CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Zaman Senkronizasyonu (NTP) ve Log Bütünlüğünün Önemi: Siber Güvenlikte Kritik Bir Adım

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Zaman senkronizasyonu ve log bütünlüğü, siber güvenlikte önemli bir rol oynar. NTP protokolü ve log bütünlüğü nasıl korunur? Detaylar blog yazısında.

Zaman Senkronizasyonu (NTP) ve Log Bütünlüğünün Önemi: Siber Güvenlikte Kritik Bir Adım

Zaman senkronizasyonu (NTP) ve log bütünlüğü, siber güvenlik stratejilerinin temel taşlarındandır. Bu blogda, bu kritik kavramların önemi ve korunma yöntemleri inceleniyor.

Giriş ve Konumlandırma

Zamanın Senkronize Edilmesi: NTP

Siber güvenlik alanında, zaman senkronizasyonu kritik bir öneme sahiptir. Zamanın doğru bir şekilde senkronize edilmesi, ağdaki tüm cihazların olayları düzgün bir şekilde kaydedebilmesi ve bu olayların birbirleriyle ilişkilendirilebilmesi için gereklidir. Bu bağlamda, Network Time Protocol (NTP) protokolü, cihazların saatlerini merkezi bir kaynakla eşitlemek için kullanılan en yaygın standarttır. NTP, cihazlar arasında zaman ahengi sağlamada önemli bir rol oynar ve bu sayede siber olayların analizi için temel bir yapı oluşturur.

NTP’nin temel işlevi, çeşitli cihazların saatlerini doğru bir şekilde senkronize etmek ve bu araçların birbiriyle uyumlu çalışmasını sağlamaktır. Aksi takdirde, cihazlar arasında oluşabilecek saat kaymaları, olayların kronolojik sırasını anlamayı imkânsız hale getirebilir. Özellikle büyük ve karmaşık ağlarda, zaman uyumsuzluğu olayların analizini zorlaştırır ve güvenlik açıklarını daha da derinleştirebilir.

# NTP hizmetinin durumunu kontrol etme
systemctl status ntp

Yukarıdaki komut, bir NTP hizmetinin durumunu kontrol etmek için kullanılabilir.

Clock Skew (Saat Kayması) Riskleri

Ağ ortamında bulunan her bir cihazın kendi iç saatine sahip olması, "clock skew" veya saat kayması riski doğurur. Bu durum, SIEM (Security Information and Event Management) sistemlerinin etkinliğini tehdit eder. SIEM, logları toplayarak güvenlik olaylarını analiz etmek için önemli bir platformdur, fakat doğru zaman damgaları olmadan bu verilerin anlamlı bir bütün olarak değerlendirilmesi oldukça zorlaşır. Özellikle pentest (penetrasyon testi) süreçlerinde, bu tür zaman uyuşmazlıkları, saldırganın izlerini takip etme yeteneğimizi sınırlayabilir.

Zaman senkronizasyonu eksikliği, bir SOC (Security Operations Center) analistinin sağlıklı kararlar almasını engeller. Olayların sıralamasının karışması, güvenlik olaylarının doğru bir şekilde analiz edilmesini ve potansiyel tehditlerin zamanında tespit edilmesini zorlaştırır. Burada en kritik sorun, olayların doğru tarih ve saat dilimi altında değerlendirilmesidir. Aksi takdirde, analistler, olayları yanlış bağlamda yorumlayabilir ve potansiyel güvenlik ihlallerini gözden kaçırabilir.

Verinin Güvenilirliği: Log Bütünlüğü

Zaman senkronizasyonu kadar önemli bir diğer husus ise log bütünlüğüdür. Log kayıtlarının kesinliği ve değiştirilmemiş hali, siber güvenlik çalışmaları açısından hayati bir öneme sahiptir. Saldırganların genellikle sistemlere sızdıktan sonra kendi izlerini silmek için log dosyalarına müdahale ettiği göz önüne alındığında, logların orijinalliğini korumak özellikle kritik hale gelir. Log bütünlüğünü sağlamak için, her bir log kaydı oluşturulurken matematiksel bir parmak izi (hash) ile damgalanır.

# Log kaydına hash değeri eklenmesi
echo "Log içeriği" | sha256sum

Bu komut, bir log kaydına ait verinin SHA256 ile hash değerini hesaplamaktadır. Eğer dosyada herhangi bir değişiklik olursa, hash değeri de değişecek ve analistin olası bir manipülasyonu anında fark etmesine olanak sağlayacaktır.

