- Katılım
- 15 May 2013
- Konular
- 1,207
- Mesajlar
- 7,321
- Çözüm
- 6
- Online süresi
- 2mo 16d
- Reaksiyon Skoru
- 5,958
- Altın Konu
- 410
- Başarım Puanı
- 349
- MmoLira
- 45,963
- DevLira
- 3
ROHAN2 WORLD 1-120 TR TİPİ OFFICIAL YOHARA, BALATHOR VE AMON! 80. GÜNÜNDE! +10.000 ONLİNE! HİLE VE BOT %100 ENGELLİ HEMEN TIKLA!
Güvenlik Operasyonları genellikle bir SOC ("Güvenlik Operasyon Merkezi") bünyesinde yer alır. Terimler birbirinin yerine kullanılır.
Tipik olarak SOC'nin sorumluluğu, ortamdaki tehditleri tespit etmek ve bunların pahalı sorunlara dönüşmesini engellemektir.
Tipik olarak SOC'nin sorumluluğu, ortamdaki tehditleri tespit etmek ve bunların pahalı sorunlara dönüşmesini engellemektir.
SIEM ("Güvenlik Bilgi Olay Yönetimi")
Çoğu sistem, genellikle önemli güvenlik bilgileri içeren günlükler üretir.
Bir olay, günlüklerden ve ağdan gelen bilgilerden belirleyebileceğimiz gözlemlerdir; örneğin:
Kullanıcıların oturum açması
Ağda gözlemlenen saldırılar
Uygulamalar içindeki işlemler
Bir olay, kuruluşumuzu etkileyeceğine inandığımız olumsuz bir şeydir. Kesin bir tehdit veya böyle bir tehdidin gerçekleşme potansiyeli olabilir. SOC, hangi olayların gerçek olaylar olarak değerlendirilebileceğini ve hangilerine müdahale edilmesi gerektiğini belirlemek için elinden gelenin en iyisini yapmalıdır.
SIEM, ağdaki farklı sensörlerden ve monitörlerden gelen günlüklerden uyarıları işler; bunların her biri SOC'nin müdahale etmesi gereken önemli uyarılar üretebilir. SIEM ayrıca, bir uyarıyı belirlemek için birden fazla olayı ilişkilendirmeye çalışabilir.
SIEM'ler tipik olarak aşağıdaki alanlardan gelen olayların analiz edilmesine izin verir:
Ağ
Ana Bilgisayar
Uygulamalar
Ağdan gelen olaylar en tipik olanıdır, ancak olanların tüm bağlamını içermediği için en az değerlidir. Ağ, genellikle kimin nerede, hangi protokoller üzerinden ve ne zaman iletişim kurduğunu gösterir, ancak ne olup bittiği, kime ve neden olduğuyla ilgili karmaşık ayrıntıları göstermez.
Ana bilgisayar olayları, gerçekte ne olup bittiği ve kime olduğu konusunda daha fazla bilgi verir. Şifreleme gibi zorluklar artık belirsiz değildir ve neler olup bittiği konusunda daha fazla görünürlük elde edilir. Birçok SIEM, yalnızca ağdan değil, ana bilgisayarların kendilerinde neler olup bittiği hakkında da harika ayrıntılarla zenginleştirilmiştir.
Uygulama olayları, SOC'nin neler olup bittiğini en iyi şekilde anlayabileceği yerdir. Bu olaylar, uygulamanın nasıl performans gösterdiği ve kullanıcıların ne yaptığı hakkında ayrıntılı bilgiler de dahil olmak üzere, Üçlü A, AAA ("Kimlik Doğrulama, Yetkilendirme ve Hesap") hakkında bilgi verir.
Bir SIEM'in uygulama olaylarını anlaması için, genellikle SOC Ekibinin SIEM'in bu olayları anlamasını sağlamak için çalışması gerekir, çünkü destek genellikle "kutudan çıktığı gibi" dahil edilmez. Birçok uygulama bir kuruluşa özeldir ve SIEM, uygulamaların ilettiği verileri zaten anlamaz.
