CIO`lardan Ne İstiyorsunuz?
Transkript
CIO`lardan Ne İstiyorsunuz?
2013 • CIO’LARDAN NE İSTİYORSUNUZ? • WINDOWS AZURE’DA GÜVENLİK • BIG DATA İÇİN RADIKAL YEDEKLEME: ACTIFIO • UNDERGROUND • SKYBOX SECURITY • VERİ DEPOLAMA SİSTEMLERİ • YENİ SAVUNMA HATTIMIZ: DNS • MCAFEE NEXT GENERATION NETWORK IPS V7.5 Mayıs 2013 beyazşapka 1 Seminerlerimizden Kareler 2 beyazşapka Mayıs 2013 Değerli abonemiz, İçindekiler 04 >> CIO’lardan Ne İstiyorsunuz? Serkan Akcan 06 >> Windows Azure’da Güvenlik Burçak Çakıroğlu 10 >> Big data için radikal yedekleme: Actifio Bilgehan Poyraz 12 >> Underground İrfan Kotman 14 >> Skybox Security Ozan Özkara 17 >> Veri Depolama Sistemleri Tarkan Çiçek 20 >> Yeni Savunma Hattımız: DNS Altuğ Yavaş 22 >> McAfee Next Generation Network IPS V7.5 Serkan Kırmızıgül Bir önceki Beyaz Şapka sayısında Nebula olarak bilgi güvenliği konusunda yürüttüğümüz faaliyetleri genişleteceğimizden söz etmiştik. Sözümüzü tuttuk ve bilgi güvenliği adına elimizden gelen tüm çabayı sarf ettik. 21 Mart Perşembe günü sponsoru olduğumuz IDC IT Security Roadshow İstanbul konferansına katıldık. Standımızda müşterilerimize katılımcılara yeni nesil SIEM, IPS, Anomaly Detection ve Database Security çözümlerini detaylıca tanıtma imkânı bulduk. 7-9 Nisan tarihleri arasında ise sponsoru olduğumuz IDC CIO Summit 2013 konferansı için Antalya’da Rixos Sıngate Beldibi otelindeydik. IDC CIO Summit konferansında CIO’ların dikkatini bilgi güvenliği konusunda çekmek için bir anket düzenledik ve konferans sırasında katılımcılara dağıttık. İlginizi çekeceğini düşündüğümüz anket sonuçları ile ilgili yazıyı bu sayımızda Serkan Akcan’ın yazısında bulabilirsiniz. 25 Nisan Perşembe günü seminerlerimizin daimi mekanı Point Hotel’de McAfee Enterprise Security Manager (SIEM) seminerimizi gerçekleştirdik. Seminerimize katılan yaklaşık 30 misafirimiz canlı sistemler üzerinde yeni nesil SIEM çözümlerimizi inceleme imkânı buldu. Mayıs ayında etkinliklerimiz devam ediyor. 16 Mayıs Perşembe günü Ortaköy Feriye Lokantasında yapılacak olan IDC Bulut Bilişim ve Veri Merkezi Konferansına sponsor olarak katılım gösteriyoruz. 21 Mayıs Salı günü Point Hotel’de McAfee Network Security Platform seminerimizde müşterilerimize Network IPS pazarında yaşanan devrimi göstereceğiz. 29 Mayıs Çarşamba günü yine Point Hotel’de büyük sistemler ve büyük verinin yedekleme işlemlerini kolaylaştıran Actifio ürün semineri ile aktivitelerimizi yaz dönemi sebebiyle sonlandıracağız. Seminerlerimize kayıt olmak için web sitemizde bulunan formları doldurmanız yeterlidir. Etkinliklerimizi ve daha fazlasını CRM sistemimizi kullanarak eposta aracılığı ile abonelerimize duyurmadan önce Facebook sayfamız ve twitter hesabımızdan yayınladığımızı hatırlatmak istiyoruz. www.nebulabilisim.com.tr www.nebulabilisim.com.tr www.facebook.com/nebulabilisim www.twitter.com/nebulabilisim Beyaz Şapka Nebula Bilişim tarafından üç ayda bir yayınlanan ve Nebula Bilişim Güvenli Günler! müşterilerine ücretsiz dağıtılan bir broşürdür. Beyaz Şapka Nebula Bilişim’in tescilli markasıdır ve Beyaz Şapka Ekibi her hakkı saklıdır. Mayıs 2013 beyazşapka 3 Serkan AKCAN [email protected] CIO’lardan Ne İstiyorsunuz? IDC CIO Summit 2013 konferansı için müşterilerimize CIO’lardan ne beklediklerini sorduk. İşte cevaplarınız. IDC CIO Summit 2013 konferansı 7-9 Nisan tarihlerinde Antalya’da yapıldı. Nebula olarak sponsor olduğumuz konferansta CIO’ların bilgi güvenliği konusuna ilgilerini çekmeye çalıştık. Ürün ve hizmet broşürleri dağıtmak yerine bir anket çalışması yapmaya ve sonuçları CIO’larla paylaşmaya karar verdik. Kurumlarda mühendis ve orta düzey yönetici olarak görev yapanlara CIO’lardan ne istediklerini soran bir anket düzenledik ve temel sorularla birlikte CIO’lara iletmek istedikleri mesajları sorduk. Anket sonuçlarını konferansın bilgi güvenliği oturumlarında dağıttık. Anketimiz Nebula’nın kurumsal web sitesi üzerinden yapıldı ve toplam 80 katılımcı anketi doldurdu. Daha doğru veri üretebilmek için anket katılımcılarının kişisel bilgilerini sormadık. Malumunuz, bilgi güvenliği konusundaki zafiyetleri hiç kimse ifşa etmek istemez. Aşağıda anketimizin sorularını, cevaplarını ve kişisel yorumlarımı bulacaksınız. 1. Bilgi güvenliği konusunun CIO ve diğer üst düzey yöneticilerin gündeminde yeteri kadar yer aldığına inanıyor musunuz? Evet alırken, şirket mobilyalarımızı seçerken ve satış ekibine tablet alırken en ucuzunu tercih etmiyorsak bilgi güvenliği konusunda da aynı bonkörlüğü göstermemiz gerekir. Anketin tüm katılımcıları da bütçelerin yetersizliğini açıkça ortaya koymuş. 3. Sizce bilgi güvenliği bütçeniz hangi oranda büyütülmeli? %0-15 %15-30 %30-50 %50+ Bütçe artış beklentisi açık ara %15-30 bandında. Makul ve kimseyi üzmeyecek bir sonuç. 4. Kurumunuzda Security Operations Center (SOC) birimi bulunuyor mu? Hayır Bir banka şubesi güvenlik görevlisi olmadan açılamıyor ama bir bilişim sistemi gerekli testler yapılmadan ve önlemler alınmadan hizmete sunulabiliyor. Soruya verilen cevapları bilgi güvenliğinin bir zorunluluk olduğunu üst yöneticilere daha iyi anlatmamız gerektiğini gösteriyor. 2. Kurumunuzun bilgi güvenliğine yeterli bütçeyi ayırdığını düşünüyor musunuz? Evet Hayır Security Operations Center (SOC) kavramı gelişmiş ülkelerde son derece yaygınken ülkemizde henüz yeterli bilincin ve yatırımın olmadığını görüyoruz. Önümüzdeki 3 yıl boyunca bolca SOC kavramından konuşacağız. 5. Kurumunuz bilgi güvenliği eğitimleriniz ve sertifikasyonlarınız için yeterli kaynağı sağlıyor mu? Evet Hayır Bütçe konusunda iki yönlü sıkıntı olduğunu biliyoruz. Birincisi yapılması gereken bilgi güvenliği yatırımlarının bütçe düşüklüğü nedeniyle gerçekleştirilememesi. İkincisi ise yapılan yatırımlarda ucuz ürün tercih edilmesi. Bilgi güvenliği gibi kritik bir alanda ucuz olan değil işi gören teknolojilere yatırım yapılması gerekir. Nasıl şirket yöneticilerimize araç 4 beyazşapka Mayıs 2013 Evet Hayır İstatistik açısından yeterli eğitim ve sertifika kaynağı ayırma oranı %55 ancak bu gerçek dünyada tatmin edici bir oran değil. Bilgi güvenliğinin en önemli adımının eğitim olduğunu yöneticilere daha iyi anlatmamız gerekli. 6. Kurumunuz istediğiniz üretici ve hizmet sağlayıcı şirketlerle çalışmanıza olanak sağlıyor mu? Evet Hayır Türkiye’deki bilgi güvenliği teknolojileri yatırımı genel olarak önleyici ürünlere yönelmiş durumda. Veri sınıflandırma, risk analizi, olay yönetimi, regülasyon yönetimi ve otomatik iyileştirme teknolojilerine henüz yeteri kadar yatırım yapılmamış durumda. SIEM, GRC, Privilege Management ve Risk&Compliance türü ürün grupları önümüzdeki dönemde ilgi görecek gibi. 11. CIO’nuza ve diğer CIO’lara mesajınız var mı? Anketin pozitif sonuç veren tek sorusu. Yöneticiler genel olarak teknik tercihleri teknik ekiplere bırakıyor. %19’luk dilimin kaynağı ise büyük ihtimal yurtdışı kökenli şirketlerin yurtdışı standartları gereği ürün tercihini ülkemizde yapamıyor olması. 7. Bilgi güvenliği ile görevlendirilmiş personel sayınızın yeterli olduğunu düşünüyor musunuz? • Aslında gündemden düşmemesi ve gereken hassasiyetin gösterilmesi gereken konuda, özellikle yapılan yatırımların gereksiz ve boşuna yapılan bir masrafmış gibi düşünüldüğünü sanıyorum. Atalarımızın dediği gibi “bin nasihattan bir musibet evladır” anlayışının güvenlik konusunda geçerli bir anlayış olmaması gerektiğini, olası bir güvenlik ihlalinin, şirketlere sadece bilgi ve maddi kayıplar yaşatmadığını, şirketlerin doğrudan prestij ve geleceğini etkilediğinin altının çizilmesi gerektiğini ifade etmek istiyorum. • CIO’lara bilgi güvenliği ihlalleri hakkında haftalık brifing talep etmelerini öneriyorum. Bu bilgi güvenliğine verilen önemi güçlendirecektir. Evet Hayır Anketin negatif cevabı en yüksek olan sorusu. SOC sorusundan bile daha kötü bir sonuca sahip. Bilgi güvenliği ürün, teknoloji ve yönetmelikleri çok fazla zaman alıyor. Teknik ekipler birçok teknik çalışmayı mesai saatleri dışında yapmak zorunda kalıyor. Yeterli personel yok ve bilgi güvenliğinin olmazsa olmazı olan araştırma-geliştirmeye zaman bulmak imkânsız. Teknik ekipler CIO’lar sesimizi duysun diye haykırıyor sanki. 8. Bilgi güvenliği yönetimini kurumsallaştırabildiğinizi düşünüyor musunuz? Evet Hayır Bankaların bir bölümü ve Telekom operatörleri hariç genel olarak Türkiye’de bilgi güvenliği konusunun kurumsallaştırılamadığı bilinen bir gerçek. 9. Bilgi güvenliği konusunda dış kaynak kullanımı ve destek sözleşmelerinizin yeterli olduğunu düşünüyor musunuz? Evet Hayır Bilgi güvenliği ürünlerinin her biri artık kendi başına bir mühendislik harikasına döndü. Kurumların teknik personellerinin dış kaynaklı destek ihtiyacı hızla büyüyor ve talep gittikçe artıyor. 