Giriş
Şirketlerin Bilişim sistemlerinin incelenmesi sonucunda aşağıdaki sonuçlar elde edilmiştir. Çözüm önerileri sıralanmıştır. Kritik Sistemlerin olduğu ve üretim süreçlerinin kesintisiz sağlanması gerekliligi çerçevesinde işletmeler içerisindeki Haberleşme sistemlerinde ciddi güvenlik açıkları görülmüştür.
Yeni nesil saldırı tehditleri sistemlerin güncellenmesini zorunlu kılmaktadır. Son 5 yıl içerisinde Internet üzerinden yapılan saldırıların özellikle Üretim süreçlerini hedef aldığı görülmektedir. Son yapılan WannaCRY ve Petya saldırılarından sonra Küresel anlamda iş süreçlerinde aksamalar oluşmuştır. Örnek olarak son Siber saldırılarda İngiltere de sağlık sistemi çalışmaz hale gelmiştir. Türkiye’de faaliyet gösteren Fransa merkezli otomobil firmasının üretim süreçleri durmuştur. Türkiyede bu saldırıların etkileri görülmüştür. Renault otomobil firmasının Bursa Fabrikasında üretim süreçleri süreli olarak durdurulmuştur. Aşağıda belirtilen Tehdit açıklamaları ve Çözüm önerilerinin hızlı bir şekilde gündeme alınması önemlilik arz etmektedir.
İşletmenin Güvenlik Altyapısı
1-Kullanıcı bilgisayarlarında Antivirüs ve Firewall koruması olarak Endpoint ürünü konumlandırılmalıdır.
2-Mail sunucu üzerinde bulunan posta hesaplarının spam ve zararlı mail içeriklerinin engellenmesi için Sandbox ve TMG yazılımı konumlandırılmalıdır.
3-Firewall - Internet hizmetleri yeni dönemde kullanılmak üzere ISP ile yeni sözleşmeler yapılmalı ve aşağıdaki servisler satın alınmalıdır.
a-İşletme içerisindeki kullanıcıların internet üzerindeki web ve diğer servislere erişimi filtrelenerek zararlı içeriğin kullanıcı tarafında bloklanması sağlanacaktır.
b-Internet üzerinden ISP Metro internet devresine doğru yapılacak DDOS saldırıları ilgili ISP tarafından engellenecektir.
c-Internet üzerindeki haberleşme loğları 5651 yasası çerçevesinde SIEM yazılımı içerisinde loglanacaktır.
d-İşletme içerisindeki misafir kullanıcıların erişimi ayrı bir internet devresi üzerinden sağlanacaktır.
e-Firewall üzerindeki VPN servisleri kullanılarak uzak erişimler güvenli olarak sağlanacaktır.
f-Dışarıya açık sunucular DMZ ağında sonlandırılacaktır.
g-ISP tarafından Mpls devre üzerinde oluşabilecek sorunlar sonrası erişim Radyo Link üzerinden sağlanacaktır.
h-Internet trafiği içerisindeki HTTPS üzerinden şifreli sağlanan trafiğin sertifika yüklenerek kullanıcı tarafında kontrol edilmesi sağlanacaktır.
i-Sandbox teknolojisi kullanılarak Internet üzerinden indirilen dosyaların kontrolü sağlacaktır.
.
Temel Başlıklar
1- Kurumsal Ağ ve Sistem Alt Yapısının Korunması :
Kurumsal Ağ ve Sistem Alt Yapısının korunması amacıyla alınması gereken önlemler
Tehdit Senaryoları ve Çözümler :
Tehdit -1
Tehdit – 1 – Çözüm
Tehdit -2
Tehdit – 2 - Çözüm
Advanced Persistent Threat(APT) Saldırıları ve Korunma Yönetemleri
Kurumsal Ağ ve Sistem Alt Yapısının Korunması Yönelik Temel Önlemler
Kullanıcı Erişim ve Denetimi - Network Erişim Kontrol (NAC)
2- Kurumsal Ağ ve Sistem Alt Yapısının Korunması amacıyla Log Yönetim Sisteminin Kurulması:
Kurumsal Log Yönetim Sisteminin kurulması hakkında
Log Yönetimi ve Analizi
Kurumlarda Log Yönetim Sisteminin Gerekliliği
3- Siber Güvenlik Operasyon Merkezi ve Kurumsal Ağ ve Sistem Alt Yapısının Korunması amacıyla Monitoring Sisteminin kurulması:
1- Kurumsal Ağ ve Sistem Alt Yapısının Korunması
Tehdit Senaryoları ve Çözümler
Tehdit -1
İşletme bünyesindeki kullanılan sistemler içerisinde ilk etapta acil olarak kullanıcı ve diğer sistemlerin kullandıgı segmentler arasında erişim kontrolünün olmadığı görülmüştür. Örnek olarak Herhangi bir kullanıcı işletme içerisindeki herhangi bir otomasyon sistemine erişim sağlıyabilmektedir. En tehlikeli güvenlik tehditleri arasında son dönemde yaşanan WannaCRY tarzı saldırılardır. Bu saldırılar ilk etapta tek bilgisayara bulaşmakta daha sonra solucan özelliğini kullanarak bağlı bulunduğu tüm sistemlere kendini bulaştırmaktadır. Merkez ve Akyazı Fabrika içerisinde benzer bir saldırıda şu aşamada herhangi bir kontrol bulunmamaktadır.
