04 Oca, 2022

Siber Olaylara Müdahale ve Binalyze AIR

Günümüz teknoloji dünyasında bilgi güvenliği olayları, bir kuruluşa ciddi zarar verebilecek riskler oluşturabilir. Oluşabilecek her türlü risk öncesi/sonrası güvenlik tedbirleri alınmaktadır. Kullanılan teknolojilerin; amaca uygun, hızlı, efektif ve analistlerin iş yükünü hafifletici nitelikte olması beklenirken aynı zamanda belirli standartlara uygunluğu ve hukuki boyutu da göz önünde bulundurulmalıdır.

Küresel siber tehdit, her yıl sayısı artan ve niteliği değişen veri ihlalleri ile CEO’ların ajandalarında ilk 3 başlık arasına girmiş durumda. Dünya üzerinde her 15 milisaniyede bir zararlı üretiliyor ve her 39 saniyede bir siber saldırı gerçekleşiyor. Bu sayı her sene 2 katından fazla büyüyerek artmaya devam ediyor. Siber saldırıların ekonomilere maliyeti ise 6 trilyon dolara ulaşıyor. Ülkemizde her dakika 3, yılda 1,6 milyon adet zararlı yazılım saldırısı düzenleniyor. Kurumsal ağlara ise yılda 200.000 saldırı gerçekleşiyor. Saldırı hedefleri arasında Türkiye son 5 yıldır listelerde ilk 5’te. 2020 yılında ise en fazla siber saldırıya maruz kalan ülke durumunda.

Günümüz teknoloji dünyasında bilgi güvenliği olayları, kuruluşlara ciddi zarar verebilecek riskler oluşturmaya devam ederken, kurumlar da oluşabilecek her türlü risk öncesi/sonrası süreçler için bir çok farklı güvenlik tedbirleri almaya devam ediyor. Bu süreçlerde kullanılan teknolojilerin; siber olaylara etkin ve hızlı müdahale etme olanağı sağlarken, analistlerin hızlı yorumlanabilir olay raporlarına erişerek siber olayları yorumlaması ve raporlaması kurumlar için stratejik öneme sahip.



SORU CEVAP

Binalyze Air SIEM'in yapamadığı neleri yapıyor?

Ürünü SIEM ile karşılaştırmak pek mümkün değil çünkü amaç ve kullanım use-caseleri oldukça farklı. Burada bizim SIEM’e ek olarak yaptığımız 156 farklı delil ve üzerinde arama var ama sadece loglar için konuşursak Binalyze tarafına Sigma kuralları yazılabiliyor.(Şu anda bunu ara yüzde veya direk destekliyoruz demiyoruz) Sigma kuralları sayesinde internette bulunan evrensel bir kural direk olarak loglar içerisinde arama yapılmak için kullanılabilir. Çoğu SIEM markası direk olarak sigma desteği sunmaz, kuralı kendi dil yapısına çevirmek gerekmektedir. 2. olarak SIEM de geriye dönük bir search büyük log dizinlerinde saatler sürebilir. Binalyze da ise her ajan sigma kuralını kendi yüklü olduğu makine üzerinde çalıştıracağından ötürü yük dağıtılmış ve aranan şey daha hızlı erişilmiş hale gelir. Son olarak SIEM makinelerden real time log alamaz. En iyi SIEM’ler bile near-real time çalışır. Bir saldırganın makineye girdikten sonra yapacağı ilk hamlelerden biri dışarı log gönderme servisini öldürme olacaktır. Bu noktada makine üzerine log tuttuğu sürece Binalyze bunları gidip alabilir yapıda çalışır. (Bazı SIEMler de bu şekilde çalışabiliyor, bu hepsi ile farkı demek değil)


KVKK kapsamında veri ihlali bildirimi yaparken Binalyze Air'in raporları kullanılabilir mi?

Kullanılabilir. Binalyze’ın delil sayılması basit bir log’a göre daha değerli olduğundan ötürü, log ile delil saydırılabilen neredeyse her şey Binalyze ile de delil niteliği taşır.

Saldırgan işi bittikten sonra içeride bıraktığı izleri silme yöntemini tercih eder bu durumda Binalyze Air nasıl bir vizibilite sağlayabilir?

Bir saldırganın içerideki tüm kanıtları ortadan kaldırma gibi bir olasılığı söz konusu değildir. Mutlaka bazı yerlerde delilleri kalacaktır. Tabiki de delillerini silen/gizleyen bir saldırganın bütün hareketlerini tespit mümkün olmayabilir ama içeride kalan deliller incelenerek büyük resmin birçok parçasının çıkartılması mümkündür.

