CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Normalizasyon

Siber Güvenlikte Taksonomi ve Ortak Bilgi Modeli: Anlam ve Önemi

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Normalizasyon

Taksonomi ve CIM/ECS kullanarak siber güvenlikte standartlaştırma süreçlerini keşfedin. Operasyonel verimliliği artırmanın yollarını öğrenin.

Siber Güvenlikte Taksonomi ve Ortak Bilgi Modeli: Anlam ve Önemi

Siber güvenlikte taksonomi ve ortak bilgi modeli, logların standartlaştırılmasının yanı sıra tehdit avcılığını hızlandırır. Bu süreçlerin önemi hakkında detaylı bilgi edinin.

Giriş ve Konumlandırma

Siber güvenlik alanında etkin bir performans gösterebilmek için doğru veri yönetimi ve analiz süreçlerine ihtiyaç vardır. Bu bağlamda, taksonomi ve ortak bilgi modeli kavramları, siber güvenliğin verimliliğini artırmak ve karmaşık ortamlarda düzen sağlamak için kritik bir rol oynamaktadır. Siber güvenlik, zarar verme potansiyeli taşıyan unsurları tespit etmek ve bunlara karşı önlem almak için kapsamlı bir bilgi yapısı gerektirir. Bu bilgi yapısının temelleri, taksonomi ve ortak bilgi modelinin uygulanmasıyla atılmaktadır.

Taksonomi Nedir?

Taksonomi, siber güvenlikte farklı veri türlerini, terminolojileri ve olayları sınıflandırma sürecini ifade eder. Bu sınıflama, ağ üzerindeki olayların, tehditlerin ve güvenlik açıklarının anlamlandırılmasını sağlar. Log kayıtları, sistem bildirileri ve diğer veri kaynakları farklı formatlarda ve isimlendirme konvansiyonlarında gelir. Örneğin, bir kayıtta gelen bir IP adresi 'src_ip' olarak adlandırılırken, başka bir kayıtta aynı bilgi 'client_ip' olarak geçebilir. Bu durum, veri işleme aşamasında karmaşaya yol açar ve saldırganları tespit etmeyi zorlaştırır.

Bir saldırganın zarar verme potansiyelini değerlendirmek için, çeşitli cihazlardan gelen logların standart bir formatta incelenmesi gerekmektedir. Aksi takdirde, aynı olay için farklı cihazlarda veri aramak zaman kaybına ve verimsizliğe yol açacaktır. Taksonomi, bu karmaşayı önleyerek, 'çok dilli bir kaos' ortamını 'tek bir dil konuşan bir devlete' dönüştürür.

Örneğin, ağ üzerinde bir saldırganın IP adresi '10.0.0.5' olsun. Eğer loglarınızda taksonomi uygulanmamışsa, Firewall loglarında 'src_ip=10.0.0.5', Proxy loglarında ise 'client_ip=10.0.0.5' aramanız gerekir. Bu durum, tehdit avcılığını yavaşlatır.

Ortak Bilgi Modelinin Rolü

Ortak bilgi modeli (Common Information Model - CIM) ve Elastic Common Schema (ECS), siber güvenlik veri yönetiminde standartlaştırma sağlamak için geliştirilmiş yapılar olup, farklı sistemlerden gelen verilerin aynı terminoloji ile işlenmesine olanak tanır. Bu modeller, log'ların ve verilerin anlamlı bir şekilde gruplanmasına, çıkarım yapılmasına ve alarm sistemlerinin daha etkin bir şekilde çalışmasına yardımcı olur. Her SIEM (Security Information and Event Management) üreticisinin kendi ortak bilgi modeli vardır ve bu modeller arasında seçim yapmak, organizasyonların veri yönetim stratejilerini belirlemede önemli bir adımdır.

