Incident Response Containment Phase

Bir önceki yazımızda Incident Response aşamalarından, Preparation Identification (Analaysis) süreçlerinden bahsetmiştik. Bu yazımızda ise olay anında yapılması gereken müdehale Containment aşamasından, bir diğer değişle saldırganın bulaştığı sisteme etkisini arttırmaması için alnması gereken önlemlerden bahsedeceğiz. Bu aşama bir önceki aşamalardan farklı olarak üç alt başlıktan oluşuyor, Sort Term(Kısa zamanda, ilk anda), Disk Image, Long Term (Uzun zaman veya süreç).

 

Snip20160319_1

Short Term (Stop The Bleeding):

Bu aşamayı saldırganın zarar verdiği veya vermeye çalıştığı sistemde herhangi bir değişiklik yapmadan sadece saldırı durdurma süreci diye adlandırabiliriz. Bir kurum makinasına zararlı bir yazılım bulaştığında, teknik destek ekibinin veya server sistemine bulaştığında ise network & güvenlik ve sistem ekibinin alacağı ilk  aşamada diyebiliriz. Günümüz saldırılarının bir çoğunu analiz ettiğimiz zaman karşımıza çıkan short term yani kanı durdurma  önlemleri;

  • Bilgisayarın data kablosu ile bağlantısını çekmek (Son kullanıcı bilgisayarlarında),
  • Yönetilebilir bir switch mimarisi varsa, bu tür olaylar için bir Vlan oluşturmak( Infected Vlan) bu makinayı veya server’ı bu vlan’a taşıyarak(Broadcast trafik kapalı olmasında fayda var) network üzerindeki başka makinalara erişmesini engellemek (sadece analiz yapacak kişinin erişebileceği şekilde),
  • Web server üzerindeki bir domain’e saldırı geliyorsa, server üzerindeki diğer aktif sitelerin hizmet kesintisi yaşamaması için sadece saldırı alan domain için (“www.gokhanyuceler.com”) aldatma bir Dns kayıtı açılarak saldırganı farklı IP adresine yönlendirilmeli ve atak alan sitenin ana ekran sayfasının resim halini yayınlayabilirsiniz(farklı yöntemler mevcut). Saldırılar domain adına değilde bir IP adresine geliyorsa, honeypot kurarak saldırganı bu alana yönlendirebilir “ blackhole route ” (anormal trafikleri bilinmeyen bir  adrese yönlendirerek trafiği incelemenize olanak sağlar veya kayıt edip daha sonra analiz edebilirsiniz).
  • Firewall ve router üzerinde atak alan sistem için kurallar oluşturmak.
  • ISP ile koordinasyon;  DOS, DDOS, flood , botnet v.b saldırı yöntemlerini durdurmak  için birçok güvenlik sistemine sahipler ve ISP ile koordineli bir şekilde sistemleriniz zarar görmeden ön tarafta bu saldırıları engelleyebilirsiniz. Daha sonra analiz aşaması için atak loglarını kendilerinden temin edebilirsiniz.

Short Term müdehalede bilgisayarı kesinlikle kapatma komutu ile kapatmayın. Disk ve memory  image aldıktan sonra kablosunu direk çekin, laptop ise ya bataryasını çıkartın ya da kapatma tuşuna uzun basın. Bunun nedeni, bilgisayar kapatma komutu aldığı zaman bu süreçte hard disk’e 200’den fazla veri yazar ve daha sonra detaylı inceleme aşamasında analiz edilecek disk alanlarında kayıplara yol açabilir.

Containment aşamasında ilgili sistem kesintiye uğrayabileceği için atak alan sisteme bağlı çalışan birim yöneticileri ile mutlaka koordine olmalısınız.

Bu aşamalardan sonra atak alan server veya son kullanıcı bilgisayarının güven ilişkisi olduğu ve aynı network’de bulunan sistemlerin log’larını incelemeyi unutmayın. Zarar gören veya zaafiyetli olan sadece atak alan makina olmayabilir.

