Edge Delta CEO’su ve Kurucusu Ozan Ünlü
Güvenlik Günlüğü Verileri – Daha Fazla Veri Her Zaman Daha İyi Koruma anlamına gelmez
Güvenlik operasyonları ekiplerinin karşılaştığı önemli bir sorun, mevcut altyapılar genelinde (güvenlik olaylarıyla ilgili olarak) büyük ölçüde artan veri hacimleriyle birleştiğinde, güvenlik açıklarından yararlanmanın agresif hızıdır.
Güvenlik günlükleri, şüpheli etkinliğin belirlenmesine veya araştırılmasına yardımcı olmak için son derece yararlı olabilir ve her geleneksel SIEM platformunun temel taşıdır. Ancak gerçek şu ki, mevcut altyapılar, insanların ve hatta makinelerin analiz edebileceğinden daha hızlı bir oranda güvenlik günlükleri üretiyor.
Şunu düşünün: Bir kişinin 1 megabayt ham günlükleri ve olayları, bir Gigabayt için bin kişiyi, bir Terabayt için bir milyon kişiyi ve bir Petabayt için bir milyar kişiyi okuması yaklaşık 8 saatlik bir iş günü alacaktır. Birlikte çalıştığımız bazı kuruluşlar günde 100 petabayta yakın veri oluşturuyor. Güvenlik operasyonları ekipleri verilerde boğuluyor ve gelgit daha da yükselecek. Bu ekiplerin her şeyi yönetmek, analiz etmek ve anlamlandırmak için daha iyi bir yola umutsuzca ihtiyacı var. Ama nasıl?
SIEM Sistemlerinin Sınırlamaları
Güvenlik günlüklerinin geleneksel olarak yönlendirildiği, dizine eklendiği ve analiz için hazırlandığı günümüzün SIEM sistemleri oldukça gelişmiştir, ancak sınırlamaları vardır. Belirli sistemler, özellikle daha eski, şirket içi olanlar, özellikle saniye başına olay sayısı (EPS) maksimize edildiğinde, veri sorgulama ve gerekli bilgileri sağlama söz konusu olduğunda çok yavaş olabilir. Saldırganların bir güvenlik açığından yararlanmak için yalnızca birkaç saniyeye ihtiyaçları olduğu düşünüldüğünde, bu kesinlikle ideal değildir. Hem ortaya çıkan hem de mevcut tehditleri mümkün olduğunca gerçek zamanlıya yakın bir şekilde görebilmek çok önemlidir.
Ek olarak, SIEM fiyatlandırma modelleri sorunlu olabilir, çünkü güvenlik bütçeleri yalnızca kademeli olarak artarken, veri hacimleri arttıkça fiyat büyük ölçüde artar. Burada, tüm güvenlik günlüğü verilerinin eşit olarak oluşturulmadığını hatırlamak önemlidir. Bazı günlükler tipik olarak anlamlı bilgiler içerme olasılığı en yüksek olanlardır, diğer günlükler ise olay korelasyonu için yararlı bilgiler içerebilir.
Bunun bir örneği, bir sunucuya harici bir ana bilgisayardan verilen kötü amaçlı komutları kaydeden bir izinsiz giriş tespit sistemi olabilir; bu, saldırı bilgisinin birincil kaynağı olacaktır. Aynı kaynak IP adresinden gelen diğer bağlantı girişimlerini belirlemek için bir güvenlik duvarı günlüğü daha sonra gözden geçirilebilir ve söz konusu IP adresinin aslında kötü niyetli bir aktör olma ihtimalini güçlendirebilir.
Akıllı olay korelasyonu, SIEM sistemlerinin en güçlü özelliklerinden biridir ve veriler ne kadar zengin ve kapsamlı olursa, sonuçlar o kadar iyi olur. Güvenlik operasyonları ekipleri bu nedenle kendilerini bir ikilemle karşı karşıya bulurlar. Çoğu (veya tüm) günlük verilerini içerebilirler – çok az veya hiç değeri olmayan yüksek hacimli günlükler de dahil olmak üzere – bu da genellikle bütçelerini tüketen aşırı doldurulmuş bir SIEM’e yol açar. Veya diğerlerini ihmal ederken gerçekten ihtiyaç duydukları günlüklere ilişkin tahminlerde bulunabilirler, bu da ekibi bütçe dahilinde tutabilir, ancak önemli kör noktalar ve güvenlik açıkları oluşturur. Tehditler her yerde gizlenebileceğinden, böyle bir yaklaşım çok riskli kabul edilebilir.
Denge Bulma
SIEM’e yönelik “merkezileştir ve analiz et” yaklaşımı, kuruluşların, günlüklerin gerçek bir kopyasını, genellikle üretim ortamlarından tamamen ayrılmış ve bilgisayar korsanları, kötü niyetli kişiler ve diğer çalışanlar tarafından tamamen erişilemeyen, son derece güvenli tek bir konumda ödüllendirdiği bir zamanda gelişti. Oluşturulan güvenlik günlüklerinin hacmiyle birlikte siber güvenlik tehditlerinin sayısı ve çeşitliliğindeki önemli artış göz önüne alındığında, bu tür bir yaklaşım artık hız veya maliyet açısından optimal değildir.
Tüm verilerin kaynağında analiz edilmesini gerektiren yeni bir yaklaşıma ihtiyaç var – verilerin nerede analiz edildiği ile depolandığı yeri birbirinden ayırıyor. Bazıları bu yaklaşımı “Küçük Veri” olarak adlandırır – daha az miktarda veriyi paralel olarak işler. Günlükler kaynağında analiz edildikten sonra, daha yüksek değere (ve daha yüksek maliyetli, daha düşük hacimli bir SIEM deposuna yönlendirilebilir) veya daha düşük bir değere ve daha düşük maliyetli bir depolama seçeneğine yönlendirilebilirler. Ek olarak, analitikler yukarı akışa aktarıldığında, güvenlik operasyonları ekipleri şu an için indekslemeden kaçınabilir ve anormallikleri ve ilgi alanlarını tek başına bir SIEM’den bile daha hızlı belirleyebilir; bu, rakiplerle sürekli yarışta kritik öneme sahiptir.
Bugün bu, günlüklerin maksimum güvenliğini, kullanılabilirliğini ve gizliliğini koruyacak şekilde gerçekleştirilebilir. Bu nedenle şirketler, bir SIEM’in güvenlik avantajlarından ödün vermeden tüm verileri üzerinde göz sahibi olmayı göze alabilir.
Çözüm
Önümüzdeki yıllarda siber güvenlik tehditleri daha da artacak ve güvenlik ekipleri bir adım önde olmak için günlük verilerini ustalıkla kullanabilmeli ve bunlardan yararlanabilmelidir. Birkaç yıl öncesine kadar iyi çalışmış olabilecek eski veri alma ve analiz yöntemleri, bu yeni gerçekliği karşılamak için değişikliğe ihtiyaç duyuyor. Güvenlik operasyonları ekiplerinin her şeye sahip olmasının yolları vardır – bütçe korumasıyla birlikte eksiksiz veri kümelerinin görünürlüğü – ancak bu, bazı yeni yaklaşımlar gerektirebilir.
yazar hakkında
Ozan Ünlü, Edge Delta CEO’su ve Kurucusu. [email protected] ve https://www.edgedelta.com/ adreslerinden online olarak ulaşılabilir.