03 Haz, 2021

Merkezi Güvenlik İzleme ve Olay Yönetimi

Bilgi ve iletişim teknolojilerinin yaygın kullanımı sayesinde siber ortam tehditlerinin niteliğinde ve niceliğinde gelişmeler yaşanmaktadır. Siber tehditler; bireyleri, kurum ve kuruluşları hatta devletleri hedef almaktadır. Ülkeler siber güvenliklerini sağlamak amacıyla idari yapılandırmalar gerçekleştirmekte, teknik önlemler almakta ve hukuki altyapılara uygun hale gelmektedir. Gerçekleşebilecek bir siber saldırıyı engellemek amacıyla kurumlar kendi içerisinde bulunan bilgi sistemleri ve ağ bileşenlerine ait günlük kayıt (log kaydı) tutar. Bu log kayıtlarının izlenildiği gibi bir siber olay sırasında filtrelenerek saldırı tekniklerinin tespit edilmesi ve yaşanabilecek siber olayların tespit edilmesi gereklidir. Bu tespiti, merkezi güvenlik izleme ve olay yönetimi sistemleri ile sağlamak mümkündür. Farklı sistemlerden gelen birçok olayın ilişkilendirilmesi ve anlamlı sonuçlar elde edilmesi oldukça zordur. Aynı zamanda hayati bir önem taşımaktadır. Kritik Altyapı Sektörü (enerji, elektronik, haberleşme, finans, su yönetimi, kritik kamu hizmetleri, ulaştırma vb.) ve kendi bünyesinde sistemleri kontrol eden tüm kuruluşların merkezi güvenlik izleme ve olay yönetimi sistemine ihtiyaçları vardır.

Merkezi güvenlik izleme ve olay yönetiminde iz kayıtlarının merkezi olarak yönetilmesi gibi avantajları da bulunmaktadır. Bu avantajlara geçmeden önce log kayıtları hakkında kısaca bilgi verecek olursak;

Log Nedir? Dijital ortamda gerçekleşen tüm faaliyetlerin kayıt altına alınmasıdır. Üretilen log sayesinde yaşanılan herhangi bir durumda delil niteliğine sahip veriler bulunur.

Tutulan loglar sayesinde 5N1K sorularına cevap vermek mümkündür. Örneğin;

-Ne?
-Yetkisiz erişimin olması, kayıtların silinmesi, yetkili kullanıcı oluşturulması…
-Ne zaman?
-Cuma 28 15:44:28 2015, 10/08/2015, 2015-01-30 15:45:44
-12350495043800345345, 12.01.2015 10:33:56
-Nerede?
-Dosya sunucusunda, e-postada, web servisinde, aktif dizinde
-Nereden?
-Saldırı 99.214.77.13 adresinden Guanjou Internet Sağlayıcı, Beijing Çin
-Ofisin 3.katından biri
-Çalınan veri 56.2.3.5 adresine Karachi, Pakistan’a gönderildi
-Nasıl?
-SQL enjeksiyonu, kaba kuvvet saldırısı, spam, sosyal mühendislik…
-Kim?
-10.2.2.4, mehmet, FF01::101, 01:23:45:67:89:AB

Kayıtlı loglar sayesinde merkezi güvenlik izleme ve olay yönetiminde görev alan ekipler;

-Logları izleyebilir.
-İzlediği logları analiz edebilir.
-Oluşan bir problemi loglar sayesinde giderebilir.
-Elindeki loglar sayesinde geçmişte ne olduğu hakkında bilgi verebilir.
-Adli delil inceleme yapılabilir.
-Bir siber olay müdahalesinde bulunulabilir.

Log Türleri;
-Windows Event Log
-UNIX Syslog
-Cisco Netflow
-Performans Logları
-Uygulama Logları
-Firewall
-Checkpoint
-Juniper Netscreen
-Cisco PIX/ASA/FWSM
-IDS log formatları
-Sourcefire Snort
-McAfee Intrushield
-Cisco IPS
-Tippingpoint
-Web sunucuları
-Apache
-Tomcat
-Internet Information Systems (IIS)

LOG Toplanırken Karşılaşılan Problemler

-İzlenecek çok sayıda envanter olduğundan hangi log güvenlik için değerli olduğu karşılaştırılabilir.
-Loglar farklı yerlerde dağınık olarak durduğunda tek tek bakılması ve analiz edilmesi zorlaşmaktadır.
-Kayıt inceleme yazılımları tek başlarına yetersiz kalmaktadır, gelen alarmlara müdahale etmek adına ek sistemler kullanılmalıdır.
-Farklı biçim ve türde çok fazla log kaydı bulunmaktadır.
-Log üreticilerinin farklı yapılandırma ayarları mevcuttur yani standart bir formatı yoktur.
-Uygulama bazlı loglar üretilmektedir.

