Kuruluşlar, iyi bir güvenlik duruşunu korumanın yollarını bulmakta zorlanıyor. Bunun nedeni, güvenli sistem politikaları oluşturmanın ve iyi bir duruş elde etmeye yardımcı olacak doğru araçları bulmanın zor olmasıdır. Çoğu durumda, kuruluşlar birbiriyle entegre olmayan ve satın alınması ve bakımı pahalı olan araçlarla çalışır.
Güvenlik duruşu yönetimi, bir kuruluştaki güvenlik yanlış yapılandırmalarını ve uyumluluk risklerini belirleme ve azaltma sürecini tanımlamak için kullanılan bir terimdir. İyi bir güvenlik duruşunu sürdürmek için kuruluşlar en azından aşağıdakileri yapmalıdır:
- Envanteri koruyun: Varlık envanteri, korunması gereken tüm BT varlıklarının kapsamlı bir listesini sağladığı için ilk olarak değerlendirilir. Bu, kullanılan donanım aygıtlarını, uygulamaları ve hizmetleri içerir.
- Güvenlik açığı değerlendirmesi gerçekleştirin: Bir sonraki adım, uygulamalar ve hizmetlerdeki zayıflıkları belirlemek için bir güvenlik açığı değerlendirmesi yapmaktır. Güvenlik açıklarının bilgisi, risklerin önceliklendirilmesine yardımcı olur.
- Güvenli sistem yapılandırmasını sağlayın: Bu, riskleri azaltarak genel sistem güvenliğini artırmak için sistem ayarlarının değiştirilmesini içerir. Varsayılan ayarların değiştirilmesi, yanlış yapılandırmaların belirlenmesi ve ortadan kaldırılması gibi eylemler, kurumsal güvenlik duruşunu iyileştirme eğilimindedir.
- Saldırıları tespit etmek için tüm varlıkları izleyin: Ek olarak, altyapıya yönelik saldırıları tespit etmek için tüm BT varlıkları sürekli olarak izlenmelidir. Bu, anormallikler veya tehlike göstergeleri için ağ, sistem ve uygulama günlüklerini izleyerek yapılabilir.
Wazuh çözümü
Wazuh açık kaynaklı birleşik bir XDR ve SIEM platformudur. Kullanımı ücretsizdir ve 10 milyondan fazla yıllık indirmeye sahiptir. Wazuh platformunda, izlemek istediğiniz uç noktalarda konuşlandırılmış aracılar bulunur. Wazuh aracısı, izlenen uç noktalardan güvenlik olayı verilerini toplar ve bunları günlük analizi, korelasyon ve uyarı için Wazuh sunucusuna iletir.
Wazuh platformu, bir organizasyonun genel güvenlik duruşunu iyileştirmek amacıyla birkaç dahili modüle sahiptir. Aşağıdaki bölümlerde ilgili bazı Wazuh modüllerini vurguladık.
Sistem envanteri
Wazuh sistem envanter modülü, Wazuh aracısının kurulu olduğu izlenen uç noktalardan bilgi toplar. Bu modül, uç noktalardan aşağıdaki bilgi sınıflarını toplar:
- Donanım ve işletim sistemi bilgileri.
- Yüklü uygulamalar ve paketler.
- Ağ arayüzleri ve açık portlar.
- Mevcut güncellemeler ve çalışan işlemler.
Wazuh tarafından toplanan envanter verilerinin örnekleri aşağıdaki resimde gösterilmektedir:
Burada elde edilen bilgiler daha sonra güvenlik açığı veya tehdit tespiti için kullanılır. Örneğin, kurulu bir paketin sürümü, savunmasız olup olmadığını belirlemek için kullanılabilir.
Güvenlik açığı dedektörü
Wazuh güvenlik açığı algılayıcı modülü, izlenen uç noktalarda işletim sistemi ve uygulamalarda mevcut olabilecek güvenlik açıklarını keşfetmek için kullanılır. Wazuh sunucusu, herkese açık CVE depolarından küresel bir güvenlik açığı veritabanı oluşturur. Bu bilgiler, güvenlik açıklarını tespit etmek için uç nokta envanter verileriyle çapraz ilişkilidir. Wazuh güvenlik açığı taramasının örnek bir sonucu aşağıda gösterilmiştir:
Algılanan güvenlik açıkları, kritik, yüksek, orta ve düşük olmak üzere dört önem düzeyinde sınıflandırılır. Bu, risklere ve risklere öncelik verirken yardımcı olur.
Güvenlik yapılandırma değerlendirmesi (SCA)
Wazuh SCA modülü, sistem konfigürasyonunu değerlendirebilir ve konfigürasyonlar tanımlanmış güvenli sistem ilkelerini karşılamadığında uyarı verebilir. Wazuh, İnternet Güvenliği Merkezi (CIS) kıyaslamalarına uygunluğu kontrol etmek için kullanılan, kullanıma hazır SCA ilkelerine sahiptir. Kullanıcılar kendi politikalarını kolayca yazabilir veya mevcut politikalarını ihtiyaçlarına göre genişletebilir. Wazuh SCA politikaları, okunabilir ve anlaşılması kolay YAML formatında yazılmıştır.
SCA modülü bir uç noktada yürütüldüğünde oluşturulan olayların örnekleri aşağıda gösterilmiştir:
Wazuh panosundaki her SCA kontrolü, kontrol edilen konfigürasyon ve sistemi sertleştirmek için düzeltme adımları hakkında bilgi içerir. SCA kontrollerinden birini genişletiyoruz ve aşağıdaki ayrıntılı sonucu alıyoruz:
SCA modülüyle, yanlış yapılandırmaları ve çeşitli düzenleyici çerçevelerle (PCI DSS, GDPR ve NIST) uyumluluğu kontrol edebiliyoruz. Wazuh SCA modülü tarafından yapılan uyumluluk kontrolleri, yoğun şekilde düzenlenmiş sektörlerdeki kuruluşlar için çok önemlidir.
Tehdit algılama ve müdahale
Wazuh aracısı, kötü amaçlı yazılım ve anormallik tespiti için güvenlik olayı verilerini Wazuh sunucusuna iletir. Buna ek olarak, aracı, rootkit’leri tespit etmek için izlenen uç noktalarda periyodik taramalar gerçekleştirir.
Wazuh izleme yetenekleri yalnızca Wazuh aracılarıyla sınırlı değildir. Wazuh platformu, aracıların kurulumunu desteklemeyen yönlendiriciler, güvenlik duvarları ve anahtarlar gibi cihazlar için aracısız izleme sağlar.
Birleşik bir XDR ve SIEM platformu olarak, çeşitli güvenlik ürünlerinden gelen güvenlik olayı verileri, korelasyon ve uyarı oluşturma için Wazuh’a iletilir. Wazuh güvenlik olayları panosunun bir örneği aşağıda gösterilmiştir:
Güvenlik olayları tespit edildiğinde iyileştirme eylemlerinin yapılması gerekir. Wazuh, aktif yanıt modülü ile iyileştirme eylemlerini otomatikleştirme yeteneğine sahiptir. Bu, analistlerin iş yükünü azaltmak için otomasyona ihtiyaç duyan kritik veya sık uyarılara yanıt vermede faydalıdır. Örneğin, etkin bir yanıt komut dosyası, SSH oturum açma işleminde bruteforce girişiminde bulunan bir IP adresini engelleyebilir. Belirli uyarılar tetiklendiğinde yürütülecek özel aktif yanıt komut dosyaları oluşturulabilir.
Götürmek
İyi bir güvenlik duruşu, herhangi bir organizasyonun saldırı yüzeyini azaltır. İyi bir duruş elde etmek için göz önünde bulundurulması gereken bazı noktaları vurguladık. Çok çeşitli sistemler, teknolojiler ve uç noktalarla iyi bir şekilde bütünleşen ücretsiz bir çözüm öneriyoruz. Wazuh envanter tutabilir, güvenlik açığı değerlendirmesi yapabilir, güvenli sistem yapılandırmasını kontrol edebilir ve saldırıları algılayabilir ve bunlara yanıt verebilir.
Wazuh’un kullanımı ücretsizdir ve büyük bir toplum birbirini destekleyen ve ürünün geliştirilmesine yardımcı olan kullanıcıların sayısı. kullanabilirsiniz Hızlı başlangıç Kılavuzu bir Wazuh sunucusunu hızlı bir şekilde dağıtmak veya isteğe bağlı olarak kullanmak için Wazuh bulutu hizmet.