Günümüzde işletmeler siber saldırılar, uyumluluk gereksinimleri ve uç nokta güvenlik yönetimi gibi çeşitli güvenlik sorunlarıyla karşı karşıyadır. Tehdit ortamı sürekli olarak gelişmektedir ve işletmelerin en son güvenlik trendlerine ayak uydurması bunaltıcı olabilir. Güvenlik ekipleri, bu zorlukların üstesinden gelmek için süreçleri ve güvenlik çözümlerini kullanır. Bu çözümler arasında güvenlik duvarları, antivirüsler, veri kaybı önleme hizmetleri ve XDR’ler (Genişletilmiş Algılama ve Yanıt) bulunur.
Wazuh, XDR ve SIEM (Sistem Bilgisi ve Olay Yönetimi) yeteneklerini birleştiren ücretsiz ve açık kaynaklı bir güvenlik platformudur. Çeşitli kaynaklardan olay verilerinin toplanması için evrensel bir güvenlik aracısı ve olay analizi, korelasyon ve uyarı için merkezi bileşenlerden oluşur. Merkezi bileşenler arasında Wazuh sunucusu, kontrol paneli ve indeksleyici bulunur. Wazuh, şirket içi ve bulut iş yükleri için genişletilmiş tehdit tespiti ve yanıtı sağlayabilen bir modül paketi sunar.
Bu yazıda, Wazuh’un kuruluşunuzun güvenlik ihtiyaçlarına faydalı olan yeteneklerini vurguluyoruz.
Tehdit istihbaratı
Wazuh, kullanıma hazır tehdit algılama kuralları içeren MITRE ATT&CK modülünü içerir. MITRE ATT&CK modülü, tehdit avcılarının düşman taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) tanımasına olanak tanıyan ayrıntılar sağlar. Bunlar, tehdit grupları, yazılım ve azaltma önlemleri gibi ayrıntıları içerir. Bu bilgileri, ortamınızdaki tehditleri veya güvenliği ihlal edilmiş uç noktaları daraltmak için kullanabilirsiniz. Wazuh tehdit algılama kuralları, karşılık gelen MITRE ATT&CK kimliklerine göre eşlenir.
 |
| Şekil 1: Wazuh MITRE ATT&CK panosu |
Wazuh, VirusTotal, MISP, URLHaus ve YARA gibi üçüncü taraf tehdit istihbaratı çözümleriyle sorunsuz bir şekilde entegre olur. Bu entegrasyonlar, dosya sağlamalarının, IP adreslerinin ve URL’lerin tanınan kötü amaçlı güvenlik ihlali göstergelerine (IOC’ler) karşı kontrol edilmesini sağlar. Wazuh’un bu çözümlerle entegrasyonu, potansiyel tehditler, kötü niyetli faaliyetler ve IOC’ler hakkında ek içgörüler sağlayarak işletmenizin genel güvenlik duruşunu iyileştirir.
Güvenlik Açığı, bir bilgisayar sisteminde kötü amaçlı faaliyetler gerçekleştirmek için tehditler tarafından kullanılabilen bir güvenlik zayıflığı veya kusurudur. Wazuh, işletmelerin ortamlarındaki güvenlik açıklarını belirlemesine ve önceliklendirmesine yardımcı olmak için Güvenlik Açığı Dedektörü modülünü sunar. Bu modül, güvenlik açıkları hakkında gerçek zamanlı bilgi sağlamak için Canonical, Microsoft, Ulusal Güvenlik Açığı Veritabanı (NVD) ve daha fazlası gibi birden çok beslemeden alınan verileri kullanır.
Tehdit algılama ve müdahale
Wazuh, dijital varlıklarınızı tehditlerden algılamak ve korumak için modüllerini, kod çözücülerini, kural setini ve üçüncü taraf çözümlerle entegrasyonunu kullanır. Bu tehditler, kötü amaçlı yazılım, web, ağ saldırıları ve daha fazlasını içerir.
Wazuh Dosya Bütünlüğü İzleme modülü, dizinleri izler ve dosya ekleme, silme ve değişiklikleri bildirir. Hassas dosyaları denetlemek için kullanılır, ancak kötü amaçlı yazılımları algılamak için diğer entegrasyonlarla birleştirilebilir. Rootcheck modülü, gizli dosyalar, portlar ve olağandışı işlemler gibi rootkit davranışlarını tespit etmek için kullanılır. Wazuh aktif yanıt modülü, virüslü sistemleri karantinaya almak, ağ trafiğini bloke etmek veya fidye yazılımı süreçlerini sonlandırmak gibi otomatik yanıt eylemleri sağlar. Bu modüllerin kombinasyonu, siber saldırıların etkisini azaltmak için hızlı yanıt verilmesini sağlar.
Aşağıdaki görüntü, izlenen bir uç noktaya indirilen kötü amaçlı yazılımları algılama ve bunlara yanıt vermede FIM modülü, VirusTotal entegrasyonu ve aktif yanıt modülünün kombinasyonunu göstermektedir.
 |
| Şekil 2: Kötü amaçlı dosya algılandı ve izlenen bir uç noktadan silindi |
Denetim ve yasal uyumluluk
Güvenlik denetimi ve uyumluluk, kendisini siber saldırılara karşı korumayı amaçlayan herhangi bir işletme için iki önemli kavramdır. Güvenlik denetimi, güvenlik açıklarını belirlemek, riskleri değerlendirmek ve güvenlik kontrollerinin amaçlandığı gibi çalışmasını sağlamak için bir kuruluşun bilgi sistemlerini, uygulamalarını ve prosedürlerini değerlendiren sistematik bir süreçtir. Mevzuat uyumluluğu, bir kuruluşun bilgi güvenliği ile ilgili bir dizi yerleşik standart, düzenleme veya yasaya bağlı olduğunu onaylama sürecini ifade eder.
Wazuh, işletmelerin güvenlik denetimlerini geçmesine ve yasal uyumluluk gereksinimlerini karşılamasına yardımcı olur. Uyumluluk standartları, bir kuruluşun sistemlerinin, ağının ve verilerinin güvenliğini garanti etmek için bir dizi yönerge ve en uygun prosedürler sunar. Bu standartlara bağlı kalmak, güvenlik ihlali olasılığını azaltmaya yardımcı olur. Wazuh, PCI DSS, GDPR, NIST vb. uyumluluk standartlarını karşılamaya yardımcı olan çeşitli modüllere sahiptir. PCI DSS uyumluluğunu karşılamak için Wazuh SIEM ve XDR platformunu kullanma Wazuh’un kuruluşunuz için PCI uyumluluğunu sürdürmede nasıl önemli bir rol oynadığını gösterir. Aşağıdaki resim bir Wazuh NIST kontrol panelini göstermektedir.
 |
| Şekil 3: Wazuh NIST panosu |
Bulut güvenliği
Bulut platformları, İnternet üzerinden bilgi işlem, depolama ve ağ işlemlerini yöneten hizmetler sağlar. İşletmeler, kaynaklara kolay erişim, esneklik ve yüksek ölçeklenebilirlik nedeniyle bu bulut platformlarını geniş çapta benimsiyor. Daha fazla kuruluş bulut kullanımından yararlandıkça, dijital varlıklarının güvenliğini sağlamak kritik olmaya devam ediyor.
Wazuh, bulut ortamları için görünürlük ve güvenlik izlemesi sağlayan birleşik bir XDR ve SIEM platformudur. Amazon Web Services, Microsoft Azure ve Google Cloud Platform üzerinde çalışan bulut hizmetlerini izler ve korur. Bunu, çeşitli bulut bileşenlerinden güvenlik olayı verilerini toplayıp analiz ederek başarır. Bu tür veriler, Wazuh’un güvenlik açığı tespiti, bulut uyumluluk kontrolleri, güvenlik izlemesi ve tespit edilen tehditlere karşı otomatik yanıtlar gerçekleştirmesine olanak tanır.
 |
| Şekil 4: AWS CloudTrail hizmetini izleyen Wazuh |
uç nokta sertleştirme
Wazuh SCA modülü, sistemler ve uygulamalar üzerinde yapılandırma değerlendirmeleri yaparak ana bilgisayarın güvenli olmasını ve güvenlik açığı yüzeyinin azaltılmasını sağlar. Wazuh, yanlış yapılandırmalar ve güvenlik açıkları için uç noktaları taramak için ilke dosyalarını kullanır. Bu ilke dosyaları kullanıma hazır olarak dahil edilmiştir ve İnternet Güvenliği Merkezi (CIS) değerlendirmesine dayalıdır. SCA tarama sonuçları, izlenen bir uç noktada bulunan güvenlik açıklarına ilişkin içgörü sağlar. Bu güvenlik açıkları, yapılandırma kusurlarından uygulama ve hizmetlerin kurulu savunmasız sürümlerine kadar değişir. Başarısız olan güvenlik kontrolleri, düzeltmeleriyle birlikte görüntülenerek sistem yöneticilerine hızlı bir çözüm yolu sunar.
 |
| Şekil 5: Bir WordPress kurulumu için başarısız SCA kontrolü ve düzeltmesi |
Açık kaynak
Wazuh’un hızla büyüyen bir toplum kullanıcıların, geliştiricilerin ve katkıda bulunanların platform hakkında sorular sorabilecekleri ve işbirlikçi fikirleri paylaşabilecekleri yer. Wazuh topluluğu, kullanıcılara ücretsiz destek, kaynaklar ve belgeler sağlar.
Açık kaynaklı bir güvenlik platformu olan Wazuh, kolay esneklik ve özelleştirme sağlar. Kullanıcılar, kaynak kodunu kendi özel ihtiyaçlarına uyacak şekilde değiştirebilir veya yeni özellikler ve yetenekler ekleyebilir. Wazuh kaynak kodu, doğrulama kontrolleri veya katkıları yapmak isteyebilecek kullanıcılar için Wazuh GitHub deposunda herkese açıktır.
Çözüm
Wazuh, güçlü XDR ve SIEM özelliklerine sahip ücretsiz ve açık kaynaklı bir platformdur. Günlük verileri analizi, dosya bütünlüğü izleme, izinsiz giriş tespiti ve otomatik yanıt gibi yeteneklerle Wazuh, işletmelere güvenlik olaylarına hızlı ve etkili bir şekilde yanıt verme yeteneği verir.