10. Kurumunuz gerçek zamanlı olarak bilgi güvenliği riskini ölçüp anında gösterebilen bir güvenlik teknolojisine sahip mi? Evet Hayır • Son dönemin en popüler konularından biri olan Bilgi Güvenliği konusunun artık devletler boyutunda (bkz. Wikileaks) önem kazanmış olması, bu konuya firmaların ne kadar ciddi yaklaşması gerektiğine güzel bir örnek. Bu nedenle Bilgi Güvenliği konusunun tüm kurum çalışanlarının bir çalışma kültürü haline gelmesi gerekiyor. Bu konuda yapılacak yatırımların çok daha büyük cezai yaptırımları engelleyeceğini unutmamak gerekli. • Bilgi güvenliği konusu şirketin geleceğinin teminatıdır. CIO’lar bilgi güvenliği konusuna daha çok zaman ayırmalı ve bilgi güvenliği çalışmalarını daha çok desteklemelidir. • CIO’lardan bilgi güvenliği yatırımlarını önceliklendirmelerini talep ediyorum. • Yöneticilerimizin Amerika’yı yeniden keşfetmemek adına güvenlik ürün üreticileri ve hizmet sağlayıcıları ile daha stratejik ilişkiler geliştirmesi gerektiğini düşünüyorum. Her ürün grubunda en az 5 ürün denemek gereksiz zaman kaybına neden oluyor. • CIO’lar önleyici güvenlik teknolojileri kadar izleme, raporlama ve risk yönetimi teknolojilerine de yatırım yapılmasını sağlamalılar. • Özelleştirilmiş ve sürekli hale getirilmiş güvenlik danışmanlık ve denetim hizmetilerine ihtiyaç duyuyoruz. • CIO’lardan önemlemleri zamanında almalarını, iş işten geçtikten sonra sorumlu aramamalarını istiyorum. Sonuç: Türkiye’de bilgi güvenliği başarımının pek yüksek olmadığını hepimiz biliyoruz. Yaptığımız anket çalışması bunun sebeplerini çok net biçimde gösteriyor. Maalesef bilgi güvenliği konusu hak ettiği bütçeyi, insan kaynağını ve ilgiyi göremiyor. Umarız ki anket çalışmamız amacına ulaşır ve kurumlar için misyon kritik öneme sahip olan bilgi güvenliği konusuna CIO’ların gösterdiği ilgiyi arttırır. Biz Nebula olarak bilgi güvenliği konusunun hak ettiği önemi görmesi için tutkuyla çalışmaya devam edeceğiz. Mayıs 2013 beyazşapka 5 Burçak Çakıroğlu [email protected] Windows Azure’da Güvenlik Bildiğiniz üzere bu yılın BT dünyasının en çok konuşulan konularının arasında ilk sıralarda “Bulut Bilişim” gelmekte. Dolaysıyla da arkasından gelen bilgi güvenliği konusunda yüzlerce, binlerce soru. Pekte haksız sayılmazsınız. Bilinmeyen bir yerde, bilinmeyen bir personelin işlettiği, bilinmeyen bir sistem. Güvenlik kısmına geçmeden önce platform ile ilgili kısa bir Diğer korkulan bir konu ise de veri merkezlerinin fiziksel ve önbilgi vermek isterim: sanal saldırıya açık olması. Windows Azure, Microsoft’un Genel Bulut uygulama Peki Windows Azure gibi herkesin gözü önünde olan bu veri ve altyapı platformudur. Bu platformu pek çok şekilde merkezlerinde ne gibi öğeler tehdit olarak algılanabilir? kullanabilirsiniz. Örneğin Windows Azure ile verilerini Aklıma ilk gelen konular arasında: Microsoft veri merkezleri üzerinden çalıştıran ve saklayan bir internet uygulaması hazırlayabilirsiniz. Windows • Fiziksel: Veri merkezlerine olabilecek fiziksel saldırı Azure’u, verileri kurum içerisinde (yani genel bulut dışında) • Kullanıcı: Kullanıcı hataları, erişim yetkisi olamayan kullanan uygulamalar için sadece veri depolamak amacıyla yerlere erişim çabası, destek personelinin müşteri verisine da kullanabilirsiniz. Windows Azure’u geliştirme ve test erişimi... vs. işlemleri veya SharePoint ve diğer uygulamaları çalıştırmak amacıyla sanal makineler oluşturmak için de kullanabilirsiniz. Windows Azure’u çok ama çok sayıda kullanıcıya sahip çok büyük ölçeklendirilebilir uygulamalar oluşturmak için de • İnternetten gelen saldırılar: DDoS atak, sniffing... vs. • İç ağdan gerçekleşen saldırılar: Bir başka Windows Azure müşterisinden gelen saldırılar kullanabilirsiniz. Platform pek çok hizmet sunduğundan tüm • Sunucular: Sanal makinelerden ana donanıma erişim bunlar ve çok daha fazlası mümkündür. • Uygulamalar: Sanal makine üzerinde koşan uygulamanın işletim sistemine, donanıma ve veriye olan erişim hakları. Bugüne kadar ziyaret ettiğim müşterilerde buluta geçmek Bu makalede, yukarıdaki tehditlere karşılık Microsoft veri için duyulan merkezlerinde alınan önlemler, kurulan sistemlerin yanı sıra konuların başında, verisinin aşağıda bana en çok sorulan soruları da elimden geldiğince kendi kontrolünde olmaması cevaplamaya çalışacağım: ve ülke dışında tutulmasının • Verimin güvenliği nasıl sağlanıyor? tereddüt geldiğini görüyorum. Verinizi taşımamanız • Verim bana özelliği nasıl sağlanıyor? demek bulut hizmetlerinden • Verimin sürekliliğini ve yedekliliğini nasıl sağlıyorsunuz? yararlanamayacağınız anlamına gelmez. • Veri merkezi çökerse, verime ne oluyor? Unutmayalım ki Windows Azure veri merkezleri ile şirketiniz • Saldırılar nasıl önleniyor? arasında kurulacak uçtan uca sanal ağ yardımı ile kritik • Azure ’da güvenlik duvarı yönetilebilir mi? bulduğunuz verileri şirket içinde tutarken diğer verileri ve • Verime benden başkasının erişme yetkisi var mı? uygulamalarınızı buluta taşıyabilirsiniz. Windows Azure’da • Veri merkezleri ve müşteri arasındaki bağlantı güvenli mi? veri yönetimi dışında da kullanabileceğiniz birçok servis de bulunmaktadır. 6 beyazşapka Mayıs 2013 • Verimi sildiğimde fiziksel olarak silindiğinden nasıl emin olabilirim? Tüm bu sorulara verilecek en kolay cevap, Windows Azure ’un genel güvenlik yapısından sizlere biraz bahsetmek olacaktır. • ISO / IEC 27001:2005 • PCI (Ödeme Kartları) Veri Güvenlik Sertifika Standardı Genel Windows Azure Mimarisi • Windows Azure • Veri Merkezi • SSAE 16/ISAE 3402 • FISMA Sertifika ve Eşitlik Belgesi • HIPAA/HITECH Act • Çeşitli devlet, Federal ve Uluslararası Gizlilik Kuralları • Fabric Controller (FC): Makineleri monitör eden, kontrolü sağlık Alınan yönetişim sertifikalar arasında: Windows Azure’da İzolasyon • DDoS atak önleyiciler yapan, provision eden ve kuran bir sistemdir. • Hypervisor: Sanallaştırma • Ağ katmanında, Microsoft VLAN ve paket filtreleri ile iç kullanıcılar arasındaki ağ ve internet erişimini ayırıyor. teknolojisi, bir host makinede • İletişim FC (Fabric Controller) VLAN’dan ana VLAN’a aynı anda birden çok işletim sistemini, yani guest sanal izin verilir, ancak ana VLAN’dan FC VLAN için bu iletişim makineleri koşturabilen sistemdir. başlatılamaz. • Donanım iletişimde engellenir. Ana VLAN’dan, cihaz VLAN’ınına olan Genel Windows Azure Güvenlik Katmanları Bu katmanların bir kısmına biraz daha detaylı değinmek gerekirse: Microsoft Veri Merkezi Altyapısı • Misafir sanal sunucular özel bir Windows Server versiyonu kullanırlar. Sunucu rolüne bağlı olarak sınırlı sayıda aygıt Fiziksel katman olarak, Windows Azure sunucuları, en iyi sürücülerine sahiptirler. endüstri standartlarını kullanan Global Foundation Services (GFS) tarafından işletilen veri merkezlerinde saklanıyor. Bu • Windows Güvenlik Duvarı her sanal sunucuda etkindir. standartlar arasında: Sunuculara olan dış ve iç iletişim kullanıcı tarafından • 24 x 7 güvenli erişim • Video kamera gözetimi tanımlanan portlar ile sağlanır. İç ve dış sistemlere sadece bu portlar ile erişim sağlanabilmektedir. • Hareket sensörleri • Hypervisor doğrudan donanım üzerinde çalışır ve bir • Güvenlik ihlali alarm node’u birçok sanal makineye böler. Her node, üzerinde host • Biyometrik kontrollü geçiş sistemleri işletim sistemi koşan bir root sanal makineye sahiptir. Azure, • Gelişmiş yangın ce duman detektörleri sadece host sanal makinelerin ihtiyacı olan bileşenlere sahip Mayıs 2013 beyazşapka 7 hafifletilmiş bir Windows Server versiyonu kullanır. Bu hem • Müşteri, Windows Azure’u Web Yönetim Portalı veya performansını artırmak için hem de saldırı yüzeyini azaltmak Uygulama Programlama Ara yüzleri (API) aracılığı ile için yapılır. abonelikleri ve bu aboneliğe bağlı LiveID leri ile erişebilirler. • Sanal makinelerin ağ ve disklerine olan tüm erişime root işletim sistemi aracılık eder. sanal hakları verebilirler. Bu kişilerinde operasyonel yaptığı tüm aktiviteler loglanmaktadır. Azure ve müşteri arası iletişim SSL li olabilir tercihe bağlı olarak. • Müşteri verisi özel ve genel asimetrik şifreleme anahtarları • Hypervisor sanal Bu ara yüzlerden tanımladıkları diğer kullanıcılara da erişim ağ ’ün switch’i makinelere ile transfer ve depolama esnasında şifreli tutulur. • Windows Azure müşteri destek personeli, sanal sunucu ve üzerinde oturum açma hesabı oluşturmadan ve daha sonra makinelerden olan tüm bağlantı sağlamak için RDP kullanmadan müşterinin sanal trafiği makinesine erişemez. Böylece