SIEM, Log izleme manasına gelmektedir. Sisteminizde bulunan tüm kritik ağlar ve cihazları kapsayan log yönetimi ve analizine SIEM projesi denilmektedir. Sistemin ürettiği olay kayıtlarının belirlenen kurallara göre analiz edilmesi olarak tanımlanmaktadır. SIEM Projeleri ile sistemin üretmiş olduğu logların kapsamlı bir şekilde toplanması, birleştirilmesi, saklanması ve doğru analizler gerçekleştirilmesi gibi adımlardan oluşan log yönetimi ise saldırının göstergelerini ve delillerini elde etmeyi ortaya çıkartabilir. Bu projelerin bir adı ise Log Yönetimi’dir.
Başarılı bir SIEM Projesi Nasıl Yapılır?
Siber saldırılar sebebiyle maddi, manevi zarara uğrayan kurumlarda yapılan sorun analizlerine baktığımız zaman bu kurumların siber saldırıları zamanında tespit edemediğini ve önlem alamadığını ortaya çıkmıştır. Yaşanan siber güvenlik ihlallerinin kurumları iflasın eşiğine kadar getirdiği gözlemlenen bir gerçektir. Dolayısıyla içinde bulunduğumuz teknoloji ve bilişim çağında, bir kurumun siber tehditlere karşı koyabilmesi için siber saldırıları zamanında tespit ederek önlem alabilmesi oldukça önemli bir hale gelmiştir.
Dünya genelinde siber saldırıları merkezi olarak tespit etme amaçlı kullanılan SIEM (Security Information Event Management) yazılımları gelişmiş siber saldırıların yalnızca %1’ini tespit edebilmektedir. Bu noktada ülkemizi dikkate alarak yaşanan siber güvenlik olaylarını incelediğimizde benzer bir sonuç karşımıza gelmektedir.
Kurumların siber saldırılar karşısındaki en temel eksikliği kurum siber altyapısına yeteri kadar hakim olmamalarıdır. Maalesef ki bu tarz saldırıların tespit edilmesi güç bir işlemdir. Kurumlarda yerel ağdan veya internet üzerinden gelecek bir saldırıyı önceden tespit etmek ve bu saldırı ile ilgili önlem alabilmek ancak tüm bilişim altyapısı üzerinde 360 derece alan hakimiyeti kurması zorunlu bir hale gelmiştir.
Bu yazıda kurumların sahip oldukları log yönetimi ve SIEM çözümlerinin gerçek anlamda kuruma yönelik gerçekleştirilen siber saldırıları tespit edebilmesi ve anlık uyarabilmesi amacıyla yapılması gereken çalışmalar adım adım anlatılmaktadır.
BGA Bilgi Güvenliği A.Ş. olarak beş yıldır 50’den fazla kurumda farklı SIEM çözümleri (IBM Qradar, HP Arcsight, Mcafee SIEM ve Splunk) ile başarıyla uygulanmıştır. Hizmet hakkında detaylı bilgi almak için siem@bga.com.tr adresine e-posta gönderebilir veya +90 (216) 474 0038 numaralı telefonumuzla iletişime geçebilirsiniz.
Bir SIEM projesinin başarılı olarak sonuçlanması için ihtiyaç duyulan 7 önemli adım aşağıdaki gibidir;
- Gereksinimlerin Tespiti, Kapsam Belirleme ve Proje Yönetimi
- Log Kaynaklarının Belirlenmesi
- Kaynaklardan Alınacak Logların Detay ve İçeriğinin Belirlenmesi
- Log Anlamlandırma, Etiketleme ve Seviyelendirme Çalışması
- Gelişmiş Korelasyon Kurallarının Oluşturulması
- Siber Saldırı Simülasyon ve SOME Tatbikat Çalışması
- Gerçek Zamanlı “Security Monitoring Dashboard” Tasarımı
SIEM Nedir?
