Loglama ve SIEM Çözümlerimiz
Loglama, tek bir mikro hizmetten geniş, yekpare bir sisteme kadar, günlüğe kaydetme, izleme ve sisteminizde doğruluğun sağlanmasına, sorunlar ortaya çıktığında neyin yanlış gitmiş olabileceğinin izlenmesine ve genel işlevselliğin iyileştirilmesine yardımcı olacak tüm yöntemlerdir.
Log izleme, tüm kritik ağlar ve cihazları kapsayan bilişim sistemlerinin ürettiği olay kayıtlarının(loglarının) belirlenen kurallara göre analiz edilmesi olarak tanımlanmaktadır. Logların kapsamlı bir şekilde toplanması, birleştirilmesi, orijinal haliyle saklanması, metin olarak analizi ve sunumu gibi adımlardan oluşan log yönetimi ise saldırının göstergelerini ve delillerini elde etmeye olanak sağlamaktadır. Aynı zamanda saldırıların adli olarak incelenmesine de yardımcı olarak saldırının hangi kanallardan ne zaman gerçekleştirildiği, hangi protokollerin kullanıldığı ve atağın nereden start aldığı gibi önemli bilgileri elde etmeye yardımcı olmaktadır. Logların günlük olarak izlenmesi ve yüksek riskli olaylar için gerçek zamanlı alarmlar kurulması gerekmektedir. İyi loglama çözümleri donanım, yazılım çok farklı ortamlardan log alabilmelidir. Bir olay olduğunda olayın sebebi, ilgili bilgisayar ve sunucuların tesbiti alınan loglardan yapılabilmelidir.
Daha gelişmiş bir sistem olarak görülen SIEM ise log analizine göre daha ince detaylı yapılandırma ve raporlama seçenekleri sunmaktadır. SIEM’in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir.
Profesyonel SIEM ürünleri loglarda tekilleştirme, korelasyon, alarm oluşturma, raporlama, hızlı arama gibi özelliklere sahiptir.
Codit, kurumunuzun loglama ve SIEM ihtiyacını belirleyerek doğru ürünün seçilmesi ve konumlandırılması konularında hizmet vermektedir.
WAF Çözümü
Bir web uygulaması güvenlik duvarı (WAF), veri paketlerini bir web sitesine veya web uygulamasına gidip gelirken izleyen, filtreleyen ve engelleyen bir güvenlik duvarıdır. Bir ağ cihazı, sunucu eklentisi veya bulut hizmeti olarak çalışan WAF, her paketi inceler ve Katman 7 web uygulaması mantığını analiz etmek ve web açıklarını kolaylaştırabilecek potansiyel olarak zararlı trafiği filtrelemek için bir kural tabanı kullanır. Özelleştirilmiş denetimler sayesinde, bir WAF, geleneksel ağ güvenlik duvarlarının ve diğer izinsiz giriş tespit sistemlerinin (IDS'ler) ve izinsiz giriş önleme sistemlerinin (IPS'ler) yapamayacağı en tehlikeli web uygulaması güvenlik açıklarından birkaçını tespit edebilir ve anında önleyebilir.
WAF'ler, özellikle e-ticaret alışverişi, çevrimiçi bankacılık ve müşteriler veya iş ortakları arasındaki diğer etkileşimler gibi İnternet üzerinden ürün veya hizmet sağlayan şirketler için yararlıdır.
Beyaz listeye alma: Beyaz listeye alma yaklaşımı, WAF'nin varsayılan olarak tüm istekleri reddedeceği ve yalnızca güvenilir olduğu bilinen isteklere izin vereceği anlamına gelir. Güvenli olduğu bilinen IP adreslerinin bir listesini sağlar. Beyaz listeye alma yaklaşımının dezavantajı, zararsız trafiği istemeden engelleyebilmesidir.
