Danışmanlık hizmeti verdiğimiz firmalarda özellikle penetrasyon (sızma) testleri sonucu gördüğümüz en büyük eksiklik, ürün veya düşük kullanıcı farkındalığından da öte;

  • Mevcut sistemlerin birbirleriyle olan entegrasyonu,
  • Üretilen logların anlamlandırılması,
  • SIEM sistemlerinde korelasyon eksikliklerinden oluşan zafiyetlerin farkında olunmaması,
  • Ve en önemlisi, ürün farklılıklarından oluşan ve kuruluş tarafından hizmet olarak alınan farklı danışmanlıkların entegrasyonu,

başlıklarında yaşanan problemlerdir.

3S Hizmet modelimiz dahlinide hizmet verdiğimiz kurum ve kuruluşların bütün güvenlik süreçlerini “Teknoloji”, “Organizasyonel”, “Policy”, “Operasyonel”, “Siber Tehdit İstihbaratı” olmak üzere 5 başlık altında ele alırız.

Daha sonra “Kural İyileştirme”, “Log Analizi”, “Otomasyon” adımlarından oluşan 3 aşamada mevcut yapıya uyarlamaktayız.

Sony 2011 yılından bu yana en az yirmi dört kez hacking vakası kurbanı oldu. Bu vakaların en büyüklerinden birini ve daha da kötüsü, saldırganın yerleştirdiği kötü niyetli araçların hala sistem içerisinde çalışır halde olduğunu, yıllar sonra fark ettiler. Bu süreçte çok büyük boyutlarda veri internet ortamında açığa çıkarıldı ve finansal anlamda değerli olanlar kısmı dark web’de satışa sunuldu.

Günümüzde bilgi güvenliğinin hiç olmadığı kadar önemli olduğu göz ardı edilemeyecek bir gerçektir. Güvenlik ürünleri, testleri ve çalışanları bin bir elekten geçirilerek seçilip oluşabilecek herhangi bir “hacking” vakasının önüne geçmek için kişi/kurum ekosistemlerine entegre ediliyor. Fakat burada dikkatlerden kaçan oldukça önemli bir nokta var; çoktan bir hacking vakasının kurbanı olduysanız ve verileriniz internet üzerinde elden ele dolaşıyorsa nasıl haberdar olacaksınız? Böyle bir durumda alınması gereken en hızlı ve doğru aksiyon nedir?

3S Hizmet Çözümü
3S Hizmet Çözümü

1. Teknoloji

Bu süreç, kurumunuza ait teknolojik kaynakların belirlenmesi ve mantıksal-fiziksel yapılandırma ayarlarının “incident response” ekibi gözüyle değerlendirilmesidir. Kurumunuzun teknolojik kaynakları IR gözüyle analiz edilmediği takdirde sistemleriniz saldırı altındayken en önemli log kayıtları, güvenlik mimarinizin eksikliğinden dolayı SIEM çözümünüze aktarılmayacaktır. Bu durum binlerce dolarlık yatırımızın en kritik durumda sizi yarı yolda bırakmasına neden olacaktır.

Bu süreci kurumu tanımlama olarak adlandırabiliriz.

Süreç adımları yanda belirtildiği gibidir.

a) İç ve dış kaynakların tespiti:

Kurum lokal ağınızda, branch ofislerde ve DR site’da kullanılan donanımsal ve yazılımsal (işletim sistemi, uygulamalarınız v.b)kaynakların belirlenmesi, dış dünyaya açık olan servislerinizin, iş ortaklarınıza açık kaynaklarınızın, ve bunlarla bağlantınızın (MPLS, IPsec v.b ) belirlenmesi  aşamalarından oluşmaktadır.

b) İş süreçlerinin çıkartılması:

 Şirketinizin hedefleri doğrultusunda başarıya ulaşabilmesi için birimler arasındaki iş birliğinin ve süreç yönetiminin entegreli bir şekilde ilerlemesi gerekmektedir. Saldırganın sadece IT kaynaklarına değil, herhangi bir departmanın(IK, finans) kaynağına yapabileceği bir saldırı, bütün iş süreçlerini etkileyebileceği için SIEM danışmanınızın; firmanın “ Line Of Business”  mantığı ile IT ve diğer birimler arasındaki organizasyon akışını ve manipülasyona açık dijital süreçler için korelasyon kuralları çıkarması gerekmektedir.

c) Sistem sıkılaştırma ve Audit:

 Operasyonel yüklerin getirdiği yoğunluktan dolayı, kurumunuzda hizmet veren sunucuların, network ekipmanlarının ve güvenlik sistemlerinin “best practice”e uygun bir şekilde yapılandırılması neredeyse imkansız bir hal alabiliyor. Birçok kurumda Linux ve Windows işletim sistemlerinin log çıktıları varsayılan olarak bırakılmış durumdadır. Bu yüzden hizmet vermeye gelen danışman personelinin sunucu mimarileriniz içinde yer alan en azından dış dünyaya dönük olan sistemlerde güvenlik benchmark’larını yerine getirmesi veya aranızdaki anlaşmaya göre sadece tespit edip raporlaması gerekmektedir. Tabi bu personel ürünü kuran personel değil, kurulum ekibiyle birlikte gelen “Incident Response” ekibinden bir personel olmalıdır.

d) Penetrasyon testi ve zafiyet analizi:

SIEM projesi yapan firmanın mutlaka bir zafiyet analiz çalışması da yapması ve kurum içi sistem iyileştirmesi haricinde, servisler üzerindeki zafiyetlerin tespit edilerek kapatılması için sizlere yardımcı olması gerekmektedir. Böylece SIEM ürününüzü devreye aldığınız zaman güvenliğinden yüksek oranda emin olabileceğiniz bir yapı kurmuş olursunuz.

e) Teknolojik aşamada tespit edilen mimari hataların düzeltilmesi:

İlk aşama olan Teknoloji’de topolojik hatalar tespit edildikten sonra ilgili ekiplerle mimari dizayn yeniden konuşulmalı ve bir eksiklik varsa giderilerek, zafiyete açık nokta bırakılmamalıdır.

f) Personel farkındalığı:

Güvenliğe “Last line of security” çerçevesinden ele aldığımızda günümüzdeki atak vektörlerinin “oltalama saldırılarının iyice yaygınlaşması”yla birlikte artık insana yönelik olduğu sonucuna varabiliriz. Bu yüzden SIEM projesi yapacak firmanın personelinizin farkındalığını test etmesi gerekmektedir. Test sonucu ortaya çıkacak tabloda gerek endpoint security loglarını, gerekse sizlere personel farkındalığını arttırabileceğiniz çözüm önerilerini sunması gerekmektedir.

2.Policy

ISO standartlarının devrede olduğu bu aşamada, kurumunuzda daha önce çalışması yapılmış bir standardı varsa, (27001, 27002 v.b) buradaki çıktıların sonucunda elde edilen bulgular ve çalışmalara yönelik kural setleri SIEM ürünü üzerinde tanımlanmalıdır.

3.Operasyonel

Kurum veya kuruluşun IT departmanının güvenlik/sistem/network operasyonlarını nasıl yönettiğini, oluşan bir siber tehdit altında nasıl davrandığını analiz ettiğimiz bir süreçtir. Bu süreç sonrasında kuruluşun IT ekibinin kırılganlık ölçümlendirilmesi yapılmaktadır.

Bu süreçleri tamamen kuruluşa özel Use Case’ler ile ele almakayız.

4.Siber Tehdit İstihbaratı ve Orkestrasyon

Siber tehdit istihbaratı ve orkestrasyon süreci, bu ihtiyaca yönelik ayrı bir ürün kullanmıyorsanız, kullandığınız veya kullanmak istediğiniz SIEM çözümlerinde mutlaka dikkat edilmesi ve yer alması gereken bir özelliktir. Bu süreç kurumunuzun varlıklarını, süreçlerini, sistem bilgilerinizi ve diğer kritik bilgi süreçlerinizi takip eden SIEM gibi bir big data ortamında, size gelebilecek atakları proaktif analiz ile belirli platformlardan sorgulayıp, sizi uyararak önlem almanızı sağlar.

Böylece sistemlerinize karşı tehdit oluşturabilecek bir ataktan, tabiri caizse, rakip takımın forvet oyuncusu ile karşı karşıya kalan kaleci gibi atak size geldiğinde değil, bir antrenör gibi rakip takımın oyun planını önceden bilerek haberdar olur, böylelikle oyunu yöneten tarafta yer alabilirsiniz. Henüz gerçekleşmeden önce olası atakları raporlama ve atak anında 7/24 güvenlik müdahale süreci sunmaktayız.

3S Servisi Aşamaları

S1 – Kural İyileştirme

Kural İyileştirme aşamasında kuruluşunuzun Teknoloji, Operasyonel ve Policy süreçleri ele alarak mevcut sistemlerinizin ürettiği loglar iş süreçleriniz ve veri yapınıza göre analiz edilir ve sonuçlar anlamlı bir şekilde SIEM sisteminize gönderilir.

 S2 – Log Analizi

Log Analizi aşamasında  kurum/kuruluşunuzun bütün süreçlerine hakim olduğumuz için,iç/dış varlıklarınıza gelebilecek atak senaryolarını simüle ediyoruz ve SIEM sisteminizde bunların alarm şeklinde oluşabilmesi için gerekli korelasyon kurallarınının listesini sizlere sağlıyoruz. Ürün bağımsız bir danışmanlık modelimiz olduğu için SIEM sistemi kurumunuzda mevcut değilse, InfiSIEM sistemini devreye alarak aylık bir modelle sizlere kullandığınız kadar öde modeli sunuyoruz.

S3 – Otomasyon

Otomasyon aşaması, RPA (Robotic Process Automation) dediğimiz modeli sistem yapınıza entegre ettiğimiz modeldir.  S1 ve S2 aşamasında süreçlerinize gelebilecek gerçek atakları ortaya koyduğumuz için artık false positive alarmların en aza indirgendiği bir SIEM mimariniz olduğundan, oluşabilecek alarmların artık gerçek birer alarm olacağı ifade edilmektedir. Bu anlamda mesai saati içinde veya dışında kuruluşunuza gelebilecek bir saldırıya karşı alabileceğiniz defansif önlemi, sizlere robotik bir yapıda sunmaktayız. İlgili alarm oluştuğu zaman tetikleyeceğimiz robotik yapımız, güvenlik sistemlerinize kural oluşturarak saldırı IP adresini ve atak metodunu engelleyerek 7/24 bir güvenlik perspektifi sağlamaktadır.