KoçSistem’in Gözünden: IBM Interconnect 2017 Heryerde Gözümüz Var:

KoçSistem Recorded Future Yatırımı

NO. 19 • Nisan 2017 Editör: Özge ÇELİK

KoçSistem Security Operation Center www.kocsistem.com.tr/guvenlik-hizmetleri

Elekronik Karbon Kağıtları:Keylogger Virüsü

Ransomware Kabusu Sürüyor:WYSIWYE

SIEM Yönetim Hizmeti

KRİTİK AÇIKLARMART AYINA AİT

GİZLENENTEHLİKE

ROOTKIT

Virüsler, bilgisayar ortamında kullanıcıdan habersiz dolaşıp yazılımınıza, donanımınıza ve dosyalarınıza hasar verebilir. Virüs bilgisayardan bilgisayara atlayan, atladıkça bulaşan bir bilgi-sayar kodu parçasıdır. Virüsü yaymak için birinin bir dosyayı paylaşması ya da bir e-posta gön-dermesi gerekir.

En tehlikeli virüslerden biri olan Rootkit, bilgisayarın işletim sistemi çekirdeğine sızarak kötü niyetli kişilere bilgisayarınızı uzaktan kon-trol etme hakkı ve tam yetki sağlayan virüs türevi zararlı yazılımlardır. Rootkit yazılımları genellikle Unix ve Linux türevi işletim sistemleri ve Win-dows işletim sistemi için geliştirilir.

Rootkit yazılımları, standart virüs yazılımlarıyla karıştırılmamalıdır. Virüs yazılımlarının amacı, bilgisayarınıza yerleştikten sonra kendini çoğaltmak ve sistemin tamamını sararak sistem-den faydalanmaktır. Oysa Rootkit programlarının amacı, kendini sisteme saldıktan sonra çoğaltmak değil, doğrudan uzaktaki kötü niniyetli kullanıcılara bilgisayarınız üzerinde tam kontrole sahip olma şansı sunmaktır. Önceleri çok kullanıcılı sistemlerde sıradan kullanıcıların yönetim programlarına ve sistem bilgilerine erişimini gizlemek için geliştirilmiş ve kullanılmış olmasına rağmen, kötü niyetli kullanımına rastlanmaktadır. Güvenilir bir kaynaktan geldiğine inanılan bir pgeldiğine inanılan bir programın üst düzey yetki ile (root gibi) çalıştırılması zararlı bir rootkit‘in sisteme kurulmasına sebep olur. Benzer şekilde, çok kullanıcılı bir sistemde kernel vs. açıkları kullanılarak sistemde root yetkisi kazanıp rootkit kurulması en yaygın görülen bulaşma şeklidir. Rootkit’in gerçekte hangi dosyaları değiştirdiği,

kernel’a hangi modülü yüklediği, dosya sistemi-nin neresinde kayıtlı olduğu, hangi ağ servisi üzerinde dinleme yaparak uygun komutla harekete geçeceğini tespit etmek güçtür. Tüm bu detayları göz önüne alacak olursak bir Root-kit, standart virüslere oranla daha tehlikelidir. Rootkit yazılımlarının hemen hemen tümü kendini işletim sisteminin çekirdek bölümüne gizler ve bu sayede Antivirüs yazılımları tarafından fark edilmeden işlevlerini yerine getirebilir.

Rootkit oluşturmak bilgisayar teknolojileri, güvenlik, bilgisayar ağları ve çeşitli yazılım dilleri konusunda ciddi tecrübe isteyen bir iştir. Zira Rootkit yazılımlar diğer virüslerle karşılaştırıldığında daha etkili işlevlere sahiptir ve bunların planlanması için Rootkit program-layacak kişinin ne yaptığının farkında olması ve hedefhedef sistemin inceliklerini yeterince tanıyor olması gerekir. Oluşturduğunuz bir Rootkit’i izin-siz şekilde farklı birinin bilgisayarına yerleştirmek bilişim hukuku gözünde çok ciddi bir suçtur ve ağır hapis cezasıyla cezalandırılabilir.

