TR [ EN ⇣ ]

Belediye Apolyası :)

Hanımların dikkatine! Overlok makinesi ayağınıza geldi!

Şimdi size 2022 Mayıs’ından beri odaklandığım yenilikçi bir teknolojiden bahsedeceğim: Muhterem Hâzirûn! Come closer! Step right up! You will not believe your eyes! Ta daa… Huzurlarınızda Cyber Range! SimSpace Cyber Range!

SimSpace Logo

Beni bilen okült cengâverlerin veryansınlarını duyar gibi oluyorum:

A bizim Blacksmith‘imiz! Neme lazım demeyip, gün yüzü görmemiş silahlar yapıp, nice siber savaşta elimize tutuşturan Levazım Subayı‘mız! Kibirli Ceviz‘imiz! Sanat ehli Quartermaster‘ımız! Böyle giderse -ki inşallah gitmez- mecburen basılması gerekecek ve 160.000 altına denk paşa dedesi Kâime-i Mûtebere‘nin aksine vâ esefâ yarım gram altın dahi alamayan 1000 TL’lik gaymeye sureti basılası Gökbörü‘müz! Sen ki virüs geliştiren adamsın; neden SimSpace denen oyunda oynaştasın?!…

Okült Cengâverler

Bozkurt'lu İlk Emisyon 5 Lira - 1927

Cengaverlerimiz kızmasın; istirham ederim zira “Oğlum Mernuş. Sen otobüsü kaçırmış bir milletin çocuğusun …” deyip Certified SimSpace Range Engineer sertifikasyonu yanında neme lazım demeyip bir de Ransomware kodladım. Merakı olan buradan buyursun ama okuyup buraya geri gelsin: Tık!

Cyber Range nedir?

Cyber Range

Gelelim Cyber Range denen bu “eğitim, simülasyon ve siber tatbikat ortamı“nın ne olduğuna… Yazdım işte gerçi ama gene yazayım:

Cyber Range; eğitim, simülasyon ve siber tatbikat ortamı demek oluyor. Daha da kapsayıcı olması açısından Siber Risk Yönetimi Platformu da diyebiliriz.

Bir Dost

SimSpace şirketi ise bu yeni “ürünler üstü ürünü” geliştiren ilk kuruluş. Şirket kurucuları, USAF‘in Nellis Üssü‘nde düzenlediği Red Flag tatbikatını sanal dünyaya uyarlamışlar.

Cyber Metaverse

Bunun yanında “ürünler üstü” diyorum zira öyle ki sanal makine haline getirilebilen her ürün SimSpace içine gömülebiliyor; daha pek çok şey katman katman içinde birleştirebiliyor. Ben SimSpace‘e Siber Metaverse diyorum. Hadi inceleyelim:

SimSpace Cyber Range Layers

  • Katılımcı Katmanı: Red, Blue, Purple, White vs. ne kadar Team varsa hepsi dahil olabilir. Hatta bunun yanında şirket hukukçuları, Veri Sorumlusu (KVKK) ve yöneticiler (C-Level) de dahil olabilir. Zira bilirsiniz: Askeri tatbikatlarda tepeden tırnağa tüm generaller ellerinde planlar, dürbünler vs. ile dahil oluyorlar.

  • Aktivite Katmanı: SimSpace içinde, Katılımcı Katmanı’nda yer alan katılımcıların oluşturduğu trafiğin yanında izole ve klon Web Siteleri, sahte kullanıcı emülasyonu ve APT’ler (Advanced Persistent Threat) de yer alıyor. Burada ayrıntıya gireyim:

    • Sahte Kullanıcı Emülasyonu (UE: User Emulation): Gerçek ağlarda normal insanlar olur ve bir network trafiği oluştururlar fakat Cyber Range ortamına sıradan insanları getiremezsiniz. Madem getiremiyorsunuz; bu durumda tüm trafik Red Team ve APT grupları tarafından oluşturulacağı için trafiğin %100’ü zararlı trafik olur ve Blue Team olarak bunları doğruca yakalayabilirsiniz. İşte bu sebeple saldırganlar (Red Team, APT) haricinde ağ trafiği (gürültü) oluşturmak amacıyla sahte kullanıcı emülasyonu olması harika bir özellik olur ki bu SimSpace‘de tastamam var. Ben bu arkadaşlara Hayaletler diyorum. Öyle ki Persona‘lar oluşturup aklınıza gelecek en uç noktada davranış tanımlayabiliyorsunuz. Örneğin:
      • Kaçta işe başlayacak,
      • Hangi tarayıcıyı kullanacak ve hangi sitelere girecek, o sitede ne kadar takılacak,
      • MS Word’ü mü yoksa Excel’i mi daha çok kullanacak,
      • Gelen e-postalardaki linklere ya da ek dosyalara (malware) ne sıklıkta tıklayacak, ne kadar sürede cevap dönecek,
      • Kaç saat mesaiye kalacak vs.

    • APT Saldırıları: SimSpace içinde -şimdilik- 100 civarında APT saldırı senaryosu bulunuyor. Red Team‘iniz olmasa bile Blue Team‘e karşı APT saldırıları yaptırabilirsiniz. Veya hem Red hem de APT kombine saldırıları düzenleyebilirsiniz. Güzel yanı şu ki Cyber Range içinde antrenman yaparak gerçekten bir APT saldırısına maruz kalmadan kendinizi bu tür bir saldırıya hazırlayabilirsiniz. “Neler varmış bir bakalım” derseniz, tüm APT saldırı kataloğunu en güncel haliyle şu linkten inceleyebilirsiniz: Tık

    • Klon Web Siteler: Cyber Range genelde internetten izole bir ortam. Bu sebeple internet erişimi, klonlanmış web siteleri aracılığıyla emüle ediliyor. Bu internet erişimi yok demek değil lakin limitleri var zira biraz önce bahsettiğim APT saldırılarında kullanılan gerçek malware’ler internet erişimini kullanarak C&C sunucularıyla iletişim kurabilir; bunu gören saldırganlar (APT) da soluğu yanıbaşınızda alabilir. Tatbikat yapıyoruz derken bir bakmışsınız İranlı, Çinli, Kuzey Koreli, Rus APT grupları ile pişpirik oynuyorsunuz. Hafazanallah!

  • Teknoloji Katmanı: Ağ ve güvenlik ürünlerinizi (router, switch, SIEM, SOAR, zincir, takoz vs.) de tatbikata dahil edebiliyorsunuz. Fakat aklınızda olsun; lisansınızı kendiniz getiriyorsunuz.

  • Emülasyon Katmanı: IT, Cloud, OT, IoT vs. gibi mimari namına neyiniz varsa bunları da emüle edebilirsiniz.

İşte tüm bunlar bir araya geldiğinde Cyber Range, daha doğrusu SimSpace Cyber Range oluyor zira diğer alternatiflerde bu özellikler olmayabilir.

Bayinizden ısrarla isteyiniz.

Bir Dost

Bizim bundan ne kârımız olacak?

  • Gelişmiş siber saldırılara karşı duracak evriltilmiş araçlara, süreçlere ve ekibe sahip olursunuz. Öyle ki;
    • Elinizdeki araçları ve personeli daha verimli kullanırsınız; gerekmeyen ürünler için para harcamaz, gereken yerlere ve departmanlara yatırıma yönelirsiniz,
    • Süreçleriniz iyileşir; bürokrasiden, angaryalardan ve ayak bağlarından kurtulursunuz,
    • Personelinizin yeterliliği artar; ekip sağlam olur.
  • Yukarıdakilerin iyileşmesi size optimize edilmiş bir siber dayanıklılık sağlar; organizasyonunuzun verimliliği artar.
  • Tüm bu sebeplerle siber riskiniz görece azaldığı için rahat uyku uyursunuz. :)

Tekrar gibi olabilir lakin bunları rapora ya da sunuma eklenebilir halde yeniden yazayım:

  • Güvenlik Optimizasyonu: Ekipleri test edip eğitebilir, süreçleri iyileştirebilir, güvenlik ürünlerini doğruca canlıya almadan test edebilirsiniz.

