Envanteri çıkarılarak ve kritiklik derecesine göre önceliklendirilerek planlı bir şekilde denetlenen ve izlenen iç ve dış ağ bileşenlerinin dışında kalan ve kayıt altında olmayan BYOD ve Bulut uygulamaları gibi servisler ağa sızma noktalarını ve atak yüzeyinin artmasına neden olmaktadır. Yerel ağ servisleri, internete açık sistemler, web ve bulut uygulamaları, kablosuz ağ, mobil cihazlar ve nesnelerin interneti gibi çeşitli bilişim altyapıları; bunlara ait çeşitli alt bileşenler ve sahip oldukları zafiyetler bu atak yüzeyinin ne kadar geniş olduğunu ortaya koymaktadır. Günümüz ağ yapısının böyle büyük boyutlarda olması, çok katmanlı yapıya sahip olması ve istismarı durumunda sorunlara yol açacak potansiyel zafiyetlere sahip olması denetleme işlemlerinin daha gelişmiş teknikler ve araçlarla yapılmasını zorunlu kılmaktadır. Saldırı sonrası müdahale ve kurtarma işlemlerini kapsayan reaktif savunma yerine ağı sürekli olarak saldırı izleri açısından analiz etmek ve atak girişimlerinin başarıya ulaşmadan elimine edilmesini sağlamak gibi yöntemleri kullanan proaktif siber savunma gün geçtikçe daha çok öne çıkmaktadır. Derinlemesine siber savunma olarak da tanımlanan bu yaklaşımda metodolojik olarak Koruma(Protect), Tespit (Detect) ve Yanıt(Respond) gibi aşamalardan oluşan bir analiz döngüsü uygulanır.
Koruma
- Hem fiziksel ve hem bilişimsel sistemlerin geniş ölçekli olarak kontrolü, yetkisiz erişimler ve tehditler açısından denetlenmesi
- Güvenlik duvarı, saldırı tespit ve engelleme çözümlerini kapsayan yazılım tabanlı ağlar SDN yardımıyla bulut ve diğer ağ altyapılarının sızma girişimleri ve DDOS ataklarından korunması, çok faktörlü kimlik doğrulama ile erişim kontrolü, yetkilendirme ve kimlik doğrulama işlemlerinin sağlanması
- Sadece gerektiği zaman ve gereken sınırlı haklarla yönetici hesaplarına erişim kurallarının uygulanması, etkili şifre yönetimi ile yanal hareket saldırılarına karşı koruma
- Güncel anti-malware yazılımları, sıkı yama planlama ve konfigürasyon yönetimi gibi politikalar ile kaynakların etkili korunumu
- Zararlı yazılımların saptanması, tersine mühendislik işleminden geçirilmesi, zararlıya ait imzaların belirlenip saldırı tespit ve savunma araçlarına aktarılması
- Düzenli sızma testi ve zafiyet tarama yöntemleri ile uygulamaların, servislerin ve ürünlerin güvenliğinin güncel tutulması ve sıkılaştırılması
- Tehdit modelleme ve atak yüzeyi analizi ile potansiyel tehditlerin değerlendirilmesi, hedef alınabilecek servislerin incelenmesi, gereksiz işlevlerin kaldırılması veya servislerin kısıtlanması gibi kurallar uygulanarak atak yüzeyinin olabildiğince daraltılması
- Verileri hassaslık derecesine göre sınıflandırmak, dolaşımda ve saklıyken şifreleme uygulamak ve en düşük yetkiyle erişim kuralını uygulayarak koruma altına almak
- Saldırı izlerini ve anomalilikleri tespit edip raporlayabilmeleri için çalışanların farkındalık açısından eğitilmesi
Tespit
- Ağ bileşenlerinin, servislerin ve fiziksel ortamın güvenlik olayları açısından 7/24 izlenmesi, şüpheli faaliyetlerin saptanması durumunda olay bildirimi ve alarm mekanizmasının harekete geçirilmesi
- Olağandışı aktiviteleri normal trafikten ayırmak için kimlik ve davranış bazlı analizleri gerçekleştirmek
- Sorunları tespit için makine öğrenmesi tekniklerinden yararlanmak
