kayra otaner - devops ile siber saldırılar karşısında 360 derece alan hakimiyeti
DESCRIPTION
Bilişim Zirvesi Siber Güvenlik Konferansı - Dev ops ile siber saldırılar karşısında 360 derece alan hakimiyetiTRANSCRIPT
DevOps ile Siber Saldırılar
Karşısında 360 Derece
Alan HakimiyetiKayra OTANERLinux Akademi
www.linuxakademi.com.tr
Bu seminerin sonunda
Those who know will always have a job, those who know why, will be in charge.
Bu seminerin amacı 360 Derece Alan Hakimiyetinin nasıl kurgulanacağını göstermek değil, niçin kurgulanması gerektiğini anlatmak.
● DevOps Nedir?● Yön belirleyiciler :
– US Cert : NetSA (Network Situational Awareness)
– Gartner Raporu : Network Performance Monitoring and Diagnostics
– Forrester Raporu : Zero Trust
● Netflow Nedir?● NetSA için Netflow kullanım senaryoları :
– DevOps amaçlı network sorunu gözlemleme
– SecOps amaçlı port scan gözlemleme
●
●
DevOps :
Any fool can know. The point is to understand. Albert Einstein
Yani?● DevOps sistem yönetimi alanında bir akımdır.● Tıpkı fonksiyonel programlama paradigmasının zaman içinde yetersiz kaldığının ortaya çıkıp
yerini Object Oriented programlama paradigmasına bırakması gibi DevOps da klasik sistem yönetim kalıplarının kırılmak zorunda kalınmasında ortaya çıkmıştır.
● Çevik IT operasyonu (Agile Operations) olarak da adlandırılır.
Multi Focus
● Kullanıcı tatmini (Usability Goals)● Performans / kaynak yönetimi (Capacity
Planning)● Şirket hedefleri (Business Requirements)● Uyumluluk tatmini (PCI, SOX, 5651)
Cobit (ilk çıkış 1996)
Tüm bu akım ve standartlara göre sormamız gereken soru:
Ne değişti?
The Only Thing That Is Constant Is Change
● Değişmeyen tek şey değişim. IT'de adı geçen standartların peşinde olduğu yegane şey değişeni anlamak.
● IT standartlarının özünü anlamak istiyorsanız, değişim farkındalığını anlamalısınız.
● DevOps Open Source altyapılar yöneten bizlerin Cobit/ITIL/PCI/SOX'ların tarif ettiği değişim yönetimlerinin hayata geçirilmiş halidir. Temelleri 1980'lerde atılan teorilerin 2010'lara uyarlanmasına DevOps diyoruz.
Change
To improve is to change; to be perfect is to change often.
Winston Churchill
Eğer klasik bir IT operasyonu yapıyorsanız
Saatte 15km hız yapmak için bu yeterli :
Ortalama bir IT operasyonu
Saatte 180 km hız yapıyorsanız :
Saatte 1000km yapıyorsanız :
Saatte 28,000 km yapıyorsanız :Endeavaur'un kokpiti
Peki yani?
● DevOps için dashboard'da hangi metric'ler önemli?
● Dünyada Trendler ne yöne gidiyor? Yön belirleyicilere bakalım.
Devlet : NetSA
NetSA
● Network situational awareness is the systematic gathering, analysis, and interpretation of data from local and remote networks, regarding structure, applications, traffic, and resources to produce actionable information for decision making in network operations and defense.
Gartner RaporuGartner Temmuz 2013'de su yeni kategoriyi olusturdu :
Introducing the Network Performance Monitoring and Diagnostics Market
Mart 2014'de ilk raporlarını yayınladılar
At an estimated $1 billion, the NPMD market is a fast-growing segment of the larger network management space ($1.8 billion in 2012), and overlaps slightly with aspects of the application performance monitoring (APM) space ($2 billion in 2012)
Forrester RaporuZero Trust Model
Designing networksfrom inside out
NetFlow V5
Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Flags Tos Packets Bytes pps bps Bpp Flows
2014-01-01 00:04:23.980 25.000 TCP 172.16.0.156:33510 -> 172.16.0.94:58781 .AP... 0 296 237484 11 75994 802 1
2014-01-01 00:04:23.980 34.000 TCP 192.168.0.133:20022 -> 172.16.0.121:64327 .AP... 0 375 24206 11 5695 64 1
2014-01-01 00:04:23.980 25.000 TCP 172.16.0.156:5910 -> 172.16.0.132:63880 .AP... 0 319 173587 12 55547 544 1
2014-01-01 00:04:23.980 21.000 TCP 172.16.0.22:39621 -> 172.16.2.135:80 .AP... 0 35 9504 1 3620 271 1
2014-01-01 00:04:23.980 11.000 TCP 172.16.0.99:65192 -> 172.16.9.132:80 .AP..F 0 39 6800 3 4945 174 1
Senaryo 1
● Kabaca 2 saat süreyle sistemlere erişimde sorun yaşandı.
