McAfee Inc. Akademik Bilişim Şubat 2006

1. McAfee Inc.Akademik Bilişim Şubat 2006 Armağan ZaloğluÜlke Müdürü

2. İçerik • McAfee AVERT Risk Değerlendirme Kriterleri • 2005’de Yaşananlar / 2006 Yılı Öngörüleri • Güvenlik Teknolojilerinin Gelişim Trendleri • McAfee Ürün Portfoyü Confidential

3. McAfee – Kurumsal Bilgiler • Tek işi güvenlik olan en büyük şirket • 2005 satışları > + 1 Milyar $ • Piyasa değeri 4.7 milyar $ • Çalışan sayısı –2,880 • 100 ülkede müşteri portfoyü • 750 kişilik destek ekibi • McAfee Araştırma Merkezi [AVERT™] • Global ölçekte konumlanmış 16 farklı ofiste, tehditler, açıklar ve zararlı kodlar üzerine yoğunlaşmış 100 çalışan • Yenilikçi ekip, yenilikçi çözümler • McAfee IPS– Kurumsal pazar lideri, AV ve IPS’i entegre eden ilk firma • McAfee Açık Yönetimi- Kurumsal pazar lideri • McAfee Mobile-En vizyoner şirket Confidential

4. BBC’de Haber • http://news.bbc.co.uk/1/hi/education/4688696.stm • Internet Güvenliği Ders Müfredatına Alınmalı • Lancashire Üniversite’si tarafından yayınlanan bir makale güvenli internet kullanımı konusunun mutlaka ders müfredatına alınması gerektiğini belirtmiştir. Confidential

5. “Milli” Hacking Confidential

6. McAfee AVERT Virüs Risk Derecelendirme Kriterleri http://vil.nai.com 3 Temel Kriter • 1- Yaygınlık - Virüs ne kadar yaygın? • 2- İçeriğin zarar potansiyeli. • 3- Hedef alınan ve giriş noktası (noktaları) olarak kullanılan platformun (platformların) yaygınlığı. Confidential

7. Kriter 1- Yaygınlık - Virüs Ne Kadar Yaygın? • Çok yaygın – 4 saat içinde en az 20 vaka. • Yaygın – 1 gün içinde en az 20 vaka. • Az yaygın – 2/3 günlük zaman diliminde yaklaşık 20 vaka. • Yaygın değil – Virüs AVERT tarafından biliniyor ama dışarıda görülmedi. Confidential

8. Kriter 2 - İçerik Ne Kadar Tehlikeli ? • Tahmin Edilemeyen Boyutta Zarar : Gizli bilgiler dışarı aktarabilir veya tüm ağı işlemez hale getirebilir. • Çok Ciddi Zarar: Verileri sessizce değiştirebilir. • Ciddi Zarar: Dosyaları/ Flash BIOS’u siler, diski formatlayabilir. • Orta Zarar: Bazı kişisel dosyaları silebilir, bilgisayarı belli bir süre kullanım dışarı bırakabilir. • Az Zarar: Anlamsız metinlerin ve seslerin çıkmasına neden olur. Confidential

9. Hedef Alınan Ve Giriş Noktası (Noktaları) Olarak Kullanılan Platformun (Platformların) Yaygınlığı • Çok Yaygın İşletim Sistemi: Microsoft Windows Uygulamalar: Word, Excel, E-posta, Haber grupları • Yaygın İşletim Sistemi: DOS / Mac – OS / Linux Uygulamalar: Powerpoint, Windows Scripting Host (VB Script ve JAva Script için) • Az Yaygın İşletim Sistemi: Unix / Linux Uygulamalar: Access, Adobe, Corel Script Confidential

