Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler

SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler

  • Be the first to comment

SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler

  1. 1. Güvenlik İzleme ve Operasyon Merkezi (SOC) Hakkında Merak Edilen Sorular ve Cevapları Huzeyfe ÖNAL <huzeyfe.onal@bgasecurity.com> Bu yazı, ÇözümPark Teknoloji Sohbetleri (Tech Talks) Live kapsamında gerçekleştirilen ​ Açık Kaynak Kodlu Yazılımlarla SOC Kurulum ve Yönetimi ​oturumunda bahsettiğim konulara dair detayları ve kullandığımız açık kaynak kodlu projelere ait linkleri içermektedir.
  2. 2. Bu döküman 14 Haziran 2020 09:09 tarihinde güncellenmiştir. Etkinlik boyuna aşağıda yer alan sorulara kendi bakış açım ve tecrübemle cevap vermeye çalıştım. 1. SOC konusunda doğru kaynaklardan bilgi öğrenme adına hangi kaynakları takip edebilirsiniz? 2. İdeal bir SOC altyapısı için hangi temel bileşenlere ihtiyaç olacaktır. 3. Bir meslek olarak SOC Analisti’ne ihtiyaç ne seviyededir, ve bu konuda kendini yetiştirmek isteyenleri ne gibi bir gelecek bekliyor? 4. Dünyada SOC altyapıları nasıl kuruluyor ve başarısı nasıl ölçülüyor. 5. Ticari ürünler kullanarak gerçekleştirilecek orta ölçekli bir SOC için ihtiyaçlar ve yaklaşık maliyetler nelerdir? - SOC maliyet hesaplaması 6. SOC altyapısını kendi şirketimizde kurmak mı daha verimli olur dışardan hizmet almak mı? 7. SOC altyapısı kurmak için açık kaynak kodlu çözümler yeterli olur mu, önerileriniz? 8. SOC alt yapısında kullanılacak açık kaynak kodlu bileşenler nelerdir? 9. Açık kaynak kodlu hangi siem projeleri kullanıma uygundur? 10.SOC Altyapısında Kullanabileceğim Hazır SIEM kuralları var mıdır? 11. Ağ trafiği izleme ve alarm üretme amaçlı IDS çözümü 12. Açık kaynak kodlu EDR çözümleri var mıdır, iş ortamlarında kullanılacak olgunlukta hangi çözümleri önerirsiniz? 13. SOC ortamlarının olmazsa olması SOAR nedir hangi açık kaynak kodlu bileşenlerle SOAR altyapısı kurabiliriz? 14. SOC altyapısında kullanıma hazır açık kaynak kodlu siber istihbarat çözümleri var mıdır? Hangilerini nasıl sistemime entegre edebilirim? 15. Tehdit istihbaratı paylaşımı amaçlı kullanılan MISP ve OpenCTI projelerini hangi aşamalarda kullanmalıyım? 16. NASA, CERN gibi yerlerde aktif kullanılan açık kaynak kod SOC OpenSOC(->Metron) projesi nedir 17. Herkesin konuştuğu Mitre ATT&CK Frameworkü açık kaynak kodlu çözümlerle nasıl uygulayabiliriz? 18. Bahsedilen Açık Kaynak Kodlu çözümleri deneyebileceğim hazır dağıtımlar var mıdır?