Rootkit VirüsüBilgisayar virüslerinin tamamı bir amaç için sistem üzerinde yer alırlar. Oysa Rootkit’ler tam olarak bilgisayar virüsü değillerdir. Bilgisayar virüsü olmamalarına karşın Rootkit yazılımları virüslerden çok daha tehlikelidir. Rootkit bilgisayarınızın sistemine yerleştikten sonra Rootkit’in yöneticisi bilgisayarınız üzerinde tam yetkiyetki sahibi haline gelir. Dolayısıyla internet korsanı Rootkit’i başarıyla sisteminize yerleştirdikten sonra;

defteri ya da sistem dosyaları gibi kalıcı bir yerde tutulan kodlar sayesinde, kullanıcının müdahale-si olmadan çalışırlar.

Hafıza tabanlı Rootkitler (Memory-Based Rootkits): Kalıcı olmadıklarından, sistem tekrar başlatıldığında çalışamayan Rootkitlerdir.

Kullanıcı modu Rootkitleri (User-mode Root-kits): Kullanıcının Windows’ta arama yaptığı arayüzde çıktıları değiştirerek, ekranda görüntülenen listeden bazı verileri kaldıran Rootkitlerdir.

Kernel modu Rootkitleri (Kernel-mode Root-kits): En etkili olan Rootkitlerdir. Kullanıcı modu Rootkitlerindeki gibi sadece arayüzü değil; Kernel veri yapılarını da etkiler. Bu Rootkitlerin yürüttüğü işlemler Task Manager (Görev Yöneti-cisi) ya da Process Explorer tarafından görüntü- lenemez.

Bilgilerinizi ele geçirmede rootkit gibi yaygın olarak kullanılan bir diğer yöntem ise Keylogger casus yazılımlarıdır. Keylogger tuş basımını takip ve izlemeye imkan sağlayan casus yazılımdır. Bu yazılım, işverenlerin çalışanların mesai saati içerisinde ne ile meşgul olduklarını takip amacı ile kullanılmasının yanında kötü amaçlı kişilerce dede hedef platformdaki kişisel şifreler, yapılan yazışmalar, kredi kartı bilgileri, kullanıcıya ait özel bilgilerin vs. elde edilmesi için kullanılır. Güvenliğinizi tehdit eden keylogger’lar çeşitli yollardan bilgisayarınıza bulaşabilir. Bu yollardan en yaygını herhangi bir programın içine keylog-ger yerleştirilerek sisteminize çalıştırılmasıdır. En büyük tehdit, şüphesiz eş zamanlı mesajlaşma

• Bilgisayarınızda kullandığınız hesapları ele geçirebilir.• Banka ve kredi kartı bilgilerinize erişebilir.• Bilgisayarınız üzerindeki erişebilir tüm dosyaları görüntüleyebilir ve hatta bu dosyaları kendi bilgisayarına transfer edebilir.•• Sizin bilgisayarınız üzerinden sanal saldırılar gerçekleştirebilir.• Bilgisayarınızı Botnet veya DDoS saldırılarının bir parçası haline getirebilir.• Bilgisayarınız üzerinden yasa dışı işlemler gerçekleştirebilir.•• Web kamerası, mikrofon vb. tüm donanımlarınızı kullanarak kişisel gizliliğinizi ihlal edebilir.• Bilgisayarınız bir devlet kurumuna karşı siber saldırıda kullanılabilir ve tüm bunlar olurken siz hiçbir şeyin farkında olmayabilirsiniz.

PPeki, sistemimizin içerisinde bir Rootkit’in yer alıp almadığını nasıl anlayabiliriz? BilgisayarınızaBilgisayarınıza bir Rootkit’in giriş yaptığının tes-piti ilk aşamada oldukça zordur. Rootkit’ler doğrudan sistemin içerisine sızdıkları ve pek çoğu işletim sisteminin çekirdeğine kendini yerleştirdiği için antivirüs yazılımları tarafından yakalanmayacaktır. Rootkit yazılımın sistemi-nizde var olup olmadığını öğrenmek için antivirüs ve güvenlik firmaları tarafından geliştirilen ücretsiz Rootkit tarama yazılımlarını indirerek bilgisayarınızda tarama işlemleri gerçekleştirebilirsiniz.

Rootkit ÇeşitleriKalıcı Rootkitler (Persistent Rootkits): Siste-min her açılışında yada kullanıcının her oturum açışında aktif hale gelen Rootkitlerdir. Kayıt

programları. Bir saldırgan size herhangi bir dosya gönderebilir. Saldırgan gönderdiği dosya (Genelde program veya fotoğraf) keylogger çalıştırmaya yeter bile.

