CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Süreç Modelleme: Akış Şemaları ve BPMN ile Etkili Senaryo Çizimi

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Süreç modelleme ile siber güvenlik operasyonlarınızı daha etkili bir şekilde tasarlayın. BPMN kullanarak senaryolarınızı görselleştirin.

Süreç Modelleme: Akış Şemaları ve BPMN ile Etkili Senaryo Çizimi

Süreç modelleme, siber güvenlik alanında bir zorunluluktur. BPMN ile akış şemaları oluşturarak süreçlerinizi görselleştirin ve mantıksal hataları önleyin.

Giriş ve Konumlandırma

Süreç Modelleme Tanımı

Süreç modelleme, bir organizasyonun iş süreçlerini tanımlamak, analiz etmek ve optimize etmek için kullanılan teknik bir disiplindir. Bu süreç, genellikle karmaşık güvenlik operasyonlarının görselleştirilmesi ile başlar. Siber güvenlik alanında, bu yazılım ve sistem etkinliklerini anlamak için kritik öneme sahiptir. Bunun nedeni, güvenlik olaylarını yönetme ve savunma mekanizmalarını geliştirme süreçlerinin karmaşık doğasıdır. Bu işlemler, süreçlerin iyi tanımlandığında ve belgelendiğinde daha etkili hale gelmektedir.

Görselleştirmenin ilk adımı, iş akışlarını ve süreç adımlarını düzenli bir şekilde haritalamaktır. Bu, operasyonel zayıflıkları ve hataları erken aşamalarda tespit etme fırsatı sunar. Özellikle siber saldırılar karşısında hızlı bir yanıt vermek için, olay akışının ve süreç modelinin iyi anlaşılması gereklidir.

BPMN Kısaltması

BPMN (Business Process Model and Notation), sürecin modellenmesi için dünya üzerinde en yaygın kabul gören bir notasyon sistemidir. BPMN, iş süreçlerini standart bir dil ile ifade etme imkanı sunarak, bunların kolayca anlaşılmasını sağlar. SOAR (Security Orchestration, Automation and Response) platformlarında kullanılırken, süreçlerin tasarım aşamalarında analist ve mühendisler arası iletişimi güçlendirir. BPMN ile oluşturulmuş akış şemaları, polisiye ve savunma senaryolarını yönlendiren temel bileşenlerdir.

   +------------------+
   |   Başlangıç    |
   +------------------+
             |
             v
+---------------------+
|  Görev A           |
+---------------------+
             |
             v
+---------------------+
|  Görev B           |
+---------------------+

Bu örnek, basit bir sürecin BPMN ile nasıl ifade edilebileceğini göstermektedir. Başlangıç noktasından ilerleyen akış, görevleri temsil eden kutularla gösterilmektedir.

Görselleştirmenin Faydası

Süreçlerin görselleştirilmesi, hem mevcut sistemlerin analizinde hem de yeni sistemlerin tasarımında kritik bir rol oynar. BPMN şemaları, süreç akışını daha net bir şekilde anlamayı sağlar ve gerekli değişiklikleri hızlıca belirlemenize yardımcı olur. Bu durum, sistem yöneticileri ve analistler arasında daha iyi bir iletişim sağlar.

Görselleştirme, olay akışına bağlı olarak yapılabilecek değişikliklerin önceden belirlenmesini de sağlar. Örneğin, bir güvenlik açığı tespit edildikten sonra, bununla ilgili süreç güncellemeleri gerçekleştirilerek, benzer durumların yaşanma olasılığı azaltılabilir.

Swimlane (Kulvar) Kavramı

BPMN'deki kulvarlar, süreçteki çeşitli görevlerin sorumluluğunu ayrıştırmaya yardımcı olur. Her kulvar, belirli bir uygulayıcı veya ekip ile ilişkilendirilmiştir; bu sayede süreçte görevlerin takibi kolaylaşır ve sorumlulukların net bir şekilde belirlenmesi sağlanır. Örneğin, olay tespiti, olay analiz ve olay yanıtı gibi farklı aşamalar için ayrı kulvarlar oluşturulabilir.

   +-----------------------+    +-----------------------+
   |      Analist         |    |      Mühendis         |
   +-----------------------+    +-----------------------+
   |                      A |   |                      B |
   +-----------------------+    +-----------------------+

Bu örnekte, bir analist ve mühendis arasında sürecin nasıl ilerleyeceği ve her birinin ne tür görevler üstleneceği açıkça gösterilmektedir.

