bilgi güvenliği ve log yönetimi
Post on 05-Dec-2014
769 Views
Preview:
DESCRIPTION
TRANSCRIPT
Bilgi Güvenliği ve Log Yönetimi
ertugrul.akbas@anetyazilim.com.tr
Dr. Ertuğrul AKBAŞ
www.issatr.org.
SIEM
İndex
Bilgi Güvenliği ve Log Yönetimi ilişkisi
Bilgi Güvenliği Analizi Amacıyla Kurulacak Log Yönetimi Nasıl Olmalı?
Hangi Sistemlerden Log Almalıyız?
Loglardan Ne Tür Analizler Yapabiliriz
Suistimal Analizi
Standartlar ve Log Yönetimi
SIEM
Bilgi Güvenliği ve Log Yönetimi ilişkisi
Bildiğiniz üzere bir uçağın kara kutusu neyse bir IT sisteminin
Log Sunucusu da aynı şeydir
SIEM
Bilgi Güvenliği ve Log Yönetimi ilişkisi
Bildiğiniz üzere bir uçağın kara kutusu neyse bir IT sisteminin
Log Sunucusu da aynı şeydir ama bir farkla!!!
Modem loglar gerçek zamanlı toplanıyor neden gerçek
zamanlı yorumlar ve alarmlar üretilmesin!!!
SIEM
Bilgi Güvenliği ve Log Yönetimi ilişkisi
Log Yönetimine Neden İhtiyacımız Var?
Standartlara Uyumluluk:
PCI DSS, Sox, Cobit, HIPAA, GLBA, ISO 27001 ve
diğerleri
Yasalara uyumluluk
5651 Sayılı Yasa
Kurumsal politikaların daha etkili kullanılması
Kurumsal kurallara aykırı davrananların tespiti
SIEM
Bilgi Güvenliği ve Log Yönetimi ilişkisi
•Bilgi güvenliği ihlalleri ve vakaları
arttıkça log yönetiminin önemi ve
gerekliliği daha iyi anlaşılmaktadır.
•ISO 27001, Bilgi Güvenliği(BG)
Yönetim Standardında log(iz kaydı)
yönetimin önemi vurgulanmaktadır.
•COBIT, ISO-27001 ve PCI log
yönetimine özel vurgu yapmaktadır
SIEM
Bilgi Güvenliği Analizi Amacıyla Kurulacak Log Yönetimi Nasıl Olmalı?
• Ürünün stabil olması
• Log kaçırmaması
• Log saklama işini güvenilir yapması
• Arşivden geri dönebilmesi
• Arşivde arama yapabilmesi
• Hazır kollektör sayısının fazla olması
• Kolay kollektör eklenebilmesi
• İhtiyacı olduğunda daha üst yapılara kolaylıkla ve eski logları
koruyarak geçiş yapabilmesi
• Raporlama
• Korelasyon
SIEM
Bilgi Güvenliği Analizi Amacıyla Kurulacak Log Yönetimi Nasıl Olmalı?
Log Yakalama
Bir log yönetim sisteminin en önemli özelliği gelen bütün logları
yakalamak ve işlemektir. Sistemin bu özelliği bir proje yapılırken
göz önünde bulundurulacak en önemli kriterlerin başındadır.
50 EPS
250 EPS
500 EPS
2500 EPS
10000 EPS
……
SIEM
Bilgi Güvenliği Analizi Amacıyla Kurulacak Log Yönetimi Nasıl Olmalı?
Log Yakalama- Nasıl Test Edilir
Simulatör
Sniffer
SIEM
Bilgi Güvenliği Analizi Amacıyla Kurulacak Log Yönetimi Nasıl Olmalı?
SIEM
Bilgi Güvenliği Analizi Amacıyla Kurulacak Log Yönetimi Nasıl Olmalı?
Logların Kaydedilmesi (Storage)
Özellikle yüksek EPS değerlerinde logların aynı hızla kaydedilebiliyor olması kritiktir.
Eğer raporlama ve istatistik analiz gerçek zamanlı kullanılacaksa logların bu hızla raporlama ve
istatistiksel analiz modülüne aktarımı sağlanmalı
Ayrıca loglar geldiği hızda kaydedilemiyorsa sistemin bazı boş anlara ihtiyacı var demektir ki
Biriktirdiği logları yazabilsin ve raporlama ve istatistik modüllerine aktarabilsin. Bu trafiğin benzer
trendlerde 7/24/365 çalışan sistemler için problem oluşturur.
SIEM
Bilgi Güvenliği Analizi Amacıyla Kurulacak Log Yönetimi Nasıl Olmalı?
Log Sıkıştırma
Pek çok ihtiyaçtan dolayı logları sıkıştırmak gerekir. Mesela loglar yüksek trafiği olan sunucularda çok fazla
yerde kaplar.
Burada 2 önemli özellik vardır.
Gerçek zamanlı log sıkıştırma. Yani arşivden yükleme işlemi yapmadan arama yapılabilecek logların
sıkıştırılarak saklanması
Arşiv loglarının sıkıştırılması
Ürünlerin büyük bir kısmı arama yapılacak verileri sıkıştırmazken sadece arşivi sıkıştırmaktadır.
SIEM
Bilgi Güvenliği Analizi Amacıyla Kurulacak Log Yönetimi Nasıl Olmalı?
Log Yedekleme
Sistem replikasyon desteklemiyorsa bile en azından yedeklenebilmelidir. Burada da yedeklerin alınma süresi
ve geri dönme süre ve başarısı önemlidir. Özellikle 100 lerce GB veri oluşunca yedeklerin nasıl alındığı
(mesela incremental ) ve nasıl geri dönüldüğü önemlidir. Eğer seçilen ürün ona göre tasarlanmadı ise 10
GB larla veri ile 100 GB lar veri arasında yedekleme başarısı açısından farklılık olma ihtimali yüksektir.
SIEM
Bilgi Güvenliği Analizi Amacıyla Kurulacak Log Yönetimi Nasıl Olmalı?
Log Arama (Log Search)
Örnek Bir Arama Kriteri:
EPS : 5000
Dakikada oluşan log: 5000 X60 =300 000 (Üçyüzbin)
Saatte oluşan log=300 000 X60=18 000 000 (Onsekiz milyon)
10 Saatte Oluşan log = 18 000 000 X10= 180 000 000 (Yüzseksen milyon)
Yukarıdaki değerlere bakarak 5000 EPS log akışına sahip bir sistemde 10 saate 180 milyon log oluştuğu ve
dolayısı ile herhangi bir 10 saatlik aramanın 180 milyon kayıt arasından olacağı unutulmamalı.
Dolayısı ile son 1 ayda en çok “social media “ da gezen kullanıcıların listesi ve sıralaması istendiğinde
Eğer 5000 EPS lik bir ağda bu sorgu yapılacaksa
18 000 000 x 24 x 30=12 960 000 000 (yaklaşık 13 milyar) kayıt içerisinde arama , sayma ve sıralama
yapılmak zorunda olduğu unutulmamalı
SIEM
Hangi Sistemlerden Log Almalıyız?
Ağ ve Güvenlik Cihazlarından Alınacak Loglar
Sınır Güvenliği Bileşenleri
Yönlendirici(Router) Sistemler
Güvenlik Duvarı
Erişim Logları
Denetim(Audit) Logları
SIEM
Hangi Sistemlerden Log Almalıyız?
Ağ ve Güvenlik Cihazlarından Alınacak Loglar
• Sınır Güvenliği Bileşenleri
• Yönlendirici(Router) Sistemler
• Güvenlik Duvarı
• Erişim Logları
• Denetim(Audit) Logları
• Linux/UNIX Sistemler
• Windows Event Logları
• WEB Sunucu
• Mail Sunucu
• Veritabanı Aktviteleri
• DHCP/DNS Logları
• Proxy Logları
• AD Logları
• Elekronik/Fiziksel giriş sistemleri (Kapı giriş sistemi gibi)
• Datacenter sensör logları
SIEM
Loglardan Ne Tür Analizler Yapabiliriz
• Raporlar
• İstatistikler
• Kurallar (SIEM)
SIEM
Loglardan Ne Tür Analizler Yapabiliriz
SIEM
Raporlama
Log Yönetimi
SIEM
Loglardan Ne Tür Analizler Yapabiliriz
• Raporlar
• Kimler XXX sitesine erişti ?
