Merkezi Güvenlik İzleme Ve Olay Yönetimi
Bilgi ve iletişim teknolojilerinin yaygın kullanımı ile siber ortam tehditlerinin niteliğinde ve niceliğinde gelişmeler yaşanmaktadır. Siber tehditler bireyleri, kurum ve kuruluşları hatta devletleri hedef almaktadır. Ülkeler siber güvenliklerini sağlamak amacıyla idari yapılanmalar gerçekleştirmekte, teknik önemler almakta ve hukuki altyapılar hazırlamaktadır. Gerçekleşebilecek bir siber saldırıyı engellemek adına kurumlar kendi içerisinde bulunan bilgi sistemleri ve ağ bileşenleri günlük kayıt tutar yani log üretirler. Bu aktivite kayıtlarının yani log kayıtlarının izlenildiği gibi bir siber olay sırasında filtrelenerek saldırı tekniklerinin tespit edilmesi ve yaşanılabilecek siber olayları ortaya çıkartılması gereklidir. Bu aktivite kayıtları izlediği gibi bir siber olay sırasında gelen saldırıları engellemek ve siber olayların ortaya çıkartılmasını Merkezi güvenlik izleme ve olay yönetimi sistemler ile sağlamak mümkündür. Farklı sistemlerden gelen birçok olayın ilişkilendirilmesi ve anlamlı sonuçlar üretilebilmesi oldukça zor, aynı zamanda hayati bir önem taşımaktadır. Kritik Altyapı Sektörü (Enerji, Elektronik Haberleşme, Finans, Su yönetimi, Kritik Kamu Hizmetleri, Ulaştırma…) ve kendi üzerinde sistemlerini kontrol eden tüm kuruluşların Merkezi güvenlik izleme ve olay yönetimi sistemine ihtiyaç vardır.
Merkezi güvenlik izleme ve olay yönetiminde İz Kayıtlarının Merkezi Olarak Yönetilmesi avantajları bulunmaktadır bu avatajlara geçemden önce temel bilinmesi gerek LOG kayıtları hakkında kısaca bilgi verecek olursak;
Kayıt (Log) Nedir? Kayıtlı delil demektir. Yaşanılacak bir durumda üretilen log sayesinde elimizde bir delil niteliğine sahip veriler bulunur. Her türlü iç, dış, uluslar arası saldırıda hukuktan faydalanmak ve faillerin yakalanması, caydırıcılık için gereklidir. Üretilen loglar İç tetkik birimleri, ulusal veya uluslar arası mahkemeler tarafından değerlendirilir.
Üretilen loglar sayesinde 5 Ne 1 K sorularına cevap verebiliriz örneğin;
Ø Ne?
Yetkisiz erişim, kayıtlar silindi, yetkili kullanıcı oluşturuldu…
Ø Ne zaman?
Cum 28 15:44:28 2015, 10/08/2015, 2015-01-30 15:45:44
12350495043800345345, 12.01.2015 10:33:56
Ø Nerede?
Dosya sunucu, e-posta, web servisiniz, aktif dizin?
Ø Nereden?
Saldırı 99.214.77.13 adresinden Guanjou Internet Sağlayıcı, Beijing Çin
• Ofisin 3.katından biri, rus hacker’lar
• Çalınan veri 56.2.3.5 adresine Karachi, Pakistan’a gönderildi
Ø Nasıl?
• SQL enjeksiyonu, kaba kuvvet saldırısı, spam, sosyal mühendislik…
Ø Kim?
• 10.2.2.4, mehmet, FF01::101, 01:23:45:67:89:AB
Kayıtlı LOG’lar sayesinde merkezi güvenlik izleme ve olay yönetiminde görev alan ekipler;
· LOG’ları izleyebilir
· İzlediği LOG’ları analizi
· Oluşan bir problemi LOG’lar sayesinde giderebilir
· Eldeki LOG’lar sayesinde geçmişte ne olduğu hakkında bilgi verilebilir
· Adli Delil inceleme yapılabilir
· Bir siber olay müdahalesinde bulunulabilir
LOG Türleri;
· Windows Eventlog
· UNIX Syslog
· Cisco Netflow
· Performans Logları
· Uygulama Logları
· Firewall
o Checkpoint
o Juniper Netscreen
o Cisco PIX/ASA/FWSM
· IDS log formatları
o Sourcefire Snort
o McAfee Intrushield
o Cisco IPS
o Tippingpoint
· Web sunucuları
o Apache
o Tomcat
· Internet Information Systems (IIS)
LOG Toplanırken Karşılaşılan Problemler
· İzlenecek çok sayıda envanter olduğundan hangi LOG güvenlik için değerli olduğu karşılaştırılabilir.
· LOG’lar farklı yerlerde dağınık olarak durduğunda tek tek bakılması ve analiz edilmesi zorlaşmaktadır.
· Kayıt inceleme yazılımları tek başlarına yetersiz kalmaktadır gelen alarmlara müdahale etmek adına ek sistemler kullanılmalıdır.
