Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Log Yönetimi Yazılımı Kullanarak Saldırı Tespiti, Zafiyet Analizi ve Güvenlik Yönetimi Nasıl Yapılır?

2,005 views

Published on

Log Yönetimi Yazılımı Kullanarak Saldırı Tespiti, Zafiyet Analizi ve Güvenlik Yönetimi Nasıl Yapılır?

  • Be the first to comment

Log Yönetimi Yazılımı Kullanarak Saldırı Tespiti, Zafiyet Analizi ve Güvenlik Yönetimi Nasıl Yapılır?

  1. 1. Log Yönetimi Yazılımı Kullanarak Saldırı Tespiti, Zafiyet Analizi ve Güvenlik Yönetimi Nasıl Yapılır? Dr. Ertuğrul AKBAŞ eakbas@gmail.com Zafiyet (vulnerability), sistemlerde tehditlere hedef olabilecek yapısal ve konfigürasyonel açıklıklardır. Tehdit (threat): Sistemlerdeki açıkları kullanarak sistemleri ele geçirme veya devre dışı bırakmaya yönelik kullanılabilen suiistimallerdir. Log Yönetimi yapılan sistemlerde bu yazılımların yetenekleri kullanılarak güvenlik açıklarını bulup otomatik aksiyonlar alınması sağlanabilir ve bununla birlikte otomatik uyarı ve aksiyonlar sağlanabilir. Bir uçağın kara kutusu önemindeki Log Yönetimi maalesef 5651 Sayılı kanunun satış bakış açısıyla önemsizleştirilmesinden dolayı yerinde kullanılmamaktadır. Türkiye’deki en büyük sıkıntı, Log Yönetimi sürecinin başlı başlına bir süreç olarak değerlendirilmemesidir. Bunun için farkındalık sağlanması, Log Yönetimi’nin sadece arabaların kaskoları gibi kaza olduğunda kullanılmayıp (reaktif), kaza olmadan belirtilerden yola çıkarak hem suistimali önlemek hem de sistem performansını iyileştirmek için kullanılması (proaktif) gerektiğinin anlatılması gerekmektedir. Bu çalışmada Log Yönetimi/SIEM uygulamalarını yerinde kullanılırsa ne faydalar elde edilir? Sorusuna cevap arayacağız. Bütünleşik Siber Güvenlik Yapısının en önemli analiz katmanı Log Yönetimi/SIEM katmanıdır. Risk = (etki) x (ihtimal) olarak düşünüldüğünde etki ve ihtimali azaltacak/ortadan kaldıracak kontroller uygulanmalıdır. Bu noktada Log Yönetimi, kontrol olarak devreye girer. Log Yönetimi Uzmanları’nın görevi sadece iz kayıtlarını tuttukları sistemlerden gelen logları depolamak değil; ilgili sistem yöneticileri ve bilgi güvenliği/risk yönetimi uzmanlarıyla birlikte, yasal zorunlulukları göz önünde bulundurarak gelen logları analiz etmek, gerekli rapor ve alarm mekanizmalarını Yönetim onayı ile BT Yönetimi (IT Governance)’ne dahil etmek olmalıdır. Kurulacak sistemler zeki sistemler olmalıdır[1] log yönetiminden sadece logları arşivlemek anlaşılmamalıdır. Aşağıdaki hatalar yapılmamalıdır [2]     not logging at all. not looking at the logs storing logs for too short a time prioritizing the log records before collection
  2. 2.   ignoring the logs from applications only looking at what they know is bad Ayrıca en önemli hatalardan biri de Log Yönetimi ile Olay Korelasyonu aynı şey sanılmasıdır. Güvenlik Analizi için Kullanılabilecek Log Analiz Kuralları Bu kuralları ikiye ayırabiliriz. Ürünlerin bır kısmında basit kurrllar oluşturmak mümkündür. Kompleks kurallar için SIEM yeteneğine sahip ürünler seçilmelidir. Basit kurallar - Belirli zaman aralıklarında kimler oturum açtı? USB bellek kullanımı oldu mu? Sistem yöneticileri takip ediliyor mu? Bilgisayar adı (hostname), IP adresi, MAC adresi değişikliği oldu mu? Kimler hangi IP adresini aldı? Bu IP adresleri ile nerelere erişidi? Sisteme uzak bağlantı sağlandı mı? Kimler hangi saatle VPN bağlantısı kurdu? Donanım değişikliği yapıldı mı? P2P program kullanan var mı? Kim hangi dosya ya erişti ? Erişilen dosyalardan silinen var mı? Başarılı password değişiklikleri? Bilgisayar hesabı yada kullanıcı hesabı yaratıldı mı? Port scan yapıldı mı? Kimler hangi dokümanları print etti? (print server mimarisi ile) Domain admin hesabına kullanıcı eklendi mi? Ekran görüntüsü yakalaması yapıldı mı? MSN ‘den dosya transferi yapıldı mı? Korelasyon gerektiren kurallar        1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar 5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar 5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar 1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik olursa uyar Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız olunursa uyar Aynı kullanıcıdan 1 dakika içerisinde 5 den fazla başarısız erişim olup sonrasında başarılı erişim olursa bu brüte force atack olasılığıdır ve uyar Administrators grubuna kullanıcı eklenirse uyar
