Olay Kavramı
Bilgi güvenliği olay müdahalesi genellikle (veya görünürde) IPS cihazlarının ürettiği alarmlar ve
belirgin güvenlik ihlal logları üzerine işletilecektir. Ancak tabi ki bundan çok daha fazlası var.
Bilgi güvenliği olay müdahalesi kapsamındaki olaylar beklenen ve beklenmeyen, ya da sıradan ve sıra dışı güvenlik olaylarıdır. Belli olaylar her zaman sıra dışı veya beklenmeyen olarak kabul edilebilir, ancak bazı olayların sıradan veya sıra dışı olması, ilgili organizasyonun koşullarına ve olayın gerçekleştiği şartlara bağlıdır. Örneğin mesai saatleri dışında geçerli erişim bilgileri ile uzaktan erişim sıradan bir olayken, mesai saatleri içinde uzaktan erişim beklenmedik bir olay olarak değerlendirilebilir.
Sıra dışı olaylar olay müdahale ekibinin operasyonel kaynaklarını yoğunlaştırdığı ve gerçek zamanlı olarak izlemesi gerekli olaylardır. Sıradan güvenlik olayları suistimal inceleme veya ilerlemiş saldırı aşamalarında tespit edilmiş olaylarla ilgili olarak olayın gelişimini ve etki kapsamını belirleme amacı ile kaydedilir ve gerektiğinde incelenir. Sıradan olaylar üzerinde yapılabilecek rutin ancak gerçek zamanlı olmayan analitik (yani istatistiksel) incelemeler de belirgin olmayan sıra dışı durumların bir kısmının tespitine imkan tanıyabilir. Örneğin yetkili erişim olsa bile erişim sayısında veya iletilen veri miktarındaki artışlar şüphe doğurabilir. Yine kapasite verileri henüz belirlenmiş eşik değerlerini aşmasa bile artış hızının yüksekliğinin farkına varılması önleyici kontrol uygulama imkanı sağlayabilir.
Operasyonel kaynakların yoğunlaştırılacağı alanların netleştirilebilmesi, gerekli kaynak ve yetkinliklerin belirlenebilmesi, olay tespit ve müdahale süreçlerin oluşturulabilmesi için kurum açısından önemli olay türleri belirlenmelidir.
Olay Türleri
Olay türleri her kurum için kendi ihtiyaçlarına bağlı olarak belirlenmelidir.
Olay türlerini güvenlik hedefleri altında gruplamak iş ihtiyaçları ile teknik operasyon arasındaki köprüyü kurmaya yardımcı olacaktır. Bu nedenle ana kategoriler hedefler doğrultusunda belirlenerek operasyon kaynaklarının anlamlı alanlara aktarılması sağlanabilir.
İzlenecek ve yönetilecek olay türlerinin belirlenmesinden önce kurumun güvenlik hedeflerini belirlemesi ve bu hedeflere ilişkin politikalarını belirlemesi gerekmektedir. Zira sıra dışı olaylar ancak politikalarla belirlenen beklenen olayların dışında kalan olaylar olacaktır. Elbette bazı güvenlik ihtiyaçları (ör: zararlı yazılımlardan korunma) çok genel olacak ve etkisi tüm organizasyonu kapsayacaktır. Ancak yine de bu gibi olayları genel başlığı altında toplayıp, iş hedefleri ile doğrudan ilişkili güvenlik ihtiyaçlarını net bir şekilde belirlemek olay yönetimi ile iş ihtiyaçlarının bağlantısını güçlendirecektir. Bu bağlantının güçlendirilmesi iş birimlerinin güvenlik olayları algısını ve olay müdahalesine olan desteğini de yükseltecektir.
Temel olay türleri aşağıdaki gibi olabilir:
Erişim kontrol olayları
- Fiziksel erişim olayları
- Ağ erişim olayları (iç ağ bölümlerindeki erişimler, internete doğru erişimler, internetten kurum sunucularına doğru erişimler, uzaktan erişimler, v.d.)
- İşletim sistemi erişimleri (aktif dizin, Unix / Linux, Mainframe, v.d.)
- Uygulama erişimleri
- Veritabanı erişimleri
- Uygulama katmanında izlenebilen kritik ağ servislerine erişimler (ör: web servisi erişimleri, sftp servisi erişimleri, v.b.)
- Veri veya donanımların çalınması veya kaybı
- Sistem ve uygulama kullanıcı yönetim olayları
- Toplu işlerin veri bütünlüğü bozulması nedeniyle kesintiye uğraması
- Değişiklik hatası sonucu veri bütünlüğü kayıpları
- Veri bütünlük kontrolleri sırasında tespit edilen bozulmalar
- Sebebi bilinmeyen ve bildirilen veri bütünlüğü kayıpları
- Veri saklama alanı kullanım istatistikleri
- Ağ erişim hızı ve bant genişliği kullanım istatistikleri
- İşlemci ve hafıza kullanım istatistikleri
- Uygulama yük ve erişim hızı istatistikleri
- Veri merkezleri ısı değer istatistikleri
- Enerji kullanım istatistikleri
- Sistem kesinti ve yedek sistem devreye alma istatistikleri
- Güç kesinti ve yedek güç kaynağı devreye alma istatistikleri
- Sistem ve uygulama değişiklik hatası sonucu kesintiler
- Veri kayıpları
- Sosyal mühendislik saldırıları (ör: e-posta ile zararlı yazılım indirtme, e-posta veya telefon ile bilgi sızdırma gibi)
- Uç noktalarda yaşanan zararlı yazılım olayları
- İnternet trafiğinde gözlenen zararlı yazılımlar
- Ağ servis taramaları
- Kaba kuvvet parola saldırıları
- İstismar içeriği (exploit payload) barındıran ağ trafiği
- Güvenlik politikalarının zayıflatılması olayları (ör: antivirüs’ün durdurulması)
- Ürün ve hizmet kullanım olayları (ör: para çekme, telefon görüşmesi, elektronik ticaret, hesap görüntüleme, v.d.)
Başarısız denemeler, hizmet kesintileri elbette sıra dışı olaylar olup olay müdahale ekibinin öncelikli olarak izlediği olaylar olacaktır. Ancak bu şekilde sonuçlanmamış olsa bile diğer olayları da sıra dışı hale getirebilecek durumlar iş ihtiyacı ve olay türü bazında değerlendirilmelidir. Özellikle anormal sıklıkta, saatlerde, tutar veya miktarda, yerlerde oluşan olaylar olası suistimal veya saldırıların işareti olabilir. Bu gibi değerlendirmeler elbette otomasyon sistemlerine (ör: korelasyon araçlarına) ihtiyaç duyurmaktadır.
Olay Yönetim Yetkinliği
İhtiyaç duyulan olay yönetim yetkinlikleri ve altyapısı yönetilmek istenen olay türleri için aşağıdaki soruların cevaplanması ile bulunabilir:
- Bu olaydan nasıl haberdar olabilirim?
- Bu olaya ilişkin toplanacak teknik verileri anlamlandırmak için hangi bilgilere ve yetkinliklere sahip olmalıyım?
- Bu olay hangi şartlarda beklenen bir olaydır, hangi şartlarda sıra dışı bir olay olarak değerlendirilebilir?
- Bu olayı hangi hızda değerlendirmeli ve tepki üretmeliyim?
- İnsan kaynağı sayı ve niteliği
- Eğitim ihtiyacı
- İzlenebilir bir altyapı oluşturmak için yapılması gereken düzenlemeler ve yatırımlar
- Olay verisi üretme araçları
- Olay verisi toplama ve yorumlama araçları
- Olay yönetim süreç tanımları
Olay istatistikleri, risk analizi ve güvenlik planlarının oluşturulmasına ciddi katkı sağlayacaktır. Zira bu bilgiler güvenlik ihtiyaçlarının tür ve miktarlarını daha da netleştirecektir.
Olay istatistikleri ve daha etkili bir güvenlik planlaması, kabul edilen ancak yakın takip edilerek etkisi sınırlanmak istenen risklerin de daha net biçimde görülebilmesini sağlayacaktır. Bu durum sadece güvenlik olaylarının oluşmasını önlemeye odaklanmak yerine iş hayatının gereklerine daha uygun bir güvenlik nosyonuna geçişe de imkan sağlayacaktır.
Diğer taraftan değişen iş hedefleri ve konjonktürel gelişmeler takip edilmesi gereken olay türlerinde değişiklik ihtiyacı doğurabilir. Buna göre olay yönetim planlaması periyodik olarak yapılmalı, olay yönetim yetkinliği için gerekli yatırım ve hazırlıklar yapılmalıdır.
Olay müdahale ekibinin belirgin saldırı olayları ile ilgili değerlendirmeleri sırasında hedeflenen sistemlerin güncelleme bilgileri, zaafiyet tarama sonuçları ve sızma testi sonuçlarına erişim imkanının bulunması saldırının etkisi ve sonuçları ile ilgili daha net değerlendirme yapabilmelerine imkan verecektir. Bu nedenle denetim sonuçlarına erişimleri bulunmasında fayda vardır.
Mevcut altyapının yeterince izlenebilir hale getirilmesini takiben, yeni teknoloji projeleri için olay yönetim ekibinin görüşünün alınması doğacak yeni risklerin tespit edilebilmesi açısından önemlidir. Bu nedenle olay yönetim organizasyonunun proje yönetim sürecine gerekli noktalarda dahil edilmesi gerekecektir.
Ağ ve sistem yönetim ekipleri ile uygulama geliştirme ekiplerinin olay müdahale ekiplerinden öğreneceği çok şey vardır. Bu ihtiyaç gerçek zamanlı olarak hedef alınan sistemlerin ve uygulamaların sahiplerini bilgilendirmeyi kapsadığı gibi periyodik bilgi aktarımları ile sistem ve uygulama geliştiren personelin saldırı yöntemlerine hakim olmasını da kapsar. Böylece sistem ve uygulama geliştiriciler aynı hataları tekrar etmez ve yeni yöntemler hakkında bilgi sahibi olur. Bu nedenle BT organizasyonu içinde belli dönemlerde olay müdahale ekibinin bilgi aktaracağı konsultasyon uygulamaları yapılmalıdır. Bu uygulamalar sayesinde olay müdahale ekibi de sistem ve uygulama geliştirme ekiplerinden önemli altyapı bilgileri edinecek, korumaya çalıştığı alana daha hakim olabilecektir.
Olay Yönetim Organizasyonu Yapısı
Kurumlar izlemeleri gereken olay türlerini ve müdahale ihtiyaçlarını değerlendirdiklerinde hemen farkedeceklerdir ki, siber olaylarla ilgili teknik bilgi ihtiyacı üst düzeydedir. Bir diğer tespit de üst düzey bilgiye sürekli ihtiyaç olmayacağıdır. Yani her olay yüksek düzeyde ağ, sistem, dosya sistemi, uygulama, saldırı teknikleri bilgisi gerektirmeyecektir. Bu iki nedenden dolayı olay yönetim organizasyonlarının teknik bilgi seviyesine göre en az iki seviyeli oluşturulması ihtiyacı vardır. Olayların önemli kısmı rutin ve bu nedenle zaman içinde öğrenilebilecek teknik bilgi ile yorumlanabilecek nitelikte olacağından “analist” denebilecek uzmanlar tarafından ele alınabilir. Ancak karmaşık veya değerlendirilmesi yüksek düzeyde bilgi gerektiren olay verileri ile karşılaşıldığında “kıdemli analist” olarak adlandırılabilecek ve daha az sayıdaki uzman devreye sokulabilir. Kıdemli analistler aynı zamanda bilgi güvenliği yönetimi ile iş ihtiyaçları hakkında bilgi alış verişinde bulunarak olay bilgilerinin toplanmasına ilişkin altyapının kurulmasında ve kurgulanmasında da görev alabilirler. Ayrıca analist uzmanlara teknik anlamda liderlik ederek onların gelişimini destekleyebilirler.
Olay Yönetim Organizasyonu Teknik Yetkinlikleri
Olay yönetim organizasyonu pek çok teknik personelin karşılaştığı teknolojilerden çok daha fazla teknoloji ile ilgili değerlendirme ve inceleme yapma durumunda olacaktır. Bu kadar geniş kapsamlı bir yetkinlik havuzuna tek bir personelin sahip olması çok olası değildir. Böyle bir personel bulunsa bile bu personel muhtemelen kıdemli olacak, dolayısı ile hem maliyeti yüksek hem de insan kaynağının ölçeklenme sıkıntısı nedeniyle sınırlı kapasiteye sahip bir kaynak olacaktır.
Bu nedenle farklı teknik yetkinliklere sahip uzmanlardan bir ekip oluşturmak en olası yöntem olarak görünmektedir. Ekibin sahip olması gereken teknik yetkinlik havuzu şu başlıklardan oluşabilir:
- Temel ağ protokolleri ve çok kullanılan protokol bilgileri
- Çok kullanılan işletim sistemleri güvenlik konfigürasyonları, kullanıcı yönetimi ve bu sistemlerin ürettiği log türleri
- Temel disk mimarisi, partition yapıları, temel dosya sistem yapıları
- Çok kullanılan veritabanları güvenlik konfigürasyonları, veritabanı sorgulama araç ve dilleri ve bu sistemlerin ürettiği log türleri
- Belirgin güvenlik olaylarını tespit etmek için kullanıldıklarından dolayı güvenlik sistemleri türleri, fonksiyonaliteleri ve olay tespit imkanları
- Web ve mobil uygulama mimarileri, HTTP protokolü, HTML ve diğer istemci tarafı teknolojileri
- Ağ, sistem ve uygulama güvenliğine karşı sıklıkla kullanılan hacker saldırı yöntemleri
- Sosyal mühendislik saldırı türleri
- Ürün güvenliği ile ilgili özel teknik bilgiler (ör: kredi kartları altyapısı, internet şubesi mimarisi, v.b.)
Olay Yönetiminde Diğer Mesleklerden ve Yönetim Sistemlerinden Alınacak Dersler
Siber olay yönetimi yeni bir kavram olsa da olay yönetimi kesinlikle yeni bir kavram değil. Polis teşkilatı, itfaiye teşkilatı, acil servis doktorları benzer süreçleri yüz yılı aşkın süredir uyguluyorlar. Dolayısıyla bu organizasyonların deneyimlerinden alınacak dersler var.
Tüm olay yönetim süreçlerinde olayın sınıflandırılma ihtiyacı var. Defalarca bu olay türleri ile ilgili hazırlık yapılıyor, eğitim alınıyor. Olaylara müdahalelerle ilgili süreçler tanımlı ve genel kurallar var. Bazı mesleklerde olay müdahalesi sonrası cezalandırma veya kontrol amaçlı devam eden süreçlere girdi sağlamak için rapor tutuluyor. Tüm bu örnekler siber olay müdahale sürecinin oluşturulmasına da ışık tutabilir.
Siber olay yönetimine ilham verebilecek bir başka alan da iş sürekliliği yönetim alanı. İş sürekliliği yönetiminde bazı felaket senaryolarının öngörülebileceği, ancak her zaman her durumu öngörmenin mümkün olmadığı net bir biçimde anlaşılmış ve içselleştirilmiş durumda. Bu nedenle süreklilik planlarının (yani öngörülen durumlar için önceden hazırlanmış, test edilmiş süreçlerin) yanı sıra kriz yönetimi (iş sürekliliği literatüründe olay yönetimi diye geçer) ile ilgili hazırlıklar da yapılır. Kriz yönetimi belirsiz bir sürecin gerekli karar verme ve kaynak güçleri ile desteklenmesine odaklıdır. Yani yetkili kişilerin ne zaman ve nasıl bilgilendirileceği, bu kişilerin nasıl karar alacağı gibi konular kriz yönetiminin içeriğini oluşturmaktadır. Buradan yola çıkarak siber olaylarla ilgili beklenmeyen olaylar için de bir kriz yönetim hazırlığı yapılması ihtiyacı olduğunu söyleyebiliriz.
Bilgi güvenliği olay müdahalesi bizim için yeni bir kavram olsa da bizden çok daha önce bu süreci uygulamaya başlamış ülkeler var. Her güvenlik alanında olduğu gibi bilgi güvenliğinde de bu konuda ilk yatırımları yapanlar askeri kuvvetler. Bu alanda çalışmış kişilerden birisinin yazdığı bir kitabı konuyla ilgilenen herkese tavsiye ederim “The Tao of Network Security Monitoring”. Kitap teknik ağırlıklı bir kitap olsa da organizasyon yapıları ve süreçler hakkında da deneyimler içermektedir. Kitap yeni değil ve herkese hitap etmesi için açık kaynak kodlu güvenlik araçlarına işaret ediyor, ama temel bilgiler açısından halen güncel diyebiliriz.
Deneyim ve Öğrenme
Olay müdahale süreçleri, altyapı gereksinimleri, eğitim gereksinimleri periyodik olarak gözden geçirilmeli ve iyileştirilmelidir. Operasyonel mükemmellik ancak operasyon deneyimi ve bu deneyimin yine operasyonel yöntem ve araçlara aktarımı ile mümkündür. Hiçbir eğitim yaşanan olaylar kadar kalıcı ve etkili olamaz.
Olay yönetim kabiliyeti ile ilgili olarak kurumların yaşayacağı en büyük zorluk personel gelişimini ve kurumda kalıcılığını sağlamak olacaktır. Elbette altyapı yatırım ihtiyaçları kurumları zorlayabilir, ancak altyapı yatırımlarının gerçekleştirilmesi insan kaynağı yatırımı kadar uzun süreli ve belirsiz olmayacaktır. İnsan kaynağının geliştirilmesi söz konusu insanın çıraklık yapabileceği bir ortamın bulunması ve ustaların kalitesine bağlıdır. Bu nedenle olay yönetim sürecinin en başında yer alacak personel en çok zorlanacak personel olacak ve kırılgan olacaktır. Bu durum iki gerçeğe işaret etmektedir; birincisi ilk ekibin deneyimli ekip üyelerinden oluşturulma zorunluluğudur, ikincisi ise olay yönetim ekibinden olan beklentilerin başlangıçta daha toleranslı olması ihtiyacıdır. Olay müdahale ekibi bir futbol takımının kalecisi gibidir. Gün gelir kahraman olur, gün gelir yetersiz. Bu yük olay yönetim ekibinin üzerinde her zaman olacaktır. Ancak ekip kırılgan iken bu yükü yüksek tutarsanız insan kaynağı yatırımlarınız boşa gidebilir.
Son Söz
Her yeni konu gibi siber olaylara müdahale hizmeti de sanat ağırlıklı olarak başlayacaktır. Ancak bu sanatı bilime dönüştüremeyenler sonuçları belirsiz ve maliyeti yüksek bir çaba içinde olacaktır. Çünkü sanatın karakteri böyledir. Elbette sanatçılar belli zamanlarda hayranlık uyandırıcı sonuçlar alabilirler. Ayrıca olay müdahale sürecinde insan faktörü en önemli faktör olmaya hep devam edecektir. Ancak bu olay yönetiminin bir bilim haline getirilemeyeceği anlamına gelmez.