Tehdit – 1 – Çözüm
Önerimiz kullanıcı ve diger VLAN blokları arasındaki geçişleri yeni nesil Firewall konumlandırarak Inter Vlan Routing geçişinin buradan sağlanmasıdır. Bu geçişlerin Firewall üzerinden kontrollü olarak sağlanması önerilmektedir.
Tehdit -2
Active Directory üyesi olmayan bilgisayarların erişiminin kısıtlanması ve belli güvenlik politikaları çerçevesinde sisteme erişimlerinin kontrollü olarak saglanması gerekmektedir. Danışmanların ve diğer tedarikçi firmaların sisteme erişimlerinin kontrollü saglanması gerekmektedir. AD kullanıcısı olmayan bilgisayarların Antivirüs - IPS - Firewall servislerinin yüklü olup olmadığının kontrolü gerekmektedir. işletme ağına bağlanan kullanıcıların erişim sağlamak istedikleri kaynakların belirlenip ihtiyaç duyulan çerçevede erişimin tanımlanması önerilmektedir.
Advanced Persistent Threat(APT) Saldırıları ve Korunma Yöntemleri
İşletme bünyesindeki sistemlerin APT ataklarından korunması ile ilgili yeni nesil güvenlik çözümlerinin uygulanması önerilmektedir. APT atakları yeni nesil tehdit olarak değerlendirilmektedir.
APT Saldırısı Hakkında
Advanced: Saldırıyı yapan kişi sistemlere sızmak için elindeki tüm olanakları ve gelişmiş araçları kullanır. Bu aşamada, tek bir yöntem yerine, birden fazla sızma yöntemini birleştirerek saldırma işlemini gerçekleştirir.
Persistent: Saldırgan bilindik saldırı tekniklerinden; sisteme en hızlı şekilde girip finansal verileri çalmak yerine, yavaş ve durum gözleme yöntemi kullanarak farkedilmeden sızma yöntemini kullanır.
Threat: Saldırgan bilinen ve otomatize edilmiş saldırı araçları kullanmak yerine insan faktörünü devreye sokar ve saldırı yapan kişi çok iyi şekilde finanse edilir. Sisteme sızmadan önce dış çevreden bilgi toplamak buna örnek gösterilebilir.
Genel anlamda APT’ler sistemlere sızmak için 3 ana yöntem kullanırlar;
Internet üzerinden zararlı yazılım bulaştırma
Fiziksel yol ile zararlı yazılım bulaştırma
Dış çevreden sisteme sızma
Güçlü bir şekilde finanse edilen saldırgan, sistemi koruyan diğer araçları aşmak yerine, iç tehdit unsurlarını ve güvenli bağlantıları kullanarak bunları kendine avantaj olarak kullanır ve sızma işlemini gerçekleştirir.
Diğer bilindik saldırılara karşın APT’lerin amacı sistemlere yavaş bir şekilde sızıp orada olabildiğince fazla kalmaktır. Bir sistemden diğer sistemlere atlayarak yayılmak aynı zamanda bunu fark edilmeden yapabilmek APT’lerin genel özelliklerindendir. Aşağıdaki grafik saldırganın hangi güvenli yolları suistimal ettiğini göstermektedir.
Uzaktan Kontrol
Uzaktan kontrol mekanizması saldırıyı yapan kişi için hayati önem taşımaktadır. Eğer uygun bir uzaktan yönetim teknolojisi yok ise saldırı gerçekleşmeyecektir.
APT saldırısı sonrası gerçekleşen olaylar :
Geç Saatlerde Artan Log Kayıtlarınız: Saldırıyı yapan kişiler özellikle mesai sonrasında çalışanların şirkette olmadığı bir vakit onların bilgilerini ele geçirerek sistemler üzerinde yetki sahibi olurlar.
