Güvenlik Bilgi ve Etkinlik Yönetimi (Security Information and Event Management – SIEM), BT altyapınızın tamamı boyunca birçok farklı kaynaktan aktiviteyi toplayan ve analiz eden bir yazılım çözümüdür. SIEM güvenlik verilerini ağ aygıtlarından, sunuculardan, etki alanı denetleyicilerinden ve daha birçok noktadan verileri toplar. SIEM, trendleri keşfetmek, tehditleri tespit etmek ve kuruluşların tüm uyarıları araştırmalarını sağlamak için bu verileri depolar, normalleştirir, toplar ve analitik uygular. SIEM, çeşitli formlarda 15 yıl boyunca siber güvenlik alanına hâkim olmuştur. Bu süre zarfında, ayırt etmeden SIEM’e bilgi depolamak vazgeçilmez bir norm haline gelmiştir. SIEM için genel kullanım durumlarını aşağıdaki gibi tanımlayabiliriz.
- Uyum ve raporlama
- Uyarı ve triyaj
- SOC İçin İşletme ve BT Bağlamı
- Olay müdahale ve soruşturma
- Uzun vadeli, tam bir hikaye
- Tehdit avı
- NOC ve bağlamı
- Güvenlikte iş akışı ve işbirliği
- Gelişmiş algılama
- Süreç iyileştirme ve öğrenme
İlk bakışta, tek bir veri havuzunu destekleme konusu bizlere cazip gelebilir. BT ve iş dünyasının çoğundan farklı olarak, akıllı, özverili ve motive olmuş bir rakibimizin olduğu tek yer güvenliktir. Kaotik sistemler iki açık kategoriye ayrılır. Birinci dereceden kaotik sistemler, insan seçimlerinden bağımsız olarak kaos ortamlarında devam eden sistemlerdir. Günlük hava olayları böyle bir sistemin güzel bir örneğidir. Yaklaşan bir kasırgaya nasıl cevap verdiğinizden bağımsız olarak, fırtına davranışlarınıza bağlı olarak yön değiştirmez. İkinci dereceden kaotik sistemler davranışlarınıza doğrudan cevap verebilen sistemlerdir. Çoğunlukla, kurumsal risk birinci dereceden bir kaotik sistem olarak çalışır. Bunun bazı istisnaları vardır, çünkü büyük ölçüde, faaliyet gösterdiğimiz başlıca pazarların varlıklarımızı ve markalarımızı hedef alan rakipleri ve sabotajcıları vardır. Bununla birlikte, güvenlik açısından, özellikle büyük miktarda ikinci dereceden kaosla ilişkili riskle uğraşıyoruz. Rakiplerimiz insandır – bunlar şimdiye kadar karşılaştığımız en motive, zeki ve uyarlanabilir rakiplerdir. Güvenlikte, kırılganlığımızı temsil eden teorik ve gerçekleştirilmemiş bir zafiyetlere maruz kalmayı azaltmak için sürekli çalışıyoruz. Güvenlik duvarları, kimlik doğrulama ve yama yönetimi de dahil olmak üzere mevcut önleme yöntemleri, potansiyel bir olayın olasılığını veya etkisini azaltarak zaten bu teorik riski azaltmaktadır. Bu, cerrahi hijyen ile ilgili olarak aynı şekilde önemlidir, çünkü gerekli araçların mevcut olması ve altta yatan görevin güvenli bir şekilde ilerlemesi için süreçlerin doğru şekilde yürütülmesi gerekir. BT Güvenlik riski kullanım durumlarında SIEM mükemmel, siber risk kullanım durumlarında (Endpoint Detection & Response) EDR mükemmeldir. İdeal bir sistem her ikisine de hitap etmelidir.
Bugün SIEM, güvenlik operasyonlarına ve stratejilerine hâkim durumdadır. Bu her zaman böyle olmadı ve olması gerekmiyor, ancak seçeneklerimizi anlamak istiyorsak pahalı, en az ölçeklenebilir ve yavaş SIEM veri yapılarının yanı sıra, buraya nasıl geldiğimizi de bilmeliyiz. SIEM kurgusu bu noktaya gelmek için uzun süreler mücadeleler verdir ve Computer Associates’in eTrust Güvenlik Komuta Merkezi veya IBM’in Tivoli Güvenlik Merkezi tarafından domine edildi.
