Günümüzde siber saldırıya uğrayan ve maddi, manevi zarara uğrayan kurumlarda yapılan kök sorun analizleri, bu kurumların siber saldırıları zamanında tespit edemediğini ve önlem alamadığını ortaya koymaktadır. Yaşanan kimi siber güvenlik ihlallerinin kurumları iflasın eşiğine getirdiği dahi gözlenmektedir. Dolayısıyla içinde bulunduğumuz bilişim çağında, bir kurumun siber tehditlere karşı koyabilmesi için siber saldırıları zamanında tespit edebilmek ve önlem alabilmek oldukça önemlidir. Log kayıtları ve SIEM bu tür önemlerin alınması için önemli güvenlik önlemlerinden biridir.
Verizon firması her yıl düzenli olarak veri sızıntıları ile ilgili rapor yayınlar. Yayınlanan raporlardan 2014 yılında ilginç bir istatistikle karşımıza çıkmıştır. Bu sayede SIEM yazılımları gelişmiş siber saldırıların %1’ini tespit edebilmektedir.
Siem Nedir?
SIEM(Security Information and Event Management) olarak adlandırılmaktadır. Türkçesi, tehdit ve olay yönetimi anlamına gelmektedir. Loglar oldukça fazla olmaya başladığında kontrol edilmesi ve aksiyon belirlenmesi gerekmektedir. Burada da SIEM devreye giriyor. Kurallar yazılıyor ve alarmlar üretiliyor. Böylece üretilen alarmlara göre aksiyonlar belirlenip uygulanıyor. Logların tek bir merkezde toplanıp analiz edilmesi işlemi oldukça kolay gözükür. Fakat yapı büyüdükçe karmaşık bir hal almaya başlıyor.
Log yönetimi her şeydir. Log olmadan bir sistemin yönetilmesi, aksiyonların belirlenmesi, önlemlerin alınması gibi olayların yapılması zordur. Çünkü bazen sorunun nerede, ne zaman, ne şekilde yapıldığı tespit edilememe durumları olur.
SIEM Projeleri için Gerekli Adımlar
1.Adım: Gereksinimlerin Tespiti, Kapsam Belirleme ve Proje Yönetimi
Her kurumun log alma ihtiyacı konumuna ve ihtiyacına göre farklılıklar göstermektedir. Başarılı bir log/siem projesi için öncelikle kapsamın ve temel seviye ihtiyaçların belirlenmesi gerekir. Daha sonra da bu gereksinimlere uygun ürün seçimiyle birlikte projenin başlatılması gerekmektedir.
Bu çalışma kapsamında aşağıdaki ana adımlar gerçekleştirilmektedir:
- Bilinen ticari ve açık kaynak kodlu LOG/SIEM ürünlerinin incelenmesi, POC adımları ve referans kontrollerinin gerçekleştirilmesi.
- Hangi log kaynaklarından hangi sıra ile logların toplanacağı vs gibi bilgiler de bu aşamada karar verilmelidir ve ona göre alınacak ürünün kapasitesi ve lisans durumu belirlenmelidir.
- Log/SIEM Projesi Taslak Takvimi
Bu çalışma adımı sonrasında kurumun ortamına uygun en ideal LOG/SIEM çözümüne karar verilerek ve Log Projesinin kapsamı belirlenerek çalışmalara başlanılmalıdır.
2. Adım: Log Kaynaklarının Belirlenmesi
İlk adımda belirlenen kapsam ve gereksinimlere göre kurumdaki hangi IT sistemlerinden logların alınacağının belirlenmesi aşaması. Belirleme çalışmasında öncelikle kurumun uymakla yükümlü olduğu bir standart (PCI, ISO 27001) veya kanun ve yükümlülük (T.C. 5651, S.O.X vs) varsa önceliklendirme yapılmalıdır.
Genellikle orta ve büyük ölçekli kurumlarda loglama kaynaklarının tespiti ve önceliklendirmesi proje yönetimi aşamasında gerçekleşmesi sağlanır. Bu aşamada belirleyeceğiniz kaynaklar proje sonrası ortaya çıkacak “Güvenlik Görselliğinizi” doğrudan etkileyecektir.
3. Adım:Kaynaklardan Alınacak Logların Detay ve İçeriğinin Belirlenmesi
Log kaynaklarının belirlenmesinden sonra hangi log kaynağından ne tip bir log toplanacağı önem arzetmektedir. Gereğinden fazla log toplayarak sistemin çalışmaması sık karşılaşılan bir durumdur. Ayrıca gerektiği kadar log toplamayarak saldırı analizinde logların yetersiz kalması da çokça yaşanan bir durumdur.
