Nedir Bu IR Identification(Detection & Analysis) ?

Bir önceki yazımda  incident response ve handling aşamasında sürekli elinizin altında bulunması gereken jump bag yani bir olaya müdehalede hazırda olması gereken çantanın içindeki araçlar ve yazılımlardan(minimum gereksinim) bahsedip, preparation (Önceden alınacak önlemler, hazırlık ) aşamasına giriş yapıp bırakmıştım. Bu yazımızda preparation aşamasını oluşturan içeriklere kısaca göz atıp esas değinmek istediğim Identification veya Detection & Analysis  safhasına girip birkaç örnekle açıklayıp bitireceğim. Kısa bir not olarak belirtmek isterim ki bazı terimleri olduğu gibi ( ingilizce) kullanıyorum. Dökümanımız daha çok bilgi amaçlı olduğu için yeni başlayan kişilere dünya standartındaki teknik karşılığını öğretmekte fayda var.

Aşağıdaki şekil esasında bir incident aşamasında, öncesinde ve sonrasında yapmamız gereken aşamaları anlatan güzel bir döngü. Nasrettin hocanın dediği gibi testi kırılmadan önceki aşama “Preparation ”  bu döngüde hayat kurtaran en kritik seviye diyebiliriz. Bir olay başımıza geldiğinde büyük sistemlerde bakılması ve kontrol edilmesi gereken birçok unsur bulunmakta fakat farkındalık eğitimleri, şirketin güvenlik policy ve prosedürleri, kullanıcılar(inernal, external, outsource) sisteme bağlandığı zamanki (VPN, domain account v.b)güvenlik bilgilendirmeleri, System hardening, Network hardening, Application hardening gibi önceden alınacak önlemler, gelebilecek bir saldırıyı %100 engelleyemesede büyük bir oranda azaltacağını ve olayı analiz etmede kolaylık sağlıyacağını söyleyebilirim.

nist_incident-response

Incident Response Life Cycle

 

Günümüzde  attacking(saldırı) mekanizmaları geliştikçe bu saldırılara karşı alınacak önlemleri network katmanlarında Layer 1 den Layer 7 ye kadar hatta Layer 8 bile diyebileceğimiz katmanlarda konumlandırıyoruz.

Bir incident anında Detection & Analysis aşamasında güvenlik katmanlarımızın ve ürünlerimizin farkında olmak gerekir ve olaya müdehale nereden başlanarak analiz edilmeli daha öncesinde Incident Response team bunu senaryolarla çıkartması gerekir. Farklı saldırılarda bu akış diagramı değişsede temel anlamda,

 

Snip20160306_4

 

Network Perimeter  ; Firewall, IPS/IDS, Router, WAF v.b logları

Host Perimeter; Client IDS/IPS, Hypervisor Security , Local firewall ve  Connection logları

Host based; Antivirus, Endpoint Security & DLP, file integrity logları

Application level : Web application (IIS, Apache v.b), System service logları  yani kısaca olayın etkilediği uygulama logları diyebiliriz.

Görüldüğü üzere bir olay anında birçok log üreten sistemin analizi yapılması gerekiyor bu da bir önceki yazımızda neden Incident Response Team kurarken farklı yetkinliklerdeki kişilerden oluşması gerektiğini gösteriyor. Şirket kaynaklarınızın güvenliğini sağlamak adına sizlerde bu şekilde şemalar ile log üreten sistemlerinizi çıkartmak ve log üretmelerinde bir sorun olup olmadığını kontrol etmenizde fayda var. Bir olayın analiz aşamasında bize yol gösterecek tek veri o sistemde üretilen loglar olduğunu unutmamak gerek. Günüzümde bu kadar log üreten sistemler varken bu logların yönetilmesi başlı başına bir dert olduğu için genelde SIEM ürünleri kullanılmakta ve üretilen loglar çeşitli korelasyonlarla alarm üreterek ilgili kişinin sistemi kontrol etmesini sağlayabiliyor. Maliyet olarak yüksek olsada SOC(Security Operation Center) Kurmak günümüzde akıllı yatırım olarak adlandırabiliriz. Bu hizmeti veren dış kaynaklarda mevcut.

soc

 

Yazımız iki anlam bütünlüğü dağılmaması adına iki kısımdan oluşacağı için bu ilk kısmı sadece tanım olarak yayınlayıp farkındalığı oluşturup, ikinci ve bu hafta yayınlayacağımız diğer yazımızda bir malware sisteme bulaştığı zamanki davranışlarını belirttiğimiz 4 katagoride örnek senaryo ile inceleyeceğiz.

Teşekkürler

Leave a Reply

Your email address will not be published. Required fields are marked *

*