SIEM Saldırganlara Karşı
İyi bir SIEM ve iyi bir korelasyon seti ile saldırganlara göz açtırmazsınız. Bu çok genel bir cümle oldu. Bunu ete kemiğe büründürelim. Bunun için KVKK ihlal bildirimlerini kullanacağım.
Aşağıda değişik zamanlarda yapılan bildirimlerden alınan bilgiler ve bunların SIEM ile nasıl tespit edilebileceği bilgisini bulacaksınız.
Veri sorumlusunun web sitesine ait veri tabanında yer alan verilerin yetkisi olmayan kişiler tarafından silinmesi ile ihlalin gerçekleştiği ve yetkisiz erişilen veri tabanı klasörüne fidye mesajı bırakıldığı
Yukarıdaki olayı yakalamak için veri tabanı logları alınıp, en basit şekilde aktif veri tabanında silme olursa uyarma kuralı veya daha da ileri gidip hangi tablolarda kimlerin işlem yapabileceği yetki matrisi ile belirlenip yetkisizi birinin DB de işlem yapması durumu tespit edilebilir.
Veri sorumlusunun anlaşmalı olduğu yazılım firması tarafından yönetilen hasar yönetimi programında yer alan maddi araç hasarlarına ilişkin görsellerin yer aldığı URL’nin yetkisiz kişiler tarafından ele geçirildiği
Yetkisiz kişiler tarafından çeşitli ihbar ID numaraları denenerek görsellere erişilmesi ile ihlalin gerçekleştiği
Yukarıda bir deneme yanılma yapıldığı anlatılıyor. SIEM için en kolay senaryolardan biri. Yeter ki gerekli uygulama logları alınsın.
İhlalin veri sorumlusu nezdinde çalışan eski bir öğretmenin kapatılmış e-posta adresinin açılarak, tüm okul veli ve personeline okulun muhasebe kayıtlarının, Drive’da bulunan ücret skala bilgilerinin, veli ve öğrenci isimlerinin e-posta gönderilmesi suretiyle gerçekleştiği
Yukarıdaki olayda kapatılmış e-posta adresi tekrar açılıyor. Kapatılan e-posta adresleri bir liseye atılıp tekrar açıldığında tespit edilebilir. Eğer sadece kapatılmamış silinmişse aynı tablo bu tabloda bulunan bir mail adresi tekrar oluşturulursa tespit edilebilir.
Ele geçirilen kullanıcı hesabının yeni kullanıcı hesapları tanımlama yetkisi olduğundan 3 yeni kullanıcı hesabı tanımı yapıldığının da tespit edildiği
Eğer uygulama veya veri tabanı logları alınsa yeni kullanıcı oluşturma tespit en kolay senaryolardan biridir.
İhlalin kaynağının fidye yazılımı saldırısı ve parola saldırısı olduğu
Parola saldırısının tespiti en temel SIEM kurallarından biridir.
Veri sorumlusuna ait bir çalışanın kullanıcı adı ve parolasının belirlenemeyen bir şekilde ele geçirildiği ve o kullanıcı hesabı ile sistemde kayıtlı diğer kullanıcı verilerinin bir e-posta adresine gönderim yolu ile sızdırıldığı
SIEM çözümlerinin bir kısmı kullanıcıların davranışlarındaki anormallikleri tespit edebilir. Yukarıdaki senaryoda ele geçirilen kullanıcının daha önce yaptıklarına bakarak anormallik varsa tespit edilebilir
Siber saldırganlar tarafından veri sorumlusuna ait veri tabanı sistemine bir siber saldırı gerçekleştirilerek, veri tabanı içerisindeki verilerin silinmesi, söz konusu verilerin saldırganlarca ele geçirilmesi ve sonrasında fidye talep edilmesi suretiyle veri ihlali oluştuğu
Yine veri tabanı audit logları ile birlikte silme olayının takibinin sonuç vereceği bir senaryo
Cross Site Scripting saldırısı gerçekleştirilerek müşterilere ait telefon numarası bilgilerinin ele geçirildiği ve saldırganlar tarafından müşterilere bir kampanya mesajı gönderildiği, akabinde veri sorumlusundan fidye talebinde bulunulduğu
Cross Site Scripting saldırısı SIEM senaryolarından biridir.
