Güvenlik Operasyonu, Olay Müdahale, Tehdit Yönetimi

Sistem bileşenleri üzerinde tutulan kayıtlar, sorun gidermek, güvenlik, kanıt oluşturmak ve uyum gibi birçok amaçla kullanılır. Log yönetimi, ISO 27001, KVKK, 5651 Sayılı Yasa, PCI DSS gibi düzenlemelere uyum sağlamak için gerekli olan en önemli bileşenlerden biridir. Tutulan kayıtların çeşidine bağlı olarak, kullanıcıların hangi sistemlere ne zaman eriştikleri, sistemlerin doluluk oranları, performans değerleri, veritabanlarında erişilen tablolar, yapılan değişiklikler gibi birçok bilginin toplanması ve kaydedilmesi mümkündür. Log yönetimi gerekli olmakla birlikte yeterli değildir. Toplanan logların ilişkilendirilmesi, arşivlenmesi, raporlanması gerekmektedir. Güvenlik Olay Yönetimi ve Korelasyon Sistemi (SIEM) çözümleri sayesinde milyonlarca satırlık logun içinden kurum için anlamlı bilgilerin ve bulunması kolaylaşır, güvenlik açısından şüpheli olaylar ortaya çıkarılabilir ve güçlü güvenlik analizleri yapılabilir.

Güvenlik operasyon merkezindeki bir güvenlik analistinin bir alarma müdahaleyi başlatarak kapsam altına alıp sonlandırması saatler sürmektedir. Bu süre zamanla yarıştığımız siber ataklara karşı olay müdahalesinde güvenlik orkestrasyon ve otomasyonunu önemli bir başlık olarak kılmaktadır. Güvenlik orkestrası ve otomasyonu, güvenlik analistinin sürekli tekrar eden manüel süreçlerinde ciddi zaman harcamasının önüne geçmiş olur. SOAR araçları, günümüzün modern güvenlik operasyon merkezlerinin ve siber olaylara müdahale ekiplerinin olmazsa olmaz bir aracı haline gelmektedir. Bir akış diyagramı içerisinde senaryo bazlı olay yanıtlamasını bir dizi işlemler halinde otomatik işletebilmesini sağlayabilmektedir. En basit senaryo ile SIEM'de oluşan bir alarmın önceliklendirmesini yapabilir, alarmın zenginleştirmesini sağlayabilir ve önleme katmanında çalışan bir BT sisteminde engelleme ve izolasyon aksiyonu aldırmasını sağlayabilir.

Güvenlik operasyon merkezinde görünürlük ve tespit mekanizmasının kalitesi en önemli kavramlardan bir tanesidir. Kurumlar, uç noktalarda meydana gelen olayları daha fazla toplayarak, analiz ederek, araştırarak ve raporlayarak gelişmiş tehditlerin tespitini ve görünürlüğünü arttırabilmektedir. EDR teknolojisi bu mekanizmayı çalıştırabilecek geniş perspektifte uç noktalardan topladığı veriler ile tehdit keşfi, önceliklendirmesi, incelemesi ve müdahalesi yapabilen en önemli çözümlerden bir tanesidir. Sürekli izlemesi, kullanıcı, dosya, registry, hafıza, ağ ve proses aktivite bilgisi toplaması sayesinde gerçek zamana yakın içeriden veya dışarıdan oluşabilecek bir tehditi tespit edebilir anında ilgili uç noktada aksiyonlar alabilir veya SIEM, SOAR gibi araçlara kolay ve esnek olarak entegre olabilir.

Saldırganlar, saldırılarını gerçekleştirir iken ağ içerisinde hareket ederler. Bazen bunun yönü kuzey-güney iken bazen de doğu-batı olmaktadır. BIOS seviyesinde yapılan zararlı veya iz kaydı bırakmayan aktiviteler, tehditlerin tespit edilmesinde kullanılan mekanizmaların görünürlüğünü yeteri kadar sağlayamayabilir. Diğer bir yandan saldırganlar saldırılarını bir yaşam döngüsü içerisinde yaparlar ve bu döngünün bir parçası da ağ içerisinde hareket etmeleridir. NDR, ağ içerisinde meydana gelen tüm aktiviteleri veri formatında toplayıp, işleyip, analiz ederek saldırganların gelişmiş tehditlerini tespit etmek için bir çözüm sağlar. Makine öğrenim algoritmaları ve gelişmiş analitik yetenekleri sayesinde geleneksel saldırı tespit sistemlerinden atlayan saldırıların tespitinde önemli bir araçtır. SIEM, SOAR, EDR, TI gibi diğer önemli güvenlik çözümleri ile entegrasyonu da önem arz etmektedir.

