SIEM Korelasyon Yanılsamaları
Korelasyon bir SIEM için en önemli özelliktir. Aşağıdaki korelasyon piramidi makalemde anlattığım gibi en basitinden tutun da en gelişmişine kadar çok çeşitli SIEM yetenek ve özellikleri vardır.
Burada korelasyon ile ilgili iki önemli yanılsamadan bahsedeceğim. İlki kural veya senaryoların aynı veya birbirine denk yada eş olduğunu sanmak veya varsaymak. Aşağıda çok bilinen, neredeyse her üründe olan korelasyon tiplerine örnekleri bulabilirsiniz
- Fortigate Policy Change
- Worm Activity Detected
- Too Many Fail Logon Activity
- Suspicious Logon Activity
Bu format ya da tipteki senaryolar ile aşağıdaki format ya da tipteki korelasyon senaryolarını aynı veya benzer yada eş sanmak, elmas ile kömürü denk tutmaktır.
- If an account not used in at least the last 30 days (31,40,60,90,180 days etc.), notify/lock/delete the account automatically.
- Impossible Travel Detection in Real-Time (VPN Anomaly)
- First VPN connection from device for the user
- First connection from Source IP
- If the domain was created within last 24 hours and not in Alexa 1 million and Cisco Umbrealla 1 million, then notify,
- If a user accesses sensitive files, and at the same time, the same user has a connection to file sharing sites, then notify.
İkinci Yanılsama ise SOC hizmeti alınca bu veya benzeri SIEM kısıtlarını aşabileceğini sanmak. Burada SOC hizmeti için kullanılan SIEM çözümünün kısıtları başına 7X24 insan koyarak giderilemez. Zaten olayın felsefesine de ters. Biz araçların insanın işini kolaylaştırıp otomatikleştirmesini beklerken, insanların araçların eksik ve hatalarını gidermesini bekler hale getiriyoruz.
Konu ile ilgili bana yansıyan bir SOC hizmeti örneğinde, aynı SIEM ürünü ile 18 farklı firma SOC hizmeti alıyor. Bu SOC hizmetlerinin çoğunda (Eğer hepsine erişebilse idim, hepsinde de aynı durumun olduğunu tahmin ediyorum) SIEM çözümünden kaynaklanan aynı hata, problem ve eksikler mevcut idi. Bu hatalardan en basiti sistem kaynağı olarak hiçbir fedakarlıktan kaçınılmamasına rağmen korelasyonların bir çalışıyor, bir çalışmıyor olması. Bir yılın sonunda hizmeti alan firmalardan birçoğu tarafından defalarca yapılan testler ile teyit edilen bir tespit bu. Maalesef hizmetin hemen başında nedense bu testler yapılmıyor, hep bir şeyler olduktan sonra bu testler yapılıyor. Bunlar çok ileri, gelişmiş senaryolardır diye düşünüp rahatça koltuğunuza yaslanmayın. Bu bir yanılsama olur. Bu ürünle alınan SOC hizmetinde yaşanan çok basit senaryolara ait problemleri rahatınızı bozmak için paylaşıyorum:
- “1 dakika içerisinde 1 den fazla firewall kuralı edip ettikten sonra kural silme” tespitinde bile bu işlem ile ilgili sadece son log geliyor yani silme logu ama gelen alarm mailinde hangi kuralın edit edildiği bilgisi yok ve alarm maili bir geliyor bir gelmiyor
- “Firewall da kural değişikliği olursa uyar” gibi basit bir alarm bile stabil çalışmıyor. Öğlen saat 15:00 da değişiklik yapılan kuralın alarmı gece yarısı 03:00 te düşebiliyor. Bu özellikle EPS değeri 3000 i geçince olan bir durum
Hatta bu ürünle SOC hizmeti alınan bazı firmalarda
- Firewall da VPN hesabı oluşturulduğunda
- VPN hesabı silindiğinde
- VPN grubu değişikliği yapıldığında
gibi alarm testleri be başarısızlıkla sonuçlandı.
Dolayısı ile SOC hizmeti korelasyon konusunda hiçbir araştırma, senaryo testi ve sorgulaması bile yapmadan koltuğunuza rahatça yaslanmanızı sağlamaz. Bu konuda da konfor alanından çıkıp korelasyonla ilgili en azından biraz teknik ve akademik makale okuyup araştırma yapmalısınız.
SOC hizmeti ile ilgili yanılsamanın ikinci bacağı da eğer beğenmez isem ilk senenin sonunda değiştiririm rahatlığı ile hızlıca ve fazlaca teknik test ve analiz yapmadan karar vermek. Daha sonra bütçe, alışkanlık, ilk yıl içerisinde o veya bu sebepten başa bir şey gelmediği için farkına varamama, tekrar bir SOC hizmet seçim süreci yüküne girmek yerine mevcut ile kör topal idare etme, alışkanlık gibi bir süre sebepten bunu yapamayabilirsiniz.
