CIO`lardan Ne İstiyorsunuz?

Transkript

2013
• CIO’LARDAN NE İSTİYORSUNUZ?
• WINDOWS AZURE’DA GÜVENLİK
• BIG DATA İÇİN RADIKAL YEDEKLEME: ACTIFIO
• UNDERGROUND
• SKYBOX SECURITY
• VERİ DEPOLAMA SİSTEMLERİ
• YENİ SAVUNMA HATTIMIZ: DNS
• MCAFEE NEXT GENERATION NETWORK IPS V7.5
Mayıs 2013 beyazşapka 1
Seminerlerimizden Kareler
2 beyazşapka Mayıs 2013
Değerli abonemiz,
İçindekiler
04 >> CIO’lardan Ne İstiyorsunuz?
Serkan Akcan
06 >> Windows Azure’da Güvenlik
Burçak Çakıroğlu
10 >> Big data için radikal yedekleme: Actifio
Bilgehan Poyraz
12 >> Underground
İrfan Kotman
14 >> Skybox Security
Ozan Özkara
17 >> Veri Depolama Sistemleri
Tarkan Çiçek
20 >> Yeni Savunma Hattımız: DNS
Altuğ Yavaş
22 >> McAfee Next Generation Network IPS V7.5
Serkan Kırmızıgül
Bir önceki Beyaz Şapka sayısında Nebula olarak bilgi güvenliği
konusunda yürüttüğümüz faaliyetleri genişleteceğimizden söz etmiştik.
Sözümüzü tuttuk ve bilgi güvenliği adına elimizden gelen tüm çabayı
sarf ettik.
21 Mart Perşembe günü sponsoru olduğumuz IDC IT Security
Roadshow İstanbul konferansına katıldık. Standımızda müşterilerimize
katılımcılara yeni nesil SIEM, IPS, Anomaly Detection ve Database
Security çözümlerini detaylıca tanıtma imkânı bulduk. 7-9 Nisan
tarihleri arasında ise sponsoru olduğumuz IDC CIO Summit 2013
konferansı için Antalya’da Rixos Sıngate Beldibi otelindeydik.
IDC CIO Summit konferansında CIO’ların dikkatini bilgi güvenliği
konusunda çekmek için bir anket düzenledik ve konferans sırasında
katılımcılara dağıttık. İlginizi çekeceğini düşündüğümüz anket sonuçları
ile ilgili yazıyı bu sayımızda Serkan Akcan’ın yazısında bulabilirsiniz.
25 Nisan Perşembe günü seminerlerimizin daimi mekanı Point
Hotel’de McAfee Enterprise Security Manager (SIEM) seminerimizi
gerçekleştirdik. Seminerimize katılan yaklaşık 30 misafirimiz canlı
sistemler üzerinde yeni nesil SIEM çözümlerimizi inceleme imkânı
buldu.
Mayıs ayında etkinliklerimiz devam ediyor. 16 Mayıs Perşembe günü
Ortaköy Feriye Lokantasında yapılacak olan IDC Bulut Bilişim ve Veri
Merkezi Konferansına sponsor olarak katılım gösteriyoruz. 21 Mayıs Salı
günü Point Hotel’de McAfee Network Security Platform seminerimizde
müşterilerimize Network IPS pazarında yaşanan devrimi göstereceğiz.
29 Mayıs Çarşamba günü yine Point Hotel’de büyük sistemler ve büyük
verinin yedekleme işlemlerini kolaylaştıran Actifio ürün semineri ile
aktivitelerimizi yaz dönemi sebebiyle sonlandıracağız.
Seminerlerimize kayıt olmak için web sitemizde bulunan formları
doldurmanız yeterlidir. Etkinliklerimizi ve daha fazlasını CRM
sistemimizi kullanarak eposta aracılığı ile abonelerimize duyurmadan
önce Facebook sayfamız ve twitter hesabımızdan yayınladığımızı
hatırlatmak istiyoruz.
www.nebulabilisim.com.tr
www.facebook.com/nebulabilisim
www.twitter.com/nebulabilisim
Beyaz Şapka Nebula Bilişim tarafından
üç ayda bir yayınlanan ve Nebula Bilişim
Güvenli Günler!
müşterilerine ücretsiz dağıtılan
bir broşürdür. Beyaz Şapka Nebula
Bilişim’in tescilli markasıdır ve
Beyaz Şapka Ekibi
her hakkı saklıdır.
Serkan AKCAN
[email protected]
CIO’lardan Ne İstiyorsunuz?
IDC CIO Summit 2013 konferansı için müşterilerimize CIO’lardan
ne beklediklerini sorduk. İşte cevaplarınız.
IDC CIO Summit 2013 konferansı 7-9 Nisan tarihlerinde Antalya’da yapıldı.
Nebula olarak sponsor olduğumuz konferansta CIO’ların bilgi güvenliği
konusuna ilgilerini çekmeye çalıştık. Ürün ve hizmet broşürleri dağıtmak
yerine bir anket çalışması yapmaya ve sonuçları CIO’larla paylaşmaya
karar verdik. Kurumlarda mühendis ve orta düzey yönetici olarak görev
yapanlara CIO’lardan ne istediklerini soran bir anket düzenledik ve temel
sorularla birlikte CIO’lara iletmek istedikleri mesajları sorduk. Anket
sonuçlarını konferansın bilgi güvenliği oturumlarında dağıttık.
Anketimiz Nebula’nın kurumsal web sitesi üzerinden yapıldı ve toplam
80 katılımcı anketi doldurdu. Daha doğru veri üretebilmek için anket
katılımcılarının kişisel bilgilerini sormadık. Malumunuz, bilgi güvenliği
konusundaki zafiyetleri hiç kimse ifşa etmek istemez.
Aşağıda anketimizin sorularını, cevaplarını ve kişisel yorumlarımı
bulacaksınız.
1. Bilgi güvenliği konusunun
CIO ve diğer üst düzey
yöneticilerin gündeminde
yeteri kadar yer aldığına
inanıyor musunuz?
Evet
alırken, şirket mobilyalarımızı seçerken ve satış ekibine tablet alırken en
ucuzunu tercih etmiyorsak bilgi güvenliği konusunda da aynı bonkörlüğü
göstermemiz gerekir. Anketin tüm katılımcıları da bütçelerin yetersizliğini
açıkça ortaya koymuş.
3. Sizce bilgi güvenliği
bütçeniz hangi oranda
büyütülmeli?
%0-15
%15-30
%30-50
%50+
Bütçe artış beklentisi açık ara %15-30 bandında. Makul ve kimseyi
üzmeyecek bir sonuç.
4. Kurumunuzda Security
Operations Center (SOC)
birimi bulunuyor mu?
Hayır
Bir banka şubesi güvenlik görevlisi olmadan açılamıyor ama bir bilişim
sistemi gerekli testler yapılmadan ve önlemler alınmadan hizmete
sunulabiliyor. Soruya verilen cevapları bilgi güvenliğinin bir zorunluluk
olduğunu üst yöneticilere daha iyi anlatmamız gerektiğini gösteriyor.
2. Kurumunuzun bilgi
güvenliğine yeterli bütçeyi
ayırdığını düşünüyor
musunuz?
Evet
Hayır
Security Operations Center (SOC) kavramı gelişmiş ülkelerde son derece
yaygınken ülkemizde henüz yeterli bilincin ve yatırımın olmadığını
görüyoruz. Önümüzdeki 3 yıl boyunca bolca SOC kavramından
konuşacağız.
5. Kurumunuz bilgi
güvenliği eğitimleriniz ve
sertifikasyonlarınız için yeterli
kaynağı sağlıyor mu?
Evet
Hayır
Bütçe konusunda iki yönlü sıkıntı olduğunu biliyoruz. Birincisi yapılması
gereken bilgi güvenliği yatırımlarının bütçe düşüklüğü nedeniyle
gerçekleştirilememesi. İkincisi ise yapılan yatırımlarda ucuz ürün tercih
edilmesi. Bilgi güvenliği gibi kritik bir alanda ucuz olan değil işi gören
teknolojilere yatırım yapılması gerekir. Nasıl şirket yöneticilerimize araç
Evet
Hayır
İstatistik açısından yeterli eğitim ve sertifika kaynağı ayırma oranı %55
ancak bu gerçek dünyada tatmin edici bir oran değil. Bilgi güvenliğinin en
önemli adımının eğitim olduğunu yöneticilere daha iyi anlatmamız gerekli.
6. Kurumunuz istediğiniz
üretici ve hizmet sağlayıcı
şirketlerle çalışmanıza olanak
sağlıyor mu?
Evet
Hayır
Türkiye’deki bilgi güvenliği teknolojileri yatırımı genel olarak önleyici
ürünlere yönelmiş durumda. Veri sınıflandırma, risk analizi, olay
yönetimi, regülasyon yönetimi ve otomatik iyileştirme teknolojilerine
henüz yeteri kadar yatırım yapılmamış durumda. SIEM, GRC, Privilege
Management ve Risk&Compliance türü ürün grupları önümüzdeki
dönemde ilgi görecek gibi.
11. CIO’nuza ve diğer CIO’lara mesajınız var mı?
Anketin pozitif sonuç veren tek sorusu. Yöneticiler genel olarak teknik
tercihleri teknik ekiplere bırakıyor. %19’luk dilimin kaynağı ise büyük
ihtimal yurtdışı kökenli şirketlerin yurtdışı standartları gereği ürün
tercihini ülkemizde yapamıyor olması.
7. Bilgi güvenliği ile
görevlendirilmiş personel
sayınızın yeterli olduğunu
düşünüyor musunuz?
• Aslında gündemden düşmemesi ve gereken hassasiyetin gösterilmesi
gereken konuda, özellikle yapılan yatırımların gereksiz ve boşuna
yapılan bir masrafmış gibi düşünüldüğünü sanıyorum. Atalarımızın
dediği gibi “bin nasihattan bir musibet evladır” anlayışının güvenlik
konusunda geçerli bir anlayış olmaması gerektiğini, olası bir güvenlik
ihlalinin, şirketlere sadece bilgi ve maddi kayıplar yaşatmadığını,
şirketlerin doğrudan prestij ve geleceğini etkilediğinin altının çizilmesi
gerektiğini ifade etmek istiyorum.
• CIO’lara bilgi güvenliği ihlalleri hakkında haftalık brifing talep etmelerini
öneriyorum. Bu bilgi güvenliğine verilen önemi güçlendirecektir.
Evet
Hayır
Anketin negatif cevabı en yüksek olan sorusu. SOC sorusundan bile daha
kötü bir sonuca sahip. Bilgi güvenliği ürün, teknoloji ve yönetmelikleri çok
fazla zaman alıyor. Teknik ekipler birçok teknik çalışmayı mesai saatleri
dışında yapmak zorunda kalıyor. Yeterli personel yok ve bilgi güvenliğinin
olmazsa olmazı olan araştırma-geliştirmeye zaman bulmak imkânsız.
Teknik ekipler CIO’lar sesimizi duysun diye haykırıyor sanki.
8. Bilgi güvenliği yönetimini
kurumsallaştırabildiğinizi
düşünüyor musunuz?
Evet
Hayır
Bankaların bir bölümü ve Telekom operatörleri hariç genel olarak Türkiye’de
bilgi güvenliği konusunun kurumsallaştırılamadığı bilinen bir gerçek.
9. Bilgi güvenliği konusunda
dış kaynak kullanımı ve
destek sözleşmelerinizin
yeterli olduğunu düşünüyor
musunuz?
Evet
Hayır
Bilgi güvenliği ürünlerinin her biri artık kendi başına bir mühendislik
harikasına döndü. Kurumların teknik personellerinin dış kaynaklı destek