- Çeşitli kaynaklardan toplanan trafik verilerinden şüpheli aktiviteleri saptayarak bağlamına uygun bir şekilde korelasyon işleminden geçirerek gerçek zamana yakın alarmlar üretilebilmesi
- Müdahale ve kurtarma planları çerçevesinde yükseltilen olayların doğruluğunun analizi ve potansiyel hedeflerin etkilenip etkilenmediğinin araştırılması
Yanıt
- Siber tehdit istihbaratı ve analiz teknikleri ile zafiyetlerin ve risklerin azaltılması, atakların etkisinin ortadan kaldırılması ve saldırı alarmlarına hızlı yanıt kabiliyetinin gelişmiş düzeye çıkarılması
- Güvenlik uzmanlarına dayalı değerlendirme ve aksiyon alma süreçlerine korelasyon ve alarm üretimi gibi hizmetlerle katkı sağlayan otomatize yanıt sistemlerinin konfigürasyon ve kural ayarlarının verimli bir şekilde uygulanması
- Olay müdahale sürecinin iyi bir şekilde tanımlanması ve planlanması
- Olayları saptama sürecinde etkili bir politika izlenmesine yardımcı olacak olay müdahale, adli bilişim, sızma girişimlerinin analizi ve platformlar hakkında derin bilgiye sahip olmak
- Saldırının kapsamını belirlemek için bulut, hibrit ve kurumiçi verilerin ve sistemlerin araştırılması
- Siber olayların incelenmesi, karantina ve ortadan kaldırma işlemleri için derin adli analiz süreçlerini işletilmesi
- Atakların tespit, araştırma, analiz, müdahale ve kurtarma gibi kritik aşamalarının planlanmasında hızın önemi göz önünde bulundurularak izleme ve tespit politikalarının iyileştirilmesi
Önemli Siber Savunma Metodolojileri
Red Team
Red Team testlerini penetrasyon testlerinden ayıran başlıca özelliği kuruma ait bilgi varlıklarının analizini başka bir deyişle saldırı gerçekleşmesi halinde ne tür hassas verilerin sızdırılabileceğini ortaya çıkarmayı amaçlamasıdır. Sızma testi ile benzer yanları ise saldırganların gerçek hayatta kullandığı teknikleri ve yöntemleri kullanmasıdır. Bu taktik ve yöntemler sızma testinde olduğu gibi zafiyetlerin tek tek belirlenmesinde değil de kritik bilgilere ulaştıracak olan açıkları bulmak için kullanılır. Red Team’in görevleri arasında sosyal mühendislik testleri ve fiziksel güvenlik de yer alır.
Red Team metodolojisinin en önemli unsuru bir saldırının ne kadar süre tespit edilemeden kurumda etkili olabileceği ve saldırılara yanıt sistemlerinin ne kadar başarılı olduğu gibi ölçümlerin de yapılmasına yardımcı olarak gerçek saldırılara yakın derecede bir değerlendirme sağlamasıdır.
Testler genel olarak güvenlik seviyesini gözden geçirmek isteyen kurumların outsource olarak görevlendirdiği Red Teaming ekipleri tarafından gerçekleştirilir.
Blue Team
Saldıran taraf olarak tanımlanan Red Team’in yaptığı atakları tespit etmesi, karşılık vermesi ve etkisizleştirmesi beklenen Blue Team savunma tarafını temsil eder. Blue Team aynı zamanda uzman değerlendirmesi kaçınılmaz olan safhalarda devreye girerek otomatize çalışan uç nokta güvenliği ve tehdit tespit platformlarının verimliliğini arttırmış olur. Güvenlik operasyon merkezinin(SOC) bir parçası olarak görülen Blue Team ekibi kurumun kendi güvenlik personeli olarak çalışır.
Siber Güvenlik Operasyon Merkezi (SOC)
Güvenlik Operasyon Merkezleri, kurumların güvenliklerini yüksek seviyede tutmak için saldırı olaylarını algılama, analiz etme, önleme ve müdahale etme gibi adımları uygulayarak sürekli izleme ve iyileştirme işlemlerini en verimli şekilde uygulamaya çalışan deneyimli bir ekip ve bu ekip için sağlanan teknolojik altyapı olarak tanımlanabilir.
