Bilgi güvenliği hiç bir zaman %100 sağlanamayacak olan, ancak daima %100’e yaklaşmak için çalışmayı gerektiren önemli bir alan haline gelmiştir. Nasıl ki bir banka şubesinde ne yaparsanız yapın güvenliği %100 sağlayamazsınız ve bu yüzden etrafa kameralar yerleştirerek, saldırı girişimlerini izleyerek engellemeye çalışırsınız veya olayı önleyemiyorsanız olayı gerçekleştireni yakalamanız gerektiğini düşünürsünüz, bilgi sistemlerinde de güvenliği belli bir aşamada sağladıktan sonra, sistemi olası kötüye kullanmalara karşı izlemeniz, önleyebiliyorsanız saldırıları önlemeniz, önleyemiyor iseniz, saldırıyı yapan kişileri sonradan tespit etmeniz gerekecektir. İşte bu yüzden, bilgi sistemlerinde kullanılan kaynakların oluşturduğu güvenlik kayıtları izlenerek, başarılı saldırıları veya başarısız saldırı girişimlerini izlemek önem teşkil eder. Bu işlem için Güvenlik Olayları Kayıt Sistemi (Security Incident and Event Management) kullanılmaktadır.
Güvenlik Olayları Kayıt Sistemi (SIEM) kullanılarak, bilgi sistemlerinin değişik katmanlarında çalışan donanım ve yazılımlara (yazının devamında donanım ve yazılıma bileşen denilecektir) ait güvenlik kayıtlarının izlenmesi sağlanmaktadır. İzlenecek olan bileşenler, kurumun güvenlik ihtiyaçlarına göre çeşitlilik arzedebilir. Örneğin, bir banka açısından, basit bir anahtarlama cihazına ait kayıtların izlenmesi hayati önem oluşturabilir.
Aşağıda verilen şekilde, Güvenlik Olayları Kayıt Sisteminin nasıl çalıştığı ve ne tür kaynaklardan bilgi toplayabileceği gösterilmiştir. Sistem 3 ana bileşenden oluşur: güvenlik kayıtlarını toplayarak belirli bir formata getiren sensör, sensörden gelen formatlı bilgilerin kaydedildiği veritabanı ve veritabanı ile sensörün izlenmesini ve yönetilmesini sağlayan yönetim sunucusu. Bu 3 ana bileşen, ihtiyaca göre tek bir sunucu üzerinde yer alabileceği gibi, farklı sunucular üzerinde de konumlandırılabilir. Sensörün veri toplayabileceği kaynaklar aktif ağ cihazlarından, açık kaynak kodlu yazılımlara, windows tabanlı sunuculardan, veritabanı sunucularına kadar geniş bir yelpazeye yayılabilir.
Kayıt Sistemi kurulumu yapılmadan önce bilgi sistemlerinde yer alan bileşenlerden hangilerinin kayıtlarının izleneceği, izlenecek olan bileşenlerden gelecek kayıtların neler olacağı veya kritiklik seviyesinin (level) ne olacağı belirlenmiş olmalıdır. Bütün bu parametreler belirlenerek bir Kayıt Sistemi politikası oluşturulmalıdır. Örneğin, “güvenlik duvarı kayıtlarından sadece düşürülen paketlere ilişkin kayıtlar izlenecektir” şeklinde bir politika maddesi olabileceği gibi, “güvenlik duvarı kayıtlarının tamamı izlenecektir” şeklinde de bir politika da benimsenebilir. Aşağıda, Kayıt Sistemi için örnek bir kurulum ve işletim modeli verilmiştir.
Yukarıda verilen model paralelinde, Kayıt Sistemi kurulum ve işletimi yapmak için belirlenen adımlar verilmiştir. Şimdi bu adımları daha detaylı inceleyerek, ne anlama geldiğini açıklayalım:
- Öncelikle, güvenlik kayıtları izlenecek olan bileşenlerin belirlenmesi gerekir. Bileşenler belirlenirken, bileşenlerin sistem açısından arzettiği önem ve oluşturduğu gerekli veya gereksiz kayıt miktarı dikkate alınmalıdır. Ayrıca, bileşenin oluşturduğu kayıtların ne kadarının güvenlik açısından bizi ilgilendirdiği de önem arzetmektedir. Örneğin, bir anahtarlama cihazında (switch) portların aktif-pasif (up-down) olması bizi güvenlik açısından çok ilgilendirmeyecektir. Ama, anahtarlama cihazına uyguladığımız MAC adres filtrelemelerinin aşılmaya çalışılması güvenlik açısından ilgi çekici olacaktır.Güvenlik açısından kayıtlarını izlememiz gereken bileşenlerin başında, görevi doğrudan sistemin güvenliğini sağlamak olan bileşenler gelmelidir. Örneğin, Güvenlik Duvarı (Firewall), Saldırı Tespit/Engelleme Sistemi (Intrusion Detection/Prevention System), İçerik Kontrolcü (Content Filter) vb... gibi bileşenlerin kayıtları oluşturacağımız kayıt yönetim sisteminin yapı taşını oluşturabilir.
- Bileşenler belirlendikten sonra, bileşenlerden bütün kayıtların mı izleneceği yoksa belli seviyede kayıtların mı izleneceği belirlenmelidir. Bunun için bileşenlerin oluşturacağı kayıt tipleri incelenerek, hangi tip kayıtların güvenlik ile ilgili olduğu, hangi tip kayıtların güvenlikle ilgili olmadığı belirlenir.
- İzlenecek olan bileşenler ve kayıt seviyeleri belirlendi. Bu kayıtların, merkezi kayıt yönetim sistemine aktarılması için hangi mekanizmalar kullanılacak? Kayıt yönetim sistemi kurulduktan sonra bileşenlerden kayıtların gönderilmesi için değişik seçenekler bulunmaktadır. Bazı bileşenlerde bu işlem için basit ayarlar bulunmaktadır. Örneğin, Cisco marka bir yönlendirici de aşağıdaki komutlar kullanılarak, yönlendiriciye ait warning ve üstü seviyedeki kayıtların, 192.168.2.13 IP adresine sahip bir kayıt sunucuya gönderilmesi sağlanır:
Ancak, bileşende yer alan kayıtların, merkezi sunucuya gönderilmesi her bileşen için bu kadar kolay olmayabilir. Örneğin, Domain Controller, Exchange Sunucu gibi bileşenlerde kayıtları başka bir sunucuya göndermek için, ajan (agent) kurmak gerekir. Bu ajanlar vasıtasıyla, Windows’ta zaten var olan kayıt mekanizmasında tutulan kayıtlar, metin haline getirilerek, syslog formatında veya başka bir formatta merkezi sunucuya gönderilebilir.
Linux/Unix tabanlı sunucularda kayıt gönderme işlemi göreceli olarak daha kolaydır. Basit bir yazılım kullanılarak, kayıtlar syslog formatında merkezi bir sunucuya gönderilebilir.
Kayıt gönderme mekanizması olmayan ve herhangi bir yazılımla kayıt göndermesi sağlanamayan sunucular da karşımıza çıkacaktır. Bu sunuculardaki kayıtları çekmek için ise sunucu üzerinde ek bir kullanıcı oluşturularak, bir betik (script) vasıtasıyla kayıtların merkezi sunucu üzerine aktarılması sağlanabilir. Sunucunun kayıt mekanizması ne kadar karmaşıksa, betik yazarak kayıtların o sunucudan alınma işlemi de o kadar zor olacaktır.
- Tüm bu işlemlerden sonra, güvenlik kayıtları izleme politikası oluşturulur. Bu politika da, hangi bileşenlerden ne tür kayıtların izleneceği ve bu kayıtların hangi yöntemlerle alınacağı belirtilir. Örneğin oluşturulan politika da şu maddeler bulunabilir:
- A yönlendiricisinden uyarı (warning) seviyesi ve üstü seviyede ki kayıtlar izlenecektir. B ve C yönlendiricilerinden, kritik (critical) ve üstü seviyede kayıtlar izlenecektir.
- A güvenlik duvarının sadece düşürdüğü paketlere ilişkin kayıtlar ve kullanıcı kayıtları izlenecektir. B güvenlik duvarının ise hem düşürdüğü paketlere ilişkin, hem de izin verdiği paketlere ilişkin kayıtlar izlenecektir.
- Windows tabanlı sunucuların sadece security kayıtları izlenecektir.
- Saldırı Tespit Sistemi (IDS) kayıtlarının tamamı izlenecektir.
- Politika belirlendikten sonra Kayıt Sistemi kurulumu gerçekleştirilir. Kayıt Sistemi olarak açık kaynak kodlu yazılımlar (örneğin OSSIM) kullanılabileceği gibi, ticari yazılımlarda kullanılabilir.
- Kayıt Sistemi kurulumu yapıldı ve artık kayıtlarımız merkezi sunucuya ulaşmaya başladı. Artık, kayıtlar izlenerek hangilerinin gerçekten güvenlikle alakalı olduğu hangilerinin güvenlikle alakasının olmadığı belirlenme aşamasına gelinmiştir. Bu aşamada kayıtlar izlenir ve sürekli olarak daha önce oluşturulan politika güncellenir. Bu işlemin döngüsel bir şekilde tekrarlanması sistemin düzgün çalışması ve güncel olması bakımından önemlidir.
bilgiguvenligi
Hiç yorum yok:
Yorum Gönder