SİBER GÜVENLİK ÇÖZÜMLERİ

Güvenlik Olay Kayıt ve Yönetim Yazılımı (Sıem)

Daha gelişmiş bir sistem olarak görülen SIEM ise log analizine göre daha ince detaylı yapılandırma ve raporlama seçenekleri sunmaktadır.

Daha gelişmiş bir sistem olarak görülen SIEM ise log analizine göre daha ince detaylı yapılandırma ve raporlama seçenekleri sunmaktadır. SIEM’in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir.

SIEM ürünleri çevre birimlerden uç kullanıcılara kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve analiz eden sistemlerdir. SIEM’in çeşitli sistemlerden loglanan farklı formatlardaki olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme denir. Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik tehditlerinin tespitine ve harekete geçilmesine yardımcı olur.

Birleştirme(aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır.

SIEM’in çalışma mekanizması
  • Loglama ve veri toplama
  • Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygulamak
  • Bağımsız gibi görünen olayları birbiriyle bağlantılandırmak ya da olayları datayla ilişkilendirmek
  • Yöneticilere mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak
  • Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunan izleme paneli sağlamak
  • SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek

Log Yönetimi ve SIEM aynı şeymiş gibi algılanmaktadır. Hatta SIEM i log yönetiminin bir alt kümesi veya biraz özelleşmiş hali olarak görenler de çoktur. Bu iki görüş de hatalıdır. Hatta maalesef bu iki görüş sahipleri bu görüşleriyle kurumsal güvenlik politikalarına negatif etki yaparlar ve güvenlik politikalarında indirgeyici bir yönetim sergilemiş olurlar. Şöyle ki Log Yönetimi logları toplama, anlamlandırma (aggregate) ve raporlama içerir SIEM ise güvenlik açısından bu anlamlandırılan verileri gerçek zamanlı analiz etmeyi ve alarm üretmeyi içerir. SIEM ve log yönetimi farkı:

  • Sınıflandırma (Taxonomy)
  • Korelasyon
  • Alarm

Logları toplamak ve hızlı arama (search) veya raporlama yapabilmek SIEM demek değildir. Log Yönetimi konusunda onlarca çok iyi ve hızlı açık kaynak kodlu ürün de mevcuttur

  • Twitter log Storm (Apache Storm)
  • Kibana/elasticsearch/logstash
  • Graylog
  • http://www.fluentd.org

Bu ürünler twitter , facebook gibi saatte TB larca dayı işleyebilen global firmalar tarafından geliştirilip sonra da açık kaynak dünyasına sunulmuş sistemlerdir. Bu konuda pek çok açık kaynaklı komponenet mevcuttur. Mesela Hadoop ve elasticsearch kullanarak çok çok hızlı bir log toplama ve arama yazılımını çok kolay oluşturabilirsiniz. Bu komponentlere ve kaynak kodlarına hem ticari hem de akademik erişim mümkündür.

https://hadoop.apache.org/

https://www.elastic.co/

SIEM çözümünün Log Yönetimi çözümlerine göre en temel farkı Korelasyon ve ürettiği alarmlardır. SIEM ürünlerinde Korelasyon özelliği temelde 2 ana gruba ayrılır. Korelasyon Motoru Olan Çözümler Bu gruptaki ürünlerin hepsi ayrı bir modül olarak ayrı bir korelasyon motoru içerir. İyi veya kötü bir korelasyon geliştirme sihirbazına sahiptir. Periyodik Sorgu Çalıştıran Ürünler Bu gruptaki ürünlerin hiçbirinde ayrı bir modül olarak bir korelasyon motoru yoktur.

