Birkaç fikir beyan edebilirim bu konuda. Burda asıl mesele bu tarz şeylerin local area network'e gelmeden network'ümüzün dış sınırı olan outside bacak kısmında bloklanmasıdır. İçeri girdikten sonrası için ise malumunuz belli başlı zafiyetleri kullandıklarından ötürü (misal smb) client ve sunucuların tüm güncellemelerinin eksiksiz yapılması ve elbette antivirus (db'leri güncel) koruması. Bazı hizmetleri kapaması imkansız. Misal zaafiyeti bilinen SMB'yi kapattığınızda bu sefer de file sharing kısımlarında ciddi sorunlar yaşanıyor. Ama en önemli koruma ilk başta dediğim gibi network'ünüzü girmeden yapılacak korumadır.
Dış tarafta yapılacak koruma için ise IPS ve advanced malware protection korumaları gerekiyor. IPS bildiğiniz üzere paket analizi yapıyor. Günümüzde stateful firewall kullanıyoruz. Ben firewall kullanıyorum güvendeyim sözcüğü aslında komik oluyor bazı durumlarda çünkü stateful firewall mantığını bilen bir kimse aslında firewall'un yol geçen hanına döndüğünü de bilir. Kişi içerden dış dünyaya doğru bir istekte bulunduğunda firewall'u geçen paket (tabi yetkisi var ise gideceği sayfaya) ilgili hedefi bulur ve geri döner. İşte stateful firewall burda source ve destination port/ip bilgilerini ters çevirip dinamik bir Access-list oluşturur. Bunun sıkıntısı ise şu. Size gelen paket zararlı bir yazılım bile olsa firewall bunu güvenli sanıp geçirir (protocol analizi gibi temel şeylerden geçirdikten sonra). Size örnek olması açısından AMP modülünün sha256 ile encrypt edilmiş bir zararlı yazılımın Exchange sunucusuna geldiğinde hash tespiti ile raporlandığı ve drop edildiği bir notification göstereceğim. Misal bu tür bir saldırıyı düz firewall yapısı anlayamaz. _____ Zet Farma Lojistik Hizmetleri San.Tic.A.Ş Volkan Kekezoğlu - IT Security (+90-212) 401 47 98 (+90-533) 208 25 74 <mailto:[email protected]> [email protected] From: Liste [mailto:[email protected]] On Behalf Of Selçuk Yusuf TANALTI - Sedna Teknoloji - WL6 Sent: Sunday, October 22, 2017 8:50 PM To: [email protected] Subject: [NetsecTR] CRYPTOLOCKER icin alinabilecek onlemleri iceren bir "to-do-list" onerisi Merhaba arkadaşlar, Cryptolocker ve türevlerinden korunmak amacı ile izlenilmesi gereken yolları içeren "to-do-list" gibi bir doküman mevcut mudur? Mevcut ise paylaşılmasını rica edeceğim. Teşekkürler. Saygılar. Selçuk Yusuf TANALTI MCT, LCSA, NLP Certified 7/24 GSM: +90 552 403 18 32 Tel&Faks: +90 850 302 74 14 <https://www.facebook.com/SednaTeknolojiTelekomunikasyon/> Lütfen bu e-postanın çıktısını almadan önce doğayı düşününüz. Bu e-posta mesaji ve ekleri [email protected] tarafindan sadece gonderildigi kisi veya kuruma ozeldir. Dogru aliciya ulasmamis olmasi halinde, bu mesajin baska bir aliciya yonlendirilmesi, kopyalanmasi veya kullanilmasi yasaktir. ----------------------------------------------------------------------------------------------------------------------------- This e-mail and any attachments transmitted from [email protected] with it are confidential and intended solely for the use of the individual or entity to whom they are addressed. If you are not the intended recipient you are hereby notified that any forwarding, copying or use of the information is prohibited.
------------------------------------------------- Webinar - Yeni Nesil DDOS Saldırıları ve Savunma Yöntemleri https://www.bgasecurity.com/yeni-nesil-ddos-saldirilari-ve-savunma-yontemleri/ -------------------------------------------------
