CyberFlow Logo CyberFlow BLOG
Mssql Pentest

Audit ve Login Failure Politikasının Önemi: Siber Güvenlikte Adım Adım İnceleme

✍️ Ahmet BİRKAN 📂 Mssql Pentest

Audit ve login failure politikaları, siber güvenlikte olayları erken aşamada tespit etmek için kritik öneme sahiptir.

Audit ve Login Failure Politikasının Önemi: Siber Güvenlikte Adım Adım İnceleme

Siber güvenlikte audit ve login failure politikaları, güvenlik ihlallerinin önlenmesi için büyük önem taşır. Bu blog yazısında, SQL Server audit yapısını adım adım inceleyeceğiz ve önemli kavramları ele alacağız.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, organizasyonların veri güvenliğini sağlamak ve potansiyel tehditleri önleyebilmek için uyguladıkları politikalar hayati bir öneme sahiptir. Bu bağlamda, "Audit" yani denetim politikaları ile "Login Failure" yani oturum açma başarısızlıklarını izleme politikaları, siber güvenlik stratejilerinin temel yapı taşlarını oluşturmaktadır.

Bu blog yazısında, denetim ve oturum açma başarısızlıkları politikalarının ne derece kritik olduğunu ele alacak, bu politikaların nasıl yapılandırılması gerektiğini ve neden bu önlemlerin her kuruluş için vazgeçilmez olduğunu inceleyeceğiz.

Neden Önemli?

Siber tehditlerin hızla evrildiği günümüzde, organizasyonların güvenlik politikalarını güncel tutması hayati bir öneme sahiptir. Audit politikalarının doğru bir şekilde uygulanması, yalnızca iç tehditlerden değil, aynı zamanda dış saldırılardan da korunma sağlayarak veri bütünlüğünü temin eder. Örneğin, SQL Server'da oluşturulacak bir audit politikası, yalnızca yetkisiz erişimlerin kaydedilmesi ile kalmayıp, aynı zamanda sistemdeki alışılmadık davranışların da izlenmesine olanak tanır.

Başarısız oturum açma girişimlerinin kaydedilmesi, bir saldırı tespit sürecinin kritik bir parçasıdır. Oturum açma başarısızlıkları, genellikle kötü niyetli kullanıcıların sistemlere girmeye çalıştıklarının bir göstergesi olabilir. Örneğin, bazı durumlarda kullanıcıların sahte kimliklerle sisteme girmeye çalışmaları, bir güvenlik açığını tetikleyebilir. Bu tür veri kayıtları sayesinde sistem yöneticileri, anormalliklere karşı zamanında önlem alabilir.

Siber Güvenlik Bağlamında Denetim ve Login Failure Politikasının Rolü

Denetim ve oturum açma başarısızlıkları politikaları, organizasyonların güvenlik durumunu analiz etmek ve iyileştirmek için kritik bir yapı sunar. Bu politikaların işleyişi, veri güvenliği ve sistem bütünlüğü açısından bir yol haritası gibi işlev görür.

Audit Politikasının Temel Bileşenleri

Audit politikaları, organizasyona özgü risk profili ile doğrudan ilişkilidir. Başarılı bir denetim politikası, aşağıdaki unsurları içermelidir:

  1. Denetim Amaçları: Hangi olayların denetleneceği ve bu olayların nasıl değerlendirileceği belirlenmelidir.
  2. Audit Specification: Denetim sırasında hangi hedeflerin izleneceği ve hangi kriterlere göre ölçümlerin yapılacağı belirlenmiş olmalıdır.
  3. Günlük Kayıt Yönetimi: Denetim verilerinin doğru bir şekilde kaydedilmesi ve analiz edilmesi, tehditleri tespit etmek için kritik öneme sahiptir.

Login Failure Politikasının İşlevi

Oturum açma başarısızlıkları politikası, kullanıcıların sistemlere giriş denemeleri sırasında karşılaştıkları hataları kaydederek, potansiyel saldırılara dair önemli veriler sunar. Aynı zamanda, bu başarısızlıkların nedenleri hakkında detaylı analizler yapılmasını sağlar. Örneğin, bir kullanıcı defalarca başarısız bir girişimde bulunduğunda, bu durum sistem yöneticilerine bir uyarı niteliği taşır.

Sistem yöneticileri, bu tür bilgileri değerlendirerek aşağıdaki adımları atabilir:

  • Failures kategorisi belirlemek ve bu kategorilere göre kullanıcıları analiz etmek
  • Sistemden kullanıcıların çıkarılması gereken durumları belirlemek
  • Kullanıcılara eğitim vererek güvenlik bilincini artırmak

Hazırlık

Bu yazı boyunca, teknik olarak audit ve login failure politikalarının nasıl yapılandırılacağı, yönetileceği ve analiz edileceği konularına değineceğiz. Uygulamalarımızda, SQL Server gibi yaygın kullanılan veri tabanı yönetim sistemlerinde yer alan denetim mekanizmaları örnek alınacaktır. Yukarıda bahsedilen unsurların her biri, bir siber güvenlik stratejisinin temeli olan güvenlik yönetimi açısından ele alınacak ve hangi adımların izlenmesi gerektiği adım adım ortaya konacaktır.

Unutulmamalıdır ki, güçlü bir siber güvenlik stratejisi oluşturmak için en başta etkin denetim politikaları ve oturum açma başarısızlıklarına dair değerlendirmelerin sistematik bir şekilde yapılması gerekmektedir.

Teknik Analiz ve Uygulama

Audit ve Login Failure Politikasının Önemi: Siber Güvenlikte Adım Adım İnceleme

Adım 1: Sunucu Denetim Yapılandırmasını Görüntüleme

Siber güvenlik alanında etkili bir denetim mekanizması oluşturmak için öncelikle mevcut sunucu denetim yapılandırmalarını incelemek önemlidir. SQL Server'da bu yapılandırmaları görüntülemek için aşağıdaki SQL sorgusunu kullanabilirsiniz:

SELECT * FROM sys.server_audits;

Bu sorgu, sunucuda tanımlanmış tüm denetim nesnelerini listeler. Her bir nesne, denetimde izlenecek olayların belirlenmesine yardımcı olur.

Adım 2: Denetim Amaçları

Denetim politikaları, farklı güvenlik amaçlarına hizmet eder. Bunlardan bazıları;

  • Güvenlik İzleme: Yetkisiz erişim veya anormal davranışları tespit etmeye yardımcı olur.
  • Uyumluluk Takibi: Kurumsal veya yasal güvenlik gereksinimlerinin karşılanmasını doğrulamak için kullanılır.
  • Olay Soruşturması: Bir güvenlik olayı sonrasında gerçekleşen olayları analiz etmek için kritik bir araçtır.

Adım 3: Denetim Kavramı

Denetim, sistem olaylarının güvenlik amaçları doğrultusunda kaydedilmesi ve analiz edilmesi sürecidir. SQL Server, bu hedefe ulaşmak için bir dizi yapılandırma sunar. Denetim politikaları, hangi olayların kaydedileceğini belirleyerek sistem güvenliğini artırmaya yardımcı olur.

Adım 4: Login Denetim Politikasını Görüntüleme

Sunucu üzerinde login denetim ayarlarını kontrol etmek için şu komutu kullanabilirsiniz:

EXEC xp_loginconfig;

Bu komut, SQL Server'da oturum açma ile ilgili yapılandırmaları gösterir. Planlı bir denetim stratejisi için login failure (başarısız giriş) politikasının kesinlikle etkin olması gerekir.

Adım 5: Login Failure Analizi

Başarısız giriş olayları, siber saldırılar için önemli bir sinyal oluşturur. Sisteminizde kayıt altına alınan bu tür olayları incelemek, potansiyel tehditleri ortaya çıkarmak için kritik bir adımdır.

Adım 6: Başarısız Giriş Kaydı

Başarısız giriş denemeleri genellikle sistem loglarında izlenir. SQL Server, bu logları yönetmek ve analiz etmek için özel mekanizmalara sahiptir. Aşağıdaki komut, hataları okumak için kullanılabilir:

EXEC xp_readerrorlog;

Bu komut, SQL Server hata loglarını okuyarak, hangi kullanıcıların, ne zaman ve neden başarısız giriş denemesinde bulunduğunu analiz etmenize yardımcı olur.

Adım 7: SQL Server Loglarını Okuma

SQL Server logları, güvenlik olaylarını belirlemek için önemli bir kaynaktır. Bu loglar, denetim süreçlerine dair verileri depolar ve gerektiğinde analiz edilmeye hazırdır. Giriş denemeleri ile ilgili bilgileri toplamak için yukarıda belirtilen komutlar kullanılabilir.

Adım 8: Denetim Bileşenleri

SQL Server audit mekanizması birkaç bileşenden oluşur; her biri farklı görevleri üstlenir. Örneğin, audit specification nesneleri, izlenmesi gereken olayları belirlerken, audit action group'lar benzer olayların mantıksal olarak gruplanmasını sağlar.

Adım 9: Günlük Kayıt Kavramı

Günlük kayıtları, sistem olaylarının kronolojik olarak kaydedilmesi sürecidir. Bu süreç, güvenlik izleme için hayati bir öneme sahiptir ve yetkisiz erişimlerin veya anormal davranışların izlenmesini sağlar.

Adım 10: Sunucu Audit Specification Listeleme

Audit specification nesnelerini listelemek için aşağıdaki sorguyu kullanarak yapılandırmayı gözden geçirebilirsiniz:

SELECT * FROM sys.server_audit_specifications;

Bu bilgi, sistemdeki denetim nesneleri hakkında daha fazla bilgi edinmenizi sağlar.

Adım 11: Güvenlik Önlemleri

Güvenlik politikaların etkinliğinin artırılması için alınacak önlemler arasında login failure kayıtlarının etkinleştirilmesi ve değerlendirilmesi bulunmaktadır. Başarısız giriş denemelerinin kaydedilmesi, olası saldırıların erken tespit edilmesi açısından oldukça faydalıdır.

Adım 12: Nihai Güvenlik Hedefi

Son olarak, audit ve login failure politikalarının temel amacı, güvenlik olaylarını erken aşamada tespit edebilmektir. Bu, organizasyonların saldırılara karşı daha hazırlıklı olmasını sağlar ve güvenlik ihlalleri durumunda hızlı müdahale şansı verir.

Bu adımların her biri, SQL Server'da siber güvenlik stratejinizi güçlendirmek için kritik öneme sahiptir. Denetim ve login failure politikalarının yapılandırılması, dış tehditlere karşı önemli bir savunma hattı oluşturur.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, sistemlerin güvenliğini sağlamak ve olası tehditleri önceden tespit etmek için çeşitli stratejiler geliştirilmiştir. Bu bağlamda, "Audit" ve "Login Failure" politikaları kritik bir rol oynamaktadır. Bu bölümde, bu iki kavramın önemini, riskleri, uygulanabilecek savunma mekanizmalarını ve güvenlik analizinin nasıl yapılacağını inceleyeceğiz.

Elde Edilen Bulguların Yorumlanması

Audit sistemlerinin doğru yapılandırılması, güvenlik gözlemleme sürecinde temel bir adımdır. SQL Server gibi veritabanı sistemlerinde audit, yetkisiz erişim ve anormal davranışların tespit edilmesine olanak tanır. Başarısız oturum açma girişimleri, potansiyel bir saldırının habercisi olabilir. Bu bağlamda, sistem günlüğü kayıtları ve denetim spesifikasyonları incelenerek aşağıdaki veriler yorumlanabilir:

  • Başarısız Girişler: Sistemde sık sık karşılaşılan başarısız oturum açma girişimleri, kullanıcıya yönelik bir hedef alındığını gösterebilir. Bunun yanında, aynı kullanıcı adına yapılan art arda başarısız denemeler, "Repeated Login Failures" olarak tanımlanır ve bu durum sistemin zafiyetine veya kötü niyetli bir saldırıya işaret edebilir.

