Olay yönetiminin nasıl yapılması gerektiğinin anlatmaya yönelik bir yazıdır. Konunun ele alınması için DDOS Atak örneği kullanılmıştır.
Aşağıdaki yazıda kullanılan kişi ve kurum isimleri hayali yaşanan olay ise gerçektir.
Yaşaşan saldırıya asıl hedef olan X Bankasıdır. Ancak Y bankası ve diğer bankalar amplifikasyonun yapılması için zıplama noktası olarak kullanılmıştır.
2019 yılı Ekim ayında Türkiye'deki bankaları ve bu bankalar üzerinden de X Bankasını hedef alan DDOS atak sonucunda bazı bankaların servislerinde kısa
süreli kesintiler X Bankasında da uzun süreli kesinti meydana gelmiştir. Ancak asıl hedefin X Bankası olduğu bu saldırıda zıplama noktası olarak kullanılan Y Bankası az oranda etkilenmiştir ve ilgili ekipler hızlıca bir
araya gelerek olay anında değerlendirme ve aksiyonlarda bulunmuştur.
Atak tipi itibariyle Amplifikasyon
(Amplification) ve Yansıtıcı(Reflector) ataktır. Bu atakta amaç genellikle bant
genişliğini doldurmaya yöneliktir. Atak alt tipi DNS Amplifikasyon/Reflector olarak
sınıflandırılmaktadır. Saldırgan kendisini gizleyerek ve mevcut tahribat gücünü
yükselterek hedefte kesinti amaçlamaktadır.
DNS
(Domain Name System) isim çözme amacıyla kullanılan ve evrensel olarak UDP/TCP
53 portunu kullanan, 7.katmanda çalışan bir servistir. Amacı kendisine sorgu
olarak gönderilen alan adı, sistem adı vb. isteklere IP Adres çözümlemesi
yaparak yanıt vermektir. Örnek vermek gerekirse www.youtube.com
adresine erişmek için tarayıcınızın ilgili kısmına siteyi yapıştırdınız. Kullanmış
olduğunuz bilgisayar ilk olarak hangi DNS IP Adresini kullandığınıza kontrole
eder. 
Sorguya DNS Sunucusundan verilen yanıt aşağıdaki
gibidir.
DNS isteğinin boyutunu 24 byte olarak kabul edilebilir.
DNS yanıtı ise ortalama olarak 150 byte olarak kabul edilebilir. Bu bilgi
ışığında eğer bir DNS Sunucusuna www.youtube.com
adresini sormak için sunucuya giriş yönünde (download/receive) 24 byte boyutunda
bir trfaik oluşur. Sunucu bu DNS sorgusunun geldiği kaynak IP Adresine ise 150
Byte’lık bir yanıt dönecektir. Bu durumda ise sunucudan çıkış yönünde
(upload/transceive) 150 Byte’lık bir trafik oluşacaktır. Yani her sorgu,
sorgunun katlarcası boyutta upload trafiği oluşturmaktadır.
DNS Amplifikasyon atak şu şekilde çalışır. İlk olarak
bir public bir DNS sunucu tespit edilir. Bu DNS sunucuya sürekli olarak DNS
istekleri gönderilir. Ancak gönderilen DNS istek paketlerinin kaynak IP adresi
sorguyu atan kaynak değilde hedef alınan sistemlerdir. Sonuç olarak istekler
DNS sunuya gönderilir ancak DNS sunucu yanıtları hedefe gönderecektir. Aynı
anda atılan 1000 sorgu 100000x24 byte = 2400000 byte lık bir trafik
oluşturuyor. DNS sunucu bu sorgulara ise 100000x150=15000000 byte’lı bir yanıt
üreterek paket kaynak IP Adresine yönlendiriyor. Hedef alınan sitem için
üretilen trafik bant genişliği olarak değerlendirilirse 8x150=120000 Kbps bir
trafikten bahsedilebilir.Bu da 120 Mbps bir trafiktir. Aynı anda 100000 sorgu
sürekli devam ederse orta ölçekli çoğu
şirkette hizmet kesintisi yaşanabileceği sonucunu çıkarabiliriz.
27 Ekim saldırıları da bu şekilde gerçekleştirilmiştir. X Bankası dışında diğer bankalar hedef alınan değil yükseltilmenin(zıplamamnın) gerçekleşmesi için kullanılmıştır. Diğer bankaların (Y Bankasının da dahil olduğu diğer bankalar) DNS
Sunucuları kullanılarak, bu sunucular üzerinden asıl hedef olan X Bankasına saldırı gerçekleşmiştir.. Ancak gelen istekler o kadar
yüksektir ki asıl hedef olan X Bankası dışındaki bankaların bant genişliği ve DNS sunucu servisleri olumsuz etkilemiştir.
Y Bankasının Bilgi Güvenliği olay yönetim aşamaları ile saldırıyı ele
alacak olursak,
Olay Tespiti: Nöbetçi izleme ekibi Servis sağlayıcıdan
alınan DDOS hizmeti sebebiyle otomatik alarm maili üzerine Y Bankası IT Güvenlik ekiplerine bilgi
vermiştir. SIEM’i log kayıtları olarak besleyen Yük Dengeleyicinin (Load
Balancer) üretmiş olduğu loglar kabul edilen eşik değer üstü olması sebebiyle
SIEM ürünü tarafından da tespit yapılmıştır. Çift kontrol sonucu olay tespiti
kesinleşmiştir. DDoS atak yaşanmaktadır.