Şüphelendiğiniz Bilgisayarda Trojan Bulunması: Saldırıyı yapan kişiler genellikle tekrar gelmek isteyeceklerdir bunu sisteminize arka kapı olarak kullanılan Trojan yolu ile gerçekleştirirler.
Beklenmeyen Veri Akışları: Bilgisayarlar arasında veya sunucular arasında daha önce görülmeyen tuhaf veri akışları gözlemliyorsanız APT’ye maruz kalmış olabilirsiniz.
Beklenmeyen Veri Değişiklikleri: Saldırganlar sistemden çıkmadan önce fazla miktarda veriyi beraberinde götürmek isteyeceklerdir eğer büyük miktarlardaki verilerinizi (GB) sıkıştırılmış olarak görürseniz bir problem var demektir.
Korunma Yöntemleri:
APT gelişmiş saldırıları gerçek zamanlı tehdit koruması sağlayan sanal makine tabanlı çalıştırma motoru üzerinde sağlamaktadır. Sofistike siber saldırılar kolayca yeni nesil güvenlik duvarları, IPS, anti-virüs ve ağ geçitleri gibi geleneksel imza tabanlı savunma teknolojilerini geçebilmektedirler. APT Saldırıları, Tehdit Önleme Platformu tehditleri dinamik tehdit güvenliği mekanizması ile imza kullanımı olmadan koruma sağlamaktadır. APT Saldırılarını gerçek zamanlı tespit etmek ve engellemek için dinamik tehdit istihbaratı servisi ile desteklemelidir.
APT Saldırıları Engelleme çözümleri iki farklı strateji üzerine geliştirmiştir.
Tespit ve Önleme
Ağ Güvenliği
E-mail Güvenliği
Mobil Güvenlik
Endpoint Güvenliği
Dosya İçerik Güvenliği
Analiz ve Tepki
Zararlı Analizi
Tehdit Analiz Platformu
Kurumsal Adli Analizi
Kurumsal Ağ ve Sistem Alt Yapısının Korunması Yönelik Temel Önlemler
Aşağıda belirtilen önlemlerin bazı maddeleri mevcut yapıda farklı noktalarda uygulanmaktadır. Bu önlemlerin sürekliliği ve kontrolü belli periyotlarda denetlenmelidr. Aşağıdaki önlemler bu denetleme çerçevesinde yeniden gözden geçirilmelidir.
1. Alt Yapısının Korunmasına Yönelik tedbirler:
1.1. Ağ alt yapısındaki tüm cihazlar belli bir topoloji temel alınarak konumlandırılmış olmalıdır. Siber saldırı esnasında fiziksel olarak aktif cihaza erişim sağlamak açısından önemlidir.
1.2. Ağ alt yapısındaki tüm cihazların kablolarında etiketlendirme yapılmış olmalıdır. Dağınıklığın giderilmesi ve erişimin personel bağımsız müdahaleyi kolaylaştırır ve zamandan kazanç sağlaması gerekmektedir.
1.3. Tüm aktif cihazların konfig dosyalarının yedekleri düzenli olarak alınmalıdır. Bu yedekler birey bağımsız belli sunucularda barındırılmalıdır.
1.4. Tüm aktif cihazlarda kullanılan parolaların rakam, harf ve özel karakterlerden oluşan karma yapıda olması önemlidir.
1.5. Mümkün ise en geç üç ayda bir parolalar değiştirilmelidir.
1.6. Cihaz erişimlerinin Telnet yerine güvenli erişim protokolleri destekleyen Secure Shell (SSH) üzerinden yapılması gerekmektedir.
1.7. Simple Network Management Protokol (SNMP) genel isimlerinin (Community Name) default gelenlerin dışında farklı isimlendirilmesi gerekmektedir.
1.8. TCP Dump, MRTG, CACTI gibi 3rd parti yazılımlarla trafiğin izlenmesi zombi saldırılarının tespiti, kirli trafiğin izlenmesi ve loop gibi internet trafiğini kısıtlayan uygulamaları takip etmeyi kolaylaştırmaktadır
1.9. Netflow, Sflow gibi yazılımlarla layer 4 seviyesinde trafiğin izlenmesi kirli trafiği önlemede yardımcı olacaktır.
1.10. Tüm aktif cihazlara erişecek son kullanıcıların IP adreslerinin cihazlar üzerindeki ACL ile belirlenmesi gerekmektedir.
1.11. Kenar switchler üzerinde DHCP Snooping ve ARP (Address Resolution Protokol) Protect gibi koruyucu protokollerle desteklenmelidir.
1.12. Tüm sahada Port Security gibi dışardan ağa cihaz bağlanmasını kısıtlayacak protokollerin uygulanması gerekmektedir.