CIM, birçok güvenlik ürünüyle uyumlu olarak çalışan bir dizi standart terminolojiden oluşur. Bu sayede, aynı yapıda yazılmış bir alarm, farklı cihazlarda da çalışabilir. Örneğin, Palo Alto Firewall üzerine yazılmış bir alarm, aynı zamanda Fortinet güvenlik cihazında da çalıştırılabilir. Bu esneklik, sistem değiştirme aşamasında operasyonel sürekliliği sağlar.

Bir logun ham verisinden ayrıştırılıp (parsing) CIM/ECS standartlarına uygun olarak yeniden yapılandırılması sürecinin tamamına veri normalizasyonu denir.

Neden Önemli?

Taksonomi ve ortak bilgi modeli, siber güvenlik alanında yalnızca veri yönetimini kolaylaştırmakla kalmaz; aynı zamanda sistemlerin güvenilirliği ve etkinliği üzerinde doğrudan bir etki yaratır. Doğru bir taksonomi uygulaması, geçmişte yaşanan güvenlik ihlallerinin analiz edilmesini kolaylaştırır, dolayısıyla gelecekteki tehditlerin önlenmesine yardımcı olur. Ayrıca, farklı sistemler arasında tutarlılık sağlanarak, güvenlik uzmanlarının olayları daha hızlı bir şekilde analiz etmesine ve müdahale etmesine olanak tanır.

Sonuç olarak, siber güvenlik stratejileri oluşturulurken taksonomi ve ortak bilgi modelinin uygulanması, organizasyonların güvenlik duruşunu güçlendirecek ve süreçlerini daha ölçeklenebilir hale getirecektir. Bu bölüm, okuyucunun siber güvenlikte taksonomi ve ortak bilgi modelinin önemini anlaması ve bu kavramların uygulama alanlarında nasıl kullanılacağını kavrayabilmesi amacıyla hazırlanmıştır. Bir sonraki aşamada, bu kavramların detaylarına ve pratik uygulamalarına daha yakından bakacağız.

Teknik Analiz ve Uygulama

Siber güvenlik alanında bilgi yönetimi ve olası tehditlerin etkili bir şekilde tespiti için, taksonomi ve ortak bilgi modellerinin (CIM/ECS) rolü kritiktir. Bu bölümde, taksonominin ve CIM/ECS'nin işleyişi, uygulama yöntemleri ve teknik detayları üzerinde durulacaktır.

Aynı Dili Konuşmak: Taksonomi

Siber güvenlikte taksonomi, farklı kaynaklardan elde edilen verilere ortak bir dil sağlayarak karar verme süreçlerini iyileştirir. Örneğin, iki farklı kaynaktan alınan loglarda bir IP adresi "src_ip" olarak tanımlanırken, diğer kayıtta "client_ip" olarak görülebilir. Bu tür tutarsızlıklar, bir saldırganın izini sürmek gibi kritik işlemleri zorlaştırır.

Taksonomi uygulamalarında, orijinal veriyi silmemek esastır. Bunun yerine, örneğin src_ip şeklinde bir alan kullanırken, bu alanın yanında bir alias (takma ad) tanımlanır. Aşağıdaki gibi bir yapılandırma ile bu işlem gerçekleştirilebilir:

{
    "src_ip": "10.0.0.5",
    "alias": "client_ip"
}

Bu sayede, veri kaynaklarında her ne olursa olsun, siber güvenlik ekipleri tek bir dil ile tehdit algılama ve yönetme sürecini gerçekleştirebilir.

Karmaşanın Bedeli

Farklı kaynaklardan gelen verilerin standardize edilmemesi, siber güvenlik operatörleri için büyük bir zorluk oluşturur. Örneğin, ağlarınız üzerinde bir saldırgan olduğunu varsayalım. Eğer loglarınızda standart bir yapı yoksa ve bir IP adresini bulmak için Firewall loglarında 'src_ip=10.0.0.5', Proxy loglarında ise 'client_ip=10.0.0.5' şeklinde arama yapmanız gerekiyorsa, bu durum hem zaman kaybına hem de hata yapma riskinin artmasına yol açar.