RRootkit virüsleri oldukça zararlı virüslerdir fakat bunların sisteme bulaşması çoğunlukla kullanıcıların kendi hataları veya gösterdiği güvenlik zafiyetlerinin bir sonucudur.

Sisteminizi Keylogger ve Rootkit virüslerinden uzak tutmak için;

•• Yasal olmayan hiçbir web sitesine giriş yapmayın ve yasal olmayan ekleri indirmeyin. Sosyal ağ, e-posta, P2P ağları, üzerinden alınan ekleri açarken dikkatli olun, gerekli tarama işlemlerinden geçirmeye özen gösterin.

• Parolalarınızı kısa sürelerde değiştirmeye özen gösterin. Web sitelerinde kullandığınız parolaları otomatik olarak hatırla seçeneğinde kullanmayın.• Kullandığınız yazılım veya işletim sistemlerini yasal olmayan yollarla elde etmek için crack, keygen veya aktivikatör yazılımlar kullanmayın.•• Kullanacağınız yazılımları aracı siteler yerine doğrudan resmi kaynaklarından indirmeye çalışın.• Sisteminizde Rootkit denetlemesi yapabilecek bir güvenlik yazılımı edinin.

Kaynaklar: [1] https://goo.gl/3BLqb, [2] https://goo.gl/MD3M7, [2] https://goo.gl/MD3M7, [3] https://goo.gl/QStHA8, [4] https://goo.gl/TwzLkL, [5] https://goo.gl/s2vthD

Rootkit bilgisayarınızın sistemine yerleştikten sonra Rootkit’in yöneticisi bilgisayarınız üzerinde tam yetki sahibi haline gelir.

zararlı bir web sitesi ziyaret edildiğinde de sis-teme yüklenebilmektedir.

Keylogger Nasıl Algılanır?Keylogger yazılımın sisteminizde var olup olmadığını öğrenmek için antivirüs ve güvenlik firmaları tarafından geliştirilen ücretsiz Keylog-ger tarama yazılımlarını indirerek bilgisayarınızda tarama işlemleri gerçekleştirilebilir.

Keylogger Çeşitleri Nelerdir?Keylogger, iki ana başlık altında, yazılım tabanlı ve donanım tabanlı olarak ikiye ayrılır.

Yazılım Tabanlı Keylogger ÇeşitleriMisafir Sistem Arakatmanı (Hypervisor) Tabanlı:KKeylogger, teorik olarak işletim sistemi altında çalışan malware misafir sistem arakatmanı içinde bulunabilir, keylogger böylelikle fark edilmez hale gelir. Sonrasında etkin olarak sanal makine haline gelmektedir.

Kernel Tabanlı:İşletimİşletim sistemi içerisinde kendini gizlemek için makine üzerinde root erişimi elde eder ve kernel’e geçmek için keystroke’ları (tuş vuruşu) yakalar. Bazı keylogger’lar kernel seviyesinde gizlenir, böylelikle özellikle root erişimi olmayan kullanıcı modlu uygulamalarda algılanmaları zordur. Genellikle rootkit olarak görünerek donanımadonanıma yetkisiz erişim yapabilmek için işletim sistemi kernel’ini bozar. Bu durum keylogger’ı çok güçlü yapar. Bu metodu kullanan bir keylog-ger klavye sürücüsü olarak davranabilir. Örneğin işletim sistemine geçen klavye üzerinde tuşlanan her bilgiye erişim elde edebilir.

Keylogger Nedir?Keylogger, bir casus yazılım (spyware) veya izleme yazılımı olarak tanımlanabilir. Dijital gözetimin mukabili olan keylogger, her tıklamayı, yazışmayı ve yüklemeyi açığa çıkarır.

KKeystroke logger (tuş vuruşu loglayıcı) kısa ismi-yle keylogger, genellikle gizli olduğundan bilgi-sayar üzerindeki hareketlerin izlenildiği kullanıcının farkında olmadan, klavye üzerinde basılan her tuşun loglanmasını ve izinin sürül-mesini sağlayan bir yazılımdır. İz sürülmesi genellikle hesap bilgisi, kredi kartı numarası, kullanıcı isimleri, şifreler ve diğer özel verilerin toplanması için kötü amaçlı olarak yapılmaktadır.