SIEM sistemlerinin log üreten değil, logları toplayan, anlamlandıran ve alarm üreten bileşen olduğu unutulmamalıdır. Çoğu kurum sadece SIEM kurarak yerel ağdaki anormalliklerden haberdar olacağını düşünmektedir, oysa SIEM, bir hesap makinesi gibidir, ona doğru rakam ve işlemi söylemezseniz sonuç beklediğiniz gibi çıkmaz. Global pazarlar için bilişim sistemleri üzerine araştırma ve tavsiyelerde bulunan Gartner firması son iki yılda yayınladığı bir çok raporda SIEM ürünlerinin artık gelişmiş siber saldırılar karşısında yetersiz kalacağını, SIEM yerine SOAPA (security operations and analytics platform architecture) kavramının daha fazla dikkate alınması gerektiğini yazmaktadır. SOAPA konusunda daha fazla bilgi almak için hazırlanmış olduğumuz Siber Saldırıların Tespitinde SIEM Ürünlerinin Yetersizliği ve Çözüm Önerileri blog yazımıza göz atabilirsiniz.
SIEM Projeleri için Gerekli Adımlar
Gereksinimlerin Tespiti, Kapsam Belirleme ve Proje Yönetimi
Her kurumun log alma ihtiyacı konumuna ve ihtiyacına göre farklılıklar göstermektedir. Başarılı bir log yönetimi ve siem projesi için öncelikle kapsamın ve temel seviye ihtiyaçların belirlenmesi ve ardından bu gereksinimlere uygun ürün seçimiyle birlikte projenin başlatılması gerekmektedir.
Bu çalışma kapsamında aşağıdaki ana adımlar gerçekleştirilmektedir:
- Bilinen ticari ve açık kaynak kodlu LOG/SIEM ürünlerinin incelenmesi, POC adımları ve referans kontrollerinin gerçekleştirilmesi.
- Hangi log kaynaklarından hangi sıra ile logların toplanacağı vs gibi bilgiler de bu aşamada karar verilmelidir ve ona göre alınacak ürünün kapasitesi ve lisans durumu belirlenmelidir.
- Log yönetimi ve SIEM Projesi taslak takvimi
Bu çalışma adımı sonrasında kurumun ortamına uygun en ideal LOG ve SIEM çözümüne karar verilerek ve Log Projesinin kapsamı belirlenerek çalışmalara başlanılmalıdır.
Hangi SIEM Ürününü Seçmeliyim?
Projenin başarısında en önemli bileşenlerden biri doğru ürünü seçmektedir. Doğru ürünü seçmek kadar önemli bir konu da ürün hakkında tecrübesi olan danışmanlık firması seçimidir. Aksi takdirde dünyanın en iyi ürününü seçmek dahi sizi başarıya yönelmekten uzak tutacaktır.
Piyasadaki firmaların büyük çoğunluğu SIEM ürünlerini tercih ederken diğer firmaların neleri tercih ettiğini dikkate alarak karar vermektedir. Oysa her firmanın ihtiyaçları benzer olsa da farklıdır. SIEM ürünü seçimi için araştıracak zamanınız yoksa danışmanlık aldığınız firmadan belirlediğiniz 2-3 ürünün detaylı test edilmesi konusunda destek alabilirsiniz.
Aşağıdaki örnek tablo BGA Bilgi Güvenliği A.Ş. ekibinden İbrahim Akgül’ün piyasada bilinen ürünleri test ettiği çalışma sonrasında çıkmıştır. Ürün alımı aşamasında olup ilgili çalışmanın detaylarını incelemek isteyenler some@bga.com.tr adresine e-posta göndererek bir kopyasını edinebilirler.
Örnek bir SIEM/Log Projesi Ürün POC Karşılaştırma Tablosu
Ürün tercihinde bulunurken eğer projenin amaçlarından biri siber saldırıları tespit amaçlı gelişmiş korelasyon kuralları yazmaksa mutlaka kendine ait korelasyon motoru olan bir ürün seçilmelidir. Ürün demosu aşamasında mutlaka firmaya bir iki tane gelişmiş korelasyonu üründe nasıl yazacakları sorulmalı ve çıktısı incelenmelidir. Global piyasada 80’den fazla SIEM/Log ürünü bulunmaktadır, bunların büyük çoğunluğu logları merkeze toplamak ve alarm üretmek amaçlı kullanılmaktadır.
Açık kaynak kodlu yazılımlar tercih edilebilir mi?
Açık kaynak kodlu yazılımlar kullanarak logları merkeze toplayabilir ve buradan temel alarmlar oluşturarak sisteminizi siber saldırılara karşı izleyebilirsiniz. Piyasada çok fazla sayıda açık kaynak kodlu bileşen bulunmaktadır. Açık kaynak kodlu çözümlerde ikili, üçlü çapraz kurallar yazmak için gelişmiş bir korelasyon motoru bulunmamaktadır. Fakat bu konudaki tecrübelerimize dayanarak şunu söylemek mümkündür; bir firma log projesine başladıktan en erken bir sene sonra gelişmiş korelasyon kurallarını yazabilir bir hale gelebilir.
