Merkezi Güvenlik İzleme
Ve Olay Yönetimi
Bilgi ve iletişim teknolojilerinin yaygın
kullanımı ile siber ortam tehditlerinin niteliğinde ve niceliğinde gelişmeler
yaşanmaktadır. Siber tehditler bireyleri, kurum ve kuruluşları hatta devletleri
hedef almaktadır. Ülkeler siber güvenliklerini sağlamak amacıyla idari
yapılanmalar gerçekleştirmekte, teknik önemler almakta ve hukuki altyapılar
hazırlamaktadır. Gerçekleşebilecek bir siber saldırıyı engellemek adına kurumlar
kendi içerisinde bulunan bilgi sistemleri ve ağ bileşenleri günlük kayıt tutar
yani log üretirler. Bu aktivite kayıtlarının yani log kayıtlarının izlenildiği
gibi bir siber olay sırasında filtrelenerek saldırı tekniklerinin tespit
edilmesi ve yaşanılabilecek siber olayları ortaya çıkartılması gereklidir. Bu
aktivite kayıtları izlediği gibi bir siber olay sırasında gelen saldırıları
engellemek ve siber olayların ortaya çıkartılmasını Merkezi güvenlik izleme ve
olay yönetimi sistemler ile sağlamak mümkündür. Farklı sistemlerden gelen
birçok olayın ilişkilendirilmesi ve anlamlı sonuçlar üretilebilmesi oldukça
zor, aynı zamanda hayati bir önem taşımaktadır. Kritik Altyapı Sektörü (Enerji,
Elektronik Haberleşme, Finans, Su yönetimi, Kritik Kamu Hizmetleri, Ulaştırma…)
ve kendi üzerinde sistemlerini kontrol eden tüm kuruluşların Merkezi güvenlik
izleme ve olay yönetimi sistemine ihtiyaç vardır.
Merkezi güvenlik izleme ve olay
yönetiminde İz Kayıtlarının Merkezi Olarak Yönetilmesi avantajları
bulunmaktadır bu avatajlara geçemden önce temel bilinmesi gerek LOG kayıtları
hakkında kısaca bilgi verecek olursak;
Kayıt
(Log) Nedir? Kayıtlı delil demektir. Yaşanılacak bir
durumda üretilen log sayesinde elimizde bir delil niteliğine sahip veriler
bulunur. Her türlü iç, dış, uluslar arası saldırıda hukuktan faydalanmak ve
faillerin yakalanması, caydırıcılık için gereklidir. Üretilen loglar İç tetkik
birimleri, ulusal veya uluslar arası mahkemeler tarafından değerlendirilir.
Üretilen loglar sayesinde 5 Ne 1 K
sorularına cevap verebiliriz örneğin;
Ø Ne?
Yetkisiz erişim, kayıtlar
silindi, yetkili kullanıcı oluşturuldu...
Ø Ne
zaman?
Cum 28 15:44:28 2015,
10/08/2015, 2015-01-30 15:45:44
12350495043800345345,
12.01.2015 10:33:56
Ø Nerede?
Dosya sunucu, e-posta,
web servisiniz, aktif dizin?
Ø Nereden?
Saldırı 99.214.77.13
adresinden Guanjou Internet Sağlayıcı, Beijing Çin
•
Ofisin 3.katından biri,
rus hacker’lar
•
Çalınan veri 56.2.3.5
adresine Karachi, Pakistan’a gönderildi
Ø Nasıl?
•
SQL enjeksiyonu, kaba
kuvvet saldırısı, spam, sosyal mühendislik...
Ø Kim?
