CyberFlow Logo CyberFlow BLOG
Soc L3 Data Hunting

Güvenlik Veri Göllerinin Mimari Yapısı ve Avantajları

✍️ Ahmet BİRKAN 📂 Soc L3 Data Hunting

Güvenlik veri gölleri, siber güvenlikte veri yönetiminin temel taşlarını oluşturur. Bu blog, mimari yapısını ve avantajlarını ele alıyor.

Güvenlik Veri Göllerinin Mimari Yapısı ve Avantajları

Güvenlik veri gölleri, farklı kaynaklardan gelen verileri merkezi bir yapıda toplar. Bu blogda, veri göllerinin mimari yapısı, avantajları ve analistlerin ihtiyaçları ele alınıyor.

Giriş ve Konumlandırma

Giriş

Günümüzde siber güvenlik alanında veri yönetimi, tehditlerin tespit edilmesi ve önlenmesi açısından kritik bir öneme sahiptir. Özellikle, büyük miktarda verinin sürekli olarak üretildiği ve işlendiği dijital ortamda, etkili bir veri yönetimi stratejisi oluşturmak zorunlu hale gelmiştir. Bu noktada, güvenlik veri gölleri (Data Lakes), farklı kaynaklardan gelen verilerin yapılandırılmış ve yapılandırılmamış biçimlerinin bir arada tutulmasını sağlayarak siber güvenlik analistlerine büyük bir esneklik sunmaktadır.

Veri Gölü Kavramı

Veri gölleri, çeşitli kaynaklardan gelen yapılandırılmış, yarı yapılandırılmış veya tamamen ham haldeki verilerin tek bir merkezde depolanmasını sağlayan bir mimaridir. Geleneksel veri tabanlarının sunduğu şema bazlı yapıdan uzak, veri gölleri, verilerin nasıl ve ne şekilde kullanılacağını daha sonra belirleme esnekliğine sahip olmanızı sağlar. Bu, özellikle siber güvenlik analistleri açısından avantajlıdır; çünkü geçmişte toplanmış log verilerine erişim sağlarken sorgulamanın ihtiyaçlara göre yapılandırılmasına imkân tanır.

Veri Gölü: Yapılandırılmış ve yapılandırılmamış verilerin merkezi depolanması.

Neden Önemli?

Siber güvenlikte veri yönetimi, hem tehditlerin tespit edilmesi hem de bunların önlenmesine yönelik stratejilerin geliştirilmesi açısından kritik bir unsurdur. Geleneksel SIEM (Security Information and Event Management) sistemleri genellikle gerçek zamanlı uyarılara odaklansa da, veri gölleri ham verilerin uzun süreli ve düşük maliyetle depolanmasını sağlayarak geçmişteki tehditlerin analizine olanak tanır. Bu da güvenlik analistlerinin daha kapsamlı bir tehdit avcılığı yapmasını mümkün kılar. Özellikle büyük verilerin analiz edilmesi gerektiğinde, veri gölleri bu tür veri kümesine erişim sağlamak için gereken esnekliği sunar.

Siber Güvenlik ve Pentest Bağlamı

Güvenlik veri gölleri, pentest (penetrasyon testleri) süreçlerinde de önemli bir rol oynar. Bu dönemde, siber güvenlik uzmanları ve analistler, sistemlerin zayıf noktalarını belirlemek için geçmiş logları inceleme ihtiyacı duyarlar. Veri gölleri, analistlerin geçmişe dönük verileri sorgulamalarına ve olası güvenlik açıklarını tespit etmelerine yardımcı olur. Böylelikle, potansiyel tehditler hakkında proaktif önlemler alınabilir.

Teknik İçeriğe Hazırlık

Güvenlik veri gölleri, siber güvenlik stratejilerinin önemli bir bileşeni olmasının yanı sıra, bu alandaki mevcut teknoloji ve metodolojilerle entegre bir biçimde kullanılmalıdır. Kullanılacak teknolojiler arasında Apache Kafka ile veri alımı, Amazon S3 gibi bulut tabanlı depolama çözümleri, ve Elasticsearch gibi veri analizi araçları bulunmaktadır. Bu teknolojiler, veri gölleri içinde veri akışı, depolama ve işleme süreçlerini etkili bir şekilde yönetmenize olanak tanır.

