SIEM ve Log Yönetimi Satın Alma Kılavuzu
1. Log Nedir? 1.1. Loglama Türleri 1.2. Log Taşıma 2. Bilgi Güvenliği ve Olay Yönetimi (SIEM) Nedir? 2.1 SIEM Ürün Seçimi 2.2. Açık Kaynak Kodlu Yazılımların Kullanımı 2.3. Bulut Tabanlı ve Şirket İçi SIEM’i Kıyaslamak 2.4. Log Saklama 2.5. Log Analizi 2.6. Raporlar 2.7. Politika ve Prosedürler 3. Özet
1. Log Nedir? Sistem ve uygulamalarda yapılan değişikliklerin olay kayıtları (kaynak IP, saat, tarih vb.) tutulmaktadır ve bu olay kayıtlarının toplamı log olarak adlandırılır. Log denetim izi, veri logu, etkinlik logu, denetim logu log kaydı ve olay logu olarak da adlandırılır. Log izleme, tüm kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği denetim izlerinin (loglarının) belirlenen kurallara göre analiz edilmesi olarak tanımlanmaktadır. Logların, denetim veya bir saldırı için kanıt olarak kullanabilmesi adına, kapsamlı bir şekilde toplanması, birleştirilmesi, orijinal haliyle saklanması sağlanmalıdır. Aynı zamanda saldırıların adli olarak incelenmesine de yardımcı olarak saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokollerin kullanıldığı gibi önemli bilgileri elde etmeye yardımcı olmaktadır. Logların günlük olarak izlenmesi ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulması gerekmektedir. 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlemesine Dair Usul ve Esaslar Hakkındaki Yönetmelik Kanunu, ISO 27001, PCI ve COBIT gibi bilişim sektörünün en önemli kanun ve standartları log tutmayı esas zorunluluk olarak şart koşmaktadır. Ancak veri Sorumluları tarafından işlenen kişisel veriler, sonsuz sürede veya süresiz saklanması mümkün ve gerekli değildir. İşlenme amacına uygun bir süre tutulmalı ve daha sonra imha edilmelidir. Aşağıda bazı kanun ve tebliğler için logların ve yedeklerin tutma süreleri yer almaktadır:
Kanun ve Tebliğler
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlemesine Dair Usul ve Esaslar Hakkındaki Yönetmelik Kanunu
Logların ve Yedeklerinin Tutulması Gereken Süreler
En az 6 ay – En fazla 2 yıl
Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ
En az 3 yıl
Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ
En az 3 yıl
Tablo 1 Kanun ve Tebliğler Çerçevesinde Logların ve Yedeklerinin Tutulması Gereken süreler
Loglar kayıt altına alınırken yapılan en büyük hata, fazla log alınmasıdır. Önemli olan fazla log toplamak değil ihtiyaçlara ve olaylara göre belirlenerek çözüm için fayda sağlayacak logların toplanmasıdır. 1.1. Loglama Türleri Çoğu işletim sistemi, birkaç farklı türde loglama yeteneğine sahiptir ve farklı log mesajları üretir. Bütün log kaynakları düşünüldüğünde loglamanın dört temel sebebi vardır: i. Güvenlik Loglama: Saldırıların, zararlı yazılımların, veri hırsızlığının ve diğer güvenlik konularının tespit edilerek gerekli karşılığın verilmesine odaklanmıştır. ii. Operasyonel Loglama: Sistem operatörlerine hata ve olası işlem durumları gibi yararlı bilgileri sağlamak amacıyla yapılır. Ayrıca sadece bilgi teknolojileri için değil ticari amaçlı hizmet sağlamak ve finansal kararlar almak için de kullanılabilir. iii. Uyumluluk Loglama: Güvenlik loglama ile çakışır; çünkü düzenlemeler genel olarak sistemlerin ve verilerin güvenliğini artırmak amacıyla yazılmaktadır. Uyumluluk loglamanın iki türü vardır. Bunlardan ilki bilgi teknolojilerini etkileyen düzenlemeler (PCI DSS, HIPAA, ISO vb.) ve direktiflerdir. İkincisi ise ortak ölçütler gibi sistem düzenlemeleri ve sistem tasarımı ve güvenliği ile ilgili diğer direktiflerdir. iv. Hata Ayıklama Loglama: Uygulama ve sistem geliştiricileri için yararlı olan özel bir loglama türüdür. Hata ayıklama loglarının içerisindeki mesajların birçoğu, uygulamanın yapısı hakkında tam bilgi sahibi olan ve bazen de uygulama kaynak koduna sahip geliştiriciler tarafından analiz edilebilir. 