CRYPTTECH NG Lansman ve Ürünler Yeni Nesil Özellikler

Uzun süredir üzerinde çalıştığımız ve 02 Kasım 2016 tarihinde Baltalimanı Portaxe'da lansmanını yaptığımız yeni nesil ürünlerimizin özelliklerinden bahsedeceğim bu yazıda. Öncelikle bize inanan, bizimle birlikte aynı yolda olan iş ortaklarımıza teşekkür ederek başlayayım.



Ürünlerimizi tasarlarken ve geliştirirken, temelde birkaç prensipten çok fazla uzaklaşamayacağımızın farkındayız. Bu prensipler; esneklik, performans ve kullanım kolaylığı. Bu kavramlardan her birinin geliştirilmesi, diğer ikisinin geliştirilmesine olumsuz yönde etkisi vardır. Sadece esneklik özelliğine ağırlık verirseniz entegre edeceğiniz sistemlerin artmasına, altyapının daha da karmaşıklaşmasına daha zor kullanıma neden olur. Performans odaklı geliştirme yaparsanız, akan verinin analizi, indekslemenin yükü, dağıtık/paralel programlamanın ve teknolojilerinin engelleri sizi esneklikten taviz vermeye zorlayacaktır. Yine; basit, kullanıcı dostu arayüzün arkasındaki zekanın önyüze aktarılması gerekiyor ki bunu geliştirirken kaynak yönetimi, kontrol betiklerinin takibi, entegrasyon yöntemlerinin çokluluğu gibi konularda çok daha fazla zaman ayırmanız anlamına geliyor. Bu nedenle sorunlara optimum ağırlıkta eğilmek gerekiyor.



Ürünlerimizde NG (Next Generation - Yeni Nesil) geçişini bu temel prensipler üzerinde yaptığımız major değişiklikler ile gerçekleştirdik. Bazı ürünlerde önyüzde masaüstü uygulama bağımlılığından kurtulduk. Bu sayede, tamamen web tabanlı yönetim tüm ürünler için mümkün oldu. Servis mimarilerimizi değiştirdik ve veri iletişiminde kullandığımız frameworkler üzerine alternatifler kullandık. Teknoloji alternatiflerinin benchmark testlerini kendi içimizde yaptık, Bu aşağıda ürünlerde bahsedeceğim seçimlerde karar almamızı sağladı. Kullanım kolaylığı için UI ve UX kullanılabilirlik hizmetini şirket içi farklı birimlere yaptırdık. Özellikle teknik olmayan kullanıcıların yönetim panellerindeki davranış analizine önem verdik.

Değişim için ilk adım logolarımızı elden geçirmek oldu. SIEM ürünümüz için, veriler üzerindeki ilişkilendirmeyi anlatmak adına, dünyanın en güçlü ve hızlı tepkisini, milyarlarca nöron arasındaki katrilyonlarca sinaps ile en doğru karar veren beynimizden esinlendik. LOG ürünümüz için, logları en doğru şekilde ayrıştırıp ve şifrelerken süzme mekanizmasını bir huni olarak düşündük. MON ürünümüz gizli bir radar gözü, SPOT ürünümüz ise kablosuz yetkilendiren bir kilit olarak tasarladık.



SIEM ürünümüzü yaklaşık altı senedir geliştiriyoruz ancak bu sınıftaki proje ve yazılımlarının doğasından gelen karmaşıklığı üzerimizden atamamıştık. Projelerde terzi dikim korelasyon kuralları yazmak işi daha da hantallaştırıyordu. Aynı zamanda veri topladıktan sonra ilişkilendirme kuralları kurmak, anormalliğin davranış modelini çıkarmak bazen hiç de kolay olamayabiliyordu. Log kaynağını ekler eklemez ona ait kuralların aktif olması gerekiyordu. Özelleştirme yapılacaksa aktif kural içinden düzenleme yapılabilirdi. Bu konudaki tüm zorluklar yeni nesil sürüm ile giderildi.