10. Risk Derecesi • Yüksek Risk – Salgın • Yüksek Risk • Orta – Takip Altında • Orta • Düşük • Risksiz Confidential

11. Genel Tehdit Değerlendirmesi Tehdit Analiz Sonuçları • Tehditlerin yapısı • Tehditlerin 90%’ı e-posta yoluyla kendini çoklu sayıda kullanıcıya dağıtan türdendir. • 10%’u yazılım açıklarını hedef alan solucanlar • 77%’i birden fazla etkileme ve yayılma yöntemi kullanıyor • Tehditler giderek daha çok karmaşıklaşıyor • Tehditler ortalama olarak 3 farklı etkileme mekanizması içeriyor. 7 farklı mekanizma içerenler var. Confidential

12. Email Remote Access P2P Terminate Process Share Hopper Download Remote File Copy Key Logger Exploit Registry Delete File Infector DOS Application Spoof File Deletion 100% 73% 45% 42% 63 Orta ve Yüksek Risk Derecesinde Tehdit 23% 17% 12% 10% 10% 10% 10% 8% 90%Mass Mailer 5% 2% Exploit Remote Access Download DOS 17% 100% 83% 33% 10% Açık hedefleyen solucan Genel TehditDeğerlendirmesi Ana Etkileme Faktörleri Ek Etkileme-Yayılma Faktör ve Mekanizmaları Confidential

13. 2005’de Yaşananlar 63 Orta ve Yüksek Risk Derecesinde Tehdit • 2004 Temmuz - 2005 Temmuz döneminde McAfee Araştırma Merkezi 63 tehdidi orta ve yüksek risk seviyesinde derecelendirmiştir. Bunların 57’si kitlesel e-posta gönderimi yoluyla yayılan, 6’sı da spesifik olarak belirli bir yazılım açığını hedef alan tehditler olarak tespit edilmişlerdir. (Bu tehditlerin tümü 2003 yılında görmeye başladığımız karmaşık tehdit - yayılmak ve zarar vermek için birden fazla mekanizma içeren - türü ataklardandır). Confidential

14. 2005’de Yaşananlar Yazılım Açıklarında Artış • Ağ ve bilgisayar güvenliği son yıllarda üzerinde en fazla tartışılan konulardan biri olduysa da 2005 yılında rapor edilen güvenlik açığı sayısında artış gözlemlenmiştir. CERT’in raporuna göre 2004 yılında 3.780 açık rapor edilmişken bu sayı 2005 yılında 5.990’a yükselmiştir. Confidential

15. Üreticilerin (Az) Yama Savaşı “SQL Server 2000’in Oracle 10g ‘ye göre daha az açığı var” Confidential

16. 2005’de Yaşananlar • Yamanın tersine-mühendisliği ile zaafiyet detayları öğrenilebiliyor • Zaafiyet nerede? • Hangi koşullarda geçerli? • Nasıl zarar verilir? • Yama problemi nasıl gideriyor? • Yamadan “öğrenen” saldırganlar henüz yamanmamış sistemlere saldırabiliyor. • Saldırılar giderek ağ-odaklı olmaktan uygulama-odaklı olmaya doğru kayıyor. Ağ ve sistem düzeyinde alınması gereken önlemler öğrenildi. “Doğru” uygulama geliştirmeyi bilen az ekip var • Yazılım ekipleri için eğitim şart” Confidential

17. 2005’de Yaşananlar Akıllı Güvenlik Ürünleri • Güvenlik açığı içeren uygulamaların üreticilerinin ilgili yamaları en az 1-2 hafta gibi uzun bir sürede yayınlıyor olmaları hem de yamaların denenmeden sisteme uygulanmasındaki sakıncılar yama yönetimini IT yöneticilerinin günlük önceliği olmaktan çıkarmıştır. 2004 yılında bahsedilmeye başlanan sıfırıncı günde koruma yaklaşımı ile güncelleme gerektirmeden koruma sağlayan güvenlik yazılımlarına sahip olmak kurumların temel önceliği haline gelmiştir. Bu öncelik hem ağ seviyesinde yapılan hem de istemci sistemlerine yönelik güvenlik yatırımları kararlarında belirleyici olmuştur. Confidential