Korelasyon sınıflandırma (taxonomy) ile birlikte SIEM sisteminin en can alıcı 2 yapısal taşından biridir. Bir SIEM çözümünün gerçek manada korelasyon motorunun olup olmadığını anlamak için verinin indekslenmiş olmasına ihtiyaç duymaması gerekir. Çok nadiren ürünlerin bazıları indekslenmiş veri üzerinde periyodik sorguları çalıştırıp adına korelasyon demektedir. Bu global bir yöntem olmadığı gibi dünyada uygulaması da genel kabul görmüş değildir. Temel olarak sorguların veri tabanı veya indekslenmiş veri üzerinde çalışmasından kaynaklanan zaaflar 3 adettir

  1. SQL/ NoSQL DB , indekslenmiş veriler üzerinde yüzlerce scriptin belli periyotlarla çalıştırılması bir performans problemine sebep olur. Çok sayıda kural yazılamaz
  2. Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz
  3. Script veya sorgu [SQL/ NoSQL] veya diğer ) bağımlı olduğu için gelişmiş kurallar yazılamaz

Ayrıca bu yöntem global olarak kullanılan bir yöntem de değildir. Bu yöntemin global referansları yoktur.

Bir korelasyon motorundan beklenen özellikler:
Görsel bir editör e sahip olması
  • Gelişmiş kurallar yazılabilmesi:
  • Önce A olayı olursa ve Aynı kaynak ve Kullanıcı 15 dakika içerisinde B olayını gerçekleştirmez ise ve sonrasında D olayı olursa uyar
  • Sadece öğle yemeği sırasında A olayı olursa uyar
  • Sadece hafta sonu D olayı olursa uyar o Bir olay olduysa 1 saat bir daha uyarma o Birbirinden farklı kaynak ve portlardan ama yanı kullanıcı tarafından dakikada X olay olursa uyar.
  • Sınıflandırma modülü ile entegrasyon
  • Port taraması olduğunda haber ver
  • Gerçek zamanlı olması ve hafızada çalışması. İndekslenmiş veri üzerinden sorgu şeklinde çalışmaması.
Log Kaynaklarının Belirlenmesi

Kurumdaki hangi IT sistemlerinden logların alınacağının belirlenmesi aşaması. Belirleme çalışmasında öncelikle kurumun uymakla yükümlü olduğu bir standart (PCI, ISO 27001) veya kanun ve yükümlülük (T.C. 5651, S.O.X vs) varsa önceliklendirme yapılmalıdır.

Genellikle orta ve büyük ölçekli kurumlarda log kaynaklarının tespiti ve önceliklendirmesi proje yönetimi aşamasında gerçekleştirilir. Bu aşamada belirleyeceğiniz kaynaklar proje sonrası ortaya çıkacak “Güvenlik Görselliğinizi” doğrudan etkileyecektir.

Aşağıda örnek bir projeden log kaynaklarının projenin başarısındaki oranları verilmiştir. Bu oranlar firmadan firmaya değişkenlik gösterebilmektedir.

Her bir ürün kategorisi için kurumda neler kullanılıyor envanteri çıkartılarak loglarının alınması sağlanmalıdır. Bu çalışma projenin sonunda hangi korelasyon kurallarının yazılıp yazılamayacağı konusunda en önemli gösterge olacaktır. Projenin sonraki adımları buradaki ürünlerin sayısı ve çeşidine göre süre olarak değişkenlik gösterecektir.

Temel olarak aşağıdaki log kaynaklarından log toplanmaktadır:

İşletim Sistemleri

  • Windows 2008, Windows 2012, Windows XP, 7 ve 8 , Red hat Linux, Suse Linux, IBM AIX, HP UIX

Veritabanı Sistemler

  • Oracle, MSsql, Sybase, Firebird

Sanallaştırma Sistemleri

  • Vmware, Microsoft, Citrix

Güvenlik Cihazları

  • Güvenlik Duvarı, Web Uygulama Güvenlik Duvarı, Saldırı Tespit ve Engelleme Sistemi, DLP, NAC, MDM, Anormallik Tespit Sistemi, DDoS Engelleme ve Tespit Sistemi, İçerik Filtreleme, Antivirüs, Antispam, APT Sistemleri Logları, Netflow, VPN Bağlantı Logları

Ağ Sistemleri

  • Switch, Router, Kablosuz Ağ AP, DNS , E-posta ve SMTP, VOIP Sistemleri, DHCP, FTP, SFTP Logları

Web Sunucu Uygulama Logları

  • Bilinen uygulama logları, Çağrı Merkezi Logları, Web Mail

Kaynaklardan Alınacak Logların Detay ve İçeriğinin Belirlenmesi

Log kaynaklarının belirlenmesinden sonra hangi log kaynağından ne tip bir log toplanacağı da aynı derecede önem arzetmektedir. Gereğinden fazla log toplayarak sistemin çalışmaması da gerektiği kadar log toplamayarak saldırı analizinde logların yetersiz kalması da sık karşılaşılan durumlardır.