ihtiyacı hızla büyüyor ve talep gittikçe artıyor.
10. Kurumunuz gerçek
zamanlı olarak bilgi
güvenliği riskini ölçüp anında
gösterebilen bir güvenlik
teknolojisine sahip mi?
Evet
Hayır
• Son dönemin en popüler konularından biri olan Bilgi Güvenliği
konusunun artık devletler boyutunda (bkz. Wikileaks) önem kazanmış
olması, bu konuya firmaların ne kadar ciddi yaklaşması gerektiğine
güzel bir örnek. Bu nedenle Bilgi Güvenliği konusunun tüm kurum
çalışanlarının bir çalışma kültürü haline gelmesi gerekiyor. Bu konuda
yapılacak yatırımların çok daha büyük cezai yaptırımları engelleyeceğini
unutmamak gerekli.
• Bilgi güvenliği konusu şirketin geleceğinin teminatıdır. CIO’lar
bilgi güvenliği konusuna daha çok zaman ayırmalı ve bilgi güvenliği
çalışmalarını daha çok desteklemelidir.
• CIO’lardan bilgi güvenliği yatırımlarını önceliklendirmelerini talep
ediyorum.
• Yöneticilerimizin Amerika’yı yeniden keşfetmemek adına güvenlik
ürün üreticileri ve hizmet sağlayıcıları ile daha stratejik ilişkiler
geliştirmesi gerektiğini düşünüyorum. Her ürün grubunda en az 5 ürün
denemek gereksiz zaman kaybına neden oluyor.
• CIO’lar önleyici güvenlik teknolojileri kadar izleme, raporlama ve risk
yönetimi teknolojilerine de yatırım yapılmasını sağlamalılar.
• Özelleştirilmiş ve sürekli hale getirilmiş güvenlik danışmanlık ve
denetim hizmetilerine ihtiyaç duyuyoruz.
• CIO’lardan önemlemleri zamanında almalarını, iş işten geçtikten sonra
sorumlu aramamalarını istiyorum.
Sonuç:
Türkiye’de bilgi güvenliği başarımının pek yüksek olmadığını hepimiz
biliyoruz. Yaptığımız anket çalışması bunun sebeplerini çok net biçimde
gösteriyor. Maalesef bilgi güvenliği konusu hak ettiği bütçeyi, insan
kaynağını ve ilgiyi göremiyor. Umarız ki anket çalışmamız amacına
ulaşır ve kurumlar için misyon kritik öneme sahip olan bilgi güvenliği
konusuna CIO’ların gösterdiği ilgiyi arttırır. Biz Nebula olarak bilgi
güvenliği konusunun hak ettiği önemi görmesi için tutkuyla çalışmaya
devam edeceğiz.
Burçak Çakıroğlu
[email protected]
Windows Azure’da Güvenlik
Bildiğiniz üzere bu yılın BT dünyasının en çok konuşulan konularının arasında
ilk sıralarda “Bulut Bilişim” gelmekte. Dolaysıyla da arkasından gelen bilgi
güvenliği konusunda yüzlerce, binlerce soru. Pekte haksız sayılmazsınız.
Bilinmeyen bir yerde, bilinmeyen bir personelin işlettiği, bilinmeyen bir sistem.
Güvenlik kısmına geçmeden önce platform ile ilgili kısa bir
Diğer korkulan bir konu ise de veri merkezlerinin fiziksel ve
önbilgi vermek isterim:
sanal saldırıya açık olması.
Windows Azure, Microsoft’un Genel Bulut uygulama
Peki Windows Azure gibi herkesin gözü önünde olan bu veri
ve altyapı platformudur. Bu platformu pek çok şekilde
merkezlerinde ne gibi öğeler tehdit olarak algılanabilir?
kullanabilirsiniz. Örneğin Windows Azure ile verilerini
Aklıma ilk gelen konular arasında:
Microsoft veri merkezleri üzerinden çalıştıran ve saklayan
bir
internet
uygulaması
hazırlayabilirsiniz.
Windows
• Fiziksel: Veri merkezlerine olabilecek fiziksel saldırı
Azure’u, verileri kurum içerisinde (yani genel bulut dışında)
• Kullanıcı: Kullanıcı hataları, erişim yetkisi olamayan
kullanan uygulamalar için sadece veri depolamak amacıyla
yerlere erişim çabası, destek personelinin müşteri verisine
da kullanabilirsiniz. Windows Azure’u geliştirme ve test
erişimi... vs.
işlemleri veya SharePoint ve diğer uygulamaları çalıştırmak
amacıyla sanal makineler oluşturmak için de kullanabilirsiniz.
Windows Azure’u çok ama çok sayıda kullanıcıya sahip çok
büyük ölçeklendirilebilir uygulamalar oluşturmak için de
• İnternetten gelen saldırılar: DDoS atak, sniffing... vs.
• İç ağdan gerçekleşen saldırılar: Bir başka Windows Azure
müşterisinden gelen saldırılar
kullanabilirsiniz. Platform pek çok hizmet sunduğundan tüm
• Sunucular: Sanal makinelerden ana donanıma erişim
bunlar ve çok daha fazlası mümkündür.
• Uygulamalar: Sanal makine üzerinde koşan uygulamanın
işletim sistemine, donanıma ve veriye olan erişim hakları.
Bugüne kadar ziyaret ettiğim
müşterilerde buluta geçmek
Bu makalede, yukarıdaki tehditlere karşılık Microsoft veri
için
duyulan
merkezlerinde alınan önlemler, kurulan sistemlerin yanı sıra
konuların başında, verisinin
aşağıda bana en çok sorulan soruları da elimden geldiğince
kendi kontrolünde olmaması
cevaplamaya çalışacağım:
ve ülke dışında tutulmasının
• Verimin güvenliği nasıl sağlanıyor?
tereddüt
geldiğini görüyorum.
Verinizi
taşımamanız
• Verim bana özelliği nasıl sağlanıyor?
demek
bulut
hizmetlerinden
• Verimin sürekliliğini ve yedekliliğini nasıl sağlıyorsunuz?
yararlanamayacağınız anlamına gelmez.
• Veri merkezi çökerse, verime ne oluyor?
Unutmayalım ki Windows Azure veri merkezleri ile şirketiniz
• Saldırılar nasıl önleniyor?
arasında kurulacak uçtan uca sanal ağ yardımı ile kritik
• Azure ’da güvenlik duvarı yönetilebilir mi?
bulduğunuz verileri şirket içinde tutarken diğer verileri ve
• Verime benden başkasının erişme yetkisi var mı?
uygulamalarınızı buluta taşıyabilirsiniz. Windows Azure’da
• Veri merkezleri ve müşteri arasındaki bağlantı güvenli mi?
veri yönetimi dışında da kullanabileceğiniz birçok servis de
bulunmaktadır.
• Verimi sildiğimde fiziksel olarak silindiğinden nasıl emin
olabilirim?
Tüm bu sorulara verilecek en kolay cevap, Windows Azure
’un genel güvenlik yapısından sizlere biraz bahsetmek
olacaktır.
• ISO / IEC 27001:2005
• PCI (Ödeme Kartları) Veri Güvenlik Sertifika Standardı
Genel Windows Azure Mimarisi
• Windows Azure
• Veri Merkezi
• SSAE 16/ISAE 3402
• FISMA Sertifika ve Eşitlik Belgesi
• HIPAA/HITECH Act
• Çeşitli devlet, Federal ve Uluslararası Gizlilik Kuralları
• Fabric Controller (FC):
Makineleri
monitör
eden,
kontrolü
sağlık
Alınan yönetişim sertifikalar arasında:
Windows Azure’da İzolasyon
• DDoS atak önleyiciler
yapan, provision eden ve
kuran bir sistemdir.
• Hypervisor: Sanallaştırma
• Ağ katmanında, Microsoft VLAN ve paket filtreleri ile iç
kullanıcılar arasındaki ağ ve internet erişimini ayırıyor.
teknolojisi, bir host makinede
• İletişim FC (Fabric Controller) VLAN’dan ana VLAN’a
aynı anda birden çok işletim sistemini, yani guest sanal
izin verilir, ancak ana VLAN’dan FC VLAN için bu iletişim
makineleri koşturabilen sistemdir.
başlatılamaz.
• Donanım
iletişimde engellenir.
Ana
VLAN’dan,
cihaz
VLAN’ınına
olan
Genel Windows Azure Güvenlik Katmanları
Bu katmanların bir kısmına biraz daha detaylı değinmek
gerekirse:
Microsoft Veri Merkezi Altyapısı
• Misafir sanal sunucular özel bir Windows Server versiyonu
kullanırlar. Sunucu rolüne bağlı olarak sınırlı sayıda aygıt
Fiziksel katman olarak, Windows Azure sunucuları, en iyi
sürücülerine sahiptirler.
endüstri standartlarını kullanan Global Foundation Services
(GFS) tarafından işletilen veri merkezlerinde saklanıyor. Bu
• Windows Güvenlik Duvarı her sanal sunucuda etkindir.
standartlar arasında:
Sunuculara olan dış ve iç iletişim kullanıcı tarafından
• 24 x 7 güvenli erişim
• Video kamera gözetimi
tanımlanan portlar ile sağlanır. İç ve dış sistemlere sadece
bu portlar ile erişim sağlanabilmektedir.
• Hareket sensörleri
• Hypervisor doğrudan donanım üzerinde çalışır ve bir
• Güvenlik ihlali alarm
node’u birçok sanal makineye böler. Her node, üzerinde host
• Biyometrik kontrollü geçiş sistemleri
işletim sistemi koşan bir root sanal makineye sahiptir. Azure,
• Gelişmiş yangın ce duman detektörleri
sadece host sanal makinelerin ihtiyacı olan bileşenlere sahip
hafifletilmiş bir Windows Server versiyonu kullanır. Bu hem
• Müşteri, Windows Azure’u Web Yönetim Portalı veya
performansını artırmak için hem de saldırı yüzeyini azaltmak
Uygulama Programlama Ara yüzleri (API) aracılığı ile
için yapılır.
abonelikleri ve bu aboneliğe bağlı LiveID leri ile erişebilirler.
• Sanal
makinelerin
ağ ve disklerine olan
tüm
erişime
root
işletim sistemi aracılık
eder.
sanal
hakları verebilirler. Bu kişilerinde operasyonel yaptığı tüm
aktiviteler loglanmaktadır. Azure ve müşteri arası iletişim
SSL li olabilir tercihe bağlı olarak.
• Müşteri verisi özel ve genel asimetrik şifreleme anahtarları
• Hypervisor
sanal
Bu ara yüzlerden tanımladıkları diğer kullanıcılara da erişim
ağ
’ün
switch’i
makinelere
ile transfer ve depolama esnasında şifreli tutulur.
• Windows Azure müşteri destek personeli, sanal sunucu
ve
üzerinde oturum açma hesabı oluşturmadan ve daha sonra
makinelerden olan tüm
bağlantı sağlamak için RDP kullanmadan müşterinin sanal
trafiği
makinesine erişemez. Böylece müşteri tüm bu yapılan
filtreler.
Aynı
zamanda aynı fiziksel hostta bulunan diğer sanal sunuculara
