Siber güvenlik için yeni bir çağ Leyla Bilge Symantec Araştırma Labaratuvarları Risk Analizi 1 5/30/2016

Risk Analizi 2

3

Birkaç istatistik Risk Analizi 4 Hedefe Yönelik Saldırılar > 30,000 Yeni Zararlı Yazılım > 80 Milyon Çalınan Kimlikler ~ 200 Milyon Web Saldırıları ~ 70 Milyon Durdurulan Saldırılar ~ 2.4 Trilyon

Risk Analizi 5 siber suçlar siber espiyonoj siber sabotaj

Risk Analizi 6 Siber suçlar 99 %

Siber suçlar Bireyleri hedefleyen – Veri hırsızlığı - online bankacılık detayları ve kişisel bilgiler – Sistem kaynaklarının tüketilmesi – SPAM, click-fraud, pay-per-install – System hijacking – Fidye yazılımları (ransomware), sahte AV – Saldırı yöntemleri Toplu mailler Tarayıcılardaki zayıflıklardan yararlanarak, otomatik yüklemelerin başlatılması Sirketleri hedefleyen – Veri hırsızlığı – Müşteri hesap detayları, Kredi Kartı numaraları, şirket banka detayları, şirket için stratejik bilgiler – Saldırı yöntemleri Hedefe yönelik mailler Sunuculardaki güvenlik açıklarından faydalanılması Büyük veri tabanlarının bulunması ve verinin çalınması Risk Analizi 7

X3 88 Finansal Truva Atları Risk Analizi 8 118K KANADA 135K ALMANYA 206K JAPONYA 178K İNGİLTERE 1M USA 71K İTALYA 84K HİNDİSTAN 88K AVUSTRALYA 47K MEKSİKA 43K BREZİLYA FINANSAL TRUVA ATLARINDAN EN ÇOK ETKİLENEN 10 ÜLKE DÜZENLİ OLARAK SALDIRILAN FİNANS ŞİRKETLERİ > 1400 ETKİLENEN ÜLKELER SALDIRILARDAKİ ARTIŞ

Fidye Yazılımları Risk Analizi 9 500% ARTIŞ

Fidye yazılımları Bir zararlı yazılım türüdür, bir saldırı türü değil – 25 değişik davaranışlarda fidye yazılım türleri – İlk 2009 yılında Rusya da çıkmıştır Sisteme girdiğinde fidye verilene kadar, sistemi kilitler Genelde resmi kurumlardan gelirmiş gibi görünür ve kullanıcıya kanun dışı davranşarından dolayı ceza ödemesi gerektiğni bildirir Dağılım şekli: – Zararlı websiteleri (drive-by downloads) – lerdek, sosyal medyadaki zararlı bağlar Ceza ödendiği takdirde sistem kiliti açılır Risk Analizi 10

Risk Analizi 11

Risk Analizi 12

Risk Analizi 13 siber suçlar espiyonaj sabotaj

Siber Espiyonaj Hedefe yönelik saldırılar / APTs – Advanced Persistent Threats Saldırganlar – Devlet destekli hacker’lar – Çin – Rusya – ABD ve İngiltere Amaç – Devlet ya da şirket sırları Saldırı türü – Spearphishing s – Watering hole sites Aurora, Nitro, NightDragon, Taidoor, Elderwood, Hangover, HiddenLynx, Dragonfly, Turla Risk Analizi 14

Siber espiyonaj Risk Analizi 15 Saldırgan Keşif Saldırı Verinin bulunması Verinin ele geçirilmesi Verinin dışarı sızdırılması