SOC’un Görevleri:
- İzlenmesi gereken kritik bilişim sistemlerine ait logların analiz araçlarına gönderilmesini sağlayacak sorunsuz çalışan bir altyapı kurmak ve bunun için güvenlik izleme cihazlarını ve araçlarını en iyi şekilde yapılandırmak
- Korelasyon kurallarını gözden geçirmek ve düzenlemek, saldırı göstergelerini araştırmak, alarmları analiz etmek, alarmların kritiklik ve etki derecesini belirleyerek aciliyetine göre sıralamak, saldırı kaynaklarını belirlemek gibi zararlı aktiviteleri tespit için gereken önemli süreçleri güvenlik izleme cihazlarının yardımıyla en iyi şekilde yönetmek
- Olay müdahale politikalarını ve adımlarını etkili bir şekilde planlama ve uygulama
- Gerçekleşen saldırılar ve alınan aksiyonlarla ilgili çalışmalar yaparak iyileştirme ve kurtarma süreçlerini yönetmek, adli analiz süreçlerine destek sağlamak
- Her bir olay sonrası çıkarılması gereken derslerle ilgili çalışmalar yaparak güvenlik seviyesinin arttırılması, izleme ve tespit sistemlerinin ve güvenlik politikalarının elde edilen sonuçlara göre güncellenmesi gibi kritik işlemleri gerçekleştirmek
Ağ Operasyon Merkezi(Network Operations Center)
Ağ Operasyon Merkezinin görevi, hizmet seviyesi anlaşmalarını karşılamak ve olayları kesinti süresini azaltacak şekilde izlemek ve yönetmektir. NOC kullanılabilirlik ve performansa odaklanır.
- Ağ ve sistem yönetimi konusunda uzman, deneyimli destek mühendisleri ve teknisyenlerden oluşan ekiple, 7/24 aktif bir şekilde monitoring hizmeti verilir.
- Kurum ağını oluşturan cihazlardan eşzamanlı olarak toplanan bilgiler, belirli zaman aralıkları içinde raporlanır.
- Ağ üzerinde oluşan problemler saptanarak kısa sürede ilgili kişi bilgilendirilir ve teknik destek anlaşması varsa sorun giderilerek iş akışı kesintiye uğramadan devamlılığı sağlanır.
- Ağ performans ölçümleri yapılıp değerlendirilerek, gerekli optimizasyonlar ve sistemlerin ideal performansta çalışması sağlanır.
- Yazılım ve uygulama yönetimi ve güncellemeleri, tek bir merkezden zamanında gerçekleştirilir.
NOC kapsamında kurumun
- İç ve dış sunucu verileri
- Yerel ve geniş alan ağ trafikleri
- Web sunucu istatistikleri
izlenmekte ve raporlanmaktadır.
Siber Olaylara Müdahale Ekipleri (SOME)
Son yıllarda gittikçe artan düzeyde görülen siber saldırılar kurumları hem maddi kayba hem de itibar kaybına maruz bırakmaktadır. Finansal kuruluşlar gibi çok sayıda kullanıcıya hizmet veren kurumlar ise bu zararların yanı sıra aynı zamanda müşterilerin hassas bilgilerinin ele geçirilmesi ve güven sarsılması gibi sorunlarla karşı karşıya kalmaktadır. SOME ekipleri kurum kaynaklarının ve bilişim sistemlerinin siber saldırılara karşı korunması ve saldırı tespit edildikten sonra alınması gereken aksiyonların belirlenip uygulanması gibi hizmetleri sunmaktadır. Siber saldırılara müdahale; zararlı yazılım ve virüs gibi saldırı vektörlerinin evrimini inceleme ve gerekli alarmları üretme gibi görevleri vardır.