Olay Tespiti sonrası hedef sistem tespiti için loglar
ayrıntılı olarak incelenmiştir. DNS sunucuya yapılan çok fazla istek söz konusu
ve bu istekleri sebebi ile DNS Sunucunun kullanmış olduğu altyapılarda yoğunluk
söz konusudur.
DNS Sunucu sebebiyle birden fazla sistem etkilenmekte ve
DNS Sunucu legal isteklere de zaman zaman yanıt verememektedir.
Olay Yanıtı: Servis sağlayıcıya bilgi verilmiş ve bilgi
talep edilmiştir. IT Güvenlik ekibinin kararı doğrultusunda DNS sunucu IP
adreslerinin koruma eşik değer azaltımı için Servis Sağlayıcıdan sağlanan DDOS hizmeti için konfigürasyon yapılmasını istenmiştir.
Gelen isteklerin yurtdışı kaynaklı olması sebebiyle
yurtdışı ağ trafiği yük dengeleyici üzerinde engellenmiştir ve servis
sağlayıcıya ikinci konfigürasyon talebi olarak da iletilmiştir.
Yük dengeleyici üzerinde session limit ayarları daha da
düşürülmüştür. Bu olay yanıtları sonrası sistem normale dönmüştür.
Olay Analizi: Olay analizi sırasında saldırının kök
nedeni tespit edilmiştir. Y Bankası üzerinden hedef alınan bir başka banka asıl
hedeftir. Bu tespit DNS paket kaynak IP adreslerinin bir bloğa ait olması
üzerine yapılan araştırma sonucu yapılmıştır. Hızlıca Y Kurumu güvenlik
duvarlarında politika tanımlanmıştır: "Kaynak ve hedef IP adresi hedef alınan banka bloklarına ait ise
engelle"
Olay Raporlama: Yaşanan olay sonrası küçük kesintilerin
olması ve başka kurumu hedeflemesi sebebiyle birden fazla raporlama
yapılmıştır. İlk olarak kurum içi olay raporu tutulmuştur.
Ancak hedef alınan başka bir sistem olması sebebiyle X Bankası güvenlik ekiplerine bilgi verilmiştir. X Bankası konunun bilgisi dahilinde
olduğunu belirtmiştir.
Y Bankasının bağlı olduğu yasal otoritelere (BDDK vb.)
rapor hazırlanarak paylaşılmıştır.
İyileştirme: Kurum bünyesinde lokal olarak
konumlandırılmış bir DDOS koruma ürünü olmaması sebebiyle bu konuda bir risk
değerlendirme çalışması yapılmıştır. Değerlendirme sonucunda grup şirketleri
dış altyapı sistemlerinin birleştirilmesi kararı ve ortak bir koruma cihazı ile
korunması amaçlanmıştır.
Y Bankası Olay yönetim prosedüründe yer alan, yaşanan bilgi
güvenlik olaylarına göre yanıtları ile ilgili kısım aşağıdaki gibidir.
DDOS atak aksiyonları:
a-) Atağın gerçekleştiği sistem
tespit edilmelidir.
b-) Atağın banka üzerinden başka bir kurumu
hedef alıp almadığı tespit edilmelidir.
c-) Başka kurumu hedef alan bir atak ise, hedef
alınan kuruma ait IP adreslerine erişimin engellenmesi için kural yazılmalıdır.
d-) Atağın başka bir kuruma ait IP adres/adreslerinden
geldiği gözlemlenirse ilgili kurum IP adresleri engellenmeli ve kuruma bilgi
verilerek önlem alması sağlanmalıdır. Bu durum yükseltme(Amplification)
ataklarda söz konusudur.
e-) Web servislerini hedef alan bir atak ise
hizmet alınan servis sağlayıcıya bilgi verilerek sistem eşik değerleri
düşürülmelidir.
f-) Web servislerini hedef alan atak için
servis sağlayıcının sistem eşik değer düşürmesi sonrası atak kesintiye
sebebiyet vermeye devam ediyorsa, banka atak koruma sistemlerinin de eşik
değerleri düşürülmelidir.
f-) Bant genişliğini hedef alan bir atak ise
servis sağlayıcıya bilgi verilerek eşik değerleri düşürmesi sağlanmalıdır.
g-) Yurtdışı kaynaklı ve engellenemeyen bir
atak ile karşı kaşıya kalındığı durumda servis sağlayıcıdan yurtdışı erişimlerini
engellemesi için kural yazılması talep edilmelidir.
h-) Banka içerisinden dış bir hedefe doğru
gerçekleştirilen atak tespiti yapılması durumunda atağı gerçekleştiren (zombie)
makine tespiti yapılarak karantinaya alınmalıdır. Daha sonra Bilgi Güvenliği
ekibi ilgili sistem analiz işlemlerini gerçekleştirmelidir.