müşteri tüm bu yapılan filtreler. Aynı zamanda aynı fiziksel hostta bulunan diğer sanal sunuculara aktivitelere event log dan takip edebilir. Kısacası Windows olan sniffer bazlı atakları da engeller. Ayrıca broadcast ve Azure müşteri destek personeli tarafından yapılan tüm multicastleri engeleyen diğer filtrelerde bulunur. erişimlerden müşterinin haberi olur. Müşteri Verisine Erişim 8 beyazşapka Mayıs 2013 • Müşterinin kendisi dışında müşteri verisine, müşteri • Windows Azure müşterilerinin ham depoya erişim hakları onaylı olmak şartıyla sorun çözmek amaçlı müşteri destek bulunmamaktadır. Müşteri yeni depo kullanmak istediğinde, personeli de erişebilir. Bu destek personeli iki öğeli kimlik ancak depo üzerindeki var olan geçmiş veriler üzerine doğrulama sistemi olarak kullanılan Microsoft AD kullanıcısı yazıldıktan sonra kullanılabilir halde müşteriye verilir. ve Smart kartlar ile erişim sağlayabilirler. Deponun üzerine yazılma işlemine dair garanti edilmiş bir • Tüm erişimler ve aktivitelerin tutulduğu detaylı ISO 27001 denetim raporları müşterilere gizlilik sözleşmeleri altında sunulabilir. tarih bulunmamaktadır. Şifreleme anahtarları veriyi başarılı bir şekilde şifreledikten sonra ve verinin erişilememesinden emin olduktan sonra, bu anahtarların belli bir zaman sonra silinmesi için bir tarih garanti edilebilir. Veri Silinmesi ve Yok Edilmesi • Müşteri verisi donanım hatalarına karşı, verinin tutulduğu • Müşteri aboneliği esnasında verisine istediği zaman veri merkezinde otomatik olarak eş zamanlı 3 ayrı clusterda erişebilir ve silebilir. Müşteri aboneliği iptal ettikten 90 gün yedeklenir. Eğer müşteri dilerse 3 ayrı kopyayı da asenkron içerisinde verisine erişme hakkına sahiptir. Bu 90 günlük başka veri merkezine yedekleyebilir. Toplam 6 kopya zaman geçtikten sonra 30 gün içerisinde tüm veriler silinir. tutulabilir. Dilerseniz sizleri daha fazla teknik detaylarla boğmadan • Veri silindiği zaman hemen birincil veri merkezindeki tüm burada duralım. kopyalar ve orijinal veri siliniyor. Asenkron olarak da başka veri merkezinde yedeklenenler siliniyor. • Microsoft silme çözümü NIST SP800-88 Detay bilgi isterseniz bu bilgilere, uyumlu prosedürler kullanıyor. Silinmeyen sürücüler üzerindeki http://www.windowsazure.com/en-us/support/trust-enter/ adresinden de ulaşabilirsiniz. veriler geriye döndürülmeyecek şekilde yok ediliyor. Mayıs 2013 beyazşapka 9 Bilgehan Poyraz [email protected] Big Data İçin Radikal Yedekleme: Actifio Geleceğin veri koruma teknolojisi şimdi karşımızda. Kopya keri miktarındaki korkunç artış nereye gidecek? Günümüzde sistem yöneticilerinin ve bilgi işlem birimlerinin akıllarındaki en büyük sorulardan biri budur. Yedekler, arşivler, ODM merkezindeki kopyalar, test ve development birimlerinin hazırda tuttuğu kopyalar, günlük operasyonlarda kullanılan snapshotlar ve günün sonunda neden alındığı unutulan yedekler. Tüm bunlar bizi yedekleme çözümlerinin dışına, daha efektif, daha farklı bir ürün arayışlarına itmektedir. Yakın zamanda Türkiye’ye gelmiş bir ürün olan Actifio, tüm sorularınıza cevap verebilecek yeteneklere sahip bir ürün. Actifio 2010 yılında kurulmuş çok genç bir firma. Ama ürünü incelediğimizde bu zamana kadar yapılmamış ve hayal edilmemiş bir çok şeyi yapabilecek yeteneklere sahip olduğunu göreceksiniz. Herşeyden önce dünyada şu anda rakibi yok. Eğer rakip bir ürün oluşturmaya çalışırsanız 3 farklı üreticinin 5 farklı ürününü birleştirmeniz gerekiyor. Birleştirilen ürünlerin ise belirli bir nizam içinde son derece uyumlu hale getirilmesi gerekiyorki, bu kanaatimce imkansız. Rakipler ve artıdeğerler Hemen her üreticinin kendi ürünleri ile birlikte çalışmak üzere planlanmış ürünleri zaten mevcut. Ama küçük bir kısmı haricinde hepsinin donanım bağımlılığı ve ürün bağımlılığı mevcut. Aşağıdaki tabloda şu an varolan teknolojileri ve yeteneklerini inceleyebiliriz. Firmanının kurucularını incelediğimizde ise storage denildiğinde ilk akla gelen isimlerden oluşuyor. Ash ASHUTOSH (Storage üzerine 25 yıldır çalışımakta), Jim Sullivan (Storage üzerine 23 yıldır çalışmakta, XIV’nin mucidi), David Chang (Storage üzerine 20 yıldır çalışmakta). Gördüğünüz gibi tüm isimler storage pazarı ile sektörde göz açmışlar. Ürettikleri Actifio ise tüm bu tecrübenin neticesi olarak karşımıza çıkan bir ürün olmakla beraber nitelediklerini incelediğinizde gözümüzün önüne bambaşka ufuklar açmakta. Günümüzde teknolojilerinde varolan en temel problem Actifio’nun kurucuları, ticari kurumların ürettikleri data miktarını incelemiş, canlı sistem datalatının yanında çok fazla kopya data bulundurulduğunun farkına varmışlar. Tekilleştirme için farklı, yedekler için farklı, test ortamları için farklı, DR/BC operasyonları için ayrı ayrı kopyalar tuttuğumuz ortaya çıkmış. Canlı tutulan datanın 5 katı kopya data bulundurulduğunu farketmişler. Bu durum karşısında akıllarına gelen soru ise, neden bu kadar veri tutuyoruz ve kopya verileri nasıl azaltırız olmuş. Çıkan sonuç ise, Öncelikle bu kadar farklı sebepler için tutulan verileri merkezileştirmek gerekli. Bunun için tüm operasyonu bir çözümde toplamak, ama bu çözüm birden fazla marka veya üreticinin ürünlerininde aynı platformda birleştirilmesi ve problemsiz hale getirilmesi anlamına geliyor. Şimdi kopya verileri detayları ile incelemek için aşağıdaki diagrama bir göz atalım: Gördüğünüz gibi hem sanal hemde fiziksel ortam için yukarıdaki çoklu kopyaları tutmaktayız. Bu işlemler bize çok fazla yedek, bu yedekler için farklı farklı altyapı, farklı çözümler olması dolayısı ile de operasyonel zorluklar ve yönetimsel problemler ortaya çıkarmaktadır. 10 beyazşapka Mayıs 2013 Gördüğünüz üzere günümüzde data güvenliğini birden fazla ürünle sağlayabiliyoruz. Aynı zamanda bu ürünler için ayrı ayrı deneyim gerekiyor. Çünkü hemen hepsi farklı arayüzlere sahip. Bu aşamada kullanım zorluğu ve operasyonel karışıklıklar ortaya çıkıyor. Peki Actifio bize ne sağlar, neyi kapsar? Bunun için öncelikle aşağıdaki tabloyu inceleyelim. Tabloda gördüğünüz gibi Actifio tüm bu ürünlerin yeteneklerinin hepsini tek başına kapsıyor ve üzerine artı değerler sağlayarak farklılığını ortaya çıkarıyor. Zaten bu tabloyu incelediğinizde olağan üstü bir durum olduğunu farkedeceksiniz. Peki tüm bu yetenekleri nasıl bir platform tek başına bize sağlayabilir? sıkıştırılmış alanda tutuyor. Böylece storage’ınızı oldukça verimli kullanıyor. Actifio GoldenCopy’i üzerine aldıktan sonra sizin verdiğiniz aralıklarda incremental olarak yedek almaya devam eder. Sonrasında “T” anında bir Actifio ile geleneksel tüm yapılara yeni bir yaklaşım Öncelikle şunu belirtmeliyiz, Actifio bir appliance. Yani bir donanımsal platform. Bu platform kendi üzerinde disk barındırmıyor. Actifio’ya sahip olduktan sonra birlikte kullanmak üzere bir storage hazırlamak durumundayız. Actifio tüm operasyonu bu storage ile gerçekleştiriyor. Eğer storage değiştirme/yenileme aşamasındaysanız bu sizin için inanılmaz bir fırsat aslında. Eski storage’ı Actifio ile birlikte kullanmak üzere ayırabilirsiniz. Aşağıda Actifio’nun genal anlamda nasıl çalıştığını görebilirsiniz: problem yaşandığında Actifo kaybedilen datayı kendi üzerindeki storage disklerinden canlı ortama sağlar. Dolayısı ile siz herhangi bir restore işlemi yapmak ve restore işlemi için zaman kaybetmekten kurtulursunuz. Bu işlem sonrasında RTO değerinizi neredeyse sıfıra düşer. İşte diğer çözümler bunu sağlayamıyorlar ve bu durumda ürün rakipsiz hale geliyor. Farkettiyseniz klasik yedekleme çözümleri gibi işe başlıyor Actfio. Önce var olan verilerinizin tüm yedeğini kendi deyimi ile Golden Copy olarak kendi üzerine alıyor. Sonrasında incremental dediğimiz şekilde yani sadece bir önceki yedeği denetleyip değişiklikleri alıyor. Bu değişiklikleri sizin belirleyeceğiniz seviyelere göre alıyor. Ve yedekleme sayısı ile ilgili bir kısıtlama yok. Ortamda bulunan verinin bir tam yedeğini aldıktan sonra sonsuza kadar değişikliklerin yedeği ile devam ediyor. Asıl farklılık bu aşamadan sonra karşımıza çıkıyor. Buradan sonrası çok önemli, çünkü yukarıdaki tüm çözümlerin yapamadıklarını Actifio sağlıyor. Storage Actifio tarafından aşağıdaki gibi kullanılıyor. Önce storage’i ikiye bölüyor. Birini kısmı canlı ve enson dataları tuttuğu daha hızlı kazanılmasını sağlayan alan olarak değerlendiriliyor. Sizin istediğiniz tarihten öncesini ise dedup edilerek Bu aşamadan sonra kurum gerekliliği dolayısı ile yedekleri bir tape kartuşuna çıkmanız ve güvenli bir yerde saklıyor olmanız gerekiyor olabilir. Actifio bu durumda ODM merkezinde yada merkez ofiste