Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı

Siber Güvenlik Dünyasında Açık Kaynak Tehdit İstihbaratı

Kavramı

Konuşmacı Hakkında

Çağrı ErsenBilgiO A.Ş

Kurucu Ortak / Eğitmen / Konuşmacıhttp://www.bilgio.com

Twitter ⇒ @CagriErsenhttp://www.syslogs.org

AmaçBu seminer siber güvenlik ve siber savunma ile ilgili güncel bir problemin çözülmesinde görece yeni, paylaşımcı ve proaktif bir yaklaşım getiren “Threat Intelligence (Tehdit İstihbaratı)” kavramının:

- Ne olduğuna,- Neden gerektiğine,- ve “Açık Kaynak Kod” uygulamalar ile nasıl hayata geçirilebileceğine

değinmektedir.

Ajanda● Problemin tanımlanması● Kavramsal olarak “Threat Intelligence”● Açık Kaynak Kod ekosistemindeki yeri.● Bir uygulama!

Problem ?IT altyapılarının gün geçtikte daha kompleks bir hal alması, bu altyapılarca üretilen veri miktarının da sürekli artmasına ve daha dinamik bir şekil almasına neden olmaktadır.

Her geçen gün daha hızlı, daha çeşitli ve daha yoğun olarak üretilebilen bu “veri”, doğru orantılı “transfer” gereksinimleri nedeniyle ağ trafiğinin de gittikçe daha yoğunlaşması/hızlanması sonucunu doğurmaktadır.

Problem ?Özetle;

- Herşeyin daha çok, yoğun ve çeşitli olması operasyonel yönetim anlamında başlı başına bir problemken ( Örn: Patch Management )

- Odağında bu altyapıları güvenli tutmak ve siber saldırılara karşı savunmak olan güvenlikçiler için bu “kalabalığın ve gürültünün” yol açtığı problem daha içinden çıkılmaz bir hal almaktadır.

Problem ?Bu complexity, istatistiklere de yansıdığı üzere siber güvenlik ihlallerinin bırakın önüne geçilmesini, olduktan sonra tespit edilebilmesini bile oldukça zorlaştırmaktadır.

Problem ?Eşgalini bilseniz dahi, böyle bir kalabalıkta bir hırsızı tespit edebilir misiniz ?

Ya da kaç güvenlik personeli gerekir ?

Threat Intelligence

Kurum içi insan kaynağı ile çözülemediği defalarca ispatlanmış bu problemin adreslenmesine yardımcı olmak ve proaktivite sağlamak üzere henüz olgunlaşma sürecindeki bir kavram:

“Threat Intelligence”

Threat Intelligence

“The set of data collected, assessed and applied regarding security threats, threat actors, exploits, malware, vulnerabilities and compromise indicators.”

SANS Institute

Threat Intelligence● Daha önce bilinen kötücül aktivite bilgilerinin paylaşımı:

○ Ip adres○ Domain○ URL○ File Hash

● Henüz olgunlaşma sürecinde,

● 2018 itibari ile 1.5 Milyar dolarlık bir pazar payı öngörülüyor,

Threat IntelligencePaylaşıma dayalı olduğundan dolayı bir çok Open Source Feed’e ulaşmak mümkündür:

- abuse.ch- alienvault.com- badips.com- osint.bambenekconsulting.com- binarydefense.com- blocklist.de- dshield.org- hosts-file.net- isc.sans.edu

Threat Intelligence

● Threat Intelligence feed’lerinden sağlanan bilgi ile network aktivitesinde daha önceden malicious aktivitede kullanılmış atak vektorleri henüz zarara neden olmadan tespit edilerek önlem alınabilir.

● Bu anlamda proaktif bir bakış açısı sağlar.

Threat Intelligence

● Bu bakış, bir anlamda “topluluk” anlayışına dayalı olduğundan dolayı feed çeşitliliği günden güne artmaktadır.

● Bir çok büyük firma kendi Threat Intelligence servisini hayata geçirip kamuya mal etmektedir. ( Bkz: IBM X Force )

Threat Intelligence● Aynı şekilde siz de kendi networkünüzde meydana gelen

malicious aktivite ile ilgili paylaşımda bulunabilirsiniz.