  3. 3. 1. SOC konusunda doğru kaynaklardan bilgi öğrenme adına hangi kaynakları takip edebilirim? SOC konusu için takip edeceğiniz, doğru ağızdan nedir, ne değildir, nasıl kurulmalıdır, hangi bileşenlere sahip olmalıdır gibi soruların cevabını bulmak için 6 yıl önce Mitre tarafından desteklenen ve Carson Zimmerman tarafından hazırlanan ‘’Ten Strategies of a World-Class Cybersecurity Operations Center’’ kitabını öneririm. Aşağıdaki linkten ücretsiz olarak indirilebilir. https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-ce nter.pdf Buna ek olarak aşağıdaki kaynakların da takip edilmesini öneririm. ● Definitive Guide to SOC-as-a-Service (​https://stratsolutions.com/wp-content/uploads/2018/06/AWN_Definitive-Guide-to-SOCaa S-ebook-final.pdf​ ) ● How to build a Security Operations Center (on a budget ) ( https://cybersecurity.att.com/resource-center/ebook/how-to-build-a-security-operations-c enter​ ) ● SANS SOC Summit Video ve pdfleri (​https://www.sans.org/cyber-security-summit/archives/​ ) ● Common and Best Practices for Security Operations Centers: Results of the 2019 SOC Survey
  4. 4. 2. İdeal bir SOC altyapısı için hangi temel bileşenlere ihtiyaç duyulur? Güvenlik konusunda bir çok bileşende olduğu gibi SOC konusunda da temelde üç bileşene ihtiyaç duyulur. ● İnsan (People) ● Süreç (Process) ● Teknoloji (Technology) Genellikle insan kaynağı SOC altyapısı için olay inceleme, gerekli altyapının kurulumu ve düzenli izleme için kullanılır. Süreç kısmı, SOC’un nasıl işleyeceği, hangi playbook ların nasıl konumlandırıldığı, hangi olay karşısında ne yapılacağı gibi konuları içerecek politika, prosedür gibi kaynakların oluşturulması için kullanılır. Teknoloji kısmını da kuracağımız güvenlik çözümleri(yazılım ve donanım olarak düşünebiliriz) Bu üç bileşen eşit ölçüde önemli gibi gözükse de SOC için ağırlıklı olarak firmalar teknoloji bileşenine daha fazla önem vermektedirler. Bunun temel sebebi, insan kaynağı yetersizliği ve insan kaynağının görece olarak daha maliyetli olmasıdır. Son yıllarda yapay zeka destekli otomasyon projelerinin SOC ekiplerinin yerlerini almaya başladığına şahit oluyoruz. Tabiki de tam manasıyla insanı değiştirme şeklinde değil de insanlar tarafından sıkıcı gelen ve rutin işlerin makinelere devredilmesi gibi düşünebiliriz bunu. Tüm detay bileşenleriyle birlikte SOC altyapısı için nelere ihtiyaç duyarsınız gözünüzün önünde olsun isterseniz aşağıdaki zihin haritası işinize yarayacaktır.
  5. 5. Kaynak: http://rafeeqrehman.com/wp-content/uploads/2014/12/Building_SOC.pdf
  6. 6. 3. Bir meslek olarak SOC Analisti’ne ihtiyaç ne seviyededir, ve bu konuda kendini yetiştirmek isteyenleri ne gibi bir gelecek bekliyor? Çok yeni bir meslek dalı, iş alanı olmasına rağmen üzerinden en fazla konuşulan konulardan biri SOC analistliğidir. Burada SOC analisti dediğimizde aklınızda 7/24 izleme yapan ekiplerden (Level-I, Tier-I) tutun da arka tarafta daha kıdemli işlere bakan ekipler gelebilir. Ama çoğunlukla problem Level-I ekiplerden çıkmaktadır. Bunun temel sebebi de bu pozisyon için alınan junior/acemi seviyesi personellerin kısa süre içinde mesleki tatminsizliğe uğraması ve alternatif iş bakması gözüküyor. Bu konuda detay okumak isteyenler için Siemplify’ın araştırma raporunu buraya ekliyorum. https://www.siemplify.co/wp-content/uploads/2019/08/The-Art-of-Recognizing-and-Surviving-SO C-Burnout.pdf Eğitimler: ENISA eğitimleri https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-materia l/technical-operational SOC, SOME ve CSIRt ekiplerinin kutsal metinleri diyebileceğimiz aşağıdaki dökümanın da mutlaka bu işe girmek isteyenler tarafından okunmasını öneririm. Computer Security Incident Handling Guide https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf Ek olarak bu konuda Societe CERT ekibinin hazırladığı temel dökümanlar pratik çıktılar için yol gösterici olacaktır. https://github.com/certsocietegenerale/IRM/tree/master/EN