•
10.2.2.4, mehmet,
FF01::101, 01:23:45:67:89:AB
Kayıtlı LOG’lar sayesinde merkezi güvenlik
izleme ve olay yönetiminde görev alan ekipler;
·
LOG’ları izleyebilir
·
İzlediği LOG’ları analizi
·
Oluşan bir problemi
LOG’lar sayesinde giderebilir
·
Eldeki LOG’lar sayesinde
geçmişte ne olduğu hakkında bilgi verilebilir
·
Adli Delil inceleme
yapılabilir
·
Bir siber olay
müdahalesinde bulunulabilir
LOG
Türleri;
·
Windows Eventlog
·
UNIX Syslog
·
Cisco Netflow
·
Performans Logları
·
Uygulama Logları
·
Firewall
o Checkpoint
o Juniper
Netscreen
o Cisco
PIX/ASA/FWSM
·
IDS log formatları
o Sourcefire
Snort
o McAfee
Intrushield
o Cisco
IPS
o Tippingpoint
·
Web sunucuları
o Apache
o Tomcat
·
Internet Information
Systems (IIS)
LOG
Toplanırken Karşılaşılan Problemler
·
İzlenecek çok sayıda envanter
olduğundan hangi LOG güvenlik için değerli olduğu karşılaştırılabilir.
·
LOG’lar farklı yerlerde
dağınık olarak durduğunda tek tek bakılması ve analiz edilmesi zorlaşmaktadır.
·
Kayıt inceleme
yazılımları tek başlarına yetersiz kalmaktadır gelen alarmlara müdahale etmek
adına ek sistemler kullanılmalıdır.
·
Farklı biçim ve türde çok
fazla LOG kaydı bulunmaktadır
·
LOG üreticilerinin farklı
yapılandırma ayarları mevcuttur yani standart bir formatın yoktur.
·
Uygulama bazlı LOG’lar
üretilmektedir.
Merkezi güvenlik izleme ve olay yönetimi
oluştururken görev alan ekip temelde üstlenmiş olduğu görevler vardır bu
görevler siber olay öncesi, esnası ve sonrasında olmak üzere 3 ana başlığa
ayırabiliriz. Sırayla açıklamak gerekirse;
1-
Siber
Olay Öncesi
Kurumda bir siber olayın yaşanmadığı veya
gerçekleşmediği durumda Merkezi güvenlik izleme ve olay yönetimi oluştururken
görev alan ekibin yapması gerekenler;
·
Kurum içi farkındalık çalışmalarının
gerçekleştirilmesi.
·
Siber güvenlik ile ilgili
periyodik olarak kurum içi bülten hazırlanması.
·
Kurumun bilgi güvenliği
farkındalığını ölçecek anketlerin düzenli olarak yapılması.
·
Kurumsal bilişim
sistemleri sızma testlerinin yapılması veya yaptırılması.
·
Kayıtların düzenli olarak
incelenmesi yapılmalı var olan zafiyetler kapatılmalı.
·
Log kayıtlarının merkezi
olarak yönetilmesi. merkezi olarak yönetilen olay sonrasında incelenmek üzere
güvenilir delillerin elde edilmesi için tutulacak kayıtların asgari
niteliklerini dokümanına uygun olarak, merkezi bir şekilde tutulmasını ve
yönetilmesini sağlar.
·
Kurumsal SOME, siber olay
öncesi, esnası ve sonrasındaki görev ve sorumlulukları ile kurumun diğer
birimlerle ilişkilerini düzenler, siber olay yönetim talimatlarını (siber olay
müdahale, siber olay bildirim süreci vb.) hazırlar.
·
Siber güvenlik tatbikatlarını
gerçekleştirirler
2-
Siber
Olay Esnası
Merkezi güvenlik izleme ve olay
yönetiminde görev alan ekibin yapacağı müdahalenin koordine edilmesi, siber
olay ile ilgili çalışmanın tamamlandığı bilgisinin verilmesi, Siber olay
müdahalenin tamamlanması, sistemlerin çalışır hale gelmesi için gerekli teknik
müdahaleyi yapması Merkezi güvenlik izleme ve olay yönetimi oluştururken görev
alan ekip tarafından beklenmektedir.