1.2. Log Taşıma Log taşıma, log mesajlarını bir yerden başka bir yere taşımanın basit bir yoludur. Syslog ve ürüne özgü taşıma protokolleri gibi birçok olay taşıma protokolü bulunmakla birlikte kendi taşıma yöntemi olmayan loglama mekanizmaları (yerel log dosyası gibi) da vardır. Uygun bir log taşıma mekanizması; log verisinin bütünlüğünü, erişilebilirliğini ve gerekirse gizliliğini muhafaza etmeli, log biçimini ve anlamını koruyarak oluşmuş olan tüm olayların doğru zamanlama ve olay sırası ile tutarlı bir şekilde gösterilmesine imkân sağlamalıdır. Log taşımadaki gereksinim, logların, olay kayıtlarının ve olay akışının bütünlüğünün korunmasıdır. Daha önemlisi, her log girdisi doğru zaman damgasıyla muhafaza edilmelidir. Bazı log taşıma mekanizmaları şunlardır: • Syslog • SNMP • SOAP • SCP, CIFS, NFS gibi dosya paylaşımı
2. Bilgi Güvenliği ve Olay Yönetimi (SIEM) Nedir? Gelişmiş bir sistem olarak görülen SIEM (Security Information and Event Management) log analizine göre daha ince detaylı yapılandırma ve raporlama seçenekleri sunmaktadır. SIEM’in en önemli özelliklerinden biri birbirinden bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir. SIEM ürünleri çevre birimlerden uç kullanıcılara kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve analiz eden sistemlerdir. SIEM’in çeşitli sistemlerden loglanan farklı formatlardaki olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme denir. Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik tehditlerinin tespitine ve harekete geçilmesine yardımcı olur. Birleştirme (aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır. SIEM, toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygulanmasını ve toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunan izleme paneli sağlar. Ağ güvenliğine yönelik tehditler hızla yayılmakta ve her geçen gün yenileri ortaya çıkmaktadır. Uzaktan erişim noktalarının ve ağlara bağlanan cihazların sayısındaki artış ağlara sızma noktalarının da çoğalmasına neden olmaktadır. Saldırıların tespit edilmesi, dijital kanıtların kaybedilmesine olanak vermeyecek şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi raporlaması ve güvenlik tehditlerinin gerçek zamanlı olarak izlemeye alınması gibi önemli hizmetleri sunan SIEM ürünleri ağ geçidi, sunucular, güvenlik duvarları ve diğer kritik BT bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda ayrıntılı rapor üretirler. Sistem ve uygulamaların envanteri çıkarılıp ve bu envanterde yer alan sistem ve uygulamaların logları SIEM’e gönderilir. Logları SIEM’e iletilen sistem ve uygulamalar için loglaması istenilen olayların başında kullanıcıların tüm erişimleri ve hareketleri, kullanıcıların yetkileri üzerinde yapılan değişiklikler (yeni kullanıcı oluşturulması, silinmesi vb,), verilerde yapılan değişiklikler (silinmesi, eklenmesi vb.) yer alır. 2.1 SIEM Ürün Seçimi Global piyasada çok sayıda SIEM/Log ürünü bulunmaktadır ve her kuruluşun ihtiyaçları birbirinden farklıdır. Bu yüzden ürünleri kendi amaçları doğrultusunda ve kullanacağı kuruluş özelinde değerlendirmek gereklidir. SIEM ürün ve teknolojisini, öncelikli olarak bir takım uyumluluk standardı isteyen kuruluşlar ile raporlama gibi belirli yeteneklere, bir güvenlik merkezi kurmak için SIEM’den yararlanmak isteyen kuruluşlardan daha farklı ihtiyaçları olacaktır. İzlenip kaydının tutulacağı veri miktarı da göz önünde bulundurulmalıdır. Önceliklerin belirlenerek kullanılacak SIEM ürününe karar verilmelidir. SIEM ürünü alındıktan sonra dış kaynaktan danışmanlık alınacak ise danışmanlık çerçevesinin de belirlenmesi gerekir.
1. Log yönetimi 2. Korelasyon kurallarının gerçek zamanlı uygulanması 3. Gelişmiş analitik ve makine öğreniminin gerçek zamanlı uygulaması 4. Uzun süreli olay depolama 5. Normalleştirilmiş veriler üzerinde arama ve raporlama 6. Ham veriler üzerinde arama ve raporlama 7. Ek korelasyon ve analitik için bağlam verilerinin alınması 8. Olay yönetimi 9. Kuruluşa özel log kaynağı tanımlama 10. Güvenlik ürünler ile entegrasyon 11. Yönetim kolaylığı 12. Performans 13. Destek 14. Referans 15. Teknik değerlendirme 16. Güvenlikle ilgili olmayan kullanım durumlarını ele alma 2.2. Açık Kaynak Kodlu Yazılımların Kullanımı Açık kaynak kodlu yazılımlar kullanarak logları bir merkeze toplayabilir, buradan temel alarmlar oluşturabilir ve sisteminizi saldırılara karşı izleyebilirsiniz. Global piyasada çok fazla sayıda açık kaynak kodlu bileşen bulunmaktadır. Bunlardan size uyanı kullanabilirsiniz. Ancak açık kaynak kodlu çözümlerde ikili, üçlü çarpraz kurallar yazmak için gelişmiş bir korelasyon motoru bulunmamakla birlikte ürün kullanımına istinaden artan tecrübe ile ilerleyen zamanlarda gelişmiş korelasyon kurallarını yazılabilmesi mümkün hale gelmektedir. Danışmanlık alarak da açık kaynak kodlu projeleri kullanarak kendi siber tehdit gözetleme sisteminizi kurup, kullanabilir hale gelebilirsiniz. 2.3. Bulut Tabanlı ve Şirket İçi SIEM’i Kıyaslamak Bir karar vermeden önce her teknolojilerin artılarını ve eksilerini gözden geçirmek gerekir. Birçok güvenlik ekibi başlangıçta, platformları üzerinde tam kontrol sağladığı için şirket içi SIEM’i kullanmak ister. Şirket içinde bir SIEM bulundurmanın bir başka nedeni şirket verilerinin tamamının yerinde kalmasıdır. Bu, kuruluşlara daha güvenli gelir, çünkü veri depolamak ve iletmek riskli olabilir. Şirket içi veya bulut SIEM arasında seçim yaparken göz önünde bulundurulması gereken diğer bir faktör maliyettir. Genel olarak, şirket içi bir SIEM oldukça pahalıdır. Birçok işletme sahibi, yalnızca aracın ilk fiyatını hesaba katarken öngörülemeyen maliyetlerin başında şirket içi SIEM’i çalıştırmak için gereken altyapıdan gelir. Sistemlerin her veri toplama noktasından çok sayıda günlüğü izlemek için ek donanım, sunucular ve depolamaya ihtiyacı vardır. Dikkate alınması gereken bir diğer maliyet çalışan ücretidir. Bir siber güvenlik ekibini yönetmek küçük bir iş değildir ve maliyetlidir. Şirketlerin eğitim için ek bütçe ayırma ve yerleşik olarak planlama yapması gerekmektedir. Son olarak, şirket içi bir SIEM kullanılırken, organizasyonların gecikme ve öğrenme eğrisinin hesaba katması gerekir. Siber güvenlik ekiplerinin yeni araçlarla tam yetkin hale gelmesinin zaman alır ve bu fazladan verimlilik ve nakit