Ekim 2020

26 Ekim 2020 Pazartesi

Siber Güvenlik’te Takımlar


 Siber Güvenlik’te Takımlar 




Siber güvenlik alanı çok geniş bir alan olduğundan dolayı uzmanlıkların çeşitli roller tanımlanarak iş bölümleri oluşturulup gruplara ayrılmıştır. Süreçlerin yönetilmesini kolaylaştırmak için red team, blue team, purple team, orange team, yellow team, green team olmak üzere 6 farklı uzmanlık alanları oluşturulmuştur. 

Şimdi detaylıca bu takımların hangi rolleri üstlendiğine bakalım. 


Red Team (Kırmızı Takım)



 

Kurumlardaki, Ağ, sistem ve fiziksel güvenlik kontrollerinin gerçek bir saldırgan gibi saldırmasıyla kontrol etmiş olduğu sistemlerin dayanaklığını ölçen saldırı takımıdır. Kırmızı takım üyeleri tarafından sistemindeki açıkları tespit etmek üzere penetrasyon testleri uygularlar. 

Kırmızı takımın görevleri; 

Güvenlik seviyesinin istenilen düzeyde olup olmadığını kontrol eder. 

Zafiyet tespit etmek. 

Gerçekleştirmiş olduğu saldırılar ile mavi takımın gelişmesinde katkıda bulunmak. 

Sızma testi gerçekleştirmek. 

Fiziksel güvenlik ile ilgili alakalı risk tutarlarını ortaya çıkarmak. 


Blue Team (Mavi Takım) 



Kurumların sistemlerine karşı gerçekleştirilebilecek saldırılara karşı alınması gereken tedbir ve saldırı belirleme yöntemleri oluşturarak sistemin savunulmasını sağlayan takımdır. Hem gerçek saldırganlara hem de kırmızı takıma karşı sistemi savunur. 

Mavi Takımın görevleri; 

Güvenli ağ alt yapısının izlenilmesi. 

SIEM yazılımlarını kullanmak. 

Güvenlik tedbirlerinin alınması. 

IDS (saldırı tespit sistemi), IPS (saldırı önleme sistemi) ve SIEM gibi ürünlerin üzerlerinde analiz yapma. 

Sızma testi sonrasındaki test raporlarında belirtilen zafiyetlere karşı sistemler üzerinde sıkılaştırma adımları uygulamak. 

Siber olaylara nasıl müdahale edileceğini anlama. 

Saldırılarda etkilenen sistemler üzerinde adli analiz yapma. 

Mevcut tehdit unsurlarına karşı savunma önlemleri geliştirmek. 


Yellow Team (Sarı Takım) 



Bilgi teknolojileri altyapı ve süreçlerini oluşturan takımdır. Bir kuruluşun güvenlik sistemlerini geliştirmek ile sorumlu ekiptir. Şirket içi bir BT departmanı veya üçüncü taraf bir güvenlik çözümleri sağlayıcısı olabilir. 

Sarı takımın görevleri; 

Sistemlerde meydana gelen yazılımsal ve donanımsal meydana gelen problemleri analiz etme. • Sistemlerin güncel kalmasını sağlama
Alt yapı problemlerini çözme 


Purple Team (Mor Takım) 



Son birkaç yıldır güvenlik dünyasında adı duyulmaya başlayan bir kavramdır. Kırmızı ve mavi takımların çabalarını verimliliğini ve etkinliğini optimize etmek ve bu etkinliğin değerli sonuçlarını sağlamak için oluşturulmuştur. Purple team, ofansif ve defansif takımlar arasındaki bilgi alışverişi artırmak için oluşturulan konseptin adıdır Kırmızı ve mavi takım gibi ayrı bir oluşum olmamakla birlikte takımların işbirliği içerisinde çalıştıkları bir konsepti ifade etmektedir. 

Mor Takımın görevleri; 

Kırmızı ve mavi takım arasında işbirliğini teşvik etmek.
Zayıflıkları tespit etmek için hem kırmızı hem de mavi ekiplerle birlikte çalışmak. 


Orange Team (Turuncu Takım) 



Red team tarafından kullanılan güvenlik açıklarının ve yanlış yapılandırılan network cihazlarının yeniden yapılandırmayı gerçekleştiren takımdır.
Eski yani güncelliği olmayan protokolleri kaldırmak. • İşletim sisteminde gerekli yamaları ve güncellemeleri yükletmek. gibi görevleri vardır 

Green Team (Yeşil Takım) Blue team tarafından kullanılan ağ cihazların bakım ve onarımından sorumlu olan savunma cihazların yapılandırılmasından sorumu olan ekiptir. 

Güvenli ağ alt yapısının oluşturulması 

IDS, IPS, SIEM gibi ürünlerin ağ üzerinde konumlandırılması. gibi görevleri vardır. 