Bu adımda belirlenen kapsam dahilinde hangi sistemlerden hangi tip logların hangi detayda alınacağının belirlendiği ve uygulamaya geçildiği aşamadır.

Log Anlamlandırma, Etiketleme ve Seviyelendirme Çalışması

Log kaynakları ve hangi tip logların toplanacağı belirlendikten sonraki ilk aşama toplanan logların basit seviye korelasyonudur. Bu aşamada gelen logların kurum için seviyelendirmesi ve etiketlenmesi gerçekleştirilecektir. Log etiketleme ve anlamlandırma IT sistemlerinin ürettiği spesifik kayıtların standart bir güvenlik uzmanının anlayacağı hale getirilmesidir.

Örnek verilecek olursa güvenlik duvarının ürettiği “big icmp packet” uyarısı yerine “Ping of death saldırısı” şeklinde logun üretilmesini sağlamak gibi.

Aynı zamanda bu adımda daha önce üretilen loglar arasındaki false positive’lerin elenmesi de vardır.

Gelişmiş Korelasyon Kurallarının Oluşturulması

Toplanan logların gerçek manada değer ifade edebilmesi için kurum ortamına özel korelasyon kurallarının tanımlanması ve destek alınan firmayla iş birliği içinde kullanılan SIEM çözümüne aktarılması gerekmektedir. Bu adımda kurumla birlikte ihtiyaç duyulabilecek korelasyon kuralları tanımlanarak sisteme giriş yapılacaktır.

Gelişmiş korelasyon kurallarının yazımı için en sağlıklı yöntem kuruma yönelik gerçekleşebilecek siber saldırılar düşünülerek tehdit ağacı oluşturmak ve bu ağacın dallarının her biri için uygun use-case’ler tanımlamak.

Use-case tanımlama için genellikle Cyber kill Chain kullanılmaktadır. HP’nin aşağıda 5 adımlık gösterilmiş Use-case tanımlama metodolojisi SIEM projeleri için önerilmektedir.

Siber Güvenlik Çözümlerimiz

Siber Güvenlik Çözümleri

5651 Loglama Çözümleri

Siber Güvenlik Çözümleri

Ağ Erişim Kontrolü (Nac)

Siber Güvenlik Çözümleri

Çoklu Kimlik Doğrulama Çözümleri (Mfa)

Siber Güvenlik Çözümleri

E-Posta Koruma Çözümleri (Antispam Gateway)

Siber Güvenlik Çözümleri

Gelişmiş ve Hedef Odaklı Ataklara Karşı Koyma Çözümleri (Atp)

Siber Güvenlik Çözümleri

Web Uygulama Güvenlik Duvarı (Waf)

Siber Güvenlik Çözümleri

Güvenlik Olaylarına Müdahale Ve Yönetim Yazılımı (Soar)

Siber Güvenlik Çözümleri

Kablosuz Misafir Erişim Yetkilendirme Çözümleri (Hotspot)

Siber Güvenlik Çözümleri

Saldırgan Oyalama Çözümleri (Deception Tech.)

Siber Güvenlik Çözümleri

Son Kullanıcı Güvenlik Çözümleri (Av – Edr)

Siber Güvenlik Çözümleri

Yeni Nesil Güvenlik Duvarı (Ngfw)

Siber Güvenlik Çözümleri

Yetkili Hesap Yönetim Çözümleri (Pam)

Siber Güvenlik Çözümleri

Yük Dengeleyiciler (Loadbalancer)

Siber Güvenlik Çözümleri

Veri Sızıntısı Engelleme Çözümleri (Dlp)

Siber Güvenlik Çözümleri

Zaafiyet Tarama Yazılım Çözümleri

Robit Teknoloji