Kritik altyapı, toplumsal varoluş, büyüme ve gelişme için önemlidir. Toplumlar, telekomünikasyon, enerji, sağlık, ulaşım ve bilgi teknolojisi gibi kritik altyapı sektörlerinin sunduğu hizmetlere bağımlıdır. Bu kritik altyapıların optimum şekilde çalışması için emniyet ve güvenlik gereklidir. Kritik altyapı, dijital ve dijital olmayan varlıklardan oluşur. Kuruluşlar, kritik altyapıya yönelik siber saldırıların neden olduğu arızaları önlemek için siber güvenlik tehditlerinin bir adım önünde olmalıdır. Tehditlerle dolu sürekli değişen bir ortamda dijital varlıkları korumanın yollarını bulmak sürekli bir faaliyettir. Kuruluşlar ayrıca, korunmaya devam etmek ve uzlaşma olasılığını azaltmak için verimli güvenlik çözümleri ve en iyi uygulamaları kullanmalıdır.
Güvenlik çözümleri, bir kuruluşun tehdit ortamının görünürlüğünü korumaya ve geliştirmeye yardımcı olur. Farklı çözümler farklı kavramlar ve yaklaşımlar kullanır. Son zamanlarda yükselen önemli bir kavram, Genişletilmiş Algılama ve Yanıt (XDR).
XDR çözümleri, birden çok katmanda algılama ve yanıt verme yetenekleri sağlar. XDR araçları, ağ cihazları, sunucular ve uygulamalar gibi çeşitli kaynaklardan günlükleri ve olayları toplayarak tehdit algılama ve yanıt yöntemlerini kullanarak verileri ilişkilendirir. Bu yetenekler, güvenlik ekiplerinin olayları hızlı bir şekilde algılamasını, araştırmasını ve yanıt vermesini mümkün kılar.
Kritik altyapıya saldırılar
Şubat 2022’de Almanya’nın enerji devlerinden birinde bir tedarik zinciri saldırısı meydana geldi. Bu saldırı, Almanya genelinde 200’den fazla benzin istasyonunun kapanmasına yol açarak yaşamları ve işletmeleri etkiledi. Bu olay, Amerika Birleşik Devletleri’ndeki Colonial Pipeline saldırısından yaklaşık bir yıl sonra meydana geldi; burada veri hırsızlığı meydana geldi ve bir fidye yazılımı, altyapılarındaki dijital hizmetleri günlerce kapattı. NYTimes’tan bir makale, Colonial Pipeline fidye yazılımı saldırısına karışan bilgisayar korsanlarına tahmini 5 milyon dolar ödendiğini bildirdi. Colonial Pipeline vakasındaki bilgisayar korsanları, güvenliği ihlal edilmiş bir VPN şifresi kullanarak giriş elde etmeyi başardılar ve tespit edilmeden önce tüm gün izinsiz giriş faaliyetleri gerçekleştirmeye devam ettiler.
Kritik altyapıya yönelik saldırılar için birkaç giriş noktası vardır ve bazı vektörler diğerlerinden daha yaygındır. Bu vektörler, güvenliği ihlal edilmiş kimlik bilgilerini, yama uygulanmamış işletim sistemlerini, güvenlik açığı bulunan uygulamaları ve çeşitli tekniklerle sunulan kötü amaçlı yazılımları içerir.
Nasıl kaynaklandığına bakılmaksızın, bir saldırı gerçekleşmeden önce kritik altyapının güvenliğini sağlamaya önem verilmelidir. Güvenlik çözümleri, kuruluşların kendilerini farklı saldırı vektörlerinden korumalarına yardımcı olur. Bu çözümler arasında XDR, SIEM, kod tarayıcılar, altyapı analizörleri, güvenlik açığı tarayıcıları ve kötü amaçlı yazılım algılama çözümleri bulunur. Bu çözümlere ek olarak uyumluluk standartları da vardır. Önerilen birkaç standart NIST, PCI DSS, HIPAA ve GDPR’dir. Bu çözümlerin ve uyumluluk standartlarının doğru şekilde uygulanması, bir kuruluşun güvenlik duruşunu iyileştirmeye yardımcı olabilir.
XDR saldırıları nasıl azaltabilir?
Bir XDR, tehdit aktörlerinin bir kuruluşun farklı dijital varlıklarını hedef aldığı durumlarda önemli bir rol oynar. Bir kuruluşun altyapısına entegre edilmiş bir XDR ile çeşitli kaynaklardan ve varlıklardan gelen güvenlik olayları, altyapıda hangi etkinliklerin gerçekleştiğini belirlemek için analiz edilir ve ilişkilendirilir. Bir XDR, bir ortamdaki kötü amaçlı etkinlikleri algılama ve bunlara otomatik yanıt verme yeteneğine sahiptir. Böyle bir yanıt, kötü amaçlı bir işlemi sonlandırabilir, kötü amaçlı bir dosyayı silebilir veya güvenliği ihlal edilmiş bir uç noktayı izole edebilir. Yanıtlar neredeyse gerçek zamanlı olarak yürütüldüğünden, hız bu görevlerin yürütülmesinde kritik bir rol oynar.
Wazuh SIEM/XDR
Wazuh ücretsiz ve açık kaynaklı bir SIEM ve XDR platformudur. Hem bulut hem de şirket içi iş yüklerini koruyan birkaç bileşen içerir. Wazuh platformu, ajan-sunucu modeliyle çalışır. Wazuh merkezi bileşenleri (sunucu, indeksleyici ve kontrol paneli), altyapınızdaki uç noktalardan gelen güvenlik verilerini analiz eder. Aynı zamanda, Wazuh aracısı, güvenlik verilerini toplamak ve tehdit algılama ve yanıt sağlamak için uç noktalarda konuşlandırılır. Wazuh aracısı hafiftir ve birden çok platformu destekler. Wazuh ayrıca yönlendiriciler, güvenlik duvarları ve anahtarlar üzerinde aracısız izlemeyi destekler.
Wazuh XDR yetenekleri
Wazuh, bir kuruluşun güvenlik tehditlerinin önünde kalmasına yardımcı olan çeşitli yeteneklere sahiptir. Bu yeteneklerden bazıları, diğerleri arasında kötü amaçlı yazılım algılama, güvenlik açığı algılama, dosya bütünlüğü izleme ve tehditlere otomatik yanıt vermedir. Aşağıdaki bölümler, kritik altyapının korunmasına yardımcı olan Wazuh yetenekleri hakkında daha fazla ayrıntı içerir.
Günlük veri analizi
Wazuh günlük veri analizi modülü, çeşitli kaynaklardan güvenlik verilerini toplar ve analiz eder. Bu tür veriler, sistem olay günlüklerini, uygulama günlüklerini ve anormal sistem davranış günlüklerini içerir. Sonuç olarak, analiz edilen veriler tehdit tespiti ve otomatik yanıt için kullanılır. Bu yetenek, altyapınızdaki farklı uç noktalarda meydana gelen olayları görmenizi sağlar.
 |
| Şekil 1: Wazuh panosunda izlenen bir uç noktanın güvenlik olayları. |
Kötü amaçlı yazılım tespiti
Wazuh, kötü amaçlı yazılım tespitine yardımcı olan çeşitli özelliklere sahiptir. Ek olarak, Wazuh, aşağıdakiler gibi diğer güvenlik araçlarıyla entegre edilebilir: YARA ve Virüs Total kötü amaçlı yazılımı tespit etmek için. Wazuh’u uygun şekilde yapılandırarak Sabit Veritabanı (CDB) listeleri, kullanıcılar, dosya karmaları, IP adresleri veya etki alanı adları gibi kodu çözülmüş uyarılardan alınan değerler, kötü amaçlı kayıtlarla karşılaştırılabilir. İşte nasıl olduğunu gösteren bir blog yazısı Wazuh, CDB listeleriyle entegre edilebilir kötü amaçlı dosyaları algılamak ve bunlara yanıt vermek için. Bu Wazuh özelliği, izlenen çeşitli uç noktalardaki kötü amaçlı yazılımları tespit etmenize yardımcı olur.
Dosya bütünlüğü izleme
Wazuh Dosya Bütünlüğü İzleme (FIM) modülü, önceden tanımlanmış dosya ve dizinlerdeki değişiklikleri algılamak için bir uç nokta dosya sistemini izler. İzlenen dizinlerde bir dosya oluşturulduğunda, değiştirildiğinde veya silindiğinde uyarılar tetiklenir. Blog yazısında bu modülün bir SSH anahtar dosyasındaki değişiklikleri algılamak için nasıl kullanıldığını görebilirsiniz. Linux uç noktalarında meşru olmayan kripto madencilerini tespit etme. Wazuh FIM modülünü kullanarak, kritik sistemlerdeki konfigürasyon dosyalarındaki değişiklikleri tespit edebilir ve etkinliğin yetkili mi yoksa kötü niyetli mi olduğunu belirleyebilirsiniz.
Güvenlik açığı tespiti
Wazuh, izlenen bir uç noktadaki güvenlik açıklarını bulmak için Güvenlik Açığı dedektörü modülünü kullanır. Güvenlik açığı tespiti, yazılım denetimleri gerçekleştirerek çalışır. Bu denetimler, Canonical, Debian, Red Hat, Arch Linux, ALAS (Amazon Linux Advisories Security), Microsoft ve National Vulnerability Database gibi kaynaklardan endekslenen güvenlik açığı beslemelerinden yararlanılarak gerçekleştirilir. Bu beslemeler, Wazuh tarafından uç noktanın uygulama envanterinden gelen bilgilerle çapraz ilişkilidir. Yöneticiler, güvenlik açıkları tespit edildikten sonra, kötü niyetli aktörlerin bunları istismar edebilmesi için hemen düzeltmeye başlamalıdır.
Tehditlere otomatik yanıt
Wazuh aktif yanıt modülü, olaylar belirli kriterlerle eşleştiğinde karşı önlemleri otomatik olarak yürütecek şekilde yapılandırılabilir. Güvenlik duvarı engelleme veya bırakma, trafik şekillendirme veya azaltma, hesap kilitleme, sistem kapatma vb. gibi kullanıcı tanımlı eylemleri yürütebilir. Etkin yanıt modülü, blog gönderisinde tanımlanmış bir kötü amaçlı kaynaktan ağ bağlantısını reddedecek şekilde yapılandırıldı Suricata ve Wazuh XDR ile ağ saldırılarına yanıt verme.
Çözüm
Birden çok kritik altyapı katmanında güvenlik uygulamak, bir kuruluşun saldırı yüzeyini azaltır. Uygun bir güvenlik duruşu sağlamak için akılda tutulması gereken birkaç faktörü vurguladık. Dijital varlıklarınızı korurken çeşitli uç noktalar, sistemler ve teknolojilerle iyi çalışan bir çözüm öneriyoruz.
Wazuh ücretsiz ve açık kaynaklı bir XDR çözümüdür. Güvenlik açıklarını keşfetmek, sistem yapılandırma durumunu belirlemek ve dijital varlıklarınızdaki tehditlere yanıt vermek için gerekli yetenekleri içerir. Wazuh ayrıca PCI DSS, HIPAA, NIST ve GDPR gibi uyumluluk standartları için destek sağlar. Wazuh’un sürekli büyüyen bir toplum kullanıcılara desteğin sağlandığı yer. Wazuh’a göz atın belgeler daha fazla bilgi için.