Avustralya Sinyal Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi (ASD’nin ACSC’si), ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Federal Soruşturma Bürosu (FBI), Ulusal Güvenlik Ajansı (NSA) ve çeşitli uluslararası ortaklarla iş birliği yaparak, kuruluşların kötü amaçlı siber tehditlerin artışına karşı koymak için olay günlüğü tutma konusunda sağlam bir temel oluşturmasına yardımcı olmayı amaçlayan “Olay Kaydı ve Tehdit Algılama İçin En İyi Uygulamalar” başlıklı yeni bir kılavuz yayınladı.
CISA’ya göre, Living Off the Land (LOTL) teknikleri ve dosyasız kötü amaçlı yazılımlar gibi karmaşık saldırıların yaygınlığı, etkili olay günlüğü tutmanın kritik ihtiyacını vurgular. LOTL teknikleri, kötü amaçlı faaliyetleri yürütmek için sistem içindeki mevcut araçları ve süreçleri kullanmayı içerir ve bu da bunların tespit edilmesini özellikle zorlaştırır. Bu tehditleri ele almak için, yeni yayınlanan kılavuz olay günlüğü tutma stratejilerini ve tehdit tespit yeteneklerini geliştirmeye odaklanmaktadır.
Olay Günlüğü Tutmanın ve Tehdit Algılamanın Önemi
Olay günlüğü tutma, operasyonel sürekliliği korumak ve kritik sistemlerin güvenliğini ve dayanıklılığını artırmak için olmazsa olmazdır. Kapsamlı olay günlüğü tutma yoluyla ağ görünürlüğünü iyileştirerek, kuruluşlar LOTL tekniklerini içerenler de dahil olmak üzere potansiyel güvenlik olaylarını daha iyi belirleyebilir ve bunlara yanıt verebilir. Önde gelen küresel siber güvenlik kuruluşlarının iş birliğiyle hazırlanan “Olay Günlüğü Tutma ve Tehdit Algılama İçin En İyi Uygulamalar” kılavuzu, olay günlüğü tutma uygulamalarını geliştirmek için temel stratejileri ana hatlarıyla açıklamaktadır.
Bu kılavuz, ABD’den CISA, FBI ve NSA; Birleşik Krallık’tan Ulusal Siber Güvenlik Merkezi (NCSC-UK); Kanada Siber Güvenlik Merkezi (CCCS); Yeni Zelanda’nın Ulusal Siber Güvenlik Merkezi (NCSC-NZ) ve CERT NZ; Japonya’nın Ulusal Olay Hazırlığı ve Siber Güvenlik Stratejisi Merkezi (NISC) ve JPCERT/CC; Güney Kore’nin Ulusal İstihbarat Servisleri (NIS) ve NIS’in Ulusal Siber Güvenlik Merkezi (NCSC-Kore); Singapur’un Siber Güvenlik Ajansı (CSA); ve Hollanda’nın Genel İstihbarat ve Güvenlik Servisi (AIVD) ve Askeri İstihbarat ve Güvenlik Servisi (MIVD) dahil olmak üzere önemli kuruluşlar tarafından geliştirilmiştir.
Kılavuz, etkili olay günlüğü çözümleri için birkaç temel hedefi vurgular. Ağ savunucularına yardımcı olmak için kritik yazılım değişiklikleri veya yeni dağıtımlar gibi önemli siber güvenlik olayları için uyarılar üretmeyi savunur. Ayrıca, Living Off the Land (LOTL) tekniklerini ve ağlar içindeki yan hareketleri içerenler de dahil olmak üzere potansiyel olayları tespit etmenin önemini vurgular.
Ayrıca kılavuz, ihlallere ilişkin ayrıntılı bilgiler sağlayarak, politika uyumluluğunu sağlayarak, gürültüyü ve ilişkili maliyetleri azaltmak için uyarıları yöneterek ve gelişmiş kullanılabilirlik ve analitik performans için günlükleri ve günlük platformlarını optimize ederek etkili olay müdahalesine olan ihtiyacı vurgulamaktadır.
Olay Günlüğü Tutma ve Tehdit Algılama için En İyi Uygulamalar
Etkili olay günlüğü tutma ve tehdit tespiti, kurumsal sistemleri siber tehditlere karşı korumak için çok önemlidir. Bu alanlarda en iyi uygulamaları uygulamak, bir kuruluşun kötü amaçlı faaliyetleri tespit etme ve bunlara yanıt verme yeteneğini önemli ölçüde artırabilir.
Etkili olay kaydı ve tehdit tespiti için birkaç temel uygulama esastır. İlk olarak, tutarlı ve etkili izlemeyi sürdürmek için kapsamlı bir kuruluş onaylı olay kaydı politikası geliştirmek hayati önem taşır. Bu politika, kaydedilecek olay türlerini, kayıt tutma olanaklarını ve yöntemlerini ve bu kayıtları izleme prosedürlerini açıkça tanımlamalıdır. Ayrıca, kayıtların ne kadar süreyle saklanacağını belirtmeli ve kayıt tutma uygulamalarını yeniden değerlendirmek ve güncellemek için düzenli aralıklar belirlemelidir. İyi yapılandırılmış bir politika, kayıt tutmanın kuruluş genelinde kapsamlı ve tekdüze olmasını sağlar; bu da güvenlik tehditlerini tespit etmek ve bunlara yanıt vermek için hayati önem taşır.