Kaynaklar: 

https://purplesec.us/red-team-vs-blue-team-cyber-security/
https://www.stickman.com.au/building-the-right-cyber-security-team-structure/ https://www.beyaz.net/tr/guvenlik/makaleler/red_team_ve_blue_team_nedir.html https://hackernoon.com/introducing-the-infosec-colour-wheel-blending-developers-with-red-and-blue-security-teams-6437c1a07700

23 Ekim 2020 Cuma

Sızma Testi Metodolojileri


 

Sızma Testi (Pentest) Metodolojisi

 



Sızma testi, bilişim sisteminin herhangi bir bölümüne saldırgan tarafından sisteme sızılabilmesini öngördüğü zafiyeti bulmaya çalışan uzmanlar tarafından yapılan saldırı similasyonuna ve similasyonun sonunda analiz edilip raporlanması işlemine sızma testi denilmektedir. Sızma testine; Pentest veya Penetrasyon testi de denilmektedir. 

Penetrasyon testlerinde daha önceden denenmiş olan ve belirli kalıplarla standartlar haline getirilmiş olan kurallar izlendiğinde sonuçlar üzerindeki başarı oranlara önemli derecede artış göstermektedir.

Sızma Testi Standartları Sızma testi ve güvenlik denetimleri için bazı standartlar belirlenmiştir.

OWASPOSSTMMISSAFNIST SP800-115PTESFedramp bu standartların en çok bilinenlerindendir. İnternet üzerinde de ücretsiz olarak erişilebilecek farklı güvenlik testi metodolojileri vardır.

 

  •  OSSTMM (The Open Source Security Testing Methodology Manual):





OSSTMM açık kaynak bir güvenlik testi metodolojisidir. Ağ penetrasyon testi ve güvenlik açığı değerlendirmesi için bilimsel bir metodoloji sunmaktadır. Bu test, uzmanların bir ağdaki çeşitli potansiyel saldırı açılarından güvenlik açıkların tanımlamaları için kapsamlı bir kılavuz içerir. Bu metodoloji, test cihazının derinlemesine bilgi ve deneyimin yanı sıra tanımlanan güvenlik açıklarını ve ağ içindeki potansiyel etkilerini yorumlamak için insan zekasına dayanır yani OSSTMM metodolojisi ile test uzmanlarının değerlendirmelerine olanak tanır. Bu standart setiyle, ağınızın siber güvenliğinin yanı sıra, ağları güvenceye almak için doğru kararları vermesine yardımcı olmak üzere teknolojik bağlamınıza uyarlanmış güvenilir çözümler hakkında doğru bir genel bakış elde edebiliriz.

Güvenlik kılavuzlarının çoğundan farklı olarak, bu kılavuzun içerisinde ağ geliştirme ekiplerini desteklemek için de oluşturulmuştur. Bu kılavuz belirli bir ağ protokolünü veya yazılımını savunmasa da, ağlarımızın güvenliğini sağlamak için en iyi uygulamaları alınması gereken adımları açıklar.



OSSTMM bölümleri şu şekilde sıralanır.

1.   Operasyonel güvenlik adımları 
2.   Güven analizi 
3.   İş akışı 
4.   İnsan güvenliği testi 
5.   Fiziksel güvenlik testi 
6.   Kablosuz güvenlik testi 
7.   Telekomünikasyon güvenlik testi 
8.   Veri ağları güvenlik testi 
9.   Uyum mevzuatı 
10.  STAR (Güvenlik Testi Denetim Raporu) ile raporlama

 

  

  •     OWASP (Open Web Application Security Project):


 

Uygulama güvenliği ile ilgili tüm konularda en çok bilinen standarttır. Bu kılavuz yalnızca web ve mobil uygulamalarda yaygın olarak bulunan güvenlik açıklarını değil, aynı zamanda güvenli olmayan geliştirme uygulamalarından kaynaklanan karmaşık mantık hatalarını tanımlayabilen uygulama sızma testi için bir yöntem sağlar. Güncellenmiş kılavuz, her bir sızma testi yöntemi için kapsamlı yönergeler sunar ve toplamda 66’dan fazla kontrol ile test cihazlarının bugün modern uygulamalarda bulunan çok çeşitli işlevler içindeki güvenlik açıklarını tanımlamasına olanak tanır.

11 ana başlık altında değerlendirilen güvenli uygulama geliştirme ve güvenlik kontrol listesinden oluşmaktadır. Bunlar;

1.  Bilgi toplama 
2.  Yapılandırma ve dağıtım yönetimi testi 
3.  Kimlik yönetimi testi 
4.  Kimlik doğrulama testi 
5.  Yetkilendirme testi 
6.  Oturum yönetimi testi 
7.  Giriş doğrulama testi 
8.  Hata giderme testi 
9.  Zayıf kriptografi testi 
10. İş mantığı testi 
11. İstemci tarafı testi

 


  •   NIST SP800-115



NIST, kuruluşlar tarafından güvenli bilgi güvenliği uygulamaları geliştirmek ve güvenlik testi yapmak için kullanılabilecek kalite ilkelerine sahip standartlar bütünüdür.