Merkezi güvenlik izleme ve olay yönetimi oluştururken görev alan ekibin temelde üstlenmiş olduğu görevler vardır. Bu görevleri siber olay öncesinde, esnasında ve sonrasında olmak üzere 3 ana başlığa ayırabiliriz.

Sırayla açıklamak gerekirse;

Siber Olay Öncesi
Kurumda bir siber olayın yaşanmadığı veya gerçekleşmediği durumda merkezi güvenlik izleme ve olay yönetimi oluştururken görev alan ekibin yapması gerekenler;

-Kurum içi farkındalık çalışmalarının gerçekleştirilmesi.
-Siber güvenlik ile ilgili periyodik olarak kurum içi bülten hazırlanması.
-Kurumun bilgi güvenliği farkındalığını ölçecek anketlerin düzenli olarak yapılması.
-Kurumsal bilişim sistemlerine yönelik sızma testlerinin yapılması veya yaptırılması.
-Kayıtların düzenli olarak incelenmesi.
-Log kayıtlarının merkezi olarak yönetilmesi gerekir. Merkezi olarak yönetilen olay sonrasında incelenmek üzere güvenilir delillerin elde edilmesi için tutulacak -kayıtların asgari niteliklerini dokümanına uygun olarak, merkezi bir şekilde tutulmasını ve yönetilmesini sağlar.
-Kurumsal SOME, siber olay öncesinde, esnasında ve sonrasındaki görev ve sorumlulukları ile kurumun diğer birimlerle ilişkilerini düzenler, siber olay yönetim -talimatlarının (siber olay müdahale, siber olay bildirim süreci vb.) hazırlanması
-Siber güvenlik tatbikatlarının gerçekleştirilmesi.

Siber Olay Esnası
Kurumda bir siber olay gerçekleştikten ve olaya müdahale edildikten sonra Merkezi güvenlik izleme ve olay yönetiminde görev alan ekip aşağıdaki görevleri icra ederler:

-Zaman geçirmeden olaya neden olan açıklık belirlenir ve çıkarılan dersler kayıt altına alınır.
-Siber olay ile ilgili bilgileri USOM tarafından belirlenen kriterlere uygun şekilde, siber olay değerlendirme formunu doldurarak USOM’a ve varsa bağlı olduğu Sektörel SOME’ye gönderip kayıt altına alır.
-Olayla ilgili olarak gerçekleştirilebilecek düzeltici/önleyici faaliyetlere ilişkin öneriler kurum yönetimine arz edilir.
-Yaşanan siber olayların türleri, miktarları ve maliyetleri ölçülüp izlenir.
-Yaşanan siber olaya ilişkin işlemlerin detaylı bir şekilde anlatıldığı siber olay müdahale raporu hazırlanır. Üst yönetim, USOM ve varsa bağlı olduğu Sektörel SOME’ye iletilir.

Kurum bir merkezi güvenlik izleme ve olay yönetimi sistemi oluşturduktan sonra hemen ardından faaliyet raporu oluşturmalıdır. Faaliyet raporu sayesinde bir siber saldırıya maruz kalındığı andan itibaren planlı bir şekilde hareket etmesini sağlar. Tavsiye olarak faaliyet raporunda bulunması gereken başlıklar;

İnsan Kaynağı

-Personel durumu
-Kurum içi farkındalık çalışmaları
-Alınan eğitimler, konferanslar

Risk Analizi Süreci

-Bilişim sistemleri test faaliyetleri
-İz kayıtları inceleme faaliyetleri
-Müdahale ve koordine edilen siber olaylar

Edinilen tecrübeler ve uygulanan düzeltici faaliyetler

Kurum içi ve dışı paydaşlarla yapılan çalışmalar

Diğer faaliyetler

Merkezi Kayıt Yönetiminin Yetenekleri

– BT altyapısından olan olaylar hakkında bilgi sahibi olma
– Sistemde olan kritik olaylar hakkında haber verme yetenekleri
– Gelişmiş saldırıların tespiti
– Olay ilişkilendirme
– Risk hesaplama
– Detaylı raporlama ve olay takibi
– Aynı kayıtların birleştirilebilmesi
– Uyarı, alarm mekanizmaları
– Dashboard’lar yardımı ile görsel analiz
– Mevzuata uyumluluk
– Kayıtların uzun süreli saklanabilmesi
– Adli analiz
– Gerçek zamanlı veri ve kullanıcı izleme
– Tehdit bilgisi
– Uygulamaların izlenmesi
– Tek merkezden yönetim

