12 Ekim 2020 Pazartesi

Siber Güvenlik Dünyasında Haftanın Enleri #13



Haftanın Enleri'ne yaz dolayısıyla biraz ara vermek zorunda kaldım, malum tüm kış evde kalınca yazın da eve girmek istemedik. Merak etmeyin kalabalık ortamlarda bulunmadık, imkan oldukça açık havada, çayırda, çimende nefes aldık, ama inanın sizi çok özledim. 😊 Sizin de beni özlediğinizi biliyorum, zira siber dünyada hareketlilik virüs, salgın, savaş dinlemiyor. Hadi başlayalım öyleyse.

Haftanın Haberi:

Bu haberi eminim duymuşsunuzdur ama tekrar dikkat çekmek için özellikle paylaşmak istedim. Harvard, 30 ülkenin siber gücünü hesapladı: Türkiye ilk 20'ye giremedi 😔

Aşağıdaki 7 farklı alana göre yapılan incelemeler sonucunda genel bir ağırlık üzerinden puanlar hesaplanıyor. Ayrıca sadece yeteneklere göre hesaplama yapılmıyor, ülkelerin niyetleri de hesaplamaya dahil ediliyor. Türkiye 30 ülke arasından 23. olarak gösteriliyor. Hemen altında İran var, açıkçası İran'ın daha yukarılarda olmasını beklerdim. Bunun sebebi de sanırım raporun açık kaynaklardan ulaşılan bilgilerle hazırlanmış olması olabilir. Bu nedenle güvenilirliği hakkında soru işaretleri oluşturabiliyor. Ama Harvard ismi olunca sorgulamadan güveniyorsunuz :) Neticede her şeyi göstermese de bir şeyleri gösteriyor. Bu gözle bakmak lazım. Türkiye'nin 7 farklı alana göre hesaplanmış puanları da aşağıda radar grafikte gösterilmektedir.

1. Commercial = Growing National Cyber and Technology Competence

2. Defense = Strengthening and Enhancing National Cyber Defenses

3. Intelligence = Foreign Intelligence Collection for National Security

4. Information Control = Controlling and Manipulating the Information Environment

5. Norms = Defining International Cyber Norms and Standards

6. Offense = Destroying or Disabling Adversary Infrastructure

7. Surveillance = Surveilling and Monitoring Domestic Groups

Rapora buradan ulaşabilirsiniz.

Haftanın Makalesi:

Ransomware saldırılarında gözle görülür bir artış var. Gözle görülür diyorum çünkü özellikle Covid-19 salgınından sonra özellikle sağlık kuruluşlarını hedef aldığı için olumsuz olarak etkileniyoruz. Hatta bununla ilgili Google üzerinde bir arama yaparsanız sonucu daha net görmüş olacaksınız (Google arama: "ransomware statistics 2020"). Ransomware saldırılarına karşı korunmak ve etkiyi azaltmak için CISA (Cybersecurity & Infrastructure Security Agency) tarafından çok faydalı bir rehber yayınlandı. "Ransomware Guide" ismiyle yayınlanan bu makalede engelleme ve müdahale başlıkları altında detaylı olarak aşağıdaki konulara değiniliyor. 

Be Prepared

  • Ransomware Infection Vector: Internet-Facing Vulnerabilities and Misconfigurations
  • Ransomware Infection Vector: Phishing 
  • Ransomware Infection Vector: Precursor Malware Infection 
  • Ransomware Infection Vector: Third Parties and Managed Service Providers 

General Best Practices and Hardening Guidance 

  • Ransomware Response 
  • Detection and Analysis 
  • Containment and Eradication
  • Recovery and Post-Incident Activity
  • Contact Information
"DEFEND TODAY, SECURE TOMORROW" mottosunu da çok sevdim 💚

Link tabiki burada.

Haftanın İpucu:

CISA (Cybersecurity & Infrastructure Security Agency) tarafından 2019 yılına ait kritik sistemleri hedef alan ve başarılı olan siber tehditlerin haritası çıkarıldı. İnfografik, MITRE ATT&ACK çerçevesine göre hazırlanmış. Kullanılma oranlarının yüzdelik olarak verildiği atak yöntemlerine göre riskli ve önceliklendirilmesi gereken alanlar belirlenebilir. Tam çıktı alıp duvara asmalık :)

Infografik burada.

Haftanın Sorusu:

Kimlik doğrulama sürecini daha güvenli hale nasıl getirirsiniz?

***

Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içeriğin düzenli olarak yayınlanması amaçlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 



20 Temmuz 2020 Pazartesi

Siber Güvenlik Dünyasında Haftanın Enleri #12

Bir Not:

"Siber Güvenlik Dünyasında Haftanın Enlerine" başlarken her hafta paylaşacak içerik bulmakta zorlanır mıyım acaba diye düşünmüştüm. Ancak o kadar çok gelişme oluyor ki değil haftanın günün enlerini paylaşsam olabilir. Sizi de sıkmak istemem tabiki, yoksa ben her gün hazırlarım 😜

Haftanın Haberi:

Cömert Twitler:

Geçen hafta bir çok ünlü Twitter üzerinden bir bitcoin hesabı paylaşarak bitcoin gönderenlere iki kat tekrar göndereceğini duyurdu. Müthiş bir haberdi. Çünkü Bill Gates, Elon Musk, Jeff Bezos, Uber, Apple gibi ünlü ve zenginler COVID-19'dan dolayı yardım kampanyalarına başlamışlardı. Buraya kadar herşey çok güzel değil mi? İşte bu twiti okuyan yüzlerce kişi de aynı şekilde düşünerek az çok demeden gönüllerinden kopan bitcoinleri gönderdiler. Twitlerin hackerlar tarafından gönderildiğinin ne zaman farkına vardılar bilmiyorum ama farkına vardıklarında gönderilen paranın miktarından bağımsız olarak yutkunmakta zorluk çektiklerinden eminim. Twitter'ın yönetici paneline yetkisi olan bir çalışan sosyal mühendislik yöntemi ile hacklendi ve saldırganlar ünlülerin hesaplarından ilgili twitleri paylaştı. Bu sayede 12 bitcoin toplayabildiler. Neyse ki saldırganlar sadece maddi kazanç amaçlamıştı, siyasi amaçları olsaydı ve örneğin Trump'ın ağzından bir cümle yazsalardı neler olabileceğini hayal dahi edemezdik. Dijital dünyanın siber savaşı tek başına ülkeleri kazandırmaz veya kaybettirmez belki ama ciddi anlamda sarsabilir. Her şeye olduğu gibi mavi tik'li hesapların attığı mesajlara da şüpheyle yaklaşmak gerekir.

Haberin detaylarına buradan ulaşabilirsiniz.


Siber Güvenlik Lisesi:

"Meslek lisesi memleket meselesi" sloganı vardı meslek liselerine gereken önemin verilmediği ve Türkiye'de uzman ihtiyacının karşılanmadığına dikkat çekmek için. Günümüzde bu sloganı siber güvenlik lisesi memleket meselesi olarak değiştirebiliriz. Tam da bu meseleyi gören İstanbul İl Milli Eğitim Müdürlüğü Yenilik ve Eğitim Teknolojileri Müdürlüğü Siber güvenlik alanında uzmanlaşan bir meslek lisesi açıyor. Uzman ihtiyacının her geçen gün daha da arttığı siber güvenlik sektöründe açığı kapatmaya yönelik çok faydalı bir adım. Okulda, Sızma Testi, Adli Bilişim, Yapay Zeka ve Siber Tatbikat laboratuvarlarında uygulamalar yapılabilecek. Umarım işini seven uzmanlar yetiştirilebilir ve tüm liselere örnek olur.

Haberin detaylarına buradan ulaşabilirsiniz.

Haftanın Zafiyeti:

Gün geçmiyor ki yeni zafiyetler çıkmasın. Özellikle 2020 yılında bir çok büyük üreticinin ürün ve uygulamalarında uzaktan kod çalıştırmaya (RCE) imkan veren zafiyetler çıkmaya başladı. Son olarak da Microsoft DNS sunucularını etkileyen 10/10 seviyesinde bir zafiyet yayınlandı. Bu zafiyetin bir diğer özelliği wannacry zaralısında olduğu gibi wormable yani ağ üzerinde yayılabilen olması (wannacry'ın seviyesi 8.5/10'du). Güvenlik araştırmacılarının tespit ettiği zafiyet 17 yıl öncesinden bugüne kadar tüm versiyonları etkiliyor. İnşallah ilk defa şimdi tespit edilmiştir. Diğer türlüsünü düşünmek dahi istemiyorum :) Zira zafiyet basit bir DNS sorgusu ile istismar edilebiliyor ve domain admin haklarına kadar ulaşılabiliyor.

Microsoft'un yama ve geçici çözümle ilgili makalesine buradan ulaşabilirsiniz.

Haftanın Makalesi:

Sistem entegrasyonları artıyor, dijital kullanım artıyor, veri artıyor, tehdit artıyor ancak siber güvenlik uzmanı aynı oranda artmıyor. Bu denklemin eşitliğinin sağlanması için en büyük ilaç ise otomasyon. Tehditlere karşı korunmada  ihtiyaç duyulan otomasyonun önündeki engelleri aşma hakkında yazılan makaleye buradan ulaşabilirsiniz. 

Haftanın Sorusu:

DNS güvenliği nasıl sağlanır?


***


Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içeriğin düzenli olarak yayınlanması amaçlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 


12 Temmuz 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #11


Haftanın Haberi:

2020 yılı başında yayınlanan raporlarda bu yılın güvenlik risklerinde ransomware'ler (fidye zararlıları) ön plana çıkıyordu. Covid-19 ile birlikte son günlerde yükselişe geçen ransomware saldırıları tahminlerin doğru çıkacağını döstermeye başladı. Geçen haftalarda okuduğumuz Honda haberi yine ransomware saldırılarından biriydi. Şimdi ise Türkiye'den bir e-ticaret firmasını hedef alan bir siber saldırı haberimiz var. Siber saldırı olduğunu kesinlikle söyleyebiliyoruz çünkü firma resmi olarak siber saldırıya maruz kaldığını duyurdu. Ancak, siber saldırının nasıl olduğu ile ilgili resmi bilgi(miz) yok. Bir insan olarak bilgi olmaması fikrimiz olmaması anlamına gelmez değil mi! Hemen hemen herkesin bir fikri var ve bu fikir ransomware olduğu yönünde. Kimisi firmada çalışan arkadaşından bilgi aldığını söylüyor, kimisi sadece tahmin ediyor. Eğer düşünüldüğü gibi gerçekten ransomware saldırısı ise okuduğumuz raporları daha fazla dikkate almamız gerekecek. 

*Şu anda e-ticaret firması sorunsuz şekilde çalışıyor. 

Haftanın Makalesi:

"Powershell, Windows ile birlikte gelen güçlü bir komut dosyası yazma ve yönetim dilidir. Diğer kullanılan yöntemlere göre daha az iz bırakması, memory (RAM) üzerinde çalıştırılabilmesi (AV, app whitelisting evasion), uzaktan kod çalıştırmaya olanak sağlaması gibi nedenlerden dolayı saldırganlar arasında kullanılan popüler bir yöntemdir. Ayrıca Powershell, sistem yöneticileri tarafından da kullanıldığı için saldırganların networkteki görünürlüğünü azaltır. Birçok APT grubu tarafından ...." makalenin devamına buradan ulaşabilirsiniz.

Haftanın İpucu:

Ransomware'lerden korunmanın 9 temel yolu:

  1. Güvenlik yamalarını zamanında uygulayın
  2. Şüpheli maillere karşı çalışanların farkındalıklarını artırın ve sürekliliğini sağlayın
  3. Ağ segmentasyonunu sağlayın
  4. Sadece kurumsal olarak yönettiğiniz bilgisayarları ağa dahil edin
  5. Etkili bir şekilde yedek (backup) uygulayın
  6. Ransomware saldırılarına karşı müdahale planlarını belirleyin ve test edin
  7. Gelen mailleri zararlı yazılım analizinden geçirin 
  8. Güvenlik loglarını izleyerek ağınızı ve sistemlerini takip edin
  9. Güncel antivirus kullanın

Haftanın Sorusu:

İnternetin daha otonom olmasının arkasında Webservis ve API'lerin payı çok büyük. Bu otonom sistemi sağlamak için artan entegrasyon ve bilgi paylaşımlarıyla birlikte güvenlik riskleri de artmaktadır. Bir bilgiye sahip olan kişi/sistem ayısı artınca bilginin ifşa olma olasılığı da artıyor (iki kişinin bildiği sır değildir 😊 ). 

Peki, Webservis ile API arasındaki fark nedir?


***


Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içeriğin düzenli olarak yayınlanması amaçlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 

28 Haziran 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #10

Haftanın Raporu:

Sektörün kalbinde yer alan uzmanların görüşlerini içeren raporlar en çok faydalandığım raporların başında geliyor. Çünkü dert aynı olunca deva da aynı oluyor. Bu hafta da sizinle Infosecurity Magazine'in 2018 yılından beri yayınladığı raporun 2020 yılı için yayınlanan versiyonunu paylaşmak istiyorum. Raporun adı "State of Cybersecurity Report 2020" ve bu yıl 75 güvenlik uzmanının görüşlerini içeriyor. Bu uzmanlardan 25'i akademiden, 25'i yatırımcılardan ve 25'i güvenlik danışmanlarından oluşuyor. Bu şekilde olduğunda ise ortaya değerli içerikler çıkıyor. Şimdi gelin bakalım raporun detaylarına. 

2020'de siber güvenlik dünyasına yön verecek 5 konu şu şekilde belirlenmiş: COVID-19, Bulut, AI/ML, İnsan Faktörü ve Phishing.

