Log Yönetimi SIEM

Bir SIEM Projesinde Neler Olur?

Yazar by onuroktay

SIEM Projesinde Olması Gerekenler Nelerdir?

Security Information & Event Management (SIEM) Tarihi

SIEM kelimesi hayatımıza ilk defa 2005 yılında girmiştir. Belli konular tartışılsa da SIEM için 2005 yılında Gartner son noktayı koyarak; bilgi toplama, analiz etme, yorumlama, kolerasyonlara tabii tutma, saklama, ağ ve güvenlik uygulamalarını raporlama gibi işlemleri yapabilen yazılımların ortak ve genel adına Security Information & Event Management teknolojierine sahip yazılımlar demiştir.

SIEM aslında günümüzde Türkçe’ye “ Güvenlik ve Olay Bilgisi Yönetimi “ olarak çevrilmekte ve bilinmektedir. Gartner’in koyduğu standartlar doğrultusunda SIEM kategorisinde yer alan yazılımların “Güvenliğe bütüncül olarak ele almalarını” sağlamak için SIEM kısaltmasını uygun görmüştür.

Security Innformation & Event Management (SIEM) Nedir?

SIEM ‘in tarihinden bahsettikten sonra asıl mevzuya artık girebiliriz.

SIEM Nedir? tanımını gayet akademik dille yapmak gerekirse,

SIEM; Bir yada birden fazla (kaynak sayısı binler olabilir) Network yapısında aktif olarak çalışan Yazılım, Sistem ve Donanım kaynaklarının ürettiği Dijital kayıtların (LOG kaydı) tek bir sistem üzerinde (yazılım) toplanması, saklanması, okunabilir hale getirilmesi (işlenmesi), anlaşılabilir şekilde insanların kullanımına sunulması (pars edilebilirlik) ve global olarak kabul görmüş olan yasalar ile Standartlar doğrutulsunda ( ki bu standartlardan birazdan detaylı olarak bahsedeceğiz) saklanıp, raporlanabilmesini sağlayan sistemlerdir.

SIEM Çözümü, Güvenliği bütünsel bir yaklaşımla ele alır. Kendisine Kaynak olarak Log (data) Gönderen her kaynağı içine alır, inceler, ayrıştırır, raporlar, anlaşılabilir bir formata döker ve standartlar, yasalar doğrultusunda kullanıcısına iletir.

SIEM Çözümü, aslında bir Güvenlik ürünüdür. Burada bir Network yapısında güvenlik denilince akla ilk gelen yazılım veya donanımlardan birisi olan Firewall ile SIEM’i karıştırmamak gerekir. Firewall’ler SIEM için bir LOG (data) kaynağıdır ve kendisine bilgi gönderir. SIEM ürünleri, bir başka değişle network’unuzde aktif olarak çalışan ve sisteminizin tüm trafiğini Loglayan Firewall’ınızın topladığılogları anlaşılabilir formatta sunan, raporlayan, istenildiğinde çıkarıp verebilen sistemlere denir. Burada konu daha iyi anlaşılsın diye vermiş olduğum Firewall örneğini, Network’unuzde log toplayabilen tüm sistem, yazılım ve donanımlar için kullanabilirsiniz. Bu bir Server, RFI Kart okuyucu, Identify Access, Printer Server, Wi-Fi Server her şey olabilir. Önemli olan Log tutuyor ve SIEM tarafına bu Logu gönderiyor olmasıdır.

SIEM denilince tabii ki her şey elinde sonunda tüm yollar “ Log Yönetimine “ çıktığından, makalemizin ilerleyen kısımlarında Log Yönetimi konusuna girmiş olacağız. Ancak hazır konu üzerinde iken Dünyaca kabul görmüş ve Gartner tarafından da Standart olarak kabul edilen SIEM Standartlarına bakalım.

Bilgi Güvenliğinde Standartların Önemi

Bilgi Güvenliği dediğimiz zaman aslında konu derya deniz olarak karşımıza çıkıyor. Günümüzün ve geleceğin en önemli kaynağından bahsediyoruz aslında. Bir kurum, kuruluş, organizasyon için en değerli ve gizli olması gereken konu kendi verilerinin güvenliğidir. Bilgi Güvenliğine ağırlık vermek ve bu konuya dikkat çekmek içinse önemli standartlar, kanunlar, yönetmelikler oluşturulmuştur.

Bu standartlaşmalar sayesinde, Bilgi Güvenliğinin sürekliliği, gizliliği, doğru şekilde kullanılması, verimlilik gibi önemli işlevsel olaylar güvence altına alınmıştır. Yani ben bir SIEM ürünü ortaya atacağım ama olayın standartlarına ve güvenlik prosedürlerine, kanunlara dikkat etmesem ne olacak demek ile olaya bakmak doğru değildir. SIEM denilince de haliyle Güvenliğin bütün olarak ele alınmasını istiyorsak ki amacımız buydu, Standartlara, Yasalara ve Yönetmeliklere uygun olmalıyız.