Kara listeye alma: Kara listeye alma yaklaşımı, varsayılan olarak paketlerin geçmesine izin verir ve kötü amaçlı web trafiğini engellemek ve web sitelerinin veya web uygulamalarının güvenlik açıklarını korumak için önceden ayarlanmış imzaları kullanır. Kötü amaçlı paketleri belirten kuralların bir listesidir. Kara listeye alma, genel web siteleri ve web uygulamaları için daha uygundur, çünkü kötü niyetli veya iyi huylu olduğu bilinmeyen, bilinmeyen IP adreslerinden çok fazla trafik alırlar. kara listeye alma yaklaşımının dezavantajı, daha fazla kaynak yoğun olmasıdır
Hibrit güvenlik: Bir hibrit güvenlik modeli, hem kara listeye hem de beyaz listeye alma öğelerini kullanır. Bir WAF'ın kullandığı güvenlik modeli ne olursa olsun, sonuçta HTTP etkileşimlerini analiz etmek ve kötü niyetli trafiği işlenmek üzere bir sunucuya ulaşmadan önce azaltmak veya ideal olarak ortadan kaldırmak için çalışır.
Saldırı Tespit ve Önleme Sistemi
İzinsiz giriş algılama ve önleme, saldırıları azaltmak ve yeni tehditleri engellemek için kullanılan uygulama güvenliği uygulamalarını tanımlayan iki geniş terimdir. Birincisi, izinsiz giriş tespit sistemi kullanarak devam eden saldırıları tanımlayan ve azaltan reaktif bir önlemdir. Mevcut kötü amaçlı yazılımları (ör. Truva atları, arka kapılar, rootkit'ler) ayıklayabilir ve kullanıcıları hassas bilgileri açığa çıkarmaya yönlendiren sosyal mühendislik (ör. ortadaki adam, kimlik avı) saldırılarını tespit edebilir. İkincisi, uygulama saldırılarını önceden engellemek için izinsiz giriş önleme sistemi kullanan proaktif bir güvenlik önlemidir. Bu, kötü amaçlı yazılım enjeksiyonlarını kolaylaştıran uzak dosya eklemelerini ve bir kuruluşun veritabanlarına erişmek için kullanılan SQL enjeksiyonlarını içerir.
Saldırı tespit sistemi (IDS) nedir?
IDS, anormal etkinlikler için hem gelen hem de giden ağ trafiğini algılamak ve analiz etmek için bilinen izinsiz giriş imzalarını kullanan bir donanım aygıtı veya yazılım uygulamasıdır. Bu, şu yollarla yapılır: Kötü amaçlı yazılım imzalarına karşı sistem dosyası karşılaştırmaları. Zararlı kalıpların işaretlerini algılayan tarama süreçleri. Kötü niyetli amacı tespit etmek için kullanıcı davranışını izleme. Sistem ayarlarını ve yapılandırmalarını izleme. Bir güvenlik ilkesi ihlali, virüs veya yapılandırma hatası tespit ettiğinde, bir IDS, saldırgan bir kullanıcıyı ağdan atabilir ve güvenlik personeline bir uyarı gönderebilir. Derinlemesine ağ trafiği analizi ve saldırı tespiti dahil olmak üzere faydalarına rağmen, bir IDS'nin kendine has dezavantajları vardır. Saldırıları bulmak için önceden bilinen izinsiz giriş imzalarını kullandığından, yeni keşfedilen (yani sıfır gün) tehditler algılanmadan kalabilir. Ayrıca, bir IDS, gelen saldırıları değil, yalnızca devam eden saldırıları algılar. Bunları engellemek için bir saldırı önleme sistemi gereklidir.
İzinsiz giriş önleme sistemi (IPS) nedir?
Bir IPS, kötü amaçlı istekleri ayıklamak için bir sistemin gelen trafiğini proaktif olarak denetleyerek bir IDS yapılandırmasını tamamlar. Tipik bir IPS yapılandırması, uygulamaları güvenli hale getirmek için web uygulaması güvenlik duvarlarını ve trafik filtreleme çözümlerini kullanır. Bir IPS, kötü niyetli paketleri bırakarak, rahatsız edici IP'leri engelleyerek ve güvenlik personelini olası tehditlere karşı uyararak saldırıları önler. Böyle bir sistem genellikle imza tanıma için önceden var olan bir veritabanı kullanır ve trafik ve davranışsal anormalliklere dayalı saldırıları tanımak üzere programlanabilir. Bilinen saldırı vektörlerini engellemede etkili olmakla birlikte, bazı IPS sistemleri sınırlamalarla gelir. Bunlara genellikle önceden tanımlanmış kurallara aşırı güvenmekten kaynaklanır ve bu da onları yanlış pozitiflere açık hale getirir.
