Upload
bga-bilgi-guevenligi-as
View
221
Download
3
Embed Size (px)
Citation preview
SOC EKİPLERİNİN PROBLEMLERİNEGÜNCEL YAKLAŞIMLAR
O N U R A L A N B E LN E T S E C T R
2
Hakkımda• Bilgisayar Mühendisi (İYTE)
• Kurucu @cricomtr (cri.com.tr)
• Geliştirici @TaintAll (taintall.com)
• Uygulama Güvenliği Araştırmacısı
• Github: github.com/onura
• Twitter : @onuralanbel
• https://packetstormsecurity.com/search/?q=onur+alanbel
Görev ve Sorumluluklar
S İBER OLAY ÖNCES İ
• Logların merkezi olarak yönetilmesi• Farkındalık çalışmaları• Sızma Testi vb sonuçlarının analizi
S İBER OLAY ESNASINDA
• Operasyonel birimlerle koordinasyon• Adli birimler, basın vb. koordinasyon
S İBER OLAY SONRASI
• Raporlama• Ders çıkarma ve iyileştirme
4
DETAY ANAL İZLER YAPMAK
İHT İYAÇ DURUMUNDA AKS İYON ALMAK
ALARMLARA BAKMAK
LOGLAMA ALTYAPISININ BAKIMI VE DEVAMLILIĞ INI SAĞLAMAK
Pratikte Olan
5
01 02 03 04 05
WEB APPLICATION
ATTACK
MISC EXPLOIT
Problem IEkibin analiz gücünden çok daha fazla alarm oluşması
VIRUS FOUND
PORT SCANINTRUSIONATTEMPT
6
01
02
03
Çözüm IDaha iyi korelasyon
Optimizasyon / Tuning
Ekibin gücünü arttırma
7
Birbiriyle ilişkisi olabilecek alarmları farklı ekip üyelerinin analiz etmesi
AHMET1
MUSTAFA3
AHMET4
KAD İR6
G İZEM2
MURAT5
CANAN8
HAKAN7
Problem II
8
01
Çözüm II
Ekip içinde koordinasyonu arttırma
9
01 02 03 04 05
Problem IIIBiriken alarmlardan önce hangisine bakılmalı
10
Çözüm III
01
02
Alarmları önceliklendirme
SIEM skorlaması ne kadar detaylı ?
11
05:09 05:12 10:30 11:45
Olayın gerçekleşme zamanı
1
2
SOC ekibine alarmın düşmesi
SOC ekibinin alarmı incelemeye başlaması
3
4
Delillerin toplanması
Problem IVOlayın olduğu zaman ile analiz zamanı arasında geçen süreden dolayı delil kaybı
12
01
Çözüm IV
Otomasyon
13
77%
63%
50%
37%
22%
Problem V
Güvenlik ürünlerine yapılan yatırım ne kazandırdı ?
14
01
Çözüm V
Ürünlerden elde edilen çıktının analizi ve raporlanması
0
40
80
120
160
April May June July August
15
SOC ekiplerine yapılan yatırım ne kazandırdı ?
Problem VI
16
Çözüm VI
01
02
Ticketing sisteminden elde edilen çıktının analizi ve raporlanması
Gerçek olaylarla karşılaştırma imkanı
Bonus
Şirketin kendine has güvenlik risklerine göre yatırım alanlarını önceliklendirebilir.
17
18
SIEM’de oluşan alarmları analiz et ve tehditleri belirle
Bizim Çözümümüz
Kill Chain adımları ve sızma senaryolarının parçalarını yakalayabilmek için tehditleri analiz et
Tehditler üzerinden IP repütasyonundan host IoC’lerinin toplanmasına kadar farklı veri zenginleştirme adımları gerçekleştir
Tehditleri önceliklendirmek için risk skorlama algoritmasını çalıştır