Pratikte ise iyi bir destek aldığınız çalışan/danışman/firmanız varsa açık kaynak kodlu projeleri kullanarak gayet başarılı bir Siber Tehdit Gözetleme sistemi olarak kurabilirsiniz.
Türkiye’de Kullanılan Log Yönetimi / SIEM Çözümleri
Ülkemizde tercih edilen siem ve log ürünleri ile ilgili gerçekleştirmiş olduğumuz SIEM ürünleri araştırma anketinn sonuçlarını inceleyebilirsiniz.
Log Kaynaklarının Belirlenmesi
İlk adımda belirlenen kapsam ve gereksinimlere göre kurumdaki hangi IT sistemlerinden logların alınacağının belirlenmesi aşaması. Belirleme çalışmasında öncelikle kurumun uymakla yükümlü olduğu bir standart (PCI, ISO 27001) veya kanun ve yükümlülük (T.C. 5651, S.O.X vs) varsa önceliklendirme yapılmalıdır. Genellikle orta ve büyük ölçekli kurumlarda log kaynaklarının tespiti ve önceliklendirmesi proje yönetimi aşamasında gerçekleştirilir. Bu aşamada belirleyeceğiniz kaynaklar proje sonrası ortaya çıkacak “Güvenlik Görselliğinizi” doğrudan etkileyecektir.
Türkiye’de gerçekleştirdiğimiz son 50 projeyi baz alarak Türkiye’de 300’den fazla ürünün kullanıldığını söyleyebiliriz. Her bir ürün kategorisi için kurumda neler kullanılıyor envanteri çıkartılarak loglarının alınması sağlanmalıdır. Bu çalışma projenin sonunda hangi korelasyon kurallarının yazılıp yazılamayacağı konusunda en önemli gösterge olacaktır. FIM (File Integrity Monitoring) yazılımına sahip olmayan bir kurumun bu konuyu ilgilendiren korelasyon kurallarının eksik olacağı bu aşamada ortaya çıkacaktır. Projenin sonraki adımları buradaki ürünlerin sayısı ve çeşidine göre süre olarak değişkenlik gösterecektir.
Temel olarak aşağıdaki log kaynaklarından log toplanmaktadır:
İşletim Sistemleri
Windows 2008, Windows 2012, Windows XP, 7 ve 8 , Red hat Linux, Suse Linux, IBM AIX, HP UIX
Veritabanı Sistemleri
Oracle, MSsql, Sybase, Firebird
Sanallaştırma Sistemleri
Vmware, Microsoft, Citrix
Güvenlik Cihazları
Güvenlik Duvarı, Web Uygulama Güvenlik Duvarı, Saldırı Tespit ve Engelleme Sistemi, DLP, NAC, MDM, Anormallik Tespit Sistemi, DDoS Engelleme ve Tespit Sistemi, İçerik Filtreleme, Antivirüs, Antispam, APT Sistemleri Logları, Netflow, VPN Bağlantı Logları
Ağ Sistemleri
Switch, Router, Kablosuz Ağ AP, DNS , E-posta ve SMTP, VOIP Sistemleri, DHCP, FTP, SFTP Logları
Web Sunucu Uygulama Logları
Bilinen uygulama logları, Çağrı Merkezi Logları, Web Mail
Kaynaklardan Alınacak Logların Detay ve İçeriğinin Belirlenmesi
Log kaynaklarının belirlenmesinden sonra hangi log kaynağından ne tip bir log toplanacağı da aynı derecede önem arz etmektedir. Gereğinden fazla log toplayarak sistemin çalışmaması da gerektiği kadar log toplamayarak saldırı analizinde logların yetersiz kalması da sık karşılaşılan durumlardır. Bu adımda belirlenen kapsam dahilinde hangi sistemlerden hangi tip logların hangi detayda alınacağının belirlendiği ve uygulamaya geçildiği aşamadır.
Örnek verecek olursak Microsoft Windows 2008 ile birlikte gelen toplamda açılabilecek 346 tane security audit politikası vardır ve bunların ön tanımlı olarak sadece %30’u açık gelmektedir.