Logların değiştirilmeden ve silinmeden korunabilmesi, "log integrity" (bütünlük) prensibi ile sağlanır. Bu prensip, logların güvenilirliğini artırırken, aynı zamanda siber adli analizlerdeki zorlukları da minimize eder. Bu sayede, bir güvenlik olayı sonrası yapılacak adli analizler daha güvenilir ve tutarlı hale gelir.

Dijital Parmak İzi: Hashing

Logların içeriğinin doğruluğunu ve güvenilirliğini sağlamak için hashing uygulamaları oldukça yaygındır. Bu teknik, log verisinin değişip değişmediğini kontrol etmek için etkili bir yöntemdir. Log dosyalarının orijinal hali, hash değerleri ile oluşturulur ve herhangi bir değişiklik olduğunda bu değerler de değişir.

Bu aşamada, logların farklı kaynaklardan alınarak SIEM sistemine entegre edilmesi, cihazların ve sistemlerin güvenilirliğini artırır. Logların merkezi bir yerden yönetilmesi, saldırganların izlerini gizleme girişimlerinde veya bilgi sızıntılarında daha etkili bir koruma sağlar.

Yasal Uyumluluk ve Log Kanıt Niteliği

Son olarak, logların zaman damgası ve bütünlüğü, birçok yasal düzenlemenin de gerekliliğidir. Türkiye'de 5651 sayılı kanun gibi düzenlemeler, logların hem bütünlüğünü hem de zaman damgasını koruma zorunluluğu getirmektedir. Bu tür yasal çerçeveler, logların yasal delil olarak kullanılabilmesi açısından kritik bir öneme sahiptir.

NTP senkronizasyonu ve log akış bütünlüğü, SIEM’in genel sağlık durumunu gösteren kurtarıcı unsurlardır. Eğer bir cihazdan log alımı durmuşsa veya saat farkları oluşmuşsa, analistin verileri güvenilir olarak yorumlaması oldukça zorlaşır. Bu sebeple, gerçekleşen siber olayların izlenmesi ve analizi için, kurumsal altyapının bu kritik unsurları sürekli olarak gözlemlenmelidir.

Teknik Analiz ve Uygulama

Zamanın Senkronize Edilmesi: NTP

Siber güvenlikte, zamanın doğru bir biçimde senkronize edilmesi, sistemlerin güvenilirliğini sağlamak için kritik öneme sahiptir. Ağa bağlı cihazların saatlerinin birbirleriyle uyumlu olmasını sağlamak amacıyla, NTP (Network Time Protocol) protokolü kullanılır. NTP, saat bilgilerini merkezi bir kaynaktan almak suretiyle saat uyumsuzluklarının önüne geçer.

NTP'nin nasıl çalıştığını anlamak için basit bir örnek verelim. NTP istemcisi, belirli aralıklarla NTP sunucusuna istekte bulunarak güncel zaman bilgisini alır. Bu bilgi, cihazın sistem saatine uygulanır. Böylece, cihazlar arasındaki saat uyuşmazlıkları minimize edilir. Bir NTP istemcisinin nasıl yapılandırılacağına dair örnek bir konfigurasyon aşağıda yer almaktadır:

# NTP yapılandırma dosyası
sudo nano /etc/ntp.conf

# NTP sunucularını eklemek için
server 0.pool.ntp.org
server 1.pool.ntp.org
server 2.pool.ntp.org
server 3.pool.ntp.org

Yukarıdaki yapılandırma dosyasında, farklı NTP sunucuları belirtilmiştir. Bu sunucular, sistem saatini doğru bir şekilde senkronize etmek için kullanılacaktır. Yapılandırmanın ardından, NTP servisini başlatmak için şu komut kullanılabilir:

sudo systemctl start ntp

Zaman senkronizasyonunun sağlanması, olası bir güvenlik tehdidi durumunda zarar görmüş logların analiz edilmesi açısından da önemlidir. Zaman damgalarının doğru olması, olayların kronolojik sırasını belirlemek ve analiz etmek için gereklidir.

Clock Skew (Saat Kayması) Riskleri

Saat kayması, ağdaki farklı cihazların saatlerinin birbirinden farklı olması durumudur ve bu durum, siber güvenlik operasyonları için ciddi riskler doğurur. Örneğin, bir SIEM (Security Information and Event Management) sistemine akış yapan loglar, tarih ve saat uyumsuzluğu nedeniyle analiz için zor bir hale gelebilir. Eğer bir cihazın logları, diğer cihazlar ile senkronize değilse, bu durumda olayların sırası karışır. Bu da aşağıdaki sonuçları doğurabilir:

  • Korelasyon Hatası: Olayların sırasının karışması sebebiyle, SIEM kurallarının tetiklenememesi.
  • Adli Analiz Zorluğu: Olayların zamanlaması ile ilgili belirsizlikler, adli analiz süreçlerini zorlaştırır.
  • Raporlama Yanılgısı: Uzaktan elde edilen loglar, yanlış tarih ve saat dilimlerinde görünerek analistleri yanıltabilir.