COVID-19: Katılımcıların %30'u COVID-19'un 2020 yılı içinde siber güvenlik dünyasına şekil vereceğini söylüyor. Buna gerekçe olarak ise şirketlerin uzaktan çalışma koşullarına geçişi ve dijital dönüşümü hızlandırmak istemeleri gösteriliyor. Pandeminin henüz bitmemiş olması, 2. dalga beklentisi ve geçse dahi yine buna benzer bir salgın olma ihtimalinin hep olması şirketlerin stratejilerini dijital yöne çeviriyor. Bu dönüşümde siber güvenlik riskinin fazla olmasının nedeni aceleyle yapılan dijital geçişler. Hızlı karar verilen ve uygulanan dijital dönüşümlerde güvenlik açığı olma ihtimali fazla oluyor. Ayrıca, daha önceki haftalarda da paylaştığımız gibi COVID-19 salgınında insanların zaafını kullanarak fidye yazılım saldırıları da artıyor. Tüm bunlara karşı önlemlerin alınması için siber güvenlik yatırımları ve çalışmaları artacağı için COVID-19'un 2020 yılında siber güvenliğe damga vuracağı düşünülüyor.

BULUT: Katılımcıların %26'sı bulut hizmetlerin siber güvenliğe yön vereceğini ifade ediyor. Bulut hizmetler daha önceki yıllarda da popüler başlıklar arasındaydı ancak bu yıl COVID-19 ile birlikte daha sık gündeme gelir oldu. Çünkü her zaman her yerden sistemlerine ve uygulamalarına erişmek isteyen kurumların aklına ilk olarak bulut hizmetler geliyor. Durum böyle olunca da güvenlik riskleri dikkat çekiyor.

AI/ML: Herhangi bir uygulama yok ki içinde yapay zeka olmasın 😉 Bu raporda da görmesek şaşırırdık. Şaka bir yana katılımcıların %25'i yapay zekanın siber güvenlik yatırımlarını şekillendireceğini söylüyor. Savunma alanında her geçen gün hacmi artan verinin yorumlanmasının zorluğunu, makine öğrenmesi ve yapay zekanın çözebilmesinden dolayı kullanım alanı artacaktır. Savunma alanında ihtiyaç artarken saldırı tarafında da artacağını unutmamak gerekir. 

İNSAN FAKTÖRÜ: %24'ü insan faktörünün temel rol oynayacağını söylüyor. Hem çalışan farkındalığı hem de siber güvenlik uzmanlarının sayıca yetersiz olması konularında görüşler paylaşılıyor. Sadece Türkiye'de değil tüm dünyada siber güvenlik uzmanlarına ihtiyaç artıyor. 

PHISHING: Oltamala saldırıları %18 ile 5. sırada yer alıyor. Aslında yukarıda bahsedilen konulardan tamamında oltalama saldırıları yer alıyor. saldırganların %99'unun oltalama yöntemlerini kullandıklarını düşündüğümüzde 5. sırayı hak etmiyor gibi gelebilir ancak rapor mevcut durumun fotoğrafını çektiği için sorun olmuyor.

Raporun tamamına buradan ulaşabilirsiniz.

Haftanın İpucu:

2020 yılında en çok önerilen uç nokta güvenliği uygulamaları hakkında bilgi almak istiyorsanız bu listeye göz atmanız faydalı olacaktır. 

  • ESET Endpoint Security
  • Trend Micro Apex One
  • Symantec Endpoint Detection and Response
  • Comodo Advanced Endpoint Protection
  • CrowdStrike Falcon Insight
  • Cybereason Total Enterprise Protection
  • Malwarebytes Endpoint Protection
  • Panda Endpoint Protection
  • FireEye Endpoint Security
  • Stormshield Endpoint Security

Haftanın Makalesi:


1986-2017 yılları arasında yaşanan siber saldırıları bir arada toplayan makaleyi sizlerle paylaşıyorum. siberportal.org'da yayınlanan makale siber saldırıların gelişimini görmek açısından da faydalı olacaktır.

Makaleye buradan ulaşabilirsiniz.

Haftanın Sorusu:


Sizce 2020'de siber güvenliğe yön verecek şey(ler) nedir?


***


Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içeriğin düzenli olarak yayınlanması amaçlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 

21 Haziran 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #9

Haftanın Haber(ler)i:

Bu hafta enlere girmeyi başaran iki haberimiz var. Birini seçmekte zorlandığım için ikisini birden sizlerle paylaşmak istedim. Arada böyle kaçamaklar yapabiliriz değil mi 😊

1 - Zoom ve Uçtan Uca Güvenlik:

Daha önce sizlerle Zoom'un ücretsiz kullanıcılara uçtan uca şifreleme sağlamayacağını, bunun sebebi olarak da suç örgütlerinin kullanımını engellemek olduğu haberini paylaşmıştık. Bu duruma çok fazla tepki gösterilmiş olacak ki ücretsiz kullanan ve ikinci bir faktörle kimlik doğrulaması yapan kişiler  (örn. cep telefonu doğrulaması) için de uçtan uca şifreleme özelliğinin geldiği açıklandı. Bu doğrulamayı yapmadan kullananlar için yine yol göründü :)

Devamı burada.

2 - Terzi Kendi Söküğünü Dikemezmiş:

Hacking araçları ve siber silahlar üreten CIA''in özel bir bölümü gizli bilgilerin sızdırılmasına engel olamadı. Zayıf güvenlik önlemleri aldıkları belirtilen haberde sızma işleminin eski CIA çalışanları tarafından yapıldığı aktarılıyor. Gizliliği iliklerine kadar yaşayan bir kuruluşun gerekli önlemleri almaması iki şeyi akıllara getiriyor. Güvenlik politikaları uygulamak ve süreçlerle entegre etmek gerçekten emek ve dikkat isteyen bir konu ve CIA bu konuda zorlanmış. Ya da tüm güvenlik önlemleri alınmış ancak sızdıranlar da içeri sızmışlar 😊 Zaman gösterecek diyeceğim ama ne yazık ki göstermeyecek. :)

Devamı burada.

Haftanın Makalesi:

Bulut kullanımı ve hizmetleri her geçen gün artıyor. Tabi güvenlik endişeleri de aynı oranda artıyor. Peki bulut üzerinde konumlandırılan sistemleriniz için hangi güvenlik kontrollerini uygulamalısınız? Mastercard firması olan Riskrecon bu soruya cevap veriyor. Amazon Web Servisleri (AWS) için risk değerlendirmesi yapabileceğiniz ve kontrolleri nasıl uygulayacağınızı anlatan makaleye ve toolkit'e buradan ulaşabilirsiniz. Toolkit üzerinde yer alan sorulardan bazıları ise aşağıdaki gibi.

  • Is the AWS Organizations service used for managing all AWS accounts?
  • Are separate AWS accounts being used for different development stages? (Dev, Staging, Production)
  • Is a dedicated AWS account being used for security audit and logging functions?
  • Does each Root account have multi-factor authentication (MFA) enabled and no active access keys?
  • Has the Root account been used in the last 7 days?
  • Does any AWS account have an IAM role that has not been used in > 90 days? (Or never used)
  • Do all RDS instances use IAM based authentication for database access?
  • Is the AWS Secrets Manager or SSM Parameter Store being used for secrets management?
  • Do any security groups permit non-HTTP service access from the Internet?
  • Are private subnets being used for internal servers, databases and other resources?
  • Are resources deployed within AWS using infrastructure as code (IaC) such as Terraform or CloudFormation?
  • Has an AWS specific incident response plan been created and tested?
  • Are servers and databases hosted within AWS accessed through a secure remote access solution?