  • Ekip Yetkinliği Artırımı: Gerçek saldırıları emüle ederek ekipleri eğitebilir, iş memnuniyeti için yeni eğitimler ve kariyer adımları sunabilirsiniz.

  • Algılama ve Karşılık Verme Süresi Azaltma: Her türlü tehdide karşı savunma düzeyinizi belirleyebilir, yaptığınız iyileştirmelerin sonuçlarını ölçebilirsiniz.

  • Mevzuata Uyumluluğu Kanıtlama: MITRE®, NIST, CMMC® gibi çerçeveleri baz alarak iyi kararlar verme yetinizi ve mevzuata uyumluluğunuzu ölçebilirsiniz.

  • Bulut Sistemlere Hazırlık: Veri merkezi yeteneklerinizi geliştirip değerlendirebilir, optimize edebilir ve bulut altyapılarına genişletebilirsiniz.

SimSpace Cyber Range’de neler yapabiliriz?

  • Red/Blue/Purple Team operasyonlarınız için hazır sanal makine ortamı sunuyor. Bunu kendiniz oluşturmaya çalışsanız günlerinizi alacakken birkaç dakika içerisinde yüzlerce makinelelik bir network‘ü, üzerinde test yapmak üzere çalışır hale getirebiliyorsunuz.

  • SimSpace‘de yerleşik onlarca saldırı senaryosunu (MITRE ATT&CK) oluşturduğunuz sanal ağ üzerinde test edebiliyor, APT emülasyonu gerçekleştirebiliyor, böylece bilinen saldırılara karşı Red Team olgunluğunuzu, Blue Team dayanıklılık seviyenizi ölçebiliyorsunuz.

  • Buna ek olarak SimSpace‘de yerleşik olan ya da olmayan ve emülasyon ardından başarıya ulaşmış saldırılardan etkilenen makinelerin imajlarını alarak DFIR ekiplerinin eğitiminde kullanabiliyorsunuz.

  • Gerçekte kurulu ağınızı birkaç saat içinde bire bir SimSpace üzerine aktarabiliyor, ağınıza dahil etmek istediğiniz yeni bir teknolojiyi veya ürünü oluşturduğunuz klon ağda deneyip artılarını veya eksilerini görebiliyor, olası etkilerini ölçüp duruma göre gerçek ağa konumlandıramya veya konumlandırmamaya karar verebiliyorsunuz. Örneğin; platformda yerleşik pek çok siber güvenlik ürününü (Splunk, QRadar vs.) kolaylıkla simülasyon ortamına ekleyip test edebiliyorsunuz. DevOps etkisinin simülasyon ortamında görülmesi, sahaya çok daha güvenli çıkmayı sağlıyor.

  • İşe alınacak insanların yetkinlik seviyelerini ölçmek, alınanları doğru eğitmek ve güncel tutmak için kullanabiliyorsunuz. Böylece ekiplerin yetkinliği ve verimliliği artıyor.

  • Bir saldırı, savunma ya da ürün hakkında doküman ya da eğitim hazırlarken test ortamında yerleşik makineleri ve kapsamlı eğitim içeriğini kullanabiliyorsunuz.

  • Hazırda bir ekip olmasa dahi tüm bunları yaparak Red/Blue/Purple Team operasyonlarınızı temellendirip zaman içinde iyileştirebiliyorsunuz.

Peki ya tatbikat nasıl oluyor?

Bunun iki tipi var:

  • SCE (Structured Content Event)
  • LFE (Live Fire Event/Exercise)

SCE: Structured Content Event

SCE, yapılandırılmış eğitim içeriği anlamına geliyor. Şöyle ki SimSpace kütüphanesinde onlarca konuya dair -gene şimdilik- toplamda 700 saatin üzerinde eğitim içeriği yer alıyor ve bu eğitimleri

  • ister bir başınıza,
  • isterseniz de ekipçe yarışarak alabiliyorsunuz.