● Network'de nerede ne oldu?
Senaryo 2
● Kimler port scan yapıyor?● 3 tipik Port Scan örneğine bakacağız.
– Vertical Scan
– Horizontal Scan
– Block Scan
www.linuxakademi.com.tr
Türkiye de DevOps
● 8 KASIM 2012 Eskişehir InetConf'da Ölçeklenebilir operasyonun adı: DevOps
● Aralık 2011'de DevOpsTR eposta listesi https://groups.google.com/forum/#!forum/devopstr
DevOps ile Siber Saldırılar
Karşısında 360 Derece
Alan HakimiyetiKayra OTANERLinux Akademi
www.linuxakademi.com.tr
Bu seminerin sonunda
Those who know will always have a job, those who know why, will be in charge.
Bu seminerin amacı 360 Derece Alan Hakimiyetinin nasıl kurgulanacağını göstermek değil, niçin kurgulanması gerektiğini anlatmak.
● DevOps Nedir?● Yön belirleyiciler :
– US Cert : NetSA (Network Situational Awareness)– Gartner Raporu : Network Performance Monitoring
and Diagnostics– Forrester Raporu : Zero Trust
● Netflow Nedir?● NetSA için Netflow kullanım senaryoları :
– DevOps amaçlı network sorunu gözlemleme
– SecOps amaçlı port scan gözlemleme
●
●
Bu sunumun ilk yarısı biraz teorik, biraz kavramları oturtma, piyasa trendlerine, araştırmalara bakmaya odaklı olarak geçecek. İkinci yarısında gerçek hayattan yakalanmış 2 anlamlı senaryoda DevOps pratiklerinin SecOps için neler getirebileceğine göz atacağız.
DevOps :
Any fool can know. The point is to understand. Albert Einstein
Önce DevOps 'un sözlük anlamına bir göz atalım. Yeterince açık değil mi? Anlatmaya ya da tercüme etmeye gerek olduğunu sanmıyorum buradaki izleyenler için :-)
Yani?● DevOps sistem yönetimi alanında bir akımdır.● Tıpkı fonksiyonel programlama paradigmasının zaman içinde yetersiz kaldığının ortaya çıkıp
yerini Object Oriented programlama paradigmasına bırakması gibi DevOps da klasik sistem yönetim kalıplarının kırılmak zorunda kalınmasında ortaya çıkmıştır.
● Çevik IT operasyonu (Agile Operations) olarak da adlandırılır.
Sizi Ingilizce BuzzWord'lerle bombardiman edileceginiz bir prezantasyona maruz birakmayacagim merak etmeyin. DevOps'un anlamini en guzel bu akımın nereden çıktığına bakarak aciklayabiliriz. İnternette baktıysanız görmüş olmalısınız DevOps'un net ve kesin bir tarifi yok. Bu açıdan BigData'ya da çok benziyor. Günün sonunda bu kelimelere takılmamak lazım, özünü anlamak idrak etmek için arkalarındaki anlam ve nereden hayatımıza girdiğine bakmak gerekiyor.
Agile Development'da bildiğimiz Scrum, Kanban, Extreme programming, lean software development vb gibi modellerin sistem yönetimine sıçramasından ortaya çıkmıştır diyebiliriz.
Multi Focus
● Kullanıcı tatmini (Usability Goals)● Performans / kaynak yönetimi (Capacity
Planning)● Şirket hedefleri (Business Requirements)● Uyumluluk tatmini (PCI, SOX, 5651)
Klasik bir e-ticaret, sosyal medya ya da internet startup ortamında takip edilmesi gereken odaklar çeşitlidir. Bir taşla bir kaç kuş vurulması gereken, kısıtlı imkanlar dar zamanlarda yüksek trafik ve tatmin amaçlı operasyon.