Bazı durumlarda kullanılan IT sistemi istenilen türde log üretmemektedir. Bu gibi durumlarda alternatif çözümler üretilerek ilgili log parçalarının toplanması sağlanacaktır.
Log Anlamlandırma, Etiketleme ve Seviyelendirme Çalışması
Log kaynakları ve hangi tip logların toplanacağı belirlendikten sonraki ilk aşama toplanan logların basit seviye korelasyonudur. Bu aşamada gelen logların kurum için seviyelendirmesi ve etiketlenmesi gerçekleştirilecektir. Log etiketleme ve anlamlandırma IT sistemlerinin ürettiği spesifik kayıtların standart bir güvenlik uzmanının anlayacağı hale getirilmesidir. Örnek verilecek olursa güvenlik duvarının ürettiği “big icmp packet” uyarısı yerine “Ping of death saldırısı” şeklinde logun üretilmesini sağlamak gibidir. Aynı zamanda bu adımda daha önce üretilen loglar arasındaki “false positive”lerin elenmesi de eklenmiştir.
Gelişmiş Korelasyon Kurallarının Oluşturulması
Toplanan logların gerçek manada değer ifade edebilmesi için kurum ortamına özel korelasyon kurallarının tanımlanması ve destek alınan firmayla iş birliği içinde kullanılan SIEM çözümüne aktarılması gerekmektedir. Bu adımda kurumla birlikte ihtiyaç duyulabilecek korelasyon kuralları tanımlanarak sisteme giriş yapılacaktır. Gelişmiş korelasyon kurallarının yazımı için en sağlıklı yöntem kurumua yönelik gerçekleşebilecek siber saldırılar düşünülerek tehdit ağacı oluşturmak ve bu ağacın dallarının her biri için uygun use-case’ler tanımlamak. Use-case tanımlama için genellikle Cyber kill Chain kullanılmaktadır. HP’nin aşağıda 5 adımlık gösterilmiş Use-case tanımlama metodolojisi SIEM projeleri için önerilmektedir.
Siber Saldırı Simülasyon ve SOME Tatbikat Çalışması
Kurulan bir SIEM/Log sisteminin gerçek saldırılar karşısında ne kadar efektif olduğunu ölçmenin en kolay yanı kurum ortamına sanal bir saldırı simülasyonu gerçekleştirmek ve bu esnada siem sistemini izlemektir. Aksi halde yazılan ve doğru zamanda çalışıp alarm üreteceği düşünülen korelasyon kurallarının sizi yolda bırakma ihtimali %100’dür. Korelasyon kuralları yazıldıktan sonra mutlaka farklı senaryolarla tetiklenerek hatalı/eksik durumlar giderilmeli ve doğru zamanda doğru alarm üreteceğinden emin olunmalıdır. BGA Bilgi Güvenliği A.Ş. olarak SIEM Korelasyon projelerinde kullanmak üzere yaklaşık 75 adet Siber Saldırı Senaryosu kullanmaktayız, bu senaryolar hazırlanırken son 3 yıl içerisinde Türkiye ve dünya üzerinde büyük kurumlara gerçekleştirilmiş siber saldırılar ve BGA tarafından gerçekleştirilmiş sızma testi sonuçları incelenmiş, bunlar içinde Türkiye’deki kurum ve kuruluşların altyapıları düşünülerek olabildiğince gerçekci olmasına özen gösterilmiştir.
Gerçek Zamanlı Security Dashboard Tasarımı ve Log Görselleştirme
Genellikle log ve siem sistemleri gün boyu tespit ettiği anormallikleri kaydedip e-posta ya da benzeri sekilde yöneticilere gönderir fakat ortalama EPS değerlerinin 2000-3000 civarında ve üzerinde olduğu ortamlarda genellikle körlük oluşmaktadır. Bu aşamada tek bir ekranda SIEM/Log çözümün topladığı ve yorumladığı logların anlaşılabilir şekilde gösterileceği SOC (Security Operation Center) ekranının tasarlanması ve devreye alınması gerçekleştirilecektir. Bu ekranın amacı kurum sistemlerine yönelik bir siber saldırının veya sistemler üzerindeki anormalliklerin anlık olarak tespit edilmesi ve aksiyon alınmasına yardımcı olunmasıdır.
Log kolerasyonu, yönetimi ve SIEM konularında destek almak veya danışmanlık hizmetlerimizden faydalanmak için bilgi@bga.com.tr adresimiz ile iletişime geçebilirsiniz.