  7. 7. 4. Dünyada SOC altyapıları nasıl kuruluyor ve başarısı nasıl ölçülüyor. Dünyada SOC kavramı uzun yıllardır güvenlik dünyasının ana konularından biri olmasına rağmen son 5-6 yılda siber saldırıların ciddi biçimde artması ve doğrudan finansal altyapıları hedef almasıyla birlikte önemini arttırmıştır. Bugün güvenlik ekibini kuran büyük ölçekli yapıların ilk aşamada aklına gelecek bileşen SOC olmaktadır. SOC ekiplerinin nasıl kurulduğu ve yönetildiği konusunda çok fazla iç bilgiye sahip değiliz. Ağırlıklı olarak SOC bileşenleri için yazılım geliştiren firmaların yönlü bakış açılarıyla yayınladığı raporlar ön plana çıkmaktadır. Bununla birlikte SANS gibi doğrudan bu konuda ticari çıkar gütmeyen güvenilir kurumların her yıl yayınladığı SOC anketleri sektörü dışardan izleyenler veya bu konuda dünyada ne oluyor diyenler için oldukça faydalı olacaktır. Ek olarak NASA’ya SOC altyapısını kuran firmanın internetten bulabileceğiniz denetim raporu da bu konuda en iyisi olması gereken altyapılarda ne gibi problemler olabilyior görmek açısından önemlidir. NASA SOC denetim raporuna buradan ulaşabilirsiniz. (​https://oig.nasa.gov/docs/IG-18-020.pdf​ ) Ek olarak bir SOC altyapısının başarısını nasıl ölçerim ve iyileştiririm diyorsanız bu iş için hazırlanmış aşağıdaki siteyi ziyaret edip güncel soru setini indirebilirsiniz. SOC-CMM ​https://www.soc-cmm.com/downloads/latest/
  8. 8. 5. Ticari ürünler kullanarak gerçekleştirilecek orta ölçekli bir SOC için ihtiyaçlar ve yaklaşık maliyetler nelerdir? - SOC maliyet hesaplaması SOC konusunda en önemli kısımlardan biri maliyet hesaplamasıdır. Zira her konuda olduğu gibi bu konuda da envai çeşit ürün/çözüm bulunmaktadır. İyi bir hesaplama yapmazsanız ihtiyacınız olan iki tekerlekli bir bisiklet iken size çözüm olarak 8-10 tekerlekli otobüs gelebilir. SOC maliyet hesaplaması için aşağıda bıraktığım adresteki Excel dosyasını kendi ihtiyaçlarınıza göre düzenleyerek yaklaşık bir rakam çıkarabilirsiniz. http://rafeeqrehman.com/2017/02/05/soc_budget_calculator/ Burada yine insan kaynağı, dışarıdan alınacak danışmanlık ve SOC altyapısı için yapılacak güvenlik yazılım/donanım yatırımı hesaplandığını unutmayalım. Her sene aynı rakam çıkmasa da büyük oranla yıllık giderleri hesaba katmak gerekir. Bir çok yazılım artık yıllık kiralama modeli lisanslamaya dönmüş durumda.
  9. 9. 6. SOC altyapısını kendi şirketimizde kurmak mı daha verimli olur dışarıdan hizmet almak mı? Her ortam ve ihtiyaç için farklılık gösterse de ideal bir SOC altyapısının ülkemiz için Hibrid SOC olduğunu düşünüyorum. Ne tam manası ile dışarı outsource edilmiş ne de yetersiz insan kaynağıyla boğuşurken içerde yapılmaya çalışılmış. Orta ölçekli ve küçük ölçekli kurumlar için ilk senelerde dışarıdan hizmet almak daha uygun maliyetli olmaktadır. Burada unutulmaması gereken en önemli kısım SOC hizmeti aldığınız yeri mutlaka daha farklı bir yere denettirmek olacaktır. Yani 5/8, 7/24 izlendiğini düşündüğünüz altyapılar gerçek bir saldırı karşısında size ne kadar yardımcı olacak, ne kadar görünürlük sağlayacaktır bunu görmeden yapılacak her şey nazar boncuğu kıvamında güvenlik sağlayacaktır.
  10. 10. 7. SOC altyapısı kurmak için açık kaynak kodlu çözümler yeterli olur mu, önerileriniz? Bu sorunun tek kelimelik cevabı hem evet hem de hayırdır. Ne yaptığınızı biliyorsanız ve neyi nasıl yapacağınızı bilen ekip arkadaşlarınız varsa açık kaynak kodlu çözümlerle ticari olarak aldığınız ürünlerle kuracağınız SOC’dan daha iyisini kurgulayabilir, kurabilir ve yönetebilirsiniz. Ama, bu çoğu firma için hayali bir senaryodur. Kısıtlı insan kaynağıyla birden fazla iş yapan güvenlik ekiplerinden bu ortamda açık kaynak kodlu bir SOC altyapısını kurup işletmelerini beklemek doğru bir yaklaşım olmaz. Peki açık kaynak kodlu çözümler hangi aşamada, nasıl işe yarar? SOC alt yapısında bulunması gereken birden çok bileşen vardır, mesela tehdit istihbaratı paylaşım platformu bunların başında gelmektedir, ve ticari çözümler burada oldukça yetersiz kalmaktadır. Bunun yerine MISP gibi olgunluk seviyesi yüksek , binlerce firma tarafından aktif kullanılan açık kaynak kodlu çözümleri tercih edebilirsiniz. Doğrudan tüm altyapıyı açık kaynak kodlu çözümlerle kurabilir miyim? Evet, işini iyi bilen, bu konuda tecrübeli ekiplerle yapabilirsiniz. Bu konuda uzun yıllardır aktif olarak danışmanlık yapıyoruz, dinlemek isterseniz size örnek bir firma üzerinden anlatabiliriz.
  11. 11. 8. SOC alt yapısında kullanılacak açık kaynak kodlu bileşenler nelerdir? Öncelikle bir SOC altyapısında min olması gereken bileşenleri çıkaralım sonra bu bileşenlerle ilgili detaylara değinelim. Temel SOC Teknik Altyapı Bileşenleri: ● SIEM, Log Yönetimi çözümü ● Threat Hunting amaçlı büyük verileri saklayacağımız ve hızlıca sorgulama yapabileceğimiz ek çözüm ● EDR - Endpoint Detection & Response ● NIDS - Network IDS ● SOAR - Security Orchestration, Automation and Response ● TISP - Threat Intelligence Sharing Platform ● VM - Vulnerability Management ● BAS- Breach & Attack Simulation ● …. İhtiyaç duyulduğunda bu adresten hangi güvenlik çözümleri için alternatif açık kaynak kodlu projelerin olduğunu karşılaştırmalı olarak inceleyebilirsiniz. http://www.eventid.net/downloads/open_source_security_controls_v1.pdf
  12. 12. 9. Açık kaynak kodlu/ücretsiz hangi siem projeleri kullanıma uygundur? https://grafana.com/ Elasti.co Grafana daha cok servis monitoring ve görselleştirme amaçlı, ELK ise SIEM amaçlı kullanılır. Hatta Elastic firmasının ELK üzerine bina ettiği kendi SIEM çözümü de bulunmaktadır.
  13. 13. 10.SOC Altyapısında Kullanabileceğim Hazır SIEM kuralları var mıdır? Bu konuda üründen bağımsız herkesin Sigma kurallarını incelemelerini öneririm. https://github.com/Neo23x0/sigma Bir SIEM’den başka SIEM’e kural çevrimi için ​https://uncoder.io/​ adresini kullanabilirsiniz.
  14. 14. 11.Ağ trafiği izleme ve alarm üretme amaçlı IDS çözümü Snort, Suricata ve BroIDS yeni ismiyle Zeek kullanılabilir. Özellikle Suricata ve Zeek bu konuda doğru konumlandırıldığında ve kuralları doğru yapılandırıldığında güvenlik görünürlüğünü çok ciddi oranda arttıracaktır.
  15. 15. 12.Açık kaynak kodlu / ücretsiz EDR çözümleri var mıdır, iş ortamlarında kullanılacak olgunlukta hangi çözümleri önerirsiniz? Bu konuda kullanılacak çözümleri OSQuery, Wazuh ve Sysmon olarak sıralayabiliriz. Bu konuda özellikle osquery ve sysmon oldukça başarılıdır. Sysmon, Microsoft tarafından geliştirilmekte ve desteklenmektedir. Osquery ise tüm işletim sistemlerinde çalışabilecek türden gelişmiş bir EDR ve sistem inceleme çözümüdür. Her 3 ürünü de yoğun bir şekilde projelerimizde kullanıyoruz. Github’da her 3 çözüm için de fazlasıyla örnek yapılandırma ve kural dosyası bulabilirsiniz.
  16. 16. 13.SOC ortamlarının olmazsa olması SOAR nedir hangi açık kaynak kodlu bileşenlerle SOAR altyapısı kurabiliriz? SOAR, henüz yeni bir alan ve tanım olmasına rağmen son yıllarda herkesin dilinde olan bu kavram için de açık kaynak kodlu birden fazla proje bulunmaktadır. Benim yakından izlediğim ve güncel olarak takip ettiğim SOAR benzeri açık kaynak kodlu proje TheHive projesidir. Cortex bileşeni ile birlikte
  17. 17. 14.SOC altyapısında kullanıma hazır açık kaynak kodlu siber istihbarat çözümleri var mıdır? Hangilerini sistemime entegre edebilirim? Siber istihbarat kelimesi kullanan ve anlayan açısından ciddi farklı anlamlara gelebilen nadide kavramlardan biridir. Herkes farklı amaçla kullanmakta ve kavramdan farklı şeyler anlamaktadır. Basitleştirmek için yazacak olursak, Eğer amacınız Türkiye’de ve dünyada yayınlanan istihbarat raporlarındaki tehditlerden anlık haberdar olmak ve IOC/Feed almak (ip-domain-hash) ise OTX kullanabilirsiniz. Bu konuda en güncel verileri buradan sisteminize indirebilirsiniz. Amacınız, sizinle aynı/farklı sektördeki kurumlarla istihbarat paylaşmak, onlardan gelen istihbartı kendi sistemlerinize otomatik aktarmak ve yeri geldiğinde sorgulamak isterseniz MISP kullanabilirsiniz. Amacınız, sosyal medya, Github, pastebin gibi ortamlarda firmanıza ait assetlerle ilgili neler konulusuyor, neler dönüyor görmek ise AIL framework kullabilirsiniz (​https://github.com/CIRCL/AIL-framework​)
  18. 18. 15.Tehdit istihbaratı paylaşımı amaçlı kullanılan MISP ve OpenCTI projelerini hangi aşamalarda kullanmalıyım? MISP, sektördeki en olgun projelerden biridir. Desteklediği entegrasyonların sayısı ticari çözümlerden daha fazladır. Ücretsiz eğitimleri ve destek amaçlı kullanılacak e-posta listesiyle birlikte bu konuda geleceği parlak projelerden biri olacağını söyleyebiliriz. MISP’in eksik kaldığı konularda OpenCTI projesini de inceleyebilirsiniz. Henüz kullanım oranı MISP kadar yaygın olmasa da iyi bir ekip tarafından düzenli güncellendiğini söyleyebilirim.
  19. 19. 16.NASA, CERN gibi yerlerde aktif kullanılan açık kaynak kod SOC OpenSOC(-> Apache Metron) projesi nedir? 2014 yılında Cisco tarafından OpenSOC olarak başlatılan projenin son durakta ismi ve lisans hakları Apache Metron olarak güncellenmiştir. Saniyede milyonlarca paketi işleyecek ve bunu yönetecek bir SOC altyapısına ihtiyaç duyarsanız Apache Metron projesine göz atabilirsiniz. Proje hakkında detay bilgilere ulaşmak için ​https://metron.apache.org/about/
  20. 20. 19.Herkesin konuştuğu Mitre ATT&CK Framework açık kaynak kodlu çözümlerle nasıl uygulayabiliriz? Mitre ATT&CK, siber güvenlik dünyasındaki uzmanların tehditleri, aktörleri ve benzeri bileşenleri ortak bir dille tanımlayabilmek amacıyla geliştirilmiş bir kütüphanedir. Şahsi olarak son 3 yılda üzerinden en fazla zaman harcadığım projelerden biri. Bu konuyla ilgili daha detay bilgi almak isteyenleri 2 yıl önce yaptığım sunumla başbaşa bırakayım . Başlıktaki soru ve daha fazlası sunum içerisinde yer almaktadır. https://www.slideshare.net/bgasecurity/mitre-attck-kullanarak-etkin-saldr-tespiti
  21. 21. 20.Bahsedilen Açık Kaynak Kodlu çözümleri deneyebileceğim hazır dağıtımlar var mıdır? Bu konuda SEcurityOnion önerebilirim, ihtiyaç duyabileceğiniz bir çok bileşen hazır kurulu ve yapılandırılmış halde gelmektedir. https://blog.securityonion.net Ek olarak Threat Hunting amaçlı olarak HELK projesini de önerebilirim. https://github.com/Cyb3rWard0g/HELK

×