TÜRKİYE’DE YAPILAN SIEM PROJELERİNDE MEMNUNİYET
VE FAYDA ÇELİŞKİSİ
ertugrul.akbas@anetyazilim.com.tr
SIEM ürünleri ne kadar
faydalı?. Yapılan bir ankette [1] insanların %78 i SIEM ürününden memnun
Bununla birlikte aynı
anket çalışmasında ihtiyaçları karşılama konusunda üretilen alarmlar ve default
kurallar yeterli gelmekte ancak tam anlamı ile ihtiyaçları karşılayamamaktadır[1] da denmekte.
Buradan
da görüleceği üzere memnuniyet ve fayda arasında bir ters ilişki var.
Peki nedir bu fayda? Siber saldırıları zamanında tespit etmek ve önlem almak.
Herhangi
bir teknolojiyi kötülemeden önce ben onu olması gerektiği gibi kullanıyor muyum
diye bakmak lazım. SIEM çözümlerinden kurumlar neden tam verim alamıyor
olabilir? İnsanların memnunum ama fayda sağlamıyorum
demesinin nedenleri ne olabilir?
Memnunum ama tam fayda
sağlayamıyorum cevabını görünce aklıma önce Ford'un sonrasında
ise Chrysler 'in efsanevi yöneticisi Lee Iacocca [2] ve uyguladığı bir
satış taktiği geldi. Iacocca bir araba satınca 6 ay içerisinde arabayı sattığı
kişinin tanıdığı ne kadar insan varsa arar ve şu kişiye şu arabayı sattım çok
memnun deyip araba sattığı kişiyi referans gösterirmiş. Arabayı satın alan adam
memnun olmasa bile ilk 6 ay içinde ben kötü bir karar verdim diyemezmiş ve
referans olurmuş. Bu taktikle çok başarılı bir satış grafiği yakalamış [3]. Satış benim uzmanlık alanım olmadığı için
bunun değerlendirmesini satış konusunda uzmanlara bırakıyorum.
Fayda elde edememe etkenlerini incelersek
1.
Ürün
yetersizliği: Bal bal demekle ağız tatlanmaz. Size ne
kadar SIEM, SIEM dense de ürün SIEM yeteneklerine sahip değilse faydası olmaz
2. Demo/PoC süreçlerinde
son
kullanıcının farkındalığının azlığı: Eğer SIEM iniz ile hala kural yazmadıysanız SIEM ı
alıp asfalt silindiri ile ütü yapıyorsunuz demektir. SIEM çözümünün
verimliliğini kontrol etmek için periyodik olarak kontrollü bir şekilde aktif
networkde (production network) saldırı simülasyonu yapılmalı ve aktif savunma
sistemleri ve SIEM in bu saldırıları tespit edip/edemediği kontrol edilmeli.
Ayrıca çoğunluk olayı korelasyon=alarm=event şeklinde düşünüyor. Suç müşteride
değil, firmalarda maalesef.
3.
Proje
süreçlerindeki eksiklikler: Ürün
bilmekle güvenlik bilmek aynı şey değil.
Şeklinde sıralayabiliriz.
Ürün Yetersizliği
Ürünün SIEM özellikleri
sınırlı olduğu için faydası az olabiliyor. SIEM
Log Yönetimi demek değildir. Dolayısı ile log toplama ve raporlama ürünleri ile
SIEM yapamazsınız.
Ayrıca Alarm ile
korelasyon aynı şey demek değildir. Örnek vermek gerekirse
ALARM: Aynı kullanıcı 15 dakika içerisinde 3 kere başarısız
oturum açarsa uyar,
KORELASYON: Bir prosess çalıştırıldıktan sonra 5 dakika içeresinde
aynı makinada erişilen aynı dosyalar 20 dakika içerisinde 1 den fazla makinada
aynı process ve aynı dosya şeklinde ve aynı zaman dilimlerinde (process sonra 5
dakika içinde dosya gibi) gözleniyorsa uyar. Daha detaylı korelasyon örnekleri
için bu çalışmanın sonundaki SENARYOLAR
kısmına bakınız.
Burada
ürünün yeteneklerinin ne seviye olduğunu anlamak ne yazık ki son kullanıcıya
kalıyor. Ürün:
·
Log Yönetimi
·
Log Yönetimi ve Alarm
·
Log Yönetimi, Alarm ve Korelasyon
Kategorilerden birine
giriyordur.
Ünün Alarm mı korelasyon
mu olduğunu anlamak için çalışmanın sondaki SENARYOLAR kısmındaki senaryolar ve benzerlerini geliştirmek mümkün
mü diye bakmak lazım.
Korelasyon
yapabilen ürünleri de kendi aralarında korelasyon kabiliyetlerine göre kıyaslamak
mümkün. Örnek olarak
· Birden
fazla Kural arasında ilişki kurmak isterseniz sadece source, destination,
source port, destination port üzerinden yapabileceğiniz şekilde kısıtları olan
ürünler.
· Kullanıcı
adı, MAC Adresi, ülke kodu vb.. başka parametrelerde ise hiçbir korelasyon
şansınızın olmadığı ürünler,
·
Alarm
oluşması için herhangi bir sihirbaz kullanmadan bir text alanına sorgu yazmanızı
bekleyen ürünler,
· Birden
fazla değişik olayın belirli süre zarfında sıralı olarak bir kısmının
gerçekleşmesi, diğerlerinin gerçekleşmemesi ( X ' not Y) tarzı kurallar
yazılamayan ürünler
· Cross-Correlation sadece IPS ve Vulnerability Scanner logları arasında yapıldığı gibi sadece IP
adresi üzerinde birleştirme yapılabilen ürünler.
·
Kurallara
periyod veya zaman kısıtı uygulayamayan ürünler
·
Senaryolar
arasında zaman bağlantısı kuramayan ürünler. Örnek X olayından sonra 15 ile 30
dakika arasında Y olayı olursa gibi
·
Pattern
tespiti yapamayan ürünler
Bununla
birlikte UEBA gibi ek modüllerin de ne kadar işe yaradığını test etmek lazım. UEBA
SIEM in tamamlayıcısı olarak çok popüler bir konu ama market lideri ürünlerde
bile başarısız olup kapatılan UEBA modülleri olduğunu görünce test etmeden
varmış dememek lazım
Proje Süreçlerindeki Eksiklikler
Verizon firmasının
raporuna göre günümüz siber tehditleri karşısında SIEM çözümlerinin yapılandırılmasında
yapılan çeşitli hatalar veya yapılması gereken adımların uygulanmaması nedeniyle
saldırıyı tespit etme ihtimali %1’dir. SIEM gerçekten bütün bu işleri yapıyor yani
siz yaptırabilirseniz yapıyor demek daha doğru [5]. Proje süreçleri ile ilgili aşağıdaki tespitlere
dikkat edilmeli:
· SIEM bir ürün değil proje. Başarısı uygulamasına
bağlı.
·
Türkiye’deki SIEM projelerinin %80 i korelasyon a geçemeden
kalıyor. Bunlardan bir kısmı Alarm seviyesinde kalırken çoğu log arama motoru
seviyesinde kalmakta.
Dolayısı ile savunma geliştirilemediği için SIEM faydaları sonuna kadar kullanılamıyor.
· SIEM bir ürün değil çözüm. Çözümü uygulayan ekibin tecrübe
ve bilgi birikimi çok önemli. Konunun popülerliği doğrultusunda pazar
çeşitleniyor. Global literatürü takip etmek ve SIEM uygulayacak ekibin
copy&paste ötesine geçip geçemediğine bakmak önemli
· Eğer log kaynağı çeşitliliği yok ise çok kapsamlı
kurallar yazamazsınız. Bunun için de proje aşamasında log kaynaklarının mümkün
olduğunca çeşitlendirilmesi lazım.
Sıradan
bir SIEM projesinde eğer son kullanıcı süreci yönetmez ve SIEM çözüm ortağına
bırakırsa %85 log toplama ve raporlama safhasında proje bitiyor. Çok az proje
Alarm kısmına geçiyor ve çok çok az firma korelasyon adımını devreye alıyor.
Çoğu zaman çalıştığınız
iş ortağının SIEM ve yazılım geliştirme konularındaki bilgi ve deneyimi ürünün
markasından çok daha önemlidir.
Son Kullanıcının Farkındalığının Azlığı
Araştırmalar
gösteriyor ki global ve çeşitli listelerde lider olarak gösterilen ürünlerde
bile hazır gelen kuralların olduğu gibi kullanılması oranı sadece %3. Dolayısı
ile son kullanıcıların elinde senaryolar kısmında verdiğimize benzer
olabildiğince çok sayıda senaryo olmalı ve bunları canlı olarak demoda test
etmeli. SIEM çözümlerinden tam verim
almada iş biraz da son kullanıcıya düşüyor. Doğru soruları sorabilmesi lazım.
Bunun için de literatürü taraması gerekiyor. SIEM, SOC, SOME konularında
literatür çok geniş. Buna vakit ayırmak lazım. Bir word programı kullanmıyorsunuz,
dolayısı ile kur ve unut u unutun. Ülkemizde kritik siber güvenlik ürünleri
uygulamalarında itibar edilen yöntemlerden biri olan şu listede var mı, şurada
çok satmış mı yöntemi sonunda o listelerde olan veya çok satanlar listesinde
olan çözümlere milyonlarca (belki on milyonlarca) para harcamış ve
onlarca/yüzlerce IT ekibi olan banka/holding vb.. de bile fayda üretemiyor.
Önemli olan uygulamanın getireceği fayda. O da hem uygulayan hem de yöneten
ekibe(Son kullanıcı) bağlı. Bazı SIEM ürünleri Türkiye'de
bayileri adına OEM lisanslar ile müşterilere teklif ediliyor; bu durumda ürün
size değil bayiye lisanslanmış oluyor. Yıllar boyunca ürün desteğini ve
yenilemesini sadece ilk alımı yaptığınız bu bayiden satın alabiliyorsunuz,
üreticiye çağrı açmaya kalksanız üretici sizi tanımıyor (OEM lisans verdiği
bayiyi biliyor sadece). Alırken mutlaka lisansın kalıcı (perpetual) lisans
olduğundan ve firmanız/kuruluşunuz adına olduğundan emin olmalısınız.[6]. SIEM projelerinin
büyük çoğunluğu neden fail ediyor? Cevap basit: Kimse ne yaptığını aslında
bilmiyor... Herkes 'diğerleri' alıyor diye SIEM alıyor. [7]
Demo/PoC süreçleri
Maalesef
son kullanıcının çok fazla vakti olmuyor dolayısı ile bazen 2-3
ay süren bir PoC/Demo sürecinde toplasan 1 hafta bile ürüne tam konsantre
olamıyor. Genelde ben şunları istiyorum
demek yerine bana ne anlatıyorsun bir dinleyeyim şeklinde demo şekilleniyor.
Böylece de herkes bir şeyler anlatıyor ve kafa karışıyor.
Hızlıca ürünün yeteneklerini
anlaması için kestirme yöntemler geliştirmesi lazım. Bunun için önerilecek
adımlar.
· Ürün dokümanları
· Global teknolojilerle paralellik
· Demoda canlı alarm/korelasyon denemeleri
Ürün dokümanları
Ürünün alarm ve/veya
korelasyon özelliklerini anlamak için ilk bakılacak yer ürün dokümanlarıdır. Dokümanlarında Alarm ve/veya korelasyonla
ilgili vurgu ne seviyede bakılması lazım.
Öyle
ürünler var ki Web sayfasındaki ürün dokümanında raporlama, log arama motoru
kısımları devamlı güncellenirken alarm modülü kısmı güncellenmiyor ve ürünün
aktif ara yüzleri ile dokümandaki ara yüzler arasında sürüm farkı var. Ara
yüzler bile farklı (Demek ki aktif kullanıcılarının Alarm talebi olmuyor).
Global teknolojilerle paralellik
Ürünün global
standart/yöntem ve buluşlarla ne kadar uyumlu (Buna yoğurt yiyiş demek lazım)
olduğunu tespit etmek lazım. Aslında sadece log arama motoru olup SIEM
yeteneklerine sahibim diyen çok çeşitli ürünler var.