SIEM için Bilgi Güvenliği Standartları Nelerdir?

  • PCI DSS

Kartlı ödeme sistemlerinin güvenliğini baz alan Standarttır. Tüm Dünya’da Ödeme Kartları Endüstrisi Veri Güvenliği (PCI DSS) Standartı olarak bilinir. Dünyaca kabül görmüş bir çok ödeme firması PCI DSS kullanmak ve standart olarak kabul etmek zorundadır. PCI DSS Standardı 6 Temel ana kategori, 12 alt kategori ve 200 ‘den fazla kontrol maddesini içeren oldukça zengin ve açıklamaları üzerinde gerçekten düşünülmüş maddelerdir.

PCI DSS Standartı, Bankalar, E-Ticaret firmaları, Ödeme Sistemleri, Ödeme kartlarını kabul eden tüm perakendeciler ve Kart ile yapılan işlemleri kendisi tutan tüm hizmet sağlayıcıları bağlar. Kart verilerini korumak için bir Güvenlik duvarı (Firewall) Kurmak ve çalıştırmak ve Loglarını tutmak (bkz:5651 – * bu konuya Log Yönetimi ve 5651 konusunda ayrıntılı şekilde değineceğim), Kart sahiplerine ait kişisel bilgileri koruma ve saklama, Depolanmış kart verilerini koruma, Açık olarak kart bilgilerini paylaşmama, Güvenli Sistemler üzerinde Yazılım, donanım ve network geliştirme gibi gibi detaylı olarak Güvenlik yaklaşımları sunar.

  • ISO 27001 Bilgi Güvenliği Standardı

 PCI DSS gibi önemli bir Standart ve yönetmelik içeren nokta da ISO 27001 Bilgi Güvenliği Standartlarıdır. Aklınıza gelebilecek her güvenlik projesinde olduğu gibi SIEM projesinde de ISO 27001 en başta düşünülmesi gereken noktalardan birisidir. Zira Güvenlik tarafında oldukça önem arz eden yönetmeliklere sahiptir. 1995 yılında British Standards Institution tarafında yayımlanan ilk Bilgi Güvenliği Yönetim Sistemi Standartlartı, ilerleyen zaman ve yıllar içerisinde geliştirilmelere tabii tutularak günümüzdeki son şeklini almıştır. Ülkemizde de Resmi Gazete de yayımlanarak 2013 yılında son şeklini alan Standartlar, Risk Analizi, Değerlendirme, Risk derecelendirme, Risk Yönetimi ve Risk işleme şeklinde kategorilere ve başlıklara sahiptir. Konunun detayları için Resmi Gazete ilanını aratarak bakabilirsiniz.

  • FISMA (Federal Information Security Modernization)

PCI DSS, ISO 27001 ‘den sonra bir diğer önemli yönetmelikte FISMA ‘dır. FISMA Amerikan Federal Bilgi Güvenliği Yasası olarak bilinse de tüm dünya’da kabul görmüş standartlardandır. Bilgi sızıntıları, Veri ihlalleri, Veri kayıpları, Bilgilere kimin erişeceği?, Raporlama, Olay sonrası aksiyon gibi bir çok konuda bilgi ve yönetmelik içeren konulara değinilmektedir FISMA’da.

FISMA konusunda yönetmeliği www.dhs.gov /fisma adresinden resmi dokuman ve belgelere göre okuyabilirsiniz.

  • Diğer Standartlar – SOX, COBIT, NERC, GLBA, HIPAA

Asıl konumuz gereği Bilgi Güvenliği Standartları tarafında her yönetmelik ve standartlara detaylı olarak değinmek istemiyorum. Ancak meraklıları için başlıkta belirttiğim standartlarda mevcut. Doğru ve güvenli bir SIEM projesinde tabii ki başlıktaki standartlarında yer almasında fayda var. Olayımız SIEM Projesi olduğundan ve Standarları da konuştuğumuzdan dolayı, konuyu daha da açarak detaya inmeye başlayabiliriz.

SIEM Projesinden bahsediyorsak, karşımıza ilk çıkan kelime : LOG kelimesidir. Log olmadan, Loglama olmadan, daha doğrusu içerisinde LOG geçmeyen bir şey olmadan SIEM projesinden değin yerindeyse bahsedemeyiz. Hal böyle olunca bugüne kadar hep karışık ve teknik olarak okuduğunuz LOG kelimesini elimden geldiği kadar detaylı ve son kullanıcının anlayacağı şekilde anlatmak istedim.

Adım adım ilerleyerek devam ediyoruz…

# LOG Nedir?

Log’un Türkçe bir karşılığı yok. Aslında gerekte yok. Odun falan gibi saçma bir translate hali var. Dijital Kayıtta diyebilirsiniz, sadece LOG ‘da diyebilirsiniz. Sektörel tarafta genellikle bizler LOG demeyi tercih ediyoruz.