1.13. Aktif cihazlardaki Telnet ve http/s servislerinin devre dışı bırakılması gerekmektedir.
1.14. Ağ da anti bot, anti virüs, anti spam gibi koruyucu yazılımlar güvenlik duvarının destekleyici olarak bulunmalıdır.
1.15. Saldırı Tespit Servislerinin kullanılması suretiyle DoS ve DDoS gibi saldırılar için ağ trafiğinin kısıtlanması gibi önlemler alınmalıdır. Saldırıların yapıldığı portların geçici olarak devre dışı bırakılması sağlanmalıdır.
1.16. Kurum ağında odalarda ayrıca switch access point gibi cihazların kullanımı engellenmelidir. Özellikle dhcp snooping engelleme yapılmalıdır. DHCP için ip kiralama süresi ideal olarak 8 ile 24 saat arasında tutulmalıdır.
1.17. LAN ve WAN Flood Tespit, AntiSpoof servisleri aktif olarak kullanılmalıdır.
1.18. 5651 yasasının gereksinimlerinin karşılanması amacıyla MAC-IP eşleştirme, kayıt alma gibi servisler aktif olarak kullanılmalıdır.
1.19. Web filtreleme, Sayfa Yasaklama, URL ve Uzantı Filtreleme yoluyla web üzerindeki trafik kontrollü yapılması sağlanmalıdır.
1.20. Güvenlik Duvarının aktif olarak çalışması sağlanmalıdır. Saldırı Tespit servisleri aktif olarak çalışmalıdır.
1.21. E-Posta Sunucuları ve istemci makinelerine anti virüs yazılımları yüklenmeli ve devamlı güncellemeleri yapılmalıdır.
1.22. Son kullanıcılarda sistem güncellemeleri belirli aralıklarla yapılmalıdır. Güvenlik yamalarının giderilmesi hususunda son kullanıcılar bilgilendirilmelidir.
1.23. Dış ve iç sistemler arasında güvenilir şifreli uygulamalar kullanılmalıdır. (VPN, SSH, Proxy.)
1.24. Sistem servislerinin güvenliği için DMZ bölgeleri oluşturulmalıdır.
1.25. Taşınabilir sistemlerin; dizüstü bilgisayarlar, flaş sürücüler, harici hard diskler gibi aparatlar iç ağda kullanılmadan evvel anti virüs taramasından geçirilmesi konusunda son kullanıcılar bilgilendirilmelidir.
1.26. Tüm sunucular dış bağlantıya, uzak erişime kapatılmalıdır.
1.27. Sunuculara erişimde komplex şifreler kullanılmalıdır. Password, 1q2w3e, isimler, doğum tarihleri, plaka kodları kullanılmamalıdır.
1.28. Tüm sunucular üzerindeki yazılımların periyodik olarak güncellemesi yapılmalıdır.
1.29. Ağdaki tüm erişimlerde web, mail, pdks, yordam gibi sunucuların gereksinim duyduğu portlar dışında tüm portlar kapalı tutulmalıdır. Saldırı amaçlı kullanılabilmektedirler.
1.30. Kurumdaki yapılara fiziksel güvenlik testleri (Penetrasyon) uygulanmalı ve gerekiyorsa güçlendirilmelidir.
1.31. Sunucuların periyodik olarak sıcak yedekliliğini sağlamak, disaster uyumlu yapıyı kurmak ve güçlendirmek gerekmektedir.
1.32. Servislerde olumsuz bir durum ortaya çıkması durumuna karşılık aktif olarak kullanılabilecek şekilde yedek sunucuları oluşturmak gerekmektedir.
1.33. Web, mail gibi servislerin veri hırsızlığına karşı özel olarak korunması sağlanmalıdır.
1.34. Web duyuru ve güncellemelerine bakan tüm personellerin güvenli parola oluşturma, sosyal mühendislik gibi bilgi hırsızlığına karşı duyarlı olması konusunda bilinçlendirilmesi için seminerler vermek gerekmektedir. Ana sayfa duyuruları konusunda mümkün olduğunca sınırlı kullanıcıya yetki vermek ve yetkiyi alan kullanıcının dikkatli davranması konusunda bilinçlendirilmesi gerekmektedir. Aksi halde kurum prestiji açısından çok problem yaratacak bir fotoğraf, duyuru ya da ilan çıkması muhtemeldir.
1.35. Siber güvenlik, sistem ve ağ birimlerinin karşılaştıkları saldırılar, sorunlar ve güncel konular ile ilgili bilgi paylaşımında bulunmaları için ortak mail hesabını aktif kullanmaları gerekmektedir.