Bir olay, günlüklerden ve ağdan gelen bilgilerden belirleyebileceğimiz gözlemlerdir; örneğin:
Kullanıcıların oturum açması
Ağda gözlemlenen saldırılar
Uygulamalar içindeki işlemler
Bir olay, kuruluşumuzu etkileyeceğine inandığımız olumsuz bir şeydir. Kesin bir tehdit veya böyle bir tehdidin gerçekleşme potansiyeli olabilir. SOC, hangi olayların gerçek olaylar olarak değerlendirilebileceğini ve hangilerine müdahale edilmesi gerektiğini belirlemek için elinden gelenin en iyisini yapmalıdır.
SIEM, ağdaki farklı sensörlerden ve monitörlerden gelen günlüklerden uyarıları işler; bunların her biri SOC'nin müdahale etmesi gereken önemli uyarılar üretebilir. SIEM ayrıca, bir uyarıyı belirlemek için birden fazla olayı ilişkilendirmeye çalışabilir.
SIEM'ler tipik olarak aşağıdaki alanlardan gelen olayların analiz edilmesine izin verir:
Ağ
Ana Bilgisayar
Uygulamalar
Ağdan gelen olaylar en tipik olanıdır, ancak olanların tüm bağlamını içermediği için en az değerlidir. Ağ, genellikle kimin nerede, hangi protokoller üzerinden ve ne zaman iletişim kurduğunu gösterir, ancak ne olup bittiği, kime ve neden olduğuyla ilgili karmaşık ayrıntıları göstermez.
Ana bilgisayar olayları, gerçekte ne olup bittiği ve kime olduğu konusunda daha fazla bilgi verir. Şifreleme gibi zorluklar artık belirsiz değildir ve neler olup bittiği konusunda daha fazla görünürlük elde edilir. Birçok SIEM, yalnızca ağdan değil, ana bilgisayarların kendilerinde neler olup bittiği hakkında da harika ayrıntılarla zenginleştirilmiştir.
Uygulama olayları, SOC'nin neler olup bittiğini en iyi şekilde anlayabileceği yerdir. Bu olaylar, uygulamanın nasıl performans gösterdiği ve kullanıcıların ne yaptığı hakkında ayrıntılı bilgiler de dahil olmak üzere, Üçlü A, AAA ("Kimlik Doğrulama, Yetkilendirme ve Hesap") hakkında bilgi verir.
Bir SIEM'in uygulama olaylarını anlaması için, genellikle SOC Ekibinin SIEM'in bu olayları anlamasını sağlamak için çalışması gerekir, çünkü destek genellikle "kutudan çıktığı gibi" dahil edilmez. Birçok uygulama bir kuruluşa özeldir ve SIEM, uygulamaların ilettiği verileri zaten anlamaz.
SOC Personel Yapısı
Bir SOC'un personel yapısı, kuruluşun gereksinimlerine ve yapısına bağlı olarak büyük ölçüde değişir. Bu bölümde, bir SOC'un işletilmesinde yer alan tipik rollere kısaca göz atacağız. Potansiyel rollerin genel bir özeti:
Çoğu organize ekipte olduğu gibi, departmanı yönetmek üzere bir kişi atanır. SOC Şefi, kuruluşa yönelik tehditlere karşı koymak için gereken strateji ve taktikleri belirler.
SOC Mimarı, sistemlerin, platformların ve genel mimarinin, ekip üyelerinin görevlerini yerine getirmek için ihtiyaç duydukları şeyleri sağlayabildiğinden emin olmaktan sorumludur. Bir SOC Mimarı, birden fazla veri noktası arasında korelasyon kuralları oluşturmaya yardımcı olur ve gelen verilerin platform gereksinimlerine uygun olmasını sağlar.
Analist Lideri, analistlerin uyarıları ve potansiyel olayları sonuçlandırmak için gerekli bilgileri bulabilmelerini sağlamak amacıyla süreçlerin veya kılavuzların geliştirilmesinden ve sürdürülmesinden sorumludur.
Seviye 1 Analistler, uyarılara ilk müdahale edenlerdir. Görevleri, yetenekleri dahilinde, uyarıları sonuçlandırmak ve herhangi bir sorunu daha üst düzey bir analiste iletmektir.
Seviye 2 Analistler, daha fazla deneyime ve teknik bilgiye sahip olmalarıyla ayırt edilirler. Ayrıca, uyarıların çözülmesindeki herhangi bir sorunun, SOC'nin sürekli iyileştirilmesine yardımcı olmak için Analist Liderine iletilmesini sağlamalıdırlar. Seviye 2, Analist Lideri ile birlikte olayları Olay Müdahale Ekibine (IRT) iletir.
IRT ("Olay Müdahale Ekibi"), SOC Ekibinin doğal bir uzantısıdır. IRT ekibi, kuruluşu etkileyen sorunları gidermek ve çözmek için görevlendirilir.
Sızma Testi Uzmanları ideal olarak savunmayı da destekler. Sızma Testi Uzmanları, saldırganların nasıl çalıştığı konusunda ayrıntılı bilgiye sahiptir ve kök neden analizine ve sızmaların nasıl gerçekleştiğini anlamaya yardımcı olabilirler. Saldırı ve savunma ekiplerinin birleştirilmesi genellikle Mor Takım Çalışması (Purple Teaming) olarak adlandırılır ve en iyi uygulama operasyonu olarak kabul edilir.
Çoğu organize ekipte olduğu gibi, departmanı yönetmek üzere bir kişi atanır. SOC Şefi, kuruluşa yönelik tehditlere karşı koymak için gereken strateji ve taktikleri belirler.
SOC Mimarı, sistemlerin, platformların ve genel mimarinin, ekip üyelerinin görevlerini yerine getirmek için ihtiyaç duydukları şeyleri sağlayabildiğinden emin olmaktan sorumludur. Bir SOC Mimarı, birden fazla veri noktası arasında korelasyon kuralları oluşturmaya yardımcı olur ve gelen verilerin platform gereksinimlerine uygun olmasını sağlar.
Analist Lideri, analistlerin uyarıları ve potansiyel olayları sonuçlandırmak için gerekli bilgileri bulabilmelerini sağlamak amacıyla süreçlerin veya kılavuzların geliştirilmesinden ve sürdürülmesinden sorumludur.
Seviye 1 Analistler, uyarılara ilk müdahale edenlerdir. Görevleri, yetenekleri dahilinde, uyarıları sonuçlandırmak ve herhangi bir sorunu daha üst düzey bir analiste iletmektir.
Seviye 2 Analistler, daha fazla deneyime ve teknik bilgiye sahip olmalarıyla ayırt edilirler. Ayrıca, uyarıların çözülmesindeki herhangi bir sorunun, SOC'nin sürekli iyileştirilmesine yardımcı olmak için Analist Liderine iletilmesini sağlamalıdırlar. Seviye 2, Analist Lideri ile birlikte olayları Olay Müdahale Ekibine (IRT) iletir.
IRT ("Olay Müdahale Ekibi"), SOC Ekibinin doğal bir uzantısıdır. IRT ekibi, kuruluşu etkileyen sorunları gidermek ve çözmek için görevlendirilir.
Sızma Testi Uzmanları ideal olarak savunmayı da destekler. Sızma Testi Uzmanları, saldırganların nasıl çalıştığı konusunda ayrıntılı bilgiye sahiptir ve kök neden analizine ve sızmaların nasıl gerçekleştiğini anlamaya yardımcı olabilirler. Saldırı ve savunma ekiplerinin birleştirilmesi genellikle Mor Takım Çalışması (Purple Teaming) olarak adlandırılır ve en iyi uygulama operasyonu olarak kabul edilir.
Yükseltme Zincirleri
Bazı uyarılar acil eylem gerektirir. SOC'nin farklı olaylar meydana geldiğinde kiminle iletişime geçeceğine dair tanımlanmış bir sürece sahip olması önemlidir. Olaylar birçok farklı iş biriminde meydana gelebilir, SOC kiminle, ne zaman ve hangi iletişim araçlarıyla iletişime geçeceğini bilmelidir.
Bir kuruluşun bir bölümünü etkileyen olaylar için bir çözüm zinciri örneği:
Belirlenen Olay Takip Sisteminde bir Olay oluşturun ve doğru departmana veya kişiye/kişilere atayın.
Departman/kişilerden doğrudan bir işlem gelmezse: Birincil irtibat kişisine SMS ve E-posta gönderin.
Hala doğrudan bir işlem gelmezse: Birincil irtibat kişisini telefonla arayın.
Hala doğrudan bir işlem gelmezse: İkincil irtibat kişisini arayın.
Olayların Sınıflandırılması
Olaylar şu kriterlere göre sınıflandırılmalıdır:
Kategori
Kritiklik
Hassasiyet
Olayın sınıflandırmasına ve nasıl ilişkilendirildiğine bağlı olarak, SOC (Güvenlik Operasyon Merkezi) sorunu çözmek için farklı önlemler alabilir.
Olayın kategorisi, nasıl yanıt verileceğini belirleyecektir. Birçok olay türü vardır ve SOC'nin her olay türünün kuruluş için ne anlama geldiğini anlaması önemlidir. Aşağıda örnek olaylar listelenmiştir:
İçeriden Saldırı
İstemci iş istasyonunda kötü amaçlı yazılım
Ağda yayılan solucan
Dağıtılmış Hizmet Reddi Saldırısı
Sızdırılan Kimlik Bilgileri
Bir olayın kritikliği, kaç sistemin etkilendiğine, olayın durdurulmamasının potansiyel etkisine, ilgili sistemlere ve diğer birçok şeye bağlı olarak belirlenir. Olayın buna göre kapatılabilmesi için SOC'nin kritikliği doğru bir şekilde belirleyebilmesi önemlidir. Kritiklik, bir olaya ne kadar hızlı müdahale edilmesi gerektiğini belirler.
Olay hemen mi müdahale edilmeli yoksa ekip yarına kadar bekleyebilir mi?
Hassasiyet, olay hakkında kimlerin bilgilendirilmesi gerektiğini belirler. Bazı olaylar son derece gizlilik gerektirir.
Bir kuruluşun bir bölümünü etkileyen olaylar için bir çözüm zinciri örneği:
Belirlenen Olay Takip Sisteminde bir Olay oluşturun ve doğru departmana veya kişiye/kişilere atayın.
Departman/kişilerden doğrudan bir işlem gelmezse: Birincil irtibat kişisine SMS ve E-posta gönderin.
Hala doğrudan bir işlem gelmezse: Birincil irtibat kişisini telefonla arayın.
Hala doğrudan bir işlem gelmezse: İkincil irtibat kişisini arayın.
Olayların Sınıflandırılması
Olaylar şu kriterlere göre sınıflandırılmalıdır:
Kategori
Kritiklik
Hassasiyet
Olayın sınıflandırmasına ve nasıl ilişkilendirildiğine bağlı olarak, SOC (Güvenlik Operasyon Merkezi) sorunu çözmek için farklı önlemler alabilir.
Olayın kategorisi, nasıl yanıt verileceğini belirleyecektir. Birçok olay türü vardır ve SOC'nin her olay türünün kuruluş için ne anlama geldiğini anlaması önemlidir. Aşağıda örnek olaylar listelenmiştir:
İçeriden Saldırı
İstemci iş istasyonunda kötü amaçlı yazılım
Ağda yayılan solucan
Dağıtılmış Hizmet Reddi Saldırısı
Sızdırılan Kimlik Bilgileri
Bir olayın kritikliği, kaç sistemin etkilendiğine, olayın durdurulmamasının potansiyel etkisine, ilgili sistemlere ve diğer birçok şeye bağlı olarak belirlenir. Olayın buna göre kapatılabilmesi için SOC'nin kritikliği doğru bir şekilde belirleyebilmesi önemlidir. Kritiklik, bir olaya ne kadar hızlı müdahale edilmesi gerektiğini belirler.
Olay hemen mi müdahale edilmeli yoksa ekip yarına kadar bekleyebilir mi?
Hassasiyet, olay hakkında kimlerin bilgilendirilmesi gerektiğini belirler. Bazı olaylar son derece gizlilik gerektirir.
SOAR ("Güvenlik Orkestrasyonu, Otomasyon ve Yanıt")
Tehdit aktörlerinin ilerlemelerine karşı koymak için, modern bir SOC'nin yeterince hızlı yanıt verebilmesi için otomasyon çok önemlidir. Olaylara hızlı yanıt vermeyi kolaylaştırmak için, SOC'nin ortamdaki tehditlere yanıt vermek üzere çözümleri otomatik olarak koordine edebilecek araçlara sahip olması gerekir.
SOAR stratejisi, SOC'nin, daha öncekinden daha gerçek zamanlı olarak gelişen tehditleri azaltmaya ve durdurmaya yardımcı olmak için eyleme geçirilebilir verileri kullanabilmesini sağlamak anlamına gelir. Geleneksel ortamlarda, saldırganların sisteme sızdıktan sonra komşu sistemlere yayılmaları çok kısa sürer. Bunun aksine, kuruluşların ortamlarına giren tehditleri tespit etmeleri genellikle çok uzun zaman alır. SOAR bunu çözmeye yardımcı olmaya çalışır.
SOAR, tehditleri yeniden oluşturmaya ve gidermeye yardımcı olmak için IAC ("Kod Olarak Altyapı") gibi kavramları içerir. Erişimleri daha akıcı ve kolay bir şekilde kontrol etmek için SDN ("Yazılım Tanımlı Ağ") ve daha fazlasını içerir.
SOAR stratejisi, SOC'nin, daha öncekinden daha gerçek zamanlı olarak gelişen tehditleri azaltmaya ve durdurmaya yardımcı olmak için eyleme geçirilebilir verileri kullanabilmesini sağlamak anlamına gelir. Geleneksel ortamlarda, saldırganların sisteme sızdıktan sonra komşu sistemlere yayılmaları çok kısa sürer. Bunun aksine, kuruluşların ortamlarına giren tehditleri tespit etmeleri genellikle çok uzun zaman alır. SOAR bunu çözmeye yardımcı olmaya çalışır.
SOAR, tehditleri yeniden oluşturmaya ve gidermeye yardımcı olmak için IAC ("Kod Olarak Altyapı") gibi kavramları içerir. Erişimleri daha akıcı ve kolay bir şekilde kontrol etmek için SDN ("Yazılım Tanımlı Ağ") ve daha fazlasını içerir.
Neyi izlemeli?
Olaylar birçok farklı cihazda toplanabilir, ancak neyi toplayacağımızı ve izleyeceğimizi nasıl belirleriz? Kayıtların en yüksek kalitede olmasını istiyoruz. Ağlarımızdaki tehdit aktörlerini hızlı bir şekilde durdurmak için ilgili ve tanımlayıcı yüksek doğrulukta kayıtlar istiyoruz. Ayrıca, saldırganların yapılandırdığımız uyarıları atlatmasını zorlaştırmak istiyoruz.
Saldırganları yakalamanın farklı yollarına baktığımızda, nereye odaklanmamız gerektiği açıkça ortaya çıkıyor. İşte saldırganları tespit etmek için kullanabileceğimiz olası göstergelerin bir listesi ve saldırganların bunları değiştirmesinin ne kadar zor olduğu.
Dosya sağlama toplamları ve hash'leri, saldırganlar tarafından kullanılan bilinen kötü amaçlı yazılımları veya araçları tanımlamak için kullanılabilir. Bu imzaların değiştirilmesi, saldırganlar için önemsiz kabul edilir, çünkü kodları birden fazla farklı şekilde kodlanabilir ve değiştirilebilir, bu da sağlama toplamlarının ve hash'lerin değişmesine neden olur.
IP adresleri de kolayca değiştirilebilir. Saldırganlar, diğer ele geçirilmiş sunucuların IP adreslerini veya farklı bulut ve VPS ("Sanal Özel Sunucu") sağlayıcılarının oluşturduğu karmaşık ağdaki IP adreslerini kullanabilirler.
Alan adları da saldırganlar tarafından oldukça kolay bir şekilde yeniden yapılandırılabilir. Bir saldırgan, ele geçirilmiş bir sistemi, zaman geçtikçe sürekli olarak yeni bir DNS adı kullanacak şekilde bir DGA ("Alan Adı Oluşturma Algoritması") kullanacak şekilde yapılandırabilir. Bir hafta ele geçirilmiş sistem bir ad kullanırken, bir sonraki hafta ad otomatik olarak değişir.
