SolarWinds’in Hacklenmesi Vakasında Olduğu Gibi APT Grupları Tarafından Gerçekleştirilen Saldırılar ve Bu Saldırıların Analizinde SIEM’in Yeri
Bilindiği gibi saldırganlar, SolarWinds’in ürettiği ağ izleme ve yönetme platformu Orion’u hedef aldılar. Ürün için güncelleme yazılımı sağlayan servise zararlı yazılım yerleştiren saldırganlar böylece ürünün yeni güncellenmesini yükleyen Orion kullanıcılarının ağlarına sızma gerçekleştirebildi.
Buna çok benzer yöntemler ile APT grupların saldırıları artarak devam ediyor.
Dünya, yakın zamanda akaryakıt tedarik şirketinin ABD içlerinde maruz kaldığı hacker olayını takip etti. Korsanların elleri büyük gıda şirketlerine ve özellikle ete de ulaştı. Aynı şekilde iki ay önce bilgisayar korsanları, başkent Washington’daki tüm polis dosyalarını ele geçirdi. Bunlara benzer saldırı ve güvenlik ihlalleri artarak devam etmekte.
Bu saldırıların tespiti ve analizinde kullanılabilecek temel güvenlik aracı SIEM çözümleridir. Öncelikle korelasyon ve ML kullanarak bu saldırıları anında tespit etmek mümkündür. İkinci olarak da
- Bu saldırı ne zaman başladı?
- Hangi kaynaklar etkilendi?
- Saldırganlar kimler?
- Bu saldırganlar başka hangi iç kaynaklara erişti?
gibi akla gelebilecek ve olayı çözmenizi sağlayacak sorulara cevap bulmakta SIEM başvuracağınız ilk kaynaktır, aynı uçaklarda uçak düşünce kara kutuyu bulmaya çalışmak gibi.
Aşağıda Solarwinds’ın kendi web sayfasından alınan bir resim mevcut.
Görüldüğü gibi saldırı başlangıcı 2019 yılına uzanıyor ve 2021 yılında hala incelemeler devam ediyor. Dolayısı ile yukarıdaki gibi onlarca soruyu son iki yılı kapsayan (Belki daha da uzayacak) süre için sormanız ve cevap almanız gerekecek. Burada anlık analiz ve arşivden analiz konuları devreye girer. Bu noktada da SIEM çözümünün anlık analizi ne kadar geriye götürebildiği ve nereden sonra da arşivden çalıştığının kritikliği ortaya çıkar.
SIEM çözümlerinde loglar erişim tiplerine göre Sıcak (Hot) yani canlı ve Soğuk (Cold) yani arşiv olarak tanımlanır.
Sıcak log analizi anlık olarak log analiz etmek amacıyla kullanılır. Soğuk logları geri yüklemek günler, haftalar hatta aylar sürebilen bir işlemdir. Soğuk loglar geri yüklemeden yani sıcak log haline getirmeden kullanamazsınız. Soğuk loglar arşiv loglardır.
Herhangi bir saldırıyı anlamak, analiz etmek ve hatta adli bulgular elde etmek temel saldırı analizi prosedürleridir. Örnek bir senaryo olarak son 1 yıl içerisini analiz edeceğinizi düşünürsek; Soğuk(Cold) yani arşivden çalışan SIEM çözümlerinde “Son 1 yıl içerisinde X domainine erişen IP ve kullanıcıların raporu” aylar sürerken, Sıcak(Hot) yani canlı çalışan bir SIEM çözümünde bu süre saatlerdir.
Sizin bir saldırıyı analiz için “Son 1 yıl içerisinde X domainine erişen IP ve kullanıcıların raporu” gibi onlarca soruya cevap bulmanız gerekeceği için her rapor veya sorgu için beklenecek/harcanacak aylar ile saatler arasındaki fark analizlerinizin sonucunu doğrudan etkileyecektir.
Bu noktada SureLog SIEM çözümünün çok az disk kullanarak yani çok düşük disk maliyetleri ile logları yılarca Sıcak (Hot) yani canlıda tutabileceği bilgisini paylaşayım.