Gelecek bölümlerde, güvenlik veri göllerinin mimari yapısını daha derinlemesine inceleyecek, avantajlarını ve kullanım senaryolarını detaylandıracağız. Veri göllerinin avantajları arasında, "Schema-on-Read" yaklaşımı, soğuk depolama çözümleri ve veri boru hatları gibi kavramlar yer alırken, analistlerin bu mimariden nasıl yararlanabileceğini de keşfedeceğiz.

Veri gölleri, günümüz siber güvenlik ekosisteminde önemli bir yapı taşını temsil etmekte ve güvenlik operasyonlarının etkinliğini artırmaktadır. Bu bağlamda, teknoloji ve siber güvenlik arasındaki ilişkiyi anlayarak, tehditlere karşı daha sağlam bir savunma mekanizması oluşturmak mümkündür.

Teknik Analiz ve Uygulama

Veri Gölü Kavramı

Güvenlik veri gölleri, çeşitli kaynaklardan gelen yapılandırılmış, yarı yapılandırılmış ve ham haldeki verilerin tek bir merkezi depolama alanında toplandığı mimarilerdir. Bu sistemler, veri analizi ve tehdit avcılığı için kritik bir öneme sahiptir. Geleneksel SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sistemleri, genellikle kısa ve orta vadeli log depolar ve gerçek zamanlı uyarılar için optimizasyon sağlarken, veri gölleri uzun süreli ve düşük maliyetli bir depolama çözümü sunar.

SIEM ve Data Lake Karşılaştırması

Güvenlik operasyonlarında kullanılan iki temel veri depolama yaklaşımını ele alalım. SIEM sistemleri, yüksek maliyetle yapılandırılmış ve sınırlı sürede saklama kapasitesine sahipken, veri gölleri ham verileri yapılandırmaya sokmadan uzun süreli depolar. Bu durum, tehdit avcılarının geçmişe yönelik analiz yapmalarını ve büyük veri setlerini sorgulamalarını kolaylaştırır.

Ham Veri Avantajı

Veri gölleri, ham logları depolamak için ideal bir çözüm sunar. Bu sistemler, verinin sorgulanma anında yapılandırılmasına olanak tanır. Bu yapı, analistlere daha fazla esneklik sağlayarak veriyi ihtiyaca göre analiz etmelerine imkan tanır. Kullanıcılar, istedikleri veriyi sorgulayabilir ve ihtiyaç duydukları bilgiler üzerinde çalışabilirler.

Schema-on-Read (Okuma Anında Şema)

Veri gölleri, "schema-on-read" yaklaşımını benimser. Bu, verinin yapısının analist tarafından sorgulandığı anda belirlendiği anlamına gelir. Böylelikle, veri analizi sırasında esneklik sağlanır ve farklı türde veri setlerinin yönetimi kolaylaşır. Örneğin, Apache Hive kullanarak bir veri gölünde veriyi okuma aşamasında şemaları belirlemek için şu şekilde bir sorgu kullanılabilir:

CREATE EXTERNAL TABLE IF NOT EXISTS access_logs (
    ip STRING,
    timestamp STRING,
    request STRING,
    status INT
)
ROW FORMAT DELIMITED
FIELDS TERMINATED BY ','
LOCATION '/data/access_logs/';

Bu sorgu, verinin dışarıdan alındığı konumu belirlerken, ihtiyaç duyulan formatta veri okuma işlemini sağlar.

Veri Gölü Mimarisi Katmanları

Güvenlik veri gölleri, temelde beş katmandan oluşur:

  1. Veri Alımı (Ingestion): Logstash veya Apache Kafka gibi araçlar kullanılarak verinin kaynaklardan anlık veya belirli aralıklarla alınması.
  2. Depolama (Storage): HDFS veya Amazon S3 gibi nesne tabanlı depolama çözümleri kullanılarak verinin fiziksel olarak saklanması.
  3. İşleme (Processing): Büyük veri üzerinde Apache Spark veya benzeri dağıtık hesaplama motorlarının kullanılması.
  4. Analiz (Analysis): Veri setleri üzerinde makine öğrenimi algoritmalarının çalıştırılması.
  5. Görselleştirme (Visualization): Sonuçların kullanıcı dostu aracılarla görselleştirilmesi.

Bu katmanlar, verinin işlenmesi sürecini organize eder ve güvenlik analistlerine kapsamlı bir bakış açısı kazandırır.

Soğuk Depolama (Cold Storage)

Güvenlik veri gölleri, geçmişe yönelik analizler için "soğuk depolama" alanlarını kullanır. Bu, sık erişim gerektirmeyen verilerin daha düşük maliyetli alanlarda saklanmasına imkan tanır. Soğuk depolama, verilerin yıllar boyu saklanabilmesini sağlar, böylece tehdit avcıları, aylar veya yıllar öncesine ait veriler üzerinde de analiz yapabilir.

Güvenlik Veri Gölü Teknolojileri

Güvenlik veri gölleri arasında sıklıkla kullanılan bazı teknolojiler şunlardır:

  • Apache Kafka: Yüksek hacimli log verilerinin gerçek zamanlı taşınmasını sağlayan bir mesajlaşma ve akış platformudur.
  • Elasticsearch: Büyük veri setleri üzerinde metin araması ve indeksleme yapan güçlü bir motor.
  • Amazon S3 / Azure Blob: Bulut tabanlı, sınırsız ölçeklenebilir ve düşük maliyetli nesne depolama hizmetleri.

Bu teknolojiler, veri gölü mimarisini destekleyen ve analiz süreçlerini hızlandıran önemli bileşenlerdir.

Analist Esnekliği

Veri gölü mimarisi, analistlere esneklik sağlar. Analistler, veri sorgulama sırasında verinin yapısını belirleyerek ihtiyaç duydukları bilgileri daha kolay bir şekilde elde edebilirler. Bu esneklik, güvenlik operasyonlarını daha etkili hale getirir ve tehditlere karşı hızlı tepki verme yeteneğini artırır.

Data Pipeline (Veri Boru Hattı)

Veri göllerinde veri akışı, veri boru hattı (pipeline) aracılığıyla yönetilir. Bu, ham logların kaynaktan alınıp, temizlenip ve dönüştürülerek analize hazır hale gelmesi için kullanılır. Aşağıdaki basit örnek, bir verinin Apache NiFi üzerinden aktarılması sürecini gösterir:

GetFile -> UpdateAttribute -> PutDatabaseRecord

Bu basit yapılandırma, dosyaların önce sistemdeki bir lokasyondan alınmasını, daha sonrasında belirli alanları güncelleyerek bir veri tabanına aktarılmasını sağlar.

Veri gölleri, modern güvenlik operasyonlarının temel taşlarından biri olarak, tehdit avcılarına ve güvenlik analistlerine ihtiyaç duydukları verileri sağlama konusunda esneklik ve ölçeklenebilirlik sunar.

Risk, Yorumlama ve Savunma

Elde Edilen Bulguların Güvenlik Anlamı

Güvenlik veri gölleri, farklı kaynaklardan ham verilerin toplandığı, almacan bir yapı sunan sistemlerdir. Bu yapı, verilerin analiz edilebilirliğini artırırken, aynı zamanda saldırı yüzeyini de genişletebilir. Elde edilen bulgular, sistem içerisinde potansiyel zafiyetleri veya yanlış yapılandırmaları işaret ederek, güvenlik uzmanlarının bu durumları tespit etmelerine yardımcı olur. Örneğin, belirli bir hizmete gerçekleştirilen olağan dışı isteklerin sayısının artması, kötü niyetli bir aktivitenin olabileceğine dair bir uyarı olarak yorumlanmalıdır.