Veri sorumlusunun kullanmış olduğu sunucu ve istemcilere fidye yazılımı yüklemek suretiyle bir siber saldırı gerçekleştiği ve bu saldırı sonucu dosyaların ve klasörlerin şifrelendiği
Yukarıdaki senaryo da çok kısa süre içerisinde çok fazla dosyaya erişim olursa ve çok kısa süre içerisinde birden fazla makinada çokça dosyaya erişim olursa gibi kurallarla tespit edilebilir.
Veri sorumlusu kullanıcılarına ait e-posta hesaplarının şifrelerinin ele geçirilmesi amacıyla kaba kuvvet saldırısı (Brute-Force Attack) yapıldığı, bazı kullanıcıların ele geçirilen şifre bilgileri ile Üniversite Bilgi Yönetimi Sistemi (UBYS) yazılımına giriş yapıldığı ve şifresi ele geçirilen kullanıcıların üzerinden servis çağrıları yapılarak rapor çıktıları elde edilmeye çalışıldığı
Yine kaba kuvvet saldırısının tespiti en temel SIEM senaryolarından biridir.
Veri tabanı güncellemesi sırasında dışarıya açık durumda olan porttan sızıntı ile veri tabanındaki müşteri bilgilerinin ele geçirildiği
Bu saldırı da veri tabanının güncelleme için erişeceği IP leeri birlisteye atıp bunun dışında erişen olursa haber ver şeklinde bir kural ile tespit edilecek bir saldırı.
İhlalin; başka bir kaynaktan elde edildiği değerlendirilen kullanıcı adı (e-posta) ve şifrelerin veri sorumlusunun internet sitesinde geçerli olup olmadığının denenmesi sonucu, başarılı olan kullanıcı adı ve şifrelerin bir web sitesinde yayınlanması şeklinde gerçekleştiği
Yukarıdaki saldırı türü de bir kaba kuvvet saldırısı ve en temel SIEM senaryolarından biri.
Şirket dışı kaynaklardan elde edilen e-posta adresleri/şifreler ile şirkete ait XXXX.com sitesine birden fazla IP’den giriş denemeleri yapıldığı, her başarısız denemeden sonra bir başka elektronik e-posta/şifre denemesi yapıldığı, bu yolla 2092 site kullanıcısının site hesaplarının şifrelerini doğruladıkları,
Yukarıdaki saldırı türü de bir kaba kuvvet saldırısı ve en temel SIEM senaryolarından biri.
Şirket ile bağlantısı olmayan üçüncü kişiler tarafından 832 adet YYY.com üyesine ait e-posta adreslerinin internet ortamında ele geçirildiği, söz konusu e-posta adresleri kullanılarak şifre deneme yoluyla üyelerin YYY.com hesaplarına giriş yapıldığı
Yukarıdaki saldırı türü de bir kaba kuvvet saldırısı ve en temel SIEM senaryolarından biri.
Bir de bu ihlallerde aşağıdaki gibi ifadeler mevcut:
20.04.2022 tarihinde tespit edilen ihlalin ne zaman gerçekleştiğinin bilinmediği
İhlalin tüm detaylarına ilişkin tespit çalışmalarının uzman kuruluşlarla beraber devam ettiği
İhlalden etkilenen kişi ve kayıt sayısını tespit çalışmalarının devam ettiği
Veri sorumlusunun kullanıcılarına hizmet verdiği bir ortamda şüpheli etkinlikler tespit etmesi sonucu inceleme başlatıldığı ve 06.09.2021 tarihinde veya bu tarih yakınlarında yetkisiz kişilerce kullanıcılara ait birtakım kişisel verilere erişilmesiyle veri ihlali gerçekleştiğinin anlaşıldığı ve ihlalin veri sorumlusu tarafından 17.11.2021 tarihinde tespit edildiği
Bu da her şeyin loglanması ve gerekirse aylarca geriye kolaylıkla gidilmesi gerektiğini gösterir.