aktivitelere event log dan takip edebilir. Kısacası Windows
olan sniffer bazlı atakları da engeller. Ayrıca broadcast ve
Azure müşteri destek personeli tarafından yapılan tüm
multicastleri engeleyen diğer filtrelerde bulunur.
erişimlerden müşterinin haberi olur.
Müşteri Verisine Erişim
• Müşterinin kendisi dışında müşteri verisine, müşteri
• Windows Azure müşterilerinin ham depoya erişim hakları
onaylı olmak şartıyla sorun çözmek amaçlı müşteri destek
bulunmamaktadır. Müşteri yeni depo kullanmak istediğinde,
personeli de erişebilir. Bu destek personeli iki öğeli kimlik
ancak depo üzerindeki var olan geçmiş veriler üzerine
doğrulama sistemi olarak kullanılan Microsoft AD kullanıcısı
yazıldıktan sonra kullanılabilir halde müşteriye verilir.
ve Smart kartlar ile erişim sağlayabilirler.
Deponun üzerine yazılma işlemine dair garanti edilmiş bir
• Tüm erişimler ve aktivitelerin tutulduğu detaylı ISO 27001
denetim raporları müşterilere gizlilik sözleşmeleri altında
sunulabilir.
tarih bulunmamaktadır. Şifreleme anahtarları veriyi başarılı
bir şekilde şifreledikten sonra ve verinin erişilememesinden
emin olduktan sonra, bu anahtarların belli bir zaman sonra
silinmesi için bir tarih garanti edilebilir.
Veri Silinmesi ve Yok Edilmesi
• Müşteri verisi donanım hatalarına karşı, verinin tutulduğu
• Müşteri aboneliği esnasında verisine istediği zaman
veri merkezinde otomatik olarak eş zamanlı 3 ayrı clusterda
erişebilir ve silebilir. Müşteri aboneliği iptal ettikten 90 gün
yedeklenir. Eğer müşteri dilerse 3 ayrı kopyayı da asenkron
içerisinde verisine erişme hakkına sahiptir. Bu 90 günlük
başka veri merkezine yedekleyebilir. Toplam 6 kopya
zaman geçtikten sonra 30 gün içerisinde tüm veriler silinir.
tutulabilir.
Dilerseniz sizleri daha fazla teknik detaylarla boğmadan
• Veri silindiği zaman hemen birincil veri merkezindeki tüm
burada duralım.
kopyalar ve orijinal veri siliniyor. Asenkron olarak da başka
veri merkezinde yedeklenenler siliniyor.
• Microsoft
silme
çözümü
NIST
SP800-88
Detay bilgi isterseniz bu bilgilere,
uyumlu
prosedürler kullanıyor. Silinmeyen sürücüler üzerindeki
http://www.windowsazure.com/en-us/support/trust-enter/
adresinden de ulaşabilirsiniz.
veriler geriye döndürülmeyecek şekilde yok ediliyor.
Bilgehan Poyraz
[email protected]
Big Data İçin Radikal
Yedekleme: Actifio
Geleceğin veri koruma teknolojisi
şimdi karşımızda.
Kopya keri miktarındaki korkunç artış nereye gidecek? Günümüzde
sistem yöneticilerinin ve bilgi işlem birimlerinin akıllarındaki en büyük
sorulardan biri budur. Yedekler, arşivler, ODM merkezindeki kopyalar,
test ve development birimlerinin hazırda tuttuğu kopyalar, günlük
operasyonlarda kullanılan snapshotlar ve günün sonunda neden alındığı
unutulan yedekler. Tüm bunlar bizi yedekleme çözümlerinin dışına, daha
efektif, daha farklı bir ürün arayışlarına itmektedir.
Yakın zamanda Türkiye’ye gelmiş bir ürün olan Actifio, tüm sorularınıza
cevap verebilecek yeteneklere sahip bir ürün. Actifio 2010 yılında
kurulmuş çok genç bir firma. Ama ürünü incelediğimizde bu zamana kadar
yapılmamış ve hayal edilmemiş bir çok şeyi yapabilecek yeteneklere sahip
olduğunu göreceksiniz. Herşeyden önce dünyada şu anda rakibi yok. Eğer
rakip bir ürün oluşturmaya çalışırsanız 3 farklı üreticinin 5 farklı ürününü
birleştirmeniz gerekiyor. Birleştirilen ürünlerin ise belirli bir nizam içinde
son derece uyumlu hale getirilmesi gerekiyorki, bu kanaatimce imkansız.
Rakipler ve artıdeğerler
Hemen her üreticinin kendi ürünleri ile birlikte çalışmak üzere planlanmış
ürünleri zaten mevcut. Ama küçük bir kısmı haricinde hepsinin donanım
bağımlılığı ve ürün bağımlılığı mevcut. Aşağıdaki tabloda şu an varolan
teknolojileri ve yeteneklerini inceleyebiliriz.
Firmanının kurucularını incelediğimizde ise storage denildiğinde ilk akla
gelen isimlerden oluşuyor. Ash ASHUTOSH (Storage üzerine 25 yıldır
çalışımakta), Jim Sullivan (Storage üzerine 23 yıldır çalışmakta, XIV’nin
mucidi), David Chang (Storage üzerine 20 yıldır çalışmakta). Gördüğünüz
gibi tüm isimler storage pazarı ile sektörde göz açmışlar. Ürettikleri Actifio
ise tüm bu tecrübenin neticesi olarak karşımıza çıkan bir ürün olmakla
beraber nitelediklerini incelediğinizde gözümüzün önüne bambaşka
ufuklar açmakta.
Günümüzde teknolojilerinde varolan en temel problem
Actifio’nun kurucuları, ticari kurumların ürettikleri data miktarını
incelemiş, canlı sistem datalatının yanında çok fazla kopya data
bulundurulduğunun farkına varmışlar. Tekilleştirme için farklı, yedekler
için farklı, test ortamları için farklı, DR/BC operasyonları için ayrı ayrı
kopyalar tuttuğumuz ortaya çıkmış. Canlı tutulan datanın 5 katı kopya
data bulundurulduğunu farketmişler. Bu durum karşısında akıllarına
gelen soru ise, neden bu kadar veri tutuyoruz ve kopya verileri nasıl
azaltırız olmuş. Çıkan sonuç ise, Öncelikle bu kadar farklı sebepler için
tutulan verileri merkezileştirmek gerekli. Bunun için tüm operasyonu bir
çözümde toplamak, ama bu çözüm birden fazla marka veya üreticinin
ürünlerininde aynı platformda birleştirilmesi ve problemsiz hale
getirilmesi anlamına geliyor. Şimdi kopya verileri detayları ile incelemek
için aşağıdaki diagrama bir göz atalım:
Gördüğünüz gibi hem sanal hemde fiziksel ortam için yukarıdaki çoklu
kopyaları tutmaktayız. Bu işlemler bize çok fazla yedek, bu yedekler için
farklı farklı altyapı, farklı çözümler olması dolayısı ile de operasyonel
zorluklar ve yönetimsel problemler ortaya çıkarmaktadır.
Gördüğünüz üzere günümüzde data güvenliğini birden fazla ürünle
sağlayabiliyoruz. Aynı zamanda bu ürünler için ayrı ayrı deneyim
gerekiyor. Çünkü hemen hepsi farklı arayüzlere sahip. Bu aşamada
kullanım zorluğu ve operasyonel karışıklıklar ortaya çıkıyor.
Peki Actifio bize ne sağlar, neyi kapsar? Bunun için öncelikle aşağıdaki
tabloyu inceleyelim.
Tabloda gördüğünüz gibi Actifio tüm bu ürünlerin yeteneklerinin hepsini
tek başına kapsıyor ve üzerine artı değerler sağlayarak farklılığını ortaya
çıkarıyor. Zaten bu tabloyu incelediğinizde olağan üstü bir durum
olduğunu farkedeceksiniz. Peki tüm bu yetenekleri nasıl bir platform tek
başına bize sağlayabilir?
sıkıştırılmış alanda tutuyor. Böylece storage’ınızı oldukça verimli
kullanıyor.
Actifio GoldenCopy’i üzerine aldıktan sonra sizin verdiğiniz aralıklarda
incremental olarak yedek almaya devam eder. Sonrasında “T” anında bir
Actifio ile geleneksel tüm yapılara yeni bir yaklaşım
Öncelikle şunu belirtmeliyiz, Actifio bir appliance. Yani
bir donanımsal platform. Bu platform kendi üzerinde disk
barındırmıyor. Actifio’ya sahip olduktan sonra birlikte
kullanmak üzere bir storage hazırlamak durumundayız.
Actifio tüm operasyonu bu storage ile gerçekleştiriyor.
Eğer storage değiştirme/yenileme aşamasındaysanız bu
sizin için inanılmaz bir fırsat aslında. Eski storage’ı Actifio ile
birlikte kullanmak üzere ayırabilirsiniz. Aşağıda Actifio’nun
genal anlamda nasıl çalıştığını görebilirsiniz:
problem yaşandığında Actifo kaybedilen datayı kendi üzerindeki storage
disklerinden canlı ortama sağlar. Dolayısı ile siz herhangi bir restore
işlemi yapmak ve restore işlemi için zaman kaybetmekten kurtulursunuz.
Bu işlem sonrasında RTO değerinizi neredeyse sıfıra düşer. İşte diğer
çözümler bunu sağlayamıyorlar ve bu durumda ürün rakipsiz hale geliyor.
Farkettiyseniz klasik yedekleme çözümleri gibi işe başlıyor Actfio. Önce
var olan verilerinizin tüm yedeğini kendi deyimi ile Golden Copy olarak
kendi üzerine alıyor. Sonrasında incremental dediğimiz şekilde yani
sadece bir önceki yedeği denetleyip değişiklikleri alıyor. Bu değişiklikleri
sizin belirleyeceğiniz seviyelere göre alıyor. Ve yedekleme sayısı ile ilgili
bir kısıtlama yok. Ortamda bulunan verinin bir tam yedeğini aldıktan sonra
sonsuza kadar değişikliklerin yedeği ile devam ediyor.
Asıl farklılık bu aşamadan
sonra karşımıza çıkıyor.
Buradan sonrası çok önemli,
çünkü
yukarıdaki
tüm
çözümlerin yapamadıklarını
Actifio sağlıyor.
Storage Actifio tarafından
aşağıdaki gibi kullanılıyor.
Önce storage’i ikiye bölüyor.
Birini kısmı canlı ve enson
dataları tuttuğu daha hızlı
kazanılmasını sağlayan alan
olarak
değerlendiriliyor.
Sizin istediğiniz tarihten
öncesini ise dedup edilerek
Bu aşamadan sonra kurum gerekliliği dolayısı ile yedekleri bir tape
kartuşuna çıkmanız ve güvenli bir yerde saklıyor olmanız gerekiyor
olabilir. Actifio bu durumda ODM merkezinde yada merkez ofiste ortama
bağlayacağımız bir tape kütüphanesine istediğiniz aralıklarla tüm datayı
çıkartabiliyor.