Risk Analizi 16 Siber suclar espiyonaj sabotaj

Siber Sabotaj Siber savaşlar? Kritik altyapılara ve askeri tesisatlara yapılan uluslararası saldırılar Estonia Denial of Service attacks (April 2007) – Sovyet heykellerinden birinin kaldırılması yüzünden – Binlerce bilgisayar Estonya’nın önemli sitelerine saldırır – Esonya’nın interneti günlerce kesintiye uğramış, bu yüzden de ekonomik kriz Stuxnet/Duqu (2010) – Iran’nın nükleer programına saldırı – Natanz’taki uranyum zenginleştirme merkezine sabotaj Shamoon (2012) – Orta doğudaki petrol ve enerji şirketlerine saldırı – Cutting Sword of Justice ( سيف العدالة القاطع ) politik nedenlerden dolayı olayı üstlenmiştir Jokra (2013) – Güney Kore’deki bankalar ve broadcast şirketlerindeki bilgisayarlara saldırı – Bankalar, ATM ler de etkilenmiştir Risk Analizi 17

CUTTING EDGE 2014 Bir Zavallı Programın Analiz Süreci Risk Analizi 18

Risk Analizi 19 Olası davranış Zararlı ya da normal yazılım? Zararlı program türü Analiz

Risk Analizi 20 Yazılım Analisti Olası davranış Zararlı ya da normal yazılım? Zararlı program türü

Risk Analizi 21 Tam Otomatik Sistem Olası davranış Zararlı ya da normal yazılım? Zararlı program türü

Bilinen bir yazılım mı ?? Yazılımların büyük bir kısmı Tekildir Zararlı yazılımlar sıklıkla polimorfik yöntemlere başvururlar evet hayır Risk Analizi 22

hayır Bilinen bir AV imzası ile uyuşuyor mu? evet hayır Bilinen bir yazılım mı ?? Risk Analizi 23

hayır Statik Analiz Zararlı yazılımların kodları gizleme, şifreleme, kendini değiştirme yöntemleriyle daha karmaşık hale getirilebilir Bilinen bir AV imzası ile uyuşuyor mu? Bilinen bir yazılım mı ?? Risk Analizi 24

hayır Zararlı yazılım Sandbox Yazılımları sınırlı bir zaman süresince çalıştırabiliriz. Yakalanmamak için yalnızca 5 dakika beklemeleri yeterli olabilir. Zararlı yazılımlar Volkswagen gibidir: eğer test altında olduklarını alnlarlarsa, sonuçları değiştirebilirler Peki zararlı yazılım yalnızca kullanıcı Facebook’a gırdiğince çalısırsa? Bilinen bir yazılım mı ?? Bilinen bir AV imzası ile uyuşuyor mu? Risk Analizi 25

hayır Malware Analysis Sandbox Zararlı Yazılım tanımının “Gördüğümüzde biliriz” olarak tanımlanması Hatalı sonuçlara toleransımızın olmaması Adversarial environment Very noisy data Bilinen bir yazılım mı ?? Bilinen bir AV imzası ile uyuşuyor mu? hayır Risk Analizi 26

CUTTING EDGE 2014 Bunlar yalnızca bir yazılımın düzgün analizinin yapılması için gerekli adımlardı… Risk Analizi 27

Veri büyüdükçe zararlı yazılımın yakalanaması zorlaşır! Symantec dünyanın en gelişmiş siber güvenlik verisini hergün analizini yapar – Web Verisi Her gün 600 M web istemleri – Yazılım Yükleme Verisi 50 Milyar farklı yazılım, günde 14 Milyon yazılım 300 M müşteri (şirket/bireysel) Günde toplamda 84 Milyon yazılım yüklemesi – AV/IPS Telemetri Verisi 40 M zararlı yazılım durdurulur 4.5 M farklı zararlı yazılım 15 bin imza ile yakalanır Hergün yalnızca (!) 660bin bilgisayarda zararlı program yakalanır Risk Analizi 28

29 Risk Analizi Global Intelligence Network Identifies more threats, takes action faster & prevents impact Information Protection Preemptive Security Alerts Threat Triggered Actions Global Scope and Scale Worldwide Coverage 24x7 Event Logging Rapid Detection Attack Activity 240,000 sensors 200+ countries Malware Intelligence 133M client, server, gateways monitored Global coverage Vulnerabilities 60,000+ vulnerabilities 19,000 vendors 54,000 products Spam/Phishing 5M decoy accounts 8B+ messages/month 1B+ web requests/day Austin, TX Mountain View, CA Culver City, CA San Francisco, CA Taipei, Taiwan Tokyo, Japan Dublin, Ireland Calgary, Alberta Chengdu, China Chennai, India Pune, India