Gateway (Geçit) Türleri

BPMN'deki geçitler, süreç akışının hangi yönde ilerleyeceğini belirlemek için kullanılan kritik kontrollerdir. Üç ana geçit türü vardır:

  1. Exclusive Gateway (XOR): Sadece bir yolun seçilebildiği durumlar için kullanılır.
  2. Parallel Gateway (AND): Birden çok yolun aynı anda seçilebildiği durumları gösterir.
  3. Inclusive Gateway (OR): Koşullara bağlı olarak bir veya birden fazla yolun seçilmesine olanak tanır.

Bu geçitler, özellikle olayların ve kararların yönetilmesi açısından büyük önem taşır. Örneğin, bir güvenlik alarmının yanıtında "Gerçek Pozitif mi?" sorusuna cevap verilmesi için XOR geçidi kullanılabilir.

Süreç Dokümantasyonu

BPMN kullanarak oluşturulan şemalar, süreç dokümantasyonuna büyük katkı sağlar. İyi bir dokümantasyon, sistemin nasıl çalıştığını ve olası problemleri anlamakta kilit rol oynar. Dokümantasyon, tüm paydaşlar için bir referans noktası oluşturur.

Süreç akışını yönlendiren bağlantı nesneleri, yani Sequence Flow, şemada akışın yönünü gösteren oklarla ifade edilir. Bu oklar, görevlerin ardışıklığını ve süreç akışını belirler. Örneğin, bir olay tetiklendikten sonra hangi görevlerin gerçekleştirilmesi gerektiğini net bir şekilde gösterir.

Olay (Event) Tipleri

BPMN'de yapılan her akış diyagramında farklı olay tiplerine yer verilir. Bunlar, süreci başlatan, durduran veya akış sırasında gerçekleşen olayları temsil eder. Örneğin, yeni bir alarm geldiğinde bir başlangıç olayı tetiklenir. Olay türleri, sürecin dinamik takibini ve yönetimini kolaylaştırır.

Süreç modelleme, özellikle siber güvenlik alanında kritik bir kavramdır. Kuruluşlar, potansiyel tehditleri en aza indirmek ve hızlı bir yanıt mekanizması geliştirmek için bu teknikleri kullanır. Hem güvenlik olaylarıyla etkili bir şekilde başa çıkmak hem de sürekli iyileşme sağlamak için süreç modelleme önemli bir rol oynar.

Teknik Analiz ve Uygulama

Süreç Modelleme Tanımı

Süreç modelleme, karmaşık güvenlik operasyonlarını görselleştirerek mantıksal hataları önleme amacıyla yapılan bir çalışmadır. Süreçlerin net bir şekilde anlaşılmasını sağlayarak, ekiplerin rol ve sorumluluklarını belirlemek ve etkileşimi kolaylaştırmak için kritik öneme sahiptir.

BPMN Kısaltması

Business Process Model and Notation (BPMN), süreç modelleme için dünya genelinde kabul gören bir notasyon dilidir. BPMN, karmaşık süreçlerin kolay anlaşılır bir biçimde tasvir edilmesine olanak tanır. SOAR (Security Orchestration, Automation, and Response) playbook tasarımlarında sıklıkla başvurulan BPMN, IT ve güvenlik alanında iş akışlarının standartlaştırılmasını sağlar.

BPMN Temel Şekilleri

BPMN, süreçleri temsil etmek için çeşitli temel şekiller kullanır. Bu şekiller şunlardır:

  • Event (Çember): Süreci başlatan veya bitiren olaylardır. Örneğin, bir alarmın gelmesi veya sürecin tamamlanması.
  • Task (Dikdörtgen): Süreci oluşturacak spesifik aktiviteleri temsil eder. Örnek olarak, IP adresinin bloke edilmesi gibi bir işlem.
  • Gateway (Eşkenar Dörtgen): Akışın kontrol edildiği ve karar verildiği noktalardır. Örneğin, bir alarmın 'true positive' olup olmadığını değerlendiren bir geçit.

Bu temel şekillerin kullanımı, sürecin anlatımını ve anlaşılmasını büyük ölçüde kolaylaştırır.