3-
Siber
Olay Sonrası
Kurumda bir siber
olay gerçekleştikten ve olaya müdahale edildikten sonra Merkezi güvenlik izleme
ve olay yönetiminde görev alan ekip aşağıdaki görevleri icra ederler:
a) Zaman
geçirmeden olaya neden olan açıklık belirlenir ve çıkarılan dersler kayıt
altına alınır.
b) Siber
olay ile ilgili bilgileri USOM tarafından belirlenen kriterlere uygun şekilde Siber
Olay Değerlendirme Formunu doldurarak USOM’a ve varsa bağlı olduğu Sektörel
SOME’ye gönderir ve kayıt altına alır.
c) Olayla
ilgili olarak gerçekleştirilebilecek düzeltici/önleyici faaliyetlere ilişkin
öneriler kurum yönetimine arz edilir.
d) Yaşanan
siber olayların türleri, miktarları ve maliyetleri ölçülüp izlenir.
e) Yaşanan
siber olaya ilişkin iş ve işlemlerin detaylı bir şekilde anlatıldığı siber olay
müdahale raporu hazırlanır, üst yönetim, USOM ve varsa bağlı olduğu Sektörel
SOME’ye iletilir.
Kurum bir merkezi güvenlik izleme ve olay
yönetimi sistemi oluşturduktan sonra hemen ardından faaliyet raporu
oluşturmalıdır. Faaliyet raporu sayesinde bir siber saldırıya maruz kalındığı
andan itibaren planlı bir şekilde hareket etmesini sağlar. Tavsiye olarak
faaliyet raporunda bulunması gereken başlıklar;
1.
İnsan
Kaynağı
a. Personel
durumu
b. Kurum
içi farkındalık çalışmaları
c. Alınan
eğitimler, gidilen konferanslar
2.
Risk
Analizi Süreci
a. Bilişim
sistemleri test faaliyetleri
b. İz
kayıtları inceleme faaliyetleri
c. Müdahale
ve koordine edilen siber olaylar
3.
Edinilen
tecrübeler ve uygulanan düzeltici faaliyetler
4.
Kurum
içi ve dışı paydaşlarla yapılan çalışmalar
5.
Diğer
faaliyetler
Merkezi
Kayıt Yönetiminin Yetenekleri
– BT altyapısından olan olaylar hakkında bilgi
sahibi olma
– Sistemde olan kritik olaylar hakkında haber
verme yetenekleri
– Gelişmiş saldırıların tespiti
– Olay ilişkilendirme
– Risk hesaplama
– Detaylı raporlama ve olay takibi
– Aynı kayıtların birleştirilebilmesi
– Uyarı, alarm mekanizmaları
– Dashboard’lar yardımı ile görsel analiz
– Mevzuata uyumluluk
– Kayıtların uzun süreli saklanabilmesi
– Adli analiz
– Gerçek zamanlı veri ve kullanıcı izleme
– Tehdit bilgisi
– Uygulamaların izlenmesi
– Tek merkezden yönetim
Merkezi Kayıt Yönetimi sistemlerin kurulum aşamaları;
1-
Planlama
– Kurum bilgi
sistemlerinin varlık envanterinin çıkartılması
– Varlık
envanterindeki varlıklara risk değeri ataması
– Kurum ağ
topolojisinin çıkartılması
– Toplanacak
kayıtların (logların) önceliklendirilmesi ve belirlenmesi
– Merkezi Kayıt
Yönetimi ve Güvenlik İzleme Sistemi bileşenlerinin planlanması
2-
Bileşenlerin
Kurulumu
– Kayıt (Log)
sunucularının kurulumu
– Merkezi Güvenlik
İzleme sunucusunu kurulumu
– Sensörlerin
kurulumu
– Raporlama
araçlarının kurulumu
– Depolama
alanlarının kurulumu
3-
Kayıtların
Toplanması
– Uygulamalar
– Web / Uygulama
sunucuları
– Veritabanları
– Yetkilendirme
sunucuları
