SIEM mi? Süreç mi? Bölüm 1
Bu yazımda sizlere ürün bağımsız olarak çalışmanın vermiş olduğu rahatlıkla, gerek danışmanı olarak gittiğim (Forensic, Incident Response, Bilgi Güvenliği, SOC v.b) gerekse toplantı için gittiğim firmalardan derlediğim, (Epey bir hatırı sayılır) SIEM projelerindeki birçok hatadan, aşamalı olarak bahsetmek ve henüz bir SIEM projesi yapmadıysanız nasıl ilerlemeniz gerektiği konusunda bilgi paylaşımında bulunacağım.
İlk olarak şunu söylemek isterim ki, makale serisinde kullanacağım AlienVault USM yazılımı sizi yönlendiriyor muşum gibi düşünülmesin. Tamamen elimin altında hâkim olduğum ve üzerinde python ile geliştirmeler yapabildiğim ürün olduğu için kullanılmıştır. SIEM öncesi bahsedeceğimiz süreçleri uyguladığınız zaman Qradar, Splunk, Arcsight, ALienvault, Logrhytm, Logsign, FortiSiem gibi ürünler temel anlamda işinizi çözse de her ürünün kendine ait geliştirdiği özellikler kurumunuza ekstra katma değer sağlayacaktır.
Not: Makalemizin 2.kısmında göstereceğim saldırgan senaryosu, ekstra özelliklerin önemine ışık tutacaktır.
Makale serisi sonunda cevap bulacağınızı umut ettiğim sorular ve teknik konular;
-
SIEM Projesi yapmak için kurumunuz ne kadar hazır?
-
SIEM Projesi yapmak için yeterli yetkinlikte personeliniz var mı?
-
Security Operation Center As a Service hizmeti almalı mısınız?
-
Çalıştığınız partner gerçekten sizi doğru yönlendiriyor mu?
-
Saldırgan gözünden olayı değerlendirdiğinizde sisteminiz ne kadar güvenli?
-
Incident Response süreçleri nelerdir?
-
Powershell ile güvende misiniz?
-
Powershell 2.x – 5x versiyonları arasındaki farklılıklar nelerdir?
-
Powershell Mimikatz fileless ataklar.
-
GPO ile daha kontrollü ve güvenli sistemin yolları
-
AlienVault ile powershell ataklarının tespiti
Birçok kurum tarafından SIEM sadece merkezi log sistemi olarak görünse de güvenlik operasyon merkezinin yapı taşıdır. Bu anlamda değerlendirirsek, kurumunuzda güvenlik operasyon merkezi süreçlerini yerine getirdikten sonra SIEM ürününüzü konumlandırmanız gerekmektedir.
Figure 1 Güvenlik Operasyon Merkezi Süreçleri
Teknoloji
Bu süreç, kurumunuza ait teknolojik kaynakların belirlenmesi ve mantıksal- fiziksel olarak doğrumu yapılandırıldığının incident response ekibi gözüyle değerlendirilmesidir. Bu makaleden de Incident Response ekibi olarak nasıl değerlendirildiğine ulaşabilirsiniz. Kurumunuzun teknolojik kaynakları IR gözüyle analiz edilmediği zaman saldırı altındayken en önemli log kayıtları, güvenlik mimarinizin eksikliğinden dolayı SIEM çözümünüze aktarılmamış ve binlerce dolarlık yatırımızın en kritik durumda sizi yarı yolda bırakmasına neden olacaktır.
Organizasyonel
Bu süreci kurumu tanımlama olarak adlandırabiliriz. SIEM projesi yapmak için gelen firmaların temel anlamda (Daha fazla detayı var) aşağıdaki şemada belirtildiği gibi süreçlerinizi çıkartması gerekmektedir.
Not: SIEM projesi, sadece tek bir teknik adamın gelip, ürünü kurması ve 3-5 tane korelasyon girip, gerisini sizden beklediği bir proje değildir. Ofansif ve defansif yetkinlikte personeli içinde bulunduran bir ekip işidir.
Figure 2 Organizasyonel Aşama
İç ve dış kaynakların tespiti: Kurumunuzda lokalde, branch ofislerde ve DR site’da kullanılan donanımsal, yazılımsal (işletim sistemi, uygulamalarınız v.b) kaynakların belirlenmesi, dış dünyaya açık olan servislerinizin, iş ortaklarınıza açık kaynaklarınızın ve bunlarla bağlantınızın (MPLS, IPsec v.b) belirlendiği aşamadır.