Global trendler dışında
fayda ve avantajlarını ispat etmeden hatta açıklama bile gereği duymadan sadece
kendi kullandığı operatörleri siber güvenlikle ilgili popüler kelimelerden
seçerek kullanan ve bunu yaparken daha ziyade pazarlama motivasyonu ön plana
çıkan ürünler var. Örnek olarak belirli bir zaman dilimi içerisinde belirli bir sayıdan fazla
bir olayın meydana gelmesine davranışsal analiz (BEHAVIOR) diyenler, PREDICT adlı bir operatör ile ML
veya UEBA kelimelerine benzerlik yakalamaya çalışanlar gibi, herhangi bir nosql/elastic
sorgusu yapabilmeye security analiytcs diyenler gibi.
Demoda canlı alarm/korelasyon
denemeleri
Üreticinin demodaki
yaklaşımı aslında ürünün yeteneklerini anlama açısından kolaylık sağlar. Üretici
demoyu log toplama ve raporlama üzerine bina ediyor ve alarm/korelasyon
konusuna yüzeysel giriş yapıp demoyu sonlandırıyor ise tespit odaklı bir proje
olmayacaktır.
Aynı ankette kullanıcıların %80 den fazlasının SIEM ürününü
Log toplama için kullandığını söylüyor. Beklenti azaltılırsa memnuniyetin
arttığını gösteren bir ilişki. SIEM satın alıp mutlu olduğunu söyleyen birçok
firma var ama çoğu SIEM'i SIEM gibi kullanmıyor
Ayrıca
son kullanıcı tehdit istihbaratı gibi önemli konulara da vakit ayrılmalı:
1- İstihbarat kaynakları ne kadar çeşitli, kaç adet
farklı veri kaynağı var?,
2- Toplamda ne kadar IP, Domain takipte, bunları şeffaf
olarak görebilmek, listeleyebilmek, yönetebilmek ve gerektiğinde kontrol
edebilmek hem şeffaflık hem de kontrol açısından önemli
3- Gerçek zamanlı olarak bu veriler kullanılabiliyor mu?
Yoksa sadece raporlama amaçlı mı? Burada da kritik olan anında aksiyon
alabilmek. Örnek olarak Cryptolocker saldırısı yapan site olarak etiketlenmiş
bir site ile ilgili trafikten hemen haberdar olmakla 5 dakika sonra olmak
arasındaki fark verileri şifreletmekle kurtarmak arasındaki fark aslında
SENARYOLAR
· Bir kullanıcı 80 portundan X adresine erişim yaptıktan
sonra 15 dakika içerisinde aynı kullanıcı Y mail adresine mail atarsa ve bu
pattern 30 dakika içerisinde 1 den fazla kullanıcıda görülürse uyar,
· Kullanıcıların son 1 ay içinde başarısız oturum açma
profilini çıkarın. Örnek Ertugrul.Akbas A makinasından x,y,z makinalarına ve B
makinasından s,t,u makinasına gibi ve bunu referans noktası olarak alın ve bu
makinalar dışında bir makinadan->makinaya başarısız oturum oluştururlarsa
uyar şeklinde bir alarm oluşturun. Ama eger SuspiciousUserActivities listesinde
veri varsa bunu normalden profilden çıkararak profili güncelleyin.
· VPN yapan bir kullanıcı eğer son 1 ayda hiç
bulunmadığı bir lokasyondan VPN yaptıysa ve bu VPN kullanıcısı VPN yaptıktan
sonra 20 dakika içinde 100 MB dan fazla upload yaptı ise ve 3 gün boyunca veya
daha fazla bu işlemleri tekrar etti ise uyar
· Son 10-15 gün, her saat dilimi için trafiğin boyutu
hesaplanıp bir normal/baseline çıkarılıp, belli zamanlarda o zaman dilimlerinin
karakteristiğine uygun olmayan(i.e.,+/-%30) trafik oluşursa uyar,
· Mesai saatleri içerisinde hiç login olmadığı bir
sunucuya sadece mesai sonrası login olan olursa ve bunu 3 gün veya daha fazla
arka arkaya tekrarlarsa uyar,
· Peer to peer detection için sabit bir kaynak IP ve
sabit bir kaynak porttan farklı hedef ip ve portlara UDP ile 1 dakikada 5 den
fazla SENT/RECEIVED verisi 0 dan büyük (Genelde paket boyutu da aynı olur)
trafik olursa uyar,
· Eğer sisteme yeni bir kullanıcı eklendikten sonra 15
dk içerisinde xp_cmdshell stored procedure u devreye alınırsa uyar,
· Conficker solucan aktivitelerinin tespiti için aynı
kullanıcı için "A user account was locked out." mesajı aldıktan sonra
aynı kullanıcı için 5 dakikada 50 tane "Kerberos pre-authentication
failed" mesajı oluşursa uyar,
· Bir prosess çalıştırıldıktan sonra 5 dakika içeresinde
aynı makinada erişilen aynı dosyalar 20 dakika içerisinde 1 den fazla makinada
aynı process ve aynı dosya şeklinde ve aynı zaman dilimlerinde (process sonra 5
dakika içinde dosya gibi) gözleniyorsa uyar.
