CyberFlow Logo CyberFlow BLOG
Soc L1 Teshis Triyaj

Alarm ve Olay: Siber Güvenlikte Temel Kavramlar

✍️ Ahmet BİRKAN 📂 Soc L1 Teshis Triyaj

Alarm ve olay arasındaki farkı öğrenin. Siber güvenlikte bu kavramların önemini keşfedin.

Alarm ve Olay: Siber Güvenlikte Temel Kavramlar

Siber güvenlik alanında alarm ve olay kavramları, tehdit tespiti ve yönetimi açısından kritik öneme sahiptir. Bu blogda, bu kavramların ayrıntılı tanımlarını ve ilişkilerini keşfedin.

Giriş ve Konumlandırma

Siber güvenlik, günümüz dijital dünyasında her zamankinden daha fazla önem kazanan bir alan. Her gün milyonlarca kullanıcı, birçok sistem ve uygulama üzerinden veri alışverişinde bulunuyor. Bu süreçte, karşılaşılabilecek tehditleri doğru bir şekilde değerlendirmek ve gerektiğinde önlem almak, güvenlik uzmanlarının temel görevlerinden biri haline geliyor. işte bu noktada, "alarm" ve "olay" kavramları, siber güvenlik süreçlerinin anlaşılmasında hayati bir role sahiptir.

Olay ve Alarm Kavramları

Siber güvenlik alanında, "olay" (event) ve "alarm" (alert) terimleri, potansiyel tehditlerin tespit edilmesi ve yönetilmesi açısından kritik öneme sahiptir. Olay, bir sistemde, ağda veya uygulamada gerçekleşen her türlü aktiviteyi ifade eder. Bu aktiviteler arasında bir kullanıcının sisteme giriş yapması, bir dosyanın açılması veya bir dosyanın silinmesi gibi olaylar yer alır. Olaylar, sistemin normal işleyişi içerisinde meydana gelebileceği gibi, anormal aktivite durumlarını da kapsayabilir.

Örneğin, kullanıcıların günlük olarak sisteme giriş yaptığı sıradan bir olayın yanında, bir kullanıcı hesabının bir dakikada 50 kez yanlış parolayla giriş yapması gibi bir durum, şüpheli bir olay olarak kabul edilir. Bu tür anormal davranışlar, sistem güvenliği açısından ciddi tehditler oluşturabilir ve bu noktada alarm kavramı devreye girer.

Alarm, belirli bir güvenlik kuralının ihlal edildiğini veya potansiyel bir tehdidin meydana geldiğini işaret eden bir bildirimdir. Olayların, belirli koşullar altında bir alarm üretmesi, güvenlik analistleri için kritik önem taşır. Bu süreçte, olayların analiz edilmesi ve değerlendirilmesiyle güvenlik ekipleri, sistemlerini koruma altına alabilir. Yani, tüm olaylar güvenlik açısından bir tehlike oluşturmamakla birlikte, tehlikeli olabilen olaylar doğru kurallarla belirlenerek alarmlara dönüştürülebilir.

Neden Önemli?

Alarm ve olay arasındaki ilişki düzgün bir şekilde anlaşıldığında, siber güvenlikteki güçlü ve zayıf noktalar daha net bir şekilde ortaya çıkabilir. Özellikle güvenlik operasyon merkezi (SOC) analistleri, milyonlarca log kaydı arasından kritik olanları hızlı bir şekilde ayırt edebilmek için bu kavramları doğru bir şekilde kullanmalıdır. "Her olay bir alarm değildir; sadece şüpheli olanlar incelenir." ifadesi, güvenlik analistlerinin hatırlaması gereken temel bir kuraldır.

Bu bağlamda, SIEM (Security Information and Event Management) sistemleri, ağ ve sistemlerden gelen devasa veri yığınlarını anlamlandırma yeteneği ile önem kazanır. SIEM çözümleri, olayları ilişkilendirerek anlamlı bir bütün oluşturur ve bu bütünlükte alarmlar (Alerts) üreterek güvenlik ekibinin hızla harekete geçmesini sağlar. 

Olaylar (Events) -> Korelasyon Kuralları -> Alarmlar (Alerts)

Bu zincir, olayların güvenlik ihlalleri olarak değerlendirilmesine ve potansiyel tehditlerin zamanında tespit edilmesine olanak tanır. Böylece, sistemde meydana gelen her türlü tekil aktivite, potansiyel bir tehlikeye dönüşmeden önce analiz edilebilir.

Pentest ve Savunma Açısından Bağlam

Siber güvenlikte, olay ve alarm kavramlarının yanı sıra, pentest (penetrasyon testi) uygulamaları da büyük önem taşır. Pentest sırasında gerçekleştiren testler, sistemin zayıf noktalarının ortaya çıkarılmasına yardımcı olur ve bu zayıflıkların bir olay olarak kaydedilmesi gereken durumlar olup olmadığını anlamaya olanak tanır. Bir zayıflıktan kaynaklanan hadiseler, POTANSİYEL tehditler olarak alarmlara dönüşebilir.

Sonuç olarak, alarm ve olay kavramları, siber güvenliğin temel taşlarını oluşturur. Bu kavramların doğru bir şekilde anlaşılması ve uygulanması, potansiyel tehditlerin hızlı bir şekilde tespit edilmesini ve gidermesini kolaylaştırır. Siber güvenlik uzmanlarının, bu kavramları günlük süreçlerine entegre ederek sistemlerini daha güvenli hale getirmeleri kaçınılmaz bir gerekliliktir.

Teknik Analiz ve Uygulama

Dijital Ayak İzi

Siber güvenlik alanında ilk adım, dijital ayak izlerinin anlaşılmasıdır. Dijital ayak izleri, bir sistemde, ağda veya uygulamada gerçekleşen her türlü aktiviteyi ifade eder. Bu aktiviteler, kullanıcı girişleri, dosya erişimleri ya da sistem çağrıları gibi normal süreçleri kapsadığı gibi şüpheli durumları da içerebilir. Bu bağlamda, dijital ayak izi oluşumunda önemli bir rol oynayan olaylar (Event) genel olarak şu şekilde tanımlanabilir:

Olay, sistemde gerçekleşen her türlü tekil aktiviteye denir.

Kullanıcıların her hareketinin kaydedilmesi, siber güvenlik analistlerinin olabilecek tehditleri önceden belirlemesi ve hızlı müdahalelerde bulunabilmesi için kritik bir gereklilik haline gelmiştir.

Analistin Altın Kuralı

Siber güvenlikte log yönetimi yapan analistler, milyarlarca kayıt arasında kaybolmamak adına bazı temel kurallara uymalıdır. Burada önemli bir nokta, sistemdeki her olayın tehlike arz etmediğidir. Bu bakımdan analistlerin dikkatli bir şekilde olayı değerlendirmeleri gerekir. Analistin altın kuralı, "her olay bir alarm değildir, sadece şüpheli olanlar incelenir" ifadesiyle özetlenebilir. Bu, sistemin genel sağlığı için önemli bir kontrol mekanizmasıdır.

Veri Hiyerarşisi

Veri hiyerarşisi, siber güvenlikte olayların ve alarmların yönetimi için kritik bir yapıdır. Bu yapı ile olayların anlam kazanması sağlanır. Özellikle olayların (Event) güvenlik kurallarını (Rule) tetiklemesi sonucu oluşan alarmlara (Alert) dönüşüm süreci şu şekilde ifade edilebilir:

Olaylar, korelasyon kurallarından geçerek birer alarma dönüşür ve ekranımıza düşer.

Burada, her bir olayın tetiklediği durumlar, analistlerin dikkat etmesi gereken potansiyel tehlikeleri temsil eder.

Kuralların Sonucu

Güvenlik sistemleri, belirlenmiş kurallara göre çalışarak olayları izler ve analiz eder. Bu bağlamda, olumsuz durumların hızla tespit edilmesini sağlayacak maliyet etkin bir çözüm sunar. SIEM sistemleri, birçok farklı kaynaktan gelen olayları toplar ve anlamlı tehdit uyarılarına dönüştürmek için çalışırlar. Bu bağlamda, SIEM çözümlerinin güçlü korelasyon yetenekleri önem kazanır:

SIEM sistemlerinin temel görevi, anlamsız ve devasa büyüklükteki veri yığınlarını (logları), anlamlı tehdit uyarılarına çevirmektir.

Bu süreç, olası tehditlerin hızlıca tespit edilip göz önüne alınması için büyük önem taşır.

Veriden Tehdide

Bir olayın, potansiyel bir tehdit olarak algılanması için birkaç aşamadan geçmesi gerekir. Öncelikle, sistemdeki verileri analiz eden algoritmalar, normdan sapmaları tespit eder. Ardından, bu anormal davranışlar belirli bir güvenlik kuralını tetikleyebilir. Örneğin, "1 dakikada 50 yanlış parola denemesi" gibi durumlar, siber saldırı girişimlerine işaret eder ve bu tür olaylar analiz gerektiren durumlar arasında yer alır.

Olay, ağ veya sistem üzerindeki herhangi bir aktiviteyi ifade eder. Ör: IP adresi alma.

Bu durumlar göz önüne alındığında, analistlerin sürekli olarak izleme yapabilmesi ve aniden ortaya çıkan tehditleri değerlendirmesi gerekmektedir.

Noktaları Birleştirmek

Korelasyon, farklı olaylar arasında bağlantı kurma işlemidir ve siber güvenlikte kritik bir rol oynar. SIEM araçları, farklı kaynaklardan elde edilen olay verilerini analiz ederek anlamlı ilişkiler oluşturur. Örneğin, bir kullanıcının normal oturum açma işlemi sırasında gerçekleştirilen şüpheli aktiviteler, bir araya getirilerek bir alarmın tetiklenmesine yol açabilir.

Farklı olaylar arasında bağlantı kurma işlemine korelasyon denir.

Bu aşamada, analistlerin düşünme tarzı ve tecrübeleri, tehditleri anlamak ve belirlemek açısından kritik bir önem taşır.

MODÜL FİNALİ

Bütün bu sürecin sonucunda, olayların nasıl alarma dönüştüğünü anlamak, güvenlik stratejileri geliştirmek için şarttır. Bir günlük senaryo üzerinden değerlendirdiğimizde, olayların kökenine inmek ve bu olayları analiz etmek, güvenlik analistlerinin temel yetkinliklerinden biri olmalıdır. Siber güvenlikte etkili bir müdahale, olayların detaylı bir şekilde incelenmesi ve korelasyon kurallarının etkin kullanılması ile mümkün olmaktadır.

Risk, Yorumlama ve Savunma

Siber güvenlik ortamında risk, yalnızca zararın büyüklüğüyle değil, aynı zamanda ortaya çıkma olasılığıyla da bağlantılıdır. Bir güvenlik riski, sistemlerin, veri bütünlüğünün ve organizasyonun genel güvenliğinin tehlikeye girmesine yol açabilen bir olay veya durumdur. Dolayısıyla, risklerin yorumlanması, herhangi bir savunma mekanizmasının temeli olmalıdır. Analistler, elde ettikleri verileri inceleyerek çeşitli risklerin algılanması, yorumlanması ve gerekli savunma mekanizmalarının geliştirilmesi açısından büyük sorumluluk taşırlar.

Elde Edilen Bulguların Güvenlik Anlamı

Bir ağda gerçekleşen her türlü faaliyet 'olay' (event) olarak adlandırılır. Örneğin, bir kullanıcının sisteme giriş yapması veya dosyaların açılması gibi aktiviteler. Ancak, bu olayların tümü tehlike arz etmez. Dolayısıyla, bir olayın potansiyel bir tehlike işareti olup olmadığına karar vermek, siber güvenlik analistinin görevleri arasında yer alır. Burada analistin temel kuralı, her olayın bir alarm (alert) yaratmadığıdır. Sadece belirli kriterleri karşılayan ve şüphe uyandıran olaylar alarmlar olarak değerlendirilir.

Örneğin, bir kullanıcının yanlış parolayla sisteme giriş yapmaya çalışması bir olaydır. Ancak bu durumun 1 dakika içerisinde 50 kez tekrarlanması, 'şüpheli olay' (suspicious event) olarak değerlendirilir. Bu noktada kritik olan, meydana gelen olayın doğasıdır; analist, olayları bağlayarak daha büyük bir tehdit algılaması oluşturmalıdır.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Sistemlerde meydana gelen olayların gereği gibi incelenmemesi veya yanlış yapılandırmalar, ciddi güvenlik açıklarına yol açabilir. Örneğin, bir sunucunun yanlış bir şekilde yapılandırılması, yetkisiz erişimlere zemin hazırlayabilir. Bunun sonucunda kritik verilerin ele geçirilmesi veya sistemin tamamen işlevsiz hale gelmesi durumu söz konusu olabilir.

Kod örneği olarak, bir düzensiz yapılandırma olayı şu şekilde olabilir:

# Yanlış izin ayarları
chmod 777 /kritik_dosya

Bu komut, kritik bir dosyanın herkes tarafından okunmasını ve yazılmasını sağlar, bu da veri sızıntısı veya dosya manipülasyonuna sebep olabilir.

Zafiyetlerin etkisini anlamanın en önemli yollarından biri, elde edilen veriler üzerinde detaylı bir analiz yapmaktır. Örneğin, bir SIEM (Security Information and Event Management) aracı kullanarak logları analiz etmek, sistemdeki anormallikleri tespit etmek için avantaj sağlar. SIEM sistemleri, analog veriyi anlamlı tehdit alarmlarına dönüştürmekle yükümlüdür.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan verilere dair bir örnek vermek gerekirse, bir ağ katmanında yer alan bir güvenlik açığının ortaya çıkması, o ağ üzerindeki kullanıcı bilgilerini tehlikeye atabilir. Ağın topolojisini incelemek, özellikle hangi cihazların etkilendiğini ve zafiyetin genişliğini belirlemek açısından kritiktir. Servis tespitinde ise, ağ üzerinde süreçlerin nasıl çalıştığını anlamak için kullanıcı aktiviteleri, dosya açma ve kapama gibi işlemler göz önünde bulundurulmalıdır.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik alanında elde edilen bu bulgular ışığında, profesyonel önlemler almak kaçınılmazdır. Network segmentasyonu, sadece gerekli kullanıcıların belirli kaynaklara erişimini sağlamak için kritik bir yöntemdir. Ayrıca, yapısal hardening işlemleriyle sistemin güvenlik seviyesini artırmak mümkündür. Örneğin, firewall kuralları, güncel yazılımların kullanılması ve güçlü parola politikalarının uygulanması gibi önlemler alınmalıdır.

Bir hardening aşaması sürecinde izlenebilecek adımlar şu şekildedir:

# Firewall kuralları ile izinlerin kısıtlanması
iptables -A INPUT -p tcp --dport 22 -j DROP  # SSH bağlantılarını bloke et

Bu gibi kurallar, yalnızca belirli IP adreslerinden gelen isteklere izin vermek suretiyle güvenliği artırabilir.

Sonuç Özeti

Sonuç olarak, siber güvenlik alanında risklerin etkili bir biçimde yorumlanabilmesi, proaktif savunma stratejilerinin geliştirilmesinde önemli bir rol oynamaktadır. Yanlış yapılandırmaların ve zafiyetlerin sistem üzerindeki etkilerini anlamak, analistlerin kritik görevlerinden biridir. Elde edilen bulgular ışığında, doğru önlemleri almak güvenli bir siber ortam yaratmak için elzemdir. Bu nedenle, her adımda dikkatli ve özenli olmak gereklidir.