15 Temmuz’da gerçekleştirilen başarısız darbe girişiminden sonra gerek yurtdışından gerekse yurtiçinden gerçekleştirilebilecek siber saldırılara karşı hem kamu kurumlarımız hem de özel sektördeki firmalarımız gerekli mercilerce uyarıldı. Özellikle ülkemizin yurtdışındaki imajını zedelemek adına yapılan bu tür siber saldırılarda temel amaç kritik kurumlarımızın sistemlerinden elde edecekleri bilgi ve belgeleri kullanarak bir itibarsızlaştırma operasyonu gerçekleştirmek. Bu bağlamda siber güvenlik uzmanları olarak ilgili sistemleri yöneten arkadaşlara bu süreçte yardımcı olabileceğini düşündüğümüz aşağıdaki tavsiyeleri hatırlatmak isteriz.
- Halihazırda sisteminizde bir log yönetim sistemi (SIEM) varsa mutlaka bu sistemin düzgün çalıştığından ve kritik sistemlerinizin üzerindeki kritik log dosyalarının bu sisteme gönderildiğinden emin olun. Ayrıca her gün sürekli aralıklarla bu log sisteminde biriken logları analiz edin ve olası saldırı paternlerini arayın. Bu konuda başlangıç olarak SANS tarafından hazırlanan “Detecting Attacks on Web Applications from Log Files” (https://www.sans.org/reading-room/whitepapers/logging/detecting-attacks-web-applications-log-files-2074) dokümanı size yardımcı olacaktır. Active Directory üzerinden gelebilecek saldırıların tespiti için de başlangıç noktası olarak “Red vs. Blue: Modern Active Directory Attacks, Detection” (https://www.blackhat.com/docs/us-15/materials/us-15-Metcalf-Red-Vs-Blue-Modern-Active-Directory-Attacks-Detection-And-Protection-wp.pdf) dokümanından faydalanabilirsiniz.
- Active Directory ortamınız varsa mutlaka domain ortamındaki yetkili kullanıcı hesaplarının hareketlerini kontrol edecek bir mekanizma kurun. Saldırganların son zamanlarda en çok tercih ettikleri yöntem olan yetkili hesapları ele geçirip, dikkat çekmeyecek şekilde sistem yönetimi için kullanılan araçlar yardımıyla iç ağda hareket ettiklerini unutmayın. Özellikle Enterprise Admins ve Domain Admins gruplarına hangi kullanıcıların üye olduğunu kontrol edin ve Administrator kullanıcısının oturum açma aktivitelerini izleyin. Active Directory üzerindeki anormal hareketleri tespit etmek için Microsoft’un ATA (Microsoft Advanced Threat Analytics) çözümünü kullanabilirsiniz. Ücretsiz deneme sürümünü 90 gün boyunca bütün özellikleri aktif kullanılabilecek şekilde https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics adresinden indirebilirsiniz.
- Başarıya ulaşmış bir siber saldırıyı tespit etmek istiyorsanız önceliğiniz size gelen trafiğe değil, sizin ağınızdan çıkan trafiğe yoğunlaşmalısınız. Bu bağlamda özellikle internet çıkışınızı izleyip anormal veri trafiğini (normalin dışında upload trafiği, alışılagelmiş zamanların dışında aktif trafik vb. bakarak) tespit etmelisiniz. Anormal trafiği tespit etmek için flow veya tam paket verisi kullanılabilir. Eğer imkanlarınız el veriyorsa hem flow bilgilerini hem de tam paket verisini belirli bir süre toplayacak şekilde internet trafiğinizi izleyin. Bu işlem için kullanılabilecek açık kaynak kodlu bir dağıtım olan Security Onion’u https://securityonion.net adresinden indirip kurabilirsiniz. Hem bünyesinde barındırdığı saldırı tespit sistemi, hem tam paket yakalama ve analiz etme araçları sayesinde ağ üzerindeki anormalliklerin tespitinde oldukça işinize yarayacaktır.
- Kullandığınız güvenlik ürünleri siber istihbarat paylaşımlarını (Cyber Threat Feeds) destekliyorsa hızlıca https://github.com/hslatman/awesome-threat-intelligence adresinde yer alan ücretsiz tehdit istihbarat servislerinden birini veya bir kaçını kullanacak şekilde ayarlayın. Bu sayede daha önceden tespit edilen saldırı vektörlerinden ve varsa istihbaratı paylaşılan bu tehditlerin ağınızdaki izlerinden hızlı bir şekilde haberdar olursunuz.
- Tespit ettiğiniz bir siber saldırı anında sistemlerinizdeki olası sayısal delilleri minimum zarar verecek şekilde toplamak adına bir süreç belirleyin. Saldırıya uğramış sistemler üzerinde bu sistemlerin imajlarını almadan hiçbir şekilde veri kurtarma, silme vb işlemlerini gerçekleştirmeyin, bu sistemleri mümkünse kullanmayın. Aksi takdirde sayısal deliller zarar görebilir. Altyapınızda saldırı tespiti ve olay müdahalesinde bulunmak için Google tarafından geliştirilen ve ücretsiz sunulan GRR Rapid Response aracını https://github.com/google/grr adresinden indirip kullanarak hızlıca canlı sistemler üzerinde sayısal delil toplayabilirsiniz.
- Sisteminizdeki olası açıkları tespit etmek adına hızlıca bir sızma testi yapın veya dışarıdan hizmet alarak yaptırın. Bu sayede saldırganların sisteminizde bulabileceği olası açıklıkları daha önceden tespit edebilir ve gerekli önlemleri alarak bu açıklıkları kapatabilirsiniz. Sızma testi sırasında izlenecek adımlar ve kullanılabilecek araçların bir listesi için http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html adresinde yayınlanan Penetration Testing Framework’den faydalanabilirsiniz.
Gerçekleştirilebilecek her türlü siber saldırılara karşı ADEO’nun Siber Güvenlik ve Siber Olaylara Müdahale ekipleri bütün kamu kurum ve kuruluşlarımızın hizmetindedir. Bize ulaşmak için [email protected] adresini kullanabilirsiniz.