Haftanın İpucu:

Siber güvenlik, adli bilişim ve olay müdahale alanlarında ücretsiz online eğitimleri bir arada bulabileceğiniz bu sayfaya mutlaka göz atın.

Haftanın Yatırım Hikayesi:

API güvenliği üzerine çalışan start-up firma Salt Security 20 Milyon$ yatırım aldı. Bulut hizmetlerin ve uzaktan çalışma modellerinin artmasıyla birlikte API kullanımı da online işlemlerin merkezinde yer almaya başladı. Akamai'nin 2018 yılında yayınlanan raporuna göre web trafiğinin %83'ü API'ler üzerinde gerçekleşiyor. Gartner'a göre ise 2021 yılında web uygulamalarının %90'ı API üzerinden ataklara maruz kalacak. Durum böyle olunca API güvenliği de ön plana çıkmaya başladı.  Salt Security, büyük veri ve yapay zekayı kullanarak API kullanımını izleyip anormal davranışları tespit edebiliyor ve geleneksel olmayan güvenlik önlemleri uyguluyor. 

Detaylar burada.

Haftanın Nedir'i:

OWASP API Security listesinde ilk 10 nedir?

  1. Broken Object Level Authorization
  2. Broken User Authentication
  3. Excessive Data Exposure
  4. Lack of Resources & Rate Limiting
  5. Broken Function Level Authorization
  6. Mass Assignment
  7. Security Misconfiguration
  8. Injection
  9. Improper Assets Management
  10. Insufficient Logging & Monitoring


***

Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içeriğin düzenli olarak yayınlanması amaçlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 



14 Haziran 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #8


Haftanın Haberi:

Honda, siber saldırı sonucu tüm fabrikalarında üretimi geçici olarak durdurduğunu açıkladı. Aslında twitter üzerinden yaptığı açıklamada teknik problemlerden dolayı servis kesintileri yaşadıklarını belirttiler ama ismi açıklanmayan bir Honda yetkilisi "siber saldırı sonucu Amerika'da bulunan bazı üretim merkezlerinin faaliyetlerini durdurduğunu ve herhangi bir veri sızıntısı vakasının yaşanmadığını" açıkladı. Saldırının detayları ise VirusTotal'e yüklenen bir malware'i inceleyen araştırmacılar tarafından tespit edildi. Endüstriyel Kontrol Sistemlerini (EKS) hedef alan Ekans (tersten okunuşu Snake) zararlı yazılımının Honda için özelleşmiş versiyonu olduğu anlaşıldı. Araştırmacılar zararlı yazılımı lab ortamlarında çalıştırdığında herhangi bir aksiyon almadığını gözlemlediler. Detaylı analiz ve inceleme sonrasında zararlı yazılımın mds.honda.com adresi için DNS sorgusu yaptığı ve cevap aldığı durumda çalışmaya başladığını gördüler (Wannacry taktiği). Bu sayede Honda'nın tüm fabrikalarına neden bulaşmadığının da cevabı çıkmış oluyor. Bulaşma yöntemi hakkında kesin bilgiler olmasa da tahminleri güçlendirici veriler bulunuyor. Aynı zararlı yazılımdan etkilenen bir başka kurumun da Honda gibi internete RDP üzerinden açık sunucuları olduğu tespit edilmiş. Bu da RDP zafiyeti üzerinden zararlının bulaştığı fikrini güçlendiriyor. Ya da son günlerde sayıları çok fazla artan COVID-19 konulu bir oltalam e-postası da olabilir. Kim bilir!

Haberin detaylarına buradan ulaşabilirsiniz.

Haftanın Makalesi:

Madem Honda'yı etkileyen zararlı yazılımdan bahsettik, o halde Ekans zararlı yazılımının incelendiği detaylı makaleye göz atmak faydalı olabilir. Zararlı yazılımın nasıl bulaştığı, hangi processleri etkilediği, korunma yöntemleri ve hatta İran ile bağlantısının olup olmadığı ile ilgili detaylı bilgileri içeren makaleye buradan ulaşabilirsiniz.

Haftanın İpucu:

Güvenlik odaklı çalışmaya başlayınca kullanışlılık/kolaylık tarafından bakmak zor olabiliyor. Bu farklılık hem güvenlik uygulaması geliştirirken hem de güvenlik araçlarını kullanırken ortaya çıkabiliyor. Peki güvenlik araçlarını kullanırken siber güvenlik uzmanlarının işlerini kolaylaştırıcı faktörler nelerdir? Bu sorunun cevabını bulmak için siber güvenlik yöneticileriyle yapılan görüşmeler sonucunda ortaya çıkan cevapları aşağıda bulabilirsiniz. Özellikle güvenlik yazılımı geliştiriyor veya geliştirmeyi hedefliyorsanız bu ipuçları işinize yarayabilir.

  • Easy deployment
  • Shouldn't take a certification to run
  • Availability of a solid GUI
  • Conversely, don't kill the power of command line
  • Configuration-as-code
  • Open platform
  • Simplify management
  • Summarize it for me
  • Don't make configuration a chore
Detaylara buradan ulaşabilirsiniz.

Haftanın Nedir'i:

CRL (Certificate Revocation List) Nedir?

Her fani gibi sertifikaların da bir ömrü vardır. Sertifika otoritesi tarafından imzalanan bir sertifikanın ömrünün bittiği tarihle ilgili bilginin tutulduğu listeye CRL denilmektedir. Bu liste kontrol edilerek sertifikaya güvenip güvenmeme kararı verilmektedir. 

Haftanın Sorusu:

Kerberos protokolüne neden Yunan mitolojisinde çok (üç) başlı köpek manasına gelen kerberos ismi verilmiştir?


***


Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içeriğin düzenli olarak yayınlanması amaçlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 

7 Haziran 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #7


Haftanın Haberi:

Zoom ve güvenlik konuları gündemden düşmüyor. Şimdi de ücretsiz olarak Zoom kullananlar için uçtan uca şifreleme olmayacağı açıklandı. Bunun sebebi olarak da yasa dışı kullanımlarda FBI vb. örgütlere yardımcı olmak istedikleri belirtiliyor. Bu açıdan bakınca haklı gibi görünüyorlar. Suç örgütlerinin de pandemi döneminde evden çalışmaya geçtiğini düşününce onların da uzaktan görüşmelere ya da agile toplantılara ihtiyaçları oldu :) Tabi şu soru akıllara geliyor. Suç örgütleri de para verip kullanmak istediklerinde FBI'ın eli boş mu dönecek? Hayır dediğinizi duyar gibi oluyorum. Bu nedenle uçtan uca şifreleme'ye temkinli yaklaşmak ve Aşık Veysel'in de dediği gibi gizli sırları aşikar etmemek gerekiyor.

Haberin devamına buradan ulaşabilirsiniz.