SOMElerin en önemli görevleri arasında saldırıların yapacağı hasarı en aza indirmek ve kontrol altına almak, etkili bir müdahale ve kurtarma süreci sağlamak ve gelecekteki saldırıların gerçekleşmesini önlemek gibi hizmetler sayılabilir. Bu görevleri ayrıntılı olarak değerlendirmek gerekirse:
- Saldırının etkisini, kapsamını ve karakteristiğini belirleme
- Saldırının teknik nedenini anlama
- Daha başka neler olmuş olabileceğini ve olaydan kaynaklanabilecek diğer potansiyel tehditleri tanımlama
- Dijital delillerin toplanması ve analizini gerçekleştirerek yasal yaptırım çalışmalarını desteklemek
- Kalıcı ve anlık çözümleri araştırma ve önerme
- Müdahale stratejilerinin diğer ilgili yetkililerle birlikte uygulanmasının desteklenmesi ve koordine edilmesi
- Güncel riskler, tehditler, ataklar, istismarlar bilgilerinin açıklanması ve alınabilecek önlemlerin alarmlar, öneriler, web sayfaları ve diğer teknik yayınlarla duyurulması
- Satıcılar(vendors), servis sağlayıcılar, hukuk görevlileri, diğer güvenlik grupları ve diğer SOME’ler gibi taraflarla koordineli çalışmak ve işbirliği yapmak
- Kurumun güvenlik durumunu ve olay yönetimi süreçlerini iyileştirmek adına kullanılabilecek korelasyon yöntemlerini, çıkarılacak dersleri, olay ve zafiyet verilerini içeren bir envanter(repository) tutmak
- Sistemleri, ağları, kritik veri ve varlıkları korumak için derinliğine savunma(defense-in-depth) stratejilerini ve saldırı önleme taktiklerini paylaşmak ve güvenli yapılandırma ile ilgili en iyi yöntemleri önermek
- Zafiyet tarama ve değerlendirme, kalıntı(artifact) analizi(saldırıya uğrayan sistem üzerinde bırakılan zararlı yazılım veya sızma girişimlerine ait kalıntı dosyaları arama işlemi), bilgisayar adli bilişim çalışmaları için delil toplama ve analiz, sistem ve ağ izleme, güvenlik politikası oluşturma ve güvenlik farkındalığı eğitimleri sunmak
- Altyapı güvenlik taraması, en iyi taktikleri gözden geçirme, zafiyet tarama veya penetrasyon testi gibi güvenlik denetlemelerine katkıda bulunmak
- Güvenlik sitelerini, mailing listelerini, haberleri ve vendor sitelerini takip ederek yeni ya da ortaya çıkmakta olan teknik gelişmeleri, saldırgan aktivitelerini, gelecek tehditleri, yasal düzenlemeleri, sosyal-politik tehditleri veya yeni savunma stratejilerini gözden geçirmek suretiyle kamusal izleme(public monitoring) ve teknolojiyi takip işlemlerini gerçekleştirmek
SOME’ler hem saldırılar ve tehditler hem de çözüm ve hafifletme stratejileri hakkında uzman seviyesinde bilgi sahibidirler. Atakların geçireceği evrimi ve tırmanışı anlar; gerekli bilgiyi paydaşlara ve müşterilere zamanında ve etkili aksiyon alınabilecek bir şekilde bildirirler.
SIEM
Uzaktan erişim noktalarının ve ağlara bağlanan cihazların sayısındaki artış ağlara sızma noktalarının da çoğalmasına neden olmaktadır. Bilişimciler ağın karşı karşıya kaldığı tehditleri algılayabilmek için birden fazla kaynaktan toplanan veriyi analiz etmek ve bunların sonucunda atılacak adımları kararlaştırmak durumundadırlar. Saldırıların tespit edilmesi, dijital delillerin kaybedilmesine olanak vermeyecek şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi raporlaması ve güvenlik tehditlerinin gerçek zamanlı olarak izlemeye alınması gibi önemli hizmetleri sunan SIEM ürünleri ağ geçidi, sunucular, güvenlik duvarları ve diğer kritik BT bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda ayrıntılı rapor üretirler.
SIEM’in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir. SIEM ürünleri çevre birimlerden uç kullanıcılara kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve analiz eden sistemlerdir. SIEM’in çeşitli sistemlerden loglanan farklı formatlardaki olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme denir. Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik tehditlerinin tespitine ve harekete geçilmesine yardımcı olur. Birleştirme(aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır.
SIEM’in çalışma mekanizmaları arasında,
- Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygulamak
- Bağımsız gibi görünen olayları birbiriyle bağlantılandırmak ya da olayları datayla ilişkilendirmek
- Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunan izleme paneli sağlamak
- Yöneticilere mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak
- SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek
gibi maddeler sayılabilir.
Kaynakça:
[1] https://download.microsoft.com/download/4/6/8/4680DFC2-7D56-460F-AD41-612F1A131A26/Microsoft_Cyber_Defense_Operations_Center_strategy_brief_EN_US.pdf