ortama bağlayacağımız bir tape kütüphanesine istediğiniz aralıklarla tüm datayı çıkartabiliyor. Şöyle bir senaryo daha düşünelim, ODM merkezimiz var. Ve bu datanın bir kopyasını orada tutmamız isteniyor. Bu durumda ürün sizi çaresiz bırakmıyor. ODM merkezine bir appliance daha alarak birbirleri arasında dedup edilmiş alanı merkezden ODM’e aktarabiliyor ve ODM’deki çalışma alanında kullanılabilir halde tutabiliyorsunuz. Bu durumda genel grafik aşağıdaki gibi olacaktır. Yukarıda gördüğünüz yeteneklerin tamamını Actifio tek başına sağlamaktadır. Bu özellikleri tekbaşına sağlayan başka bir çözüm henüz bulunmamaktadır. Bu aşamadan sonra akla gelen ilk soru böyle bir ürünün kullanım zorluğu seviyesi. Firma yola çıkarken slogan olarak “Radically Simple” sloganını seçmiş. Bunun sebebi ürünün tüm operasyonları sadece bir ekran ve 4 farklı tab üzerinden halledebilmesi. Sonuç olarak sizde kurumunuza böyle bir ürünün sağlayacağı artı değerleri kazandırmak ve faydalanmak isteyebilirsiniz. Bu ürün size hem zaman kazandıracak, storage yatırımlarınızı azaltacak, Bilgi işlem mühendisleri üzerindeki operasyonel zorlukları azaltacak, sistem bakım ve performans iyileştirmeleri için araştırma ve geliştirme için zaman kazanılmasını sağlayacaktır. Her katmanda artı değerlere ulaşmak için Actifio size yetecektir. Mayıs 2013 beyazşapka 11 İrfan Kotman [email protected] Underground Gelişmiş Israrcı Tehdit (Advanced Persistent Threat) Bilişim teknolojilerinin büyük bir hız ile gelişmesine paralel kötü niyetli yazılımlarda hızlı bir değişim geçirmektedir. Değişim ile beraber sistemleri aksatmak ve zarar vermek için tasarlanan yazılımların yerini, akıllı kötü niyetli tehditler almaya başlamıştır. Son birkaç yıldır sadece özel bir görev Çalıştırma sonrası notepad bilgisayarımızda normal olarak için tasarlanabilen ve siber silah olarak da kullanılabilen açılmakta ve kullanılmaktadır. tehdit çok zeki tehdit örnekleri ile karşılaşılmaktadır. Bilişim sistemlerinin en büyük tehditleri olarak gözüken virüsler, wormlar, Botnetler yerlerini Gelişmiş Israrcı Tehditlere (APT) zamanla bırakmaktadır. Peki Gelişmiş Israrcı Tehdit (APT) nedir? Gelişmiş Israrcı Tehdit siber dünyada istenilen noktalara Fakat APT mizi çalıştığı an bilgisayarımıza arka planda saldırıların gerçekleştirmesi için geliştirilmiş, hedefi net nNotepad.exe dosyasını indirmektedir. olarak belirlenmiş, oluşturulması sırasında büyük gruplar tarafından desteklenebilen akıllı yazılımlardır. APT ler bir çok güvenlik yazılımını kolayca atlatabilmekte, bulaştığı sistemlerde uzun süre fark edilmeden çalışabilmekte, görevini tamamladıktan sonra sistemden kendini kaldırabilmekte, belirli sistemleri ve kişileri hedef alınabilmektedir. İndirme sonrasında bilgisayarımızda nNotepad.exe çalışmaya başlanacaktır. Genel olarak uluslararası siber savaşlar ile gündeme gelen APT ler gün geçtikçe kurumlar ve son kullanıcılar içinde tehdit olmuşturmaktadır. Küçük bir Gelişmiş Israrcı Tehdit (Advanced Persistent Threat) Örneği Bu sayımızda şirketimizde gelecek nesil tehdit algılayıcılar ve ağ analizi çözümleri sistemlerinin test edilmesi amacı ile şirketimiz bünyesinde yazılan basit bir APT ile neler yapabileceğimizden bahsedeceğiz. APT yazılımımız yaklaşık Notepad.exe olarak kurban bilgisayara yerleştirdiğimiz bir günlük bir çalışma ile hazırlandı ve hazırlanırken internette APT yazılımı, kolayca herhangi bir pdf ya da ofis dosyası bulunabilen hazır araçlardan faydalanıldı. olarak derlenebilir. Derlenen dosya ağdaki bir paylaşım, herhangi bir web sayfası ya da bir e-posta üzerinden kullanıcı APT yazılımımızı kurban bilgisayara Notepad.exe olarak tarafından indirebilir. Kullanıcı tarafından bu dosya açıldığı yerleştiriyoruz. Notepad’i bilgisayarımızda çalıştırıyoruz. zaman kullanıcının istediği belge düzgün olarak açılacaktır. 12 beyazşapka Mayıs 2013 Fakat arka planda APT miz tarafından yapıldığı gibi sistemde üzerinde herhangi bir konuma istenilen bir dosya indirebilir, bir program kurulabilir ve bilgisayar her açıldığında gizli olarak bilgisayarda çalışması ve görev yöneticisi üzerinde gözükmemesi sağlanabilir. görevlerini yerine getirebilmeleri sağlamaktadır. Basit bir APT bile bilgisayarınızdaki kritik bilgilerin dışarıya çıkarılmasını sağlayabilirken, profesyonel ekip yada kişiler tarafından hazırlanan APT lerin siber dünyada ne kadar büyük riskler oluşturabileceği kesinlikle değerlendirilmeli ve Kullandığımız nNotepad.exe keylogger özelliği taşımaktadır. alınabilecek tedbirler mümkün olduğunca bilişim sistemlerde Biz bu özelliği sadece masaüstünde açılan bir Word dosyasının uygulanmalıdır. içeriğinin kullandığımız bir web sayfasına gönderilmesini sağlamak için düzenledik. Word dosyası içerisine kısa bir metin ekledik ve Masaüstünde Test_Search isimli bir klasör içine Mest ismi ile kaydettik. Gelişmiş Israrcı Tehditlere (APT) karşı alınabilecek önlemler: • En kesin çözüm, sistemlere bütünlük kontrolü yazılımları kurulması ve düzgün şekilde yapılandırılmasıdır. Bu yazılımlar ile sisteminizdeki her dosyanın parmak izini alabilir, bu parmak izlerine göre izin verdikleriniz hariç hiçbir dosyanın çalıştırılmamasını sağlayabilirsiniz. Bunun yanında sistemdeki kritik dosyaların ve kayıt defteri ögesinin değiştirilmemesini sağlayabilir ve değişikleri raporlayabilirsiniz. • Yeni Nesil Proaktif Tespit ve Bloklama Çözümleri Bu çözümler ile APT yazılımlarının sisteme e-posta yada Web üzerinden girmeye çalışırken tespit edilmesi yada APT Teksin içeriğinin gitmesi için kullandığımız Web sayfamızı atağın belirlenen adreslere erişmeye çalıştığı anda gerçek kontrol ettiğimiz zaman dosya ismini ve içeriğini Web zamanlı olarak yasaklanması sağlamaktadır. sayfamız üzerine başarı ile aktarıldığını görmekteyiz. • Ağ Analizi Çözümleri Ağınız üzerindeki sistemlerin davranışları analiz edilerek, anormal görülen trafiklerin raporlanması veya yasaklanması sağlanabilir. • Merkezi Güvenik İzleme (SIEM) ile sistem logları arası korelasyonlar ile tehdit barındırabilecek sistemlerin belirlenebilir. Şirketimiz bünyesinde hazırladığımız basit bir APT örneğinde • Kritik sistemlerin internetten izole edilebilir. görebileceğiniz gibi APT yazılımları sisteminize kolayca sızıp, • Bütünlük kullanıcılar tarafından fark edilmeden sistem üzerindeki güvenlik Duvarı, atak Önleme Sistemlerinin aktif tutulmalı ve verileri dışarıya çıkarabilmektedir. sistemler veri koruma yazılımları (DLP) barındırmalıdır. APT lerin işleyişi tamamen hazırlayan kişi ya da ekipler • E-posta ve web den gelebilecek risklere karşı itibar tabanlı tarafından belirlenmektedir. APT ler üzerinden yazımızda koruma sağlayan sistemler kullanmalıdır. kontrolü yazılımları olmayan sistemlerde bahsettiğimiz gibi binlerce farklı senaryo oluşturularak Mayıs 2013 beyazşapka 13 Ozan Özkara [email protected] ProAktif Güvenlikte Risk Modelleme ve Atak Simülasyonu Güvenlik ihtiyaçları IT harcamalarında şüphesiz önemli unsurların başında gelmektedir, her yeni tehdit yeni bir riski, her yeni üretici ve teknoloji sunduğu olanakların yanında kendi güvenlik risklerini oluşturmaktadır. Kurumlar oldukça fazla zaman ve kaynak ayırarak güvenlik çözümleri ile zararlı kod, veri güvenliği, kritik sistemlerin yapılandırılması için çalışmakta ancak oluşan yapı ve sınırsız iş ihtiyaçları nedeniyle güvenlik yönetimi ve devamlılığı başa çıkılması zor bir süreç haline gelmektedir. Bilgi güvenliği yönetimindeki karmaşıklık ve anomali yapısı ilgili yönetimi çok daha zor hale getirmektedir. Sistemi güvenli hale getirmek için yapılandırılan her güvenlik yaklaşımı kendi içerisinde ek güvenlik süreçlerini ve ek yönetim maliyetlerini de yanında getirmektedir. Kurumlarda Ağ ve güvenlik operasyonu zor yapan yapının yönetimi ve güvenliğin ölçülmesi adına bir türlü güvenlik metriklerinin kurumlar içerisinde düzgün yapılandırmamış olmasından kaynaklanmaktadır. Zaman kritik ve güvenlik olaylarının gerçek zamanlı müdahalesinde teknoloji olduğu kadar ilgili operasyonun diğer bileşenleri olan insan ve güvenlik operasyon süreçleri de önemlidir. Peki, çözüm nedir? Buradaki anahtar kelimemiz otomasyondur. Güvenlik teknolojilerinin arkasındaki otomasyon ve simülasyon eksikliği çoğu kez yanlış, bilinçsiz güvenlik araçlarının farkında olmaksızın yapılandırılmasından ve ilgili güvenlik ihtiyaçlarına yapının cevap vermemesinden kaynaklanmaktadır. Atak simülasyonları ve beraberinde otomatize risk modellemesi yapı içerisinde her bir olasılığın analizi ve ilgili atak vektörü konusunda senaryoları düşünmemize neden olmakta, kurum yapısının elde edilen veriler ışığında