Ransomware gibi zararlılar bulaştığı an itibari ile Binalyze Air ile delil toplayabilir miyiz? Bununla ilgili bir özelliği var mıdır?

Ransomeware shield özelliği mevcuttur. Binalyze process’i system level haklarıyla çalışır(Admin haklarından yüksek) ve process herhangi bir process tarafından interupt edilmeye karşı korunaklıdır. Ransomeware bulaşmış bir makinede henüz şifrelenmemiş olan bütün delilleri getirir. Buna RAM imajı da dahil.

Saldırgan diski şifreledikten sonra da Binalyze Air'in kullanılması ve çözüm üretebilmesi mümkün mü?

Tüm disk şifrelenmiş ise burada işletim sisteminin de sağlıklı çalışması pek de mümkün değildir. Bu soru case’e ve karşılaşılan ransomeware türüne göre değişiklik gösterebilir.

Air ürünün rekabetçileri ile farkı nedir? Neden FTK, Thor vb. kullanmayıp Air ürününü kullanmalıyım?

İlk olarak Binalyze diğer tüm rakiplerine karşı topladığı delil sayısı ve bunları parse ederek raporda sunması açısından diğer rakiplerinin önündedir. Binalyze’ı karşılaştırmak için şu anda 3 farklı ürün grubu ile kıyas yapılması gerekmektedir. Ek olarak bu ürünler için 3 farklı yönetim 3 farklı arayüz ve 3 farklı kontrol gerekip, sonrasında da bu verilerin birleştirilip anlamlandırılması gerekmektedir. Ek olarak bu 3 ürünle bile live-response yeteneklerinden dolayı belki 4. bir ürünü bile buraya dahil etmek gerekebilir. Bunlar delil toplama, comprimise assesment ve basic auto-discovery ürünleri. 3. olarak Binalyze ürünü rakiplerinden hız olarak oldukça üstün bir noktadadır. İsmi geçen bazı rakiplerin işlerini yapması 3 gün gibi inanılmaz süreler alabilmektedir. Acil bir durumda veya bir olay müdahale esnasında 3 gün gibi bir süre sadece bir aracı bekleme zamanımız var ise, durum bir olay müdahale veya aciliyet teşkil eden bir durumdan oldukça uzaktır. Son olarak Binalyze forensic ve olay müdahaleye farklı ve yenilikçi bir yaklaşım getirmiştir. Klasik yöntemler yerine zamana karşı yarış, kolay kullanım ve ihtiyaç duyulan ile ilerleme felsefesi ile ürün ilerlemektedir. 2022 yılında availibity’nin çok önemli olduğu ve kurumların kesinti yaşamaması gerekmektedir. Bu gibi durumlarda gerek düşük kaynak tüketimi gerek ise herhangi bir kesinti yaşatmaksızın çalışabilir olması kurumlara büyük avantaj sağlamaktadır. Bazı rakip ürünler basit taramalar için bile 200GB ram gibi kurumlar için imkansız kaynak istemektedir. (Hazırda çalışan sunucuda boş 200 gb ram verilebiliyor ise, sistem yanlış konfigüre edilmiş demektir)

Air ürününü İoT ve mobile tarafta kullanma imkanımız var mı? Yok ise böyle bir özellik eklenecek mi?

Hayır. İleride Thin client veya Linux/Windows işletim sistemlerinin çalıştığı farklı cihazlarda çalışabilir durumda olabilir ama Android veya IOS olmayacak.

Hazır Emre Bey'i yakalamışken forensic severler olarak kendi bir olay müdehalesi yaparken özellikle ilk baktığı yerler veya delilller nelerdir?

İlk bakılan yer hikayeye göre değişir. Ülkemizde olay müdahale uzmanlarının bir kısmı kendini rahat hissettikleri delillere bakarak başlarlar ama işin doğrusu karşılaştığınız case’e göre delilleri önceliklendirmeli ve başlangıcınızı tercih etmelisiniz. Shellbags veya shimcache burada favoriler denilebilir.


KONUŞMACILAR

Erdem Eriş
CyberArts
Kurucu & CEO

Emre Tınaztepe
Binalyze
Kurucu & CEO

Nurettin Erginöz
SabancıDX
Siber Güvenlik Direktörü

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram