Birkaç yıl önce güvenlik ekibim, FEDRAMP uyumluluğu için yeşil alan ortamı oluşturmak ve sürdürmekle görevlendirildi. Radikal bir karar aldık ve Güvenlik Bilgi ve Olay Yönetimi (SIEM) sisteminden tamamen vazgeçmeyi tercih ettik. Bu karar öyle hafife alınmadı, ancak iki temel düşünceye dayanıyordu. Birincisi, yama gerektiren her türlü örneği ortadan kaldırmak istedik ve ikincisi, FEDRAMP uyumlu, kullanıma hazır bir SIEM çözümü yoktu.
SIEM’siz Güvenlik ve Uyumlulukta Gezinme
SIEM’in yokluğunda, tipik bir SIEM’in kapsayacağı sayısız kontrol arasında gezinmek zorunda kaldık. Bu şunları içeriyordu:
- Günlük Denetimleri: Her kontrol kapsamlı günlük kaydını zorunlu kılar.
- Uyarı Kontrolleri: Özellikle Denetim (AU) ve Sistem Bütünlüğü (SI) aileleri altında.
- Korelasyon Kontrolleri: Birçok kontrol ailesinin karşılaştığı kalıpları ve anormallikleri tespit etmek için gereklidir
- Tehdit İstihbaratı / Kötü Amaçlı Yazılım kontrolleri: Özellikle kötü amaçlı yazılımlarla ilgili SC ile ilgili kontroller.
SIEM’in geleneksel olarak sağladığı işlevleri alt bölümlere ayıran ve bu işlevleri çeşitli bileşenlere dağıtan mimariyi tasarladık. Öncelikle –
- Depolama için AWS S3’ten (Amazon Simple Storage Service) yararlandık ve
- AWS’de yerel olmayan çeşitli uygulamalardaki günlükleri AWS S3’e aktarmak için çok sayıda Lambda işlevini devreye aldık.
- Birden çok kaynaktan gelen günlükleri ilişkilendirmek için çeşitli bilgi işlem işleri
Çaba son derece başarılı. Çevreyi neredeyse bir tam zamanlı kişiyle yönettik, yıllık denetimlerden, birçok yıl süren denetimlerden tam renkli çıktık. Başarımız büyük ölçüde güvenliğin tüm organizasyonun uygulamalarını şekillendirmede oynadığı rolden kaynaklanıyordu.
Aşağıdakileri sağlamak için tüm departmanlarla işbirliği yaptık:
- Tüm uygulama ekipleriyle işbirliği yaparak tüm günlükleri ihtiyaç duyduğumuz belirli standart formatlarda elde edebildik.
- DevOps ekibi, devops ekipleriyle birlikte çalışacak ve ortamın yalnızca CI/CD hatları aracılığıyla yönetilmesini ve işletilmesini sağlayacaktık. Bu kusursuz entegrasyon, üretim uyarılarının onaylı değişiklik bildirimleriyle ilişkilendirilmesini zahmetsiz hale getirdi.
FEDRAMP Ortamları Dışındaki Zorluklar
Ancak bu mimariyi FEDRAMP ortamlarının dışına kopyalamanın zor olduğu ortaya çıktı. Engellerle karşılaştığımızda aylarca bunun nedenleri üzerinde düşündüm. Zorlukların nedenleri, ana akım güvenlik mühendisliğinde SIEM ve SOAR teknolojilerinin yükselişine yol açan zorluklarla aynı.
- Günlük Formatı Kontrolü: Farklı kaynaklar arasında tek tip bir günlük formatı uygulamak pratik değildir ve bu nedenle SIEM, tüm günlüklerin bir dökümü ve tüm günlüklere tekdüzelik getiren bir yer haline geldi
- Kural Geliştirme: Tedarikçiye özgü çeşitli günlük formatlarına karşı kaynakta kural yazmak zahmetli olduğundan tek bir SIEM DSL’in öğrenilmesi tercih edilir hale geldi.