2008 yılına kadar herkes hızlı bir SIEM’e sahipti ve hızı istihbaratla birleştirmek asıl zorluk haline geldi. Hacimler ve veri toplama oranları artmaktaydı, ancak daha erken dönemlerde korelasyon arzusu bir geri dönüş yaptı. Gün sonunda, önceki nesil ürünlerin ölümüne rağmen, uyumluluk üzerine yeni güvenlik değerini bizlere sunuyordu. Buradaki ilk büyük kazananlar Nitro Data Systems, Q1Labs QRadar ve Splunk idi. Bununla birlikte, piyasa baskısı yine doğal seleksiyon sürecine yol açtı ve önceki dalgada başarılı olan ürünleri öldürdü. Açıkçası, SIEM ile miras aldığımız üç ana sorun var. Bunlar aşağıda belirttiğim sorunlardır.
- SIEM, ana işlerinin ikincil bir işlevi olarak kayıt ve kayıtları tutan diğer birincil sistemlerden geldiği anlamına gelen ikincil bir kayıt sistemidir. Bu nedenle, tüm veriler kaydedilmez ve hatta bir SIEM’e erişemez.
- SIEM’de gürültü/sinyal oranı son derece yüksektir. Gerçek ya da kötü her gerçek olayda, 10 ile 200 arasında sistem etkinliğe kaydolur. Bir olayın gerçekleşmesi sonrası izleme bağlamı ve yeniden inşası önemsiz değildir, ilgisiz kayıtlar ve gürültünün olduğu bir denizde boğulursunuz. Gerçekten bir dosyanın çalışıp çalışmadığını bulmaya çalışırken, kaç tane başarısız sistem girişi veya yazıcı doğrulama hatası oluştuğunu bilmemiz gerekir mi? diye sorabilirsiniz.
- Kayıtların bağlamı, gerçekleşen olaylardaki bulmacanın ayrıntı seviyesine kadar ayrılır. Olay çok mikroskobik olunca büyük bulmaca görüntüsünü kaybediyor; bağlam ve ilişkiler göz ardı edilebiliniyor. Bilginin erişilebilir hale getirilebilir ve uygulanabilir hale getirilmesi, arka uçtaki veri yapılarında enerji ve zaman gerektirir; bu, tam bulmaca seviyesi resmini yeniden hayal etmeye çalışır. Sonunda, temel siber işlevleri yerine getirmek için yeterince bağlamsal olarak zenginleştirilmiş veri veya bilgiye sahip değiliz.
Tüm bunların altında yatan tek bir çok amaçlı veri yapısının olması arzusudur. Geçmişte SIEM’e koşan tarihi uyum, raporlama ve BT Güvenliği hijyeni kullanım durumlarının, ileride tehdit tespiti, olay tepkisi ve avlanma gibi daha fazla “siber” işlev yapması gerektiği ile karşı karşıya olduğu görülüyor.