Keylogger, sadece kötü amaçlı olarak değil yasal olarak da kullanılan bir yazılımdır. Ebeveynler tarafından çocukların çevrimiçi aktivitelerinin görüntülenmesi, kolluk kuvvetleri tarafından kişisel bilgisayarlarda gerçekleşen vakaların izinin sürülmesi ve analiz edilmesi, iş verenlerin çalışanların şirket bilgisayarlarındaki aktivite- lerinilerini izlemesi gibi durumlar için de kullanılan bir yazılımdır.

Keylogger Nasıl Yayılır?Keylogger, kötü amaçlı yazılımların yayıldıkları gibi neredeyse aynı yolla yayılmaktadır. Satın alımların ve güvenlik servisleri tarafından kullanımının dışında, keylogger e-posta, metin mesajları, eş zamanlı mesajlaşma uygulamaları, sosyal medya ve (P2P network (peer to peer)) uçtan uca ağlardan gelecek dosya ekleri açıldığındaaçıldığında sisteme yüklenerek de yayılabilmektedir. Keylogger, aynı zamanda

API (Application Programming Interface) (Uygulama Programlama Arayüzü) TabanlıBuBu tip keylogger’lar API klavyesinin kontrolünü alarak çalışan uygulama içerisine sızabilirler. Keylogger, malware yerine uygulamanın normal bir parçası gibi görünerek keystroke olaylarını kaydeder. Keylogger, bir tuşa basıldığında veya bırakıldığında kayıt alır.

GetAsyncGetAsyncKeyState(), GetForegroundWindow() gibi Windows API’leri, klavye durumunu öğrenmek veya klavye hareketlerini kaydetmek için kullanılmaktadır.

Form Grabbing TabanlıFoForm grabbing bir çeşit malware’dir. Form grab-bing tabanlı keylogger’lar, onay hareketlerinde ağ taramasını kaydederek ağ formu onaylarını loglar. Bu durum, kullanıcı bir formu doldurup onayladığında meydana gelir, genellikle bir tuşa tıklama veya enter tuşuna basma ile oluşur.

Javascript TabanlıKötü amaçlı bir script (senaryo) etiketi hedefle-nen web sitesine enjekte edilir, ve onKeyUp() gibi key’lerle key hareketlerini dinler. Script’ler cross-site scripting (XSS), man-in-the-browser, man-in-the-middle veya web sitenin tavizleri gibi çeşitli metodlardan yararlanılarak enjekte edilmektedir.

Hafıza Enjeksiyon TabanlıHafıza enjeksiyon tabanlı keylogger’lar, tarayıcı ve sistem fonksiyonlarıyla ilişkili hafıza tablolarını değiştirerek loglama fonksiyonlarını yürütür. Hafıza tablolarına patch geçerek veya hafızaya direkt enjekte olarak, bu teknik Win-

Windows UAC (User Account Control) Kullanıcı Hesap Kontrolünü atlatmada malware yazanlar tarafından kullanılabilmektedir.

Paket AnalizcileriHHTTP POST hareketleri ile ilişkili network trafiğini ele geçirerek enkript edilmemiş şifreleri geri kazanmayı içerir. Bu durum, HTTPS ile olan bağlantılarda daha zor yapılmaktadır.

Uzaktan Erişim Yazılımı KeyloggerUzaUzaktan erişim yazılımı keylogger’ları eklene-bilen bir özellik ile uzak lokasyondan lokal olarak kaydedilmiş veriye erişime izin veren lokal yazılım keylogger’larıdır. Uzak haberleşme, aşağıdaki metodlar kullanılarak sağlanabilir:

• Veri, bir web sitesine, veritabanına veya FTP su-nucusuna upload edilir.• Veri, periyodik olarak önceden belirlenmiş e-posta adreslerine e-posta ile gönderilir.• Veri, ekli donanım sistemi ile kablosuz olarak iletilir.• Yazılım, Internet’ten veya lokal network’ten bir lokal makineye uzaktan erişime, hedef makinada bulunan veri logları için izin verir.

Donanım Tabanlı Keylogger ÇeşitleriAygıt Yazılımı (Firmware) TabanlıKlavKlavye hareketlerini işleyen BIOS seviyesi firmware’leri bu hareketleri işlendiği sırada kaydetmesi için düzenlenebilmektedir. Fiziksel ve/veya root seviyesi erişimi, makineye ve BIOS içine yüklenen yazılım üzerinde çalışacağı donanıma uygun olarak oluşturulması gerekme-ktedir.