18. 2005’de Yaşananlar Gelişen Anti-spam Ürünleri • 2005 yılında anti-spam teknolojilerinin olgunlaşmaya başladığını söylemek yanlış olmayacaktır. Yeni modeller içeren, gün içinde sürekli güncellenen ve ek olarak istendiğinde aktif olarak son kullanıcıların kendilerine özel kurallar tanımlamasına olanak tanıyan anti-spam çözümleri spam ataklarına karşı oldukça efektif bir koruma sağlamaya başlamışlardır. Confidential

19. 2005’de Yaşananlar Spyware Tehditlerinde Büyük Artış • FBI tarafından yayınlanan 2005 yılı bilgisayar suçları raporuna göre tespit edilen atakların %79.5’i spyware kaynaklı olmuştur. • Her 10 spyware’in 9’u diğer yazılımlarla beraber geliyor. • 100’den fazla çalışana sahip şirketlerin 92%’si ciddi bir spyware problemi ile karşıya olduklarını belirtmişlerdir. Confidential

20. Spyware ve İstenmeyen Programlar Nedir ?(Potentially Unwanted Programs (PUPs)) • Bilgisayarın güvenlik ayarlarını/durumunu değiştiren, özel bilgilere ulaşan ve bilgisayar kullanım tercihlerini istem dışı değiştiren programlar Spyware Remote Administration Tools Adware Password Crackers Dialers Other PUPs Jokes Kaynak: AVERT Whitepaper Potentially Unwanted Programs, Feb. 2005 Confidential

21. Spyware Salgını Confidential

22. AVERT’in 2006 Öngörüleri Kablosuz/ Mobil Saldırılarda Artış • Akıllı telefonlara yönelik ilk virüs (hedef: Symbian OS) Haziran 2004’de görüldü. (Lasco Skulls Cabir Comm Warrior Drever Locknut Dampig Mabir Fontal Hobbes) Takiben paket PC ve akıllı telefonları hedefleyen bir çok truva atı ve zararlı kod yazıldı. • Akıllı telefonların hedeflenmesi ile “giydirilebilen/ince” zararlı kod sayısında artış göründü. 2006’da mobil cihazları hedefleyen virüslerde artış yaşanacağı öngörülmektedir. Bu cihazların bir çoğunun henüz bir güvenlik yazılımı olmadan kullanılıyor olması ciddi bir tehlike oluşturmaktadır. Confidential

23. AVERT’in 2006 Öngörüleri Şifre Çalmaya Yönelik Sahtecilik E-Postalarında (Phishing) Artış • 2006’da McAfee AVERT şifre çalmaya yönelik olarak geliştirilmiş sahte web sitelerinde artış olacağını düşünmektedir. Amerika’daki Katrina felaketinden sonra yapılan spam/phishing atakları hacker’ların bu tip felaket durumlarını insanların yardım reflekslerini kötüye kullanmak üzere harekete geçtikleri göstermiştir. ISP’lere yapılan ataklarda azalma görülmüştür. Finans sektörüne yapılan ataklar aynı seviyede kalmıştır. Aynı trendlerin 2006’da da devam edeceği düşünülebilir. Confidential

24. AVERT 2006 Tahmin Raporu - Devam Daha Fazla Spyware Göreceğiz • Potansiyel Olarak İstenmeyen Yazılımlar - ( Potentially Unwanted Programs (PUP) Spyware, Adware, Jokes,...) 2005 yılında ticari PUPs’ların sayısı %40 oranında artmıştır. Daha ötesinde ticari olmayan, klavye takibi yapan, şifre çalan, “backdoor” yaratan zararlı yazılım sayısında bir patlama yaşanmıştır. 2006 yılında aynı trend devam edecektir. Confidential

