Ağ Operasyon Merkezleri ( Network Operations Center - NOC ) iletişim altyapıları hayati önem kazandığından beri varlar.BT Güvenlik Operasyon Merkezlerinin ise bilgisayar ve bilişim teknolojilerinin suç aracı olarak kullanılmaya başlamasıyla eksikliği fark edildi,hatta günümüzde SOC 2.0 kavramları üzerinde konuşuluyor. Güvenlik görevlileri,bekçiler,bekçi köpekleri,devriyeler ve güvenlik kameralarıyla 7x24 fiziksel güvenlik tesis etme gayretindeki işletmelerde BT ve bilgi güvenliği anlayışı arttıkça ve olgunlaştıkça,aynı gayreti ve ciddiyeti bilişim teknolojileri altyapılarında gösterme ihtiyacı hissedildi. Üniversiteler,bankalar,askeri kurumlar gibi öğrencisinin,personelinin,müşterisinin kişisel ve/veya finansal verisinin gizli olduğunu ve korunması gerektiğini düşünenler,bilişim teknolojileri kullanılarak yürütülen suçların da günden güne şiddetini artırarak çoğaldığını farkedenler bu yapıları yıllar önce kurup işletme gayretine girdiler. Bazıları ise "bunun için para lazım,personel lazım,oda lazım bina lazım" gibi bahaneler arkasına saklanarak 7x24 yerine 5x8 güvenlik anlayışını tercih etti. Ne de olsa kritik alarmlardan cep telefonlarına gönderilen mesajlar ya da mailboxlarına düşen e-postalarla haberdar oluyorlardı. Hoş,çoğu işletme mesai saatleri içinde dahi güvenlik operasyonu yürütecek kabiliyette değil.
Yukarıdaki resim grafiklerin,analiz sonuçlarının, alarm mesajlarının gösterildiği ekranlar, ve bu ekranları sürekli gözleyen operasyon ekibinin bulunduğu fiziksel olarak diğer organizasyon yapılarından ayrı ve sadece yetkili personelin giriş çıkışına izin verilmiş İdeal Güvenlik Operasyon Merkezini gösteriyor. Savunma sanayii,finans,ISP sektörlerindeki deneyimime dayanarak şimdiye kadar böyle bir yapı görmediğimi rahatlıkla ve üzülerek söyleyebilirim.
Profesyonel Güvenlik Operasyon Merkezleri Resim 1'deki gibi 4 ya da 5 mantıksal katmandan oluşur kardeşlerim. İlk katmanda merkezin var olma nedenleri veri kaynakları bulunur. Var olma nedeni diyorum çünkü veri kaynakları olmazsa işleyecek,korele edecek ve işlerin yolunda ya da ters gittiğini gösterecek veriler de olmaz. Günümüzde BT altyapınızın işleyiş ve güvenliğini tesis etmede kullandığınız tüm donanım ve yazılım ürünleri kendilerine has formatta ve detayda mesajlar,olay kayıtları,alarmlar üretir.Üretilen bu verilere erişim için kullanılan yöntemler ve protokoller (snmp,syslog,telnet,ssh,html vb) standart olsa da farklı üreticilerin farklı ürünleri farklı tipte,farklı yapıda,farklı uzunlukta veriler üretir. Farklı özelliklere sahip veri ve mesaj tiplerinin birbiri ile ilişkilendirilebilmesi için, ham veri Veri Toplama katmanındaki yapılarda işlenir ve ortak veritabanında saklanabilecek standart bir hale/formata getirilir. Veri toplayıcı denebilecek bu yapılar veri kaynaklarını sorgulayabilir ( polling ) ya da veri kaynaklarından gönderilen veriyi kabul edebilir.
Resim 1 - GOM katmanları
Analiz ve Depolama katmanı Merkezin kalbi,bel kemiği,en kritik katmanıdır. Merkezin başarısını gösteren,önemsiz ve önemli olayları ayırt etme,filtreleme,birden fazla veri kaynağından gelen birbirinden bağımsız olay verileri arasında ilişki kurma kabiliyeti kazandıran korelasyon ve analiz motoru ya da ürünü ( son zamanların meşhur SIEM ürünleri ) bu katmanda bulunur. Diğer bir deyişle merkezin olay yakalama başarısı korelasyon ve analiz motorunun ya da ürününün başarısıyla doğru orantılıdır. Şarıl şarıl akan veriler istenen standart formata çevrildikten sonra bu katmanda depolanır. Operasyon ve Yönetim katmanı bir önceki katmanda analiz edilen veriler sonucu üretilen olay kayıtlarının incelendiği, bolca grafikten bir takım anlamlar ve sebep-sonuç ilişkisinin çıkarılmaya çalışıldığı, ortada bir bilgisayar olayı var ise müdahale ve gerektiğinde adli bilişim operasyonlarının başlatıldığı ve yönetildiği katmandır.
Veri kaynaklarından gönderilen ya da çekilen veri Resim 2'de gösterildiği gibi izole ve güvenli ağ altyapısı ile GOM'a iletilmeli ve işlenmeli. Out-of-band yönetim portlarını bu amaçla kullanabilirsiniz.
Resim 2 - Mantıksal GOM altyapısı
GOM'da bulunması gereken fiziksel ve altyapı özellikleri
- Kullanılan ürün,ekipman ve teçhizat işletme ürün,ekipman ve altyapısından mümkün olduğunca izole edilmeli. GOM çalışma alanı ve ekipmanlarına erişim kısıtlı ve kontrollü olmalı, güvenlik kameralarıyla devamlı gözlenmeli.
- Bağlı bulunulan ya da hizmet verilen işletmenin servis sağlayıcısından farklı bir servis sağlayıcıdan edinilen farklı bir veri hattı.
- İzleme araçlarının ürettiği ya da altyapı bileşenlerinin sağlık/güvenlik durumlarını gösteren grafiklerin,alarmların GOM'un her noktasından rahatça görünebilmesine imkan sağlayacak monitörler,projektörler ve sesli uyarı ekipmanları.
- Özellikle zararlı kod analizi için,GOM yerel ağından tamamen izole bir ağa sahip laboratuvar.
- En az 2 telefon hattı.
- Fax hattı ve cihazı.
- Beyaz tahta.
- Güncel haber ve gelişmelerin takibi için TV.
- Trafik, log ve zararlı kod analizi
- Adli bilişim
- Sızma testi,güvenlik ve zaafiyet taraması
- Ağ,sunucu ve uygulama güvenliği
Bu hizmeti veren uzman firmalar da var üzülmeyin. Bir güvenlik olayı tespit edildiğinde sağ olsunlar bir kere telefonla arıyorlar ama oldu ki hat kesildi ya da yanlışlıkla telefonu kapadınız bir kere daha arama gayretine pek girmiyorlar. Sonrasında bir email gönderip topu size atıyorlar. Boşuna dememişler "el elin eşeğini türkü söyleyerek arar", siz de bilişim altyapınızın güvenliğini yabana atmayın,7x24 güvenlik prensibine alışmaya ve mümkün olduğunca kendi yağınızda kavrulmaya çalışın.
Hiç yorum yok:
Yorum Gönder