Akıllı Telefon SensörüAkıllı telefonlarda bulunan ivme ölçer sayesinde keystroke’lar ele geçirilebilmektedir.

Keylogger’ın Zararlarından Nasıl Korunulur?•• E-posta, P2P network, sosyal medya, metin mesajlarından gelen eklerin içerisine gömülü kötü amaçlı yazılımlarda keylogger bulunabileceğinden ekleri açarken dikkatli olunması, tedbir alınması önemlidir.•• Hesaplarınıza eriştiğiniz şifrelerin düzenli olarak değiştirimesi keylogger’a karşı bir önlem olabilmektedir.• Kimlik ve veri korunumu için antivirüs, güvenlik duvarı gibi güvenlik çözümlerinden yararlanmak keylogger’a karşı bir önlem olabilmektedir.

Klavye DonanımıDonanım keylogger’ları genellikle bilgisayar ve klavye arasında eklenen donanım devresi yardımıyla keystroke loglanması için kullanılmaktadır.

Kablosuz Klavye ve Fare Sniffer (Dinleyici)BuBu tür pasif dinleyiciler, kablosuz klavyeden/fareden alıcıya iletilen verinin pa- ketlerini toplar.

Klavye Şablonu (Keyboard Overlays)KlavKlavye şablonlarının, suçlular tarafından insanların PIN kodlarını elde etmede ATM’lerde kullanıldığı bilinmektedir. Her tuş basımı, hem ATM’nin klavyesi hem de klavyenin üzerine ge- tirilen şablona kaydedilir.

Akustik KeyloggerAkustikAkustik kripto analizi ile birinin klavye yazışmasında basılan her tuşun verdiği farklı akustik sayesinde klavye yazışmaları kayıt altına alınabilmektedir.

Elektromanyetik EmisyonKabloluKablolu bir klavyeden 20 metre öteye kadar elektromanyetik emisyonların alımı sağlanabilmektedir.

Optik GözetimATM’lerde gizli yerleştirilen kameralar ile suçlu kişi PIN kodunu görebilmektedir.

Fiziksel DelilSadeceSadece güvenlik kodu için kullanılan bir klavyede parmak izi sayesinde kod ele geçirile-bilmektedir.

Yeni bir ransomware türü olan WYSIWYE (What You See Is What You Encrypt) PandaLabs firması tarafından yakın zamanda tespit edilmiştir.

BilişimBilişim suçları arasında Remote Desktop Proto-kol ile kurumsal networke malware bulaşması popüler bir olaydır. PandaLabs tarafından son aylarda yapılan incelemelerde firmalara yapılan ransomwarelerde birçok vaka incelenmiş ve benzer saldırganlar tarafından yapıldığı tespit edilmiştir.

Siber suç teknikleri ile bilgisayara brute-force aracılığı ile erişim amaçlanır ve sonrasında şifrelemeye uyumlu malware’i otomatik olarak çalıştırır ve nihayetinde ransom mesajını görüntüler.

SonSon saldırı analizinde, PandaLabs oluşmuş malware'in daha kişiselleştirilmiş bir tür olduğunu keşfetmiştir.Bu özelliklerde saldırgan, kullanıcı dostu bir arayüz sağlayarak az bir bilgi sahibi olanlara bile şirketlerin hedeflenmesini kolay hale getiriyor.

BuBu özelleştirilmiş saldırı ile, kişiselleştirilebilen ataklarla network bilgisayarları ele geçirilerek bilgileri şifreleyebilir, dosyaları silebilir ya da gizli moda alabilir.

GenellikleGenellikle ransomware'lerin kendine has konfigürasyonları mevcuttur, sadece çalıştırmak gerekir ve heryerde aynı şekilde çalışabilir. Pan-daLabs teknik yönetici tarafından yapılan açıklamaya göre bu ransomware özellikle ku-rumsal ağlarda yapılması istenen saldırılar için tasarlanmıştır.

Dijital çevrede herhangibir şirketin hayatta ka-labilmesi için sağlam bir network güvenlik stratejisi oluşturması gereklidir.

Bilinmeyen bir siber güvenlik tehdidine karşı mümkün olan en kısa sürede etkisiz hale ge- tirmek önlemleri veya bir saldırganın sisteme girmeyi başarması durumunda engelleme işlemleri büyük bir rol oynamaktadır.