Merkezi Kayıt Yönetimi sistemlerin kurulum aşamaları;

Planlama
– Kurum bilgi sistemlerinin varlık envanterinin çıkartılması
– Varlık envanterindeki varlıklara risk değeri ataması
– Kurum ağ topolojisinin çıkartılması
– Toplanacak logların önceliklendirilmesi ve belirlenmesi
– Merkezi Kayıt Yönetimi ve Güvenlik İzleme Sistemi bileşenlerinin planlanması

Bileşenlerin Kurulumu
– Log sunucularının kurulumu
– Merkezi güvenlik izleme sunucusunu kurulumu
– Sensörlerin kurulumu
– Raporlama araçlarının kurulumu
– Depolama alanlarının kurulumu

Kayıtların Toplanması
– Uygulamalar
– Web / uygulama sunucuları
– Veri tabanları
– Yetkilendirme sunucuları
• LDAP
• AD
• Aruba Radius
– İşletim sistemleri
– Windows
– Linux
– Sanallaştırma sistemi
– Yedekleme sistemi
– Güvenlik cihazları
• Güvenlik duvarı
• Saldırı tespit ve önleme sistemi (IDS/IPS)
• Antivirus sistemleri
• İçerik filtreleyiciler
• Veri kaçağı önleme sistemi
– Ağ ve aktif cihazlar
• Yönlendiriciler ve anahtarlama cihazları
• Ağ akış kayıtları (Netflow)

Saldırı Tespit Sistemlerin Entegre Edilmesi

Saldırı Tespit Sistemleri, ağlara veya sistemlere karşı yapılan kötü niyetli aktiviteleri ya da kurum içerisinde olan politik ihlalleri izlemeye yarayan cihaz/yazılımlardır. Tespit edilen herhangi bir zararlı aktivite bildirim olarak STS sistemleri sayesinde merkezi olarak toplanıp sunulduğunu gösteren dashboard üzerinden takibi yapılır. STS sistemleri, çeşitli kaynaklardan gelen çıktıları birleştirir ve kötü niyetli alarmı yanlış alarmlardan ayırmak için alarm filtreleme teknikleri kullanır. En yaygın STS sistemlerine örnek olarak; ağ saldırı tespit sistemleri (NIDS), bilgisayar tabanlı saldırı tespit sistemleri (HIDS), SIEM, SOAR, IDS, IPS örnek verilebilir. Bu sistemin temel görevi kötü niyetli aktiviteleri belirlemek ve saldırının türünü rapor etmektir.

– IDS kurulumu ve yapılandırılması
– IPS kurulumu ve yapılandırılması
– DMZ saldırı tespit ve önleme kurulumu ve yapılandırılması
– Kritik sunucularda denetim (loglarının açılması) kayıtlarının tutulması için
yapılandırmaların yapılması
– SIEM sistemleri kurulumu ve yapılandırılması
– Olay ilişkilendirme sistemleri (SIM) kurulumu ve yapılandırılması
– SOAR sistemlerini kurulumu ve yapılandırılması

Ücretsiz Açık Kaynak Sistemleri

•ACARM-ng
•AIDE
•Bro NIDS
•Fail2ban
•OSSEC HIDS
•Prelude Hybrid IDS
•Samhain
•Snort
•Suricata

İlişkilendirme ve Saldırı Senaryoları

– Hazır ilişkilendirme kurallarının uyarlanması ve muhtemel saldırı senaryolarının belirlenip kuralların oluşturulması
– Brute force
– Port scan
– Pass the hash
– Simetrik bağlantılar
– Mesai dışı hareketler
– Aşırı bandwith kullanımı
– Aynı hesabın birden çok makinada login olması
– Sistem yönetici makinalarına erişim denemeleri
– Kritik kullanıcılara erişim denemeleri
– Kritik sunuculara yetkisiz ağlardan erişim denemeleri

– Uyarı/önlem mekanizmalarının belirlenmesi
– E-posta uyarı mekanizmalarının oluşturulması
– Saldırı engelleme ya da saldırı tespit sistemi olarak çalışma modunun ayarlanması

Dashboard Tasarımı

Olay Müdahale ve Alarm Üretimi

– Üretilen alarmlar incelenir
– Gerekli durumlarda ilgili birimler harekete geçirilir
– Gerekli aksiyonlar alınarak sorun giderilir
– Sistem eski haline getirilir
– Sorunun kaynağı raporlanır
– Gerçekleştirilen tüm işlemler kayıt altına alınır
– Aynı sorunun tekrar yaşanmaması için ilgili önlemler alınır

Raporlama
– Üretilecek raporların belirlenmesi


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram