Dosya Bütünlüğü İzleme (FIM), bilgisayar sistemlerindeki dosya değişikliklerini izleyen ve tespit eden bir BT güvenlik kontrolüdür. Kuruluşların önemli dosyaları ve sistem yapılandırmalarını rutin olarak tarayıp bütünlüklerini doğrulayarak denetlemesine yardımcı olur. Çoğu bilgi güvenliği standardı, işletmelerin verilerinin bütünlüğünü sağlamak için FIM kullanımını zorunlu kılar.
BT güvenliği uyumluluğu, PCI DSS, ISO 27001, TSC, GDPR ve HIPAA gibi hükümetler ve düzenleyici kurumlar tarafından yayınlanan geçerli yasalara, politikalara, düzenlemelere, prosedürlere ve standartlara bağlı kalmayı içerir. Bu düzenlemelere uyulmaması siber ihlaller, gizli veri kaybı, mali kayıp, itibar kaybı gibi ciddi sonuçlara yol açabilir. Bu nedenle kuruluşların riskleri azaltmak ve bilgi sistemlerini etkili bir şekilde korumak için BT düzenlemelerine ve standartlarına bağlılığa öncelik vermesi gerekir.
Teknolojik ilerlemenin hızlı temposu ve vasıflı siber güvenlik uzmanlarının eksikliği, uyumluluk zorluklarına katkıda bulunuyor. Bu düzenlemeleri etkili bir şekilde karşılamak için işletmelerin stratejik olarak planlama yapması, kaynakları siber güvenlik çalışmalarına ayırması ve veri varlıklarını kapsamlı bir şekilde sınıflandırıp koruması gerekir.
Siber güvenlik standartlarına uymanın faydaları
Siber güvenlik düzenlemelerine ve standartlarına uyum, her büyüklükteki işletme için önemlidir. Bu düzenlemeler, belirli siber güvenlik önlemlerinin, politikalarının ve süreçlerinin uygulanmasını gerektirir. Kuruluşlar bu standartlara bağlı kalarak siber güvenlik uygulamalarının şeffaflığını ve bütünlüğünü sağlar. Bazı faydalar şunları içerir:
- Kuruluşların esnek yedekleme ve kurtarma prosedürlerine sahip olmasını sağlar. Bu, iş operasyonlarındaki kesintileri en aza indirir ve bir siber olay veya felaket sırasında yedekleme sitelerinde depolanan veriler geri yüklenebildiğinden sürekliliği korur.
- Çeşitli iş yönleri genelinde riskleri yönetmek için yapılandırılmış bir çerçeve sağlar. Kuruluşlar, yerleşik prosedür ve kontrolleri takip ederek siber güvenlik olayları ve mevzuata uyumsuzluklarla ilişkili maliyetleri azaltabilir.
- Bir kuruluşun itibarını korur. Veri ihlalleri bir şirketin itibarını önemli ölçüde etkileyebilir. Uyumluluk, bu tür ihlallere karşı korunmaya yardımcı olur ve böylece işletmenin itibarını korur.
- Düzenlenmiş piyasalara girişi kolaylaştırır. Sağlık, finans ve perakende sektörlerinde düzenleyici kurumlara firmanın BT uygulamalarının ve sistemlerinin gerekli standartları karşıladığına dair güvence verir.
Wazuh FIM yeteneği
Wazuh, çeşitli platformlarda birleşik XDR ve SIEM koruması sunan açık kaynaklı bir güvenlik çözümüdür. Kuruluşlara siber güvenliğe etkili bir yaklaşım sağlamak için şirket içi, sanallaştırılmış, bulut tabanlı ve konteynerli ortamlardaki iş yüklerini korur. Wazuh, yeteneklerinden biri olarak dosya bütünlüğü izleme (FIM) olanağı sunuyor; aynı zamanda başka şeyler de sağlar yeteneklergüvenlik yapılandırması değerlendirmesi ve tehdit algılama ve yanıt verme gibi.
Wazuh FIM yeteneği aşağıdakileri sağlar:
- Gerçek zamanlı ve planlanmış dosya ve dizin izleme.
- Yetkisiz dosya değişikliklerinin tespiti.
- Verilerde neyin veya kimin değişiklik yaptığına ilişkin ayrıntılar.
FIM, kötü amaçlı yazılım tespiti, güvenlik açığı tespiti ve Güvenlik Yapılandırma Değerlendirmesi (SCA) gibi diğer Wazuh yetenekleriyle birleştiğinde tehdit tespitini, soruşturmasını ve iyileştirmesini geliştirir. Bu yetenekler kuruluşunuzun güvenlik uyumluluğu çabalarını kolaylaştırmaya yardımcı olabilir.
Wazuh FIM özelliğini kullanarak mevzuat uyumluluğunun sağlanması
Kullanıcılar, kuruluşlarıyla ilgili BT güvenlik uyumluluk standartlarının gereksinimlerini karşılamak için dosya bütünlüğü izlemeyi yapılandırabilirler. Wazuh FIM, dosya içeriğinde dosya ekleme, silme ve değişiklik işlemlerini izleyecek şekilde yapılandırılabilir.
Kuruluş içindeki dosya değişikliklerini takip etmek, sistem yöneticilerinin ve güvenlik analistlerinin bu değişiklikleri kuruluş çapında görebilmesine ve güvenlik olaylarıyla derhal mücadele etmesine yardımcı olur. Yapılandırıldıktan sonra FIM etkinlikleri Wazuh kontrol panelinde görüntülenebilir.
Wazuh panosundaki FIM etkinlikleri |
Dosya bütünlüğünü ve erişimini izleme
Wazuh FIM yeteneği bir temel tarama çalıştırır ve izlenen dosyaların kriptografik sağlama toplamını ve diğer özelliklerini saklar. İzlenen bir dosyada değişiklik yapıldığında FIM, sağlama toplamını ve niteliklerini taban çizgisiyle karşılaştırır. Herhangi bir tutarsızlık tespit edilirse bir uyarı tetiklenir. Wazuh dosya bütünlüğü izleme özelliği, kritik bir dosyayı değiştiren süreç veya kullanıcı ve değişikliklerin ne zaman yapıldığı gibi ayrıntıları izler. Kuruluşlar, Wazuh FIM yeteneğini kullanarak aşağıdakiler gibi düzenleyici standartların çeşitli bölümlerine uygunluğu sağlayabilir:
- PCI DSS gereksinimi 11.5.2
- NIST 800-53’ün CM-3’ü
- Madde 5.1. (f) GDPR’nin
- HIPAA’nın İşgücü Güvenliği §164.308(a)(2).
Örneğin, Wazuh FIM’i bir Linux uç noktasında SSH yapılandırma dosyası /etc/ssh/sshd_config dosyasını izleyecek şekilde yapılandırabiliriz. Kötü niyetli aktörler, bağlantı noktası numaralarını değiştirerek veya güçlü şifreleri devre dışı bırakarak güvenliği zayıflatmak için genellikle SSH yapılandırma dosyasını hedef alır. Wazuh FIM, bu dosyadaki değişiklikleri izleyerek yetkisiz değişiklikleri tespit edebilir. Bir Wazuh aracısındaki aşağıdaki yapılandırma, Wazuh FIM yeteneğini, izlenen bir uç noktada /etc/ssh/sshd_config dosyasını izleyecek şekilde ayarlar:
<syscheck>
<directories>/etc/ssh/sshd_config</directories>
</syscheck>
Aşağıdaki resimde SSH yapılandırma dosyasında değişiklik yapıldığında tetiklenen uyarılar gösterilmektedir.
SSH yapılandırmasının değiştirilmesine ilişkin uyarı |
Benzer şekilde, /etc/ufw dizini genellikle Linux’ta popüler bir güvenlik duvarı uygulaması olan UFW (Karmaşık Güvenlik Duvarı) için yapılandırma dosyalarını içerir. Bu dosyalar, sisteminizde hangi ağ trafiğine izin verileceğini veya hangi trafiğin engelleneceğini belirleyen kuralları tanımlar. Bir saldırgan, UFW kurallarını değiştirerek, genellikle varsayılan olarak kapalı olan bağlantı noktalarını açarak sisteme veya dahili ağ hizmetlerine yetkisiz erişime izin verebilir.
Wazuh FIM’i /etc/ufw dizinini izleyecek şekilde yapılandırabiliriz. Bu, aşağıdaki yapılandırmanın izlenen uç noktadaki aracı yapılandırma dosyasına eklenmesiyle yapılandırılır. Ayrıca izlenen bir dosyayı değiştiren kullanıcıyı kaydeden whodata özelliğini de etkinleştiriyoruz.
<syscheck>
<directories whodata="yes">/etc/ufw</directories>
</syscheck>
Aşağıdaki resimde UFW kural dosyalarında değişiklik yapıldığında tetiklenen uyarılar gösterilmektedir.
UFW kural dosyalarının değiştirilmesine ilişkin uyarı |
Wazuh FIM özelliği, kullanıcıyı ve değişikliği başlatan süreci görmenizi sağlar. Aşağıdaki resimde bu bilgiler gösterilmektedir.
UFW kuralları dosyasını değiştiren kullanıcı ve işlem için uyarı |
Yasal uyumluluk için Wazuh FIM’i kullanmanın faydaları
Wazuh, BT güvenliği uyumluluk gereksinimlerinin karşılanmasına ve risklerin azaltılmasına yardımcı olmak için dosya bütünlüğü izleme yeteneği sağlar. Wazuh FIM özelliğini kullanmanın faydaları şunlardır:
- Bütünlük kontrolleri: Bütünlük kontrolleri gerçekleştirmek ve değişiklikleri doğru bir şekilde tespit etmek için izlenen dosyaların kriptografik karmalarını taban değerlerine göre hesaplar. Bu, hassas verilerin bütünlüğünü ve güvenliğini sağlar.
- Denetim izi: Kuruluşlar, denetimler sırasında ayrıntılı raporlar oluşturma ve dosya değişikliklerinin denetim izlerini oluşturma yeteneğini kullanabilir. Bu raporlara ihtiyaç duyulduğunda kolayca ulaşılabilir.
- Tehdit tespiti: Wazuh FIM, VirusTotal ve YARA entegrasyonu gibi diğer yeteneklerle birleştirildiğinde, izlenen uç noktalara düşen tehditleri veya kötü amaçlı yazılımları tespit etmede etkilidir. Wazuh olay müdahale yeteneğinin daha da kullanılmasıyla, tespit edilen bu tür tehditler, uç noktada hasar oluşmadan önce verimli bir şekilde ele alınır.
- Merkezi yönetim: Kuruluşların farklı ortamlardaki FIM uyarılarını ve etkinliklerini tek bir kontrol panelinden izlemesine olanak tanıyan merkezi yönetim ve raporlama yetenekleri sağlar.
- Gerçek zamanlı uyarılar: İzlenen dosya ve dizinlerde yapılan değişiklikler için gerçek zamanlı uyarılar sağlayabilir. Ayrıca değişikliği yapan kullanıcıya ve kullanılan program adı veya işlemine ilişkin ayrıntılar da sağlanır. Bu, güvenlik analistlerinin potansiyel güvenlik olaylarını veya uyumluluk ihlallerini derhal tespit etmesine ve bunlara yanıt vermesine yardımcı olur.
- Maliyet etkinliği: İndirmesi ve kullanması ücretsiz olduğundan işletmeler, özellikle de bütçe kısıtlaması olan küçük ve orta ölçekli işletmeler için uygun maliyetli bir seçenek haline gelir.
Çözüm
Wazuh, çeşitli platformlarda ücretsiz birleşik XDR ve SIEM koruması sunan açık kaynaklı bir güvenlik platformudur. Wazuh ayrıca güvenlik açığı tespiti, güvenlik yapılandırması değerlendirmesi, kötü amaçlı yazılım tespiti ve dosya bütünlüğü izleme (FIM) gibi tamamlayıcı yetenekler de sunar. FIM yeteneği, kuruluşların bazı siber güvenlik düzenlemelerine uymalarına yardımcı olur. Diğer yetenekler aynı zamanda siber güvenlik mevzuatına uygunluk gerekliliklerinin karşılanmasına, bir kuruluşun varlıklarının korunmasına ve güvenlik duruşunun geliştirilmesine de katkıda bulunur.
Hakkında daha fazla bilgi edinmek için web sitemizi ziyaret edin Wazuh.