tanımlanan metrikler ile yapılandırılması ile mümkün olabilmektedir. Her şeyden önce güvenliğin ölçülebilir ve verilerle ifade edilebilir olması her açıdan kritiktir. Skybox tarafından sağlanan patentli güvenlik simülasyonu ve modelleme teknolojisi sayesinde otomatikleştirilmiş olarak tüm altyapı bileşenleri ile entegre güvenlik risk yönetimi yapısının kurulması mümkündür. Skybox firewall, ağ ve sunucu 14 beyazşapka Mayıs 2013 bileşenleri arasındaki ilişkileri sadece ilgili katmanda değil zayıflıkların analizi noktasında da merkezileştirilmiş yapısı ile gerçek zamanlı olarak tüm yapınızı uçtan uca analiz etmenize yardımcı olmaktadır. Peki, kurumlar bu noktada nasıl ilerlediler? Bu yapıda bize en yakın yardımı SIEM (Security Information and Event Management) çözümleri ile gerçekleştirdi. SIEM merkezi yapısı ile tüm bileşenler üzerindeki log verilerinin merkezileştirilmesi ve anlamlı hale getirilmesinde önemli bir rol üstlendi. Olay ya da alarm tabanlı yapılandırılan SIEM çözümleri reaktife bir çözümdür, aşağıda proaktif güvenlik yaklaşımının ne olması gerektiğini belirtelim; 1. Teknolojik bileşenler iyi ve uygun bir biçimde yapılandırılmalıdır. Yanlış konfigürasyon hataları, mantıksal hatalar, güvenlik komponentleri üzerindeki değişiklik kontrolü ve insan temelli hatalar 2. Teknik kontroller üzerindeki verilerin tehdit seviyeleri ve zayıflık analizi/güvenlik eskalasyon önerileri. 3. Teknolojik bileşenler üzerinde ilgili zayıflıkların yönetimi, tehdit profillerinin bir birleri ile ilişkileri ortaya çıkan anomali analizi. 4. SIEM çözümleri atak sonrası bilgi sağlayabilir, proaktif tarafta, çok az ya da sıfıra yakın veri kaybı ile atağın eskalasyonu henüz tespit edilmesi noktasında iken yapılandırılmasına olanak sağlamalıdır. Uygun yapı proaktif risk yönetimi ile sağlanabilir; kurumsal güvenlik resminin önceden görülmesi kritiktir, bu durum risklerin analiz edilmesi, etki(impact) analizlerinin yapılması bilinen zayıflıklara karşı altyapı bileşenlerinin kuvvetlendirilmesi şüphesiz önemlidir. Bu halde Güvenlik Riski Nedir? (Ne anlaşılmalıdır) Risk Yönetimi konusunda bilgiler vermeden önce Güvenlik Riskini’ in ne olduğunu belirtmek önemli. Risk bizim için, belirli bir zaman çerçevesi içerisinde (Risk Sonsuz olamaz) potansiyel bir zararın oluşma olasılığıdır. Matematiksel örnek vermek gerekirse; Güvenlik Riski= Potansiyel Tehdit x Atağın Oluşma Olasılığı x Varlık Değeri(Asset Cost) R = f(T, V, A) Örnek Çalışma; Atak Faktörü Bilgi Kaynağı Faktörün Kontrolü Risk ’in matematiksel hesaplanması benzeri formulasyonlar ile yapılabilmektedir. Ancak Dinamik yapılar içerisinde her varlık kalemi için detaylı risk profili oluşturmak ve riskin haritalandırılması oldukça karmaşık ve yorucu bir iştir. Bu nedenle modelleme ve simülasyon teknolojileri ilgili atak senaryolarının oluşturulması, var olan yapı üzerinde tahmin düzeyi yüksek analizlerin kritik yapılar üzerindeki analizi çok önemlidir. Güvenlik Risk Yönetimi Süreci Risk yönetimi siber tehditler, zayıflık değerleri ve ilgili güvenlik iyileştirme süreçleri ile atak senaryolarının oluşturulması ve tahminsel analizleri kapsamaktadır. Bu çalışmalar kuruma riskin yönetilmesi ve daha da önemli olarak ilgili risk konusunda kurumsal simülasyon becerisi kazandırılması açısından önemlidir. Tipik Bilgi Güvenliği Risk Yönetiminin Pro Aktif Adımları Basit anlamda risk yönetimi yukarıdaki adımlardan oluşmaktadır. Kurumların günlük operasyonları içerisindeki değişikler, yeni tehditler, zayıflıklar, yeni iş ihtiyaçları risk profilini sürekli olarak değiştirmektedir. Sonuç olarak risk profili belirli bir zaman dilimi üzerindeki bilgiler için statiktir. Manuel olarak yapılan bu işlemler iki çerçeve zamanı arasındaki risk profili değişken olabilmektedir. Yapılan analizlerde her 90 günlük periyodlarda kurumsal risk artısı statik değerlere göre %89 seviyesindedir. En iyi organizasyonlarda statik analizler günler değil haftalar seviyesindedir. Bu nedenle otomatize olarak uygun metriklerle yapılandırılmış güvenlik risk yönetimi araçları risklerin kontrolü ve minimize edilmesi açısından çok kritiktir. Mayıs 2013 beyazşapka 15 • Zararlı güvenlik oluşumları konusunda potansiyel tahminler. Örn: Afet öncesi değişik türdeki senaryolar ile yapının hazır tutulması • Pre-Production seviyesinde what-if analizi Örn: Bazı zararlı oluşumların tespiti ve modellemesi ilgili sürecin başında bu kapsamda değerlendirme yapılarak geliştirilmesi avantajı • Süreçlerin optimizasyonu • Tarihsel veri elde edilmesi ve güvenlik zekâsının kurumsal olarak çalıştırılması • Simule edilmiş yapılar üzerinde analiz olanağı. Skybox ile yapılandırılan siber risk modellemelerinin diğer avantajları; Örnek açısından 10.000 çalışanı 20.000 ağ ucu, 800 ağ cihazı 5.000 risk tabanlı işlem yapan çalışanın olduğu bir kurumda belirli bir çerçeve aralığında ortalama 250.000 zayıflık tehdidi ile karşı karşıya kalmaktadır. • Risk Etkilerinin Tahminleri ve Analizi Modelleme ve Simülasyon teknolojileri efektif güvenlik risk yönetimindeki en önemli oyunculardır. Bu teknikler günümüzde ulusal güvenlik, nükleer teknoloji, otomobil otomasyonu, inşaat, forensic analizi, Tip gibi birçok sektör üzerinde kullanılmaktadır. • Güvenlik ve Ağ Kaynakları üzerinde gerçek zamanlı optimizasyon Bu teknikler aşağıdaki durumlarda kurumlara direnç sağlamaktadır; • Değişiklikler öncesi etki analizi ve production ortamı üzerinde değişiklik kontrolü süreçlerinin hesaplanması • Karmaşık Ağlar’da detaylı root-cause analizi • Güvenlik yöneticilerinin ilgili görsel haritalandırma ve raporlamaları üzerinden detaylı eğitimi. • Risk değerlendirmelerinin otomatize edilmesi. Güvenlik ekipleri günler ya da haftalar yerine dakikalar içerisinde tüm altyapı bileşenlerinin güvenlik analizlerinin yapılması. • Potansiyel atak yolları ve birbirleri ile risklerin belirlenmesi(Interconnected Risks) • Gerçek zamanlı olarak risk seviyelerinin kontrolü ve metrikler ile raporlanması • Gerçekçi ve Risk Tabanlı kararların alınmasında girdi rolü sağlaması • Risk değişikliklerin ve iyileştirmelerin sürekli kontrol edilmesi. 16 beyazşapka Mayıs 2013 Tarkan Çiçek [email protected] Veri Depolama Sistemleri Genel kavramlar ve ürünler üzerine bilgilendirme ve inceleme. Storage yani Depolama yapısının en temel öğesi Disk’lerdir. İlerde anlatacağımız kavramların net anlaşılması için temelden başlayalım. HDD Sabit Disk Sürücüler (hard disk drive): Mekanik sürücülerdir ve üç ana öğeden oluşur; Disk Plakası, Kafa ve Motor. Disk blokları sanal bir tabloya bölünmüştür bu bölünmedeki öğeler ise; Track (iz), Sektör, Cylinder (silindir, üst üste gelen iz’lerin birleşimi bir silindir oluşturmaktadır). Disklerin kapasitesi kullanılan disk tabakaları üzerine yazılabilen sektör yoğunlukları ile belirlenirken hızları da disk plakalarını çeviren motorun devir/dakika sayısı ile ifade edilmektedir 7.200 rpm, 10bin rpm, 15bin rpm gibi. Mekanik disklerde diskin performansına etki eden bir diğer unsur, bilginin yazılı olduğu iz ve sektöre kadar kafanın yaptığı harekettir. Diskin dönme hareketi ile birlikte kafa da kendi ekseninde sağa ve sola hareket ederek ilgili sektörün üzerine hareket eder. Bu hareketin neden olduğu zamana gecikme (latency) denir. Disklerin dönme hızları temelde bu gecikme hızını kısaltmakta ve ardışık bilginin okunmasını hızlandırmaktadır. SSD Katı Hal Sürücüler (solid state drive/disk): İsmi disk olarak ifade edilse de aslında içinde disk plakası gibi herhangi bir mekanik parça barındırmaz. Temel olarak kalıcı kayıt yapabilme özelliğine sahip bellek gruplarından oluşurlar. Kullanılan belleklerin hızlarına göre disklerin hızları değişmekle beraber klasik disklerden defalarca kat hızlıdırlar. Mekanik öğeler barındırmadıkları için gecikme (latency) yaratmazlar. Yazarken ve okurken kafa hareketi ile bilgiye ulaşmak yerine belleklerde olduğu gibi direkt olarak ilgili blokları okurlar ve yazarlar. Yine de RamDisk’ler ile karıştırılmamalıdırlar. Çünkü Ramdisk’ler bildiğimiz bellek modüllerini kullanırlar ve SSD’lerden defalarca daha hızlıdırlar. Standart bellek modülleri güç kaybında kayıt edilen veriyi tutamadığından özel amaçlar dışında pek kullanılmazlar. SAP Hana gibi sistemler RamDisk kullanımına örnek gösterilebilir. Arabirimler: Burada çok fazla kafa karışıklığı ve konu dağılmasına neden olmamak için eskimiş olan teknolojilere girmeden güncel olan üç arabirimden bahsedeceğiz. SAS (serial attached SCSI): Sunucu sistemlerinde en çok kullanılan paralel SCSI arabiriminin serileştirilmiş yeni versiyonudur. SAS paralel SCSI ‘de olduğu gibi SCSI komut setini kullanır. SAS arabirimi 2.nesil SATA diskleri de desteklemektedir. Yani SAS arabirimli bir kontrol ünitesine SATA 2.nesil diskleri takabilirsiniz. Fakat SAS diskler SATA arabirim ile uyumlu olmadıklarından SAS diskleri SATA kontrol ünitelerine bağlayamazsınız. SAS 1.0 ve 1.1 arabirimli ürünler 3Gbit/s, SAS 2.0 arabirimli ürünler ise 6Gbit/s hızıbda çalışabilmektedir. 