Bu adımda hangi sistemlerden hangi tip logların hangi detayda alınacağının belirlendiği ve uygulamaya geçildiği aşamadır.
Örnek verecek olursak Microsoft Windows 2008 ile birlikte gelen toplamda açılabilecek 346 tane security audit politikası vardır ve bunların ön tanımlı olarak sadece %30’u açık gelmektedir.
Bazı durumlarda kullanılan IT sistemi istenilen türde log üretmemektedir. Bu gibi durumlarda alternatif çözümler üretilerek ilgili loglama parçalarının toplanması sağlanacaktır.
4. Adım:Log Anlamlandırma, Etiketleme ve Seviyelendirme Çalışması
Log kaynakları ve hangi tip logların toplanacağı belirlendikten sonraki ilk aşama toplanan logların basit seviye korelasyonudur. Bu aşamada gelen logların kurum için seviyelendirmesi ve etiketlenmesi gerçekleştirilecektir. Loglama etiketleme ve anlamlandırma için IT sistemlerinin ürettiği spesifik kayıtlar tercih edilmelidir. Ayrıca bu kayıtlar standart bir güvenlik uzmanının anlayacağı halde hazırlanır.
Örnek verilecek olursa güvenlik duvarının ürettiği “big icmp packet” uyarısı yerine “Ping of death saldırısı” şeklinde logun üretilmesini sağlamak gibi.
Aynı zamanda bu adımda daha önce üretilen loglar arasındaki false positive’lerin elenmesi de vardır.
5. Adım: Gelişmiş Korelasyon Kurallarının Oluşturulması
Toplanan logların gerçek manada değer ifade edebilmesi için kurum ortamına özel korelasyon kurallarının tanımlanması gerekir. Daha sonra da destek alınan firmayla iş birliği içinde kullanılan SIEM çözümüne aktarılması sağlanır. Bu adımda kurumla birlikte ihtiyaç duyulabilecek korelasyon kuralları tanımlanarak sisteme giriş yapılır.
Gelişmiş korelasyon kurallarının yazımı için en sağlıklı yöntem tehdit ağacı oluşturmaktır. Ağaç, kuruma yönelik gerçekleşebilecek siber saldırılar düşünülerek hazırlanması gerekir. Daha sonra bu ağacın dallarının her biri için uygun use-case’ler tanımlanmalıdır.
6. Adım: Siber Saldırı Simülasyon ve SOME Tatbikat Çalışması
Kurulan bir SIEM/Log sisteminin gerçek saldırılar karşısında ne kadar efektif olduğunu ölçmenin en kolay yanı kurum ortamına sanal bir saldırı simülasyonu gerçekleştirmek ve bu esnada siem sistemini izlemektir. Aksi halde yazılan ve doğru zamanda çalışıp alarm üreteceği düşünülen korelasyon kurallarının sizi yolda bırakma ihtimali %100’dür. Korelasyon kuralları yazıldıktan sonra mutlaka farklı senaryolarla tetiklenerek hatalı/eksik durumlar giderilmeli ve doğru zamanda doğru alarm üreteceğinden emin olunmalıdır.
7. Adım: Gerçek Zamanlı Security Dashboard Tasarımı – Log Görselleştirme
Genellikle log/siem sistemleri gün boyu tespit ettiği anormallikleri kaydedip e-posta ya da benzeri sekilde yöneticilere gönderir fakat ortalama EPS değerlerinin 2000-3000 civarında ve üzerinde olduğu ortamlarda genellikle körlük oluşmaktadır.
Bu aşamada tek bir ekranda SIEM/Log çözümün topladığı ve yorumladığı logların anlaşılabilir şekilde gösterileceği SOC(Security Operation Center) ekranının tasarlanması ve devreye alınması gerçekleştirilecektir. Bu ekranın amacı kurum sistemlerine yönelik bir siber saldırının veya sistemler üzerindeki anormalliklerin anlık olarak tespit edilmesi ve aksiyon alınmasına yardımcı olunmasıdır.
Daha fazla blog yazısı için tıklayın.
Güvenliğiniz için daha fazla seçenek için tıklayın.
İçerik Üretici
Zeynep BAKIRTEMİZLER
Nesil Bilişim Teknolojileri Tic. A.Ş.