5651 Yasa Çözümü
5651 NEDİR ?
5651 Sayılı Kanun Maddesinin Amacı:
Kanun maddesi internet erişiminin kontrol altına alınmasını amaçlamaktadır. Bu sayede internet üzerinden işlenen bilişim suçlarının önemli ölçüde önüne geçilmekle beraber suç unsuru içeren herhangi bir olay sonrasında suçlu ya da sorumluların tespit edilerek suçsuzdan kolayca ayırılmasını sağlamak. Ayrıca kullanıcıların internet üzerinden aldatılmalarını ve yasal içerikte olmayan kötü amaçlı içeriklerden korunması amaçlanmaktadır.
5651 Sayılı Kanun Maddesi İle İlgili Anlaşılması Gerekenler ?
- 5651 sayılı kanun maddesi kamu kurumları, özel şirketler ve kullanıcılar için bir öneri niteliği taşımamaktadır. İlgili kanun maddesinin gereklerinin yerine getirilmesi zorunlu kılınmıştır. Kanun maddesini yerine getirmeyen tüm erişim sağlayıcılar için kanuni yaptırımlar söz konusudur. Bunları uyarı, para cezası, hapis, kapatma ve yayından kaldırma gibi sıralayabiliriz.
- Kanun maddesince alınması istenen tedbirler tamamiyle kullanıcıların çıkarlarını gözetmekte olup, uygulanmadığı takdirde kullanıcıya maddi zararlar açabileceği gibi bu kaybın yanı sıra kamu kurumları ve özel firmalar için prestij kaybına da sebep olabilmektedir.
Yukarıda özet olarak verilen 2 maddeyi inceledikten sonra kanun esasları ile ilgili detaylara bir göz atalım.
Kanun maddesi kimleri kapsamaktadır?
İster ücretli, ister ücretsiz birden fazla kullanıcıya bir veya birden fazla internet bağlantısı üzerinden erişim hizmeti sağlayan tüm kurum ve kuruluşları kapsamaktadır. Kanun maddesi kendi içerisinde ikiye ayrılmaktadır ve kapsamları farklılık göstermektedir.
a) İnternet erişimini hizmet amaçlı veya işlerinin devamlılığını sağlamak için çalışan ya da ziyaretçilerine kullandıran kurum ve kuruluşlar.
- Kamu kurumları
- Özel şirketler
- Hastaneler
- Okullar
- Alışveriş merkezleri vb. gibi kurumlar
b) İnternet erişimini kazanç elde etmek amacıyla kullanıcıların hizmetine sunan işletmeler.
- İnternet Cafeler
- Oteller
- Ücretli kullanımın söz konusu olduğu Cafe vb. gibi işletmeler.
Yukarıda yazıldığı gibi hizmet veya kazanç amaçlı kurum ve işletmelerin kullanıclarına kullandırmakta olduğu internet erişim hizmetinin kanun kapsamı dahilinde kontrol altına alınması istenmektedir. Erişim sağlayıcısının kanun maddesi ile ilgili genel yükümlülüklerini şöyle sıralayabiliriz ;
- Kullanıcıların yasal içerikte olmayan WEB sayfalarına erişimlerinin engellenmesi.
- Erişim log ve kayıtlarının tutulması. ( Zaman ve Tarih Mührü ile )
- Networklerine bağlı kullanıcıların iç IP loglarının tutulması.
- Eğer bir Web sayfası mevcut ise ve bu Web sayfasını kendi sunucularında barındırıyor ise dışarıdan gelen erişim log ve kayıtlarının tutulması.
Kullanıcılar internet teknolojisi sayesinde Web sayfaları üzerinden bilgi paylaşımı, eğlence, iletişim kurmak, hizmet vermek ve kendilerini tanıtmak gibi bir çok ihtiyacını karşılamaktadır. Artık hayatımızın olmazsa olmazları arasında yer alan internet ortamı faydalarının yanı sıra bir çok tehtidi de beraberinde getirmiştir.