Haftanın Makalesi:

Ele geçirdiği web sayfalarına ilişkin yaptığı paylaşımlardan kimliğini ele veren bir hackerın hikayesini paylaşmak istiyorum. 2013 yılından beri aktif olan VandaTheGod isimli hacker, yaptığı paylaşımlardan kimliğini ele verdi. Haksızlık ve adaletsizliklere karşı özellikle devlet sitelerini hedef alan ve herhangi bir maddi beklentisi olmadan çalışan(!) VanTheGod, pandemiden olsa gerek dikkatsizliğinin kurbanı olmuş görünüyor. Kimliğinin nasıl tespit edildiğinin adım adım anlatıldığı makaleye buradan ulaşabilirsiniz.

Haftanın İpucu:

Tripwire tarafından her ay yayınlanan kritik zafiyetlere ilişkin listeye aşağıdaki bağlantıdan ulaşabilirsiniz. Mayıs ayına ait zafiyetleri bir bakışta görmek isteyenler için faydalı olacaktır.

Tripwire bağlantı.

Haftanın Nedir'i:

APT (Advanced Persistent Threat) Nedir?

Gelişmiş hedef odaklı saldırı olarak Türkçe'ye çevirebileceğimiz saldırı yönteminde önemli kısım gelişmiş ve kalıcı olmasıdır. Alışılagelmiş yöntemler yerine sıfırıncı gün zafiyetleri, sosyal mühendislik veya fiziksel yöntemler kullanarak sisteme sızma işlemi kullanılır. Kalıcı ifadesinden kasıt sisteme hızlı bir şekilde girmek ya da sistemi tamamen etkisiz hale getirmek yerine yavaş ve fark edilmeden sızarak olabildiğince uzun süre kalıp, maksimum seviyede faydalanmaktır.

Haftanın Sorusu:

Zero day nedir?


***


Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içeriğin düzenli olarak yayınlanması amaçlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 

31 Mayıs 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #6

Haftanın Haberi:

GDPR, bir diğer deyişle Avrupa'nın KVKK'sı iki yaşında. Avrupa Birliğinde 1995 yılında Veri Koruma Direktifi olarak yayınlanan kanunun daha kapsayıcı ve tüm Avrupa ülkelerinde aynı şekilde uygulanmasına yönelik çıkarılan GDPR'ın bilgi güvenliği sektörüne getirdiği faydayı saymakla bitiremeyiz. Bilgi güvenliği uzmanlarının mesleki olarak gelecekleri açısından da oldukça faydalı olduğunu söyleyebiliriz 😊 Peki bu 2 yılda neler oldu? 

  • Toplam 231 kuruma ceza kesildi. Kesilen cezaların sayısında Temmuz 2019'dan itibaren ciddi bir artış görünüyor. Bunun sebebinin ilk yılın öğrenme ve uyumla geçmiş olması.
  • Veri koruma otoritelerine toplam 144,376 şikayet gerçekleşti. Bu sayıyı ceza kesilen 231 ile kıyasladığımızda ceza oranının düşük olduğunu görüyoruz. Bunun sebebi de adreslenemeyen şikayetlerin fazlalığı olarak belirtiliyor.
  • En fazla ceza alan ülkeler sıralamasında ilk üç şu şekilde: İspanya (81), Romanya (26) ve Almanya (25).
  • Ceza büyüklüğü olarak ise İngiltere ilk sırada. British Airways (€204 milyon) ve Mariott (€110 milyon) toplam €315 milyon ceza aldı.
  • Diğer dikkat çeken konu veri koruma kurumları bütçe ve insan kaynağı açısından yeterli seviyede olmaması.
Kanunlara uyum süreklilik gerektiren bir konu. Sözün özü "GDPR/KVKK uyumluluğu bir hedef değil yolculuktur".

Raporun detaylarına buradan ulaşabilirsiniz.

Haftanın Makalesi:

Siber güvenlik kariyeri için hangi eğitimi almak gerekir? Bilim, teknoloji, mühendislik veya matematik (STEM) bölümleri şart mıdır? Bu soruların cevabını merak ederek çok farklı eğitim geçmişleri olan siber güvenlik profesyonelleri ile görüşmeleri içeren makaleden bahsetmek istiyorum. Bu makale ile birlikte farklı alanlarda sahip olunan bilgi, beceri ve eğitimin siber güvenlik bakış açısına olumlu katkılar sağladığını da görmüş oluyoruz. 

Eğitimi / Önceki İşi: Din Bilimleri Eğitimi / Jeopolitik ve Kültürel Araştırmalar
Mevcut İşi: Yönetici @ Accenture Security
Düşünceleri: "Saldırganlar neden bir şirketi hedef alırlar, psikolojileri nelerdir sorularına rahatlıkla cevap bulabiliyorum."

Eğitimi / Önceki İşi: Formula 1 Pilotu
Mevcut İşi: CEO @ Cygilant ( Siber güvenlik hizmeti sağlayan bir şirket)
Düşünceleri: "Siber güvenlik alanında çalışmak Formula 1 yarışını kazanmak için gereken heyecan, çok hızlı karar verme, yaratıcı düşünme ve her türlü yöntemi deneme konusunda benzerlik göstermektedir."

Eğitimi / Önceki İşi: Mutfak Şefi
Mevcut İşi: CISO @ Collibra
Düşünceleri: "Mükemmel bir yemek yapmak için bıçağınız keskin, kıyafetleriniz temiz, ekipmanlarınız ve malzemeleriniz hazır olmalıdır. Siber güvenlik alanını da buna benzetiyorum. Herşey hazır olduğu durumda başarılı olursunuz. Ayrıca yemek pişirmek için hızlı olmalısınız tıpkı siber güvenlikte olduğu gibi."

Diğer hikayeler için makalenin devamına buradan ulaşabilirsiniz.

Haftanın Nedir'i:

Dark Web nedir?

Bir çok sunumda kullanılan klasik bir fotoğraf vardır. Buz dağının bir de görünmeyen kısmı gösterilir ve bu görünmeyen kısım gerçekten devasadır. Dark web de aslında internetin görünmeyen ve tehlikelerle dolu bu yüzüdür. Günlük hayatta kullandığımız sosyal medya, haber, video gibi sayfaların dışında özellikle yasa dışı örgütlerin kullandığı ve üye olmak için çeşitli güven(!) aşamalarından geçilmesi gereken sayfalara verilene genel addır. Hacker'lar edindiği (çaldığı) bilgileri pazarlama (satma) amacıyla yoğunlukla dark web'i kullanırlar. Siber güvenlik seviyelerini artırmak isteyen kurumlar ise üye olmaya gerek olmadan istihbarat amaçlı Dark Web'de bulunan firmalar üzerinden bu bilgilere ulaşabilirler.

Haftanın Sorusu:

Dark web'e üye olmak yasal olarak suç mudur?


***

Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içeriğin düzenli olarak yayınlanması amaçlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 

24 Mayıs 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #5

Haftanın Haberi:

Veri sızıntısı vakalarına bir yenisi daha eklendi. Havayolu şirketlerinin zor dönemden geçtiği şu günlerde EasyJet havayolları, 9 milyon müşterisine ait isim, e-mail adresi, seyahat detaylarını içeren bilgilerin ve 2.208 adet müşterisinin de kredi kartı bilgilerinin sızdırıldığını açıkladı. Yapılan açıklamada kullanılan "çok gelişmiş (sofistike) kaynaklı siber saldırı" ifadesi dikkat çekiyor ve müşterilerini de oltalama saldırılarına karşı  daha dikkatli olmaları yönünde uyarıyor. Saldırganların elinde oltalama saldırısı yapmak için bundan daha iyi bir veri olamaz. Açıkçası bir havayolu şirketi tarafından aradığını söyleyen ve yaptığımız bir yolculuk hakkında çok doğru bilgiler veren bir kişiye güvenmemek çok kolay olmaz sanırım. Siz de EasyJet ile yolculuk yaptıysanız gelen mailler ve telefonlar konusunda biraz daha dikkatli olun. Yapmadıysanız yine de dikkatli olun 😊

EasyJet'in açıklamasına buradan ulaşabilirsiniz.