Şöyle bir senaryo daha düşünelim, ODM merkezimiz var. Ve bu datanın
bir kopyasını orada tutmamız isteniyor. Bu durumda ürün sizi çaresiz
bırakmıyor. ODM merkezine bir appliance daha alarak birbirleri arasında
dedup edilmiş alanı merkezden ODM’e aktarabiliyor ve ODM’deki çalışma
alanında kullanılabilir halde tutabiliyorsunuz. Bu durumda genel grafik
aşağıdaki gibi olacaktır.
Yukarıda gördüğünüz yeteneklerin tamamını Actifio tek başına
sağlamaktadır. Bu özellikleri tekbaşına sağlayan başka bir çözüm henüz
bulunmamaktadır. Bu aşamadan sonra akla gelen ilk soru böyle bir ürünün
kullanım zorluğu seviyesi. Firma yola çıkarken slogan olarak “Radically
Simple” sloganını seçmiş. Bunun sebebi ürünün tüm operasyonları sadece
bir ekran ve 4 farklı tab üzerinden halledebilmesi.
Sonuç olarak sizde kurumunuza böyle bir ürünün sağlayacağı artı
değerleri kazandırmak ve faydalanmak isteyebilirsiniz. Bu ürün size
hem zaman kazandıracak, storage yatırımlarınızı azaltacak, Bilgi işlem
mühendisleri üzerindeki operasyonel zorlukları azaltacak, sistem bakım
ve performans iyileştirmeleri için araştırma ve geliştirme için zaman
kazanılmasını sağlayacaktır. Her katmanda artı değerlere ulaşmak için
Actifio size yetecektir.
İrfan Kotman
[email protected]
Underground
Gelişmiş Israrcı Tehdit (Advanced Persistent Threat)
Bilişim teknolojilerinin büyük bir hız ile gelişmesine paralel
kötü niyetli yazılımlarda hızlı bir değişim geçirmektedir.
Değişim ile beraber sistemleri aksatmak ve zarar vermek
için tasarlanan yazılımların yerini, akıllı kötü niyetli tehditler
almaya başlamıştır. Son birkaç yıldır sadece özel bir görev
Çalıştırma sonrası notepad bilgisayarımızda normal olarak
için tasarlanabilen ve siber silah olarak da kullanılabilen
açılmakta ve kullanılmaktadır.
tehdit çok zeki tehdit örnekleri ile karşılaşılmaktadır.
Bilişim sistemlerinin en büyük tehditleri olarak gözüken
virüsler, wormlar, Botnetler yerlerini Gelişmiş Israrcı
Tehditlere (APT) zamanla bırakmaktadır.
Peki Gelişmiş Israrcı Tehdit (APT) nedir?
Gelişmiş Israrcı Tehdit siber dünyada istenilen noktalara
Fakat APT mizi çalıştığı an bilgisayarımıza arka planda
saldırıların gerçekleştirmesi için geliştirilmiş, hedefi net
nNotepad.exe dosyasını indirmektedir.
olarak belirlenmiş, oluşturulması sırasında büyük gruplar
tarafından desteklenebilen akıllı yazılımlardır.
APT ler bir çok güvenlik yazılımını kolayca atlatabilmekte,
bulaştığı
sistemlerde
uzun
süre
fark
edilmeden
çalışabilmekte, görevini tamamladıktan sonra sistemden
kendini kaldırabilmekte, belirli sistemleri ve kişileri hedef
alınabilmektedir.
İndirme sonrasında bilgisayarımızda nNotepad.exe çalışmaya
başlanacaktır.
Genel olarak uluslararası siber savaşlar ile gündeme gelen
APT ler gün geçtikçe kurumlar ve son kullanıcılar içinde
tehdit olmuşturmaktadır.
Küçük bir Gelişmiş Israrcı Tehdit (Advanced Persistent
Threat) Örneği
Bu sayımızda şirketimizde gelecek nesil tehdit algılayıcılar
ve ağ analizi çözümleri sistemlerinin test edilmesi amacı
ile şirketimiz bünyesinde yazılan basit bir APT ile neler
yapabileceğimizden bahsedeceğiz. APT yazılımımız yaklaşık
Notepad.exe olarak kurban bilgisayara yerleştirdiğimiz
bir günlük bir çalışma ile hazırlandı ve hazırlanırken internette
APT yazılımı, kolayca herhangi bir pdf ya da ofis dosyası
bulunabilen hazır araçlardan faydalanıldı.
olarak derlenebilir. Derlenen dosya ağdaki bir paylaşım,
herhangi bir web sayfası ya da bir e-posta üzerinden kullanıcı
APT yazılımımızı kurban bilgisayara Notepad.exe olarak
tarafından indirebilir. Kullanıcı tarafından bu dosya açıldığı
yerleştiriyoruz. Notepad’i bilgisayarımızda çalıştırıyoruz.
zaman kullanıcının istediği belge düzgün olarak açılacaktır.
Fakat arka planda APT miz tarafından yapıldığı gibi sistemde
üzerinde herhangi bir konuma istenilen bir dosya indirebilir,
bir program kurulabilir ve bilgisayar her açıldığında gizli
olarak bilgisayarda çalışması ve görev yöneticisi üzerinde
gözükmemesi sağlanabilir.
görevlerini yerine getirebilmeleri sağlamaktadır.
Basit bir APT bile bilgisayarınızdaki kritik bilgilerin dışarıya
çıkarılmasını sağlayabilirken, profesyonel ekip yada kişiler
tarafından hazırlanan APT lerin siber dünyada ne kadar
büyük riskler oluşturabileceği kesinlikle değerlendirilmeli ve
Kullandığımız nNotepad.exe keylogger özelliği taşımaktadır.
alınabilecek tedbirler mümkün olduğunca bilişim sistemlerde
Biz bu özelliği sadece masaüstünde açılan bir Word dosyasının
uygulanmalıdır.
içeriğinin kullandığımız bir web sayfasına gönderilmesini
sağlamak için düzenledik.
Word dosyası içerisine kısa bir metin ekledik ve Masaüstünde
Test_Search isimli bir klasör içine Mest ismi ile kaydettik.
Gelişmiş Israrcı Tehditlere (APT) karşı alınabilecek önlemler:
• En kesin çözüm, sistemlere bütünlük kontrolü yazılımları
kurulması ve düzgün şekilde yapılandırılmasıdır.
Bu yazılımlar ile sisteminizdeki her dosyanın parmak izini
alabilir, bu parmak izlerine göre izin verdikleriniz hariç
hiçbir dosyanın çalıştırılmamasını sağlayabilirsiniz. Bunun
yanında sistemdeki kritik dosyaların ve kayıt defteri
ögesinin
değiştirilmemesini
sağlayabilir
ve
değişikleri
raporlayabilirsiniz.
• Yeni Nesil Proaktif Tespit ve Bloklama Çözümleri
Bu çözümler ile APT yazılımlarının sisteme e-posta yada
Web üzerinden girmeye çalışırken tespit edilmesi yada APT
Teksin içeriğinin gitmesi için kullandığımız Web sayfamızı
atağın belirlenen adreslere erişmeye çalıştığı anda gerçek
kontrol ettiğimiz zaman dosya ismini ve içeriğini Web
zamanlı olarak yasaklanması sağlamaktadır.
sayfamız üzerine başarı ile aktarıldığını görmekteyiz.
• Ağ Analizi Çözümleri
Ağınız üzerindeki sistemlerin davranışları analiz edilerek,
anormal görülen trafiklerin raporlanması veya yasaklanması
sağlanabilir.
• Merkezi Güvenik İzleme (SIEM) ile sistem logları arası
korelasyonlar
ile
tehdit
barındırabilecek
sistemlerin
belirlenebilir.
Şirketimiz bünyesinde hazırladığımız basit bir APT örneğinde
• Kritik sistemlerin internetten izole edilebilir.
görebileceğiniz gibi APT yazılımları sisteminize kolayca sızıp,
• Bütünlük
kullanıcılar tarafından fark edilmeden sistem üzerindeki
güvenlik Duvarı, atak Önleme Sistemlerinin aktif tutulmalı ve
verileri dışarıya çıkarabilmektedir.
sistemler veri koruma yazılımları (DLP) barındırmalıdır.
APT lerin işleyişi tamamen hazırlayan kişi ya da ekipler
• E-posta ve web den gelebilecek risklere karşı itibar tabanlı
tarafından belirlenmektedir. APT ler üzerinden yazımızda
koruma sağlayan sistemler kullanmalıdır.
kontrolü
yazılımları
olmayan
sistemlerde
bahsettiğimiz gibi binlerce farklı senaryo oluşturularak
Ozan Özkara
[email protected]
ProAktif Güvenlikte Risk Modelleme ve Atak Simülasyonu
Güvenlik ihtiyaçları IT harcamalarında şüphesiz önemli
unsurların başında gelmektedir, her yeni tehdit yeni bir riski,
her yeni üretici ve teknoloji sunduğu olanakların yanında
kendi güvenlik risklerini oluşturmaktadır. Kurumlar oldukça
fazla zaman ve kaynak ayırarak güvenlik çözümleri ile zararlı
kod, veri güvenliği, kritik sistemlerin yapılandırılması için
çalışmakta ancak oluşan yapı ve sınırsız iş ihtiyaçları nedeniyle
güvenlik yönetimi ve devamlılığı başa çıkılması zor bir süreç
haline gelmektedir.
Bilgi güvenliği yönetimindeki karmaşıklık ve anomali yapısı
ilgili yönetimi çok daha zor hale getirmektedir. Sistemi güvenli
hale getirmek için yapılandırılan her güvenlik yaklaşımı kendi
içerisinde ek güvenlik süreçlerini ve ek yönetim maliyetlerini de
yanında getirmektedir. Kurumlarda Ağ ve güvenlik operasyonu
zor yapan yapının yönetimi ve güvenliğin ölçülmesi adına
bir türlü güvenlik metriklerinin kurumlar içerisinde düzgün
yapılandırmamış olmasından kaynaklanmaktadır. Zaman
kritik ve güvenlik olaylarının gerçek zamanlı müdahalesinde
teknoloji olduğu kadar ilgili operasyonun diğer bileşenleri olan
insan ve güvenlik operasyon süreçleri de önemlidir.
Peki, çözüm nedir? Buradaki anahtar kelimemiz otomasyondur.
Güvenlik teknolojilerinin arkasındaki otomasyon ve simülasyon
eksikliği çoğu kez yanlış, bilinçsiz güvenlik araçlarının farkında
olmaksızın yapılandırılmasından ve ilgili güvenlik ihtiyaçlarına
yapının cevap vermemesinden kaynaklanmaktadır. Atak
simülasyonları ve beraberinde otomatize risk modellemesi
yapı içerisinde her bir olasılığın analizi ve ilgili atak vektörü
konusunda senaryoları düşünmemize neden olmakta, kurum
yapısının elde edilen veriler ışığında tanımlanan metrikler ile
yapılandırılması ile mümkün olabilmektedir. Her şeyden önce
güvenliğin ölçülebilir ve verilerle ifade edilebilir olması her
açıdan kritiktir.