Kötü amaçlı kişi veya kişiler haksız kazanç elde etmek için kullanıcıların kişisel bilgilerini çalarak çıkar amaçlı kullanmaktadırlar. Kullanıcı bilgileri ile kullanıcıları dolandırmak, bilgilerini pazarlayarak haksız kazanç elde etmek ya da işledikleri bir suçu habersiz masum kullanıcılar işlemiş gibi göstererek kendilerini gizlemektedirler.
İlgili kanun maddesi tüm bu olumsuzlukları minumuma indirmeyi amaçlamaktadır. Bu sebeple internet ortamında tamamiyle savunmasız bulunan kullanıcıların hizmet aldıkları kurumlar tarafından koruma altına alınmasını istemektedir. Kanun maddesinde istenen bu yaptırım hizmet veren kurumlarında müşterilerini korumak ve daha iyi hizmet verebilmek için uygulamaları gereken bir yaptırımdır.
Kanun maddesi tam olarak yasal içerik taşımayan kullanıcıların bilgilerinin çalınmasına sebebiyet verebilecek sahte web sayfaları, yasal olmayan propagandaların bulunduğu, sitelerin, suç unsuru içeren tüm web sayfalarının engellenmesini ve kullanıcıların bilinçli veya bilinçsiz bir şekilde bu web sayfalarına erişimlerinin engellenmesini istemektedir.
Fakat büyük bir hızla hemen hergün yayınlanan web sayfalarının kontrol altına alınması neredeyse imkansız olduğundan henüz kara listeye alınmayan bir web sayfası üzerinden işlenebilecek olası suçlarında daha sonra takip edilebilmesi ve kim tarafından nasıl gerçekleştirildiğinin bilinmesi amacıyla web sayfalarına erişen tüm kullanıcıların kayıtlarının (loglarının) zaman tarih müdrü ile tutulmasını ve saklanmasını istemektedir. İster yasal içerikte olsun ister olmasın tüm erişimlerinin kayıtlarının tutulması gerekmektedir ve bu kayıtların 6 ay ila 2 yıl arasında süre ile saklanması istenmektedir.
UTM Çözümleri
Birleşik tehdit yönetimi (UTM), ağınızda birden fazla güvenlik özelliğinin veya hizmetinin tek bir cihazda birleştirildiği anlamına gelir. UTM kullanarak ağınızın kullanıcıları, virüsten koruma, içerik filtreleme, e-posta ve web filtreleme, istenmeyen posta önleme ve daha fazlası dahil olmak üzere birçok farklı özellikle korunur.
UTM, bir kuruluşun BT güvenlik hizmetlerini tek bir cihazda birleştirmesini sağlayarak, potansiyel olarak ağın korumasını basitleştirir. Sonuç olarak, işletmeniz tüm tehditleri ve güvenlikle ilgili faaliyetleri tek bir pencereden izleyebilir. Bu şekilde, güvenliğinizin veya kablosuz mimarinizin tüm öğelerinde eksiksiz, basitleştirilmiş görünürlük elde edersiniz. Birleşik Tehdit Yöneticisinin İstenen Özellikleri İdeal bir UTM çözümünün sahip olması gereken bazı özellikler vardır.
Antivirüs
Bir UTM, ağınızı izleyebilen, ardından virüsleri algılayıp sisteminize veya bağlı cihazlarına zarar vermesini durdurabilen bir virüsten koruma yazılımıyla birlikte gelir. Bu, virüs profillerini içeren depolar olan imza veritabanlarındaki bilgilerden yararlanarak, sisteminizde herhangi birinin etkin olup olmadığını veya erişim sağlamaya çalışıp çalışmadığını kontrol ederek yapılır. Bir UTM içindeki virüsten koruma yazılımının durdurabileceği bazı tehditler arasında virüslü dosyalar, Truva atları, solucanlar, casus yazılımlar ve diğer kötü amaçlı yazılımlar bulunur.
Kötü amaçlı yazılımdan koruma Birleşik tehdit yönetimi, ağınızı algılayarak ve ardından yanıt vererek kötü amaçlı yazılımlara karşı korur. Bir UTM, bilinen kötü amaçlı yazılımları tespit etmek, onu veri akışlarınızdan filtrelemek ve sisteminize girmesini engellemek için önceden yapılandırılabilir. UTM, dosyaların davranışını ve özelliklerini analiz eden kuralları içeren buluşsal analiz kullanarak yeni kötü amaçlı yazılım tehditlerini tespit edecek şekilde de yapılandırılabilir. Örneğin, bir program bir bilgisayarın kamerasının düzgün çalışmasını engelleyecek şekilde tasarlanmışsa, buluşsal bir yaklaşım bu programı kötü amaçlı yazılım olarak işaretleyebilir. UTM, korumalı alanı kötü amaçlı yazılımdan koruma önlemi olarak da kullanabilir. Korumalı alan ile bilgisayarın içindeki bir hücre, şüpheli dosyayı yakalayan bir sanal alanla sınırlandırılır. Kötü amaçlı yazılımın çalışmasına izin verilmesine rağmen, korumalı alan, bilgisayardaki diğer programlarla etkileşime girmesini engeller.
Güvenlik Duvarı
Güvenlik duvarı, gelen ve giden trafiği virüsler, kötü amaçlı yazılımlar, kimlik avı saldırıları, istenmeyen e-postalar, ağa izinsiz girme girişimleri ve diğer siber güvenlik tehditleri için tarama yeteneğine sahiptir. UTM güvenlik duvarları hem ağınıza giren hem de ağdan çıkan verileri inceledikleri için ağınızdaki cihazların kötü amaçlı yazılımları kendisine bağlanan diğer ağlara yaymak için kullanılmasını da önleyebilirler.
İzinsiz Girişi Önleme
Bir UTM sistemi, bir kuruluşa saldırıları algılayan ve ardından önleyen izinsiz giriş önleme yeteneği sağlayabilir. Bu işlevselliğe genellikle izinsiz giriş tespit sistemi (IDS) veya izinsiz giriş önleme sistemi (IPS) denir. Tehditleri belirlemek için bir IPS, tehditlerde var olduğu bilinen kalıpları arayarak veri paketlerini analiz eder. Bu kalıplardan biri tanındığında, IPS saldırıyı durdurur. Bazı durumlarda, bir IDS yalnızca tehlikeli veri paketini algılar ve ardından bir BT ekibi tehdidi nasıl ele almak istediklerini seçebilir. Saldırıyı durdurmak için atılan adımlar otomatik veya manuel olarak gerçekleştirilebilir. UTM, kötü amaçlı olayı da günlüğe kaydeder. Bu günlükler daha sonra analiz edilebilir ve gelecekte başka saldırıları önlemek için kullanılabilir.
Sanal Özel Ağ (VPN)
Bir UTM cihazıyla birlikte gelen sanal özel ağ (VPN) özellikleri, normal VPN altyapısına benzer şekilde çalışır. Bir VPN, herkese açık bir ağ üzerinden tünel açan özel bir ağ oluşturur ve kullanıcılara, başkalarının verilerini görmeden genel ağ üzerinden veri gönderme ve alma olanağı sağlar. Tüm aktarımlar şifrelenir, bu nedenle birisi verilere müdahale etse bile onlar için faydasız olacaktır. Web Filtreleme Bir UTM'nin web filtreleme özelliği, kullanıcıların belirli web sitelerini veya Tekdüzen Kaynak Bulucuları (URL'ler) görmesini engelleyebilir.
Bu, kullanıcıların tarayıcılarının bu sitelerdeki sayfaları cihazlarına yüklemesini durdurarak yapılır. Web filtrelerini, kuruluşunuzun başarmayı amaçladıklarına göre belirli siteleri hedefleyecek şekilde yapılandırabilirsiniz. Örneğin, çalışanların belirli sosyal medya siteleri tarafından dikkatlerinin dağılmasını önlemek istiyorsanız, bu sitelerin ağınıza bağlıyken cihazlarına yüklenmesini durdurabilirsiniz
Veri kaybı önleme Bir UTM cihazı ile elde ettiğiniz veri kaybı önleme, veri ihlallerini ve sızma girişimlerini tespit etmenize ve ardından bunları önlemenize olanak tanır. Bunu yapmak için, veri kaybı önleme sistemi hassas verileri izler ve kötü niyetli bir aktörün onu çalma girişimini belirlediğinde, girişimi engeller ve böylece verileri korur.