Haftanın Makalesi:

Verizon tarafından her yıl düzenli olarak hazırlanan veri sızıntı inceleme raporu yayınlandı. Rapor, 81 şirket tarafından paylaşılan 32.000 olay incelenerek hazırlanmış ve bu olaylardan 3.950'si  veri sızıntısı olarak şirketler tarafından onaylanmış. Raporda vurgulanan önemli noktalar şöyle:

  • Finansal amaçlı sızıntıların oranı %86 
  • Veri sızıntılarının %70'i dış kaynaklı gerçekleşiyor
  • Saldırıların %67'si oltalama yöntemleri ve kullanıcı hesaplarının ele geçirilmesi ile yapılıyor
  • Zararlı yazılımların sebep olduğu olaylar düşüşe geçmiş görünüyor. Bunun temel sebebi de uç nokta güvenliği tarafında rekabetin artmasıyla birlikte daha gelişmiş tehdit tespit ve engelleme yöntemlerinin kullanılması
  • Web uygulamaların neden olduğu veri sızıntılarında iki kat artış olduğu görülüyor. Bunun en temel sebebinin de bulut hizmetlerinin kullanıldığı ifade ediliyor.
  • Aşağıda paylaştığım "yöntemlerin yıllara göre değişim" grafiğinde ise yanlış/hatalı yapılandırmanın yükselişi dikkat çekiyor.


Raporun detaylarına buradan ulaşabilirsiniz.

Haftanın İpucu:

Koronavirus salgınını fırsat bilen saldırganların her yöntemi denediğini daha önce sizlerle paylaşmıştık. Microsoft, sektöre faydası olması amacıyla Covid-19 ile ilgili tehdit istihbarat bilgilerini (IoC'ler) ücretsiz olarak paylaşmaya başladı. Bu bilgileri kullanarak sistemlerinize yönelik ilgili tehditlerin olup olmadığını kontrol edebilir, engellemek için gerekli önlemleri alabilirsiniz.

Detaylara buradan ulaşabilirsiniz.

Haftanın Nedir'i:

IoC (Indicator of Compromise) Nedir?

Zararlı yazılımların veya saldırıların kimliği olarak kullanılan tehdit göstergeleridir. Bir nevi suçluları tespit etmek için kullanılan eşkal resmine de benzetebiliriz. Örneğin, bir zararlı yazılımın hash değeri, bağlantı kurmaya çalıştığı IP ve URL adresi, sertifika bilgileri IoC olarak değerlendirilebilir. Bir örnekle açıklayalım. "Haftanın İpucu" kısmında paylaştığımız siber istihbarat bilgilerinde zararlı yazılımların hash bilgileri paylaşılmaktadır. Hash bilgisini kullanarak zararlı yazılımın sizin de sistemlerinize bulaşıp bulaşmadığını tespit edebilir ya da bulaşmasını engelleyebilirsiniz. 

Haftanın Sorusu:

Hash algoritmasının güvenlik zafiyetleri nelerdir?


***


Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içeriğin düzenli olarak yayınlanması amaçlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 

17 Mayıs 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #4


Haftanın Haberi

Bilgi güvenliği alanında tüm dünyada kabul görmüş ve prestiji her geçen gün artan CISSP sertifikası master derecesi yerine mi geçmeye başladı? Siz de bu hafta buna benzer paylaşımlar görmüşsünüzdür. Sevinçle bu haberi paylaşan sertifika sahiplerinden yüksek lisans tezini yazmayı bırakanları dahi duyabiliriz he an 😊 Peki durum gerçekten böyle mi? ISC2 sayfasından yapılan açıklamada CISSP sertifikasının master derecesi yerine geçmediği, ancak sertifikayı kazanmak için harcanan çabanın master derecesiyle aynı seviyede eğitim başarısı gerektirdiği ifade ediliyor. Tabii ki bu da çok güzel bir haber. Neticede sertifikanın değeri onu elde etmek için gösterilen çabayla doğrudan ilişkili. CISSP demişken 2014 yılında yazdığım "CISSP Tecrübelerim" adlı yazıyı da paylaşmak isterim. Belki bitirme tezi yazmaktan sıkılan varsa işine yarayabilir :)

Haberin detayına buradan ulaşabilirsiniz.

Haftanın Makalesi

2016-2019 yılları arasında en çok istismar edilen 10 zafiyet CISA (The Cybersecurity and Infrastructure Security Agency) ve FBI tarafından yayınlandı. Raporda dikkat çeken konular şöyle:

  • En fazla zafiyet Microsft OLE (Object Linking and Embedding) teknolojisinde görülüyor. OLE, dosyalar arasında bilgi alışverişini sağlamak için kullanılıyor. Örneğin, bir excel dosyası içinden word belgesini açmak için OLE kullanılıyor. Uygulamalar arası iletişimde güvenlik hassasiyetinin önemi bir kez daha çıkmış oluyor.
  • En fazla zafiyet görülen diğer teknoloji 2017 yılında Equifax'a ait 147 Milyon müşteri verisinin sızdırılmasına sebep olan zafiyeti de içeren Apache Struts. Apache Struts yaygın kullanıma sahip bir web uygulama frameworkü.
  • Özellikle OLE zafiyetleri Çin, İran, Kuzey Kore ve Rusya devletleri tarafından desteklenen hacker grupları tarafından yoğunlukla kullanılıyor.
  • 2020 yılında Citrix VPN ve Pulse Secure VPN zafiyetleri en fazla istismar edilenler arasında.
Zafiyetlerin detayları:

Zafiyet Kodu Etkilenen Sistemler
CVE-2017-11882
Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016 
CVE-2017-0199
Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
CVE-2017-5638
Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1
CVE-2012-0158 
Microsoft Office 2003 SP3, 2007 SP2 and SP3, and 2010 Gold and SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, and 2008 SP2, SP3, and R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, and 2009 Gold and R2; Visual FoxPro 8.0 SP1 and 9.0 SP2; and Visual Basic 6.0
CVE-2019-0604
Microsoft SharePoint
CVE-2017-0143 
Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607; and Windows Server 2016
CVE-2018-4878 
Adobe Flash Player before 28.0.0.161
CVE-2017-8759 
Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 and 4.7
CVE-2015-1641
Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services on SharePoint Server 2010 SP2 and 2013 SP1, and Office Web Apps Server 2010 SP2 and 2013 SP1
CVE-2018-7600
Drupal before 7.58, 8.x before 8.3.9, 8.4.x before 8.4.6, and 8.5.x before 8.5.1

Makaleye buradan ulaşabilirsiniz.