Temel konulara baktığımızda 7 farklı özellik çevresinde değişiklikler oldu; MVC WEB Yönetim Paneli, CTI (CRYPTTECH Threat Intelligence - Siber İstihbarat Servisi), VULNERABILITY (Sunucu ya da servisin zafiyet sonucu) verisi, SNORT/IDS ön tanımlı entegrasyonu, SINIFLANDIRMA (Classification), LUCENE indeksleme ve MICROSERVICE mimarisi. Bu özelliklerden güvenlik odaklı olanlar CTI, VULNERABILITY, SNORT hariç log ürünümüz için de geçerlidir. Bu nedenle CRYPTOSIM başlığı altında sadece güvenlik entegrasyonlarına değineceğim.
Siem ürünlerinde ne kadar çok veri toplarsanız o kadar doğru ve hızlı karar verilecektir. Verinin büyüklüğü performansı etkilemeyecek şekilde toplanmalıdır aynı zamanda. Bu nedenle CRYPTOSIM ürünümüzü siber istihbarat servisleri ile entegre ettik. Açık kaynak ve ticari olan bu servisler üzerinden günlük olarak toplanan veriler, uçtaki cihaz/yazılımlarımıza gönderiliyor ve kurallarda aktif olarak kullanılıyor. Aynı zamanda CTI sensörü olarak geliştirdiğimiz siber istihbarat ajanı, Apache/IIS/nginx üzerinden web tabanlı saldırı paternlerini çıkarıp merkezi noktayı beslemektedir.

Entegre ettiğimiz siber istihbarat servisleri ile çalışmaya açık kaynak çözümlerden başladık. Ticari olarak bu servisleri sağlayan üreticiler ile ilerliyoruz. Topladığımız veriler üzerinden; Phishing, Tor Exit Node, Spammer, Suspicious Proxy, Bad Reputation BTC Node, Crawler, MassScanner, Malware Distribution türünde IP, domain, url, dosya kontrollerini yapabiliyoruz. Korelasyon kurallarında bu türde istihbarat verileri içinden filtrelemeler kullanılabilmektedir.

Anormallik tespitlerini yaparken sunucu/uygulama güvenliğini, bulundurduğu zafiyetleri de göz önünde bulundurmak gerekmektedir. Kritik/Yüksek/Uyarı seviyede açıklık içeren sunucu bilgilerini içeren verilerin analizinde zafiyet detayları önem arz etmektedir. Bu sebeple kural önceliklendirmeleri ve risk değerlendirmelerinde otomatik taranan zafiyet sonuçları kullanılmaktadır. Zafiyet taramalarını otomatikleştirmek güncel açıklıklar için önemlidir. Bu sonuçları referans tablosuna alıp gerekli şartlar verilebilmektedir. Otomatik taramalar için UNITMON gibi diğer Vulnerability Scanners ürünleri de kullanılabilmektedir.



SIEM projelerinin en büyük bileşenlerinden birisi de IDS/IPS (Intrusion Detection System / Intrusion Prevention System) lerdir. Genelde Firewall/UTM üzerinde modül olarak çalışmaktadır. Bu sistemlerden gelen verileri de SIEM ürününü beslemek için kullanmakta fayda vardır. Ancak ZeroTrust algısına göre sadece iç-dış, dış-iç erişimler değil iç-iç erişimlerde geçen anormalliklerin de izlenmesi gerekir. Ağ analizi mirror/span port üzerinden ya da TAP cihazı ile çoğullanarak yapılabilir. CRYPTOSIM ile artık bu analizler çok hızlı ve kolay şekilde yapılabilmekte, projede SNORT da konumlandırılarak yapılandırılabilmektedir.



Log yönetim ürünümüzde, artık log kaynağı eklemek çok daha kolay hale geldi. Yeni bir log entegrasyonu yapılırken, ön tanımlı paketler sayesinde sınıflandırma, çok kullanılan sorgular, raporlar otomatik olarak gelmektedir. WEB arabirim sayesinde masaüstü uygulama bağımlılığı ortadan kalktı. Sınıflandırma verileri her bir log kaynağı için CRYPTTECH mühendisleri tarafından çalışılarak doldurulmaktadır. Sınıflandırmada 5 farklı seviyede olayları bir gruba alabilirsiniz. Sınıflandırma ağacına göre rapor ve şartlar verilebilmektedir.

