CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Otomatik ve Manuel Yönergeler: Playbook ile Runbook Arasındaki Farklar

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Playbook ve Runbook arasındaki farkları keşfedin. Süreçlerinizi otomatikleştirerek siber güvenlik müdahale sürenizi kısaltın.

Otomatik ve Manuel Yönergeler: Playbook ile Runbook Arasındaki Farklar

Otomatik süreçler ve manuel yönergeler arasında seçim yaparken Playbook ve Runbook'un işlevlerini anlamak kritik öneme sahiptir. Bu blogda, siber güvenlikte bu iki aracın nasıl kullanıldığını inceleyeceğiz.

Giriş ve Konumlandırma

Siber güvenlik alanında etkin bir müdahale ve koruma stratejisi geliştirmek için süreçlerin standartlaştırılması ve otomasyona dönüşmesi kritik öneme sahiptir. Bu bağlamda, "playbook" ve "runbook" terimleri, sistem yöneticileri ve güvenlik analistleri arasında sıklıkla kullanılan kavramlar haline gelmiştir. Ancak, bu iki kavram arasındaki farklar, uygulanabilirlikleri ve kullanım senaryoları, siber güvenlik süreçlerinin optimizasyonu adına önemli bir konu teşkil etmektedir.

Playbook ve Runbook Nedir?

İlk olarak, bu terimlerin tanımlarını belirtmek faydalı olacaktır. Runbook, bir güvenlik olayıyla başa çıkabilmek için analistlerin adım adım takip etmesi gereken yazılı ve manuel yönergeleri içeren bir dokümandır. Güvenlik olaylarına müdahale süreçlerinde, sistemlerin ve süreçlerin nasıl çalıştığını detaylandırarak, operatörlerin doğru ve etkili bir şekilde tepki vermesine yardımcı olur.

Öte yandan, playbook, runbook’taki adımların otomatikleştirildiği ve SOAR (Security Orchestration, Automation and Response) platformlarında uygulanan, kodlanmış bir iş akışıdır. Yani, playbooklar, runbookların daha gelişmiş ve otomatikleşmiş versiyonları olarak düşünülebilir; manuel müdahale gerektiren adımları minimize eden, bir dizi olaya yanıt verme sürecini hızlandıran yeteneklere sahiptir.

Neden Önemlidir?

Siber güvenlik, günümüz dünyasında oldukça kritik bir alan haline gelmiş, her geçen gün daha karmaşık hale gelen tehditlerle dolu bir ortamda faaliyet göstermektedir. Siber saldırıların artması, güvenlik açıklarının başarıyla istismar edilmesi olasılığını gündeme getirmiştir. Bu nedenle, olay müdahale süreçlerinin etkinliği ve hızı, bir organizasyonun güvenlik durumunu önemli ölçüde etkileyebilir.

Runbookların manuel kullanımının sınırlamaları vardır; zira insan faktörü hata payını artırabilir ve süreçlerin tamamlanma sürelerini uzatabilir. Playbookların uygulanması, bu süreçlerin otomatize edilmesiyle hem doğruluğu artırır hem de müdahale sürelerini önemli ölçüde kısaltır. Örneğin, dolandırıcılık tespitinde kullanılan bir playbook, sahte bir işlem gerçekleştiğinde otomatik olarak sistemin ilgili hesapları karantinaya almasını sağlayabilir.

Siber Güvenlik ve Pentest Açısından Bağlam

Pentest (penetrasyon testi) süreçlerinde, runbook ve playbookların entegrasyonu, güvenlik açıklarının belirlenmesi, değerlendirilmesi ve rapor edilmesi açısından önemli bir rol oynar. Analistlerin sızma testleri sırasında karşılaşabileceği farklı senaryolara toplu bir yanıt verme yeteneği, organizasyonların güvenlik açıklarını kapatabilmesi için kritik bir öneme sahiptir.

Örneğin, bir pentest sırasında tespit edilen bir güvenlik açığını azaltmak için kullanılacak playbook; otomatik olarak ilgili sistemlerin yapılandırmalarını gözden geçirebilir, gerektiğinde otorize edicilerden onay alabilir veya işlemleri başlatabilir. Böylece, siber güvenlik operatörleri bu kritik durumda zaman kaybetmeden hareket edebilirler.

Okuyucuya Teknik İçerik Hazırlığı

Bu yazı boyunca, playbook ve runbooklar arasındaki temel farklılıklar, işlevsellikleri ve uygulama alanları detaylı bir şekilde ele alınacaktır. Kullanım senaryoları, potansiyel avantajlar ve otomatikleşme düzeylerinin getirdiği dönüşümler, güvenlik süreçlerini daha etkin kullanmak isteyen okuyucular için önemli bilgiler sunacaktır. Özellikle siber güvenlik analistleri, SOC (Security Operations Center) çalışanları ve sisteme bağlı güvenlik süreçlerini optimize etmeyi hedefleyen profesyoneller için bu bilgiler, karar verme süreçlerinde rehber niteliği taşıyacaktır.

Kod blokları ve örnek senaryolar ile desteklenen bilgileri inceleyerek, otomatik ve manuel süreçlerin yönetimi konusunda daha derinlemesine bir anlayışa sahip olacaksınız. Siber güvenlik uygulamalarını geliştirmek ve etkin bir çözüm süreci oluşturmak için, bu kavramların anlamını ve kullanım alanlarını iyi kavramak gerekmektedir.

Teknik Analiz ve Uygulama

Runbook Nedir?

Runbook, siber güvenlik alanında bir analistin belirli bir güvenlik olayına müdahale ederken izlemesi gereken adımları içeren yazılı ve manuel yönergeleri tanımlar. Runbook'lar genellikle standart işletim prosedürlerine (SOP) dayanarak geliştirilir ve analistin olaylara hızlı bir şekilde yanıt verebilmesi için gereklidir. Bu manüel rehberler, zaman içinde analistlerin tecrübeleri ve olaylara yanıt verme süreçleri sırasında topladıkları bilgi ile sürekli olarak güncellenir.

# Örnek Runbook Adımları
1. Olayın Tanımlanması
2. Olay Kategorisinin Belirlenmesi
3. İlk Saldırı Tespiti
4. Olay Yanıtı İçin İletişim Kurma
5. Durum Güncellemeleri Sağlama

SOP, Runbook ve Playbook

SOP'ler, bir kurumun genel güvenlik politikalarını ve olaylara yaklaşımını tanımlayan üst düzey rehberlerdir. Runbook'lar, bu SOP'lere bağlı olarak oluşur ve genellikle teknik komutlardan oluşan adım adım rehberlerdir. Playbook'lar ise, bir runbook'taki adımların kodlanarak SOAR (Security Orchestration Automation and Response) platformunda otomatik hale getirilmiş sürümleridir.

# Belge Hiyerarşisi
- SOP: Genel Kurallar
  - Runbook: Adım Adım Rehber
    - Playbook: Otomatik Workflows

Otomasyon Farkı

Otomasyon, işlemlerin manuel olarak değil, otomatik sistemler aracılığıyla yürütülmesi anlamına gelir. Playbook'lar, insan müdahalesi olmadan aksiyonları otomatik olarak çalıştırabilen bir yapıya sahipken, runbook'lar tamamen manuel olarak uygulanır. Bu nedenle, bir playbook her ne kadar otomatik olsa da, bazı kritik durumlarda insan onayı gerektirebilir.

Playbook Tanımı

Playbook, runbook'taki adımların programatik olarak kodlandığı ve SOAR platformunda otomatik olarak çalıştırıldığı araçlardır. Bu yapı, güvenlik müdahaleleri sırasında zaman tasarrufu sağlar ve analistlerin daha verimli bir şekilde çalışmasına olanak tanır. Playbook'lar, olaylara müdahale süresini kısaltarak SOC (Security Operations Center) verimliliğini artırır.

Statik ve Dinamik Yapı

Runbooklar, genellikle statik dokümanlar olarak PDF veya Wiki sayfalarında saklanır. Bu tür belgeler, güvenlik sistemleriyle doğrudan teknik bir etkileşime girmez; daha çok bilgi ve rehberlik sunar. Playbook'lar ise dinamik süreçlerdir; gelen veriye göre karar ağaçlarında ilerler ve belirli tetikleyicilere bağlı olarak cihazlara komut göndermektedir.

