Olay Müdahale İçin Canlı Logların Önemi
Anahtar Kelimeler: MITRE, Hükümet, ABD, Kanada, Solarwinds, Google, RFP, İhale, Yönetmelikler, Öneriler
Olaylara müdahale etmek için uzun vadeli, çevrimiçi, hemen erişilebilir ve canlı kayıtların tutulması gerektiğini söyleten birçok öneri ve yönetmelik vardır. Güvenlik açısından, bir logun amacı, kötü bir şeylerin olması durumunda kırmızı bir bayrak olarak hareket etmektir.
MITRE’nin “Dünya Standartlarında Siber Güvenlik Operasyon Merkezlerinin 11 Stratejisi”, SOC analistleri, SOC adli bilişim/inceleme analistleri ve dış denetim ve soruşturma süreçlerinin farklı ihtiyaçlarını tanımlayarak, SOC içinde en az altı (6) ay ile 2+ yıl canlı kayıt saklama önermektedir [1].
ABD Yönetim ve Bütçe Ofisi, Yürütme Daireleri ve Ajanslar Başkanlarına Yönelik Memorandum (Bilgisayar Güvenliği Olayları ile İlgili Federal Hükümetin Soruşturma ve Çözümleme Yeteneklerinin Geliştirilmesi) yönergesi 12 ay aktif depolama (canlı log) ve 18 ay arşiv süreleri belirlemiştir [2].
Kanada Hazinesi Sekreterliği’nin Olay Günlüğü Yönergesi, 90 gün ile iki yıl arasında kayıt süreleri belirlemiştir [3].
Ayrıca, gerçek dünya saldırı vakaları uzun vadeli canlı logları zorunlu kılmaktadır. SolarWinds hack’inin zaman çizelgesi, canlı log kullanımının siber saldırıları tespit etmede ve yanıtlamada ne kadar kritik olduğunu göstermektedir.
Saldırı, tehdit aktörlerinin Eylül 2019'da SolarWinds ağına izinsiz erişim kazandığı zaman başladı. 18.000'den fazla SolarWinds müşterisi kötü amaçlı güncellemeleri yükledi ve kötü amaçlı yazılım yayıldı.
Ancak saldırı Aralık 2020'ye kadar tespit edilemedi. İşte SolarWinds hack’inin zaman çizelgesi:
• Eylül 2019: Tehdit aktörleri SolarWinds ağına izinsiz erişim kazanıyor
• Ekim 2019: Tehdit aktörleri Orion’a ilk kod enjeksiyonunu test ediyor
• 20 Şubat 2020: Orion’a enjekte edilen Sunburst adlı kötü amaçlı kod
• 26 Mart 2020: SolarWinds, hacklenmiş kod ile Orion yazılım güncellemeleri göndermeye başlar.
SolarWinds hack ilk olarak Aralık 2020'de tespit edildi.
Veri ihlalleri, dünya genelindeki organizasyonlar için ciddi bir uyarı oldu ve güçlü siber güvenlik önlemleri ve etkili olay müdahale planlarının önemini ve kritikliğini vurguladı. Bu önlemlerin ana bileşeni, ağ aktivitesini izlemek ve potansiyel tehditleri gerçek zamanlı olarak tespit etmek için canlı logları kullanmaktır.
Logları canlı olarak uzun süre saklamak her SIEM teknolojisinde ekonomik olarak mümkün olmasa da doğru araçlar, teknolojiler ile bu maliyet bariyeri aşılabilir.
Ayrıca, birçok “Teklif Talebi (RFP)” günlüklerin, arşivde saklansa bile, 24 saat içinde kullanıma hazır olmasını gerektirir [4] “. Son 6 ay (180 gün) içinde VPN yapan kullanıcıların listesini veya son 6 ay içerisinde Solarwinds update domainine bağlanan IP lerin listesini logları canlıda tutmadan almak imkansızdır.
Google, canlı logların önemini şu şekilde ifade ediyor: “Yani. Sonuç: 1 yıllık günlük saklama hem sıkıcı bir uyum gereksinimi hem de üst düzey tehditleri tespit etmek için önemli bir kaynaktır [5].”
Bu nedenle, kuruluşların yukarıda bahsedilen öneriler ve düzenlemelerle uyumlu bir log ve izleme stratejisi uygulaması son derece önemlidir. Logları canlı, çevrimiçi ve hemen erişilebilir tutarak, kuruluşlar potansiyel tehditleri gerçek zamanlı olarak tespit edebilir ve hızlı bir şekilde olaylara yanıt verebilirler, böylece maliyetli veri ihlalleri riskini azaltabilirler.
Ayrıca, uzun vadeli kayıt saklama politikasına sahip olmak, adli soruşturmaları ve uyumluluk denetimlerini yapmada da yardımcı olabilir. Olayların kök nedenini belirlemek ve düzenleyici gereksinimlere uyumu göstermek için faydalı olabilecek bir olay tarihçesi sağlayabilir.
Sonuç olarak, canlı kayıt saklama güçlü bir siber güvenlik stratejisinin vazgeçilmez bir bileşenidir. Kuruluşlar, önerilen saklama sürelerini takip ederek ve uygun araçları ve teknolojileri uygulayarak, siber saldırılara karşı daha iyi korunabilirler ve maliyetli veri ihlalleri riskini azaltabilirler.
Referanslar:
4. http://vadodarasmartcity.in/vscdl/assets/tenders/17.09.2020/2021_499-1.pdf
5. https://chroniclesec.medium.com/retaining-logs-for-a-year-boring-or-useful-9b04c1e55fba