NIST SP800-115 kapsamlı bir rehber değildir, organizasyonları teknik bilgi güvenliği testlerini planlama değildir, ancak organizasyonları teknik bilgi güvenliği testlerini planlama ve yürütme bulguları analiz etme ve iyileştirme stratejileri geliştirme konusunda yönlendirir. Diğerleri penetrasyon standartlarından farklı olarak, penetrasyon test cihazlarının izlemesi için daha spesifik yönergeler sunar.

NIST kılavuzu; bankacılık, iletişim ve enerji de dahil olmak üzere farklı endüstrilerde bilgi güvenliğini garanti altına almaya odaklanmıştır. Beş ana başlıktan oluşur. Bunlar;

1.   Hedef tanımlama ve analiz teknikleri

2.   Hedef güvenlik açığı doğrulama teknikleri

3.   Güvenlik değerlendirme planlaması

4.   Güvenlik değerlendirme faaliyetleri

5.   Test sonrası faaliyetler

 

  

  •       PTES (Oenetration Testing Execution Standart)



Bu standart, test cihazlarını ilk iletişim, bilgi toplama ve tehdit modelleme aşamalarını içeren bir penetrasyon testinin çeşitli adımlarında yönlendirir. Bu penetrasyon testi standardı sayesinde test uzmanları, potansiyel olarak savunmasız alanlardan faydalanmaya odaklanmadan önce kendilerini organizasyon ve teknolojik bağlamıyla tanıştırırlar ve bu da denenebilecek saldırıların en gelişmiş senaryolarını belirlemelerine olanak tanır. Test kullanıcılarına ayrıca, daha önce tanımlanan güvenlik açıklarının başarılı bir şekilde giderildiğini doğrulamalarını sağlamak için, gerekirse sömürü sonrası test yapma talimatı da verilir. Standart bir sızma testi yürütmek için temel olarak tanımlanan ana bölümler şunlardır:

1.   Ön Sözleşme

2.   İstihbarat toplama

3.   Tehdit Modellemesi

4.   Güvenlik Açığı Analizi

5.   İstismar Süreci

6.   İleri Sömürü Aşaması

7.   Raporlama

 


·       ISSAF (Information System Security Assement Framework)

 ISSAF standardı, penetrasyon testine önceki standarttan daha da yapılandırmış ve özel bir yaklaşım içermektedir. Sızma testinin yapılacağı kurumun benzersiz durumu, tamamen içeriğine göre kişiselleştirilmiş gelişmiş bir metodoloji gerekiyorsa bu standart sızma testi uzmanlara yol gösterici niteliktedir. Daha ayrıntılı olan değerlendirme bölümü, prosedürün önemli bir bölümünü yönetir. Sisteminizin savunmasız her alanı için, ISSAF bazı tanımlayıcı bilgiler, çeşitli saldırı vektörleri ve bir güvenlik açığından yararlanıldığında bu alanları hedeflemek için yaygın olarak kullanıcıları gerçek saldırganların bu alanları hedeflemek için yaygın olarak kullandıkları araçlar hakkında da bilgi bulabilirler.

1-    Planlama ve hazırlık

2-    Değerlendirme

3-    Raporlama, temizleme ve yok edilmesi

 

 

 

    FedRamp (Penetration Test Guidance Federal)

 

Federal Bilgi Güvenliği Yönetimi Yasası'nın (FISMA) bulut bilişim hizmetlerine nasıl uygulandığını standartlaştırmak için oluşturulan ABD hükümet programıdır. Bulut tabanlı hizmetlerin güvenlik değerlendirilmesi ve sürekli izlenmesi için bir metodoloji sunar.

Ana bölümleri şunlardır:

1. Bilgi toplama ve keşif aşaması

2. Web uygulama ve API test bilgisi toplama ve keşif aşaması

3. Mobil uygulama bilgi toplama ve keşif aşaması

4. Ağ bilgi toplama ve keşif aşaması

5. Sosyal mühendislik bilgi toplama ve keşif aşaması

6. İç ağ bilgi toplama ve keşif aşaması

7. İstismar aşaması

8. İleri sömürü aşaması

9. Raporlama

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Kaynaklar:

https://www.isecom.org/OSSTMM.3.pdf

www.owasp.org/index.php/Testing_Checklist

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800

https://www.vumetric.com/blog/top-penetration-testing-methodologies/

https://untrustednetwork.net/files/issaf0.2.1.pdf

http://www.pentest-standard.org/index.php/Main_Page

https://docplayer.net/storage/23/2031861/2031861.pdf

19 Ekim 2020 Pazartesi

AUTOPSY Aracının Kullanımı.