BuBu yeni atak tiplerine karşı kullanıcıların kendile-rini koruması ve kurban olmamaları için aşağıdaki tavsiyeler önerilmektedir:

* Kurumsal networkte yapılması gereken RDP bağlantıların hiçbir zaman internet üzerinde gerçekleştirilmemesi , eğer gerekli ise VPN kuru-larak iç networke erişilerek RDP erişiminin sağlanması,

* Default port olan TCP 3389 un değiştirilmesi ve bu portun firewall üzerinde engellenmesi şeklindedir.

Bunu Biliyor Muydunuz?

20162016 yılının sonlarına doğru Android cihazlarda keşfedilen yeni bir Rootkit/backdoor açığı, çoğunluğu Uzak Doğulu üreticilerin cihazları olmak üzere 3 milyon cihazı etkiliyor. Android tarafında geliştirilen uygulamalarda Google'ın sıkı politikalar yürütmemesi ve açık kaynak kodlu bir işletim sistemi sunması ister istemez kontkontrolü zorlaştırıyor ve bu tür açıklar gözden kaçabiliyor. Sistem üzerinde değişiklik yapılması da yeni açıklara sebep olabiliyor.

“PandaLabs Blog” https://goo.gl/HsxBpN

“National Vulnerability Database” https://goo.gl/ZtmN76

CVE-2017-6972------------------Unspecified vulnerability in AlienVault USM and OSSIM before 5.3.7 and NfSen before 1.3.8 has unknown impact and attack vectors, aka Alien-Vault ID ENG-104945.

This is different from CVE-2017-6970 and CVE- 2017-6971, and less directly relevant. (Additional details are expected to be released in a new public reference.)

V3: 9.8 CRITICAL V2: 10.0 HIGH

Published: March 22, 2017; 04:59:00 PM -04:00

Özet:Özet: AlienVault USM ve OSSIM sistem paketler-inde zafiyet tespit edilmiştir. Çok fazla sayıda bu-lunan zafiyetlerin başlıcaları lokal kullanıcıların yetki yükseltebilmeleri, DOS a sebebiyet verme ve uzak saldırgan tarafından rastgele kod çalıştırabilmedir. Firma tarafından bulunan zafi- yetlerle ilgili güncelleme paylaşılmıştır.Aşağıdaki linkten ilgili bütün zafiyetlere ulaşabilirsiniz.

Detaylı bilgi için: https://www.alienvault.com/forums/discussion/8698

CVE-2017-6517------------------Microsoft Skype 7.16.0.102 contains a vulner-ability that could allow an unauthenticated, remote attacker to execute arbitrary code on the targeted system.

This vulnerability exists due to the way .dll files are loaded by Skype. It allows an attacker to load a .dll of the attacker's choosing that could ex-ecute arbitrary code without the user's knowledge.The specific flaw exists within the handling of DLL (api-ms-win-core-winrt-string-l1-1-0.dll) loading by the Skype.exe process.

V3: 9.8 CRITICAL V2: 10.0 HIGH

Published: March 23, 2017; 04:59:00 PM -04:00

Özet:Özet: Microsoft Skype üzerinde dll hijacking zafiyeti ile doğruluğu ispatlanmamış saldırganlar tarafından hedef sistem üzerinde rastgele kodlar çalıştırılabilmektedir. Şu an için 7.16.0.102 versiyonunda zafiyet olduğu be-lirtilmektedir, diğer versiyonlarla ilgili bilgi bbulunmamaktadır. Henüz firma tarafından zafi-yetle ilgili bir güncelleme paylaşılmamıştır.Aşağıda paylaşılan linkten ref-erenceslar bölümünden daha detaylı bilgilere ulaşabilirsiniz.

Detaylı bilgili için: http://cve.mitre.org/cgi-bin/cvename.cgi?name =CVE-2017-6517

SIEM Sİstemi, tüm sunucu ve ağ sistemlerinden toplanan güvenlik loglarının, merkezi olarak saklandığı, izlendiği ve ilişkilendirme özellikle- riyle özel alarmların oluşturulduğu yapılanmadır. Bu platformların yönetim ve bakımı da plat-forma yapılan yatırım kadar önemlidir. Koç-Sistem bu açığı kapatmak adına SIEM yönetimini hizmet olarak müşterilerine sağlamaktadır. Mevcut durumda KoçSistem bünyesinde birçok sunucu için loglama hizmeti verilmektedir. Bunlar kanuni yükümlülükler ve güvenlik ihtiyaçlarına yönelik hizmetlerdir.