Görselleştirmenin Faydası

Süreçlerin görselleştirilmesi, sistemin karmaşıklığını azaltmanın yanı sıra, iletişimi güçlendirir. BPMN ile hazırlanan diyagramlar, analistler ve mühendisler arasındaki bilgi akışını hızlandırır. Ayrıca, BPMN ile çizilen tasarımlar SOAR üzerinde doğrudan playbook adımlarına dönüştürülebilir. Bu durum, süreçlerin daha hızlı uygulanabilir hale gelmesini sağlar.

Swimlane (Kulvar) Kavramı

BPMN diyagramlarında kullanılan swimlane (kulvar), farklı ekiplerin veya sistemlerin sorumluluklarını göstermek için yatay veya dikey bölmeler şeklinde tasarlanır. Bu alanlar sayesinde, süreç içinde kimin ne zaman ve hangi görevleri üstlendiği anlaşılır. Böylece operasyonel süreçlerin yönetimi daha etkin hale gelir.

Gateway (Geçit) Türleri

BPMN'de farklı türlerde gateway'ler kullanılır:

  • Exclusive (XOR) Gateway: Bu geçit, bir seçim yapılması gerektiğinde kullanılır. Örneğin, bir alarmın 'true positive' olup olmadığına yanıt verir.
  • Parallel (AND) Gateway: Sürecin birden fazla yolu aynı anda izlemesi gerektiğinde tercih edilir.
  • Inclusive (OR) Gateway: Koşullara bağlı olarak bir veya birden fazla yolun seçilebilmesine olanak tanır.

Bu geçit türleri, sürecin dinamik yapısını ve olası yollarını belirlemek için kullanılır.

Süreç Dokümantasyonu

Süreç modelleme sadece görselleştirme ile sınırlı kalmaz. Süreçlerin etkili bir şekilde dokümante edilmesi de gereklidir. BPMN, süreçlerin hem anlaşılmasını hem de kaydedilmesini sağlar. Böylelikle, gelecekteki iyileştirmeler için veri sağlanır.

Bağlantı Nesneleri (Sequence Flow)

BPMN'de aktiviteler ve kararlar arasındaki akışın yönünü belirten bağlantı nesnelerine Sequence Flow denir. Bu oklar, süreç akışını açık bir şekilde gösterir ve sürecin mantıklı bir şekilde ilerlemesini sağlar.

BPMN Diagramı:
 +------------------+        +-----------------+
 |                  |        |                 |
 |   Start Event    | -----> |  Task: Kontrol  |
 |                  |        |                 |
 +------------------+        +-----------------+
                                     |
                                     v
                           +--------------------+
                           |   Exclusive Gateway |
                           +--------------------+

Olay (Event) Tipleri

BPMN'de olaylar, süreci etkileyen durumları temsil eder. Olaylar üç çeşitte tanımlanır:

  1. Start Event (İnce Çizgili Çember): Sürecin başlangıcını ifade eder.
  2. Intermediate Event (Çift Çizgili Çember): Süreç sırasında meydana gelen olayları belirtir.
  3. End Event (Kalın Çizgili Çember): Sürecin sonlandığını gösterir.

Bu olay tipleri, sürecin zaman içinde nasıl ilerlediğini ve hangi noktada yeni durumların oluştuğunu izlemek için önemlidir.

SOAR Platformuna Aktarım

Son olarak, BPMN ile oluşturulan süreç modelleri, SOAR platformlarına aktarılabilir. Bu aktarım, süreçlerin otomasyonunu ve yönetimini kolaylaştırır. BPMN diyagramları, uygulama aşamasında adım adım gereksinimlerden yola çıkarak rasyonel bir dönüşüm sağlanmasına yardımcı olur.

BPMN ile süreç modelleme, siber güvenlik süreçlerinin etkin ve verimli bir şekilde yönetilmesi için kritik bir öneme sahip olup, aynı zamanda sürekli iyileştirme için bir temel oluşturur.

Risk, Yorumlama ve Savunma

Siber güvenlik süreçleri, risk değerlendirmesi ve bu risklerle başa çıkma stratejileri üzerine inşa edilmiştir. Bu süreçlerde ortaya çıkan bulguların güvenlik anlamını yorumlamak, bu bulguların potansiyel etkilerini anlamak ve buna göre savunma stratejileri geliştirmek kritik öneme sahiptir.