Ağ ve Sunucu Unsurlarının değiştirilmesi daha zahmetlidir, çünkü bu saldırganlar için daha fazla değişiklik gerektirir. Yardımcı programlarının, SOC tarafından tespit edilebilen kullanıcı aracısı veya bunun yokluğu gibi imzaları olacaktır.
Saldırganlar için araçları değiştirmek giderek zorlaşıyor. Araçların hash'leri değil, saldırı sırasında araçların davranış ve çalışma biçimleri değişiyor. Araçlar loglarda izler bırakacak, kütüphaneler yükleyecek ve bu anormallikleri tespit etmek için izleyebileceğimiz diğer şeyler de olacak.
Eğer savunmacılar tehdit aktörlerinin kullandığı Taktikleri, Teknikleri ve Prosedürleri belirleyebilirse, saldırganların hedeflerine ulaşması daha da zorlaşır. Örneğin, tehdit aktörünün hedefli kimlik avı (spear-phishing) kullanmayı ve ardından diğer kurban sistemlerine eşler arası (peer-to-peer) bağlantı kurmayı sevdiğini biliyorsak, savunmacılar bunu kendi avantajlarına kullanabilirler. Savunmacılar, hedefli kimlik avı riski altındaki personele eğitim vermeye odaklanabilir ve eşler arası ağ oluşturmayı engellemek için bariyerler uygulamaya başlayabilirler.
Saldırganları yakalamanın farklı yollarına baktığımızda, nereye odaklanmamız gerektiği açıkça ortaya çıkıyor. İşte saldırganları tespit etmek için kullanabileceğimiz olası göstergelerin bir listesi ve saldırganların bunları değiştirmesinin ne kadar zor olduğu.
Dosya sağlama toplamları ve hash'leri, saldırganlar tarafından kullanılan bilinen kötü amaçlı yazılımları veya araçları tanımlamak için kullanılabilir. Bu imzaların değiştirilmesi, saldırganlar için önemsiz kabul edilir, çünkü kodları birden fazla farklı şekilde kodlanabilir ve değiştirilebilir, bu da sağlama toplamlarının ve hash'lerin değişmesine neden olur.
IP adresleri de kolayca değiştirilebilir. Saldırganlar, diğer ele geçirilmiş sunucuların IP adreslerini veya farklı bulut ve VPS ("Sanal Özel Sunucu") sağlayıcılarının oluşturduğu karmaşık ağdaki IP adreslerini kullanabilirler.
Alan adları da saldırganlar tarafından oldukça kolay bir şekilde yeniden yapılandırılabilir. Bir saldırgan, ele geçirilmiş bir sistemi, zaman geçtikçe sürekli olarak yeni bir DNS adı kullanacak şekilde bir DGA ("Alan Adı Oluşturma Algoritması") kullanacak şekilde yapılandırabilir. Bir hafta ele geçirilmiş sistem bir ad kullanırken, bir sonraki hafta ad otomatik olarak değişir.
Ağ ve Sunucu Unsurlarının değiştirilmesi daha zahmetlidir, çünkü bu saldırganlar için daha fazla değişiklik gerektirir. Yardımcı programlarının, SOC tarafından tespit edilebilen kullanıcı aracısı veya bunun yokluğu gibi imzaları olacaktır.
Saldırganlar için araçları değiştirmek giderek zorlaşıyor. Araçların hash'leri değil, saldırı sırasında araçların davranış ve çalışma biçimleri değişiyor. Araçlar loglarda izler bırakacak, kütüphaneler yükleyecek ve bu anormallikleri tespit etmek için izleyebileceğimiz diğer şeyler de olacak.
Eğer savunmacılar tehdit aktörlerinin kullandığı Taktikleri, Teknikleri ve Prosedürleri belirleyebilirse, saldırganların hedeflerine ulaşması daha da zorlaşır. Örneğin, tehdit aktörünün hedefli kimlik avı (spear-phishing) kullanmayı ve ardından diğer kurban sistemlerine eşler arası (peer-to-peer) bağlantı kurmayı sevdiğini biliyorsak, savunmacılar bunu kendi avantajlarına kullanabilirler. Savunmacılar, hedefli kimlik avı riski altındaki personele eğitim vermeye odaklanabilir ve eşler arası ağ oluşturmayı engellemek için bariyerler uygulamaya başlayabilirler.
Son düzenleme:
