Siber Saldırıların Tespitinde SIEM Ürünlerinin Yetersizliği ve Çözüm Önerileri

SIEM, yıllardır bilgi teknolojileri alanında kullanılan oldukça verimli bir  çözümdür. Son yıllarda, ülkemizde çok fazla kurumda kullanılmaya başlanmış ve bu konuda ciddi bir farkındalık oluşmuştur. Bu süre zarfında korelasyon kuralları yardımı ile olay anında yapılan bilgilendirmelerin yanı sıra, incident response tarafı ile de olay sonrası analizlerde, IT çalışanlarının işlerini oldukça kolaylaştırmıştır. Teknik işlemlerin yanı sıra Complience ve Governance ekipleri için oldukça kullanışlı bir araç haline gelmiştir. Şu an için dünya piyasasında en çok kullanılan SIEM ürünlerini Qradar, Arcsight, Splunk ve McAfee şeklinde sıralayabiliriz.

Gelişen teknoloji ile birlikte SIEM çözümlerinin tek başına yetersiz kaldığını ve daha yenilikçi çözümlerin olması gerektiğini savunan düşünceler ortaya çıkmaya başladı. Günlük yönetiminin ve olay ilişkilendirme şeklinin günümüzdeki siber saldırılara karşı güvenlik seviyesini yükseltmeyeceği, bu nedenle yapay zeka, makine öğrenme algoritmaları ve sinir ağları gibi güvenlik verilerinin gerçek zamanlı olarak kullanılması, işlenmesi ve analiz edilmesi için yeni teknolojilere ihtiyaç olduğu konuşulmaya başlandı.

SOAPA (security operations and analytics platform architecture)

SIEM tarafında bu eksiklerin konuşulmaya başlanmasından sonra ise daha geniş kapsamlı bir çözüm olan SOAPA (security operations and analytics platform architecture) fikri ortaya çıkmıştır. Bir çok güvenlik aracını içinde barındıran bu sistemde, SIEM bu ürünlerden sadece bir tanesidir. Kısacası SIEM’in de merkezi ürün olarak içinde yer aldığı daha geniş kapsamlı bir çözüm fikridir.

SOAPA, dinamik bir mimaridir. Sürekli olarak yeni log kaynaklarının ve güvenlik çözümlerinin bu döngüye dahil edilmesi gerekecektir. Şu anki durumda bir SOAPA ortamında SIEM’in yanında aşağıdaki çözümlerin bulunması tavisye edilmektedir.

Endpoint detection/response tools (EDR):

Herhangi bir makinede olabilecek bir davranışı derinlemesine incelemek için kullanılacak olan bir çözümdür. CarbonBlack, Countertack, CrowdStrike, Guidance Software vs gibi ürünler bu kategoride kendini göstermektedir.

Incident response platforms (IRPs): Siber güvenlik uzmanları, güvenlik verilerinin toplanması, işlenmesi ve analizinin yanı sıra, uyarılara öncelik vermeyi ve sorunların en kısa zamanda giderilmesini istemektedir. Bu kategoride ise CRI, Hexadite, Phantom, Resilient Systems (IBM), ServiceNow, and Swimlane gibi ürünler öne çıkmaktadır.

Network security analytics: SOAPA için olmazsa olmaz çözümlerden birisi de flow verisi ve gerektiğinde detaylı paket analizlerinin yapılabilmesi için “full packet capture” çözümleridir. Bu çözümler için ise Arbor Networks, Blue Coat/Symantec, Cisco (Lancope), RSA vs gibi vendorların çözümleri kullanılmaktadır.

UBA/machine learning algorithms: Büyük endüstrilerde kullanılan makine öğrenmelerinin ilerleyen günlerde SOAPA’nın bir parçası olacağı ve bu bağlamda Bay Dynamics, Caspeda (Splunk), Exabeam, Niara, Sqrrl, ve Varonis gibi ürünlerin SOAPA kapsamına alınması gerekecektir.

Vulnerability scanners and security asset managers: Bilgi güvenliği operasyonlarında zafiyet yönetimi ve alarmların önceliklendirilmesi oldukça önemli bir adımdır. Zafiyet barındıran bir sisteme yapılan atakla normal bir sisteme yapılan atağın farklı seviyelerde alarm üreterek önceliklerinin farklı olması gerekmektedir. Bu kapsamda Normshield, Qualys, Rapid7 gibi ürünler ön plana çıkmaktadır.

Anti-malware sandboxes: Bu çözümler genelde zero day vs kullanılarak gerçekleştirilmeye çalışılan hedef odaklı saldırıları tespit etmek ve korunmak için kullanılmaktadır. SOAPA kapsamındaki bu bileşene ait çözümleri FireEye, Fidelis, ve Trend Micro gibi vendorlar geliştirmektedir.

Threat intelligence: Kurum ağındaki makinelerin nerelere bağlandıkları, hangi ip adresleri ile haberleştikleri ve bu adreslerin repütasyon bilgilerinin kontrol edilmesi kapsamında bir çözüme ihtiyaç duyulmaktadır. FireEye/iSight Partners, RecordedFuture, ThreatConnect, ThreatQuotient vs gibi ürünler bu kapsamda çözümler sunmaktadır.

Sonuç

Güvenlik araçları arasındaki veri alış verişinden sonraki en büyük yenilik, güvenlik altyapısının ve yönetiminin merkezi bir yapı olması için SOAPA komuta-kontrol merkezlerinin kurulması olacaktır. Pazarın bu yönde ilerlediği, büyük firmaların satın almaya başladığı şirketlerden de anlaşılmaktadır. SOAPA kapsamında merkezi rol ise her zaman SIEM’de olacaktır.

Yazar: Osman Cihat IŞIK  cihat.isik@bga.com.tr
Referans: https://www.channele2e.com/2016/12/28/security-goodbye-siem-hello-soapa/