Skybox tarafından sağlanan patentli güvenlik simülasyonu ve
modelleme teknolojisi sayesinde otomatikleştirilmiş olarak
tüm altyapı bileşenleri ile entegre güvenlik risk yönetimi
yapısının kurulması mümkündür. Skybox firewall, ağ ve sunucu
bileşenleri arasındaki ilişkileri sadece ilgili katmanda değil
zayıflıkların analizi noktasında da merkezileştirilmiş yapısı ile
gerçek zamanlı olarak tüm yapınızı uçtan uca analiz etmenize
yardımcı olmaktadır.
Peki, kurumlar bu noktada nasıl ilerlediler? Bu yapıda bize
en yakın yardımı SIEM (Security Information and Event
Management) çözümleri ile gerçekleştirdi. SIEM merkezi yapısı
ile tüm bileşenler üzerindeki log verilerinin merkezileştirilmesi
ve anlamlı hale getirilmesinde önemli bir rol üstlendi. Olay ya
da alarm tabanlı yapılandırılan SIEM çözümleri reaktife bir
çözümdür, aşağıda proaktif güvenlik yaklaşımının ne olması
gerektiğini belirtelim;
1. Teknolojik bileşenler iyi ve uygun bir biçimde
yapılandırılmalıdır. Yanlış konfigürasyon hataları, mantıksal
hatalar, güvenlik komponentleri üzerindeki değişiklik kontrolü
ve insan temelli hatalar
2. Teknik kontroller üzerindeki verilerin tehdit seviyeleri ve
zayıflık analizi/güvenlik eskalasyon önerileri.
3. Teknolojik bileşenler üzerinde ilgili zayıflıkların yönetimi,
tehdit profillerinin bir birleri ile ilişkileri ortaya çıkan anomali
analizi.
4. SIEM çözümleri atak sonrası bilgi sağlayabilir, proaktif
tarafta, çok az ya da sıfıra yakın veri kaybı ile atağın eskalasyonu
henüz tespit edilmesi noktasında iken yapılandırılmasına
olanak sağlamalıdır.
Uygun yapı proaktif risk yönetimi ile sağlanabilir; kurumsal
güvenlik resminin önceden görülmesi kritiktir, bu durum
risklerin analiz edilmesi, etki(impact) analizlerinin yapılması
bilinen zayıflıklara karşı altyapı bileşenlerinin kuvvetlendirilmesi
şüphesiz önemlidir.
Bu halde Güvenlik Riski Nedir? (Ne anlaşılmalıdır)
Risk Yönetimi konusunda bilgiler vermeden önce Güvenlik
Riskini’ in ne olduğunu belirtmek önemli. Risk bizim için,
belirli bir zaman çerçevesi içerisinde (Risk Sonsuz olamaz)
potansiyel bir zararın oluşma olasılığıdır. Matematiksel örnek
vermek gerekirse;
Güvenlik Riski= Potansiyel Tehdit x Atağın Oluşma Olasılığı x
Varlık Değeri(Asset Cost)
R = f(T, V, A)
Örnek Çalışma;
Atak Faktörü
Bilgi Kaynağı
Faktörün Kontrolü
Risk ’in matematiksel hesaplanması benzeri formulasyonlar
ile yapılabilmektedir. Ancak Dinamik yapılar içerisinde her
varlık kalemi için detaylı risk profili oluşturmak ve riskin
haritalandırılması oldukça karmaşık ve yorucu bir iştir. Bu
nedenle modelleme ve simülasyon teknolojileri ilgili atak
senaryolarının oluşturulması, var olan yapı üzerinde tahmin
düzeyi yüksek analizlerin kritik yapılar üzerindeki analizi çok
önemlidir.
Güvenlik Risk Yönetimi Süreci
Risk yönetimi siber tehditler, zayıflık değerleri ve ilgili güvenlik
iyileştirme süreçleri ile atak senaryolarının oluşturulması ve
tahminsel analizleri kapsamaktadır. Bu çalışmalar kuruma
riskin yönetilmesi ve daha da önemli olarak ilgili risk konusunda
kurumsal simülasyon becerisi kazandırılması açısından
önemlidir.
Tipik Bilgi Güvenliği Risk Yönetiminin Pro Aktif Adımları
Basit anlamda risk yönetimi yukarıdaki adımlardan
oluşmaktadır. Kurumların günlük operasyonları içerisindeki
değişikler, yeni tehditler, zayıflıklar, yeni iş ihtiyaçları risk
profilini sürekli olarak değiştirmektedir. Sonuç olarak risk
profili belirli bir zaman dilimi üzerindeki bilgiler için statiktir.
Manuel olarak yapılan bu işlemler iki çerçeve zamanı arasındaki
risk profili değişken olabilmektedir. Yapılan analizlerde her 90
günlük periyodlarda kurumsal risk artısı statik değerlere göre
%89 seviyesindedir. En iyi organizasyonlarda statik analizler
günler değil haftalar seviyesindedir. Bu nedenle otomatize
olarak uygun metriklerle yapılandırılmış güvenlik risk yönetimi
araçları risklerin kontrolü ve minimize edilmesi açısından çok
kritiktir.
• Zararlı güvenlik oluşumları konusunda potansiyel
tahminler. Örn: Afet öncesi değişik türdeki
senaryolar ile yapının hazır tutulması
• Pre-Production seviyesinde what-if analizi Örn:
Bazı zararlı oluşumların tespiti ve modellemesi
ilgili sürecin başında bu kapsamda değerlendirme
yapılarak geliştirilmesi avantajı
• Süreçlerin optimizasyonu
• Tarihsel veri elde edilmesi ve güvenlik zekâsının
kurumsal olarak çalıştırılması
• Simule edilmiş yapılar üzerinde analiz olanağı.
Skybox ile yapılandırılan siber risk modellemelerinin
diğer avantajları;
Örnek açısından 10.000 çalışanı 20.000 ağ ucu, 800 ağ cihazı
5.000 risk tabanlı işlem yapan çalışanın olduğu bir kurumda
belirli bir çerçeve aralığında ortalama 250.000 zayıflık tehdidi
ile karşı karşıya kalmaktadır.
• Risk Etkilerinin Tahminleri ve Analizi
Modelleme ve Simülasyon teknolojileri efektif güvenlik
risk yönetimindeki en önemli oyunculardır. Bu teknikler
günümüzde ulusal güvenlik, nükleer teknoloji, otomobil
otomasyonu, inşaat, forensic analizi, Tip gibi birçok sektör
üzerinde kullanılmaktadır.
• Güvenlik ve Ağ Kaynakları üzerinde gerçek zamanlı
optimizasyon
Bu teknikler aşağıdaki durumlarda kurumlara direnç
sağlamaktadır;
• Değişiklikler öncesi etki analizi ve production ortamı üzerinde
değişiklik kontrolü süreçlerinin hesaplanması
• Karmaşık Ağlar’da detaylı root-cause analizi
• Güvenlik yöneticilerinin ilgili görsel haritalandırma ve
raporlamaları üzerinden detaylı eğitimi.
• Risk değerlendirmelerinin otomatize edilmesi. Güvenlik
ekipleri günler ya da haftalar yerine dakikalar
içerisinde tüm altyapı bileşenlerinin güvenlik
analizlerinin yapılması.
• Potansiyel atak yolları ve birbirleri ile risklerin
belirlenmesi(Interconnected Risks)
• Gerçek zamanlı olarak risk seviyelerinin kontrolü
ve metrikler ile raporlanması
• Gerçekçi ve Risk Tabanlı kararların alınmasında
girdi rolü sağlaması
• Risk değişikliklerin ve iyileştirmelerin sürekli
kontrol edilmesi.
Tarkan Çiçek
[email protected]
Veri Depolama Sistemleri
Genel kavramlar ve ürünler üzerine bilgilendirme ve inceleme.
Storage yani Depolama yapısının en temel öğesi Disk’lerdir.
İlerde anlatacağımız kavramların net anlaşılması için
temelden başlayalım.
HDD Sabit Disk Sürücüler (hard disk drive): Mekanik
sürücülerdir ve üç
ana öğeden oluşur;
Disk Plakası, Kafa ve
Motor. Disk blokları
sanal bir tabloya
bölünmüştür
bu
bölünmedeki öğeler
ise; Track (iz), Sektör,
Cylinder (silindir, üst
üste gelen iz’lerin birleşimi bir silindir oluşturmaktadır).
Disklerin kapasitesi kullanılan disk tabakaları üzerine
yazılabilen sektör yoğunlukları ile belirlenirken hızları
da disk plakalarını çeviren motorun devir/dakika sayısı
ile ifade edilmektedir 7.200 rpm, 10bin rpm, 15bin rpm
gibi. Mekanik disklerde diskin performansına etki eden
bir diğer unsur, bilginin yazılı olduğu iz ve sektöre kadar
kafanın yaptığı harekettir. Diskin dönme hareketi ile
birlikte kafa da kendi ekseninde sağa ve sola hareket
ederek ilgili sektörün üzerine hareket eder. Bu hareketin
neden olduğu zamana gecikme (latency) denir. Disklerin
dönme hızları temelde bu gecikme hızını kısaltmakta ve
ardışık bilginin okunmasını hızlandırmaktadır.
SSD
Katı
Hal
Sürücüler
(solid
state
drive/disk):
İsmi disk olarak ifade
edilse de aslında
içinde disk plakası gibi
herhangi bir mekanik
parça barındırmaz.
Temel olarak kalıcı kayıt yapabilme özelliğine sahip bellek
gruplarından oluşurlar. Kullanılan belleklerin hızlarına
göre disklerin hızları değişmekle beraber klasik disklerden
defalarca kat hızlıdırlar. Mekanik öğeler barındırmadıkları
için gecikme (latency) yaratmazlar. Yazarken ve okurken
kafa hareketi ile bilgiye ulaşmak yerine belleklerde olduğu
gibi direkt olarak ilgili blokları okurlar ve yazarlar. Yine de
RamDisk’ler ile karıştırılmamalıdırlar. Çünkü Ramdisk’ler
bildiğimiz bellek modüllerini kullanırlar ve SSD’lerden
defalarca daha hızlıdırlar. Standart bellek modülleri güç
kaybında kayıt edilen veriyi tutamadığından özel amaçlar
dışında pek kullanılmazlar. SAP Hana gibi sistemler
RamDisk kullanımına örnek gösterilebilir.
Arabirimler: Burada çok fazla kafa karışıklığı ve konu
dağılmasına neden olmamak için eskimiş olan teknolojilere
girmeden güncel olan üç arabirimden bahsedeceğiz.
SAS (serial attached
SCSI):
Sunucu
sistemlerinde en çok
kullanılan
paralel
SCSI arabiriminin
serileştirilmiş yeni
versiyonudur. SAS
paralel SCSI ‘de
olduğu gibi SCSI
komut setini kullanır. SAS arabirimi 2.nesil SATA diskleri
de desteklemektedir. Yani SAS arabirimli bir kontrol
ünitesine SATA 2.nesil diskleri takabilirsiniz. Fakat SAS
diskler SATA arabirim ile uyumlu olmadıklarından SAS
