CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Korelasyon Kuralları: Siber Güvenlikte Anlamlı Bir Savunma

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Korelasyon kuralları, siber güvenlikte saldırı tespiti için kritik öneme sahiptir. Olayları birleştirerek gerçek tehditleri ortaya çıkarır.

Korelasyon Kuralları: Siber Güvenlikte Anlamlı Bir Savunma

Bu yazıda, siber güvenlik analistleri için korelasyon kurallarının nasıl çalıştığını ve önemini ele alıyoruz. Olaylar arasındaki mantıksal bağları keşfedin!

Giriş ve Konumlandırma

Siber güvenlik, günümüz dijital dünyasının en önemli bileşenlerinden biridir. Her geçen gün artan siber tehditler, işletmelerin bilgi güvenliği stratejilerini güçlendirmesine ve daha etkili savunma mekanizmaları geliştirmesine ihtiyaç duymaktadır. Bu bağlamda, "korelasyon kuralları" önemli bir rol oynamaktadır. Korelasyon, farklı kaynaklardan gelen olayların birlikte değerlendirilerek anlamlı bilgiler elde edilmesi sürecidir. Ancak bu kuralların etkili bir şekilde çalışabilmesi için dikkatlice yapılandırılması gerekmektedir.

Korelasyonun Temelleri

Korelasyon kuralları, bir SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sisteminin temel taşlarından biridir. Tek başına olay kayıtlarının (logların) depolanması, bir saldırının tespit edilmesi için yeterli olmayabilir. SIEM sistemleri, olayları sadece kaydetmekle kalmaz, aynı zamanda bağımsız olayları mantıksal bir çerçeve içerisinde birleştirerek, bir saldırı hikayesi oluşturur. Örneğin, bir güvenlik duvarı üzerinde gerçekleştirilen bir port taraması ile hemen ardından bir veritabanı sunucusuna yapılan başarılı bir giriş, ayrı ayrı değerlendirildiğinde tehdit oluşturmayabilir. Ancak bu olayların birlikte değerlendirilmesi durumunda, potansiyel bir siber saldırı olduğu ortaya çıkabilir.

Benzer mantık, bir SIEM sistemi için geçerlidir. Olayların yalnızca kaydedilmesi değil, aynı zamanda değerlendirilmesi de önemlidir.

Korelasyonun Önemi

Korelasyonun önemi, siber güvenlik stratejilerinin etkinliğini artırmasıyla doğrudan ilişkilidir. Bir siber saldırı, genellikle birçok farklı aşamadan oluşur. Bu aşamalar arasındaki ince bağlantıları tespit edebilmek, güvenlik analistlerinin eyleme geçmesini sağlayabilir. Buna ek olarak, zaman penceresi gibi kritik bileşenler, korelasyonda önemli bir yer tutar. Belirli bir zaman dilimindeki olayları incelemek, siber saldırıların anlaşılmasını ve etkili bir şekilde tespit edilmesini kolaylaştırır.

Örneğin, bir kullanıcının pazartesi günü bir başarı ile giriş yapması ve ardından geç bir zamanda (cuma) başka bir başarısız giriş kaydı olması, anlamlı bir korelasyon sağlamaz. Bunun yerine, birden fazla olayın belirli bir zaman diliminde gerçekleşmesi, anlamlı bir tehdit senaryosunu işaret edebilir.

Siber Güvenlik ve Pentest Üzerindeki Etkisi

Siber güvenlikte, özellikle penetrasyon testleri (pentest) alanında, korelasyon kuralları belirli bir bilgi kazanımı sağlamak için kritik öneme sahiptir. Pentestler, bir sistemin güvenlik açıklarını belirlemeye yönelik simüle edilmiş saldırılardır. Bu süreçte, korelasyon kurallarının etkin bir şekilde kullanılması, saldırganların potansiyel hareketlerini simüle etmemize olanak tanır. Farklı türlerdeki korelasyon kuralları, analistlerin çeşitli siber tehdit senaryolarını değerlendirmesini ve bu tehditlerin güvenlik önlemleriyle nasıl başa çıkılacağını anlamasını sağlar.

Sonuç

Korelasyon kuralları, siber güvenlikte etkili bir tehdit tespit mekanizması oluşturmanın temel taşlarından biridir. Tek başına olay kayıtlarının analizi, tehditleri anlamak ve önlemek için yeterli olmayabilir. Olayları mantıksal bir bağ içerisinde değerlendirerek, siber saldırıların daha iyi bir şekilde tespit edilmesine yardımcı olur. Günümüzde, etkili bir siber savunma stratejisi oluşturmak, yalnızca teknolojik altyapı değil, aynı zamanda mantıksal düşünme becerileri gerektiren bir süreçtir. Okuyucular, bu bağlamda korelasyon kurallarının derinliklerine inmeye ve bu bilgileri mevcut güvenlik yaklaşımlarına entegre etmeye hazır olmalıdır. Bu, hem saldırılara karşı daha sağlam bir savunma oluşturmak hem de analiz süreçlerini iyileştirmek için kritik bir adımdır.

Teknik Analiz ve Uygulama

SIEM'in Zekası: Korelasyona Giriş

Günümüzde siber güvenlik tehditlerinin sayısı ve karmaşıklığı hızla artarken, Güvenlik Bilgisi ve Olay Yönetimi (SIEM) sistemlerinin etkinliği, yalnızca veri toplama yetenekleriyle sınırlı kalmamaktadır. SIEM sistemlerinin sağladığı en önemli değer, loglar arasında mantıksal ilişkiler kurarak bu verilerden anlamlı saldırı hikayeleri oluşturabilme yeteneğidir. Korelasyon kuralları, bu mantıksal ilişkileri belirleyerek olayları bir araya getirir ve bunların analiz edilmesini sağlar.

Korelasyon kurallarının temel amacı, birbirinden bağımsız olayları birleştirerek gerçek tehditleri tespit etmektir. Örneğin, yalnızca bir IP adresinin bir güvenlik duvarında port taraması yapması, başlı başına bir saldırı anlamına gelmez. Ancak bu olayın hemen ardından başarılı bir veri tabanı girişi oluyorsa, bu durum potansiyel bir saldırıyı işaret eder. İşte burada korelasyon kurallarının önemi ortaya çıkmaktadır.

Korelasyonun Amacını Tanımlamak

Korelasyon kurallarının kullanımı, özellikle SOC (Güvenlik Operasyon Merkezi) analistleri için büyük bir gereklilik arz etmektedir. Kurallar, her bir tehdit senaryosuna göre farklı mantıksal yapılarla yazılmalıdır. Bu, analistlerin karşılaştıkları tehdidin doğasına en uygun kural tipini seçmelerini sağlar.

Bununla birlikte, bir korelasyon kuralının işleyebilmesi için olayların belirli bir zaman penceresinde gerçekleşmesi gerekmektedir. Örneğin, bir olayın pazartesi günü kaydedilip, ilgili bir diğer olayın cuma günü meydana gelmesi durumunda, bu iki olay arasında anlamlı bir ilişki kurmak mümkün değildir.

Korelasyon Türlerini Sınıflandırmak

Korelasyon kuralları birkaç farklı türde tanımlanabilir:

  1. Eşik Değer (Threshold) Kuralı: Belirli bir zaman diliminde aynı olayın tekrar sayısının aşılması durumudur. Örneğin, 1 dakikada 50 başarısız giriş kaydedilmesi bir alarm oluşturabilir.

    Eşik Değer Kuralı: 1 dakikada 50 başarısız giriş.

  2. Sıralı (Sequential) Kural: A olayının hemen ardından B olayının gelmesini ifade eder. Örneğin, bir VPN bağlantısının ardından veritabanı indirme işleminin gerçekleşmesi.

    Sıralı Kural: VPN bağlantısı (A) sonrası Veritabanı indirme (B).

  3. Çapraz Kaynak (Cross-Device): Farklı cihazların loglarının bir araya getirilmesidir. Örnek olarak, bir antivirüs alarmı ile güvenlik duvarında yaşanan bir dış bağlantı engelini düşünmek mümkündür.

Kritik Değişken: Zaman Penceresi (Time Window)

Zaman penceresi, korelasyon kurallarının etkili bir biçimde çalışabilmesi için kritik bir bileşendir. Olayların gerçekleştiği zaman aralığı, analistin bu olayların mantıksal bir bütün oluşturması için belirlediği dönemdir. Kuralların başarılı olabilmesi için olayların belirli bir zaman diliminde meydana gelmesi gereklidir. Aksi takdirde, veriler arasında anlamlı bir ilişki kurmak olanaksızdır.

Senaryo: Compromised Account Kuralı

Bir SOC analistinin, bir hesap işlemi (Compromised Account) tespit etmek amacıyla yazdığı en yaygın kural, "Saldırganın doğru şifreyi bulana kadar binlerce kez hatalı giriş yapması ve doğruyu bulduğunda içeri girmesi" senaryosudur.

Bu senaryo aşağıdaki gibi bir kural ile oluşturulabilir:

Kural: 5 başarısız giriş + 1 başarılı giriş = Compromised Account

Burada, analist "5 başarısız giriş" ve ardından "1 başarılı giriş" gerçekleştiğinde alarm üretecek bir kural yazarak, olası bir hesap ihlali durumunu tespit edebilir.

Kural Yazımında Mantıksal Operatörler

Korelasyon kurallarında mantıksal operatörlerin doğru bir şekilde kullanılması, analizlerin etkinliği açısından büyük önem taşır. Bu operatörler şunlardır:

  • AND (Ve): Her iki koşulun da aynı anda sağlanması gerektiren bir operatördür.

  • OR (Veya): Belirtilen koşullardan sadece bir tanesinin gerçekleşmesi yeterlidir.

  • NOT (Değil): Belirli bir durumu kuralın dışında tutarak yanlış alarmları önler.

Bu operatörlerin doğru kullanımı, yanlış alarm oranını azaltır ve gerçek tehditlerin tespitini kolaylaştırır. Kötü yazılmış kurallar veya yanlış yapılandırılmış mantıksal operatör kullanımı, analistlerin gerçek tehditleri gözden kaçırmasına neden olabilir.

Örnek Kural: 
1. (Başarısız giriş AND (Bağlantı engeli OR Antivirus alarmı))
2. NOT (İzinli IP Adresi)

Kötü Kuralların Sonucu: Alert Fatigue

Zayıf yazılmış veya yanlış yapılandırılmış bir korelasyon kuralı, gün içerisinde binlerce asılsız alarm üretebilir. Bu durum, analistin gerçek tehditleri gözden kaçırmasına neden olur. Alarm yorgunluğu (Alert Fatigue) olarak adlandırılan bu durum, sürekli olarak asılsız alarmlarla mücadele eden analistler için ciddi bir sorun teşkil eder. Bu nedenle, korelasyon kurallarının etkin bir şekilde ayarlanması ve sürekli olarak iyileştirilmesi gerekmektedir.

Kuralların sürekli olarak gözden geçirilmesi (tuning), doğru mantığa sahip, güncel ve alakalı tehditleri tespit etmeyi mümkün kılar. Bu sayede SOC analistleri, gerçek siber tehditlere odaklanarak gerekli önlemleri alabilirler.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında risk değerlendirmesi, olayları ve potansiyel tehditleri doğru bir şekilde analiz etmek için hayati bir adımdır. Özellikle SIEM (Security Information and Event Management) sistemleri, bu sürecin merkezinde yer alır. Ancak sadece logları toplamak değil, bu loglardan anlam çıkarmak ve saldırı senaryolarını oluşturmak da gereklidir. Bu bağlamda korelasyon kuralları, farklı olaylar arasında mantıksal ilişkiler kurarak güvenlik profesyonellerine anlamlı bilgiler sunar.