Bu amaçların peşinde çevik olarak koşmak istediğinizde size bir önceki jenerasyon IT yöneticileri hemen ITIL COBIT I hatırlatacaktır.
ITIL
1980'lerde başlıyor.http://www.itiltraining.com/itil-downloads.asphttp://download.ilxgroup.com/docs/downloads/ITIL-V3-Roadshow.pdf
The purpose of ITILBusiness benefits of ITILStructure of ITILDescriptions of each of the new lifecycle bookshttp://www.itil-officialsite.com/key-benefits/key-benefits-
itil.aspx
Cobit (ilk çıkış 1996)
● • Are new projects likely to deliver solutions that meet business needs?
●• Are new projects likely to be delivered on time and within budget?
●• Will the new systems work properly when implemented?
●• Will changes be made without upsetting current business operations?
PCI 3.0Regularly Monitor and Test Networks
10. Track and monitor all access to network resources and cardholder data
Best Practices for Implementing PCI DSS into Business-as-Usual Processes
3. Review changes to the environment (for example, addition of new systems, changes in system or network configurations) prior to
completion of the change, and perform the following:Determine the potential impact to PCI DSS scope (for example, a new
firewall rule that permits connectivity between a system in the CDE and another system could bring additional systems or networks into
scope for PCI DSS).Identify PCI DSS requirements applicable to systems and networks
affected by the changes (for example, if a new system is in scope for PCI DSS, it would need to be configured per system configuration
standards, including FIM, AV, patches, audit logging, etc., and would need to be added to the quarterly vulnerability scan schedule).
Update PCI DSS scope and implement security controls as appropriate.
Tüm bu akım ve standartlara göre sormamız gereken soru:
Ne değişti?
Change boundary
The Only Thing That Is Constant Is Change
● Değişmeyen tek şey değişim. IT'de adı geçen standartların peşinde olduğu yegane şey değişeni anlamak.
● IT standartlarının özünü anlamak istiyorsanız, değişim farkındalığını anlamalısınız.
● DevOps Open Source altyapılar yöneten bizlerin Cobit/ITIL/PCI/SOX'ların tarif ettiği değişim yönetimlerinin hayata geçirilmiş halidir. Temelleri 1980'lerde atılan teorilerin 2010'lara uyarlanmasına DevOps diyoruz.
DevOps dışarıdan dikte edilen uyum ya da standartlardan dolayı değil yapılan işin doğal olarak kontrol edilebilirliğinin zorlaştığı ve değişim takibinin artık bir tercih değil zorunluluk haline gelmesinden içseleştirilmiş süreçlerden ortaya çıktı.
3 pillars of issue management :1 instant discovery 2 fast escalation 3 quick resolution
Change
To improve is to change; to be perfect is to change often.
Winston Churchill
Today, we can see how DevOps patterns enable organizations like Etsy, Netflix, Facebook, Amazon, Twitter and Google to achieve levels of performance that were unthinkable even five years ago. They are doing tens, hundreds or even thousands of code deploys per day, while delivering world-class stability, reliability and security,” writes Kim in a blog post.
http://www.forbes.com/sites/reuvencohen/2013/10/16/saving-your-infrastructure-from-devops/
Eğer klasik bir IT operasyonu yapıyorsanız
Saatte 15km hız yapmak için bu yeterli :
Ortalama bir IT operasyonu
Saatte 180 km hız yapıyorsanız :
Saatte 1000km yapıyorsanız :
Saatte 28,000 km yapıyorsanız :Endeavaur'un kokpiti
Peki yani?
● DevOps için dashboard'da hangi metric'ler önemli?
● Dünyada Trendler ne yöne gidiyor? Yön belirleyicilere bakalım.
Devlet : NetSA
●Network Situational Awareness●Computer Emergency Response Team : 1988 de
kuruldu CERT●Carnegie Mellon tarafından opere ediliyor.●Kabaca ABD'nin proaktif Internet savunma
sistemlerinin geliştirilmesinden sorumlu sivil Üniversite bacağı.
