Hocam Selam…!
Bu yazımda sizlere son günlerde çokca dillerde ve revaşta olan Threat Intelligence kavramı ve firewall ürünlerini buralardan nasıl besleyebileceğimizi anlatmaya çalışacağım. Şimdiden herkese keyifli okumalar dilerim
Threat Intelligence Nedir?
Tehdit istihbarat kavramı, şirketleri maruz kladığı yada kalabileceği bilişim envanterlerinize karşı zararlı yazılmlarla oluşturulmuş tehdit alanları şeklinde özetleyebilirim. Threat Intelligence yani CTI kavramları son dönemler önemi artan bir konu haline gelmiştir. Kişisel olarak yorumladığımda bunu dünya ülkelerinin istihbarat servislerinin alanındaki güçlülüğünü örneklendirebilirim.
Geleneksel ülkemizde kesin bizi izliyolar denilen Rusyanın KGB si, Israilin Mossad, Holloywad etkili İngilizlerin MI6 ve ABD nin FBI CIA sı, ülkemizin Milli Istihbarat Teşkilatı gibi örnekleri çoğaltabiliriz. Nasıl İstahbarat servisleri güçlü olan ülkeler diğerlerine göre birkaç adım önde olduğunu görebiliyorsak Siber dünyada da aynı durum geçerlidir. Bir siber saldırının önceden bilgisine ulaşmak günümüzde en değerli bilgilerden birisidir. Firewall, AV, EDR, SIEM, SOAR, XDR… gibi büyük maaliyetli ürünlerin beslenmesi şirketlerin yatırımlarında da büyük önem arz ettiğini söylemek isterim.
Son yıllarda değeri artan SOC hizmetleri(her nekadar kimse memnun olmasada 😀 ) , ücretli CTI yazılımları bu durumların ne kadar ileri seviyede değerlerlendiğini göstermektedir. Firewall ürünlerine USOM engellemesi yapıldıktan sonra https inscpection kullanılmayan, proxy based bir mimariye sahip değilseniz kusura bakılmazsa alınan UTM, NGTX (AV,IPS,Anti-bot…..) lisanslarının hiç bir işe yaramadığını boştan yere para verildiğini üzülerek söylemeliyim.
Görüşlerimi bildirdiğime göre amme hizmeti olarak CheckPoint-Fortigate-Paloalto marka ürünlerde IOC feedler ile nasıl beslerizi sizlerle paylaşmak isterim. Checkpointte buna External IOC, Fortigate external Fabric, Paloalto da ise Dynamic Object ile gerçekleştiriyor olacağız.
ping101.com sitemizde de tamamen ücretsiz paylaştığımız zararlı IP,Domain, hash bilgilerini örnek olarak sizlerde bağlayabilirsiniz. https://ping101.com.tr/ioc-feed/
CheckPoint Firewallda IOC Feed Nasıl yapılır?
1- Öncelikle NGTX de Anti-Virus blade açık olması gereklidir, bunun zaten olduğunu var sayıyorum
2- Security Polices sekmesinden Custom Policy Tool ve Indicators sekmesine geliyoruz.
3- Burda New indicators diyerek, besleyeceğimiz URL yazabiliyoruz. Custom Feed sekmesinden IP,MD5,SHA,Domain.. gibi ne besleyeceksek seçmemiz gereklidir. Sonrasında bloklama için Prevent seçerek OK liyoruz.
*Policy basmasyı unutmuyoruz ( Bu sırada çay-kahve- sigara molsıa verebilirsiniz 😀 CP gönül vermişler anladı)
4-Sonrasında loglardan beslendiğini görebilirsiniz. Artık buradan gelcek zararlılar bloklanmaya başlayacaktır.
Fortigate Firewalllarda External Fabric Nasıl Yapılır?
- Fortigate IOC bağlanması rahat bir yapısı var zaten bununla ilgili çokçada yazı var. Securtiy Fabric üzerinden external fabric diyerek ilgili URL ekliyoruz.
***** Burda önemli olan konulardan birisi Fortigate üzerinde SSL-Inspection açmayıp Proxy mode kullanmadığınız sürece UTM lisansı almanıza gerek yok diyebilirim. Boşa güvenlik yapıldığını sanıp lisans almanıza hiç gerek yok.
IOC Feed çekebildiğini kontrol edebiliriz.
IP bloklamak için Firewall kuralı yazıyoruz.
URL bloklamak için Securtiy Profillerden Web-Filter içerisinde bloklama yapıyoruz
Malware Hash bloklamak için
Palo Altoda Dynamic Object Lists Nasıl Oluşturulur?
Palo amcamla yine IOC ile rahat entegre yapıp policy ekleyip engellemeleriniz yapabilirsiniz.
1-Öncelikle Object altında External Dynamic List üzerinden IOC bağlıyoruz. Type kısmından IP,URL,Domain engelleyebiliriz.
List ksımından IP lerin geldiğini görebilirsiniz.
Firewall kurallarında en üste obje eklyerek any any drop kuralnı yazabiliriz. Any zone dan internete çıkarken yazabilirsiniz.
Buraya kadar okuduğunuz için teşekkür ederim. Umarım yararlı olmuştur.
**Extra: Burayı kullanma alışkanlığı diğer Feed besleyen yerlerinizinde entegrasyon yapmınız için önemlidir. Siber istihbarat servisiniz üzerinde yeni çıkmış bir zararlı hash,IP ,domainleri buralara otomatik ekleyerek, güvenlik seviyenizi bir kat daha artırabilirsiniz.
Herkese kesintisiz günler dilerim..