Forensics Image (disk & memory): 

Zarar görmüş veya atak alan sistem üzerindeki disk ve işletim sisteminde analiz aşamasında herhangi bir değişiklik yapmamak için hard disk’in bit-by-bit imajını aldığımız yöntemdir. Forensics imaj aldığınız zaman silinmiş  ve bozuk dosyalarında imajını almış oluyorsunuz. Acronis v.b imaj alma yazılımları, veriyi sıkıştırıp imajını aldığı için disk üzerinde veri kayıplarına neden olur. Forensics imaj alma için ücretsiz olan “dd” tool’u işinizi görecektir.

Donanımsal bir çözüm kullanmak isterseniz ” tableau” TD2U  forensic dublicator tavsiyemiz olur.

Saldırı anında, sonrasında ve etkisini gösterdiği süreçte çalışan uygulamaları kendini memory(ram) yazdığı için memory image analiz aşamasında bizim için çok önem teşkil ediyor. Server veya bilgisayarı kapattığınızda memory üzerindeki veriler kaybolacağı için bu işlemi mutlaka sistemi kapatmadan önce yapmalısınız.

 

Long Term:

Bu süreçte zararlı yazılımdan etkilenmiş sistemde veya exploit edilmiş makinada işletim sistemine müdehale edeceğiniz için veri kaybı olabilir fakat daha önceden aldığınız forensics için imajınız olduğundan tekrar geri dönüş senaryosu yapabilirsiniz. Long Term’de en ideal çözüm, zaafiyetli sistemi off-line tutatarak zararlı yazılımın veya saldırganın etkilerini tamamen silerek (Eradication) back-up senaryosunu uygulamak. Long term müdehale uzun sürebilecek bir aşama olduğu için bazen kritik sistemlerde bunu yapmak imkansız olabiliyor ve böyle bir anda da short term müdehaleden sonra çalışan sistemde alınabilecek long term müdehale senaryosunu kurgulamak gerekecektir.

Günümüz ataklarınını en yaygın kullandığı yöntemleri göz önüne aldığımızda alınacak long term önlemler;

  • ilgili sistemde ve aynı zaafiyet söz konusu olan sistemde veya uygulamalarda güvenlik yamalarını kontrol ederek ilgili güncelleştirmeler yapılmalı. Bazı analizlerde karşımıza çıkan, patching yapılacak sistemin üzerindeki uygulama buna müsade etmeyebiliyor veya sistem uzun süre restart edilmediği için test ortamında bu güncelleme geçilmeden canlı ortamda uygulanamıyor. Bu aşamada şirketinizde ücretli satın aldığınız bir IPS varsa short term aşamasında bunu inline olarak devreye almanız( eğer monitoring mode’da ise) ve zaafiyete göre kuralları aktif etmeniz gerekir. IPS camiasına baktığımda sourcefire başarılı bir çözüm olacaktır. Böyle bir sistem kullanmıyorsanız da Snort  adlı open source IPS/IDS sistemi işinizi çözecektir. Sanal yama mimarisine bir göz atın derim
  • Eğer exploit edilen bir sistem varsa saldırgan yönetici şifrelerini ele geçirmiş olabilir ve ele geçirdiği şifreler ile diğer sistemlere sızabilir. Bunun önüne geçmek adına şifre değişikliğine gitmeniz gerekir. Bu tür bir durumun önüne geçmek için Cyberark gibi Identity Manager sistemleri kullanabilirsizin.
  • Saldırgan sisteminize backdoor  “arka kapı”  açmış olabilir. Böyle bir durumu analiz edip ilgili process’i sonlandırmanız gerekmektedir. (Teknik yazımızda yöntemlerden bahsedeceğiz.)
  • Saldırgan ile sistem arasında bulunan güvenlik katmanlarındaki kuralları inceleyip, zaafiyet analizi yapılmalı.

Unutulmaması gereken bir konu varki bu aşamalar sadece saldırganın etkilerini yani kanamayı durdurma aşamasıdır. Saldırganın izlerinin tamamen silinmesi, bir sonraki yazımız olan “Eradication, Recovery ve Lessons Learned ” aşamasında anlatacağız.

Şirketinize ve kurum politikalarınıza göre bahsettiğimiz bu yöntemler farklılıklar gösterebilir ve birçok yöntemden daha bahsedebiliriz. Amacımız farkındalık oluşturmak olduğu için yazımızı kısa tutuyor ve  elinizin altında olmasını ümit ediyoruz. Bir sonraki Incident Response & Handling phase’ında görüşmek üzere.

Teşekkürler

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

*