Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE'nin "Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi", SOC analistleri, SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum (Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği'nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack'inin zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı. 18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack'inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion'a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion'a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
2. Anahtar Kelimeler: SANS, MITRE, Hükümet, ABD, Kanada, Solarwinds, Google, RFP, Yönetmelikler,
Öneriler
Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması
gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir
şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE'nin "Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi", SOC analistleri,
SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını
tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum
(Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin
Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği'nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri
belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack'inin
zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik
olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı.
18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack'inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion'a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion'a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
Veri ihlalleri, dünya genelindeki organizasyonlar için ciddi bir uyarı oldu ve güçlü siber güvenlik önlemleri
ve etkili olay müdahale planlarının önemini ve kritikliğini vurguladı. Bu önlemlerin ana bileşeni, ağ
aktivitesini izlemek ve potansiyel tehditleri gerçek zamanlı olarak tespit etmek için canlı logları
kullanmaktır.
Logları canlı olarak uzun süre saklamak her SIEM teknolojisinde ekonomik olarak mümkün olmasa da
doğru araçlar, teknolojiler ile bu maliyet bariyeri aşılabilir.
Ayrıca, birçok "Teklif Talebi (RFP)" günlüklerin, arşivde saklansa bile, 24 saat içinde kullanıma hazır
olmasını gerektirir [4] ". Son 6 ay (180 gün) içinde VPN yapan kullanıcıların listesini veya son 6 ay
içerisinde Solarwinds update domainine bağlanan IP lerin listesini logları canlıda tutmadan almak
imkansızdır.
Google, canlı logların önemini şu şekilde ifade ediyor: “Yani. Sonuç: 1 yıllık günlük saklama hem sıkıcı bir
uyum gereksinimi hem de üst düzey tehditleri tespit etmek için önemli bir kaynaktır [5].”
3. SANS tarafından yayınlanan SANS An Evaluator's Guide to NextGen SIEM dokümanında canlı loglarla ilgili
“Provides online access to current and archived log data, and additional artifacts such as reports and
visualization snapshots" [6] ifadei ile canlı loğu kriter olarak koyuyor.
Bu nedenle, kuruluşların yukarıda bahsedilen öneriler ve düzenlemelerle uyumlu bir log ve izleme
stratejisi uygulaması son derece önemlidir. Logları canlı, çevrimiçi ve hemen erişilebilir tutarak,
kuruluşlar potansiyel tehditleri gerçek zamanlı olarak tespit edebilir ve hızlı bir şekilde olaylara yanıt
verebilirler, böylece maliyetli veri ihlalleri riskini azaltabilirler.
Ayrıca, uzun vadeli kayıt saklama politikasına sahip olmak, adli soruşturmaları ve uyumluluk
denetimlerini yapmada da yardımcı olabilir. Olayların kök nedenini belirlemek ve düzenleyici
gereksinimlere uyumu göstermek için faydalı olabilecek bir olay tarihçesi sağlayabilir.
Sonuç olarak, canlı kayıt saklama güçlü bir siber güvenlik stratejisinin vazgeçilmez bir bileşenidir.
Kuruluşlar, önerilen saklama sürelerini takip ederek ve uygun araçları ve teknolojileri uygulayarak, siber
saldırılara karşı daha iyi korunabilirler ve maliyetli veri ihlalleri riskini azaltabilirler.
Referanslar:
1. https://www.mitre.org/sites/default/files/2022-04/11-strategies-of-a-world-class-cybersecurity-
operations-center.pdf
2. https://www.whitehouse.gov/wp-content/uploads/2021/08/M-21-31-Improving-the-Federal-
Governments-Investigative-and-Remediation-Capabilities-Related-to-Cybersecurity-
Incidents.pdf
3. https://www.canada.ca/en/government/system/digital-government/online-security-
privacy/event-logging-guidance.html
4. http://vadodarasmartcity.in/vscdl/assets/tenders/17.09.2020/2021_499-1.pdf
5. https://chroniclesec.medium.com/retaining-logs-for-a-year-boring-or-useful-9b04c1e55fba
6. https://www.sans.org/media/vendor/evaluator-039-s-guide-nextgen-siem-38720.pdf