· Farklı biçim ve türde çok fazla LOG kaydı bulunmaktadır
· LOG üreticilerinin farklı yapılandırma ayarları mevcuttur yani standart bir formatın yoktur.
· Uygulama bazlı LOG’lar üretilmektedir.
Merkezi güvenlik izleme ve olay yönetimi oluştururken görev alan ekip temelde üstlenmiş olduğu görevler vardır bu görevler siber olay öncesi, esnası ve sonrasında olmak üzere 3 ana başlığa ayırabiliriz. Sırayla açıklamak gerekirse;
1- Siber Olay Öncesi
Kurumda bir siber olayın yaşanmadığı veya gerçekleşmediği durumda Merkezi güvenlik izleme ve olay yönetimi oluştururken görev alan ekibin yapması gerekenler;
· Kurum içi farkındalık çalışmalarının gerçekleştirilmesi.
· Siber güvenlik ile ilgili periyodik olarak kurum içi bülten hazırlanması.
· Kurumun bilgi güvenliği farkındalığını ölçecek anketlerin düzenli olarak yapılması.
· Kurumsal bilişim sistemleri sızma testlerinin yapılması veya yaptırılması.
· Kayıtların düzenli olarak incelenmesi yapılmalı var olan zafiyetler kapatılmalı.
· Log kayıtlarının merkezi olarak yönetilmesi. merkezi olarak yönetilen olay sonrasında incelenmek üzere güvenilir delillerin elde edilmesi için tutulacak kayıtların asgari niteliklerini dokümanına uygun olarak, merkezi bir şekilde tutulmasını ve yönetilmesini sağlar.
· Kurumsal SOME, siber olay öncesi, esnası ve sonrasındaki görev ve sorumlulukları ile kurumun diğer birimlerle ilişkilerini düzenler, siber olay yönetim talimatlarını (siber olay müdahale, siber olay bildirim süreci vb.) hazırlar.
· Siber güvenlik tatbikatlarını gerçekleştirirler
2- Siber Olay Esnası
Merkezi güvenlik izleme ve olay yönetiminde görev alan ekibin yapacağı müdahalenin koordine edilmesi, siber olay ile ilgili çalışmanın tamamlandığı bilgisinin verilmesi, Siber olay müdahalenin tamamlanması, sistemlerin çalışır hale gelmesi için gerekli teknik müdahaleyi yapması Merkezi güvenlik izleme ve olay yönetimi oluştururken görev alan ekip tarafından beklenmektedir.
3- Siber Olay Sonrası
Kurumda bir siber olay gerçekleştikten ve olaya müdahale edildikten sonra Merkezi güvenlik izleme ve olay yönetiminde görev alan ekip aşağıdaki görevleri icra ederler:
a) Zaman geçirmeden olaya neden olan açıklık belirlenir ve çıkarılan dersler kayıt altına alınır.
b) Siber olay ile ilgili bilgileri USOM tarafından belirlenen kriterlere uygun şekilde Siber Olay Değerlendirme Formunu doldurarak USOM’a ve varsa bağlı olduğu Sektörel SOME’ye gönderir ve kayıt altına alır.
c) Olayla ilgili olarak gerçekleştirilebilecek düzeltici/önleyici faaliyetlere ilişkin öneriler kurum yönetimine arz edilir.
d) Yaşanan siber olayların türleri, miktarları ve maliyetleri ölçülüp izlenir.
e) Yaşanan siber olaya ilişkin iş ve işlemlerin detaylı bir şekilde anlatıldığı siber olay müdahale raporu hazırlanır, üst yönetim, USOM ve varsa bağlı olduğu Sektörel SOME’ye iletilir.