Böyle bir karmaşadan kaçınmak için taksonomi uygulamalarının devreye alınması kaçınılmazdır. Bu, tehdit avcılığını hızlandırır ve daha etkili bir bilgi akışı sağlar.

Endüstri Standartları (CIM ve ECS)

CIM (Common Information Model) ve ECS (Elastic Common Schema) gibi ortak bilgi modelleri, logların belirli bir yapı altında toplanmasını sağlar. CIM, özellikle Splunk tarafından geliştirilen ve endüstride yaygın kabul gören bir standart modeldir. ECS ise Elastic (ELK) ekosistemi için tasarlanmış açık kaynaklı bir veri şemasıdır. Bu modeller, sağlanan verilerin analiz edilebilirliğini artırır. Aşağıda bu modellerle ilgili kısa bir karşılaştırma bulunmaktadır:

  • CIM: Splunk'un geliştirdiği, birçok SIEM platformu ile uyumlu bir model.
  • ECS: Açık kaynak yapısı ile ön plana çıkan, Elastic ile özdeşleşmiş bir yapı.
  • OSSEM: Açık kaynak toplulukları tarafından desteklenen bağımsız bir güvenlik veri modeli.

Her iki modelin de kullanımı, sistem yöneticilerinin olayları tek bir çatı altında kolaylıkla analiz etmelerini sağlar.

Köprü Kurmak: Aliasing

Taksonomi uygulamalarında önemli bir kavram da aliasing'dir. Aliasing, farklı alan adlarının (örn: s_ip ve src_ip) ortak bir alan adı altında birleşmesini sağlar. Bu, siber güvenlik ekiplerinin karşılaştıkları sorunları daha hızlı ve etkin bir şekilde çözmelerine olanak tanır. Örneğin:

{
    "src_ip": "10.0.0.5",
    "alias": "s_ip"
}

Bu yapıda, orijinal alan bilgisi korunurken, kullanılan alanın standardize edilmesi sağlanır. Böylece, alarm yazımında markaya bağlı kalınmaksızın daha genel bir yapı elde edilir.

Büyük Resim: Normalizasyon

Tam anlamıyla bir veri yönetimi süreci gerçekleştirmek için normalizasyon sürecinin de uygulanması gerekmektedir. Normalizasyon, bir logun ham halinden çıktıktan sonra ayrıştırılması ve CIM/ECS standartlarına uygun şekilde yeniden yapılandırılması işlemidir. Normalizasyon, logların belirgin bir yapıya oturmasına yardımcı olur. Aşağıdaki örnek, normalizasyon sürecinin aşamalarını göstermektedir:

# Normalizasyon süreci başlatılır
parse_log("raw_log_data")
standardized_format = normalize_to_CIM(parsed_log)
store_to_database(standardized_format)

Bu aşamaların her biri, log verilerinin analiz edilebilirliğini artırmakta ve unutulmaması gereken detayların gözden kaçmasını önlemektedir.

Sonuç

Sonuç olarak, siber güvenlikte taksonomi ve ortak bilgi modellerinin kullanımı, hem zaman tasarrufu sağlar hem de veri bütünlüğünü artırır. Bu süreçleri benimsemek, güvenlik operasyonlarının etkinliğini artırmakla kalmayıp, olası siber tehditlere karşı daha dayanıklı bir sistem oluşturmayı da mümkün kılar. Uygulanan bu yöntemler, siber tehdit algılamada işe yarar ve sistemlerin daha güvenli bir şekilde işletilmesine olanak tanır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında risk analizi ve yorumlama, tehditlerin ve zafiyetlerin belirlenmesi açısından hayati öneme sahiptir. Güvenlik verilerinin doğru bir şekilde değerlendirilmesi ve yorumlanması, etkili savunma stratejilerinin oluşturulmasında temel bir adımdır.

Riskin Tanınması

Risk, bir sistemin güvenliğini tehdit eden her türlü olumsuz durumu ifade eder. Sızma olayları, zafiyetler ve diğer tehditler, güvenlik protokollerinin ne denli etkili olduğunu belirler. Örneğin, bir ağa sızan bir saldırganın IP adresi 10.0.0.5 olduğunda, bu adresin farklı sistemlerde farklı isimlendirilmesi (örneğin, firewall loglarında src_ip=10.0.0.5, proxy loglarında client_ip=10.0.0.5) güvenlik ekiplerinin tehdit avını zorlaştırır. Bu nedenle, logların standartlaştırılması; bir diğer deyişle, ortak bir bilgi modelinin (CIM veya ECS) uygulanması, risk değerlendirmesi sürecinde kritik öneme sahiptir.

# Log Örneği
src_ip=10.0.0.5  # Firewall logu
client_ip=10.0.0.5  # Proxy logu

Yorumlama ve Tehdit Modelleme

Yorumlama süreci, elde edilen verilerin güvenlik açısından anlamlandırılmasını içerir. Eğer sistemde yanlış yapılandırmalar veya mevcut zafiyetler varsa, bunların etkileri doğrudan saldırganların daha fazla veri sızdırmasına veya sistem üzerinde daha fazla kontrol elde etmesine olanak tanır. Örneğin, bir sistemde güncellenmeyen bir yazılım mevcutsa, bu durum potansiyel bir açık olarak değerlendirilmelidir.

Sonuçların Değerlendirilmesi

Bir sızma durumu veya sistem zafiyeti sonrası, elde edilen bulgularınizi değerlendirmek kritik öneme sahiptir. Bu bulgular, olası veri sızıntıları, sistem topolojisi ve hizmetlerin keşfi açısından ciddi bilgi sağlar. Eğer bir sızma olayı yaşandıysa, sızan veri türleri (müşteri bilgileri, kimlik bilgileri vb.) ve bu verilerin nerede depolandığı gibi hususlar titizlikle incelenmelidir.

Profesyonel Önlemler ve Hardening Stratejileri

Güvenlik önlemlerinin artırılması için aşağıdaki profesyonel savunma stratejileri uygulanmalıdır:

  1. Sistem Hardening: Sistemde gereksiz bileşenlerin kaldırılması ve varsayılan ayarların değiştirilmesi. Bu, saldırı yüzeyini azaltır.

    # Linux'da bir hizmeti durdurma örneği
sudo systemctl stop hizmet_adı

  2. Düzenli Güncellemeler: Yazılımların ve sistem bileşenlerinin düzenli olarak güncellenmesi, bilinen zafiyetlerin kapatılmasına yardımcı olur.

  3. Log ve İzleme Sistemlerinin Kullanımı: SIEM (Security Information and Event Management) çözümleri ile logların izlenmesi ve analizi, anormalliklerin erken tespit edilmesini sağlar. Ortak bilgi modellerinin (CIM/ECS) kullanımı, bu sürecin hızlanmasına yardımcı olur.

  4. Eğitim ve Farkındalık: Çalışanların siber güvenlik konularında eğitilmesi, insan faktöründen kaynaklanan riskleri azaltır.

  5. Ağ Segmentasyonu: Ağın farklı bölgelere ayrılması, bir saldırı durumunda diğer bölgelere sıçramayı önler.

Sonuç

Siber güvenlikte taksonomi ve ortak bilgi modelinin uygulanması, risk değerlendirme ve yorumlama süreçlerini yapılandırır. Bu süreçler, sistemin güvenliğini artırmak ve potansiyel tehditlerin hızlı bir şekilde tespit edilmesine olanak tanır. Yeterli güvenlik önlemleri ve doğru yorumlama teknikleri ile siber suçluların etkisi azaltılabilir. Unutulmamalıdır ki, siber güvenlik sürekli bir süreçtir ve her zaman gelişim gerektirir.