diskleri SATA kontrol ünitelerine bağlayamazsınız. SAS
1.0 ve 1.1 arabirimli ürünler 3Gbit/s, SAS 2.0 arabirimli
ürünler ise 6Gbit/s hızıbda çalışabilmektedir. 12Gbit/s ve
24Gbit/s hızlarındaki ürünler ise yol haritasında verildiği
üzere 2013 ve 2016 yıllarında sunulacaktır.
SATA (Serial AT Attached): Pc ve notebook’larımızdan
alışık
olduğumuz
IDE/
ATA arayüzünün yeni seri
halidir. Ağırlıklı olarak kişisel
ve taşınır bilgisayarlarda
kullanılmasının
yanı
sıra
yüksek
kapasiteler
sunabilmesi nedeniyle sunucu sistemlerinde de SATA disk
kullanımı son yıllarda yaygınlaşmıştır.
NL-SAS (Near Line SAS): Mekanik olarak SATA olan bir
diskin kontrol arabiriminin SAS olması şeklinde açıklanabilir.
Özellikle sunucu sistemlerinde ve depolama (storage)
sistemlerindeki yüksek kapasiteli SATA disk kullanma
ihtiyacını cevaplamaktadır. SATA diskten temel olarak
farkları ise; 1. İki kanaldan haberleşebilmesi ile yedekli
haberleşme (SATA’da tek kanal), 2. Ful SCSI komut seti
kullanabilmesi, 3. SAS/SATA (STP) Öykünme gerekliliğini
kaldırması nedeniyle %20 daha fazla performans.
çalışmanın devam etmesini sağlar. Raid-0’da olduğu gibi
bilginin yazılması esnasında sağlama bilgisi hesaplaması
gerektirmediğinden performans penaltısı yoktur. 2 diskten
fazla disk kullanılamaması nedeniyle yüksek kapasite
ihtiyaçlarını karşılayamaz. Genellikle boot (açılış) diskleri
için kullanılır.
RAID Sistemleri:
Redundant Array of Independent Disks veya eski orijinal
hali ile Redundant Array of Inexpensive Disks. Türkçe
olarak Yedekli Bağımsız Diskler Dizisi diyebiliriz sanırım.
Ama Türkiye bilişim dünyasında orijinal kısa ismi ile kabul
gördüğünden anlatımımızı RAID kısatlaması ile yapacağız.
Temelde birden fazla disk ile bir disk grubu oluşturma ve
bunları bir veya birden fazla disk arızasına karşı koruma
için sağlama bilgisinin kaydedilmesi durumudur. Bu işlem
yazılım aracılığı ile veya donanımsal Raid Kartlar ile sağlanır.
Genel tercih donanımsal Raid kullanma yönündedir.
Sağlama bilgisinin tutulma şekline göre Raid seviyeleri
numaralandırılmıştır. Her bir seviye kendine göre kapasite
ve performans artıları getirmektedir. Bunları tek tek kısaca
açıklayalım.
Raid-0 : Striping (bölüştürme) olarak
da adlandırılır. Bu seviye isminden de
anlaşılacağı üzere 0 seviyesidir ve
hiçbir arıza toleransı yoktur. Tamamen
performans ve kapasite amacı ile
geliştirilmiştir. Yazılan bilginin dizi
içindeki disklere eşit olarak bölünüp
yazılması şeklinde çalışır. Yazma sırasında
bir sağlama (parity) bilgisi hesaplanması gerekmediğinden
herhangi bir yazma penaltısı getirmez ve performans kaybı
olmaz. En yüksek performansı sağlayan Raid seviyesidir.
Not: Birçok benchmark testinin ortam bilgisine bakıldığında
disk sistemlerinin Raid-0 olarak ayarlandığını görebilirsiniz.
Raid-1: Mirroring (Aynalama) olarak da
adlandırılır. Temelde iki disk ünitesine
birebir aynı bilgilerin yazılması ile
oluşturulur. Tamamen yedeklilik üzerine
kurgulanmıştır. %50 kapasiye kaybına
neden olur. Mutlaka 2 Diskten oluşur ve
en fazla 1 disk arızasında kesintisiz olarak
Raid-10 (1+0): Miroring with striping (aynalama beraberinde
bölüştürme). Raid-1’in güvenliğini Raid-0’ın performas
ve genişleyebilirlik esnekliği ile birleştiren bir çözümdür.
Raid-1 yapılan ikili disk grupları kendi aralarında şeritleme
yapılarak kapasite ve perofrmans artışı sağlanır. Raid
gruplar arasında Raid-0’dan sonra en performanslı Raid
yapısıdır. Disk koruması sağlayan Raid seviyeleri arasında
ise en yüksek performansı sağlar. Genellikle veritabanı gibi
yüksek disk performansı gerektiren uygulamar için kullanılır.
1 Disk kaybında çalışmayı garanti etmekle beraber her bir
raid-1 grubu içinden birer diskten fazla bozulmama olması
şartı ile birden fazla disk bozulmasında dahi çalışabilir. Ama
herhangi bir Raid-1 disk grubunda ikinci bir disk bozulması
olursa data çalışma durur. Kullanılabilir kapasite gerçek
kapasitenin %50’si kadar olur
Raid-2 ve Raid-3: Pratikte kullanılmamaları nedeniyle
anlatmıyoruz.
Raid-4: Striping with
dedicated parity, (sabit
sağlama
bilgisi
ile
bölüştürme). En az 3
diskten oluşturulabilir.
Disklerden biri sabit
olarak
Parity
yani
Sağlama diski olarak
belirlenir. Diğer disklere
bölüştürülen bilginin sağlama bilgisi ise Sağlama diskine
yazılır. Aynı anda bir 1 Disk kaybını tolere edebilir. Bazı
üreticiler dışında bu seviye yerine Raid-5 kullanımı tercih
edilmektedir. Kullanılabilir kapasite; (Disk Adedi –1) x Disk
Kapasitesi, formülü ile hesaplanır.
Raid-5: Striping with
distributed
parity
(bölüştürme ve dağıtık
sağlama):
Temelde
Raid-4 gibi çalışmakla
beraber bu seviyede
sabit
bir
sağlama
diski atamak yerine
yazmada sağlama bilgisi farklı bir diske yazılır. Böylece
Raid-4 ‘de olduğu gibi 1 disk arızası durumu tolere edilebilir.
Disk koruması sağlayan Raid seviyeleri arasında en iyi
net kapasite veren seviyedir. O nedenle de kullanımda en
çok tercih edilen seviyedir. Performans olarak Raid 0 ve
1+0 ‘dan sonra gelir. En az 3 diskten oluşur. Sağladığı net
kapasite olarak Raid-4 ile aynıdır.
Raid-6 (Raid-DP): Raid
5’ten temel farklı her
yazmada 2 sağlama
bilgisi oluşturması ve
yine dağıtık olarak
bunları 2 farklı diskte
yazmasıdır.
En
az
4 diskten oluşturulabilir ve aynı anda en fazla 2 disk
arızasına kadar çalışmayı durdurmadan devam edebilir.
Raid seviyeleri arasında performansı en düşük olanıdır.
Sağladığı net kapasite (Disk adedi -2) x Disk Kapasitesi
olarak hesaplanır.
Bu Raid seviyelerinin haricinde Raid-10 gibi iki farklı riad
grubunun entegre edilmesi ile oluşturulmuş Raid-50, Raid53, Riad 60 vb seviyeler de bulunmakla beraber pratikte
kullanımları çok az olduğundan bunlara değinmeyeceğiz.
Cache (önbellek)
Disk Cache: Özellikle bireysel sistemlerde kullanılan
disklerin üzerinde yazmayı ve okumayı hızlandırmak
amacıyla Cache yanş
ara bellek bulunur.
Normal
şartlarda
işlemci diske veri
yazıldığının onayını
alıncaya kadar işleme
devam edemez. Disk
ile işlemcinin hızları
karşılaştırılamayacak kadar farklı olduğundan normal
şartlarda bu işlem sırasında işlemci duruyormuşcasına
yavaş çalışır. Bunun önüne geçmek için disklerde bulunan
kontrol arabirimleri üzerinde cache yani ara bellek
bulundurulur. Böylece diske yazmayı beklemek yerine
veri önce bu ara belleklere çok hızlı bir şekilde yazılarak
yazıldı bilgisi dönülür ve işlemci diğer işlerine devam eder.
Bu sırada da ara bellek üzerindeki bilgilerin diske fiziksel
yazma işlemi bitirilir. Ardışık yazmalarda bu ara belleğ’in
kapasitesi dolduğundan bellek üzerindeki baskı azalana
ve yeterli yer açılana kadar yavaşlık yaşanır. Ara bellek
büyüklüğü bu tür sıkışmaları önlemede en büyük etkendir.
Bu nedenle disk alınırken cache büyüklüğünün performansa
etki edeceği unutulmamalıdır. Eğer disk Raid sistemlerinde
kullanılacak ise ise bunun hiçbir önemi yoktur.
Raid Cache: Sunucu ve iş istasyonu sistemlerinde işlemleri
hızlandırmak için her ne kadar çok sayıda diskten raid
sistemleri oluşuturulsa da disklerin yazmalarının yavaş
olması ancak onlarca/yüzlerce disk kullanılarak istenilen
performansa ulaşabilmeyi sağlar. Bu sorunu aşmak
için yine önbellek yöntemi kullanılır. Raid denetleyici
kartlarının geneli üzerinde bu önbellek ya standart gelir
yada opsiyoneldir ve sonradan eklenebilir. Genellikle Raid
denetçileri üzerinde bir bellek modülü bulunur ve buradaki
bellek bir pil yardımıyla beslenir. Herhangi bir kesinti
durumunda, diske yazılmamış olan bilgiler, pilin yardımı ile
önbellek korunarak sistem tekrar çalışır hale gelip diske
yazılana kadar saklanabilir. Yeni tip raid denetçilerinde
ise önbellek olarak flash bellek ‘ler kullanılarak pile olan
ihtiyaç da ortadan kaldırılmışıtr. Raid denetçisi üzerinde
pil ile yedeklenmiş veya elektrik kesintisinde bilgiyi
kaybetmeyen flashbellek’ler bulunduğundan disklerin
üzerindeki önbellek’ler (cahce) denetçi tarafından disable
edilir ve kullanılmaz. Çünkü, disk üzerindeki önbelleklerdeki
bilgilerin elektrik kesintisi sırasında kaybını önlemek
mümkün değildir. Raid sistemlerinde de diskte olduğu gibi
cache miktarının yüksekliği performansa etki eden bir
unsurdur. Ne kadar büyük olursa performans da o kadar
yüksek olacaktır.
Altuğ Yavaş
[email protected]
Yeni Savunma Hattımız: DNS
Bu yazıda, kritik bir altyapı hizmeti olan DNS altyapımızı nasıl daha
güvenli hale getirebileceğimizi irdeliyoruz. Saldırganlar, yaygın olarak
kullanılan DNS altyapısındaki zaafiyetlerden haberdar. DNS’e yönelik
tehditlere karşı riskimizi nasıl kontrol altında tutarız?
1. İsim - Adres Dönüşümü İhtiyacı
DNS (Domain Name System), Internet’e veya özel bir TCP/