12Gbit/s ve 24Gbit/s hızlarındaki ürünler ise yol haritasında verildiği üzere 2013 ve 2016 yıllarında sunulacaktır. SATA (Serial AT Attached): Pc ve notebook’larımızdan alışık olduğumuz IDE/ ATA arayüzünün yeni seri halidir. Ağırlıklı olarak kişisel ve taşınır bilgisayarlarda kullanılmasının yanı sıra yüksek kapasiteler sunabilmesi nedeniyle sunucu sistemlerinde de SATA disk kullanımı son yıllarda yaygınlaşmıştır. Mayıs 2013 beyazşapka 17 NL-SAS (Near Line SAS): Mekanik olarak SATA olan bir diskin kontrol arabiriminin SAS olması şeklinde açıklanabilir. Özellikle sunucu sistemlerinde ve depolama (storage) sistemlerindeki yüksek kapasiteli SATA disk kullanma ihtiyacını cevaplamaktadır. SATA diskten temel olarak farkları ise; 1. İki kanaldan haberleşebilmesi ile yedekli haberleşme (SATA’da tek kanal), 2. Ful SCSI komut seti kullanabilmesi, 3. SAS/SATA (STP) Öykünme gerekliliğini kaldırması nedeniyle %20 daha fazla performans. çalışmanın devam etmesini sağlar. Raid-0’da olduğu gibi bilginin yazılması esnasında sağlama bilgisi hesaplaması gerektirmediğinden performans penaltısı yoktur. 2 diskten fazla disk kullanılamaması nedeniyle yüksek kapasite ihtiyaçlarını karşılayamaz. Genellikle boot (açılış) diskleri için kullanılır. RAID Sistemleri: Redundant Array of Independent Disks veya eski orijinal hali ile Redundant Array of Inexpensive Disks. Türkçe olarak Yedekli Bağımsız Diskler Dizisi diyebiliriz sanırım. Ama Türkiye bilişim dünyasında orijinal kısa ismi ile kabul gördüğünden anlatımımızı RAID kısatlaması ile yapacağız. Temelde birden fazla disk ile bir disk grubu oluşturma ve bunları bir veya birden fazla disk arızasına karşı koruma için sağlama bilgisinin kaydedilmesi durumudur. Bu işlem yazılım aracılığı ile veya donanımsal Raid Kartlar ile sağlanır. Genel tercih donanımsal Raid kullanma yönündedir. Sağlama bilgisinin tutulma şekline göre Raid seviyeleri numaralandırılmıştır. Her bir seviye kendine göre kapasite ve performans artıları getirmektedir. Bunları tek tek kısaca açıklayalım. Raid-0 : Striping (bölüştürme) olarak da adlandırılır. Bu seviye isminden de anlaşılacağı üzere 0 seviyesidir ve hiçbir arıza toleransı yoktur. Tamamen performans ve kapasite amacı ile geliştirilmiştir. Yazılan bilginin dizi içindeki disklere eşit olarak bölünüp yazılması şeklinde çalışır. Yazma sırasında bir sağlama (parity) bilgisi hesaplanması gerekmediğinden herhangi bir yazma penaltısı getirmez ve performans kaybı olmaz. En yüksek performansı sağlayan Raid seviyesidir. Not: Birçok benchmark testinin ortam bilgisine bakıldığında disk sistemlerinin Raid-0 olarak ayarlandığını görebilirsiniz. Raid-1: Mirroring (Aynalama) olarak da adlandırılır. Temelde iki disk ünitesine birebir aynı bilgilerin yazılması ile oluşturulur. Tamamen yedeklilik üzerine kurgulanmıştır. %50 kapasiye kaybına neden olur. Mutlaka 2 Diskten oluşur ve en fazla 1 disk arızasında kesintisiz olarak 18 beyazşapka Mayıs 2013 Raid-10 (1+0): Miroring with striping (aynalama beraberinde bölüştürme). Raid-1’in güvenliğini Raid-0’ın performas ve genişleyebilirlik esnekliği ile birleştiren bir çözümdür. Raid-1 yapılan ikili disk grupları kendi aralarında şeritleme yapılarak kapasite ve perofrmans artışı sağlanır. Raid gruplar arasında Raid-0’dan sonra en performanslı Raid yapısıdır. Disk koruması sağlayan Raid seviyeleri arasında ise en yüksek performansı sağlar. Genellikle veritabanı gibi yüksek disk performansı gerektiren uygulamar için kullanılır. 1 Disk kaybında çalışmayı garanti etmekle beraber her bir raid-1 grubu içinden birer diskten fazla bozulmama olması şartı ile birden fazla disk bozulmasında dahi çalışabilir. Ama herhangi bir Raid-1 disk grubunda ikinci bir disk bozulması olursa data çalışma durur. Kullanılabilir kapasite gerçek kapasitenin %50’si kadar olur Raid-2 ve Raid-3: Pratikte kullanılmamaları nedeniyle anlatmıyoruz. Raid-4: Striping with dedicated parity, (sabit sağlama bilgisi ile bölüştürme). En az 3 diskten oluşturulabilir. Disklerden biri sabit olarak Parity yani Sağlama diski olarak belirlenir. Diğer disklere bölüştürülen bilginin sağlama bilgisi ise Sağlama diskine yazılır. Aynı anda bir 1 Disk kaybını tolere edebilir. Bazı üreticiler dışında bu seviye yerine Raid-5 kullanımı tercih edilmektedir. Kullanılabilir kapasite; (Disk Adedi –1) x Disk Kapasitesi, formülü ile hesaplanır. Raid-5: Striping with distributed parity (bölüştürme ve dağıtık sağlama): Temelde Raid-4 gibi çalışmakla beraber bu seviyede sabit bir sağlama diski atamak yerine yazmada sağlama bilgisi farklı bir diske yazılır. Böylece Raid-4 ‘de olduğu gibi 1 disk arızası durumu tolere edilebilir. Disk koruması sağlayan Raid seviyeleri arasında en iyi net kapasite veren seviyedir. O nedenle de kullanımda en çok tercih edilen seviyedir. Performans olarak Raid 0 ve 1+0 ‘dan sonra gelir. En az 3 diskten oluşur. Sağladığı net kapasite olarak Raid-4 ile aynıdır. Raid-6 (Raid-DP): Raid 5’ten temel farklı her yazmada 2 sağlama bilgisi oluşturması ve yine dağıtık olarak bunları 2 farklı diskte yazmasıdır. En az 4 diskten oluşturulabilir ve aynı anda en fazla 2 disk arızasına kadar çalışmayı durdurmadan devam edebilir. Raid seviyeleri arasında performansı en düşük olanıdır. Sağladığı net kapasite (Disk adedi -2) x Disk Kapasitesi olarak hesaplanır. Bu Raid seviyelerinin haricinde Raid-10 gibi iki farklı riad grubunun entegre edilmesi ile oluşturulmuş Raid-50, Raid53, Riad 60 vb seviyeler de bulunmakla beraber pratikte kullanımları çok az olduğundan bunlara değinmeyeceğiz. Cache (önbellek) Disk Cache: Özellikle bireysel sistemlerde kullanılan disklerin üzerinde yazmayı ve okumayı hızlandırmak amacıyla Cache yanş ara bellek bulunur. Normal şartlarda işlemci diske veri yazıldığının onayını alıncaya kadar işleme devam edemez. Disk ile işlemcinin hızları karşılaştırılamayacak kadar farklı olduğundan normal şartlarda bu işlem sırasında işlemci duruyormuşcasına yavaş çalışır. Bunun önüne geçmek için disklerde bulunan kontrol arabirimleri üzerinde cache yani ara bellek bulundurulur. Böylece diske yazmayı beklemek yerine veri önce bu ara belleklere çok hızlı bir şekilde yazılarak yazıldı bilgisi dönülür ve işlemci diğer işlerine devam eder. Bu sırada da ara bellek üzerindeki bilgilerin diske fiziksel yazma işlemi bitirilir. Ardışık yazmalarda bu ara belleğ’in kapasitesi dolduğundan bellek üzerindeki baskı azalana ve yeterli yer açılana kadar yavaşlık yaşanır. Ara bellek büyüklüğü bu tür sıkışmaları önlemede en büyük etkendir. Bu nedenle disk alınırken cache büyüklüğünün performansa etki edeceği unutulmamalıdır. Eğer disk Raid sistemlerinde kullanılacak ise ise bunun hiçbir önemi yoktur. Raid Cache: Sunucu ve iş istasyonu sistemlerinde işlemleri hızlandırmak için her ne kadar çok sayıda diskten raid sistemleri oluşuturulsa da disklerin yazmalarının yavaş olması ancak onlarca/yüzlerce disk kullanılarak istenilen performansa ulaşabilmeyi sağlar. Bu sorunu aşmak için yine önbellek yöntemi kullanılır. Raid denetleyici kartlarının geneli üzerinde bu önbellek ya standart gelir yada opsiyoneldir ve sonradan eklenebilir. Genellikle Raid denetçileri üzerinde bir bellek modülü bulunur ve buradaki bellek bir pil yardımıyla beslenir. Herhangi bir kesinti durumunda, diske yazılmamış olan bilgiler, pilin yardımı ile önbellek korunarak sistem tekrar çalışır hale gelip diske yazılana kadar saklanabilir. Yeni tip raid denetçilerinde ise önbellek olarak flash bellek ‘ler kullanılarak pile olan ihtiyaç da ortadan kaldırılmışıtr. Raid denetçisi üzerinde pil ile yedeklenmiş veya elektrik kesintisinde bilgiyi kaybetmeyen flashbellek’ler bulunduğundan disklerin üzerindeki önbellek’ler (cahce) denetçi tarafından disable edilir ve kullanılmaz. Çünkü, disk üzerindeki önbelleklerdeki bilgilerin elektrik kesintisi sırasında kaybını önlemek mümkün değildir. Raid sistemlerinde de diskte olduğu gibi cache miktarının yüksekliği performansa etki eden bir unsurdur. Ne kadar büyük olursa performans da o kadar yüksek olacaktır. Mayıs 2013 beyazşapka 19 Altuğ Yavaş [email protected] Yeni Savunma Hattımız: DNS Bu yazıda, kritik bir altyapı hizmeti olan DNS altyapımızı nasıl daha güvenli hale getirebileceğimizi irdeliyoruz. Saldırganlar, yaygın olarak kullanılan DNS altyapısındaki zaafiyetlerden haberdar. DNS’e yönelik tehditlere karşı riskimizi nasıl kontrol altında tutarız? 