Bu tür durumların önüne geçmek için, NTP gibi zaman senkronizasyon protokollerinin kullanılması hayati öneme sahiptir.

Verinin Güvenilirliği: Log Bütünlüğü

Zamanın doğru bir şekilde senkronize edilmesi, logların güvenilirliğini sağlamak için yalnızca bir adımdır. Logların değiştirilmeden ve silinmeden korunması, siber güvenlikte başka bir önemli konu olan log bütünlüğünü sağlar. Log bütünlüğü, log verisinin salt okunur hale getirilmesiyle sağlanabilir. Bu süreç, kayıtların oluşturulduğu anda matematiksel bir hash değeri ile damgalanmasını içerir.

Bu süreç, aşağıdaki Python dilinde basit bir örnek ile gösterilebilir:

import hashlib

def log_hash(log_entry):
    log_entry_bytes = log_entry.encode('utf-8')
    hash_object = hashlib.sha256(log_entry_bytes)
    return hash_object.hexdigest()

# Örnek bir log girişi
log_entry = "2023-10-15 10:00:00 - Kullanıcı girişi başarılı."
hash_value = log_hash(log_entry)
print(f"Log Hash Değeri: {hash_value}")

Yukarıdaki kod, bir log girişi için SHA-256 algoritması kullanarak bir hash değeri oluşturur. Bu değerin kontrol edilmesi, log verisinin değiştirilmediğini doğrulamak için kullanılabilir.

Logların değiştirilmesi ya da silinmesi durumunda, hash değeri değişecektir. Bu sayede, log kaydının orijinalliği ve bütünlüğü kaydedilebilir.

Değiştirilemez Depolama: WORM

Log bütünlüğünü korumak için uygulanan diğer bir yöntem de WORM (Write Once Read Many - Bir Defa Yaz, Çokça Oku) depolama sistemleridir. Bu tür sistemler, verinin bir kez yazılıp değiştirilemediği bir mimari sunar. Bu yöntem, logların ya da kritik bilgilerin silinmesini ya da değiştirilmesini zorlaştırır.

WORM depolama uygulaması ile logların güvenilir bir biçimde saklanması ve gerektiğinde denetlenmesi mümkündür. WORM sistemleri, güvenlik ihlalleri sonrası bile geçmiş log kayıtlarının korunmasını sağlar, bu da olayları takip etmek ve analiz etmek için kritik bir avantajdır.

Yasal Uyumluluk ve Log Kanıt Niteliği

Siber güvenlikte yapılan her bir işlem, aynı zamanda yasal bir zemine oturmalıdır. Özellikle logların zaman damgaları ve bütünlüğü, yasal delil niteliği taşır. Türkiye'de 5651 sayılı kanun gibi düzenlemeler, logların yasal olarak korunmasını zorunlu kılmaktadır. Bu bağlamda, yukarıda bahsedilen NTP ve log bütünlüğü süreçleri, yasal yükümlülükleri yerine getirmek için de gereklidir.

Sonuç olarak, siber güvenlikte zaman senkronizasyonu ve log bütünlüğü, başarılı bir güvenlik yönetimi için kritik unsurlardır. Bu iki işlem arasındaki ilişki, hem olay analizinin etkinliği hem de yasal zorunlulukların yerine getirilmesi açısından önem taşımaktadır. SIEM sisteminin sağlıklı çalışması için bu altyapısal süreçler sürekli olarak izlenmelidir.

Risk, Yorumlama ve Savunma

Zaman Senkronizasyonu: NTP

Zaman senkronizasyonu, bir ağda bulunan tüm cihazların doğru ve tutarlı bir zaman kaynağına bağlı olmasını sağlamak için kritik bir rol oynar. Ağdaki cihazlar farklı saat dilimlerinde çalışıyorsa, yapılan tespitlerin analizinde karmaşası ve hatalara neden olur. Bu sorun, SIEM (Security Information and Event Management) sistemlerinin etkinliğini düşürmekte ve olayların zaman sırasını analiz etmeyi imkansız hale getirmektedir. NTP (Network Time Protocol), bu eksikliği gidermek için kullanılan standart bir protokoldür. NTP ile cihazlar merkezi bir zaman sunucusuna bağlanarak zamanlarını senkronize ederler.

