Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Bilgi Sistemler Iolay Analizi

    Загружено:

    3m1r
    11 просмотров25 страниц

    Оригинальное название

    Bilgi Sistemler iOlay Analizi

    Авторское право

    © Attribution Non-Commercial (BY-NC)

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    11 просмотров25 страниц

    Bilgi Sistemler Iolay Analizi

    Загружено:

    3m1r

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 25

    Bilgi Sistemleri Olay Analizi

    Ünal Tatar
    13 Mart 2008, İstanbul
    Gündem

    • Ulusal Bilgi Güvenliği Programı


    • Bilgi sistemi güvenlik olayı nedir?
    • Olay analizi nedir?
    • Olay tespit mekanizmaları
    • Canlı veri analizi
    – Cold Boot Attack
    • Ağ sistemleri analizi
    • Disk sistemi analizi
    – Veri kurtarma
    • Raporlama
    2
    Bilgi Sistemi Güvenlik Olayları ve UEKAE

    88 numaralı madde: Ulusal


    Bilgi Sistemleri Güvenlik
    Programı

    Sorumlu ve İlgili Kuruluşlar:

    TÜBİTAK-UEKAE (S)
    Kamu Kurum ve Kuruluşları (İ)
    Üniversiteler (İ)

    2007 Ocak – 2008 Aralık

    http://www.bilgitoplumu.gov.tr/btstrateji/Eylem_Plani.pdf
    3
    Bilgi Sistemi Güvenlik Olayı Nedir?

    • Bilgi güvenliği politikalarının, kabul edilmiş


    kullanım politikalarının ihlal edildiği veya
    ihlal edilmesinin olası olduğu durumlardır

    • Güvenlik olaylarının sınıflandırılması


    – Servis dışı bırakma
    – Zararlı kod çalıştırma
    – Yetkisiz erişim
    – Uygunsuz kullanım
    – Çok bileşenli saldırılar

    4
    Olay Müdahale Aşamaları

    • Hazırlanmak

    • Belirlemek Olay Analizi bu aşamada


    devreye giriyor

    • Karantinaya almak

    • Yok etmek

    • Geri döndürmek

    • Takip etmek
    5
    Olay Analizi Nedir?

    Kim?

    Nereye?

    Ne zaman?

    Hangi araçlarla?

    Nasıl?

    Niçin?

    6
    Olay Analizi - Aşamaları

    • Olay analizi 4 aşamada yapılır


    – Elde Etme
    • Fiziksel veya uzaktan erişimle sistem üzerindeki canlı verinin
    ve disk sistemi üzerindeki verinin toplanması

    – Belirleme
    • Sistem üzerinde toplanan veriden incelenmesi gereken
    kısmın belirlenmesi

    – Değerlendirme
    • Olayın varlığının ve oluş şeklinin tespit edilmesi

    – Sunma
    • Yapılan analizin ilk aşamasından itibaren anlaşılır ve
    tekrarlanabilir bir şekilde raporlanması
    7
    Olay Tespiti
    • Ağ Sistemleri
    – Güvenlik duvarı kayıtları
    – Yoğun trafik
    • Dosya transferi
    • D-DOS

    • STS/SÖS Kayıtları

    • Sunucular
    – Bilinmeyen işlemler,
    zamanlanmış görevler
    – Bilinmeyen dosyalar
    – Bilinmeyen kullanıcılar
    – Yüksek CPU/RAM kullanımı
    – Şüpheli sistem girişleri

    • Dış Kaynaklar
    – Tehdit gözetleme sistemleri
    – İş ortakları
    – Polis
    – …
    8
    Locard’ın Değiş Tokuş Prensibi

    • “İki nesne birbirleriyle temasta


    bulunduğunda, aralarında
    mutlaka bir değişim yaşanır ”

    • Sistem saldırıya uğradığında


    değişim olur

    • Olay analizi esnasında


    değişim olur

    9
    Veri Kalıcılığı

    Uçucu
    Hafıza (RAM)

    Takas Dosyası/ Bilgisayar


    Pagefile Kapatıldığında
    Ağ Durumu & Kaybolur
    Bağlantılar

    Çalışan İşlemler

    Dosya Sistemi

    Sabit Diskler
    Kalıcı
    Çıkarılabilir Medya

    10
    Analizde Nerelere Bakılmalı?

    • Amaç sistemde açık olarak veya


    saklanmış olarak bulunan veriyi bulmak,
    incelemek

    • Canlı veri analizi


    • Ağ sistemleri analizi
    • Disk sistemi analizi
    11
    Olay Analizi Aşamaları

    • Olay analizi yaparken

    – Canlı veriler toplanmalı

    – Ağ sistemlerinin analizi yapılmalı

    – Sistemin fişi çekilmeli

    – Analiz kopyası oluşturulmalı

    – Disk sistemi analizi yapılmalı


    12
    Canlı Veri Analizi

    • Sistemin çalışmasıyla veya kapanmasıyla


    değişikliğe uğrayan verinin toplanması ve
    incelenmesi

    • Geçici veri kaynakları


    – Hafıza (RAM)
    – Ağ bağlantıları
    – Çalışan işlemler
    – Sisteme girmiş olan kullanıcılar
    – Açık olan dosyalar