Sınııflandırma verileri indeks üzerinden gelmektedir. İndeksi Lucene üzerine günlük, aylık rotasyonlar olarak, kaynak bazlı ayrıştırılan her kolon ya da tüm satır için yapabilmekte... İndeks demek daha hızlı sorgu ve daha fazla disk alanı demek aslında. Bu nedenle tam metin indeksleme her kaynak için ön tanımlı olarak aktif değildir. Kaynaklarda en çok kullanılabilecek alanlar varsayılan indeks kolonu olarak seçili gelmektedir. Bu parametrelerin hepsi ürün bazında özelleştirilebilmektedir.




IP'lerin lokasyon bilgileri de CryptoLOG haritalar ile birlikte dağılımları ve yönleriyle birlikte gösterilebilmektedir. GEOLOCATION veritabanı otomatik güncellemeler açık ise yenilenmektedir.



Microservis mimarisine göre toplama, ayrıştırma, imzalama, arama, yönetim, raporlama, indeksleme, arşivleme, istatistik servisleri ayrıştırılabilmekte ve dağıtık çalıştırılabilmektedir.




CryptoSPOT ürünümüzde yaptığımız önyüz geliştirmesi kolay kullanıma yönelik oldu. Yine responsive tasarım, yönetici raporları göz önünde bulunduruldu. Ağ geçidi olarak çalışması ve üretici bağımsız trafik yetkilendirilmesi yapıldığı için URLFILTER özelliği getirildi. Aynı zamanda Anket ve Kampanya yönetimi eklendi. Bu sayede kolayca, karşılama sayfasında kendinize özel soru ve reklamları yayımlayabilirsiniz.

Yönetim panelinin, anlık kullanım ile alakalı genel bilgi vermesine önem verdik. Hotspot kullanıcı yetkilendirme yöntemlerini artırdık. Sosyal medya entegrasyonlarında demografik bilgiler anonimleştirilerek istatistik analizi verilebilmektedir. SMS/PMS servislerinin sayısı artırıldı.





Karşılama sayfalarının tasarımı üzerine minor değişiklikler yapıldı.



Uzun süredir üzerine çalıştığımız 2016 Mart ayında lansmanını yaptığımız UNITMON ürünümüzün yeni özelliklerini de NG tanıtımında duyurduk. Güvenlik özelliklerine odaklandığımız son dönemde bir çok yeni kontrol kattık. 

Oltalama (Phishing) servisi sayesinde size ait alan adlarına benzer domainler açıldığında, benzerlik oranlarıyla birlikte bildirilmektedir. Genel geçer herkesi ilgilendiren oltalama adreslerini http://blog.crypttech.com/p/phishing-domains.html adresinden duyuruyoruz.



Oltalama adreslerini veren birçok servis ihbar/istihbarat yöntemleri ile toplamaktadır. Buradaki istihbarat servisleri birçok siteyi kaçırabilmekte. İsim benzerliği olmayan oltalama adreslerinin yayılma ihtimali düşüktür ancak yine de başarılı olabilmektedir. Bu nedenle bu servislerden gelen url içerikleri de analiz edilmektedir.

Tarama araçlarının otomatize edilmesi ve tarama sonuçlarının aktarılması ve bunları farklı görevdeki sunucularda yapılması, zafiyet izleme açısından önemlidir. Web ve Ağ tarafına odaklı tarama araçlarını büyük ölçekteki IP aralığı ve domain listesi üzerinden çalıştırmak UNITMON'un temel özelliklerinden biridir. Tarama sonuçları arası ilişki kurmak, normalize etmek gerekir. Bu yüzden sürekli yeni zafiyet tarama araçları eklenmektedir. Bu zamana kadar Nessus, Acunetix, Nexpose, Netsparker, Arachni, OpenVAS, w3af desteklenmektedir. Nessus, Acunetix, Nexpose için API, client entegrasyonları yapılabildiği için tarama planları, politikalar oluşturulabilmektedir. Deneme, Ticari versiyonları kullanılabilmektedir.