●Bugün TİB gibi TR'deki yerel regulatörlerin kullandığı DPI tool'larının çoğu buradan çıkıyor.
●Devlet ya da Kurum, Bilişim Güvenliği NetSA olmadan gerçekleşemeyen bir hayal olarak kalır.
NetSA
● Network situational awareness is the systematic gathering, analysis, and interpretation of data from local and remote networks, regarding structure, applications, traffic, and resources to produce actionable information for decision making in network operations and defense.
Gartner RaporuGartner Temmuz 2013'de su yeni kategoriyi olusturdu :
Introducing the Network Performance Monitoring and Diagnostics Market
Mart 2014'de ilk raporlarını yayınladılar
At an estimated $1 billion, the NPMD market is a fast-growing segment of the larger network management space ($1.8 billion in 2012), and overlaps slightly with aspects of the application performance monitoring (APM) space ($2 billion in 2012)
Forrester RaporuZero Trust Model
Designing networksfrom inside out
NetFlow V5
Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Flags Tos Packets Bytes pps bps Bpp Flows
2014-01-01 00:04:23.980 25.000 TCP 172.16.0.156:33510 -> 172.16.0.94:58781 .AP... 0 296 237484 11 75994 802 1
2014-01-01 00:04:23.980 34.000 TCP 192.168.0.133:20022 -> 172.16.0.121:64327 .AP... 0 375 24206 11 5695 64 1
2014-01-01 00:04:23.980 25.000 TCP 172.16.0.156:5910 -> 172.16.0.132:63880 .AP... 0 319 173587 12 55547 544 1
2014-01-01 00:04:23.980 21.000 TCP 172.16.0.22:39621 -> 172.16.2.135:80 .AP... 0 35 9504 1 3620 271 1
2014-01-01 00:04:23.980 11.000 TCP 172.16.0.99:65192 -> 172.16.9.132:80 .AP..F 0 39 6800 3 4945 174 1
Senaryo 1
● Kabaca 2 saat süreyle sistemlere erişimde sorun yaşandı.
● Network'de nerede ne oldu?
Güne ait tüm network aktivitesien göz gezdirdiğmizde saat 14:30 and 20:00, especially around 14:30 and 15:30
Once we started zooming into the timeframe when the anomaly occured, we can see all other graphs updated according to the window we selected. In the mid section of the dashboard I have source IP, source address, destination IP and destination address pie charts, showing flow itself. In destination port pie chart, I immediately noticed that port 12201 is accounting for roughly 20% of the trafffic/flows happened at that time, which is way above normal characteristic of the traffic :
When I click 12201 on the destination port pie chart, Kibana re filters and re graphs data according to the selection I made. I immediately can see that, TCP traffic nearly diminished, and only UDP traffic is hitting port 12201, which happened to be the GrayLog server's default port listening for logs send by the various app servers.
Senaryo 2
● Kimler port scan yapıyor?● 3 tipik Port Scan örneğine bakacağız.
– Vertical Scan– Horizontal Scan– Block Scan
This first screen will show everything we got in the index. We want to use ES's and Kibana's capabilities to drill down to all port scan activity so we'll filter out connections to port 80 and 443 as this flow data is from a high traffic web site and we're not interested in connections to those ports. Also lets focus on only TCP protocol as other scan methods are outside scope of this blog post. As we drill down, we start to see some scan activity in 'SYN ATTEMPTS' widget on the right hand side. This widget shows ratio of S only flows to all flows, so between 03:00 and 08:00 there was clearly increase in S flows. This is not typical and is a clear indication of increased port scan activity during night ours.
If we like we can focus on this window and drill down from there, but I would love to focus on IPs listed on the left in 'SCAN IP' window and demonstrate different types of scans performed by each IP. Lets click on 185.12.44.17 and see what how IP appeared in our dashboard. This IP is registered in Switzerland and performed block scan, both touching a lot of IPs in our network and trying various ports which is clearly visible in the dashboard.
www.linuxakademi.com.tr
Türkiye de DevOps
● 8 KASIM 2012 Eskişehir InetConf'da Ölçeklenebilir operasyonun adı: DevOps
● Aralık 2011'de DevOpsTR eposta listesi https://groups.google.com/forum/#!forum/devopstr
http://inet-tr.org.tr/inetconf17/ayrinti.html