•
LDAP
•
AD
•
Aruba Radius
– İşletim sistemleri
– Windows
– Linux
– Sanallaştırma Sistemi
– Yedekleme sistemi
– Güvenlik cihazları
• Güvenlik Duvarı
• Saldırı Tespit
ve Önleme sistemi (IDS/IPS)
• Antivirus
Sistemleri
• İçerik Filtreleyiciler
• Veri Kaçağı
Önleme Sistemi
– Ağ ve aktif Cihazlar
• Yönlendiriciler
ve Anahtarlama Cihazları
• Ağ Akış
Kayıtları (Netflow)
4-
Saldırı
Tespit Sistemlerin Entegre Edilmesi
Saldırı Tespit
Sistemleri, ağlara veya sistemlere karşı yapılan kötü niyetli aktiviteleri ya
da kurum içerisinde olan politik ihlalleri izlemeye yarayan cihaz ya da
yazılımlardır. Tespit edilen herhangi bir zararlı aktivite bildirim olarak STS
sistemleri sayesinde merkezi olarak toplanıp sunulduğunu gösteren dashborad üzerinden
takibi yapılır. STS sistemleri, çeşitli kaynaklardan gelen çıktıları
birleştirir ve kötü niyetli alarmı yanlış alarmlardan ayırmak için alarm
filtreleme teknikleri kullanır. En yaygın STS sistemlerine örnek olarak; Ağ
saldırı tespit sistemleri (NIDS), Bilgisayar tabanlı saldırı tespit sistemleri
(HIDS), SIEM, SOAR, IDS, IPS örnek verilebilir. Bu sistemin temel görevi kötü
niyetli aktiviteleri belirlemek ve saldırının türünü rapor etmektir.
– IDS kurulumu ve
yapılandırılması
– IPS kurulumu ve
yapılandırılması
– DMZ saldırı
tespit ve önleme kurulumu ve yapılandırılması
– Kritik
sunucularda denetim (loglarının açılması) kayıtlarının tutulması için
yapılandırmaların yapılması
– SIEM sistemleri kurulumu
ve yapılandırılması
– Olay
ilişkilendirme sistemleri (SIM) kurulumu ve yapılandırılması
– SOAR sistemlerini kurulumu ve
yapılandırılması
Ücretsiz Açık
Kaynak Sistemleri
§ ACARM-ng
§ AIDE
§ Bro
NIDS
§ Fail2ban
§ OSSEC
HIDS
§ Prelude
Hybrid IDS
§ Samhain
§ Snort
§ Suricata
5-
İlişkilendirme
ve Saldırı Senaryoları
– Hazır ilişkilendirme
kurallarının uyarlanması ve muhtemel saldırı senaryolarının belirlenip
kuralların oluşturulması
–
Brute force
–
Port scan
–
Pass the hash
–
Simetrik bağlantılar
– Mesai dışı hareketler
–
Aşırı bandwith kullanımı
–
Aynı hesabın birden çok makinada login olması
–
Sistem yönetici makinalarına erişim denemeleri
–
Kritik kullanıcılara erişim denemeleri
–
Kritik sunuculara yetkisiz ağlardan erişim denemeleri
– Uyarı / önlem
mekanizmalarının belirlenmesi
–
E-posta uyarı mekanizmalarının oluşturulması
–
Saldırı engelleme ya da saldırı tespit sistemi olarak çalışma modunun
ayarlanması
6-
Dashboard
Tasarımı
7-
Olay
Müdahale ve Alarm Üretimi
– Üretilen alarmlar
incelenir
– Gerekli durumlarda
ilgili birimler harekete geçirilir
– Gerekli aksiyonlar
alınarak sorun giderilir
– Sistem eski haline
getirilir
– Sorunun kaynağı
raporlanır
– Gerçekleştirilen tüm
işlemler kayıt altına alınır
– Aynı sorunun tekrar
yaşanmaması için ilgili önlemler alınır
8-
Raporlama
– Üretilecek raporların
belirlenmesi
0 Yorumlar
Yorumunuz için teşekkür ederiz.