kaybıdır. Her geçen gün şirket içi SIEM yerine bulut tabanlı bir SIEM kullanımı artmaktadır, çünkü uygulaması daha hızlı ve daha az maliyetlidir. Bulut tabanlı bir SIEM kullanmak, sağlayıcınızın depolama alanına ve sunuculara zaten sahip olması nedeniyle yeni altyapıyı güvence altına alma maliyetini ortadan kaldırır. Bulut tabanlı bir SIEM, şirket içi bir SIEM’den daha uygun maliyetlidir, çünkü güncellemeler, destek ve bakım maliyete dahil edilmiştir. Bu sadece önemli tasarruflar sağlamakla kalmaz, aynı zamanda SIEM giderlerinizi yönetmeyi de kolaylaştırır, çünkü genellikle sabit bir aylık maliyet ödersiniz. Bulut tabanlı bir SIEM’in diğer bir avantajı, avantajları görmek için aylar hatta yıllar beklemek zorunda kalmamaktır. Yönetilen bir SIEM hizmetiyle ortaklık kurulduğunda, sektörde zaten en yüksek uzmanlığa sahip bir güvenlik ekibine sahip olunur. Personel kiralamak veya mevcut bir takımı eğitmek için zaman harcamaya gerek kalmaz. Ayrıca yalnızca birkaç gün içinde yapılandırılmış bir sistem elde edilebilir. Tüm çözümlerin dezavantajları vardır, bu nedenle bulut tabanlı bir SIEM ile ilişkili bazı olumsuz tarafları da incelemek gerekir. Birçok kuruluş sahibi, verilerini site dışında bulundurmak istemez. Bu kararı vermeden önce, bir şirket seçip sağlayıcısının etkili şifreleme uygulamalarına sahip olduğundan ve sistemlerini düzenli olarak güncellediğinden emin olunmalıdır. Ayrıca KVKK Mevzuatı ile kişisel verilerin ülke dışına çıkarılması engellendiğinden kişisel verilerin bulutta depolanması konusu da bir dezavantaj sağlamaktadır. Bulut tabanlı veya şirket içi SIEM arasında seçim yapmak göründüğü kadar karmaşık değildir. Her iki seçenekle ilişkili artıları ve eksileri olduğu görülmektedir, bu nedenle kuruluşunuzla ilgili seçenekleri dikkatlice düşünmeniz gerekir. 2.4. Log Saklama Kuruluşta SIEM ürünü ile toplanan loglar indekslenmiş düz metin dosyalarında şifrelenmiş şekilde saklanabilir. Toplanan loglar çevrimçi sistemde belirlenen zaman kadar saklanıp sonrasında imha edilmelidir. 2.5. Log Analizi SIEM ürünü ile saldırı tespiti, önleme, iyileştirme, izleme, uyarı ve raporlama için log analizi yapılabilmektedir. Log analizi yapılırken toplanan log verisi filtreleme işleminden geçirilir. Filtrelen log verisinin ilgili alanları belirlenen bir biçimde ayrıştırılır ve kategorize edilir, kategorize edilen log verisi korelasyon motoruna gönderilir, korelasyon motoru belirli kurallara göre ilişkilendirme yaparak eylem gerektiren bir olay ile karşılaşıldığında belirlenen eylem tetiklenir (uyarı gönderme vb.). SIEM ürünü içerisinde yer alan korelasyon kurallarına ek olarak kuruluş içerisinde belirlenen kurallar da eklenebilir.
