SIEM ile Saldırı Tespiti

Günümüz dünyasında oluşan siber saldırılara baktığımız zaman bir insan gözü ile veya bir personel ile bu saldırıların tespiti imkansıza yakındır. İçinde bulunduğumuz teknoloji çağında ip almayan bir elektronik cihaz kalmadı denebilecek kadar azaldı. Teknolojinin hayatımızı kolaylaştıran yanları olduğu gibi beraberinde getirdiği birde siber güvenlik sorunsalı da oluştu. KVKK, ISO-27001 gibi regülasyonlar da bu soruna dikkat çekecek düzenlemeler ile kurumları siber saldırılara karşı bulundukları riskleri ve alması gereken önlemleri yasalaştırdı.

Bu gelişmeler de IT sektörüne bir takım yeni kavramlar/ürünler (SIEM, DLP vs.) kazandırdı. Bu yazımızda son zamanlarda IT sektöründe adını sıkça duyduğumuz popüler ürün olan Security Information and Event Management (SIEM) ‘den bahsedeceğiz. Kurumlar neden SIEM almalı ve SIEM ‘den beklentileri ne olmalı gibi soruların cevaplarının yanı sıra SIEM ile ne tür saldırıları tespit edebilirizden bahsedeceğiz.

Kurumlar Neden SIEM Almalı?

Regülasyonlar ve günümüzün kaçınılmaz gerçeği olan hemen hemen her kurumun maruz kalabileceği siber saldırıların önceden tespiti veya analizi aşamasında olmazsa olmaz kaynaklardan birisi de SIEM olmuştur. Hiçbir saldırgan (0 day yoksa) elini kolunu sallayarak, eliyle koyduğu gibi (içeriden biri değilse) herhangi bir güvenlik sisteminde alarm oluşturmadan, hiçbir iz bırakmadan bir siber saldırı gerçekleştiremez. Saldırı gerçekleştireceği sisteme sızdıktan sonra amacı her ne olursa olsun sistemi keşfetmesi gereken saldırganların bu keşifleri esnasında kullanacakları araçlar, yöntemler vs. illaki bir güvenlik cihazı tarafından tespit edilip logu da analiz ediliyorsa SIEM tarafından alarma dönüştürülebilir. Bundan dolayı kurumlar için artık Firewall, Anti virüs, DLP gibi çözümler nasıl ihtiyaç ise bir saldıraya maruz kalmadan önce bu durum düşünülerek SIEM ‘ide bünyelerine katmaları gerekmektedir.

SIEM ‘den Neler Beklenmeli?

SIEM yaşayan bir süreç olduğu için kurduktan sonra hemen saldırı görmeyi beklemek, hani kurduk bize saldırıları tespit et gibi bekleyişler çok doğru olmayacaktır. Ağınıza sızılmış olsaydı, sızan saldırganlar çoktan sizden bir takıp fidye talebi, veri sızıntısı gibi aktivitelerde bulunurdu diyebiliriz. Veya içeriye sızan bir saldırgan içerideyken SIEM kurulduysa bu saldırganın yapacağı diğer aktiviteler veya keşif çalışmalarının tespit edilme şansı vardır. Burada SIEM ‘den asıl beklenti kural/korelasyonların doğru yazıldıktan sonra testlerinin yapılması ve oluşan aktivitelerin takip edilmesidir. Takip edilen aktiviteler içerisinde görülen şüpheli aktiviteler içinde inceleme yapılması veya aksiyon alınması gereklidir.

Örneğin; Bir IP adresi web sunucunuza çeşitli web atakları deniyor. Yapınızda WAF/IPS gibi cihazların bu saldırıları tespit etmesini veya engellemesini bekleriz. Nitekim bu durumdan ancak WAF/IPS veya WEB loglarını inceledikten sonra haberdar olabiliriz. Bu loglar SIEM’e gönderiliyorsa SIEM tarafında ki kurallar ile alarm üretilir ve size bildirilir. Bu durumda alınabilecek olan aksiyon ise ilgili IP adresinin çeşitli istihbarat servislerinden durumunu sorgulamak ve engellemek olabilir. Zira bu IP adresinden gelebilecek tüm atakların WAF/IPS tarafından engellenebileceğinin bir garantisi yoktur. Saldırgan IP adresinin engellenmesi ile sistemlerinize doğrudan iletişiminin kesilmesi alınabilecek en doğru aksiyondur. Ayrıca bu aksiyon karşı taraftaki saldırgana şu izlenimide bırakacaktır.

Hedef sistem izleniyor ve aksiyon alınıyor.

Zaten SIEM’in temel amacı ve kurumların beklentisi de budur.

SIEM ile Saldırı Tespiti ve Analizi Nasıl Olur?

Bu konuya doğrudan somut örnekler üzerinden giderek bahsedeceğiz. Ortalama ölçekte bir yapıda IPS modülü olan bir Firewall, dışarıya açık web sayfaları, bu web sayfalarının barındırıldığı sunucular vardır. Bu yapıda SIEM için Firewall/IPS, Sunucu ve Web loglarının alınması/toplanması kaçınılmazdır.

  1. Web üzerinden gelebilecek olan atakların tespiti için öncelikle istekler IPS üzerinden geçeceği için ilk kaydın oluşacağı yer IPS ‘dir. Eğer ki IPS saldırgan tarafından yapılan saldırıyı bir imzası ile yakalarsa imzanın aksiyonuna göre engeller veya sadece tespit eder. Logunu da SIEM’e gönderir. SIEM üzerinde IPS ‘den gelen bu log için doğrudan bir aksiyon almak gerekmeyebilir.
  2. Web üzerinden gelebilecek atağa ait logları IPS değilde Web loglarından yakalandığı zaman birkaç soru işareti ortaya çıkıyor. 1. IPS neden bu atağı tespit edip engellemedi. 2. Bu atağın sonucunda sistemde şüpheli bir aktivite (Kullanıcı oluştu mu? Yeni port açıldı mı? Shell mi alındı? Veri mi sızdırıldı? Yetkisiz bir yere mi erildi?) oluştu mu? Gibi soruları da beraberinde getirecektir. Bu soruların cevaplarını da yine sunucu logları üzerinden gelecek kayıtlardan çıkartmak mümkün olabilir.

Sonuç olarak sistemlere gelecek her web atağı için bir inceleme yapmak pek mümkün olmayacağı için, burada gelecek web ataklarının IPS üzerinde tespit edilip engellediği, IPS engellemedi ise engellemesi için alınması gereken aksiyonun alınmasının sağlanması gereklidir. Son olarak hedef alınan sisteme doğru yapılan ataklardan sonra sistem üzerinde şüpheli bir aktivite gerçekleştiğine dair bir kayıt var mı? Var ise SIEM üzerinde yazılabilecek korelasyon kuralı ile bunu tespit et şeklinde kural/korelasyon yazılması yerinde bir hamle olacaktır.

Bu tür aktivitelerin tespiti için aşağıdaki korelasyon kurallarını SIEM ‘iniz üzerinde yazabilirsiniz.

Web Atak kategorisinde olan saldırılardan sonra hedef sistemde;

  • Kullanıcı oluşturulursa
  • Yeni bir port açılırsa
  • Hassas verilere erişim olduysa
  • Şüpheli komut çalıştırılırsa

gibi alarmlar üretilebilir.