Elde Edilen Bulguların Güvenlik Anlamı

Güvenlik bulgularının aslında ne anlama geldiğini anlamak, ilk adım olarak kabul edilebilir. Örneğin, bir ağda sızan verilere ulaşıldığında, bu verilerin ne tür veriler olduğu, kimler tarafından erişildiği ve bu verilerin kötüye kullanım potansiyeli gibi faktörler göz önünde bulundurulmalıdır. Bir veri sızıntısı, yalnızca verilerin kaybolması değil, aynı zamanda kullanıcı itibarının zedelenmesi, yasal yaptırımlar ve müşteri güveninin kaybı gibi sonuçları da beraberinde getirebilir.

Örnek: Sızan veri türleri
- Kişisel Veriler: Ad, soyad, TCKN
- Finansal Bilgiler: Kredi kartı numaraları
- Şirket Verileri: Patents, ticari sırlar

Yanlış Yapılandırma veya Zafiyet

Yanlış yapılandırmalar, sistem güvenliğinde ciddi zafiyetlere yol açabilir. Örneğin, bir firewall'un yanlış yapılandırılması sonucunda, istenmeyen trafiklerin ağ içerisinde dolaşmasına olanak sağlanabilir. Bu tür zafiyetlerin etkisini analiz etmek için genellikle o sistemin veri topolojisi ve servis tespiti yapılmalıdır. Uygulama sunucusundaki bir yanlış yapılandırma, kullanıcıların kişisel verilerine veya şirketin kritik verilerine kolayca ulaşılmasına sebep olabilir.

Hata Tespiti Örneği:
- Yanlış yapılandırma tespit edildi: 192.168.1.100 IP adresinden beklenmedik outbound trafiği.
- Etki Alanı: Şirketin müşteri veritabanı sunucusu.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan verilerin analizi, yalnızca hangi verilerin sızdığını değil, aynı zamanda bu sızıntının hangi yollarla gerçekleştiğini anlamak için de önemlidir. Ağ topolojisinin haritalanması, hangi bileşenlerin etkilendiğini, hangi servislerin çalıştığını ve bu servislerin nasıl etkileşimde bulunduğunu anlamak için de kritik bir süreçtir. 

Ağ Topolojisi Tanımı:
- Anahtar/Router: C-Router1
- Sunucular: DB-Server1, App-Server2
- Güvenlik Duvarları: FW1

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik risklerini azaltmak için alınacak profesyonel önlemler, sistemlerin "hardening" yani sertleştirilmesi sürecini içerir. Bu süreç, gereksiz servislerin kapatılması, yazılımların güncellenmesi ve güvenlik yamalarının uygulanması gibi adımları içermektedir. Ayrıca, aşağıdaki öneriler değerlendirilebilir:

  1. Güvenlik Duvarı Kuralları: Güvenlik duvarında yalnızca gerekli olan kuralların bulunması sağlanmalıdır.
  2. İzinlerin Yönetimi: Kullanıcılara yalnızca ihtiyaç duydukları izinler verilmelidir.
  3. Şifre Güvenliği: Güçlü şifre politikaları oluşturulmalıdır.
  4. Veri Şifreleme: Hassas verilerin şifrelenmesi, olası bir sızıntıda bilgilerin korunmasını sağlar.
Sertleştirme Adımları:
- Tüm sistem güncellemeleri ve yamalarının yapılması.
- Gereksiz servislerin kapatılması.
- Şifreleme yöntemlerinin uygulanması.
- Güvenlik izleme ve log analizi süreçlerinin entegrasyonu.

Kısa Sonuç Özeti

Siber güvenlik süreçlerinde risk değerlendirmesi yapmak ve bu riskleri yorumlayarak etkili savunma mekanizmaları geliştirmek büyük önem taşımaktadır. Yanlış yapılandırmalar veya zafiyetler, sistemlerin güvenliğini ciddi şekilde tehlikeye atabilirken, alınacak profesyonel önlemler ve sertleştirme uygulamaları, bu tür tehditlere karşı sağlam bir zırh oluşturacaktır. Akış şemaları ve BPMN ile bu süreçlerin görselleştirilmesi, potansiyel zafiyetlerin daha önceden belirlenmesine ve etkili bir strateji geliştirilmesine olanak tanır.