- Merkezi İstihbarat: Günlükler merkezi bir yerde olduğundan, SIEM sistemleri akıllı günlük dökümleri sağlayacak, kural geliştirmeyi soyutlayacak ve kapsamlı kontrol paneli yetenekleri sunacak şekilde gelişti.
- API ile kaynaklara ulaşın ve aksiyon alın (SOAR): SIEM yönetiminin karmaşıklığı arttıkça, müdahale eylemlerini otomatikleştirmek, kaynakları kontrol etmek ve müdahaleleri gerçekleştirmek için SOAR sistemleri ortaya çıktı.
GenAI ile Tespiti Yeniden Düşünmek
Senaryoyu tersine çevirelim. Dahili ve harici kaynaklardan gelen tüm olay ve durum verilerinin iyi yapılandırılmış JSON deposunda düzgün bir şekilde organize edildiği bir dünya hayal edin. Bu JSON’ları tarih ve hizmet gibi çeşitli özelliklere göre düzenleyebilecek sınırsız, uygun maliyetli bir günlük deposuna erişiminiz vardır. Bunları ilişkilendirmek yönetilebilir bir sorun haline gelir.
Hayallere engel teşkil eden üç önemli teknik soruna bakalım
- Olayların Normalleştirilmesi: Kaynakların her birindeki yapılandırılmamış günlük verilerinin önceden tanımlanmış, iyi yapılandırılmış şemalardan oluşan JSONS’ye dönüştürülmesi.
- Olayların Soyutlanması: Algılama kapsamını anlamak için MITRE TTP dilindeki bir prosedüre dayalı olarak sorgulanacak ilgili günlüklerin seçilmesi
- Yeni saldırı modelleri için kurallar yazma: Yeni tehditler ortaya çıktıkça kurallar yazmak, doğru prosedür dizisini ve ilgili günlükleri akıllıca seçmek
GenAI yukarıdaki temel sorunlara sağlam çözümler sunuyor.
Normalleştirmeyi yapılandırılmış şemalara kaydedin.
LLM’ler bazı yapılandırılmamış günlük içeriklerini sonlandırıyor ve yapılandırılmış JSON’u bir JSON deposunda depolanacak hale getiriyor
Günlükleri ilişkilendirme ve kalıpları tanımlama.
Mikro yapılı günlüklerin her birinin şemasını temel alan çağrılabilir işlevler ve yetenekleri açıklayan açıklamalara sahiptir (esasen her işlev, Mitre saldırısı TTP dilinde bir prosedür bulucu olarak düşünülebilir)
Tehditleri anlamak ve ortaya çıkan tehditleri tespit etmek için hassas sorgular yürütmek
Tanımlanan bir tehdidi kavrayan, çeşitli mağazaları belirli şemalarla sorgulayan ve ortaya çıkan tehditleri tanımlayan bir LLM aracısı.
29
Yukarıdaki yaklaşım, yalnızca SIEM ve SOAR olmadan tespit mühendisliğini mümkün kılmakla kalmayacak, aynı zamanda güvenlik mühendislerinin, SIEM ile nasıl çalışılacağını ve SOAR taktik kitaplarını yazacağını öğrenmek yerine, yeni ve ortaya çıkan prosedürleri tespit etmek için gerçek kod geliştirmeye odaklanmasını sağlayacaktır.
Yazar Hakkında
Venkat Pothamsetty, Ağ İstihbaratının CTO’sudur. Venkat, ürün ve güvenlik lideri olarak şirketleri ilk 100K, ilk 1M, ilk 10M ve 100M yıllarında başarılı çıkışlara taşıdı. Hem Fortune 100 şirketlerinde hem de yeni kurulan şirketlerde ürün, mühendislik, satış öncesi ve hizmet ekiplerindeki kapsamlı liderlik deneyimiyle Venkat, hem SaaS hem de şirket içi dünyalarda başarılı ürünler sunmak için sürekli olarak yüksek enerjili ekipleri işe alır ve onlara liderlik eder. Özellikle Venkat’ın birlikte çalıştığı tüm startup’lar, kendisinin ürün sorumlusu olarak görev yaptığı süre boyunca başarılı likidite etkinlikleri gerçekleştirdi.