# Basit Bir Playbook Örneği
def handle_threat(ip_address):
    if check_blacklist(ip_address):
        quarantine(ip_address)
    else:
        log_event(ip_address)

handle_threat("192.0.2.1")

Dönüşüm Süreci

Savunma mühendisleri, kanıtlanmış manuel runbook'ları zamanla otomatik playbooklara dönüştürür. Bu dönüşüm süreci, sistemlerin daha etkili bir şekilde çalışmasını sağlar. Örneğin, basit bir IP engellemeyi içeren runbook, otomatik bir playbook'a dönüştürüldüğünde, belirli bir IP'nin tehdit olup olmadığını sorgulamak için bir API araması yapabilir.

İnsan Onayı (Human-in-the-Loop)

Bir playbook tamamen otomatik olmak zorunda değildir; kritik bir sunucuyu ağdan düşürmek gibi riskli adımlarda süreci durdurup analistten onay isteyebilir. Bu tür yarı-otomatik playbooklar, belirli adımları kendi başına gerçekleştirebilir, ancak daha önemli kararlar için analistin müdahalesine ihtiyaç duyar.

Kullanım Senaryoları (Use Cases)

Playbook'lar, birçok güvenlik kullanım senaryosunda etkin olarak kullanılmaktadır. Örneğin, malware tespit edildiğinde otomatik bir playbook başlatılarak sistemin hızla karantinaya alınması sağlanabilir. Alternatif olarak, bir runbook kullanarak müdahale eden analistler, sürecin her aşamasını manuel olarak takip edebilirler.

Hız ve Verimlilik

Playbook'lar, olaylara müdahale süresini önemli ölçüde kısaltarak, SOC ekiplerinin verimliliğini artırmaktadır. Hız ve verimlilik, siber güvenlikte kritik bir öneme sahip olduğundan, runbook ve playbook'ların etkili bir şekilde kullanılması organizasyonların güvenlik duruşunu güçlendirir.

Motor (Engine) Farkı

Bir runbook, insan tarafından yürütülürken; bir playbook, otomasyon platformları aracılığıyla çalıştırılır. Bu fark, işlemlerin hızını ve doğruluğunu büyük ölçüde etkiler. Playbook'lar, belirli bir koşul gerçekleştiğinde otomatik olarak ağ cihazlarına komut gönderme yeteneğine sahiptir. Bu da insan hatasını asgariye indirmekte ve süreçlerin daha öngörülebilir hale gelmesini sağlamaktadır.

# Örnek Playbook Çalışma Akışı
1. Olay Tespiti
2. Olay Yanıtı Başlatma
3. İnsan Onayı (Gerekirse)
4. İşlem Tamamlama

Siber güvenlik alanında, runbook ve playbook'ların doğru bir şekilde kullanılabilmesi, güvenlik olaylarına zamanında yanıt verebilmek ve organizasyonlar için olası riskleri minimize edebilmek açısından son derece önemlidir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında risk yönetimi, köklü bir anlayış ve dikkatli bir değerlendirme süreci gerektirir. Risk değerlendirme, bir sistemin veya organizasyonun karşılaşabileceği zafiyetleri ve tehditleri anlamak için kritik öneme sahiptir. Bu bağlamda, doğru yapılandırmaların yokluğu veya zafiyetler, güvenlik açıklarından yararlanma olasılığını arttırır. Sonuç olarak, analiz edilmesi gereken önemli veriler ortaya çıkar: sızan veriler, topoloji ve hizmet tespiti.

Elde Edilen Bulguların Güvenlik Anlamı

Siber güvenlik olayları sıklıkla çeşitli dinamiklerle örülmüştür. Elde edilen bulguların güvenlik anlamını yorumlarken, öncelikle verilerin kaynağını ve içeriğini değerlendirmek gerekir. Örneğin, bir ağ izleme sistemi üzerinden elde edilen güncel verilere bakarak, şüpheli IP adreslerinin tespiti güvenlik ekibi için kritik bir adım oluşturur.