Yanlış yapılandırma ya da NTP’nin devre dışı kalması sonucunda, analiz edilen verilerin eksik veya hatalı zaman damgalarına sahip olması, "korelasyon hatası" olarak adlandırılan durumu ortaya çıkarır. Bu hata, olayların sıralamasının bozulmasına ve güvenlik ihlallerinin etkili bir şekilde tespit edilememesine yol açar.

Clock Skew (Saat Kayması) Riskleri

Saat kayması, bir ağda bulunan cihazların zamanlarının birbirine uymaması durumunu ifade eder. Bu durum, bir SOC (Security Operations Center) analisti için karmaşık bir zorluk yaratır. Örneğin, bir saldırgan log kayıtlarını manipüle edebilir ve olayların sıralamasını değiştirebilir, bu da olayların daha sonra analiz edilmesinde zorluk yaratır.

Bir SOC analisti, zaman damgasının doğru olduğuna emin olamazsa, olayların doğru bir şekilde bağlanması imkansız hale gelir. Bu, adli analiz zorluklarına ve raporlama yanılgılarına yol açabilir. Saldırı sonrası logların manipüle edilmesi, loglar üzerinde dijital imzalar ve hash fonksiyonları kullanılarak tespit edilebilir. 

# Örnek bir hash değeri kontrolü
sha256sum log_dosyasi.log

Yukarıdaki kod ile log dosyasının hash değeri hesaplanabilir ve bir önceki hash değeri ile karşılaştırılarak değişikliklerin varlığı tespit edilebilir.

Verinin Güvenilirliği: Log Bütünlüğü

Log bütünlüğü, log kayıtlarının oluşturuldukları andan itibaren değiştirilmeden ve silinmeden saklanabilmesi prensibini ifade eder. Saldırganlar genellikle log dosyalarını manipüle ederek izlerini silme çabası içindedir. Bu nedenle logların bütünlüğünün sağlanması, bir SIEM sisteminin etkinliği için son derece kritik bir gerekliliktir.

Logların bütünlüğünü korumak için iki ana yöntem kullanılır. Bunlar, hashing ve Write Once Read Many (WORM) yöntemleridir. Hashing, her log kaydının bir matematiksel parmak izi ile damgalanmasını sağlar. Eğer log dosyasındaki herhangi bir veri değişirse, hash değeri de değişecektir.

WORM depolama, log verilerinin oluşturulduktan sonra değiştirilmesini veya silinmesini engeller. Böylece, bir saldırganın geçmiş logları yok etme girişiminde başarısız olması sağlanır.

Yasal Uyumluluk ve Log Kanıt Niteliği

Ülkeler genelinde uygulanan yasalar, logların belirli bir süre boyunca saklanmasını ve bu logların değişmez bir şekilde korunduğunu belirten düzenlemeler içermektedir. Türkiye'de 5651 sayılı Kanun, logların bütünlüğünü ve zaman damgalarını korumayı zorunlu kılmaktadır. Bu durum, logların yalnızca güvenli bir şekilde saklanmasını sağlamakla kalmaz, aynı zamanda gerektiğinde adli analizlerde kullanılacak delil niteliği taşır.

SIEM Sağlık Takibi

SIEM sistemlerinin güvenilirliği, sürekli sağlık takibi gerektirir. NTP senkronizasyonu ve log akış bütünlüğü, SIEM’in sağlık durumunu gösterir. Eğer bir cihazdan log gelmesi durmuşsa veya saat farkı oluşmuşsa, bu durumu izlemek için analistler düzenli sağlık kontrolleri yapmalıdır. Böyle durumlar tespit edilmediği takdirde, olayların analizi güvenilirlikten uzaklaşır.

Sonuç

Zaman senkronizasyonu ve log bütünlüğü, siber güvenlikte kritik unsurlardır. NTP aracılığı ile sağlanan zaman senkronizasyonu, olayların doğru bir şekilde analiz edilmesine olanak tanırken, log bütünlüğü, olası veri manipülasyonlarını ve saldırıları önlemek için gereklidir. Bu unsurların yeterince dikkate alınmaması, SOC operasyonlarının etkinliğini düşürür, güvenlik ihlallerinin tespit edilmesini zorlaştırır ve sonrasında büyük veri kaybı ve güvenlik ihlali riski doğurur. Dolayısıyla, güvenlik altyapısının sağlam olması için bu öğelerin sürekli izlenmesi ve güncel tutulması önem taşır.