Siber güvenlikte yeni bir çağ Şimdiye kadar zararlı yazılım yakama sistemleri: – Önleme, Yakalama, Analiz – Bu yöntemlerin çoğu gerçekte kullanılamıyor Eğer siber saldırganların hedef alacağı bilgisayarları önceden tahmin edebilirsek: – Daha karmaşık, pahalı zararlı yazılım yakalama sistemlerini aktive edebiliriz – Daha ayrıntılı veri toplayabiliriz – Güvenlik ayarlarını değiştirebiliriz Risk Analizi 30

Geçmiçini ne kadar iyi bilirsen, geleceğini o kadar iyi tahmin edersin W. Churchill Risk Analizi 31

Siber riski etkileyen etmenler Risk Analizi 32 Hacktivism Criminal Terörizm Devlet Saldırıları Siber Espiyonaj İnsanlar Süreçler Teknoloji Üçüncü Parti Hatalar Bilgi Eksikliği İtibar Varlıklar SaldırılarZayıflıklarRiski etkileyen etmelner

Temiz bir geçmiş sonsuza kadar devam etmez … Risk analizi için temel sorular: – Siber saldırılara mağdur olmuş bilgisayarların gelecekte yeniden saldırıya uğrama olasılığı daha mı yüksektir? – Hiç saldırıya uğramayanlar daha mı güvendedirI? Eğer cevep Evetse: – Saldırıya uğramış insanların riske yatıklık olasılığının nasıl heseplanacağı bellidir – Peki diğerleri? Doğru risk değerlendirme yöntemi için : – Saldırılar ile ilgili bilgiler – Saldırılar ile dolaylı olarak alakalı bilgiler Risk Analizi 33

Güvenlik ekosisteminde en zayıf halka Siber riski arttıran kullanıcılar – Siber saldırılardan bihaber kullanıcılar – Dikkatsiz kullanıcılar – İçimizdeki saldırganlar Risk Analizi 34

How do we do the risk prediction? Risk Analizi 35

Sektörlerin hedefe yönelik saldırılara göre risk sıralaması Risk Analizi 36

Mesleğin Riski Risk Analizi 37

Programlardaki zayıflıklara göre risk analizi Risk Analizi 38

Neden Siber Sigorta? Siber saldırılar dikkate alınmalıdır çünkü kimse güvende değil – Ya saldırıya uğramışsınızdır ya da farkında değilsinizdir Risk ile başaçıkabilmenin en iyi yollarından biri sigortadır – Son yıllarda siber sigortaya istek inanılmaz oranda artmıştır Siber sigorta Pazarı yılda 500% den çok büyümektedir – Pazar büyüklüğü: 8 milyar dolar Bu pazarın büyümesiyle birlikte sistemin ne kadar sorunlu ortaya çıkmıştır – Standardize edilmemiş siber sigorta fiyatları ve sözleşmeleri – Geleneksel risk değerlendirme yöntemleri veri eksikliğinden dolayı yetersizdir Risk Analizi 39

Problem Doğru risk değerlendirmesi için acil istek – Şirketler doğru yatırım ve risk önleme kararları için, risk hesaplamasına ihtiyaç duyarlar – Şimdiki risk değerlendirme yöntemleri abartılı risk hesaplamaları yaparlar Doğru risk analizi zor bir iştir! – Veri eksikliği – Siber ekosisteminin dinamik özellikleri Yeni teknolojiler, yeni saldırılar, yeni trendler, … – Risk etkileyen aktör sayısının fazla oluşu Risk Değerlendirmesi ve Olası Kayıp Analizi Risk Analizi 40

Teşekkürler! Copyright © 201 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Risk Analizi 41