- Şüpheli IP Adresi: 192.168.1.105
- Hedef Sunucu: 10.0.0.25
- Hedef Servis: 80 (HTTP)

Bu veriler kullanıcıların ve sistemlerin potansiyel risklerini değerlendirmeye yardımcı olmakla kalmayıp, güvenlik önlemlerinin uygulaması için de zemin hazırlar.

Yanlış Yapılandırma ve Zafiyet Analizi

Yanlış yapılandırmalar, sistem zafiyetlerini besleyen en yaygın sebeplerden biridir. Örneğin, bir ağ güvenlik duvarında hatalı kurulum yapılması, sistemin dış tehditlere açık kalmasına neden olabilir. Aşağıdaki gibi bir yanlış yapılandırma senaryosu düşünelim:

  1. Güvenlik Duvarı Kuralları: Yanlış tanımlanmış güvenlik duvarı kuralları, belirli trafiğin geçişine izin veriyor olabilir.
  2. Güncel Olmayan Yazılım: Zafiyet içeren eski bir yazılım sürümünün kullanılması, siber saldırganların sisteme sızmasına olanak tanır.

Bu tür durumlar tespit edildiğinde, analiz ve müdahale sürecinin hızlandırılması, riskin en az seviyeye indirilmesi açısından önemlidir.

Güvenlik Verilerinin Tespiti

Sızan veriler, topoloji ve hizmet tespiti, bir organizasyonun siber güvenliğini değerlendirmeye yardımcı olan veriler grubunu temsil eder. Bu veriler şu şekilde yorumlanabilir:

  • Sızan Veriler: Veritabanlarında izinsiz erişimlerin tespiti, kullanıcı verilerinin çalındığını gösterir. Bu tür durumlar, veri ihlali raporlama süreçlerini tetikleyebilir.
  • Topoloji: Ağ yapısı ve sistem konfigürasyonu, hangi bileşenlerin risk altında olduğunu anlamada kilit rol oynar. Zayıf noktaların yerini belirlemek, olası tehdide karşı önlem almak için önemlidir.
  • Hizmet Tespiti: Sunuculardaki açık hizmetlerin gözlemlenmesi, gerekli gizlilik ve erişim kontrollerinin uygulanmadığını göstermektedir. Bu nedenle, belirli hizmetlerin kapatılması veya daha güçlü kimlik doğrulamalarıyla güvence altına alınması gerekebilir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenliği artırmak için bir dizi profesyonel önlem almak mümkündür. İşte bazı öneriler:

  1. Ağ Hardening: Ağ güvenliğini artırmak için gereksiz hizmetlerin kapatılması, izinsiz erişimlerin önlenmesi amacıyla güvenlik duvarlarının yapılandırılması önemlidir.

    # Güvenlik duvarında bazı hizmetlerin kapatılması işlemi
sudo ufw deny 80/tcp
sudo ufw deny 443/tcp

  2. Güncellemeler: Yazılımların ve işletim sistemlerinin düzenli olarak güncellenmesi, bilinen zafiyetlerin giderilmesine yardımcı olur.

  3. İzleme ve Yanıt Sistemleri: Sürekli izleme ve olay yanıt sistemleri oluşturarak potansiyel saldırıları zamanında tespit etme ve yanıtlama yeteneği artırılmalıdır.

  4. Eğitim ve Farkındalık: Çalışanların siber güvenlik konusunda bilinçlendirilmesi, sosyal mühendislik saldırılarına karşı koruma sağlar.

Sonuç Özeti

Risk değerlendirme ve savunma süreçlerinde, siber güvenliğin anlaşılması ve yönetilmesi hayati bir öneme sahiptir. Yanlış yapılandırmalar ve zafiyet tespitleri, yalnızca olası riskleri değil, aynı zamanda organizasyonun güvenlik duruşunu da etkiler. Elde edilen verilerin dikkatlice yorumlanması ve uygun önlemlerin alınması, güvenlik stratejilerinin etkinliği açısından kritik bir aşamadır. Savunmayı güçlendirmek için önerilen profesyonel önlemler ve hardening teknikleri, bir organizasyonun siber güvenlik felsefesini güçlendirerek etkin bir koruma mekanizması oluşturur.