Kütüphanede yer alan eğitimlerin bildiğiniz eğitimlerden ciddi farkı var: Her ne anlatıyorsa bunu yalnızca klasik yollarla (oku, izle) yapmıyor; bunların yanında sizi bir senaryoya dahil ediyor ve bilgisayarlara (Cyber Range) bağlayarak uygulama yaptırıyor. Örneğin bazen bir Sızma Testi Uzmanı rolünde bir şirkete sızma testi yapıyorsunuz, bazen de örneğin Splunk‘la tehdit avlıyorsunuz.

Bunun yanında Zero to Hero yani sıfırdan alıp ileri seviyeye getiren Learning Path yani öğrenme adımları yer alıyor. Bu yollardan birine kaydolarak hiç bilmeseniz dahi Red/Blue/Purple Teamer olabiliyorsunuz.

Bunların yanında CTF‘ler ve Exercise‘lar da var. Bütün bunlar bana yetmez derseniz oturup eğitim de yazabiliyorsunuz.

“Neler varmış bir bakalım” derseniz, tüm eğitim kataloğunu en güncel haliyle şu linkten inceleyebilirsiniz: Tık

LFE: Live Fire Event/Exercise

LFE ise planlanmış bir senaryo dahilinde ya da freestyle bir tatbikat demek oluyor. Şu şekillerde uygulayabilirsiniz:

  • APT Saldırısı => Ürün: SimSpace‘de yer alan APT gruplarının otomatize saldırılarının, Mavi Takım olmaksızın kullandığınız ürünlere karşı çalıştırılması ile bu ürünlerin veya içine yazdığınız kuralların savunma yeteneklerinin ölçülmesi üzerine kurulu. Bu tatbikatta amaç; ürünün güvenlik yapılandırmalarının bilinen gelişmiş saldırılara (APT) karşı ne seviyede yeterli olduğunun incelenmesi oluyor. APT saldırısını legal ağ trafiği içine saklayarak doğrudan yakalanmasını engellemek için ise UE (User Emulation:Kullanıcı Emülasyonu) denen ve kurum çalışanlarının ağdaki davranışlarını emüle ederek ağda gürültü oluşturan modülü de aktifleştirebilirsiniz. Hani yukarıda Hayaletler diye bahsetmiştim ya, işte onlar.

  • APT Saldırısı => Ürün + Mavi Takım: Bir üsttekine ek olarak Mavi Takım da bu tatbikatta yer alıyor. Yani SimSpace‘de yer alan APT gruplarının otomatize saldırılarının Mavi Takım ve kullandıkları ürünlere karşı çalıştırılması ile savunma yeteneklerinin ölçülmesi üzerine kurulu bir tatbikat türü. Hayaletler bu tatbikatta da aktif.

  • Red Team + APT Saldırısı => Ürün + Mavi Takım: Mavi Takım, hem Kırmızı Takım‘a karşı hem de SimSpace‘de yer alan APT gruplarının otomatize saldırılarına karşı savunma yapar. Kırmızı Takım ise ister doğaçlama isterse senaryo veya planlama dahilinde keşif ve saldırı yeteneklerini keskinleştiririr; bulduğu yerden dalar. Hayaletler gene bu tatbikatta da kol geziyor.

Lisanslama

Lisanslama, kullanmayı planladığınız sanal makine sayısına göre oluyor. Şöyle ki SimSpace‘i aynı anda kullandırmayı planladığınız kişi sayısı neyse onu 5 ile çarpıp size gereken sanal makine sayısını bulabilirsiniz. Örneğin; 10 kişilik bir Red + Blue Team için size gereken 50 VM.

Şimdilik hepsi bu. Merak edenleri test sürüşüne bekleriz… :)

Niki Lauda

EN

Ladies and gentlemen!

Boys and girls!

Step right up! step right up!

Come closer! you won’t believe your eyes!

Behind this curtain,

Witness something you’ve never seen before…

Heard before, dreamt before…

The most amazing Cyber Range on Earth!

SimSpace Logo

What is Cyber Range?