  3. 3.                        Aynı kullanıcı ile 1 dakikada 5 den fazla başarısız erişim olursa uyar(Kullanıcı bilgileri ile birlikte) Aynı kullanıcı 60 dakikada 50 den fazla sistemlere login olursa uyar(Kullanıcı bilgileri ile birlikte) Aynı kaynak IP den 3 veya daha fazla başarısız erişim ve hemen ardından başarılı erişim olursa uyar. Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondan işletilmek üzere gönderilirse uyar İstenmeyen uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus) çalıştırıldığında uyar Spam yapan kullanıcıyı tespit et.(saatte 60 den fazla mail gönderen kullanıcıyı tespit et) Spam yapılan kullanıcıyı tespit et.(saatte 25 den fazla mail alan kullanıcıyı tespit et) Gözetlenen log kaynağı son 1 saat içerisinde log göndermezse uyar Mesai saatleri dışında sunuculara ulaşan olursa uyar W32.Blaster Worm: Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login logu gelirse uyar Windows makinelere brute force login ataklarını tespit etmek Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti. 445 nolu port ataklarını tespit etmek Saniyede 15 tane paketin drop edildiği IP yi bildir. İşe gelmeyen kullanıcının hesabı ile işlem yapıldıysa uyar Saniyede 1000 den fazla paket üretilen ve kaynağı ÇİN gözüken ve şirket ip adreslerinin aynı portuna ulaşmak isteyen olursa uyar Saniyede 5 den fazla aynı makineye login olmayı deneyip de başarısız olan IP yi bildir 1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar Seçilen zaman aralığında kimler çevrimiçiydi? Seçilen zaman aralığında network üzerinde kaç tane başarısız oturum açma girişimi meydana geldi? Seçilen zaman aralıklarında hangi kullanıcılar şifresini başarıyla değiştirdi? Seçilen zaman aralığında hangi kullanıcılar şifresini değiştirmek istedi fakat başarılı olamadı? Seçilen zaman aralığında hangi hesaplar silindi ya da görünmez oldu? Hangi hesaplar etki alanı yönetici grubuna eklendi?         Seçilen zaman aralığında hangi kullanıcılar güvenlik hesap logunu temizledi? Seçilen zaman aralığında kaç adet kullanıcı sistem saatini değiştirdi? Seçilen zaman aralığında işlemler kaç adet kritik olay yarattı? Seçilen zaman aralığında kaç adet hata olayı meydana geldi? Seçilen zaman aralığında uyarıları tetikleyen olaylar neydi? Taşınabilir bellek kullananlar kimler? Kim ortak güvenlik duvarını aşabilmek için ek network arayüzü kurdu? Kim hangi uygulamayı çalıştırdı?
  4. 4.                                 Kim belirli dokümana erişebildi? Kim belirli dokümanı sildi? Birisi şifreleri ele geçirmek için casus program kullanıyor mu? Hangi bilgisayarlara belirli güvenlik paketleri yüklenmemiş? Hangi bilgisayarlara modem yüklenmiş? Kurum yapısında herhangi bir kablosuz ulaşım noktası var mı? Kurum networkünde izinsiz bir DHCP sunucu var mı? Kim hangi ekran görüntüsünü ele geçirdi? 5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar 5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar 1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik olursa uyar Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız olunursa uyar Aynı kullanıcıdan 3 den fazla başarısız erişim olup sonrasında başarılı erişim olursa bu brüte force atack olasılığıdır ve uyar Administrators grubuna kullanıcı eklenirse uyar Aynı kullanıcı ile 1 dakikada 5 den fazla başarısız erişim olursa uyar(Kullanıcı bilgileri ile birlikte) Aynı kullanıcı 60 dakikada 50 den fazla sistemlere login olursa uyar(Kullanıcı bilgileri ile birlikte) Aynı kaynak IP den 3 veya daha fazla başarısız erişim ve hemen ardından başarılı erişim olursa uyar. Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondna işletilmek üzere gönderilirse uyar İstenmeyen uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus) çalıştırıldığında uyar Spam yapan kullanıcıyı tepit et.(saatte 60 den fazla mail gönderen kullanıcıyı tespit et) Spam yapılan kullanıcıyı tepit et.(saatte 25 den fazla mail alan kullanıcıyı tespit et) Gözetlenen log kaynağı son 1 saat içerisinde log göndermezse uyar Mesai saatleri dışında sunuculara ulaşan olursa uyar Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login loğu gelirse uyar Seçilen zaman aralığında kimler çevrimiçiydi? Seçilen zaman aralığında network üzerinde kaç tane başarısız oturum açma girişimi meydana geldi? Seçilen zaman aralıklarında hangi kullanıcılar şifresini başarıyla değiştirdi? Seçilen zaman aralığında hangi kullanıcılar şifresini değiştirmek istedi fakat başarılı olamadı? Seçilen zaman aralığında hangi hesaplar silindi ya da görünmez oldu? Hangi hesaplar etki alanı yönetici grubuna eklendi? Seçilen zaman aralığında hangi kullanıcılar güvenlik hesap logunu temizledi? Seçilen zaman aralığında kaç adet kullanıcı sistem saatini değiştirdi?
  5. 5.           Seçilen zaman aralığında işlemler kaç adet kritik olay yarattı? Seçilen zaman aralığında kaç adet hata olayı meydana geldi? Seçilen zaman aralığında uyarıları tetikleyen olaylar neydi? Taşınabilir bellek kullananlar kimler? Kim ortak güvenlik duvarını aşabilmek için ek network arayüzü kurdu? Kim hangi uygulamayı çalıştırdı? Kim belirli dokümana erişebildi? Kim belirli dokümanı sildi? Birisi şifreleri ele geçirmek için casus program kullanıyor mu? Genişletilmiş Kurallar ve Senaryolar Örnekleri Hedef:445 nolu port ataklarını tespit etmek • Gereksiz yanlış atak loglarından kurtulmak isteniyor • 5 dakikalık sürede an az 1 düzine atak logu gelmesini isteniyor • 1 saatlik periyodda en az 100 atak logu • 4 saatlik bir periyodda 200 atak logu isteniyor Hedef: Windows makinelere brute force login ataklarının tespit etmek   60 Saniye boyunca Windows makinelere login denemesi yapılmış ve fail etmiş iplerin listesinin bulunması ve Bu kuralda firewall ve/veya gateway den gelen trafik logları ile Windows event loglarının korelasyonunun yapılması isteniyor. Hedef: Ağdaki kötü niyetli yazılımlarının tespiti. – Bilinen: yazılım insandan çok daha hızlı parola denemesi gerçekleştirir – Senaryo: • Kimlik doğrulama denemesi saniyede 1 den fazla gerçekleşiyorsa (1) • (1) durumu art arda 5 defa gerçekleşiyorsa • Bilgilendir/ müdahale et – Tek kaynaktan alınan kayıtların sayısı ve gerçekleşme zamanı ilişkilendirilmiştir.
  6. 6. Hedef: Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti. – Saldırgan internetten kurumsal IP uzayında tarama yaparsa (1) • IDS veya güvenlik duvarından alınan kayıtlar – (1) i gerçekleştiren açık portları kullanarak güvenlik duvarından geçerse • Güvenlik duvarından alınan ACCEPT kaydı – (1) i gerçekleştiren veritabanına belli kullanıcı isimleri ile giriş yapmaya çalışırsa • Veri tabanından alınan LOGON ATTEMPT kaydı – Bilgilendir/ müdahale et • Birden fazla kaynaktan alınan kayıtlarda aktör, eylem ve zaman bilgileri ilişkilendirilmiştir Referanslar 1. http://en.wikipedia.org/wiki/Log_management_and_intelligence 2. http://www.infosecwriters.com/text_resources/pdf/Six_Mistakes_of_Log_Managemen t_AChuvakin.pdf 3. http://www.slideshare.net/anton_chuvakin/making-log-data-useful-siem-and-logmanagement-together-by-dr-anton-chuvakin 4. http://www.slideshare.net/anetertugrul/suresec 5. http://en.wikipedia.org/wiki/SIEM

×