Uç nokta güvenliği, artık bir şirketin çevresi olarak düşünülen şeyleri – ağa açılan ağ geçidi olan aygıtları – bilinmeyen tehditlerin yanı sıra bilinenlerden de koruyor. Kötü amaçlı yazılımlar ve kötü amaçlı yazılım dışı saldırıları içeren bu tehditler, verileri çalmaya, altyapıları tahrip etmeye veya finansal zararlara neden olabilir. Uç Nokta Tespiti ve Yanıt (EDR) teknolojisi, çok derin izleme türlerini elde etmek için tasarlanmıştır. SIEM’in aksine, iyi tasarlanmış bir EDR tüm bilgileri birincil bir şekilde toplar ve bir “olay” kavramından daha fazlasını yakalayabilir. Bulmacanın seviyesini değil, birimini değil, bulmacayı koleksiyonda ifade edebilir, olayların bağlamını ve ilişkilerini koruyan bir konu-nesne-dilbilgisi ile bunu toplayabilir. Bu, geç uygulamalar ve gerçek zamanlı kullanım durumlarının bakımı için çok önemlidir. Tüm verileri topladıktan sonra, EDR klasik SIEM’e kıyasla çok farklı bir veri yapısı oluşturma şansına sahiptir. EDR’nin, bir şirketin olay havuzunu oluşturabilecek iyi veya kötü olarak hesaplama ilişkilerini etkili bir şekilde eşleştirmesini sağlamak için bir amacı vardır. Bir SIEM’den daha az sinyal-gürültü sorunu yaşadığından, verilerin olası her kullanım ve akış aşağı kullanım için hazırlanması gerekmez. Bunun yerine, zengin, içeriğe duyarlı ve analistler tarafından kullanılabilen bilgileri yükselterek doğru insan etkileşimi türünü optimize edebilir. Sorgulama ve soruşturmayı kolaylaştırabilir ve optimize edebilir, aynı zamanda mevcut verilerle avlanmaya ve “oynamayı” sağlayan özelliklere odaklanabilir.
SOAR (Güvenlik Düzenleme, Otomasyon ve Yanıt), bir kuruluşun birden fazla kaynaktan gelen güvenlik tehditleri hakkında veri toplamasına ve düşük seviyeli güvenlik olaylarına insan yardımı olmadan yanıt vermesine izin veren uyumlu yazılım programlarının bir çözüm yığınıdır. SOAR yığını kullanmanın amacı, fiziksel ve dijital güvenlik işlemlerinin verimliliğini artırmaktır. Araştırma şirketi Gartner tarafından oluşturulmuş olan terim, olay müdahale işlevlerinin tanımlanmasına, önceliklendirilmesine, standartlaştırılmasına ve otomatikleştirilmesine yardımcı olan uyumlu ürün ve hizmetlere uygulanabilir.
Bu yazımda belirttiğim ilkeler göz önüne alındığında, operasyon personeli ve uygulayıcılar kendi benzersiz referans mimarilerinde araç seçerken birlikte çalışabilirliğe öncelik vermelidir. Neredeyse tüm güvenlik ekipleri bugün SIEM çözümlerine sahipler, bu nedenle bireysel SIEM’leri ile çalışacak EDR satıcıları ve Güvenlik Düzenleme, Otomasyon ve Müdahale (Security Orchestration, Automation and Response – SOAR) satıcılarının seçimi önemlidir. Ancak uygulayıcılarının, enerjilerini personelin verimliliği, süreçleri ve kullanım durumlarına odaklamaları gerekir. Bu amaçla, aşağıdaki özellikler öz değerlendirme için ve güvenlik yığınını ve referans mimarisini tamamlamada yol gösterici ilkeler olarak kullanılabilir:
- Gürültüyü en aza indirin ve alarm yorgunluğunu önleyin.
- Kaynakların akışı ve çarpışmalar nedeniyle son noktadaki dikkat dağıtıcılık, şirketlerin ölümüdür. İlk olarak, BT’ye zarar vermeyin. İkincisi, güvenlik için en iyi veri kalitesini sağlayın.
- Eskiyi atmayın, ancak “gelecek nesil” teknolojilerle birlikte imza tabanlı teknolojilerde olduğu gibi yeni ile kombinasyonunu optimize edin.
- Mümkün olan her yerde, kötü amaçlı yazılım, kötü niyetli işlemler, dosyasız kötü amaçlı yazılım, fidye yazılımı ve daha pek çok konuda davranışsal teknolojilerden yararlanın.
- Uyum sinyallerini ve özel sinyallerle tetiklenen etkinlik göstergelerini otomatikleştirin.
- Bilinmeyen tehditlere karşı aldatma tekniklerinden yararlanın.
- Bağlamla hızlı algıla ve harekete geçmeye hazır olun.
- Sensör ve izleme verilerinin gerçek zamanlı olarak toplanması.