· net.exe, ipconfig.exe, whoami.exe, nbtstat.exe
programlarının 15 dakikada 5 den fazla çalışması durumunda bu processlerin
parent processine bak ve iexplorer.exe,notepad.exe gibi anormal ise uyar,
· VPN yapan bir kullanıcının erişim yaptığı bir dosyaya
VPN bağlantısı açık kaldığı süre içerisinde aynı kullanıcı adı ile iç ağdan da
bir erişim olursa uyar,
· Ağınızda güvenli olması gereken kritik processlerle
(winlogon.exe, svchost.exe, explorer.exe, lsm.exe, lsass.exe, csrss.exe,
taskhost.exe, wininit.exe, smss.exe, smsvchost.exe) isim benzerliği açısından
yanıltıcı olabilecek (insan gözü tarafından aynıymış gibi algılanabilecek)
processler ayağa kalkarsa ve bu ayağa kalkan processler izin verilen processler
içerisinde değil ise uyar,
· Tehdit İstihbaratı tarafından tehlikeli olarak
listelenen bir domainden bir trafik oluşmuş ve daha sonra başka bir makinadan bu
makinaya başarılı oturum açılırsa uyar,
· Birisi Networkünüzde DHCP serverı açtıysa ya da farklı
bir gateway yayın yapıyorsa, bunu bulmak için: protokolü UDP olan hedef portu
67 olan içeriden dışarıya veya içeriden dışarıya yönelen ve hedef IP si kayıtlı
DHCP sunucular listesinde olmayan bir trafik olursa uyar,
· Creation / deletion of the same account in a short
time period
· Birisi VPN yapınca uyar,
· VPN yapan kullanıcı 15 dakikadır RDP yapmadı ise uyar,
· Aynı dış IP den birbirinden farklı iç IP lere ve
birbirinden farklı portlara 15 dakikada 100 den fazla paket bloklanıyor ve daha
sonra 1 saat içinde bu bloklanan iç IP lerin TAMAMINDA yeni bir process ayağa
kalkıyorsa uyar,
· Office macro malware yakalama korelasyonu: EventCode=1
(Process create), Image değeri explorer.exe veya svchost.exe ile biterken
ParentProcess excel.exe yada winword.exe'ise (Office belgesinden explorer.exe
yada svchost.exe ismiyle child process oluşması durumunda uyar.
FALSE POZİTİFLER
SIEM IN GERÇEKLERİ
SIEM
çözümünün faydalarını azaltan önemli bir etken false pozitifler. Sistem
yöneticileri bu false pozitiflerden bıktığı için ürünü Log yönetimi şekline
indirgeyip kullanmaktalar. Bu handikapı elemine edebilmek için yine ürünün
teknik kabiliyetleri önem kazanmakta. SIEM ürününü ürettiği false pozitifleri azaltmak
için örnek bir senaryo:
Genelde
15 dakikada 3 veya daha fazla başarısız oturum açan olursa bayrak kaldır
şeklindeki klasik bir alarm vardır. Bunun gerçekten şifreyi unutup arka arkaya
yanlış şifre girilmesini yakalama ihtimali de mevcuttur. Bunu korelasyona
çevirerek false pozitifleri azaltabiliriz. Şöyle: Eğer kullanıcı başarısız
oturum olayına sebep oldu ve sonraki 5 dakika içerisinde bunu tekrar etmedi ama
5. dakika ile 10. dakika arasında tekrar bir adet oluşturdu ve yine bir 5-10
dakika bekledi ve sonra tekrar oluşturdu. Ayrıca senaryonun karakteristiği
itibari ile de şüpheli bir işlemdir.
Referanslar