Veri analizi, sistemdeki zayıflıkları tespit etmenin yanı sıra, kullanıcı davranışlarını anlamaya ve tehditleri daha önceden tahmin etmeye de yardımcı olabilir. Aşağıda, sistem açısında bazı yaygın tehdit tespit örnekleri verilmiştir:

| Tehdit Türü         | Belirtiler                                           |
|---------------------|-----------------------------------------------------|
| Sızma verileri      | Anormal veri akışı ve kullanıcı etkinliği          |
| Yanlış yapılandırma | Kullanıcı izinlerinin yanlış ayarlanması            |
| Servis tespiti      | Bilinmeyen veya beklenmeyen sunucu yanıtları       |

Yanlış Yapılandırma ve Zafiyet Etkileri

Yanlış yapılandırmalar, veri gölü mimarisinde yaygın olarak karşılaşılan bir sorundur. Örneğin, erişim kontrol listelerinin (ACL'lerin) yanlış ayarlanması, yetkisiz kullanıcıların hassas verilere ulaşmasına ve veri sızıntılarına yol açabilir. Burada hassas bilgilerin açığa çıkması, hem yasal yükümlülükler hem de itibar zararı açısından ciddi sonuçlar doğurabilir.

Zafiyetlerin etkisi ise sadece veri kaybı ile sınırlı kalmayabilir; aynı zamanda sistemin işleyişini etkileyen DDoS saldırıları gibi durumlar da göz önünde bulundurulmalıdır. Zafiyetlerin erkenden tespit edilip kapatılmaması, sistemin performansını da olumsuz etkileyebilir. Bu nedenle, sürekli izleme ve düzenli test süreçleri uygulamak, sistem güvenliğinin güçlendirilmesi için kritik öneme sahiptir.

# Zafiyet tespiti için kullanılabilecek bir örnek komut:
nmap -sV <Hedef_IP>

Sızan Veri, Topoloji ve Servis Tespiti

Veri gölü analizlerinde sızan verilerin tespiti, yapılan işlemlerin doğru yorumlanmasına olanak tanır. Örneğin, belirli bir kullanıcının hesabında onay alınmadığı halde gerçekleşen yüksek hacimli veri çıkışı, veri sızıntısının bir göstergesi olabilir. Bu tür olayların tespit edilmesi, anlık olarak müdahale edilmesini sağlar.

Veri topolojisi, sistemin nasıl yapılandırıldığına dair değerli bilgiler sunar. Ağaç yapısı biçimindeki bir ilişkisel diagram ile, sistem içindeki hizmetlerin birbiriyle olan bağlantıları ve potansiyel saldırı yüzeyleri belirlenebilir. Bu bağlamda, aşağıdaki bilgiler önemli bir karar alma süreci sunar:

  • Hizmetlerin Bağlantıları: Hangi hizmetlerin birlikte çalıştığı ve olası güvenlik açıklarını oluşturabileceği.
  • Veri Akışının Anlaşılması: Verinin nereden gelip nereye gittiği bilgisi ile olası sızma noktalarının tespit edilmesi.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik veri göllerinin korunması, birçok önleme stratejisi gerektirir. Bu stratejilerden bazıları şunlardır:

  1. Güvenli Erişim Kontrolleri: Veriye erişim izni sadece yetkilere dayalı olarak verilmelidir.
  2. Güçlü Kimlik Doğrulama: Çok faktörlü kimlik doğrulama (MFA) gibi yöntemlerin uygulanması, yetkisiz erişimin önlenmesine yardımcı olur.
  3. Sürekli İzleme: Gerçek zamanlı izleme sistemlerinin kurulması, anomali ve tehditlerin hızlıca tespit edilmesini sağlar.
  4. Veri Şifreleme: Data at-rest ve data in-transit verilerinin şifrelenmesi, veri kaybı durumunda sızıntının etkisini azaltır.
  5. Düzenli Güvenlik Testleri: Sistem zafiyetlerini belirlemek için penetrasyon testleri ve güvenlik denetimleri düzenli olarak yapılmalıdır.

Sonuç Özeti

Güvenlik veri gölleri, büyük miktarda veriyi yönetirken potansiyel tehditleri tespit etme konusunda önemli bir role sahiptir. Ancak, yanlış yapılandırmalar ve zafiyetler, ciddi güvenlik riskleri oluşturabilir. Sürekli izleme, profesyonel önlemler ve doğru yapılandırma ile bu risklerin azaltılması mümkündür. Veri gölleri tarafından sağlanan esneklik ve derin veri analizi yöntemleri, güvenlik operatörlerine daha etkin bir savunma imkânı tanır.