AUTOPSY







Bu yazımızda Autopsy aracının kullanımını ve özelliklerini öğreneceğiz. Autopsy Basis Technology tarafından desteklenen açık kaynak kodlu ücretsiz kullanılan bir adli bilişim aracıdır. Grafiksel arayüz üzerinden The Sleuth Kit’e ait komutları kullanmamızı sağlayan bir programdır.

 Autopsy ile

·        DD, Encase ve AFF uzantılı adli kopyalar üzerinde inceleme yapabilmektedir.

·        NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, HFS ve ISO 9660 ve bunların türü olan dosya sistemlerini desteklemektedir.

·        Kelime veya karakter araması yapılabilmektedir.

·        Steganography kontrolü yapabilmektedir.

·        E-delil ve adli kopya üzerinden hash hesaplaması yapabilmektedir.

 ·      Hash tablosu kullanılarak sistem dosyaları gibi bilinen dosyalar ayıklanabilmektedir

·        Zaman çizelgesi çıkartabilmektedir.

·        Veri kurtarma yapabilmektedir.

·        MFT dosyaları gibi önemli sistem dosyalarına erişimi sağlayabilmektedir.






Programı indirmek için https://www.autopsy.com/download/ adresine gidebilirsiniz.

 

 Autopsy aracının daha iyi anlaşılması için uygulamalar üzerinde devam edeceğiz.

 İlk olarak Basis Technology bize sunmuş olduğu imaj dosyasını https://file.ac/d9olyKnD49s adresinden incelemek için indiriyorum.

Autopsy aracını çalıştırıyorum ve “New Case” seçeneğini seçiyorum.





 

2. Adımda “Case Name” alanını yazıp devam ediyoruz.


 

 3. adımda “Case Number” ve araştırmacı adını yazıp biti

Burada case hakkında detaylı bilgi girildi kimin incelendiği case hakkında detaylı bilgiler ve notların yazılabileceği alan dolduruldu.


Burada “Disk Image or VM” file seçeneğini seçildi çünkü inceleyeceğimiz imaj türü E01 formatındaki imaj, imajı açabilmek için bu seçenekten devam ettik.




Burada imaj dosyasının yerini belirttik.



Daha sonra modül seçme ekranı gelmektedir. Bu bölümde araştırmacıya gerekli modüllerin seçilebilme imkanını vermektedir.




Ve “Finish” diyerek bitiriyoruz. Burada istersek log dosyası çıktı olarak alınabilmektedir.



Tüm modülleri aldıktan sonra bu alana ulaşıyoruz. Bu menüye geldikten sonra analize başlayabiliriz fakat analizin daha sağlıklı olması için programın analiz etmesi kısmını bitirmesi bizim doğru sonuca ulaşmamıza yardımcı olacaktır.





Programın analiz yapma işlemi bittikten sonra aşağıda temel olarak sormuş olduğum soruların cevaplarını bulacağız hep birlikte.


WelcomeScan.jpg adlı resim dosyasının hash değerini bulun ?

MD573d4281e46a68222934403627e5b4e1

 

Görüntüleri kontrol etmek için; “Results > Extracted Content > EXIF Metadata” bu alana geldikten sonra resmin üzerine tıklıyoruz daha sonra “File Metada”  sekmesine tıkladıktan sonra Autopsy aracı otomatik olarak MD5 hash değerini hesaplamış olduğunu gördük




Kaytı edilen en son bilgisayar kapatma zamanı ne zaman ?

2020/10/17-15:09:11

Bu sorunun cevabını bulmak için gidiyoruz “Data Sources” kısmından

C:\WINDOWS\system32\config\software\Microsoft\WindowNT\CurrentVersion\P refetcher\ExitTime

Dosya yolunu takip ediyoruz



 

 


Bilgisayarda kullanılan ağ kartlarını listele ?

Cevabı bulmak için Data sources kısmından

“C:\WINDOWS\system32\config\software\Microsoft\Windows NT\CurrentVersion\NetworkCards\”

dosya yolu takip edilir.

 

 


Aotupsy ile MFT dosyasının çıkarınız.

“Data Sources” kısmında bölümüne geliyoruz bölüme tıkladıktan diskimizin imajı olan disk.E01 sekmesine tıklıyoruz sonra karşımıza gelen menüde $MFT dosyasını aradıktan sonra rahatlıkla görebilmekteyiz.





 

 

 

 

 


 

Kaynaklar: https://www.autopsy.com/about/use-cases/ https://www.sleuthkit.org/autopsy/desc.php

https://medium.com/@tusharcool118/autopsy-tutorial-for-digital-forensics- 707ea5d5994d