    13
    Cold Boot Attack (1)

    • RAM üzerindeki bilgiler birkaç dakika


    kaybolmadan kalabilir

    • Disk şifrelemesi yapan sistemlerde anahtar RAM


    üzerinde açık olarak bulunmaktadır

    • 21 Şubat 2008’de Princeton Üniversitesi’nden


    bir grup araştırmacı tarafından RAM sıvı nitrojen
    ile dondurulup analiz edilerek üzerindeki
    şifreleme anahtarı elde edilmiştir

    14
    Cold Boot Attack (2)

    15
    Ağ Sistemleri Analizi

    • Güvenlik Duvarları

    • Ağ ve sunucu tabanlı saldırı tespit/önleme


    sistemleri

    • Yönlendiriciler

    • Anahtarlama Cihazları

    • Ağ dinleyicileri
    16
    Disk Sistemi Analizi

    • Birebir kopya oluşturulmalı


    • Daha sonra doğrulama yapılabilmesi için
    özet (hash) bilgisi oluşturulmalı

    17
    MAC Zamanları

    • Dosyalarda zaman damgaları (Modified,


    Accessed, Changed)
    • Olayın gerçekleşmesini bir zaman çizgisi
    üzerinde oluşturmamıza olanak sağlar
    • Zaman çizgisi olay kayıt dosyalarını
    incelerken büyük öneme sahiptir

    • Zaman damgalarının yanlışlıkla


    değiştirilmesinden kaçınılmalıdır
    18
    Disk Analizinde Neler Yapılır?

    • Veri kurtarma
    – Silinmiş dosyaların tespiti

    • Zaman çizgisi analizi

    • Kayıt dosyalarının analizi

    • Dosya imzası analizi

    • Bilinen dosyalar için filtreleyerek hızlı


    analiz
    19
    Veri Kurtarma (1)

    • ABD – NSA: Sayısal Veriyi Kurtarmak için Atak


    Kılavuzu. Üç tip atak sınıfı:
    – Sınıf-1 Atak
    • Adli analiz yazılımları ile veri kurtarma yapılır
    • Günlük hayatta adli analiz çalışmalarında en fazla bu tip atak
    yapılır. Üç teknik kullanılır:
    – Sabit diski doğrudan kullanarak
    – Sabit diski kontrol eden devreyi devre dışı bırakarak
    – Disk plakalarına doğrudan erişerek
    • Veriyi kurtarmak diğer ataklara göre nispeten kolaydır

    • Ya güvenli sil (wipe) operasyonu yapıldıysa ?

    20
    Veri Kurtarma (2)

    • Sınıf-2 Atak
    – Özel sinyal güçlendiricileri (amplifikatörler) ve sinyal
    işleme teknikleri kullanılarak üzerine bir çok kez
    yazılmış bir diskteki geçmiş verilere ulaşmak için
    kullanılır
    – Diski kontrol eden devreler üzerinde gelişmiş
    elektronik işlemler yapılır. Diskteki yeni verinin sinyali
    güçlü ve keskindir, eski veri ise zayıf kalmıştır. Amaç
    zayıf sinyali güçlendirmek
    – ABD-DoD 5200.28-STD: 7 kere yazılır. Peter
    Guttman: 35 kere yazılır. (Sınıf-2 ataklardan
    korunmak için)
    – Pahalı ve zaman alıcı

    21
    Veri Kurtarma (3)

    • Sınıf-3 Atak (Class-3 Attack):


    – Mikroskop kullanılır (Magnetic Force Microscope)

    – Güvenli sil (wipe) operasyonu dahil olmak üzere sabit


    disk üzerine yapılmış olan herhangi bir yazılımsal
    operasyonun önüne geçer. Üzerinde defalarca
    yazılmış bir sabit diskin örneğin 2 sene önceki halini
    almak için kullanılır. Yani üzerindeki birkaç megabyte
    veriyi kurtarma amaçlı değildir.

    – Çok özelleşmiş teknikler


    kullanır

    – Teröristlere ait hard diskler

    – Senelerce sürebilir
    22
    Raporlama

    • Yapılan tüm analizler detaylı bir şekilde


    raporlanmalıdır

    • Rapor ile tekrarlanabilirlik özelliği


    sağlanmalıdır

    23
    Sonuç olarak…

    • Bilgi sistemi olayı yaşandığında


    – Bilgi
    – Para
    – Zaman
    – İtibar
    –…
    kaybı yaşanabilir
    • Olay analizi yapılarak
    – olayın varlığı
    – detayları
    tespit edilir, yaşanabilecek kayıplar hızlı tepki
    ile minimuma indirmeye çalışılır
    24
    Teşekkürler ve Sorular?

    25

    Вам также может понравиться