IP tabanlı ağa bağlanan bir bilgisayar, sunucu veya servis
tarafından kullanılan hiyerarşik ve dağıtık bir isim adres
dönüşümü veritabanıdır . Kolaylıkla hatırlanan alan adlarını,
hizmete erişmek için ihtiyaç olan ilgili IP adresine (IPv4 veya
IPv6) dönüştürmeye yarar.
2.Kritik Bir Altyapı olarak DNS
Hem kurum içindeki bir kullanıcı açısından, hem de bir kurumun
kendisine sunduğu hizmetlere erişen bir kullanıcı açısından
DNS hizmeti, vazgeçilmez bir hizmettir. Bu hizmetin kesintisi
durumunda, tüm ağ altyapısında ciddi erişim problemleri ile
karşılaşılabilir. DNS hizmetinde yaşanabilecek kesintilerin
etkileri arasında, Internet bağlantısnın kesilmesi, iş ortaklarına
e-posta atılamaması, kurumsal hizmetlerin sunulamaması, web
sayfasının devre dışı kalması örnek olarak verilebilir. Bu bakımdan
diğer tüm hizmet ve uygulamaların DNS bağımlılığı nedeniyle, bir
kritik altyapı servisi olarak adlandırılabilir. Tahminlere göre DNS
trafiği, tüm Internet trafiğinin %20’sini oluşturmaktadır.
3.Bir Saldırı Hedefi Olarak DNS
DNS altyapısını hedef alan saldırı türlerinden bazılarını şöyle
özetleyebiliriz:
Zehirleme saldırısı (Cache Poisioning): DNS kayıtlarının
bütünlüğünün bozulmasına neden olan bir saldırıdır. TTL (Time
To Live) parametresi, DNS’in performansını arttırmak için, verilen
sorgu cevaplarının belli bir geçerli olması için tasarlanmış. Yani
bir authoratitive DNS sunucusundan alınan cevap, TTL süresi
boyunca tekrar sormaya gerek kalmadan geçerliliğini koruyabilir.
Soruyu soran rekürsif DNS sunucu, cevabı cache’inde tutar.
Zehirlemenin amacı, rekürsif DNS sunucuların cache’lerine,
sahte DNS cevapları yerleştirmektir. Bu yöntem, kendi başına
bir saldırı olmaktan çok, başka bir saldırıya zemin hazırlayıcı
niteliktedir. Bu sayede örneğin zehirlenmiş DNS sunucudan
hizmet alanlar, bir phishing sitesine yönlendirilip, saldırının
sonraki aşamalarında kişisel bilgilerinin elde edilmesine yol
açılabilir. Zehirleme saldırısına en büyük örnek olarak Kaminsky
Zaafiyeti (CVE 2008-1447) verilebilir .
Dağıtık hizmet durdurma saldırısı (DDOS): Authoritative DNS
sunucuların dışarı açık olma zorunluluklarından dolayı, aynı
zamanda iyi de bir saldırı hedefidirler. Bu kapsamda, en azından
riski azaltmak için, authoritative ve rekürsif DNS sunucular
birbirinden ayrılmalıdır.
En basit DNS tabanlı DDOS saldırısı, “Amplifikasyon Saldırısı”dır.
“Amplifikasyon”, isminden de anlaşılabileceği gibi, gönderilen az
miktar bir veri karşılığından cevap olarak kat kat büyük bir veri
gönderilmesine neden olmaktır. Basit iki amplifikasyon yöntemi
aşağıda listelenmiştir:
4.Saldırı Aracı Olarak DNS
Veri Hırsızlığı: Yüksek miktarda veri içerebilen TXT türü
kayıtlarda, ele geçirilmiş bir DNS sunucusu yardımı ile her iki
yönlü veri aktarımı yapılabilir.
DDOS Saldırısı: Bir Botnet’in üyesi durumuna gelmiş kurum
içindeki bir bilgisayar, bir sonraki DDOS saldırısı hedefini
öğrenmek için botnet’in DNS sunucusuna ulaşır. Sonrasında, çok
dikkat çekmeyecek miktarlarda DNS trafiği yaratarak bir DDOS
saldırısına katılabilir.
5.DNS Katmanında Korunma
RPZ (Response Policy Zones): ISC tarafından, Rekürsif DNS
sunucularına yönelik olarak, DNS sorgularına verilecek cevapların
ihtiyaca göre düzenlenmesini sağlayan bir teknolojidir.
RPZ sayesinde, güncel politikalara göre, farklı cevaplar verilmesi
gereken DNS sorgularının yönetimi çok kolay yapılır. RPZ, bize
“güvenli adres çözümleyici”nin yolunu açan bir teknolojidir.
Bu teknolojiyi “DNS Firewall” olarak da adlandırabiliriz. Bu
özen göstermemiz gerekir. Kutu tabanlı (appliance) çözümlerde
ise yeni çıkan firmware güncellemelerini, özellikle DNS ile ilgili
güncelleme içerenleri vakit geçirmeden yüklemeliyiz. DNS
sunucusunun konfigürasyon yedeğini periyodik olarak almalıyız.
Yüksek performans: Volumetrik tabanlı DDOS saldırılarına karşı
korunmanın en temel yolu, bu saldırı trafiğini karşılayacak yüksek
bir kapasiteye sahip olmaktır. Bu yüksek kapasite, saldırının ilk
anında, altyapının cevap veremez duruma geçip kritik altyapı
uygulamalarının kilitlenmesini engeller ve IT personeline, uygun
aksiyonların alınması için zaman kazandırır.
sayede, kullanıcıların, güvenlik riski içeren alanlara veya yasal
olarak ülkemizde de uygulanmakta olan “Elektronik Engelleme
Kararları” ile erişilmesi engellenmiş adreslere erişimi, güvenli ve
pratik bir yöntem ile kısıtlanmış olur.
RPZ teknolojisi ile şu durumlarda bir aksiyon alınabilmektedir:
• Sorguyu soran X ise
• Gelen cevap X aralığındaki bir IP’yi içeriyorsa
• Gelen NS cevabındaki isim X ise
• Gelen bir NS IP adresi X aralığındaysa
Bu koşulların oluşması halinde, DNS Firewall, aşağıdaki DNS
cevaplarından birini verecek şekilde ayarlanabilir:
• NXDOMAIN cevabı verilmesi
• CNAME cevabı verilmesi
• NODATA cevabı verilmesi
Görünürlük: DNS hizmeti veren sunucuların üzerinde yapılan
her türlü değişiklik, daha sonra izlenebilir bir şekilde kayıt altına
alınabilmelidir. Bu şekilde, kim hangi sunucuda, hangi kaydı ne
zaman değiştirdi, gibi soruların cevapları rahatça bulunabilir ve
düzeltici ve önleyici faaliyetlerin planlanmasında büyük fayda
sağlayabilir. Bunun yanında, DNS hizmetinden faydalanan DNS
istemcileri, sorgulanan alan adları ile ilgili oluşturulacak raporlar,
saniyede gelen sorgu sayısının belli bir eşik değerine gelmesi
durumunda alarm üretilmesi gibi önlemler, DNS hizmetinin
görünürlüğünü arttıracak ve IT hizmet yönetimi yönüden büyük
bir boşluğu dolduracaktır.
Doğru Konfigürasyon: Her kurumun ihtiyaçlarına göre
birbirinden farklı birçok DNS konfigürasyonu olabilir. Örneğin,
bir banka, tek bir sanal IP’yi coğrafi olarak dağınık bir yapıda
tüm ülkede yayınlamak ve kullanıcının kendine en yapın IP’den
hizmet almasını sağlamak isteyebilir (DNS Anycast). Başka bir
örnekte bir servis sağlayıcı, DNS sunucularının yedekli olmasını
isteyebilir. Bir başka konfigürasyonda, Intranet üzerinde
bulunan bir DNS sunucunun “gizli yetkili” sunucu olup diğer DNS
sunuculara Zone Transferi istenebilir. En doğru konfigürasyon,
bir DNS uzmanına danışılarak yapılmalıdır.
• Belirlenen bir cevabın verilmesi
• Gerçek cevabın verilmesi
DNS Firewall aracılığı ile, sürekli değişen URL’ler içeren
adreslere, çok hızlı IP değiştirebilen Fastflux ağlara ve Botnet
komuta kontrol merkezlerine erişmeye çalışan istemcilere karşı
gerekli önlem çok rahat alınabilir. DNS Firewall, düzenli olarak
güncellenen bir veri sağlayıcı tarafından desteklenmelidir. Yeni
gelen veri, periyodik olarak, rekürsif DNS sunucusuna IXFR
(Incremental Zone Transfer) yöntemi ile aktarılır. Veri sağlayıcı
kaynağı birden çok da olabilir.
En İyi Pratiklerin Hayata Geçirilmesi: DNS hizmetini, genel
amaçlı bir sunucuda çalıştırdığımızda, işletim sisteminin ve DNS
hizmetinin sürümlerini ve gerekli güvenlik güncellemelerini
sıklıkla kontrol etmek ve güncellemeleri zamanında yapmaya
http://en.wikipedia.org/wiki/Domain_Name_System
http://www.rootsecure.net/content/downloads/pdf/sans_
attacking_dns_protocol.pdf
http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html
http://www.isc.org/software/rpz
http://www.isc.org
http://www.securityweek.com/why-dns-firewalls-shouldbecome-next-hot-thing-enterprise-security
Serkan Kırmızıgül
[email protected]
McAfee Next Generation Network
IPS V7.5
McAfee Yeni Nesil Atak Engelleme Sistemleri teknolojilerinin öncülüğünü
yapmaya devam ediyor. İşte yeni sürümün en önemli özellikleri.
McAfee Network Security Platform ürün ailesinin en son sürümü
olan 7.5 sürümünü kullanıcılarına sundu. Sürüm temelde iki önemli
konuyu hedef alıyor; Advanced Malware tehditlerine karşı koruma
ve saldırıların başarılı olması durumunda reaksiyonlar ve sorunun
sebeplerine ulaşma konusunda proaktif yardım sağlama. Bu amaçla
McAfee, yeni geliştirilen “Advanced Malware Detection” ve “Advanced
Botnet Detection” yöntemlerini kullanıyor. Bu teknolojiler önemli bir
Malware Forensic firması ValidEdge şirketinin McAfee tarafından satın
alınması ile birlikte McAfee portföyüne katılmıştır. Teknoloji temelli
ürün geliştirmeleri başta Network IPS ve Web Gateway ürünleri olmak
üzere tüm ürünler için devam etmektedir.
Uzun zamandır anlaşıldı ki Advanced Malware tehditlerine karşı tek
motor ve imza yaklaşımları hızla gelişen tehdit dünyasında cevap
vermekte zaman zaman zorlanıyor. Gelişmiş tehdit sorunu daha
akıllı, imzaya gerek bırakmayan ve çoklu kontrol yöntemlerine
ihtiyaç duyuyor. McAfee Advanced Malware Detection teknolojisi
bu ihtyaçlara cevap vermek üzere geliştirildi ve temelinde imza
kullanmayan birçok tekniği içerisinde barındırıyor. Bu teknikleri Deep