Kurum bir merkezi güvenlik izleme ve olay yönetimi sistemi oluşturduktan sonra hemen ardından faaliyet raporu oluşturmalıdır. Faaliyet raporu sayesinde bir siber saldırıya maruz kalındığı andan itibaren planlı bir şekilde hareket etmesini sağlar. Tavsiye olarak faaliyet raporunda bulunması gereken başlıklar;
1. İnsan Kaynağı
a. Personel durumu
b. Kurum içi farkındalık çalışmaları
c. Alınan eğitimler, gidilen konferanslar
2. Risk Analizi Süreci
a. Bilişim sistemleri test faaliyetleri
b. İz kayıtları inceleme faaliyetleri
c. Müdahale ve koordine edilen siber olaylar
3. Edinilen tecrübeler ve uygulanan düzeltici faaliyetler
4. Kurum içi ve dışı paydaşlarla yapılan çalışmalar
5. Diğer faaliyetler
Merkezi Kayıt Yönetiminin Yetenekleri
– BT altyapısından olan olaylar hakkında bilgi sahibi olma
– Sistemde olan kritik olaylar hakkında haber verme yetenekleri
– Gelişmiş saldırıların tespiti
– Olay ilişkilendirme
– Risk hesaplama
– Detaylı raporlama ve olay takibi
– Aynı kayıtların birleştirilebilmesi
– Uyarı, alarm mekanizmaları
– Dashboard’lar yardımı ile görsel analiz
– Mevzuata uyumluluk
– Kayıtların uzun süreli saklanabilmesi
– Adli analiz
– Gerçek zamanlı veri ve kullanıcı izleme
– Tehdit bilgisi
– Uygulamaların izlenmesi
– Tek merkezden yönetim
Merkezi Kayıt Yönetimi sistemlerin kurulum aşamaları;
1- Planlama
– Kurum bilgi sistemlerinin varlık envanterinin çıkartılması
– Varlık envanterindeki varlıklara risk değeri ataması
– Kurum ağ topolojisinin çıkartılması
– Toplanacak kayıtların (logların) önceliklendirilmesi ve belirlenmesi
– Merkezi Kayıt Yönetimi ve Güvenlik İzleme Sistemi bileşenlerinin planlanması
2- Bileşenlerin Kurulumu
– Kayıt (Log) sunucularının kurulumu
– Merkezi Güvenlik İzleme sunucusunu kurulumu
– Sensörlerin kurulumu
– Raporlama araçlarının kurulumu
– Depolama alanlarının kurulumu
3- Kayıtların Toplanması
– Uygulamalar
– Web / Uygulama sunucuları
– Veritabanları
– Yetkilendirme sunucuları
• LDAP
• AD
• Aruba Radius
– İşletim sistemleri
– Windows
– Linux
– Sanallaştırma Sistemi
– Yedekleme sistemi
– Güvenlik cihazları
• Güvenlik Duvarı
• Saldırı Tespit ve Önleme sistemi (IDS/IPS)
• Antivirus Sistemleri
• İçerik Filtreleyiciler
• Veri Kaçağı Önleme Sistemi
– Ağ ve aktif Cihazlar
• Yönlendiriciler ve Anahtarlama Cihazları
• Ağ Akış Kayıtları (Netflow)
4- Saldırı Tespit Sistemlerin Entegre Edilmesi
Saldırı Tespit Sistemleri, ağlara veya sistemlere karşı yapılan kötü niyetli aktiviteleri ya da kurum içerisinde olan politik ihlalleri izlemeye yarayan cihaz ya da yazılımlardır. Tespit edilen herhangi bir zararlı aktivite bildirim olarak STS sistemleri sayesinde merkezi olarak toplanıp sunulduğunu gösteren dashborad üzerinden takibi yapılır. STS sistemleri, çeşitli kaynaklardan gelen çıktıları birleştirir ve kötü niyetli alarmı yanlış alarmlardan ayırmak için alarm filtreleme teknikleri kullanır. En yaygın STS sistemlerine örnek olarak; Ağ saldırı tespit sistemleri (NIDS), Bilgisayar tabanlı saldırı tespit sistemleri (HIDS), SIEM, SOAR, IDS, IPS örnek verilebilir. Bu sistemin temel görevi kötü niyetli aktiviteleri belirlemek ve saldırının türünü rapor etmektir.
– IDS kurulumu ve yapılandırılması
– IPS kurulumu ve yapılandırılması
– DMZ saldırı tespit ve önleme kurulumu ve yapılandırılması
– Kritik sunucularda denetim (loglarının açılması) kayıtlarının tutulması için
yapılandırmaların yapılması
– SIEM sistemleri kurulumu ve yapılandırılması
– Olay ilişkilendirme sistemleri (SIM) kurulumu ve yapılandırılması
– SOAR sistemlerini kurulumu ve yapılandırılması
Ücretsiz Açık Kaynak Sistemleri
§ ACARM-ng
§ AIDE
§ Bro NIDS
§ Fail2ban
§ OSSEC HIDS
§ Prelude Hybrid IDS
§ Samhain
§ Snort
§ Suricata
5- İlişkilendirme ve Saldırı Senaryoları
– Hazır ilişkilendirme kurallarının uyarlanması ve muhtemel saldırı senaryolarının belirlenip kuralların oluşturulması
– Brute force
– Port scan
– Pass the hash
– Simetrik bağlantılar
– Mesai dışı hareketler
– Aşırı bandwith kullanımı
– Aynı hesabın birden çok makinada login olması
– Sistem yönetici makinalarına erişim denemeleri
– Kritik kullanıcılara erişim denemeleri
– Kritik sunuculara yetkisiz ağlardan erişim denemeleri
– Uyarı / önlem mekanizmalarının belirlenmesi
– E-posta uyarı mekanizmalarının oluşturulması
– Saldırı engelleme ya da saldırı tespit sistemi olarak çalışma modunun ayarlanması
6- Dashboard Tasarımı
7- Olay Müdahale ve Alarm Üretimi
– Üretilen alarmlar incelenir
– Gerekli durumlarda ilgili birimler harekete geçirilir
– Gerekli aksiyonlar alınarak sorun giderilir
– Sistem eski haline getirilir
– Sorunun kaynağı raporlanır
– Gerçekleştirilen tüm işlemler kayıt altına alınır
– Aynı sorunun tekrar yaşanmaması için ilgili önlemler alınır
8- Raporlama
– Üretilecek raporların belirlenmesi