5651 yükümlülüğü kapsamında toplanması ge- reken logların yasanın öngördüğü şekilde saklanması, tüm sistemlere ait sistem ve network loglarının toplanıp ilişkilendirmelerle anlamlı hale getirilmesi, geriye dönük olay takibinin ve izlemenin yapılmasını sağlar.

Log YönetimiBuBu hizmet firma altyapısını oluşturan her türlü yazılım ve donanımların ürettiği kayıtların (log) tek bir merkezde toplanmasını, arşivlenmesini ve bu kayıtları belirli bir düzen ve yapıya göre sorgulanmasını, filtrelenmesini ve raporlanmasını sağlar. Sistemlerden toparlanan tüm loglarda oluşabilecek şüpheli durumları tespittespit edebilmek için, logların analizi gerekmek-tedir. Bilgi güvenliği ve olay yönetimi (SIEM) sistemleri sayesinde, kişi hatasına mahal ver-meden, logların ilişkilendirilmesiyle şüpheli olaylar net bir şekilde ortaya çıkartılabilmektedir. Her ne kadar, log yönetim sistemleriyle logları toplamak gerekli olsa da yeterli değildir. Toplanan bu logların birbirleriyle ilişkilendirilmesi ve otomatik olarak analizlerinin yapılması gerek-

mektedir ve bu sebeple SIEM sistemleri büyük önem taşımaktadır.

KorelasyonSIEMSIEM hizmeti, KoçSistem’den dedike veya paylaşımlı log yönetimi hizmeti alan müşteriler için talep edilmesi halinde sunulmaktadır. Bu hizmet ile farklı sunucu ya da network cihazlarından toplanan loglar belirlenen korelas-yon politikaları çerçevesinde anlamlı hale get-irilir. Bu sayede olay öncesi için oluşturulan alarmlarla proaktif bir izleme sağlanabilirken, olay sonrasında da detaylı analiz yapılması sağlanır.

KoçSistem SIEM hizmeti, müşteri sunucularının ve/veya kullanıcılarının toplam anlık üretebileceği olay sayısına ve korelasyon sayısına göre ücretlendirilir. Korelasyon politikalarının hazırlanması ve uygulanması hizmet dahilinde sağlanmaktadır.

Kullanıcının davranış profili dışında bir harekette bulunması alarm olarak tetiklenir. UBA uygulaması, izleme, algılama ve soruşturma işlemlerini hızlandırarak güvenlik analistlerinin daha üretken olmasına ve içeriden öğrenenlerin tehditlerini daha verimli bir şekilde yönetmesine yardımcı olur.

KullanıcıKullanıcı Davranış Analizi (UBA) uygulaması, kuruluşunuzun Active Directory'sini veya birlikte verilen Referans Veri Alma (LDAP) uygulamasını kullanarak, ağınızdaki kullanıcıların risk profill-erinin hızlı bir şekilde tespit edilmesine ve uygu-lama uyarıları verdiğinde hızlı aksiyon alınmasına yardımcı olur

SIEM Yönetim Hizmeti kapsamında Kullanıcı Davranış Analizi (UBA) uygulamasını da müşterilerimize sunmaya başladık. UBA uygulaması, anormal veya kötü amaçlı davranışları saptamak için yeni, verimli bir araç sağlar. Kullanıcılarınız, ağınızda yaptıkları her riskli hareket için bir risk puanı alırlar. UBA uyuygulaması, kullanıcı davranışlarında sapmalara yeni bir bakış açısı getirerek riskli kullanıcı etkin-liklerini tespit edip önceleyerek ağlardaki kim-lerin olduğunu hızlı bir şekilde gösterebilir. UBA uygulaması, davranış bazlı anomali tespiti yeteneğine sahiptir. Uygulama üzerinde bulu-nan davranış kuralları ve analitiği ile kullanıcıların davranış profillerini oluşturur.