File Analysis, Gateway Antimalware Engine, Reputation Based Control
ve Sandbox teknikleridir.
Advanced Gateway AntiMalware motoru ile MS Office, PDF, EXE & DLL
ve Android dosya tipleri gibi birçok hedef kaynak IPS tarafından sanal
olarak çalıştırılarak (emülasyon teknikleri ile) detaylı kod analizlerinden
geçirilmektedir.
GTI (McAfee Global Threat Intelligence) teknolojisi bir itibar
(reputation) sorgulama servisidir ve IPS ürünlerinin 6.0 sürümünden
beri yüksek başarı oranı ile kullanılmaktadır. Teknoloji bulut temelli
sorgu yöntemine dayalı çalışmaktadır ve aynı zamanda PDF dosyaları
içerisindeki java kodlarını emüle edip kontrol edebilemektedir. Hash
kontrolü yapan motor bulutta bulunan parmak izlerinin kontrol
edilmesini sağladığı gibi sistem yöneticilerine kendi varlıklarına
ait parmak izlerini sisteme tanıtmalarını, dolayısıyla risk içeren
dosyaların ağ üzerindeki hareketlerinin IPS tarafından denetlenmesini
sağlayabilmektedirler.
Bulut temelli sandbox tekniği ise şüpheli dosyaların diğer kontrol
mekanizmaları tarafından ne iyi ne de kötü olduğu kararının
verilememesi durumunda dosyanın daha detaylı analiz için McAfee
bulut sistemine yollanmasını sağlamaktadır.
Kullanılan bu farklı tespit teknikleri kendi içlerinde özel skor atama
algoritmaları barındırıyor olup her bir kontrol mekanizması tarafından
inceleme sonucunda şüpheli dosya ile ilgili bir skor atanmakta ve en son
oluşan toplam skor üzerinden tanımlanan aksiyonlar alınabilmektedir.
Geliştirilen tekniklerin önemi ve başarısının kanıtlanması adına, McAfee
Network IPS sistemi AV-Test’in şubat ayında yayınladığı gelişmiş
malware test raporunda %96 tespit başarısı ile değerlendirilmiş ve
sektörde bir ilke imza atmıştır.
Diğer önemli bir yenilik ise Advanced Botnet Detection tekniğidir. Diğer
üreticilerin de uzun zamandır kullandığı benzer imza teknikleri botnet
sorununun giderilmesi amacıyla McAfee tarafından da kullanılmaktadır
fakat botnet’ler düzenli olarak
iletişim, kontrol ve saldırı tekniklerini
değiştirmesi konvansiyonel güvenlik
sistemlerinin başarısını düşürmektedir.
İmza tekniklerinin ötesine geçilmesi
gerekliliği son dönemde zaruri bir ihtiyaç
haline gelmiştir. Bot’lar oldukça zekice
hareket ederler ve masum görünümlü
trafikler oluşturabilmektedirler. Örneğin
bilinmeyen bir sunucuya kontrol amaçlı
bir web isteğinin yollanması dışında
masum bir web taraması trafiği de
oluşturabilir. Ancak bir bot’un asıl kimliği
saldırı anından ortaya çıkar. Önemli
olan saldırı öncesinde bot’ların tespit
edilmesi ve gereken önlemlerin alınmasıdır. Dolayısıyla örneklenen ve
fark edilen tek, kısa süreli ve basit olay aktiviteleri bot olarak tespitte
çoğu zaman yetersiz kalmaktadır.
Benzer tespit güçlükleri
C&C (Command and Control
Center) yani bot sahiplerinin
tespiti için de geçerlidir.
İtibar (reputation) bilgileri
bu amaçla çok etkin görünse
de temel bir sorunu bertaraf
edememektedir.
C&C
sunucular çok dinamiktir
ve çok hızlı hareket ederler.
Dolayısıyla kullanılan itibar bilgisi yetersiz kalmakla birlikte hatalı tespit
(false positive) ile karşılaşmamıza neden olabilir.
olarak isimlendirilen yeni GUI ve raporlama teknikleri, saldırının
başarılı olması durumunda ana sebep ve oluşan saldırının etkilerinin
analizlerinin yapılmasını sağlamaktadır. Her gün binlerce saldırı olayı
içerisinde aslında bir APT temelli saldırının fark edilmesi ve sistem
yöneticileri için bu saldırının otomatik önceliklendirilmesi oldukça
önemli bir örnek senaryodur.
Bu problemlere çözüm üretmek amacı ile geliştirilen Advanced
Botnet Detection teknolojisi imzaya dayanmayan çoklu olayların
korelasyonuna dayanan metotları içermektedir. Çoklu korelasyon
aynı zamanda gerçek aktif C&C bilgilerini içermesinden dolayı olası
iletişimler anında kesilir, eski C&C bilgilerinin oluşturabileceği hatalı
• Ölçeklenebilir web tabanlı yönetim
Bu amaçla geliştirilen yeni raporlama ve GUI üç önemli özelliği
sunmaktadır.
• Aşamalı Bilgilendirme
• Akıllı Uyarı Önceliklendirme
Sunulan teknik olayların otomatik önceliklendirilmesini ve dikkatlerin
asıl soruna verilmesini sağlamaktadır. Bu amaçla gerekirse mevcut
McAfee Network IPS, McAfee ePO ve McAfee SIEM ürünü ile entegre
çalışarak korelasyon sonuçlarının üst
seviyeye çekilmesini sağlayabilmektedir.
McAfee yeni nesil IPS özelliklerini hızla
geliştirmeye devam etmektedir. V7.0 ile
birlikte başlayan uygulama kontrolü V7.5
ile Active Directory ile tam uyumlu hale
getirilmiştir. Yeni sürüm ile birlikte uygulama
seviyesi güvenlik duvarı kurallarında artık
kaynak ve hedefler Active Directory kullanıcı
adı ve gruplarına göre yazılabilmektedir.
Güvenlik duvarı kuralları sonucu olarak
aksiyonlara QoS eklenebilir duruma gelmiştir.
Örneğin belirli bir Active Directory grubunun
belirli bir ülke dışında ulaştığı hedeflere QoS
uygulanması veya spesifik uygulamalar için
QoS kuralları uygulanması gibi detaylı kural
setlerini tanımlamak mümkün hale gelmiştir.
Yeni sürüm sanal sistemler arası trafiklerin
denetlenmesi ve olası zararlı akışların
karantinaya alınması adına, Vmware
Vcenter (Vshield ile) ve Reflex Virtualization
Management
Center
entegrasyonunu
destekler hale gelmiştir. Sunulan bu özellik
McAfee müşterilerinin veri merkezlerindeki
sanal sistemlerin korunması adına ek
yatırım yapma zorunluluklarını ortadan
kaldırmaktadır.
tespitler (false positive) en aza indirilebilmektedir. Bu teknikler
güvenlik seviyesini McAfee Network IPS ürünüyle birlikte ücretsiz
gelen McAfee Network Threat Behavior Analysis yazılımının güçlü
entegrasyonu sayesinde son derece yükseltmektedir.
Atakların başarılı olması durumunda güvenlik yöneticilerine farkındalık
sağlayacak ve sorun çözümüne yardımcı olacak veri McAfee Network
IPS ürünü tarafından sunulmaktadır. Intelligent Security Management
McAfee 2013 yılı için ağ güvenliği segmentinde
özellikle APT sorununa karşı önemli bir yol haritası tanımlamaktadır.
Bu yılın ikinci yarısında sunulması planlanan yeni IPS sürümü (V8)
özellikle ValidEdge teknolojisinin tek başına sunulacağı McAfee
Advanced Malware Defense ürünü ile entegrasyon senaryolarını
barındırmaktadır. McAfee mevcut yol haritası itibarı ile Network IPS
ve ağ güvenliği pazarında lokomotif üretici olmaya devam edecektir.
Sibel Merey
Türkiye Şişe ve Cam Fabrikaları A.Ş. BT Güvenlik Uzmanı
Şişecam olarak Nebula firması ile uçnoktalarda kullandığımız güvenlik ürünü ve aldığımız hizmet
anlamında sıkıntı yaşadığımız bir dönemde tanıştık. Yaklaşık 2 senedir birlikte çalışıyoruz.
Ekip olarak nazik tutumları, her an ulaşılabilir olmaları, işi ya da aktarılan sorunu ciddiyetle ve
olabildiğince hızla takip etmeleri, kendilerini aşan ya da yazılıma özel sorunları hızla üretici destek
ekibine aktarıp, takibini yapmaları ve geri bildirimleri aksatmamaları en önemli artıları olarak
sıralanabilir.
Ayrıca bir sorunu çözdüklerinde, müşterinin de çözüm konusunda onayını almadan ticketı
kapatmamaları, kendi sorumluluk alanları dışında kalan soru/sorunlarda da iyi niyetle bilgi
paylaşımında bulunmaları memnuniyet yaratan diğer noktalardır. Destek hizmeti verdikleri çoğu
sistemi kendilerinin de kullanıyor olması ya da test ortamı bulundurmaları, bizlerin soru veya
sorunlarda hızlıca yanıt alabilme avantajı da sağlamaktadır. Düzenli olarak ürün ya da teknolojik
çözümler konusunda yaptıkları etkinlikler de müşteri olarak bizleri memnun etmektedir.
Leda Arapoğlu
Armada Bilgisayar Sistemleri Ürün Müdürü
Nebula Bilişim ile çalışmaya başlamamızın üzerinden henüz 1 yıl gibi kısa bir zaman geçmiş olsa
da ekibin bir kısmı ile eskiye dayanan dostluk ve iş birliğimiz var. Sektörün hızına ayak uyduran,
dinamik ve donanımlı bu ekip ile çalışmaktan memnuniyet duyuyoruz. Armada Bilgisayar olarak ürün
portföyümüze kattığımız yeni markalar ve çözümlerle, Nebula ile olan iş birliğimizin artacağından
şüphe duymuyoruz.
Çözüm sundukları alanlarda güzel başarılara ve önemli referanslara imza atan bu ekibe, başarılarının
daha da büyüyerek devam etmesini diliyoruz.
SPONSORLARIMIZ
Beyaz Şapka’ya katk›lar›ndan dolay› tüm sponsorlar›m›za ve yazarlar›m›za teşekkür ederiz.
Yay›nlanan yaz›lar›n ve görsellerin tüm sorumlulu€u yazarlar›na aittir.
Lütfen her konuda fikrinizi yaz›n.
[email protected]

CIO`lardan Ne İstiyorsunuz?

Transkript

Benzer belgeler

Nasıl DNS Hizmeti Verebilirim?

Total Protection 2009

isgb - İstanbul Teknik Üniversitesi

devam

DNS Nedir?

USB 3.0 Harici Sabit Disk Kasası 2,5” (6,35cm) SATA 6G Desteği

McAfee Mobile Security

04-Disk Sürücüleri

btp 102 arasınav 2 cevaplar

MEGASTAR