  • Geçersiz Kullanıcı Denemeleri: Mevcut olmayan kullanıcı adı ile yapılan giriş denemeleri, sistemin zayıf noktaları veya potansiyel saldırı girişimlerinin göstergeleri olabilir. Bunun sonucunda, sistem yöneticileri hangi kullanıcıların denemelerde bulunduğunu gözlemleyerek önleyici tedbirler alabilir.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırılmış audit ve login yükümlülükleri, bir sistemin güvenlik açığını artırabilir. Örneğin:

  • Audit Yetersizlikleri: Audit spesifikasyonlarının doğru bir şekilde yapılandırılmaması, önemli güvenlik olaylarının gözden kaçmasına neden olabilir. Audit hedefleri ve işlem gruplarının uygun bir biçimde belirlenmemesi, saldırıların tespit edilmesini zorlaştırır.

  • Bağlantı Zafiyetleri: Doğru yapılandırılmamış bir login failure politikası, sistem karşısında yetkisiz erişimlerin artmasına neden olabilir. Örneğin, "Enable Login Failure Auditing" kombinasyonunun kullanılmaması, kötü niyetli kullanıcıların giriş denemeleri hakkında sistem yöneticilerini bilgilendirmeyen bir duruma yol açar.

Sızan Veri, Topoloji, Servis Tespiti

Audit ve login failure kayıtları, sistemin etrafındaki tehditleri ve sızan verilerin doğasını analiz etmede kritik öneme sahiptir. Aşağıdaki unsurlar, güvenlik analizinde dikkate alınmalıdır:

  • Sistem Topolojisi: Audit kayıtlarından elde edilen bilgiler sayesinde sistem topolojisinde hangi bileşenlerin hedef alındığı belirlenebilir. Bu bilgi, riskin değerlendirilmesinde yardımcı olur.

  • Servis Tespiti: Hangi hizmetlerin hedef alındığı ve bu hizmetlerin güvenlik açıkları belirlenerek daha etkili savunma stratejileri oluşturulabilir.

SELECT * FROM sys.dm_exec_sessions WHERE is_user_process = 1;

Bu sorgu, o an aktif kullanıcı işlemlerini göstererek, sistem üzerindeki anormal girişimlerin izlenmesine yardımcı olabilir.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik zafiyetlerinin önüne geçmek için aşağıdaki önlemler alınabilir:

  1. Audit ve Login Failure Politikalarının Yapılandırılması: Belirlenen spesifikasyonlarla, audit ve login failure mekanizmalarının uygulanması sağlanmalıdır. Örneğin, "Centralized Log Storage" ile logların tek bir yerde toplanması, analiz sürecini kolaylaştırır.

  2. Uyarı Eşiğinin Belirlenmesi: Başarısız giriş denemeleri için belirlenen uyarı eşiği, belirli sayıda denemeden sonra sistem yöneticisini uyarmalıdır. Bu, potansiyel saldırıları erken aşamada tespit etmeye yardımcı olur.

  3. Eğitim ve Farkındalık: Kullanıcıların güvenlik konusunda bilinçlenmesi ve eğitim alması, insan hatası ile gerçekleşen güvenlik ihlallerinin önüne geçilmesine yardımcı olur.

Sonuç Özeti

Audit ve login failure politikalarının etkin bir şekilde uygulanması, sistemlerin güvenliği için hayati öneme sahiptir. Doğru yapılandırmalar, olası zafiyetlerin erken tespiti ve uygun savunma stratejilerinin geliştirilmesi açısından kritik rol oynamaktadır. Güvenlik sürekliliği sağlamak için, bu mekanizmaların düzenli olarak gözden geçirilmesi ve güncellenmesi gerekmektedir. Unutulmamalıdır ki, siber güvenlik sürekli değişen bir tehdit ortamında dinamik bir yaklaşım gerektirir.