1.36. USOM’dan gelen uyarı mailleri dikkate alınmalıdır. Yayınlanan ve duyurulan “Siber Güvenlik Bildirimlerinin” kurumsal kullanıcılara ve sistem yöneticilerine iletilmesi ve gereğinin yapılması sağlanmalıdır.
1.37. USOM tarafından güncel biçimde sunulan “Zararlı Bağlantıların” kurumsal güvenlik cihazlarına kural olarak eklenmesi gerekmektedir.
1.38. Siber olay öncesi ve sonrasında yapılması gerekenlere dair Kurumsal SOMElerin görev ve sorumlulukları dokümanının ilgili kısımlarının gereği yapılmalıdır.
1.39. Kurum bünyesinde mevcut kullanıcıların zombi olup olmadığının tespitinin yapılması, tespit edilememesi durumunda hafta sonu ve akşamları kurum internet trafiğinin kısıtlanması gibi tedbirlerin alınması gerekmektedir.
1.40. Olası siber saldırı durumunda IT yöneticileri ve üst yönetim ile iletişim kurulması gerekmektedir.
1.41. Olası iç ve dış siber saldırılara karşı risk analizi yapılarak gerekli önlemler alınmalıdır.
1.42. Olası bir siber saldırı durumunda kurum sistemlerinin hızlı biçimde ayağa kaldırılması için gerekli acil eylem planları hazırlanmalıdır.
1.43. Sistem odalarının yetkisiz girişlerin önlenmesi, güçlü şifrelerin belirlenmesi, sistem odalarında çalışma yapılacaksa yetkili personel nezaretinde yapılması gerekmektedir.
1.44. Kurumsal siber saldırılarının olay kayıtlarının incelenmesi ve giderilmesi amacıyla takip edilmesi gerekmektedir.
1.45. Mail yoluyla yapılan phishing, spam gibi siber saldırıların önlenmesi için son kullanıcıların bilinçlendirilmesi çalışmaları sürekli olarak yapılmalıdır.
1.46. Son kullanıcıların karşılaşabilecekleri problemlerin giderilmesi ve sanal dünyadaki güvenlikleri konusunda bilinçlendirilmelerinin sağlanması amacıyla mail ve duyurular yoluyla bilgilendirilmeleri gerekmektedir.
1.47. Siber olay kayıtları Siber Güvenlik Klasörüne raporlanıp eklenmelidir.
1.48. Siber olay yaşanması durumunda olay iş ve işlemlerin detaylı bir şekilde anlatıldığı siber olay müdahale raporu hazırlanır, üst yönetim, ilgili birimlere iletilir.
1.49. Siber Güvenlik Ekibi olay müdahale esnasında bilişim sistemlerine yetkisiz erişim yapılmaması için gerekli tedbirleri almalıdır.
Kullanıcı Erişim ve Denetimi - Network Erişim Kontrol (NAC)
İşletme ağı içerisinde kurum politikalarına uymayan ya da yanlış yapılandırılmış sistemler güvenlik risklerine sebep olmaktadır.
Bu sistemlerin tespit edilmesi kadar, kurum ağına dahil edilememesi de önemlidir.
Bu noktada, ağ erişim kontrol çözümlerine ihtiyaç duyulmaktadır. Bu çözümle, kurum ağı içerisinde bulunan tüm varlıkların tesbiti yapılabilmekte, kurum ağında bulunmaması gereken sistemler varsa, bunların tespt edilerek ağdan çıkartılması sağlanabilmektedir.
Ağ Erişim Kontrolü (NAC) teknolojisi; son kullanıcı güvenliği teknolojilerini, kullanıcı ya da sistem erişimlerini ve ağ güvenliği politikalarının uygulanmasını birleştirmeye yönelik bir teknolojidir. NAC; sistemdeki her kullanıcının erişebileceği verileri yetkilendiren, kullanıcıların rolleri çerçevesinde düzenleme ve sınırlandırma, ağ güvenlik denetlemesi yapan ve kullanıcı sistem güvenliğini sağlayan bir teknolojidir.
Proje çerçevesinde işletme lokasyonlarında konumlandırılacak Clearpass sistemleri ile kullanıcılar, kendilerine ait cihazları IT ekiplerinin desteğine ihtiyaç duymaksızın,kurum ağına güvenli bir şekilde otomatik olarak dahil edebilirler.