- Saldırı yaşam döngüsünün tüm aşamalarında yukarı ve aşağı akış izlenmelidir.
- İçerik açısından zengin uyarılar almak için asla yalıtılmış alarmların gelmemesi gerekir.
- Gerçek soruşturma ve adli bilişim çalışmaları için aramaların hızlı bir şekilde yürütülmesi ve döndürülmesi.
- Yeni, daha az deneyimli kullanıcılar oyunlarını üst seviyelere çıkarmaya çalışmalıdır. (BT seviye 1 analisti (L1) ve L1 seviye 2/3 gibi davranır)
- Hızlı, koordineli bir tepki geliştirin.
- Toplu iyileştirme süreci ve araçları, karantinaya alma durumlarını içermelidir.
- Bir saldırının başkalarıyla kullanım hikayesini anlatan açık iletişim seçenekleri olmalıdır.
- Tüm düzeltme işlemlerinin günlüğe kaydedilmesi. Olay kapsam belirleme (YARA, dosya arama, makine arama vb.)
- Nerede ve ne zaman mümkün olursa, otomatikleştirin.
- Davranışsal beyaz liste ve kara liste oluşturun.
- Paylaşıma dahil başarılı sorgulamanın yeniden kullanılması.
- REST API kullanılması.
- SOAR entegrasyonu
- SIEM entegrasyonu
- İş akışı entegrasyonu
- Veri havuzlarına bilgi yayınlayın/abone olun
2018 yılı, EDR teknolojilerini ve şirketlerini zorlayan, hızlı büyüme ile uç nokta pazarlarının ve teknolojilerinin bozulma yılı oldu. 2018 yılına kadar, odak noktası son derece fazlaydı, ancak izleme kaynaklarına rağmen işletmeler üzerindeki asıl etki son nokta etrafında değildi. Bu SOC ile ilgilidir ve SOC’lerin nasıl geliştiği ve yönetildiği konusundaki devrim daha yeni başlıyor. SOC’nin SIEM araçları ve türev teknolojisi ile tartışmasız hegemonyasını sona erdirme zamanı geldi. SOC kullanım durumlarının SIEM, EDR ve SOAR arasında dengelenmesi gerekir; burada bazen hepsi eşit oyunculardır, ancak üçünün de rolü vardır. Bu oyunun adı entegrasyondur ve hiçbir araç SOC’nin geleceğine hâkim değildir. Doğru referans mimarisini anlamak ve birlikte çalışabilirliği sağlamak çok önemlidir. İleriye dönük olarak, kullanıcılar ve süreçler, gerçek zamanlı görevlerde verimliliği sağlayacak ve kullanıcıların oyunlarını yükseltmelerini sağlayacak olan zaman içerisinde iyileştirme merkezinde olmalıdır. BT güvenlik operasyonları ile siber güvenlik operasyonları arasındaki farkın yanı sıra her birinin neye dikkat etmesi gerektiğini anlamak önemlidir. Bu, SIEM’lerin, EDR’lerin ve SOAR’ların kullanması gereken durumlar için temel oluşturur. Üç araç arasındaki doğru dengenin aşağıdaki tabloda gösterildiği gibi olması gerekir.
| Kullanım Senaryosu | SIEM | EDR | SOAR |
|---|---|---|---|
| Uyum ve Raporlama / Olay Tepkisi ve soruşturma | 1 | 3 | 2 |
| SOC Hijyeni | 1 | 3 | 2 |
| Uzun vadeli, Tam Bir Hikaye | 1 | 3 | 2 |
| SOC İçin İşletme ve BT Bağlamı | 1 | 1 | 1 |
| Gelişmiş Algılama | 3 | 1 | 2 |
| Uyarı ve Triyaj | 3 | 1 | 2 |
| Olay Müdahalesi ve Koordinasyon | 3 | 2 | 1 |
| Soruşturma ve Tehdit Avı | 3 | 1 | 2 |
| Güvenlikte İş Akışı ve İşbirliği | 2 | 2 | 1 |
| Süreç İyileştirme ve Öğrenme | 1 | 1 | 1 |