Bu taramalar sonuçlarında geçmişe yönelik dağılımlar kolaylıkla kontrol edilebilmektedir.



UNITMON üzerinde IP Karaliste, Sızan Data içinde kontrol ve analizler de yapılabilmektedir. Aynı zamanda SSL/Domain geçerlilik ve değişiklik durumları, DNS sorgu sonuç kontrolleri izlenebilmektedir. İçerik izleme özelliği sayesinde HTTP, SQL, WMI, SSH sonuçları da analiz edilebilmektedir.




Bulutta doğrulama SaaS modelimiz Wirofy.com üzerinden üretici bağımlı hotspot hizmetimizi de lansmana özel duyurduk. UTM, Firewall ve AccessPoint, Wireless Router üzerinden harici kullanıcı doğrulama servisler ile entegre olabilen, uygun maliyetli çözüm olan Wirofy ddWrt/openWrt gömülü cihazlar ile bile çalışabilmektedir. Aruba, Cisco, Fortigate, Sonicwall, Zyxel, Tplink, AeroHive, Pepwave, Mikrotik, Meraki entegrasyonları yapılabilmektedir. 


CEA - CRYPTTECH Encryption Algorithm

CEA, karıştırma, metin genişletme, blok yerleştirme gibi, şifreleme işleminin en üstün tekniklerini aynı anda ve art arda büyük bir yetkinlikle uygulayarak, her türlü atağa karşı tam bir koruma sağlar. Entropi değeri çok yüksek olan şifreli metinde;


  • Herhangi bir tekrar bloğu bulunamayacağı için istatistik analiz;
  • Şifrelenen metin ve kullanılan anahtar aynı olsa dahi her şifrelemenin farklı bir sonuç döndürmesi nedeniyle parçalı çözüm;
  • Şifreli ve şifresiz metinler arasında ne boyut ne de başka bir anlamda bir eşleşme olması sebebiyle geri döndürme yöntemi olmak üzere, şifreli bir metne karşı kullanılabilecek olan üç saldırı yöntemi de herhangi bir sonuç vermez.


256 bit CEA, saniyede 1 trilyon anahtar deneyebilen bir sistemde dahi kırılabilme süresi 1058 yıl kadardır ve bu, evrenin, sadece yaşından veya kalan zamanından değil, hesaplanan tüm ömründen bile uzun bir süredir.


Algoritmanın en büyük üstünlüğü, herhangi bir otorite tarafından kontrol edilebilir olmamasıdır.


CT-Zer0

Yine lansmanımızda duyurduğumuz gönüllü bir topluluk olan CT-Zer0 ekibi'nin yaptığı çalıuşmalardan ve yol haritasından bahsettik. CT-Zer0 takımı'na güvenlik konusunda çalışan arkadaşları davet ettik. Görevimiz;
  • Sıfırıncı gün (Zero Day) açıklıkları bulmak
  • Exploit, açıklıkları sömürecek kodlar geliştirmek
  • Malware analizi, tersine mühendislik yapmak
  • Bug Bounty (Ödül avcılığı) programlarına katılmak
  • CTF yarışmaları düzenlemek ve katılmak

CT-Zer0 çalışmalarını www.ct-zer0.com adresinden takip edebilirsiniz. Takıma katılmak için ct-zer0[-at-]crypttech.com adresine bulduğunuz açıklıkların özetini göndermenizi rica ederiz.


CRYPTTECH olarak geliştirdiğimiz ürünler ve verdiğimiz hizmetleri sürekli geliştiriyor, yenilikçi fikirlerimizi projelerimize aktarmaya çalışıyoruz.



Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

ARP Poisoning ile Browser Exploitation - MITMf + BeEF + Metasploit