1. İsim - Adres Dönüşümü İhtiyacı DNS (Domain Name System), Internet’e veya özel bir TCP/ IP tabanlı ağa bağlanan bir bilgisayar, sunucu veya servis tarafından kullanılan hiyerarşik ve dağıtık bir isim adres dönüşümü veritabanıdır . Kolaylıkla hatırlanan alan adlarını, hizmete erişmek için ihtiyaç olan ilgili IP adresine (IPv4 veya IPv6) dönüştürmeye yarar. 2.Kritik Bir Altyapı olarak DNS Hem kurum içindeki bir kullanıcı açısından, hem de bir kurumun kendisine sunduğu hizmetlere erişen bir kullanıcı açısından DNS hizmeti, vazgeçilmez bir hizmettir. Bu hizmetin kesintisi durumunda, tüm ağ altyapısında ciddi erişim problemleri ile karşılaşılabilir. DNS hizmetinde yaşanabilecek kesintilerin etkileri arasında, Internet bağlantısnın kesilmesi, iş ortaklarına e-posta atılamaması, kurumsal hizmetlerin sunulamaması, web sayfasının devre dışı kalması örnek olarak verilebilir. Bu bakımdan diğer tüm hizmet ve uygulamaların DNS bağımlılığı nedeniyle, bir kritik altyapı servisi olarak adlandırılabilir. Tahminlere göre DNS trafiği, tüm Internet trafiğinin %20’sini oluşturmaktadır. 3.Bir Saldırı Hedefi Olarak DNS DNS altyapısını hedef alan saldırı türlerinden bazılarını şöyle özetleyebiliriz: Zehirleme saldırısı (Cache Poisioning): DNS kayıtlarının bütünlüğünün bozulmasına neden olan bir saldırıdır. TTL (Time To Live) parametresi, DNS’in performansını arttırmak için, verilen sorgu cevaplarının belli bir geçerli olması için tasarlanmış. Yani bir authoratitive DNS sunucusundan alınan cevap, TTL süresi boyunca tekrar sormaya gerek kalmadan geçerliliğini koruyabilir. Soruyu soran rekürsif DNS sunucu, cevabı cache’inde tutar. Zehirlemenin amacı, rekürsif DNS sunucuların cache’lerine, sahte DNS cevapları yerleştirmektir. Bu yöntem, kendi başına bir saldırı olmaktan çok, başka bir saldırıya zemin hazırlayıcı niteliktedir. Bu sayede örneğin zehirlenmiş DNS sunucudan hizmet alanlar, bir phishing sitesine yönlendirilip, saldırının sonraki aşamalarında kişisel bilgilerinin elde edilmesine yol 20 beyazşapka Mayıs 2013 açılabilir. Zehirleme saldırısına en büyük örnek olarak Kaminsky Zaafiyeti (CVE 2008-1447) verilebilir . Dağıtık hizmet durdurma saldırısı (DDOS): Authoritative DNS sunucuların dışarı açık olma zorunluluklarından dolayı, aynı zamanda iyi de bir saldırı hedefidirler. Bu kapsamda, en azından riski azaltmak için, authoritative ve rekürsif DNS sunucular birbirinden ayrılmalıdır. En basit DNS tabanlı DDOS saldırısı, “Amplifikasyon Saldırısı”dır. “Amplifikasyon”, isminden de anlaşılabileceği gibi, gönderilen az miktar bir veri karşılığından cevap olarak kat kat büyük bir veri gönderilmesine neden olmaktır. Basit iki amplifikasyon yöntemi aşağıda listelenmiştir: 4.Saldırı Aracı Olarak DNS Veri Hırsızlığı: Yüksek miktarda veri içerebilen TXT türü kayıtlarda, ele geçirilmiş bir DNS sunucusu yardımı ile her iki yönlü veri aktarımı yapılabilir. DDOS Saldırısı: Bir Botnet’in üyesi durumuna gelmiş kurum içindeki bir bilgisayar, bir sonraki DDOS saldırısı hedefini öğrenmek için botnet’in DNS sunucusuna ulaşır. Sonrasında, çok dikkat çekmeyecek miktarlarda DNS trafiği yaratarak bir DDOS saldırısına katılabilir. 5.DNS Katmanında Korunma RPZ (Response Policy Zones): ISC tarafından, Rekürsif DNS sunucularına yönelik olarak, DNS sorgularına verilecek cevapların ihtiyaca göre düzenlenmesini sağlayan bir teknolojidir. RPZ sayesinde, güncel politikalara göre, farklı cevaplar verilmesi gereken DNS sorgularının yönetimi çok kolay yapılır. RPZ, bize “güvenli adres çözümleyici”nin yolunu açan bir teknolojidir. Bu teknolojiyi “DNS Firewall” olarak da adlandırabiliriz. Bu özen göstermemiz gerekir. Kutu tabanlı (appliance) çözümlerde ise yeni çıkan firmware güncellemelerini, özellikle DNS ile ilgili güncelleme içerenleri vakit geçirmeden yüklemeliyiz. DNS sunucusunun konfigürasyon yedeğini periyodik olarak almalıyız. Yüksek performans: Volumetrik tabanlı DDOS saldırılarına karşı korunmanın en temel yolu, bu saldırı trafiğini karşılayacak yüksek bir kapasiteye sahip olmaktır. Bu yüksek kapasite, saldırının ilk anında, altyapının cevap veremez duruma geçip kritik altyapı uygulamalarının kilitlenmesini engeller ve IT personeline, uygun aksiyonların alınması için zaman kazandırır. sayede, kullanıcıların, güvenlik riski içeren alanlara veya yasal olarak ülkemizde de uygulanmakta olan “Elektronik Engelleme Kararları” ile erişilmesi engellenmiş adreslere erişimi, güvenli ve pratik bir yöntem ile kısıtlanmış olur. RPZ teknolojisi ile şu durumlarda bir aksiyon alınabilmektedir: • Sorguyu soran X ise • Gelen cevap X aralığındaki bir IP’yi içeriyorsa • Gelen NS cevabındaki isim X ise • Gelen bir NS IP adresi X aralığındaysa Bu koşulların oluşması halinde, DNS Firewall, aşağıdaki DNS cevaplarından birini verecek şekilde ayarlanabilir: • NXDOMAIN cevabı verilmesi • CNAME cevabı verilmesi • NODATA cevabı verilmesi Görünürlük: DNS hizmeti veren sunucuların üzerinde yapılan her türlü değişiklik, daha sonra izlenebilir bir şekilde kayıt altına alınabilmelidir. Bu şekilde, kim hangi sunucuda, hangi kaydı ne zaman değiştirdi, gibi soruların cevapları rahatça bulunabilir ve düzeltici ve önleyici faaliyetlerin planlanmasında büyük fayda sağlayabilir. Bunun yanında, DNS hizmetinden faydalanan DNS istemcileri, sorgulanan alan adları ile ilgili oluşturulacak raporlar, saniyede gelen sorgu sayısının belli bir eşik değerine gelmesi durumunda alarm üretilmesi gibi önlemler, DNS hizmetinin görünürlüğünü arttıracak ve IT hizmet yönetimi yönüden büyük bir boşluğu dolduracaktır. Doğru Konfigürasyon: Her kurumun ihtiyaçlarına göre birbirinden farklı birçok DNS konfigürasyonu olabilir. Örneğin, bir banka, tek bir sanal IP’yi coğrafi olarak dağınık bir yapıda tüm ülkede yayınlamak ve kullanıcının kendine en yapın IP’den hizmet almasını sağlamak isteyebilir (DNS Anycast). Başka bir örnekte bir servis sağlayıcı, DNS sunucularının yedekli olmasını isteyebilir. Bir başka konfigürasyonda, Intranet üzerinde bulunan bir DNS sunucunun “gizli yetkili” sunucu olup diğer DNS sunuculara Zone Transferi istenebilir. En doğru konfigürasyon, bir DNS uzmanına danışılarak yapılmalıdır. • Belirlenen bir cevabın verilmesi • Gerçek cevabın verilmesi DNS Firewall aracılığı ile, sürekli değişen URL’ler içeren adreslere, çok hızlı IP değiştirebilen Fastflux ağlara ve Botnet komuta kontrol merkezlerine erişmeye çalışan istemcilere karşı gerekli önlem çok rahat alınabilir. DNS Firewall, düzenli olarak güncellenen bir veri sağlayıcı tarafından desteklenmelidir. Yeni gelen veri, periyodik olarak, rekürsif DNS sunucusuna IXFR (Incremental Zone Transfer) yöntemi ile aktarılır. Veri sağlayıcı kaynağı birden çok da olabilir. En İyi Pratiklerin Hayata Geçirilmesi: DNS hizmetini, genel amaçlı bir sunucuda çalıştırdığımızda, işletim sisteminin ve DNS hizmetinin sürümlerini ve gerekli güvenlik güncellemelerini sıklıkla kontrol etmek ve güncellemeleri zamanında yapmaya http://en.wikipedia.org/wiki/Domain_Name_System http://www.rootsecure.net/content/downloads/pdf/sans_ attacking_dns_protocol.pdf http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html http://www.isc.org/software/rpz http://www.isc.org http://www.securityweek.com/why-dns-firewalls-shouldbecome-next-hot-thing-enterprise-security Mayıs 2013 beyazşapka 21 Serkan Kırmızıgül [email protected] McAfee Next Generation Network IPS V7.5 McAfee Yeni Nesil Atak Engelleme Sistemleri teknolojilerinin öncülüğünü yapmaya devam ediyor. İşte yeni sürümün en önemli özellikleri. McAfee Network Security Platform ürün ailesinin en son sürümü olan 7.5 sürümünü kullanıcılarına sundu. Sürüm temelde iki önemli konuyu hedef alıyor; Advanced Malware tehditlerine karşı koruma ve saldırıların başarılı olması durumunda reaksiyonlar ve sorunun sebeplerine ulaşma konusunda proaktif yardım sağlama. Bu amaçla McAfee, yeni geliştirilen “Advanced Malware Detection” ve “Advanced Botnet Detection” yöntemlerini kullanıyor. Bu teknolojiler önemli bir Malware Forensic firması ValidEdge şirketinin McAfee tarafından satın alınması ile birlikte McAfee portföyüne katılmıştır. Teknoloji temelli ürün geliştirmeleri başta Network IPS ve Web Gateway ürünleri olmak üzere tüm ürünler için devam etmektedir. Uzun zamandır anlaşıldı ki Advanced Malware tehditlerine karşı tek motor ve imza yaklaşımları hızla gelişen tehdit dünyasında cevap vermekte zaman zaman zorlanıyor. Gelişmiş