Elde Edilen Bulguların Güvenlik Anlamı

Korelasyon kuralları, birçok bağımsız olayın mantıksal bir çerçevede birleştirilmesini sağlar. Örneğin, bir kişinin belirli bir IP adresinden güvenlik duvarında port taraması yapması ile hemen ardından bir veritabanı sunucusuna giriş yapması, sıradan bir etkinlik değildir. Bu iki olayın birleşimi, bir saldırı göstergesi olarak değerlendirilebilir.

İlk olay: IP tarama
İkinci olay: Başarılı giriş
Sonuç: Potansiyel bir saldırı eylemi

Buradan yola çıkarak, analiz edilen verilerde bir korelasyon kurarak saldırganın hareketleri hakkında daha fazla bilgi edinebiliriz.

Yanlış Yapılandırma veya Zafiyet

Doğru bir korelasyon kuralı yazılmadığında, yanlış alarm (false positive) üretimi kaçınılmaz hale gelir. Örneğin, bir ICT sisteminde "Sıralı (Sequential) Kural" kurulduysa, sürekli olarak "VPN bağlantısı sonrası veritabanı indirme" olaylarının peşine düşüldüğünde, normal aktiviteler yanlış bir şekilde saldırı olarak nitelendirilebilir. Bu durum analistlerin gerçek tehditleri gözden kaçırmalarına sebep olabilir.

Yanlış yapılandırmanın bir diğer örneği, zaman penceresi (time window) ayarlarının dikkate alınmamasıdır. Eğer zaman penceresi çok geniş ayarlanırsa, arka planda gerçek bir saldırı devam ederken bunlar göz ardı edilebilir. Bu bağlamda, zaman penceresinin doğru ayarlanması kritik bir rol oynar.

Yanlış zaman penceresi ayarı:
Başarısız giriş (Pazartesi) + Başarılı giriş (Cuma) → Anlamsız sonuç

Sızan Veri, Topoloji, Servis Tespiti

Siber saldırılar, genellikle bir veri ihlali ile sonuçlanır. Örneğin, bir iç ağda bir kullanıcının hesabı çalındığında (compromised account) şüpheli aktiviteler gözlemlenebilir. Bu tür bir durumda, kullanıcıdan gelen şifre denemeleri, ani veri indirme aktiviteleri veya tartışmalı bağlantılar analiz edilmelidir. Öngörülü bir veritabanı bağlantısı, örneğin "Çapraz Kaynak (Cross-Device)" kuralıyla birlikte değerlendirildiğinde, farklı sistemlerden gelen logların analizi ile saldırının ortaya çıkarılması mümkün olabilir.

Profesyonel Önlemler ve Hardening Önerileri

Korelasyon kuralları oluşturulurken göz önünde bulundurulması gereken temel noktalar:

  1. Eşik Değer (Threshold) Kuralı: Belirli bir süre içinde aynı olayın limiti aşması; örneğin, 1 dakikada 50 başarısız giriş.
  2. Mantıksal Operatör Kullanımı: AND, OR ve NOT operatörlerinin doğru ve etkili bir şekilde kullanılması gereklidir.
  3. Olay Zaman Penceresi: Korelasyon kurallarında olayların birlikte değerlendirileceği zaman aralığı iyi ayarlanmalıdır.
  4. Kuralların Sürekli İyileştirilmesi: Yanlış alarm oranını düşürmek ve analistlerin zamanını daha verimli kullanmasını sağlamak için, kuralların sürekli olarak gözden geçirilmesi ve güncellenmesi şarttır.

Sonuç Özeti

Korelasyon kuralları, siber güvenlikte anlamlı bir defans oluşturmanın temellerinden biridir. Uygun yapılandırma ve doğru yorumlama ile, olaylar arasında mantıksal ilişkiler kurulabilir ve potansiyel tehditler etkin bir şekilde tespit edilebilir. Yanlış yapılandırma veya zafiyet durumlarında ise, gerçek saldırıların gözden kaçırılmaması için profesyonel önlemler alınmalıdır. Sonuç olarak, her siber güvenlik profesyoneli, korelasyon kurallarını anlamak ve uygulamak zorundadır. Bu, hem mevcut tehditleri saptamakta hem de şirketin siber savunmasını güçlendirmekte kritik bir rol oynamaktadır.