:

  • Binalyze AIR now runs on all common Linux systems with Linux support .
  • With the Binalyze Drone , it is possible to have a fast and proactive view on incident response. In the default flight mode, Binalyze Drone will make it easier for you to catch trouble spots and make compromise assessment.
  • As we have seen in the last Sunburst case, when hunting with YARA, it is necessary to automate the next stage, endpoint isolation. With AIR End Point Isolation ; By adding a lockdown tag to any YARA rule, it is now possible to take immediate action and to get an email notification to the administrator by first acquire and then lock down the alarms that we are 100% sure.
  • Support for installation policies needed in large systems was introduced.
  • Significant savings in storage space began with the evidence compression feature.
  • While encrypting the evidence , it became possible to keep the collected evidence encrypted with AES-256 .
  • The option of uploading the evidence collected outside the local and evidence repository to the SFTP server has been added.

Binalyze AIR in terms of compatibility:

  • Presidency Information and Communication Security Guide:  Circular provides public services in the fields of “Electronic Communications”, “Energy”, “Water Management”, “Transportation”, “Banking and Finance”, “Health”, among all public institutions and organizations and critical infrastructure sectors. Binalyze AIR is a local technology that successfully carries out the collection, monitoring, analysis and reporting of all events at endpoints. In these respects, it is a suitable solution for the requirements of the Guide.
  • ISO 27701 Personal Data Management System: It is a standard created by ISO to manage privacy controls in order to reduce the risk of individuals’ privacy rights. Binalyze AIR is a solution in accordance with ISO 27701 KVYS standard in terms of managing personal data and ensuring privacy.
  • ISO 27035:  Effectively managing events with ISO / IEC 27035, recognizing and responding to events, minimizing negative effects, collecting forensic evidence, creating regulatory and preventive controls, this process, which is long and costly by analysts, thanks to the Binalyze AIR tool. It is possible to gain speed and cost. Thanks to its ability to collect evidence remotely, it provides great convenience to analysts and, when necessary, can submit reports to encourage improvements and learn lessons after the cyber incident

[mnky_heading title=”QUESTION ANSWER” line_color=”#dd1818″]

Which standard or regulation is based on when scoring evidence?

There is no specific standard or regulation. It is possible to integrate with Binalyze AIR, other security devices in networks and systems such as SIEM, SOAR and EDR. With Miter Att & ck Framework, Miter Att & ck Framework is used, which specifies the points to be focused during the incident response.


Can we also collect evidence from a ransomware infected computer?

Yes. Ransomware is just one of the threats in the cyber world. It is important to find the root cause of a Ransomware case that has infiltrated from any vulnerability of the system and is moving towards its target. Binalyze AIR is the only globally used product to illuminate Ransomware cases. With the Shield feature, it is possible to collect evidence from a Ransomware infected computer within minutes.

In some solutions, it is stated that they do Incident Response in addition to their existing features such as 'Phishing Simulation'. At what points does the incident made by Binalyze differentiate with the intervention?

Incident intervention is a process that starts with collecting evidence from sources that need to be investigated after the cyber incident occurs. During the incident response in phishing simulation products; There are some features such as by which users the mail is opened, by whom the executable files are downloaded. One of the strengths of the product is that Binalyze AIR obtains all evidence findings apart from the features of phising simulation solutions in terms of incident response.

How does it differ from having Binalyze AIR installed before being exposed to Cryptolocker, and then intervening after eating?

Although cryptolocker seems to harm devices in a different way, it is actually a type of cyber attack. It should be noted that the attackers may have stayed on the system for a certain period of time before the systems were exposed to the cyptolocker. Collecting all the findings with Binalyze AIR during the attacker’s progress in the system is of great importance in preventing possible risks.

Is it possible to integrate with SIEM?

Yes. Offering a fast and proactive solution to cyber incidents, Binalyze AIR integrates products such as SIEM, SOAR, EDR that are running on your systems in a very short time. Binalyze AIR, the first purpose of which is to integrate with SIEM, easily and quickly integrates into SIEM systems with its “Trigger” feature. After this process is completed, it is possible to instantly respond to the warnings that may come from the systems.

How can we prove the legal dimension of the evidence collected by the drone?

With the Binalyze Drone, it examines in detail all the evidence obtained as a result of the incident response. In this way, it offers analysts the opportunity to analyze and report in detail how the evidence is obtained from the areas where the evidence is found. Since the obtained evidence is stored with time stamp, legal basis is provided.

Can it extract detailed information from registy files such as 'SYSTEM, SOFTWARE, SAM, SECURITY' ?

Yes. Binalyze Drone collects evidence from areas such as Memory (RAM + Pagefile), event logs, browsing history in endpoints and presents the collected evidence to the analyst without the need to parse. It is possible to access all the evidence collected from the registry files with the Binalyze report obtained.

You said that experience is very important in cyber incident intervention, how can we learn from the incident interventions and if there are any examples of cyber incident interventions that you have constantly followed, where do you follow them?

With Binalyze AIR, the root cause of the incident can be found thanks to the detailed and rapid evidence obtained as a result of the incident response. In this way, similar events can be prevented with the right actions.

How can we be sure that there is no evidence he missed while collecting evidence so quickly?

While Binalyze Drone collects evidence from devices, it evaluates each process as a finding. Therefore, in accordance with the working mechanism, it can easily determine the criticality level of the event and quickly present it to the analyst. The collection of evidence is not overlooked thanks to the predefined automatic collection of evidence.

[mnky_heading title=”SPEAKERS” line_color=”#dd3333″]

Erdem Eriş
CyberArts
Founder & CEO

Emre Tınaztepe
Binalyze
Managing Director

KVKK, ISO 270001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

[:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram