SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI

Transkript

1 SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI Güvenlik Olay Yönetimi ve Korelasyon Sistemi (Log Yönetimi, SIEM ) sistemlerinde amaç kullanıcının en yalın ve kolay bir şekilde sistemin güvenli bir şekilde yönetilmesini sağlamaktır. Bunun için SIEM sistemleri hazır bir kütüphane ile gelir. Bu kütüphanede ne kadar sayıda kural, ne kadar geniş alanı tarıyor önemli bir kriterdir. Taradığı alan : IPS/IDP kuralları Cisco Firewalls Connections General Applications Windows o User Management o Group Management o Machine Management o Authentication o Windows Firewall o Authorization o Audit Policy o Software Management o Access Violation o File Management o Risk Management o Password Management o Service Management o Performance Monitoring o File Replication o Windows File Protection o Printer o System Uptime o NTDS Defragmentation o Network o Hardware Errors FTP DNS Security Network Monitor Telnet URL Operating Systems Sunucu güvenliği

2 WEB server güvenliği Network Cihaları o Cisco o HP o Dell o Aruba o Vb.. gibi alt bileşenlerden oluşur. Ve bu bileşenler için hem güvenlik hem de hata durumu analizi kuralları içerir. Bundan başka ve daha önemli bir özellik ise ihtiyaçlar kapsamında kendi kurallarınızı geliştirebiliyor olmaktır. Kural geliştirme yeteneğini ise 4 farklı seviye olarak ele alabiliriz: Basit periyodik kurallar Basit gerçek zamanlı kurallar Senaryo kuralları Sınıflandırma temelli korelasyon yaklaşımına sahip kurallar. KORELASYON KURALLARI Kullanıcıların kendi geliştirebileceği kuralları yukarıda 4 farklı kategoriye ayrılmıştık. Bunlara kısa kısa örnekler verip, ANET tarafından geliştirilen ANALİZSEL KORELASYON YAKLAŞIMI açıklayacağız Basit periyodik kurallar Bu tarz ürünlerin gerçek bir korelasyon motoru olduğundan bahsedilemez. Bu tarz sistemler kullanıcının ara yüzde seçtiği değerlere göre arka planda bir sorgu oluşturur ve aşağıdaki resimdeki gibi sorguyu veya bazen alarm diye de adlandırılan betiği her xxx saniye bir çalıştır gibi ayarlar yaptırırlar. Dolayısı ile bu tarz ayarlar aslında bir motor olmadığına ve sonucun DB (SQL,NoSQL, Flat File) üzerinde periyodik sorgu çalıştırmakla üretilmeye çalışıldığını gösterir. Temel olarak Kuraların veri tabanı üzerinde çalışmasından kaynaklanan zaaflara sahiptirler. Bu zaaflar 4 adettir 1. Kurallar (Aslında scriptler [SQL veya NoSQL]) periyodik çalıştırıldığı için bu periyod içindeki olaylar anında yakalanamaz 2. SQL veya NoSQL DB ler üzerinde yüzlerce scriptin belli periyotlarla çalıştırılması bir performans problemine sebep olur 3. Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz

3 4. Scriptler [SQL veya NoSQL]) bağımlı olduğu için gelişmiş kurallar yazılamaz Basit gerçek zamanlı kurallar Gerçek zamanlı bir korelasyon kuralına sahip olup, senaryo yazmaya elverişli olmasalar bile bazı temel kuralları işletebilirler. Örnek kurallar: 1. Her hangi bir log kaynağına ait loglarda bir olay gerçekleşirse, 2. Her hangi bir log kaynağına ait loglarda belli bir süre içerisinde n adet olay gerçekleşirse, 3. Her hangi bir log kaynağına ait loglarda belli bir süre içerisinde n adet olay gerçekleşmez ise, 4. A kaynağına ait bir olay gerçekleştikten sonra t süresi içerisinde gene A kaynağına ait olaydan bir ya da n adet gerçekleşirse (hakeza bu n kere tekrarlanabilir), 5. A tipindeki herhangi bir cihazdan X türünde bir log geldikten sonraki 5 dakika içerisinde diğer cihazların herhangi birinden Y türündeki veya Z türündeki bir log 20 defadan fazla gelirse alarm oluştur v.b 6. Ayrıştırılan alanlar üzerinden korelasyon adımlarında filtreleme yapılabilmelidir. Örnek: IDS attack info = buffer overflow ise, hedef IP = ise gibi, Senaryo kuralları Olaylara senaryo temelli bir yaklaşım getirir. Sadece tek tek logları analiz yerine bütüne bakar. Örnek kural: 1. A kullanıcısı X sunucusuna login olamayıp authentication failure a sebep olduktan sonra 2 saat içerisinde aynı A kullanıcısının aynı X sunucusuna başarılı oturum açmadığı takdirde uyar. Surelog ile örnek bir senaryo kural geliştirme videosunu aşağıdaki adreste bulabilirsiniz. Sınıflandırma temelli korelasyon yaklaşımına sahip kurallar. Bu yaklaşım, çeşitli parametrelere logları kategorize eden otomatik bir süreçtir ( genellikle mesajlar paternlere göre analize edilir.). Bu sınıflar önceden belirlenmiş olup patter sınıf ilişkisi kurulmuştur. Sistem loglar akarken sınıfsal korelasyona tabi tutulur ve daha önceden belirlemiş sınıflardan birine dahil edilir. Böylece aşağıdaki gibi kurallar yazılabilir. Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden (Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme oturum açar ise haber ver.

4 ANET SureLog Sınıflandırma temelli korelasyon özellikleri: SureLog yaklaşık 300 farklı sınıf için yaklaşık imza (signature) taraması yapabilir. SureLog tarafından yapılan sınıflandırmalara örnek: Malicious DNS Attack Compromised Virus Attachment NotCleaned Informational VPN Tunnel Failed Sınıflandırma işlemi Kelime bazlı,kalime(ler), servis kombinasyonları, Verinin toplandığı sistem imzaları (signatures) Operasyonel parmak izleri (fingerprints) Vb.. Parametreler kullanılarak gerçek zamanlı ve analitik fonksiyonlar yardımı ile yapılır.

5 Sınıflandırma işlemi gelen veriye göre göre değişik kombinasyonlar ve anlamlandırma işlemleri sonucu yapılır. Bir cümle algılayıcı gelen verinin içerisinde nelere bakması gerektiğine karar verir. Örnek olarak : Bir karar verici gelen verinin Load balancer verisi olduğuna karar verir. Bu karar vericinin çalışma prensibi Zeki Veri Madenciliği türevi bir yöntemidir. Veri madenciliğinin ana kullanım alanlarından birinin sınıflandırma olduğu düşünülürse bu motorun eğitilerek uygulama alanı özel (domain specific) hale getirilmesi çok başarılı sonuçlar elde edilir. İlk aşama geçildikten sonra verinin içerisindeki değişik parametrelere bakarak (servis, portlar, içerdiği kelimeler vb..) entegre olunan sistem imzaları veya kayıtlı operasyonel parmak izi veri tabanında tarama yapılır. Bu tarama basıt bir kelime bulma araması değildir. Karar verici olası kombinasyonları bir önceki adımda aldığı karar verisi doğrultusunda (load balancer) tarar. Bu taramada oluşturduğu bir imza (signature) örneği: ERROR<vrrp>transmit-cannot-receive Bu imza statik bir kelime değildir. Sistem gelen verinin tipine, içerdiği kelimelere, içerdiği verilere (src,dst,src_port,dst_port,sercis,sent,recvd,vb..) göre dinamik olarak oluşturur. Daha sonra bu imza verinin geldiği kaynak olan sınıflandırmalar için entegre olunan sisteme göre ve oluşturulan dinamik tarama parametrelere göre analitik bir işleme tabi tutulup sonuçta Veri kaynağının unstable olduğu kararı verilerek buna uygun bir sınıflandırma yapılıp HealthStatus Abnormal Damgası vurularak korelasyona dahil edilir. ANET SureLog sınıflandırma temelli korelasyon modülünün en temel avantajlarından biri de basit gerçek zamanlı kuralları ve senaryo kurallarını da aynı anda kullanabilmesidir. Sistemin en temel avantajı aşağıda listesi verilen sistemlere entegre olarak onların saldırı tespit sistemi (Intrusion Detection) ve güvenlik yönetimi sistemlerinin çıktılarını analiz edip sistemi bir bütün olarak yönetmeye olanak tanımasıdır. Bu sayede yalın bir şekilde ve detaylarda boğulmadan aşağıdaki kuralı yazabilmek mümkün oluyor ve listedeki sistemeler bunu yapamayacağı için onları da tamamlamış oluyoruz. Örnek Kural Networkümde bir güvenlik açığı taraması olduktan sonra, herhangi bir yerden (Sunucu, router, switch, firewall, modem vb..) birileri 5 dakika içerisinde sisteme oturum açar ise haber ver. Sistem kendisi Saldırı tespiti veya güvenlik taraması yapmaz. Bu işlemler için uzmanlaşmış profesyonel sistemlerin verilerini analiz eder ve sonuçalrını korelasyonu tabi tutar.

6 Bu sınıflandırmalar için entegre olunan sistemler 3Com Office Connect Firewall eeye Digital Retina Network Security Scanner 3Com Secure Router EgeWave WEB Security AhnLab Malware Defense System EgeWave Security Airlive Firewall Enforcive Systems Cross Platform Audit Anchiva FW Enterasys Dragon IDS Apache WEB Server F5 F5-BIGIP Apple Mac F5 FirePass SSL VPN Aruba Wireless LAN FireEye Malware Protection System Astaro FW ForeScout CounterACT NAC Aventail Aventail SSL VPN Fortinet Fortigate Barracuda Barracuda Web Filter Fortinet Fortimail Barracuda NG Firewall Fortinet DHCP Barracuda Spam Virus Firewall Free Radius Radius Server BlueCoat SGOS Gateprotect Firewall BlueCoat WebProxy Global Technology Associates GNAT Box Brocade NetIron XMR/MLX HP Wireless LAN Controller Check Point Firewall Ingate Firewall Checkpoint SafeOffice IPCop Firewall Cimcor Firewall Iptables Firewall Cisco ACE IronPort C350 Cisco ASA IronPort ESA Archive Logs Cisco Access Control Server IronPort WSA Access Logs Cisco CSA Ironport Security Gateway Cisco CSA Management Center Juniper IDP Cisco CatOS Juniper Juniper System Logs Cisco Firewall Service Module Juniper NSM Cisco IOS Juniper SSL VPN IVE Cisco IPS Kerio Firewall Cisco Nexus Switches Lancope StealthWatch Cisco PIX LeadSec LeadSec Firewall Cisco VPN 3000 Lenovo Security Technologies LeadSec Cisco Wireless LAN Controller Linux Linux Clavister Firewall Linux DHCP Clavister DHCP Linux DNS Cyberoam UTM Mcafee EPO AV-HIPS-Solidcore Dell PC 5324 Switch Mcafee EPO-AV Drytek Firewall Mcafee EPO-FW Drytek DHCP Mcafee EPO-IPS Drytek DNS Mcafee Foundscan Enterprise

7 Mcafee IntruShield IPS Secure Computing Sidewinder Mcafee Web Gateway Appliance Securepoint FW Mcafee Mail Gateway Sendmail, Inc. Sentrion MP Mcafee Firewall SMC Networks SMCWBR14T-G MetaTrader Forex Trading Platform Snort ALL Microsoft IIS SonicWALL Firewall Microsoft IIS SMTP SonicWALL SSL VPN 2000 Microsoft Windows Sonicwall DHCP Microsoft DHCP Sophos UTM Microsoft DNS SourceFire SourceFire Microsoft Exchange Squid URL Filter Microsoft ISA StoneSoft Firewall Microsoft MS SQL StoneSoft IPS Nessus Nessus StoneSoft StoneGate Management Center Net Filter IP Tables Sun Microsystems Solaris NetApp NAS Symantec Antivirus NETASQ Firewall Symantec Endpoint Protection Netscreen Firewall TippingPoint IPS NetScreen DHCP TopLayer TopLayer IPS Nortel VPN Router Trend Micro OfficeScan Open Source FreeBSD TrendMicro InterScan Web Security Appliance Open Source Snort TrendMicro Intrusion Defense Firewall (IDF) Open Source Apache(via syslog) Tripwire Enterprise Open Source Sendmail on Solaris V8 Tripwire for Windows (Snare) Open Source dhcpd Untangle Firewall Opzoon Firewall VMWare ESX and ESXi VMWare ESX and ESXi Oracle Common Audit Trail VMWare ESX and ESXi VMWare vcloud Director Oracle for Windows VMWare ESX and ESXi vshield Zones Palo Alto Network Firewall Watchguard Firebox SOHO PaloAlto URL Filter Watchguard Firebox X Edge Pfsense DHCP Websense Enterprise Pfsense Firewall Websense Security Gateway Point-to-Point Protocol PPP Zimbra Mail Server Postfix Mail server Zyxel Modem PowerTech Interact Zyxel ZyAir G-4100 QNAP NAS Zyxel Firewall Qualys QualysGuard Rhinosoft Serv-U FTP RSA Authentication Manager