ClearPass, güncelliğini yitirmiş eski kimlik doğrulama metodlarını, içeriği anlaşılır politikalar ile değiştirerek, bir çok üreticinin kablolu veya kablosuz ağlarda karşılaştıkları güvenlik açıklarının engellenmesine olanak sağlayan bir çözüm. Aynı zamanda güvenlik politika kontrolü sağlarken, iş akışı otomasyonu da sunabilen bir çözüm olarak karşımıza çıkmakta. IoT cihazlarının hızla yaygınlaştığı günümüzde, bu cihazların güvenli erişim ile ağınıza girmesine ya da isteğiniz doğrultuda engellenmesine olanak sağlıyor. Bunun yanı sıra cihaz kategorileri, işletim sistemi, kullanıcı profilleri (personel, departman, misafir, danışman, vb.) ve bunlara bağlı politikalar oluşturarak detaylı bir şekilde ağınızı kontrol etmenize fırsat veriyor.
Clearpass genel anlamda network üzerinde izlenebilirliği arttıran bir yazılım. Bir çok profil oluşturabilmenize de olanak sağlıyor.
Aygıtların kategorize edilebilir olması ve gerçekleştirmiş olduğunuz politikalara göre sadece belirli kategorilerde cihazların networke dahil edilebilmesi en büyük avantajlarından biri. Tabi bu durum aynı zamanda işletim sistemleri bazında da gerçekleştirilebiliyor.
Bu durumu gerçekleştirirken, sistemde hiç bir yavaşlama olmaksızın ağınıza olan erişimi izlenebilir bir hale getiriyor. Kullanıcılar haricinde sisteme girmesi gereken tüm cihazlarda erişim
kontrolü sağlıyor.
Clearpass genel anlamda network üzerinde izlenebilirliği arttıran bir yazılım. Bir çok profil oluşturabilmenize de olanak sağlıyor. Aygıtların kategorize edilebilir olması ve gerçekleştirmiş olduğunuz politikalara göre sadece belirli kategorilerde cihazların networke dahil edilebilmesi en büyük avantajlarından biri. Tabi bu durum aynı zamanda işletim sistemleri bazında da gerçekleştirilebiliyor.
Tehdit – 2 -
Çözüm
İşletme sistemine baglanan kullanıcıların NAC teknolojisi kullanılarak denetlenmesi önemlilik arz etmektedir. İŞLETME AD üyesi olmayan kullanıcıları belli bir NAC politikasının, Ağ Erişim Kontrolünün uygulanması gerekmektedir. NAC; sistemdeki her kullanıcının erişebileceği verileri yetkilendiren, kullanıcıların rolleri çerçevesinde düzenleme ve sınırlandırma, ağ güvenlik denetlemesi yapan ve kullanıcı sistem güvenliğini sağlayan bir teknolojidir. NAC çözümü olarak Clearpass çözümü mevcut yapıda önerilmektedir.
2- Kurumsal Ağ ve Sistem Alt Yapısının Korunması amacıyla Log Yönetim Sisteminin Kurulması:
Log Yönetim Sistemi Hakkında Genel Yaklaşımlar
Günümüzde güvenlik noktasında önemi artan konulardan biri de log yönetimidir. Log yönetimi, Bilgi Teknolojileri yönetimin altyapı bilesenlerinden biri olmasına ragmen kurumlar tarafından gözardı edilmektedir. Birçok kurumda loglar sadece kayıt altına alınmaktadır fakat log analizi yapılmamaktadır. ISO 27001, Bilgi Güvenligi(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır. Bilgi güvenligi ihlalleri ve vakaları arttıkça log yönetiminin önemi ve gerekliligi daha iyi anlasılmaktadır. Bu çalısmada; BG açısından log yönetiminin önemi ve gerekliligi, kurumda etkin bir log yönetiminin nasıl saglanabilecegi konuları kapsar.
Kurumlarda Log Yönetiminin Gerekliligi
Geçmişte sadece sistem sorunlarının çözmek amacıyla log kayıtları alınırken günümüzde güvenlik ve standartlara uyum için loglama yapılmaktadır. FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası standartlar log yönetimini zorunl kılmaktadır. Kanunlar ve standartlar tüm yaptırımlardan her zaman daha etkin bir role sahipdir. Ayrıca, 04.05.2007 tarihli 5651 sayılı kanunda internet suçlarını önlemeye yönelik olarak kurumların log yönetimi ile ilgili yükümlülükleri belirlemistir. PCI veri güvenligi standartı da log yönetimini zorunlu kılan standartlara örnek verilebilir. PCI DSS Standartı 6 baslık altında 12 gereksinim ister. Bunlardan biride log yönetimine aittir. Her kurumun güvenlik politikasına, standart, kanun ve düzenlemelere göre bu konuda ortak bir noktada bir araya gelinir. Kurumların log yönetimi prosedürünü logların hangi noktalardan alınacagı ve neler olacagı konusunu kapsamaktadır.