Cyber Range

Cyber Range; means training, simulation and cyber exercise environment. In terms of being even more inclusive, we can also call it the Cyber Risk Management Platform.

SimSpace company is the first organization to develop this new “product covering all products”. The company founders adapted the Red Flag exercise organized by the USAF at Nellis Base to the virtual world.

Cyber Metaverse

Besides, I say “product covering all products” because every product that can be turned into a virtual machine can be embedded in SimSpace; many more can be combined layer by layer. I call SimSpace the Cyber Metaverse. Let’s examine:

SimSpace Cyber Range Layers

  • Participation Layer: Red, Blue, Purple, White etc. however many Team there are, they can all be participated. In addition, company lawyers, Data Processors (GDPR) and C-Level may also be participated. Because you know: In military exercises, all generals participate in the exercise with their plans and binoculars.

  • Activity Layer: In SimSpace, besides the traffic generated by the participants in the Participant Layer, isolated and clone Websites, fake user emulation and APTs (Advanced Persistent Threat) are also included. Let me go into detail here:

    • UE: User Emulation: In real networks, there are normal people and they create a network traffic, but you cannot bring ordinary people into the Cyber Range environment. Since you can’t bring it; In this case, as all traffic will be generated by Red Team and APT groups, 100% of the traffic will be malicious traffic and you can capture them directly as Blue Team. That’s why it would be a great feature to have fake user emulation to generate network traffic (noise) apart from attackers (Red Team, APT), which SimSpace has it all right. I call these friends Ghosts. So much so that you can create Personas and define behavior at the most extreme point you can think of. For example:
      • What time will he/she start work,
      • Which browser will be used and which sites will be accessed, how long will be stuck on that site,
      • Will he/she use MS Word or Excel more?
      • How often will he/she click on links or additional files (malware) in incoming e-mails, how soon will they respond,
      • How many hours will he/she be working etc.

    • APT Attacks: There are around 100 APT attack scenarios in SimSpace for now. Even if you don’t have Red Team, you can have APT attacks against Blue Team. Or you can perform both Red and APT combo attacks. The good thing is that by training in the Cyber Range you can prepare yourself for this type of attack without actually being hit by an APT attack. If you say “Let’s see”, you can review the entire APT attack catalog in its most up-to-date version at this link: Click

    • Clone Websites: Cyber Range is generally an isolated environment from the internet. For this reason, internet access is emulated through cloned websites. This does not mean that there is no internet access, but there are limits because the real malwares used in the APT attacks I just mentioned can communicate with C&C servers using internet access; attackers (APT) who see this can also take your breath away. When you say we are exercising, Iranian, Chinese, North Korean, Russian APTs are really attacking you.

  • Technology Layer: You can include your network and security products (router, switch, SIEM, SOAR, etc.) in the exercise. But keep in mind; You bring your own license.

  • Emulations Layer: You can also emulate whatever you have on behalf of architecture, such as IT, Cloud, OT, IoT etc.

All of these come together to become Cyber Range, or rather SimSpace Cyber Range, because other alternatives may not have these features.

What will we profit from this?

  • You have evolved tools, processes and team to stand up to advanced cyber attacks. So that;
    • You use the tools and personnel you have more efficiently; You don’t spend money on products you don’t need, you invest in required places and departments,
    • Your processes improve; you get rid of bureaucracy, drudgery and fetters,
    • The competence of your staff increases; the team will be strong.
  • The improvement of the above gives you an optimized cyber resilience; The efficiency of your organization increases.
  • For all these reasons, you sleep comfortably as your cyber risk is relatively reduced. :)

It might sound like repetition, but let me rewrite them as they can be added to the report or presentation:

  • Security Optimization: You can test and train teams, improve processes, test security products right before they go live.

  • Team Competency Enhancement: You can train teams by emulating real attacks, and offer new trainings and career steps for job satisfaction.

  • Detection and Response Time Reduction: You can determine your level of defense against all kinds of threats and measure the results of your improvements.

  • Proof of Compliance: You can measure your ability to make good decisions and your compliance with regulations based on frameworks such as MITRE®, NIST, CMMC®.