İş süreçlerinin çıkartılması: Şirketinizin hedefleri doğrultusunda başarıya ulaşabilmesi için birimler arasındaki iş birliği ve süreç yönetimi entegreli bir şekilde ilerlemesi gerekmektedir. Saldırganın sadece IT kaynaklarına değil, herhangi bir departmanın (IK, finans) kaynağına yapabileceği atak, bütün iş süreçlerini etkileyebileceği için SIEM danışmanınız, firmanın “Line Of Business” mantığı ile IT ve birimler arasındaki organizasyon akışını çıkartıp, manipülasyona açık dijital süreçler için korelasyon kuralları çıkarması gerekmektedir.
Sistem sıkılaştırma ve Audit: Operasyonel yüklerin getirdiği yoğunluktan dolayı, kurumunuzda hizmet veren sunucuların, network ekipmanlarının ve güvenlik sistemlerinin “best practice” e uygun bir şekilde yapılandırılması neredeyse imkânsız bir hal alabiliyor. Birçok kurumda Linux ve Windows işletim sistemlerinin log çıktıları varsayılan olarak bırakılmış durumdadır. Bu yüzden hizmet vermeye gelen danışman arkadaşlar sunucu mimarilerinizde en azından dış dünyaya dönük olan sistemlerde güvenlik benchmark’larını yerine getirmesi veya aranızdaki anlaşmaya göre sadece tespit edip raporlaması gerekmektedir. Tabi bu arkadaşlar ürünü kuranlar değil, onlarla birlikte gelen Incident Response ekibinden olan arkadaşlar olmalıdır.
Penetrasyon testi ve zafiyet analizi: SIEM projesi yapan firma mutlaka bir zafiyet analiz çalışması yapmalı ve kurumunuzda sistem iyileştirme haricinde, servisler üzerindeki zafiyetleri tespit ederek bunların kapatılması için sizlere yardımcı olması gerekmektedir. Böylece SIEM ürününüzü devreye aldığınız zaman güvenliğinden yüksek oranda emin olabileceğiniz bir yapı kurmuş olursunuz.
Teknolojik aşamada tespit edilen mimari hataların düzeltilmesi: İlk aşama olan Teknoloji’de topolojik hatalar tespit edildikten sonra ilgili ekiplerle mimari dizayn yeniden konuşulmalı ve bir eksiklik varsa giderilerek, zafiyete açık nokta bırakılmamalıdır.
Personel farkındalığı: “List line of security” çerçevesinden baktığınızda günümüzdeki atak vektörleri artık insana yönelik saldırılar olmaktadır ve bunların en yaygını da oltalama saldırıları ile gerçekleşmektedir. Bu yüzden SIEM projesi yapacak firma personelinizin farkındalığını test etmesi gerekmektedir ve ortaya çıkacak tabloda gerek endpoint security loglarını gerekse sizlere personel farkındalığını arttırabileceğiniz çözüm önerilerini sunması gerekmektedir.
3.Policy
ISO standartlarının devrede olduğu bu aşamada, kurumunuzda daha önce çalışması yapılmış bir standart varsa 27001, 27002 v.b buradaki çıktıların sonucunda elde edilen bulgu ve çalışmalara yönelik kural setleri SIEM ürünü üzerinde tanımlanmalıdır.
Şimdiye kadar yazdıklarımızı göz önünde bulundurursak, ilk başta sorduğumuz sorulardan ilk 4 tanesine cevap verebildiğimizi umut ediyorum.
SIEM Projesi yapmak için kurumunuz ne kadar hazır?
SIEM Projesi yapmak için yeterli yetkinlikte personeliniz var mı?
Security Operation Center As a Service hizmeti almalı mısınız?
Çalıştığınız partner gerçekten sizi doğru yönlendiriyor mu?
Bu süreçleri yapmadığınız, hatta yakınından bile geçmediğiniz bir proje için “PISA Projesi” diyebiliriz.
“Pisa Kulesi’nin inşası 1173 yılında başlamıştır. İlk iki kat eğik değildir. Ancak 3. kat inşa edilirken 1178 yılında kule eğilmeye başlar. Kulenin eğildiği 1185 yılında mimar tarafından fark edilir. Pek çok çözüm denendiyse de önüne geçilemez. Sebep, kulenin inşa edildiği toprağın elverişsiz olmasıdır.”
Sizin de ilk 3 süreciniz doğru yapılandırılmadığı zaman emin olabilirsiniz ki, aylar sonra sistemdeki eğrilik ortaya çıktığında, birçok danışman toparlamak için uğraşacaktır fakat bu defa daha sancılı bir süreç olacaktır.
4.Operasyonel
Yukarıda belirttiğimiz çalışmalar fark ettiğiniz gibi henüz herhangi bir SIEM ürününü konuşmadığımız, kurumunuzu tanımlayan ve SIEM projesi yapmak için hazırlıklı olmanızı sağlayan süreçlerdi. İlk 3 sürecin tamamlandığını düşünerek SIEM kurulumuna geçtiniz (Makale serisi bitmeden karar vermeyin), belirttiğimiz süreçleri de firma hakkıyla yaptı ama her şey buraya kadar mı tabi -ki hayır J. Artık güvenlik operasyonunuzun canlı bir yaşam mekanizması oldu. Operasyonel süreçte artık SIEM projesini yapan firmanın görev sorumluluğu azalıp, sizin süreçleriniz devreye giriyor. Hatta bu arkadaşlara artık takıldığınız yerde sorular soruyorsunuz.