Güvenlik olay yönetimi ve korelasyon sistemleri üzerinde kullanıcıya dayalı ilişkilendirme operasyonel olarak çok zordır. Profilleme ve kullanıcı bazlı tehdit tespit etme onlarca farklı kural seti girmek anlamına gelebilir. UEBA teknolojisi kurum içindeki her kullanıcının zaman bazlı aktivitesini belirli algoritma üzerinden izleyebilmektedir. Bu sayede kullanıcının anormal tespiti, gelişmiş zararlı tespiti ve kullanıcı özelinde tehdit avlaması yapılabilmektedir. Kurala dayalı imza eşleştirmesi, patern eşleştirme, makine öğrenimine dayalı gelişmiş analitik yetenekleri sayesinde meydana gelen vakalar incelenebilmektedir.

Bilgi sistemlerine yetkisiz erişen saldırganları ya da kullanıcıları tespit etmek için, onları aldatan, haklarında bilgi toplamaya yarayan tuzak sistemleri, yani tuzak ve yem sistemlerini kullanarak saldırı tekniklerini daha iyi anlayabilir, sistemlerin gerçek bir saldırıya uğramadan önlemini alabilmektedir. Aldatma teknolojisi, saldırganlar gerçek sistemlerinize gelene kadar onları oyalar ve zaman kazandırır. Ağ içine konumlanan tuzak ve yemler sayesinde saldırının hapsedilmesini ve saldırının süreçlerini tuzak sistemi içerisinde devam etmesini sağlar. Bu sayede tehdit avlama yüzeyi artacak, olay izlemesi ve analizinde daha fazla veri ile zenginleştirme yapılması sağlanabilmektedir.

Sistemlerin olası bir siber saldırıya nasıl cevap vereceğini test ederek saldırı gerçekleşmeden önce alınması gereken önlenmeleri belirlemek önemli bir çözüm kümesi oluşturur. Güncel tehdit kütüphanesi ve modern metodolojiler (MITRE ATTACK, Cyber Kill Chain, OWASP vb.) kullanılarak yapılan bu güvenlik testleri, NGFW, IPS, WAF, EPP, SIEM, EDR, NDR gibi güvenlik sistemlerini sürekli kontrol ederek erişilebilir olduklarını ve güncel tehditlere karşı etkin çalıştıklarını garanti altına alır. Regülasyon ve uyumluluk başlıklarındaki gereksinimleri yerine getirmenizi sağlar.

Konvansiyonel savaş yöntemlerinde, rakiplerden ne kadar çok istihbarat alınabilirse, saldırıya karşı o kadar güçlü bir koruma sağlanabilir. Aynı durum siber ortamlarda da geçerlidir. Kurum ya da üst düzey yetkililere bir siber saldırı yapmak üzere yürütülen hazırlıklardan önceden haberdar olabilmek, bu saldırılardan korunmak için büyük bir avantaj sağlamaktadır. Bu sayede gerekli önlemler alınır ve saldırılar engellenebilir. Tehdit İstihbarat çözümleri sayesinde, açık ya da kapalı Internet kaynaklarından toplanan veriler, makine öğrenmesi ile yararlı bilgi haline getirilir ve kurumun kullanımına sunulur.

Bilgi sistemleri varlık yönetimi üzerine inşa edilir. Her bir varlığın riskini ölçmek, izlemek ve raporlamak hem uyulması gereken yasa ve regülasyonlar gereği hem de temel bir BT Risk yönetim süreci açısından çok kritiktir. Risklerin ölçülmesi bilgi varlıkları üzerindeki zafiyetlerin ve açıkların tespiti ile mümkündür. Yapılan araştırmalar saldırıların büyük bir çoğunluğunun bilinen zafiyetleri istismar edildiğini göstermektedir. Aktif, pasif ve süreklilik arz edecek şekilde zafiyetlerin keşfi, önceliklendirilmesi, analiz edilmesi ve iyileştirmesi ile bir yaşam döngüsü içerisinde yönetilmesi riskleri minimize eder.

Olay müdahale sürecinin önemli bir parçası olay ile ilgili tüm kanıtların analiz ve incelenmesidir. Ağ adli analiz platformu, ağ üzerinde toplanan verilerin full paket yakalama ile paketin tüm içeriğini ele alarak merkezi bir ünite içerisinde saklamak ile inşa edilir. Bu sayede vaka ile kanıtın derinlemesine incelenmesi, geçmişe yönelik hareketlerin kök analizi yapılması, anomali davranış tespiti ve zararlı içerik tespiti yapılabilmektedir.

Siber tatbikat, güvenlik operasyon merkezinin temel parçalarından birisidir. Güvenlik analistlerinin bir siber saldırı sırasında yapacakları aksiyonu hem tatbikat ile alacakları eğitim ile hem de sunulan tehdit emülasyon ortamlarında yaptıkları gerçek dünya senaryoları ile hazır hale gelmelerini sağlar.