25. Neler Yapılmalı? • Güvenlik prosedürleri oluşturulmalı ve yazılı hale getirilmeli • Hassas bilgilerin korunması ve paylaşılması ile ilgili prosedürler detaylandırılmalı • Hem kurum içi hem kurum dışı güvenlik sorumluları belirlenmeli. Güvenlik sorumlularının yetkileri tanımlanmalı • Farklı saldırı türleri için öncelik sıralaması yapılmalı • Güncelleme gerektirmeden koruma sağlayan akıllı sistemler tercih edilmeli • Katmanlı savunma sistemleri kurulmalı Confidential

26. Ürünler ve Teknolojilerle İlgili Gelişmeler • Güvenlik uçtan içeriye doğru kayıyor • İstemciler için AV, AS, DFW, HIPS çözümleri entegre ediliyor. • “Ağ Erişim Kontrolü” (NAC) teknolojisi • 2006’nın önemli konularından biri olarak NAC ile istemciler henüz ağa girmeden, switch seviyesinde uygunluk kontrolünden geçirildikten sonra sisteme sokuluyorlar. • Zaafiyet tarama teknolojisi istemci seviyesindeki çözümlere daha fazla entegre ediliyor olacak • Kurumsal mobil güvenlik çözümleri... Confidential

27. McAfee Çözümleri • Anti Virüs & Anti Spyware & İstemci Yangın Duvarı Çözümleri • İçerik / Web Filtreleme Çözümleri • Anti Spam Çözümleri • Host Tabanlı Atak Önleme Çözümleri (Host IPS) • Ağ Tabanlı Atak Önleme Çözümleri (Network IPS) • Zaafiyet Tarama Sistemleri Çözümleri Confidential

28. Geleneksel Anti-Virüs Koruması McAfee Anti Virüs & Anti Spyware VirusScan Enterprise 8.0i Uygulama Spesifik Buffer Overflow Koruması Sıfırıncı Günde Koruma! Entegre Antispyware Kural Tabanlı Port Bloklama Erişim Politikaları Belirlenmesi Confidential

29. McAfee Host IPS - Entercept Davranış Analizi İmza Analizi + Sıfırıncı Gün Koruması Bilinen Ataklara Karşı • Entercept iki farklı analiz metodunun aynı anda uygulanması ile sistemleri korur. • Entegre firewall ile atakların benzersiz bir doğruluk ve kesinlik ile önlenmesi garanti edilir Confidential

30. McAfee Network IPS - IntruShield IntruShield 1200 IntruShield 2700 IntruShield 1400 600 Mbps 6 x FE Ports & 2 x Gigabit Ports Copper/Fiber 200 Mbps 4 x Fast Ethernet Ports 100 Mbps 2 x Fast Ethernet Ports Enterprise Perimeter SMB & Enterprise Perimeter SMB & Branch Office IntruShield 3000 IntruShield 4010 IntruShield 4000 2 Gbps 12 x Gigabit Ports Copper/Fiber 2 Gbps 4 x Gigabit Ports Copper/Fiber 1 Gbps 12 x Gigabit Ports Copper/Fiber Enterprise & Service Providers Enterprise Core Enterprise & Service Providers Confidential

31. McAfee Network IPS - IntruShield Confidential

32. McAfee Network IPS - IntruShield Confidential

33. McAfee VirusScan Enterprise McAfee IntruShield McAfee Entercept ATTACK MyDoom 1.Günde durduruldu Güncellemesiz durduruldu Güncellemesiz durduruldu Sasser Güncellemesiz durduruldu Güncellemesiz durduruldu Güncellemesiz durduruldu Netsky 1.Günde durduruldu Güncellemesiz durduruldu Güncellemesiz durduruldu Bagle Güncellemesiz durduruldu Güncellemesiz durduruldu Güncellemesiz durduruldu McAfee’den Proaktif Güvenlik Teknolojileri

34. armagan_zaloglu@mcafee.com ya da turkey@mcafee.com Teşekkürler Confidential