Her sene IBM tarafından düzenlenen; bulut bilişim, mobil teknolojiler, DevOps, güvenlik, nesnelerin interneti gibi pek çok önemli konu hakkındaki son gelişmelerin aktarıldığı; yaklaşık 20000 kişiye ev sahipliği yapan IBM Interconnect 2017 etkinliğine KoçSistem olarak bu sene de katılım gösterdik. Türkiye’de Güvenlik OperasOperasyonları Merkezini (SOC) hizmet olarak sağlayan ilk firma olarak; sektördeki yenilikleri görmek ve teknoloji gündemini gözlemlemek adına Las Vegas’ta bilişim dolu 5 gün geçirdik.

Güvenlik ve SIEM ürünlerinin son birkaç sene içerisinde seviye atladığını aktarmadan geçemeyeceğiz. Bu sebeple bu ürünlerin gelişimine paralel olarak yetişmiş insan gücü sağlamak da bir diğer önemli nokta olarak öne çıkıyor. IBM de bu noktada bu insan gücüne yardımcı olmak maksadıyla Watson’ı bir akıllı gügüvenlik uzmanı olan Havyn’a dönüştürmüş. Havyn güvenlik analistlerinin ihtiyacı olduğu an-larda olay yönetimi kapsamında kanıtlar toplayıp analiste sunuyor. Hatta analistin yaptığı güncellemeleri güvenlik yöneticilerine de ba-sitçe seslenerek aktarıyor. Şu anda sadece IBM Güvenlik Operasyonları Merkezleri’nde çalışan Havyn kısa zaman içerisinde global bir servis olarak çalışmaya başlayacak.

Dünya üzerinde gerçekleştirilen atakların karmaşıklaşmasıyla birlikte farklı üreticilerin birlikte çalışma zorunluluğu da ortaya çıktı. Gerek topladıkları siber istihbaratları paylaşmak gerekse tespit edilen bir ilk-gün atağı konusun-da müttefiklerine ve kamuya bilgi sağlamak ko-nusunda üreticiler birlikte verimli olarak

çalışmaya başlamışlardı; ancak paralelde üreti-cilerin diğer platformlar üzerinde çalışabilecek eklenti yazma ihtiyaçları da gelişti. Bu ihtiyaç SIEM ürünlerinin de zenginleşmesine yardım etti ve birçok firma QRadar eklentilerini yayınladı ve geliştirdiler. Bu eklentilerle birlikte analistlerin üzerindeki birçok yük de cihaz ve üretici oto- masmasyonuyla kaldırılmış oldu. Interconnect 2017 süresince bu firmalar QRadar üzerine geliştirdikleri eklentileri bizlerle paylaştı.

KoçSistem olarak etkinlikte süresince yaptığımız incelemelerde; kullandığımız olay yönetimi platformları, bu platformları beslediğimiz siber istihbarat servisleri, olay yönetimi süreçlerini işlettiğimiz otomasyon platformları ve hizmet kataloğumuza dahil ettiğimiz yeni servislerle birlikte sadece Türkiye’de değil bulunduğumuz coğracoğrafyada da güçlü bir SOC servis sağlayıcısı olduğumuzu görmek bizim için tüm etkinliğin en sevindirici çıktısı oldu.

KoçSistem SOC Recorded Future YatırımıTTürkiye’nin ilk 7/24 SOC hizmet sağlayıcısı olan KoçSistem bu alandaki liderliğini perçinlemek adına SOC alanında yeni yatırımlar yapmaya devam ediyor. 3 senedir bu hizmeti ülke çapında vermekte olan KoçSistem edindiği deneyim ve tecrübelerin yanında, hizmetteki risk faktörlerini en aza indirmek için olay yönetimi kapsamında birbir çok ilke imza attı. Son olarak da Türkiye’de ilk olarak İsveç menşeli Recorded Future firmasının siber istihbarat servisine yatırım yapan Koç-Sistem, bundan böyle hizmet verdiği müşteriler özelinde web, deep web ve dark webdeki tüm tehditleri anlık alıp, analiz ediyor olacak. Ayrıca dünya genelinde yaşanmakta olan atak trendleri, metodları ve saldırgan gruplar hakkında devamlı raporlar da KoçSistem SOC ekibi tarafından müşterilere sağlanacak.

KoçSistem SOC Ekibi web, deep web ve dark web üzerinde tespit edilen tüm tehdit trendlerini takip edecektir.

Bu modelle müşterilerin güvenlikle ilgili kapsamını her gün arttırmayı hedeflemekte olan KoçSistem ürün kataloğuna kattığı ve katmayı planladığı yeni servislerle beraber yoluna emin adımlarla ilerlemeye devam edecektir.