SIEM
(Security Information and Event Management) “Güvenlik Bilgisi ve Etkinlik
Yönetimi” yazılımı gerçek zamanlı bir
şekilde ağda gerçekleşen olayların görülmesini sağlar. Güvenliğin önemli bir
bileşeni olan SIEM, farklı sistemlerden (güvenlik cihazları, ağ cihazları,
sunucular, uygulamalar vb.) gelen log verilerini toplar, oluşabilecek
saldırıları tespit edebilmek için bu verileri ilişkilendirir ve analiz eder ve
bilgiyi daha sonra kullanmak üzere saklar. Bu bilgilerle güvenlik ihlalleri
incelenebilir.
SOAR (Security Orchestration Automation and Responce) “Güvenlik orkestrasyon, otomasyon ve olaylara müdahale" Farklı kaynaklardan gönderilen güvenlik verilerinin toplanarak düzenlenmesini standardizasyonunu ve otomasyonunu sağlamak için ortaya konmuş bir sistemler bütünüdür.
EDR (Endpoint
Detection and Response) “Son Nokta Tespiti ve Yanıtlama”, sürekli izleme ve gelişmiş tehditlere müdahale
ihtiyacını ele alan bir siber güvenlik teknolojisidir. Son nokta güvenlik
teknolojisinin bir alt kümesi ve en uygun güvenlik duruşunun kritik bir
parçasıdır. Antivirüs ve EDR çözümleri tek bir platform da birleşeceği
konuşulurken, yine de iki ayrı çözüm olarak devam etmektedir. EDR, güvenlik
analistlerinin çok sayıda son noktaya yayılan çok gelişmiş tehditleri ve daha
geniş saldırı girişimlerini keşfetmelerine, araştırmalarına ve bunlara yanıt
vermelerine yardımcı olacak doğru analizler ile doğru uç nokta görünürlüğü
sağlamaya çalışmaktadır.
SOAR (Security Orchestration Automation and Responce) “Güvenlik orkestrasyon, otomasyon ve olaylara müdahale" Farklı kaynaklardan gönderilen güvenlik verilerinin toplanarak düzenlenmesini standardizasyonunu ve otomasyonunu sağlamak için ortaya konmuş bir sistemler bütünüdür.
Sürekli
artan tehditlere karşı ağda toplanan verilerin artması sonucunda elde edilen
farklı ve büyük verilerin düzenlenmesi ve raporlanması zorlaşmaktadır. SOAR
Veri çeşitliliğinin ve miktarının artması karşısında tehdit müdahale
yeteneklerinin artmasını sağlamakta ve iş süreçlerini kolaylaştırmaktadır.
10
ve daha fazla elemanın çalıştığı NOC ve SOC ekiplerinin SIEM yanında SOAR da
kullanma gerekliliği de ortaya çıkmaktadır. SOAR kavramı içinde öne çıkan iki
önemli tanım otomasyon ve orkestrayon ‘dur. Otomasyon uzmanın elle yapacağı
işlemlerin otomasyon ortamında hızlıca ve hatasız yapılması, orkestrasyon ise
farklı güvenlik uygulama ve servislerinin birlikte çalıştırılması ve birbirine
entegre edilmesidir.
Saldırılar
daha karmaşık hale geldikçe tehdit istihbaratında hızlanmak gerekecektir. Daha
hızlı öğrenme ve daha hızlı cevap süreleri elde etmenin yolu SOAR dan
geçmektedir. SOAR şüpheli davranışların algılanmasını kolaylaştırmakta ve cevap
verme süresini azaltmaktadır. Veri kaynaklarından gelen bilgileri birleştirerek
işlemlerin etkinliğini ve verimliliği arttırmakta ve cevapları
otomatikleştirmektedir. Sonuç olarak SIEM olayların analizini yapıp sonuçları
söylerken SOAR olayları anlayıp karşı hamle yapmaktadır.
APT (Advanced Persistent Threat), “Gelişmiş
Sürekli Tehdit” terimi, 2006 yılında
ABD Hava Kuvvetleri’ndeki analistler tarafından yaratılmıştır. Bu, saldırganların
profillerini niyetlerini ve yapısını temsil eden üç yönünü açıklamaktadır:
Advanced: Saldırgan, siber saldırı yöntemleri ve yönetim
teknikleri konusunda akıcıdır ve özel istismarları ve araçları hazırlama
yeteneğine sahiptir.
Persistent: Saldırganın uzun vadeli bir amacı vardır ve
algılamadan kendi hedeflerine ulaşmak için çalışır.
Threat: Saldırgan organize edilmiş, finanse edilmiş, motive
edilmiş ve her yerde bulunabilecek bir fırsata sahiptir.
APT’ler, daha önce belirtildiği
gibi, esas olarak, çok çeşitli amaçlar için değerli bilgiler çalmak için bilgi
sistemlerine ve iletişimlere yetkisiz erişime sahip olan ve yönlendiren
organize bir grubun eylemlerini yapar. Casusluk veya dirty tricks olarak da
bilinen APT’ler, dijital varlıklara erişimi kolaylaştıran bir casusluk
biçimidir. Saldırganlar bu erişimin önündeki engelleri kaldırmaya çalışır, bu
nedenle bu saldırılar genellikle sabotaj içermez. Bununla birlikte,
saldırganlar, eylemlerinin izlerini sistem günlüklerinden temizlemek için
çeşitli tekniklerden yararlanabilir.
Yorumlar;
SIEM ile APT engellenebilir mi?
Log
verilerinin toparlanması, analiz ve tecrübe edilmesi sonrası bir sonuç
verdiğinden bence zayıf kalmakta çünkü karşısında; hedefi belirlenmiş yazılım (APT)
var. Ortama uyum sağlayan ve izlerini kaybedebilen bir sistem. Tek başına
başarısız kalır.
EDR ile APT engellenebilir mi?
Son
noktaya yayılan çok gelişmiş tehditleri ve daha geniş saldırı girişimlerini
keşfetme durumu elimizi güçlendirecek. Bulaşan virüsten hangi klasörlerin
etkilendiği, hangi dosyalara bulaşığını gösterir, bir savunma mekanizması
olmadığından, bir ara katman vazifesini yerine getirmekte.
SOAR ile APT engellenebilir mi?
Farklı
kaynaklardan gönderilen güvenlik verilerinin toplanarak düzenlenmesini
standardizasyonunu ve otomasyonunu sağlamak için aslında bir ara katman görevi
görmekte. Birden fazla oluşabilecek veri (Log) kayıtlarını bir araya
getirebilen (aynı dili konuşturabilen) bu mantıkla bakarsak bir raporlama modülü
gibi değerlendirmek en mantıklısı.
Entegre Çözüm;
SIEM
kullanımı ile Log kayıtlarını elde eder, EDR ile bulaşan dosya ve katmanları
tespit eder ve de SOAR ile hızlı raporlama bilgisi ile saldırıyı iyice anlayıp
ve nasıl yürütüldüğünü bilebilir ve önlem alma ile belki bir şansımız olabilir.
Ama
işi şansa da bırakmamak lazım;
Bildiğimiz
siber teknolojilerden bir adım önde bir yazılım olarak kabul edilen (APT) Devletler
veya büyük gruplar tarafından desteklenmeleri sebebiyle, bazı kontrol
mekanizmaları sağlayıp, önlemler almamız ile APT saldırılarını engellememiz
mümkün olabilir.
v
Öncelikle, Güçlü
şifre politikaları oluşturabiliriz, Belirli ve karmaşık periyotlarla
yenilemeliyiz.
v
İnternet
ağımızdan başlayarak, Proxy / İçerik filtreleme politikalarının güncelleyebilir,
v
Ağ trafiği
istatistikleri (Bağlantı süresi, Paket boyutu, Giden / Gelen verinin oranı)
takip edebilir.
v
Proxy / İçerik
filtreleme politikalarının güncellenmesi ve de
v
Güvenlik
duvarının kurallarını güncelleyebiliriz.
v
Bilinçsiz
kullanıcıyı kontrol altına alabilmek adına, Çalışan personele farkındalık eğimi
verebiliriz,
v
Kullanıcıların
erişim alanlarını kısıtlayabiliriz. (Giriş aygıtları kısıtı ve Admin yetkisi
alma) gibi,
v
Kritik sistemlerimizi
mümkünse internetten izole hale getirebiliriz.
Kaynaklar:
☞
SIEM Korelasyon
Kurallarının En Çok Kullanıldığı 5 Alan - (https://www.beyaz.net/tr/guvenlik/makaleler/
siem_korelasyon _kurallarinin_ en_cok_kullanildigi_5_alan.html)
☞
EDR - Endpoint
Detection and Response (Son Nokta Tespiti ve Yanıtlama) (https://www.oveobilisim.com/edr)
☞
SOAR - (https://www.ercanyuzuk.com/2019/11/soar-security-orchestration-automation.html)
☞
Siber güvenlik
kılavuzu: Advanced Persistent Threat (APT) nedir? - (https://www.dijitalx.com/2018/08/13/siber-guvenlik-kilavuzu-advanced-persistent-threat-apt-nedir)
☞
Siber Güvenlik
Saldırılarının Motivasyon ve Amaçları - (https://www.bgasecurity.com/2019/05/siber-guvenlik-saldirilarinin-motivasyon-ve-amaclari-bolum-5)