Ek olarak, olay günlüklerinin kalitesine odaklanmak doğru tehdit tespiti için önemlidir. Yüksek kaliteli günlükler ilgili ve eyleme dönüştürülebilir verileri yakalar ve gerçek pozitifleri yanlış pozitiflerden ayırmaya yardımcı olur. Örneğin, Linux tabanlı sistemlerde günlükler curl ve systemctl gibi yaygın Living Off the Land (LOTL) ikili dosyalarını içermelidir, Windows sistemlerinde ise günlükler wmic.exe ve PowerShell gibi araçları kapsamalıdır. Yüksek kaliteli günlük kaydı, LOTL tekniklerinin ve diğer karmaşık saldırıların ince göstergelerini tespit etme yeteneğini geliştirir.
Olay günlükleri ayrıca etkili tehdit algılama ve olay yanıtını desteklemek için kapsamlı ayrıntıları da yakalamalıdır. ABD Yönetim ve Bütçe Ofisi’nin M-21-31 yönergelerine göre, günlükler doğru zaman damgalarını, olay türlerini, cihaz tanımlayıcılarını, kaynak ve hedef IP adreslerini, durum kodlarını, yanıt sürelerini, kullanıcı kimliklerini ve yürütülen komutları içermelidir. Ayrıntılı günlükler, olası güvenlik olaylarını belirlemek ve analiz etmek için çok önemli olan sistem etkinliklerinin kapsamlı bir görünümünü sağlar.
Genellikle sınırlı günlük kaydı yeteneklerine sahip cihazları içeren Operasyonel Teknoloji (OT) ortamları için, günlük kaydını ek sensörler veya yöntemlerle desteklemek önemlidir. Kuruluşlar, kaydedilen verilerin hacmini OT cihazlarının performans kısıtlamalarıyla dengelemeli ve kritik olayların cihaz işlevselliğini olumsuz etkilemeden yakalanmasını sağlamalıdır.
Çeşitli sistemlerden gelen olay günlüklerini merkezileştirmek daha iyi analiz ve korelasyon sağlar. Yapılandırılmış günlük formatlarını kullanmak ve tutarlı zaman damgası tutmak günlük yönetimini kolaylaştırır, daha verimli veri analizine olanak tanır ve genel tehdit algılama ve yanıtını iyileştirir.
Olay günlüklerinin depolanması ve bütünlüğünün güvence altına alınması, yetkisiz erişimi ve kurcalamayı önlemek için kritik öneme sahiptir. Kuruluşlar, günlükleri hem aktarım hem de bekleme sırasında korumak için güvenli depolama çözümleri uygulamalı ve Taşıma Katmanı Güvenliği (TLS) 1.3 gibi sağlam taşıma mekanizmaları kullanmalıdır. Günlüklere erişim yalnızca yetkili personelle sınırlandırılmalı ve yetkisiz değişiklikleri veya silmeleri önlemek için önlemler alınmalıdır.
Olay günlüklerinin zamanında alınması, siber güvenlik olaylarının erken tespiti ve bunlara yanıt verilmesi için önemlidir. Günlük oluşturma, toplama veya alımındaki gecikmeler, güvenlik olaylarını derhal tespit etme ve ele alma yeteneğini engelleyebilir. Günlüklerin derhal alınmasını ve analiz edilmesini sağlamak, potansiyel tehditlerin tırmanmadan önce tespit edilmesine yardımcı olur.
Son olarak, kullanıcı ve varlık davranış analizlerini uygulayarak ilgili tehditler için bir tespit stratejisi geliştirmek tehdit tespitini iyileştirebilir. Olay günlüklerini normal davranışın bir temel çizgisiyle karşılaştırmak, kötü niyetli aktiviteyi gösterebilecek sapmaları belirlemeye yardımcı olur. Bu yaklaşım, genellikle geleneksel güvenlik önlemlerinden kaçınmak için karmaşık yöntemler içeren anormallikleri ve LOTL tekniklerini tespit etmek için özellikle yararlıdır.
Ek Kaynaklar ve Öneriler
Daha fazla rehberlik arayan kuruluşlar birkaç değerli kaynağa başvurabilir. Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) Information Security Manual (ISM), olay günlüğü kaydı hakkında ayrıntılı öneriler sunar. CISA’nın M-21-31’i Uygulama Kılavuzu, günlük toplamayı önceliklendirme konusunda içgörüler sunarken, NIST’in OT Güvenliği Kılavuzu, OT olay günlüğü kaydı için belirli hususları ana hatlarıyla belirtir.
Tespit stratejileri için MITRE ATT&CK çerçevesi yararlı kullanım örnekleri sunar. Devam eden siber güvenlik araştırmalarını desteklemek ve genel güvenlik duruşunu iyileştirmek için günlük depolama kapasitelerini ve saklama sürelerini düzenli olarak gözden geçirmek ve optimize etmek de önerilir.
“Olay Kaydı ve Tehdit Algılama İçin En İyi Uygulamalar” kılavuzu, kurumsal siber güvenliğin geliştirilmesine yönelik önemli bir adım teşkil ediyor. Önerilen uygulamaları izleyerek, kuruluşlar karmaşık LOTL teknikleri de dahil olmak üzere siber tehditleri algılama ve bunlara yanıt verme yeteneklerini geliştirebilirler. Bu uygulamaları uygulamak yalnızca mevcut tehditleri azaltmaya değil, aynı zamanda gelecek için daha dayanıklı bir siber güvenlik duruşu oluşturmaya da yardımcı olacaktır.