Haftanın İpucu

Saldırı tespit uygulamalarının (NTA, SIEM, EDR, aldatma teknolojileri gibi) gerekliliği her katmanda karşımıza çıkıyor. Kaynak ve bütçe planlamasında uygulanacak yönteme karar verilirken yapılan önceliklendirmede zorluklar yaşandığı durumlar olabiliyor. Peki sağladığı faydalar nelerdir, hangisini seçmeliyim diye soruyorusanız artı ve eksi yönlerini sizler için derledim*.

Yöntem Artı Yönleri Eksi Yönleri
Network Trafik Analiz (NTA) Uygulamaları Log altyapısına bağımlı olmaması Şifreli trafik (encrypted) için sınırlı görünürlük
Tek tip veri kullanımının (trafik bilgileri) modellemeyi daha kolay sağlaması Etkinliğin artırılması için çok fazla ağın izlenmesi
Veri sızıntısı ve yatay yayılım aktivitelerinin daha doğru tespit edilmesi Yüksek bant genişliği olan datanın kaydedilme zorluğu
Flow datasının kullanılması ile sensore gerek olmayan mimari tasarlanabilmesi Network dışı (lokal) aktivitelerin tespit edilememesi
Ağ üzerinde taşınan dosyaların detaylı analizinin yapılabilmesi Tespit edilen tehditlerin dar kapsamlı olması
BYOD ve IoT gibi yönetilemeyen cihazların/uygulamaların izlenebilmesi
Merkezi Log Yönetim Uygulamaları (SIEM) Lokal aktivitelerin ve tehditlerin (kötü niyetli iç kullanıcılar dahil) tespit edilmesi Çok farklı türde ve sistemden log toplanması gerekliliği
Network ve uç noktaya göre daha güvenilir kullanıcı profilleme yapılabilmesi Görünürlüğün loglarla sınırlı olması
Tespit edilen tehditlerin daha geniş kapsamlı olması Bilinmeyen log formatları için parser yazılma ihtiyacı olması

BYOD, IoT gibi cihazlar ve uygulamaların log üretmemesi
Uç Nokta Tehdit Tespit ve Engelleme Uygulamalar (EDR) Şifreli trafiğin olumsuzluk oluşturmaması (loglar trafik çözüldükten sonra oluşturulmaktadır) Uç noktada ajan gerekliliği
Lokal aktivitelerin ve tehditlerin tespit edilebilmezi Ajanların yönetim zorluğu ve performans problemine sebep olabilmesi
Saldırganın sistemde yaptığı işlemlere ilişkin çok detaylı bilgi sağlanabilmesi Printer, IoT vb. cihazların kapsanmaması
Kurumsal ağda olmayan uzak sistemlerin kapsanması Fraud amaçlı ağa takılmış cihazlara karşı görünürlük sağlanmaması
Loglamanın aktifleştirilmesine ihtiyaç duyulmaması
Network şifrelemeden etkilenmemesi
Aldatma (Deception -Honeypot) Uygulamaları Diğer yöntemlerle karşılaştırıldığında çok düşük false-positive oranının olması Etkinliğin garanti edilememesi (saldırgan aldatma uygulamasına hiç erişim sağlamayabilir)
Tüm altyapıyı ajan, sensor vb. uygulamalarla kapsama ihtiyacının olmaması Kurulum ve entegrasyon konusunda gizlilik gerektirmesi
Operasyonel olarak daha kolay yönetim sağlaması
* Artı ve eksi yönler teknolojiye ait genel ifadeleri içermektedir. Uygulama özelinde değerlendirme yapıldığında farklı sonuçlar çıkabilir.
* Kaynak:  Gartner

Haftanın Nedir'i:

Kişisel veri nedir?

Kişisel veri, sahibi olduğu kişiyi tanımlayan, kişi hakkında özel ve genel bilgileri içeren her türlü veridir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik ve sosyal özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar.

Haftanın Sorusu:

Herkes tarafından açıkça görülebilen plaka numarası kişisel veri midir?

***

Haftanın Enleri Hakkında:
Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içerikler düzenli olarak yayınlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 

10 Mayıs 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #3

Haftanın Haberi:

Bir virüsün yıl dönümünü anacağım hiç aklıma gelmezdi. 😊 Ama içinden geçtiğimiz korona dönemiyle benzerlikler taşıdığı için anmadan geçemeyeceğim. 4 Mayıs 2000 tarihinde bir gecede milyonlarca bilgisayara bulaşan "ILOVEYOU" isimli virüsten bahsediyorum. Mail üzerinden yayılan ve txt görünümlü bir ek içeren bu virüs bir gecede milyonlarca bilgisayara bulaşmıştı. Ekli dosyanın açılmasıyla birlikte visual basic scripti çalıştırılarak mail ile iletişime geçilmiş (temas kurulmuş!) kişilere de bir kopyasını gönderiyordu. Bu sayede 24 saat içinde 45 milyondan fazla kişiye bulaşmıştı. Korona ile benzerliklerinden biri işte bu kısım. Eğer mail ile bir kişiyle temas kurmuşsanız virüs o kişiye de bulaşıyordu.  Bir benzerliği daha var. Virüsü geliştiren Filipinli öğrenci ücretsiz internet erişimi için sadece kendi ortamında yazdığını ve yanlışlıkla tüm dünyaya yayıldığını söylüyor. Tıpkı ABD'nin koronavirüs için Wuhan'da bulunan laboratuvardan yanlışlıkla yayıldığını iddia ettiği gibi.

Haberin Detayları

Haftanın Makalesi: 

Her hafta çeşitli istatistiki veriler içeren onlarca rapor yayınlanıyor. Bu rengarenk raporların güvenlilir olup olmaması her zaman bir soru işareti. Ancak bu hafta bahsedeceğim rapor biraz farklı. Fireeye'ın satın aldığı Mandiant fimasına ait "Güvenlik Etkinliği Raporu". Mandiant, özellikle red team çalışmalarıyla ön plana çıkan siber güvenlik danışmanlık firması. Dünyanın her yerinde hizmetleri olduğu için rapordaki veriler doğrudan sahadan alınan veriler. Rapor, 900 milyon tüketiciyi kapsayan 11 farklı sektörde yapılan testlerden oluşturulmuş. Sonuçlar ise ürkütücü. Gelelim raporun detaylarına:

  • Kurumların %53'ünde sızma işlemi gerçekleşti ve sadece %9'u alarm üretti.
Saldırı aşamalarındaki oranlar ise şöyle:

  1. Keşif aşamasında %54'ü tespit edilemedi, %4'ü alarm üretti.
  2. Zararlı yazılım bulaştırma aşamasında %68'i tespit edilemedi, %7'si alarm üretti.
  3. Politika atlatma (bypass) aşamasında %65'i tespit edilemedi, %15'i alarm üretti.
  4. Zararlı yazılım transferi aşamasında %48'i tespit edilemedi, %23'ü alarm üretti.
  5. Komuta kontrol iletişiminde %39'u tespit edilemedi, ancak sadece %3'ü alarm üretti.
  6. Veri kaçırma/sızdırma aşamasında %67'si tespit edilemedi, %11'i alarm üretti.
  7. Yatay yayılım aşamasında %54'ü tespit edilemedi, %4'ü alarm üretti.
Raporda atakların engellenememesine ve alarm üretilememesine sebep olarak güvenlik ürünlerinin sağlıklı şekilde yapılandırılmamış olması vurgulanıyor ve aşağıdaki konulara dikkat çekiliyor.