  • Cloud Systems Readiness: You can develop and evaluate your data center capabilities, optimize and extend them to cloud infrastructures.

What can we do in SimSpace Cyber Range?

  • Red/Blue/Purple Team offers ready virtual machine environment for your operations. If you try to create it yourself, it would take days, but in a few minutes, you can make a network of hundreds of machines work for testing.

  • You can test dozens of attack scenarios (MITRE ATT&CK) built in SimSpace on the virtual network you created, perform APT emulation, so you can measure your Red Team maturity and Blue Team endurance level against known attacks.

  • In addition, you can get images of machines affected by successful attacks after emulation, and use them in the training of DFIR teams.

  • You can transfer your actually installed network to SimSpace within a few hours, try a new technology or product you want to include in your network on the clone network you have created, see the pros and cons, measure its possible effects and decide whether or not to position it on the real network. For example; You can easily add and test many cyber security products (Splunk, QRadar etc.) built into the platform to the simulation environment. Seeing the DevOps effect in the simulation environment makes deploying on the field much safer.

  • You can use it to measure the competency levels of people to be recruited, to train the recruits correctly and to keep them up to date. Thus, the competence and efficiency of the teams increase.

  • You can use the machines built in the test environment and extensive training content while preparing documents or training about an attack, defense or product.

  • Even if there is no team at the ready, by doing all these, you can base your Red/Blue/Purple Team operations and improve them over time.

What about the exercises?

It has two types:

  • SCE (Structured Content Event)
  • LFE (Live Fire Event/Exercise)

SCE: Structured Content Event

SCE stands for structured educational content. That is to say, the SimSpace library contains over 700 hours of training content on dozens of subjects -again for now- and these trainings are available

  • whether on your own,
  • or you can make exercise by competing as a team.

The trainings in the library have a serious difference from the trainings you know: Whatever it tells, it does not only do it in classical ways (read, watch); In addition, it includes you in a scenario and makes applications by connecting it to computers (Cyber Range). For example, sometimes you perform a penetration test for a company in the role of a Penetration Test Specialist, and sometimes you hunt threats with Splunk, for example.

In addition, there are Zero to Hero, Learning Path, that is, learning steps that take it from zero and bring it to the advanced level. By signing up for one of these ways, you can become Red/Blue/Purple Teamer even if you don’t know it at all.

There are CTFs and Exercise’s as well. If you say that all this is not enough for me, you can sit down and write a training.

If you say “Let’s see”, you can check the entire training catalog in its most up-to-date form at this link: Click

LFE: Live Fire Event/Exercise

LFE means within a planned scenario or freestyle a exercise. You can apply it in the following ways:

  • APT Attack => Product: It is based on running the automated attacks of APT groups in SimSpace against the products you use without Blue Team and measuring the defensive capabilities of these products or the rules you have written in them. The aim of this exercise is; It is the examination of how adequate the security configurations of the product are against known advanced attacks (APT). In order to prevent the APT attack from being caught directly by hiding it in legal network traffic, you can also activate the module called UE (User Emulation), which creates noise on the network by emulating the behavior of the employees on the network. You know, I mentioned Ghosts above, that’s what they are.

  • APT Attack => Product + Blue Team: In addition to the previous one, Blue Team also takes part in this exercise. In other words, it is a type of exercise based on the automatic attacks of APT groups in SimSpace against Blue Team and the products they use, and measuring their defense capabilities. Ghosts are also active in this exercise.

  • Red Team + APT Attack => Product + Blue Team: Blue Team defends against both Red Team and automated attacks from APT groups in SimSpace. The Red Team sharpens exploration and attack abilities, whether by improvisation, scenario or planning; dives from where he finds it. Ghosts also roam around in this exercise.

Licensing

Licensing is based on the number of virtual machines you plan to use. Namely, you can find the number of virtual machines you need by multiplying the number of people you plan to use SimSpace at the same time by 5. For example; 50 VMs you need for a 10 person Red + Blue Team.

That’s all for now. We are waiting for those who are curious for a test drive… :)

Niki Lauda