• YYY dokümanını kim bastı ?
• ZZZ dosyasını kim edit etti ?
• Gibi yüzlerce rapor alınabilir
SIEM
Loglardan Ne Tür Analizler Yapabiliriz
• İstatistikler
• En çok XX sitesine kim erişti ?
• En çok internete hangi sitelere erişiliyor ?
• En çok hangi sunuculara login olunuyor
• Gibi yüzlerce istatistik alınabilir
SIEM
Loglardan Ne Tür Analizler Yapabiliriz
• SIEM
• Korelasyon özelliğini kullanmadan gerçek zamanlı tespit özelliği olmaz
• Güvenlik analizi için loglar kullanılacaksa korelasyon kuralları yazılabilmeli
• Maalesef bu özellik ülkemizde Log Analizi konularında verilen eğitimlerde
(ticari eğitimler) bile atlanıyor.
SIEM
Loglardan Ne Tür Analizler Yapabiliriz
• 1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar
• 5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar
• 5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar
• 1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye
trafik olursa uyar
• Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim
yapılmaya çalışılıp başarısız olunursa uyar
• Aynı kullanıcıdan 3 den fazla başarısız erişim olup sonrasında başarılı
erişim olursa bu brüte force atack olasılığıdır ve uyar
• Administrators grubuna kullanıcı eklenirse uyar
• Aynı kullanıcı ile 1 dakikada 5 den fazla başarısız erişim olursa
uyar(Kullanıcı bilgileri ile birlikte)
• Aynı kullanıcı 60 dakikada 50 den fazla sistemlere login olursa
uyar(Kullanıcı bilgileri ile birlikte)
SIEM
Loglardan Ne Tür Analizler Yapabiliriz
• Aynı kaynak IP den 3 veya daha fazla başarısız erişim ve hemen ardından
başarılı erişim olursa uyar.
• Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak
lokasyondna işletilmek üzere gönderilirse uyar
• İstenmeyen uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus)
çalıştırıldığında uyar
• Spam yapan kullanıcıyı tepit et.(saatte 60 den fazla mail gönderen
kullanıcıyı tespit et)
• Spam yapılan kullanıcıyı tepit et.(saatte 25 den fazla mail alan kullanıcıyı
tespit et)
• Gözetlenen log kaynağı son 1 saat içerisinde log göndermezse uyar
• Mesai saatleri dışında sunuculara ulaşan olursa uyar
• Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı
login loğu gelirse uyar
SIEM
Loglardan Ne Tür Analizler Yapabiliriz
Korelasyon Motoru ile ilgili detay bulabileceğiniz bir çalışma
http://www.olympos.net/belgeler/log-yonetimi/korelasyon-motoru-ileri-
analitik-yontemler-bilgi-guvenligi-ve-log-yonetimi-
29121324#axzz2S9ZJqVhM
Veya aynı çalışmanın kopyası
http://www.slideshare.net/anetertugrul/korelasyon-motoru-ler-analtk-
yntemler-blg-gvenl-ve-log-ynetm
SIEM
Suistimal Analizi
Bişilim suçları için iz kayıtları delil teşkil etmektedir. Ancak,
bir iz kaydının kanıt olabilmesi için değiştirilmediğinden
(integrity) emin olunması gerekmektedir. Bunun için zaman
damgası gibi Hash teknikleri kullanılmaktadır. Bilişim suçları
için Emniyet Amiri düzeyinde yöneticiler bulunmaktadır. Fraud
(Yolsuzluk) da suç olduğu için, delil teşkil edecek iz
kayıtlarının sistem kurulurken belirlenip kayıt altına alınması
ve değiştirilmediklerinden de emin olunması gerekmektedir.
SIEM
Standartlar ve Log Yönetimi
PCI(Payment Card Industry),
Health Insurance Portability and Accountability Act (HIPAA),
Federal Information Security Management Act (FISMA),
Sarbanes–Oxley(SOX),
5651 sayılı T.C kanunu,
ISO/IEC 27001
Teşekkürler
ISSA Turkey SIEM
top related