Log Yönetimi ve Analizi
Loglar, güvenlik denetimi saglamak amacıyla merkezi olarak kaydedilmeli ve arsivlenmelidir. Bir sistemde kayıt altına alınabilecek olaylardan bazıları asagıda verilmektedir.
Uygulamalara ait olaylar - Ag cihazlarına ait olaylar Veritabanı olayları - Yedekleme
Hatalar DHCP kayıtları - Web Aktiviteleri vs..
Sistemde hangi logların tutulacagı ihtiyaca göre belirlenmeli ve log yönetimi ve analizi bagımsız bir birim tarafından yapılmalıdır. Günümüzde log yönetimi, bilgi güvenligi çalısanlarının sorumlugunda yapılmaktadır. Örnegin; logların sistem yöneticisi tarafından alınması ve analiz edilmesi bir güvenlik riski olusturur. Çünkü log kayıtları istedigi gibi degistirebilir ve üzerinde oynanabilir. Bu durumda bilginin bütünlügüne aykırı bir durumdur. Malesef çogu kurum bu konuda hassasiyet göstermemektedir. Bilgi güvenligi çalısanları, kurumsal ag üzerindeki tüm sunucular, istemci is istasyonlarındaki olası güvenlik açıkları ve bilgi sızdırılmasıyla ilgili sebep ve çözümler için log kayıtlarını kritik bir kaynak olarak kullanmaktadır. Tüm log kayıtları kaydedildigi takdirde ortaya çıkan zor bir is var demektir. Buda log kayıtlarının analizidir. Bu noktada, ihtiyaca uygun log analiz programları kullanılmalıdır.
File System Auditor, OSSIM, Kiwi Syslog Deamon, Swatch, Infraskope, Manage Engine Event Log Analyzer gibi birçok log analiz programları bulunmaktadır. Bu tür yazılımlar, log kayıt bilgilerinin etkin ve kural tabanlı bir sekilde toplanmasını saglarlar. Bu sekilde gereksiz log kayıtları elenir ve sadece kurumun güvenlik ilkeleriyle ilgili kritik olaylar kayıt altına alınır. Farklı kaynaklardan toplanan bu log bilgileri üzerinde tek noktadan kurumsal kayıt tutma süresi uygulanabilir. Ayrıca USB bellek kullanımı, alınan ekran görüntüleri, önemli dokümanları yazdırma, HTTP tunneling, VPN, bluetooth, mesajlasma uygulamaları, dial up ya da diger ag arayüzleri, Mac adres degisiklikleri ve sniffer, gibi kötü niyetli yazılımlara ait bilgiler isletim sistemleri tarafından loglanmamaktadır. Bu olayları gözlemleyebilmek içinde log yönetim sistemi gereklidir. Log yönetim sistemlerinde gerçek zamanlı izleme ve uyarı mesajları ile bu tür tehlikeleri tanımlamak ve harekete geçip gerekli güvenlik önlemleri alarak açıgı kısa sürede kapatmak mümkündür.
Tüm kurumlar açısından degerlendirildiginde, bilgi ve bilgi güvenligi kurumun en büyük degerleridir. Bu sebepden kurumlarda log yönetimi belli bir merkezde toplanmalı ve analizi bağımsız bir noktadan yapılmalıdır. Bir güvenlik olayında savcılık asagıdaki bilgileri X kurumdan istediginde ve bir kurumun asağıdaki türdeki, sorulara cevap veremediğinde kurum sıkıntıya düsecektir. Kim hangi saatde ne yapmıs? Hangi dosyalar üzerinde degisiklik yapmıs? Sistemde nereye erismis? Kimler hangi programlar çalıstırıyor? USB kullanıldı mı? Hangi dosyalar yazıcıya yollandı?
BT altyapısını oluşturan log kayıtlarını toplayan, değiştirilemez bir şekilde saklayan, analiz yapan ve tanımlanan kosulların oluşması durumunda haber veren bir log yönetim sistemi kurumlarda mutlak şekilde kurulmalıdır.
Sonuç: Kurumlarda, log yönetimi gittikçe önemi artan konulardan biridir. Güvenligin en zayıf halkası olan insan unsurun faaliyetlerin izlenmesi ve loglarının alınması, herhangi bir güvenlik ihlalinde değiştirilemez bir yapıya uygun olarak ihlali yapanın bulunması ve uygun yaptırımın verilmesini saglayacaktır. Bilgi güvenligin saglanması ve risklerin minimize edilmesi açısndan bu çok büyük önem arzetmektedir. Sonuç olarak; kurumlarda log yönetim sistemi muhakkak olmalı ve bagımsız bir birim tarafından yapılmalıdır. Kesinlikle sistem üzerinde tüm yetkilere sahip olan bir sistem yönetici tarafından yönetilmemelidir.
3- Siber Güvenlik Operasyon Merkezi ve Kurumsal Ağ ve Sistem Alt Yapısının Korunması amacıyla Monitoring Sisteminin Kurulması:
İzleme ve Analiz süreçlerinde Tek platform kullanılarak izleme ve analizin yapılması önemlilik arz etmektedir. Tüm departmanların aynı uygulama üzerinde farklı Dashboard kullanarak sadece ilgili birimlere acil durum alarmlarının SMS ve mail yoluyla gönderilmesi İzleme yazılımının verimliligini artırmaktadır. Tavsiye edilen Tek Platform üzerinde tüm sistemlerin izlenmesidir.
Monitoring ve Güvenlik operasyon merkezleri, bilgisayar ve iletişim altyapısının oluşabilecek güvenlik olaylarına karşı 7 gün 24 saat izlendiği ve gözlendiği, olası olayların önceden değerlendirilip önlenmeye çalışıldığı yapılardır. Olay meydana gelmesi ya da tespit edilmesi halinde ise olayın nedenini tespit etmeye ve olumsuz sonuçları en aza indirgemeye yönelik operasyonların yürütüldüğü ve yönetildiği sistemlerdir. Dolayısıyla bu yapının network, sistem, uygulama güvenliği, trafik ve log analizi, adli bilişim ve olay müdahele, sızma ve zaafiyet testleri gibi temel konularda yeterli bilgi ve tecrübeye sahip olması beklenir. NOC'dan farklı yanlarından bazıları onlarca, yüzlerce cihazdan gelen olay ve denetim kayıtlarının korele ve analiz edilmesi, ağ altyapısını da kapsayan bilişim sistemleri altyapısının düzgün ve güvenli biçimde işlediğinden emin olunması ihtiyacıdır. Profesyonel Güvenlik Operasyon Merkezleri Resim 1'deki gibi 4 ya da 5 mantıksal katmandan oluşur. İlk katmanda merkezin var olma nedenleri veri kaynakları bulunur. Veri kaynakları olmazsa işleyecek, korele edecek ve işlerin yolunda ya da ters gittiğini gösterecek veriler de olmaz. Günümüzde BT altyapınızın işleyiş ve güvenliğini tesis etmede kullandığınız tüm donanım ve yazılım ürünleri kendilerine has formatta ve detayda mesajlar, olay kayıtları, alarmlar üretir. Üretilen bu verilere erişim için kullanılan yöntemler ve protokoller (snmp, syslog, telnet, ssh, html vb) standart olsa da farklı üreticilerin farklı ürünleri farklı tipte, farklı yapıda, farklı uzunlukta veriler üretir. Farklı özelliklere sahip veri ve mesaj tiplerinin birbiri ile ilişkilendirilebilmesi için, ham veri Veri Toplama katmanındaki yapılarda işlenir ve ortak veritabanında saklanabilecek standart bir hale/formata getirilir. Veri toplayıcı denebilecek bu yapılar veri kaynaklarını sorgulayabilir ( polling ) ya da veri kaynaklarından gönderilen veriyi kabul edebilir.
Resim 1 – Siber Güvenlik Operasyon ve Monitoring Merkezi Katmanlı Yapısı
Analiz ve Depolama katmanı merkezin en kritik katmanıdır. Merkezin başarısını gösteren, önemsiz ve önemli olayları ayırt etme, filtreleme, birden fazla veri kaynağından gelen birbirinden bağımsız olay verileri arasında ilişki kurma kabiliyeti kazandıran korelasyon ve analiz motoru ya da ürünü ( son zamanların SIEM ürünleri ) bu katmanda bulunur. Diğer bir deyişle merkezin olay yakalama başarısı korelasyon ve analiz motorunun ya da ürününün başarısıyla doğru orantılıdır. İstenen standart formata çevrildikten sonra bu katmanda depolanır. Operasyon ve Yönetim katmanı bir önceki katmanda analiz edilen veriler sonucu üretilen olay kayıtlarının incelendiği, grafikten bir takım anlamlar ve sebep-sonuç ilişkisinin çıkarılmaya çalışıldığı, ortada bir bilgisayar olayı var ise müdahale ve gerektiğinde adli bilişim operasyonlarının başlatıldığı ve yönetildiği katmandır. Veri kaynaklarından gönderilen ya da çekilen veri Resim 2'de gösterildiği gibi izole ve güvenli ağ altyapısı ile Monitoring ve Güvenlik İzleme sistemine iletilmeli ve işlenmeli.
Resim 2 - Siber Güvenlik Operasyon Merkezi altyapısı
Comments
Post a Comment