  • Varsayılan tanımların değiştirilmemesi,
  • İnsan kaynağı eksikliği,
  • SIEM'e gönderilmeyen güvenlik olayları,
  • Kontrol testlerinin yapılamaması,
  • Altyapıda beklenmedik ve öngörülemeyen değişiklikler,
Başucu rehberi olarak değerlendirilebilecek raporun detaylarına buradan ulaşabilirsiniz.

Haftanın İpucu:

Mandiant raporunu okuduktan sonra peki ne yapmalıyım sorusunu sorduysanız Center of Internet Security'nin (CIS) etkin siber güvenlik için kritik güvenlik kontrolleri listesine göz atabilirsiniz. Kurumunuzun ölçeğine göre hangi kontrollerin asgari seviyede uygulanması gerektiği belirtiliyor. CIS, kurumların kısıtlı kaynak, bütçe ve tecrübe ile etkili bir siber güvenlik programı oluşturması amacını taşıyor. Liste aşağıdaki başlıklarda maddeleri içeriyor. 

  1. Inventory of Authorized and Unauthorized Devices
  2. Inventory of Authorized and Unauthorized Software
  3. Continuous Vulnerability Assessment and Remediation
  4. Controlled Use of Administrative Privileges
  5. Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers
  6. Maintenance, Monitoring, and Analysis of Audit Logs
  7. Email and Web Browser Protections
  8. Malware Defenses
  9. Limitation and Control of Network Ports, Protocols, and Services
  10. Data Recovery Capability
  11. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
  12. Boundary Defense
  13. Data Protection
  14. Controlled Access Based on the Need to Know
  15. Wireless Access Control
  16. Account Monitoring and Control
  17. Security Skills Assessment and Appropriate Training to Fill Gaps
  18. Application Software Security
  19. Incident Response and Management
  20. Penetration Tests and Red Team Exercises
Kontrol listesine buradan ulaşabilirsiniz.

Haftanın Nedir'i:

Red team nedir?

Bu hafta sıkça bahsettiğimiz red team son bir kaç yıldır sıklıkla duyduğumuz güvenlik test yöntemidir. Bir kurumun uygulamalarını, sistemlerini, çalışanlarını ve fiziksel güvenlik kontrollerini gerçek hayatta yaşanacak saldırı yöntemleriyle atlatmayı amaçlar. Üretim ortamlarında gerçekleştirilir ve gerçek anlamda bir siber dayanıklılık ölçümü yapar.

Haftanın Sorusu:

Neden internet üzerinden erişilebilir ortamlara DMZ (De-militarized Zone) denilmektedir?


***

Haftanın Enleri Hakkında:
Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içerikler düzenli olarak yayınlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 

3 Mayıs 2020 Pazar

Siber Güvenlik Dünyasında Haftanın Enleri #2




Haftanın Haberi:

Online video konferans uygulamalarının zafiyetleri arka arkaya çıkmaya devam ediyor. Şimdi de Microsoft Teams’de bulunan bir güvenlik açığı CyberArk araştırmacıları tarafından yayınlandı. Bu açıkla saldırganlar katılımcılara gönderdikleri bir GIF veya görsel ile kuruma ait tüm Microsoft Teams hesaplarını ele geçirebiliyor. 

Aslında bu haberle birlikte farklı bir noktaya dikkat çekmek istiyorum. Neden bir anda video konferans platformlarında güvenlik açıkları çıkmaya başladı? Bu bir tesadüf mü yoksa algıda seçicilik mi? Her ikisi de değil.  Sadece saldırganların bu uygulamalara bugüne kadar yeterince odaklanıp zaman ayırmamış olmalarıdır. Her zaman söylendiği gibi yeterli zaman ve bütçe olduğu sürece kırılmayacak parola, atlatılmayacak güvenlik önlemi yoktur. Buna karşı da alınacak en temel önlem; katmanlı güvenlik kontrolleri ile saldırganın harcayacağı zamanı  maksimuma çıkarırken tespiti minimum süre içinde yapabilmek olacaktır.

Haberin detaylarına buradan ulaşabilirsiniz.

Haftanın Makalesi:

MITRE’nin uç nokta güvenlik uygulaması (EDR) üreticilerini değerlendirdiği APT29 sonuçları açıklandı. 21 farklı üreticinin çözümleri karşılaştırılarak güçlü ve zayıf yönlerine ulaşılabiliyor. Ancak, MITRE’nin çok detaylı ve kapsamlı bilgi içermesinin sonucu olarak raporların içinde kaybolmak an meselesi olabiliyor. Bir anda kendinizi Arif’in Manchester’a attığı golde bulabilirsiniz 😊 Şaka bir yana değerlendirme raporunu daha iyi anlamanızı ve yorumlamanızı sağlayacak Halil Öztürkci’ye ait makaleye göz atmakta fayda var.

Halil Öztürkci'ye ait makaleye buradan
MITRE değerlendirmesine ise buradan ulaşabilirsiniz.

Haftanın Nedir’i:

Zafiyet tarama ile sızma testi arasındaki fark nedir?

Birbirinin yerine de kullanılan bu iki kavram aslında farklı anlamlara geliyor. Zafiyet tarama, sistemlerde bulunan güvenlik açıklıklarının tespit edilmesini amaçlar. Ön tanımlı bilgilerle hedef sistemin zafiyetini tespit eder. Yanlış yapılandırmadan kaynaklı bir zafiyet varsa bunu tespit edemez.

Sızma testi, hedef sistemde uygulanan güvenlik kontrollerini atlatarak sızma işlemini gerçekleştirir. Sızma testinin içinde zafiyet tarama aktivitesi de yer alabilir. Yapılandırmadan dolayı oluşan zafiyetleri tespit etmek amaçlanır. 

Aşağıda farklılıkların ve kesiştiği noktaların yer aldığı şemayı* bulabilirsiniz.



Tabi bir de bu testlerin renklileri var (red, blue, purple gibi) 😊 Bunlara da önümüzdeki haftalarda değiniriz.

*Kaynak: Şema Adresi

Haftanın İpucu:

Center of Internet Security (CIS), Covid-19 salgın dönemi için siber güvenlik ile ilgili bir rehber yayınladı. Rehberde aşağıdaki başlıklarda ipuçları bulunuyor. Göz atmakta fayda var.

  • Phishing and Malspam
  • Credential Stuffing
  • Ransomware
  • Remote Desktop Protocal (RDP) Targeting
  • Distributed Denial of Service (DDoS) Attacks
  • Securing Employee Home Networks
  • Employee Personal Device Security
  • Secure Videoconferencing

Rehbere buradan ulaşabilirsiniz. 

Haftanın Sorusu:

Traceroute komutu nasıl çalışır?

***

Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içerikler düzenli olarak yayınlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür. 
Kaydol: Kayıtlar (Atom)