○ Blockladığınız IP adresleri○ Malware file hash değerleri ( Örn: Cryptolocker )○ Zararlı içerik yayını yapan URL’ler, Domain’ler.

● En basit indicator paylaşım şekli ⇒ githubhttps://raw.githubusercontent.com/firehol/blocklist-ipsets/master/cruzit_web_attacks.ipset

Açık Kaynak Threat Intelligence

Threat Intelligence amaçlı kullanmak üzere bir çok Open Source Proje bulunuyor.

Pasif network sniffing ile indicator tespiti için en iyi set:

● Suricata + ET Rule Set

Açık Kaynak Threat Intelligencehttps://rules.emergingthreats.net/open/snort-2.9.0/rules/emerging-compromised.rules

alert tcp

[1.234.27.16,1.34.253.152,1.52.59.143,1.53.4.104,1.9.139.32,1.9.79.191,1.9.79.193,101.100.181.2

44,101.100.181.97,101.200.206.134,101.254.141.27,101.99.31.23,101.99.31.32,103.1.29.157,103

.12.117.42,103.18.1.81,103.19.252.10,103.206.22.48,103.24.244.49,103.243.107.25,103.248.157.

55,103.254.97.27,103.27.236.246,103.31.250.153,103.4.199.230,103.47.136.21,103.54.249.235,1

03.54.250.106,103.54.250.95,104.131.116.227] any -> $HOME_NET any (msg:"ET COMPROMISED

Known Compromised or Hostile Host Traffic TCP group 1"; flags:S; reference:url,doc.

emergingthreats.net/bin/view/Main/CompromisedHosts; threshold: type limit, track by_src,

seconds 60, count 1; classtype:misc-attack; flowbits:set,ET.Evil; flowbits:set,ET.CompIP; sid:

2500000; rev:3918;)

Açık Kaynak Threat Intelligence● Suricata kullanarak file extraction yapabilir, networkte dolaşan

dosyaların md5 hash değerlerini toplayabilirsiniz.

● Daha sonra bu hash değerlerini herhangi bir intel feed’de sorgulayabilirsiniz.

Açık Kaynak Threat Intelligence - file-store: enabled: no # set to yes to enable log-dir: files # directory to store the files force-magic: yes # force logging magic on all stored files force-md5: yes # force logging of md5 checksums

- file-log: enabled: yes filename: files-json.log append: yes force-magic: yes # force logging magic on all logged files force-md5: yes # force logging of md5 checksums

Açık Kaynak Threat Intelligence{"dp": 52238, "dstip": "1.1.1.1", "Filename": "/en/US/prod/collateral/routers/ps5854/product_data_sheet0900aecd80169b0a.pdf", "http_host": "www.cisco.com", "http_referer": "<unknown>", "http_uri":"/en/US/prod/collateral/routers/ps5854/product_data_sheet0900aecd80169b0a.pdf", "http_user_agent": "Wget/1.12 (linux-gnu)", "ipver": 4, "magic": "HTML document text", "md5": "dfb6f24e909b67150f19d0f0cbf0331d", "protocol": 6, "size": 334, "sp": 80, "srcip": "3.3.3.3", "state": "CLOSED", "stored": false, "timestamp": "03/26/2016-00:51:49.390949"}

Açık Kaynak Threat Intelligence

$ whois -h hash.cymru.com cd1d82d0a86dbc74d6b94d98bd85e574[Querying hash.cymru.com]

[hash.cymru.com]cd1d82d0a86dbc74d6b94d98bd85e574 1457776684 62

Bir Uygulama#!/bin/bashPATH=/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin

myhashes=$(while read line; do echo ${line} | python -mjson.tool \|egrep '"md5": ' |awk '{print $2}' |tr -d ',|"'; done < \ /var/log/suricata-eth0/files-json.log |sort -u)

for i in $myhashes; dowhois -h hash.cymru.com $i ; sleep 2

done

Teşekkürler