tehdit sorunu daha akıllı, imzaya gerek bırakmayan ve çoklu kontrol yöntemlerine ihtiyaç duyuyor. McAfee Advanced Malware Detection teknolojisi bu ihtyaçlara cevap vermek üzere geliştirildi ve temelinde imza kullanmayan birçok tekniği içerisinde barındırıyor. Bu teknikleri Deep File Analysis, Gateway Antimalware Engine, Reputation Based Control ve Sandbox teknikleridir. Advanced Gateway AntiMalware motoru ile MS Office, PDF, EXE & DLL ve Android dosya tipleri gibi birçok hedef kaynak IPS tarafından sanal olarak çalıştırılarak (emülasyon teknikleri ile) detaylı kod analizlerinden geçirilmektedir. GTI (McAfee Global Threat Intelligence) teknolojisi bir itibar (reputation) sorgulama servisidir ve IPS ürünlerinin 6.0 sürümünden beri yüksek başarı oranı ile kullanılmaktadır. Teknoloji bulut temelli 22 beyazşapka Mayıs 2013 sorgu yöntemine dayalı çalışmaktadır ve aynı zamanda PDF dosyaları içerisindeki java kodlarını emüle edip kontrol edebilemektedir. Hash kontrolü yapan motor bulutta bulunan parmak izlerinin kontrol edilmesini sağladığı gibi sistem yöneticilerine kendi varlıklarına ait parmak izlerini sisteme tanıtmalarını, dolayısıyla risk içeren dosyaların ağ üzerindeki hareketlerinin IPS tarafından denetlenmesini sağlayabilmektedirler. Bulut temelli sandbox tekniği ise şüpheli dosyaların diğer kontrol mekanizmaları tarafından ne iyi ne de kötü olduğu kararının verilememesi durumunda dosyanın daha detaylı analiz için McAfee bulut sistemine yollanmasını sağlamaktadır. Kullanılan bu farklı tespit teknikleri kendi içlerinde özel skor atama algoritmaları barındırıyor olup her bir kontrol mekanizması tarafından inceleme sonucunda şüpheli dosya ile ilgili bir skor atanmakta ve en son oluşan toplam skor üzerinden tanımlanan aksiyonlar alınabilmektedir. Geliştirilen tekniklerin önemi ve başarısının kanıtlanması adına, McAfee Network IPS sistemi AV-Test’in şubat ayında yayınladığı gelişmiş malware test raporunda %96 tespit başarısı ile değerlendirilmiş ve sektörde bir ilke imza atmıştır. Diğer önemli bir yenilik ise Advanced Botnet Detection tekniğidir. Diğer üreticilerin de uzun zamandır kullandığı benzer imza teknikleri botnet sorununun giderilmesi amacıyla McAfee tarafından da kullanılmaktadır fakat botnet’ler düzenli olarak iletişim, kontrol ve saldırı tekniklerini değiştirmesi konvansiyonel güvenlik sistemlerinin başarısını düşürmektedir. İmza tekniklerinin ötesine geçilmesi gerekliliği son dönemde zaruri bir ihtiyaç haline gelmiştir. Bot’lar oldukça zekice hareket ederler ve masum görünümlü trafikler oluşturabilmektedirler. Örneğin bilinmeyen bir sunucuya kontrol amaçlı bir web isteğinin yollanması dışında masum bir web taraması trafiği de oluşturabilir. Ancak bir bot’un asıl kimliği saldırı anından ortaya çıkar. Önemli olan saldırı öncesinde bot’ların tespit edilmesi ve gereken önlemlerin alınmasıdır. Dolayısıyla örneklenen ve fark edilen tek, kısa süreli ve basit olay aktiviteleri bot olarak tespitte çoğu zaman yetersiz kalmaktadır. Benzer tespit güçlükleri C&C (Command and Control Center) yani bot sahiplerinin tespiti için de geçerlidir. İtibar (reputation) bilgileri bu amaçla çok etkin görünse de temel bir sorunu bertaraf edememektedir. C&C sunucular çok dinamiktir ve çok hızlı hareket ederler. Dolayısıyla kullanılan itibar bilgisi yetersiz kalmakla birlikte hatalı tespit (false positive) ile karşılaşmamıza neden olabilir. olarak isimlendirilen yeni GUI ve raporlama teknikleri, saldırının başarılı olması durumunda ana sebep ve oluşan saldırının etkilerinin analizlerinin yapılmasını sağlamaktadır. Her gün binlerce saldırı olayı içerisinde aslında bir APT temelli saldırının fark edilmesi ve sistem yöneticileri için bu saldırının otomatik önceliklendirilmesi oldukça önemli bir örnek senaryodur. Bu problemlere çözüm üretmek amacı ile geliştirilen Advanced Botnet Detection teknolojisi imzaya dayanmayan çoklu olayların korelasyonuna dayanan metotları içermektedir. Çoklu korelasyon aynı zamanda gerçek aktif C&C bilgilerini içermesinden dolayı olası iletişimler anında kesilir, eski C&C bilgilerinin oluşturabileceği hatalı • Ölçeklenebilir web tabanlı yönetim Bu amaçla geliştirilen yeni raporlama ve GUI üç önemli özelliği sunmaktadır. • Aşamalı Bilgilendirme • Akıllı Uyarı Önceliklendirme Sunulan teknik olayların otomatik önceliklendirilmesini ve dikkatlerin asıl soruna verilmesini sağlamaktadır. Bu amaçla gerekirse mevcut McAfee Network IPS, McAfee ePO ve McAfee SIEM ürünü ile entegre çalışarak korelasyon sonuçlarının üst seviyeye çekilmesini sağlayabilmektedir. McAfee yeni nesil IPS özelliklerini hızla geliştirmeye devam etmektedir. V7.0 ile birlikte başlayan uygulama kontrolü V7.5 ile Active Directory ile tam uyumlu hale getirilmiştir. Yeni sürüm ile birlikte uygulama seviyesi güvenlik duvarı kurallarında artık kaynak ve hedefler Active Directory kullanıcı adı ve gruplarına göre yazılabilmektedir. Güvenlik duvarı kuralları sonucu olarak aksiyonlara QoS eklenebilir duruma gelmiştir. Örneğin belirli bir Active Directory grubunun belirli bir ülke dışında ulaştığı hedeflere QoS uygulanması veya spesifik uygulamalar için QoS kuralları uygulanması gibi detaylı kural setlerini tanımlamak mümkün hale gelmiştir. Yeni sürüm sanal sistemler arası trafiklerin denetlenmesi ve olası zararlı akışların karantinaya alınması adına, Vmware Vcenter (Vshield ile) ve Reflex Virtualization Management Center entegrasyonunu destekler hale gelmiştir. Sunulan bu özellik McAfee müşterilerinin veri merkezlerindeki sanal sistemlerin korunması adına ek yatırım yapma zorunluluklarını ortadan kaldırmaktadır. tespitler (false positive) en aza indirilebilmektedir. Bu teknikler güvenlik seviyesini McAfee Network IPS ürünüyle birlikte ücretsiz gelen McAfee Network Threat Behavior Analysis yazılımının güçlü entegrasyonu sayesinde son derece yükseltmektedir. Atakların başarılı olması durumunda güvenlik yöneticilerine farkındalık sağlayacak ve sorun çözümüne yardımcı olacak veri McAfee Network IPS ürünü tarafından sunulmaktadır. Intelligent Security Management McAfee 2013 yılı için ağ güvenliği segmentinde özellikle APT sorununa karşı önemli bir yol haritası tanımlamaktadır. Bu yılın ikinci yarısında sunulması planlanan yeni IPS sürümü (V8) özellikle ValidEdge teknolojisinin tek başına sunulacağı McAfee Advanced Malware Defense ürünü ile entegrasyon senaryolarını barındırmaktadır. McAfee mevcut yol haritası itibarı ile Network IPS ve ağ güvenliği pazarında lokomotif üretici olmaya devam edecektir. Mayıs 2013 beyazşapka 23 Sibel Merey Türkiye Şişe ve Cam Fabrikaları A.Ş. BT Güvenlik Uzmanı Şişecam olarak Nebula firması ile uçnoktalarda kullandığımız güvenlik ürünü ve aldığımız hizmet anlamında sıkıntı yaşadığımız bir dönemde tanıştık. Yaklaşık 2 senedir birlikte çalışıyoruz. Ekip olarak nazik tutumları, her an ulaşılabilir olmaları, işi ya da aktarılan sorunu ciddiyetle ve olabildiğince hızla takip etmeleri, kendilerini aşan ya da yazılıma özel sorunları hızla üretici destek ekibine aktarıp, takibini yapmaları ve geri bildirimleri aksatmamaları en önemli artıları olarak sıralanabilir. Ayrıca bir sorunu çözdüklerinde, müşterinin de çözüm konusunda onayını almadan ticketı kapatmamaları, kendi sorumluluk alanları dışında kalan soru/sorunlarda da iyi niyetle bilgi paylaşımında bulunmaları memnuniyet yaratan diğer noktalardır. Destek hizmeti verdikleri çoğu sistemi kendilerinin de kullanıyor olması ya da test ortamı bulundurmaları, bizlerin soru veya sorunlarda hızlıca yanıt alabilme avantajı da sağlamaktadır. Düzenli olarak ürün ya da teknolojik çözümler konusunda yaptıkları etkinlikler de müşteri olarak bizleri memnun etmektedir. Leda Arapoğlu Armada Bilgisayar Sistemleri Ürün Müdürü Nebula Bilişim ile çalışmaya başlamamızın üzerinden henüz 1 yıl gibi kısa bir zaman geçmiş olsa da ekibin bir kısmı ile eskiye dayanan dostluk ve iş birliğimiz var. Sektörün hızına ayak uyduran, dinamik ve donanımlı bu ekip ile çalışmaktan memnuniyet duyuyoruz. Armada Bilgisayar olarak ürün portföyümüze kattığımız yeni markalar ve çözümlerle, Nebula ile olan iş birliğimizin artacağından şüphe duymuyoruz. Çözüm sundukları alanlarda güzel başarılara ve önemli referanslara imza atan bu ekibe, başarılarının daha da büyüyerek devam etmesini diliyoruz. SPONSORLARIMIZ www.nebulabilisim.com.tr Beyaz Şapka’ya katk›lar›ndan dolay› tüm sponsorlar›m›za ve yazarlar›m›za teşekkür ederiz. Yay›nlanan yaz›lar›n ve görsellerin tüm sorumlulu€u yazarlar›na aittir. Lütfen her konuda fikrinizi yaz›n. www.nebulabilisim.com.tr [email protected]