Nedir bu süreçler;
Sistemlerde yapılan sıkılaştırmalarının takibi ve düzenli işler halde bulunması,
SIEM üzerinde üretilen alarmların ticket sistemi ile entegrasyonu (varsa kendi ticket sistemi, nedeni ise daha IR süreçlerine uygun oluyor)
Belirli aralıklarla otomatik zafiyet taramaları (SIEM ürünlerinin bir kısmında var)
Personele farkındalık eğitimleri ve aylık kampanyalar ile farkındalığın devamı,
7/24, 8/5 sistemin izlenmesi
Departmanlar arası iş süreçlerinin takibi ve yeni süreçlerden IT’nin haberdar olması,
NOT: Bu süreçte artık SIEM projesi yapan firmalar size “use case” ler çıkartmalı ve ellerinde olan, size uyarlanabilir use case ‘leri paylaşmalıdır.
Use Case: Kurum kaynaklarına, süreçlerine, departmanlarına gelen bir atak, siber saldırı v.b olduğu zaman alınması gereken aksiyon planı diyebiliriz.
Örnek bir Use Case;
Kullandığınız Anti virüs yazılımı tespit ettiği bir malware zararlı yazılımını SIEM aracılığı ile tespit ediyor. Eş zamanlı olarak da SIEM üzerinden bu makinaların socket açarak IRC botnet ağlarına bağlantılarını tespit ediyorsunuz (Firewall v.b kaynakların aktardığı loglardan). Böyle bir senaryoda almanız gereken aksiyon ne olurdu.
StakeHolders (ilişkili birimler), Helpdesk, Sistem ve Network Ekibi
Kurumunuzun iş süreçlerini SIEM üzerine tanımlandığını düşünecek olursak, iş süreçlerine veya IT sistemlerine gelebilecek bir saldırının etkisini ve kanamasını durdurmak için oluşan Misson Operation Center (MOC) ekibidir. Tamamen use case lere göre farklılık gösterebilmektedir.
Detect Condition: Use case ler için çıkartılmış olan eylem planıdır.
Figure 3 Malware tespiti için hazırlanmış playbook
Rule: Bu aşamada artık tespit ettiğiniz malware için aksiyon planını devreye alıyorsunuz.
Zararlı tespit edildi ve AV tarından silindiyse xxxx aksiyonu,
Tespit edildi ama yeterli değilse, yyyy aksiyonu,
Gibi kural setleri olmalıdır. Bu yüzden seçeceğiniz SIEM çözümünde otomatik aksiyon alma özelliği hızlı müdahalede hayat kurtarır. Özellikle kısıtlı bir personel gücünüz varsa.
Bu süreçler gözünüzü korkutmasın. Yetkin bir ekip ile çalıştığınızda düşündüğünüzden çok daha fazla kısa sürecektir ve sürekli kullanılamayan ürünlere yatırım yapmak yerine, elinizdeki kaynakları maksimum seviyede kullanarak, doğru yatırımlara kaynak planlaması sağlayabileceksiniz.
5.Siber Tehdit İstihbaratı:
Kullandığınız veya kullanmak istediğiniz SIEM çözümlerinde mutlaka dikkat edilmesi ve olması gereken bir özelliktir (ayrı bir ürün kullanmıyorsanız). Kurumunuzun varlıklarını, süreçlerini, sistem bilgilerinizi ve diğer kritik bilgilerinizin süreçlerini takip eden SIEM gibi bir big data ortamında, size gelebilecek atakları proaktif analiz ile belirli platformlardan sorgulayıp, sizi uyararak önlem almanızı sağlar. Böylece futbolcu ile karşı karşıya kalan kaleci gibi, atak size geldiğinde değil, antrenör gibi oyunu yöneten tarafta yer alabilirsiniz.
Detaylı bilgi için linkinden fay dalabilirsiniz.
Bu makalemiz ve alt linklerdeki bilgiler, en başta belirttiğimiz ilk 6 sorumuza cevap niteliği taşıdığını düşünerek, yarın paylaşacağım 2.makalemiz teknik bir makale olacağını ve aşağıdaki konuları ele alacağımızı belirtmek isterim.
Powershell ile güvende misiniz?
Powershell 2.x – 5x versiyonları arasındaki farklılıklar nelerdir?
Powershell Mimikatz fileless ataklar.
GPO ile daha kontrollü ve güvenli sistemin yolları
AlienVault ile powershell ataklarının tespiti
Teşekkürler