Bir Uçak için Karakutu kayıdı ne kadar önemli ise ve yahut bir makine için çip ne kadar önemli ise bir bilişim sistemi içinde LOG o kadar önemlidir. LOG Nedir? diye sorduğumuzda ise; Bir Networkte yer alan tüm cihazların oluşturduğu Dijital Kayıtların tümüne LOG nedir. Bu kayıtlar server, bilgisayar, yazıcı, kamera, wifi cihazlar, modemler, switchler, router’ler her şey olabilir. Aslında üzerinde Kayıt tutabilen her şeyden LOG bilgisi alınıyor, okunabiliyor demektir. Log kayıtları ve ya Log Yönetimi sayesinde Network üzerindeki her şeyin iz kayıtlarını tutmak mümkündür. Son zamanlarda meydana gelen ve teknik kapasitesi yüksek Siber Saldırıları, LOG kayıtlarının önemini daha da güçlü vurgular hale gelmiştir. Sistemlere uzaktan erişen kişilerin veya bizzat sistemde aktif olarak çalışan kişilerin içeriden veya dışarıdan sızdırdığı veriler son yılların en popüler siber saldırıları arasında yer etmektedir.

Log nedir diye kısa bir giriş yaptıktan sonra LOG Yönetimi nedir diyerek konuya devam ediyoruz…

# LOG Yönetimi

Kurumların, firmaların Siber Güvenlik tarafında uyması gereken standartlardan bahsedip, bir SIEM projesinde olmazsa olmaz konu LOG’un tanımını yaptıktan sonra neden Log yönetimi yapmalıyız ve Log yönetimini nasıl yapmalıyız gibi konulara da değinmemizde fayda var.

Bir Sistemimiz var, aktif olarak çalışanlarımız var, içeriden dışarıya-dışarıdan içeriye erişimlerimiz var ise aktif olarak Log tutmalıyız ve bu sistemin işleyişinin bozulmaması içinde Güvenlik önlemlerini almalıyız. Çok kısa ve net bir ifade ile bu tarafa bu şekilde açıklama getirilebilir.

Log yönetimi ülkemizde yasal zorunluluk haline getirilmiştir. 5651 (birazdan bahsedeceğiz detaylı olarak) sayılı kanun ile düzenlenen Log yönetimi konusu, Uluslararası Standartlar çercevesince ülkemizde de uygulanması zorunlu bir kanundur. Bu kanunun detaylarına birazdan ineceğiz. 5651 konusunda da ülkemizde tam olarak bir kafa karışıklığının söz konusunu olduğunu ayrıca belirtmek isterim. Biz kendi konumuz Log Yönetimi tarafına gelmemiz gerekirse;

  • Neden Log Yönetimi Yapmalıyız?
    • Dijital Kayıtların yani Logların bir yerde saklanması,
    • Loglara tek merkezden ulaşılabilmesi,
    • Loglara hızlı ve doğru şekilde ulaşabilmesi,
    • Logların Bütünlüğünün, Orjinalliğinin bozulmaması,
    • Logların analiz edliebilirliği,
    • Logların Geri Getirilebilirliği,
    • Loglara yetkisiz erişim veya Erişimlerin denetlenebilmesi,
    • Siber Güvenlik olayları (tümü),

 gibi bir çırpıda akla gelen ve daha da devam ettirilebilir halde olan bu maddeler, Aslında neden Log yönetimi yapmalıyız sorusuna cevaptır.

LOG Analizinin Önemi ve Güvenlik

Siber Saldırıların hız kesmeden devam ettiği ve her dakika arttığı şu dönemde, Doğru ve verimli LOG tutmak da bir o kadar önemlidir. Saldırıya uğramış ya da bir şekilde illegal aktivitelere maruz kalmış bilişim sistemleri için Loglama hayati ve kritik önem arz etmektedir. Saldırılar sonrasında olayın aydınlatılması için ilk etapta loglara bakılmak istenecektir. Doğru sınıflandırılmamış ve ya Analiz edilemeyen log kayıtlarından saldırının aydınlatılabilmesi mümkün değildir.

Yukarıda bahsettiğimiz Kanun ve Standartlar işte bu tip olayların gerçekleşmesi durumunda sistemler üzerindeki logların okunabilmesi ve olayların izlerinin rahatlıkla sürülebilmesi için geliştirilmiş kanun koruculardır.

Ayrıca gelişmiş bir SIEM ürününde sadece Log management tarafında yönetmelik ve kanunları baz alarak bir Güvenlik sağlanmaz. Bu güvenlik topyekün ve bütüncül olan bir güvenlik yaklaşımıdır. Yani SIEM ürünü ( tabii başındaki teknik uzmanın güvenlik bilgisi ile de doğru orantılı şekilde ) sizleri Security tarafında ciddi anlamda bilgilendiren, dashboards, reporst, alert gibi özellikleri sayesinde Security bilincini yükselten bir üründür.

Hakkında

onuroktay

Leave a Comment