2.6. Raporlar Kuruluş SIEM ürünü ile toplanan loglar korelasyonlara tabi tutularak, her korelasyon için alarmlar/raporlar oluşturulmaktadır. Bu raporlar, Bilgi Güvenliği ekibi tarafından bildirilen kişilere iletilmekte ve ayrıca SIEM arayüzünden görülebilmektedir. Oluşturulan günlük raporlar genel olarak aşağıdakiler olmalıdır: • En Çok Oturum Açanlar • DNS İstekleri • DoS Etkinliği • Etkinlik Raporu (Kim En Çok Nereye Erişmiş) • Harici DNS’lere Erişim • Enfekte Olmuş Dosyalar • Tor IP’lerine Erişim • Yetkisiz E-posta Kullanımı • Botnet IP’lerine Erişim • Potansiyel Taviz Verilmiş Bilgisayarlar 2.7. Politika ve Prosedürler Loglama ve log yönetimiyle ilgili olarak kuruluş içerisinde bir süreç doküman çalışması yapılmalı ve bu süreç dokümanında, gerçekleşen olayları takip etme, kaydetme ve kanıt üretebilme eylemlerinin gerçekleştirilmesine yer verilmelidir. Bu doküman kapsamında kullanıcı kimlikleri, sistem faaliyetleri, oturup açıp kapatma gibi olayların detayları (tarih, saat vb.), başarılı ve reddedilmiş sistem erişim girişimlerinin kayıtları, başarılı ve reddedilmiş veri ve diğer kaynaklara erişim girişimleri, sistem yapılandırma değişiklikleri, ağ adres ve protokolleri, erişim kontrol sistemi tarafından üretilen alarmlar, antivirüs ve saldırı tespit sistemleri gibi koruma sistemlerinin etkinleştirilmesi yer almalıdır.
3.Özet Geliştirilen uygulamaların ve veritabanlarının etkinlik ve denetim logları toplanmalıdır. Bununla ilgili olarak uygulama sahipleriyle ve veritabanı yöneticileriyle görüşülerek logların toplanması, ilgili korelasyonların yapılması ve belirlenecek raporların hazırlanması gerekir. Kuruluşta loglama ve log tutma için log yönetim politikası geliştirilmelidir. 5651 sayılı kanun için loglanan verilerin arşivde ne kadar tutulacağıyla ilgili kuruluşta bir log tutma politikası yoktur. Bu nedenle 8 yıllık bir log verisi bile hâlâ arşivde gereksiz yer kaplamaktadır. Bu politikaların belirlenmesi ile birlikte daha yönetilebilir bir ortam oluşturulacak ve kaynakların verimli kullanılması sağlanmalıdır. Kuruluşta geliştirilen uygulamalar için loglanacak alanlar yazılım geliştiricileri, güvenlik yöneticileri ve diğer paydaşlarla birlikte değerlendirmeli ve ihtiyaç duyulacak yeni alanların loglama sistemine dâhil edilmesi sağlanmalıdır. Geliştirilecek projeye göre kuruluştaki güvenlik ve uyumluluğun iyileştirilmesi için kritik alanlar belirlenerek loglamaya dâhil edilmelidir. Kuruluş, hata ayıklama loglarını değerlendirecek altyapıyı ve gerekli uygulama bileşenlerini temin ederek yazılım geliştirme süreçlerinin iyileştirilmesini ve gerekli müdahalelerin hızlı bir şekilde yapılabilmesini sağlanmalıdır. Kuruluşta yer alan yazılım geliştiriciler, veritabanı yöneticileri, sistem yöneticileri, güvenlik yöneticileri ve diğer paydaşlar birlikte çalışarak logların merkezileştirilmesi çalışmasının hızlandırılmasına, SIEM’in log kaynaklarından daha etkin ve verimli olarak beslenmesine, daha iyi analiz ve raporların geliştirilmesine katkı sağlamalıdır. Günümüzde verimli ve performanslı çalışan, açık kaynak kodlu yetenekli sistemler vardır. Bu sistemler kuruluşta fazla maliyet oluşturulmaması adına kullanılabilir. Bu noktada kuruluşta açık kaynak kodlu sistemler için yetkin personelin olmaması sebebiyle danışmanlık hizmeti alınması veya ilgili personele eğitim verilmesi gereklidir. Bulut tabanlı ve şirket içi SIEM kullanımının belirlenebilmesi için kuruluşun hedef ve gerekliliklerini analiz edilip karar vermeden önce her teknolojilerin artıları ve eksilerinin gözden geçirilmesi gerekmektedir.
Duygu Deniz Pekbay
Bilgi Teknolojileri Denetimi, Güvenlik ve Danışmanlık Asistanı
dpekbay@mazarsdenge.com.tr