Merhaba
Bir önceki makalemizde log yönetimine kısa bir giriş yapmıştık. Bu yazımızda da kurumlarda niçin log yönetimi yapmalıyız? Sorusunun cevabını arayıp bulmaya çalışacağız.
Günümüzde güvenlik noktasında önemi artan konuların başında Log Yönetimi ( Log Management ) gelmektedir. Log Yönetimi ( Log Management) hem yasal zorunluluklar nedeni ile hem de uluslar arası standartlar tarafından ( ISO 27001 ) önerilmekte ve bu konunun önemi vurgulanmaktadır. Bilgi sızmalarının ve güvenlik ihlallerinin giderek artması da bu konunun önemini daha iyi kavramamıza ve gerekli teknik altyapıyı oluşturmamızı gerekli kılmaktadır.
Eskiden sistem yöneticileri bir hatayla karşılaştığı zaman log kayıtlarına bakma gereği duyarlardı. Ama günümüzde sadece hata yada sorunla karşılaştığımızda değil aşağıda sıralanan nedenlerden dolayı da log kayıtlarına bakma durumumuz vardır. Tabi eğer log management yapıyor isek bakabilecek durumda olabiliriz. Ya da kurumumuzda böyle bir alt yapı oluşturacak isek bize yol gösterici olacaktır.
– Belirli zaman aralıklarında kimler oturum açtı?
– USB bellek kullanımı oldu mu?
– Sistem yöneticileri takip ediliyor mu?
– Bilgisayar adı (hostname), IP adresi, MAC adresi değişikliği oldu mu?
– Kimler hangi IP adresini aldı?
– Bu IP adresleri ile nerelere erişidi?
– Sisteme uzak bağlantı sağlandı mı?
– Kimler hangi saatle VPN bağlantısı kurdu?
– Donanım değişikliği yapıldı mı?
– P2P program kullanan var mı?
– Kim hangi dosya ya erişti ?
– Erişilen dosyalardan silinen var mı?
– Başarılı password değişiklikleri?
– Bilgisayar hesabı yada kullanıcı hesabı yaratıldı mı?
– Port scan yapıldı mı?
– Kimler hangi dokümanları print etti? (print server mimarisi ile)
– Domain admin hesabına kullanıcı eklendi mi?
– Ekran görüntüsü yakalaması yapıldı mı?
– MSN ‘den dosya transferi yapıldı mı?
Gibi soruların cevabını ( ki bu sorular güvenlik politikası ve kurum politikasına göre çoğaltılabilir ve değişme özelliği gösterebilir) verebilmek için kurumsal manada log yönetim sistemimizin var olması gerekmektedir. Bu sorulara cevap verebilecek durumda isek server – client mimarisi içinde hem sistemimiz de meydana gelebilecek olayları takip etmiş oluruz hem de sistemin sağlıklı ve kararlı çalışmasını sağlayabiliriz.
Tabi durum yukarıda sayılan nedenler ile sınırlı değil. Konu güvenlik ve bunun önemli bir bileşeni olan log yönetimi olunca cevaplanması gereken bir çok soru ve tedbir almamızı gerektirecek bir çok durum ortaya çıkmaktadır. Yukarıda iki sorunun cevabını ana başlık olarak vermeye çalıştık. Bu sorularımız ise:
1- Sistemimizde bir hata yada sorunla karşılaşınca ne yaparız?
2- Son kullanıcılarımız ve sistem üzerinde meydana gelen olaylar ne durumda?
Bu iki soruya bir üçüncüsünü de dahil edecek olursak oda bilgi güvenliğidir. Elektronik ortamda üretilmiş olan ve yaşam döngüsü bu ortamda devam eden veriler için ne yapmalıyız? Bilgi güvenli açısından dünyada birçok standart ( 5651, COBIT, PCI, SOX vb.. ) vardır ve bilginin doğası gereği böyle olmalıdır. Bizim için çok kritik öneme sahip olan bir data ( bilgi) başka bir sektörde başka birileri için herhangi bir önem taşımayabilir yada daha düşük bir önem düzeyine sahip olabilir ama burada maksat bilginin güvenliği olduğu için her türlü bilginin korunması açısından ortak kurallar vardır.
Bunları kısaca açıklayacak olursak ( çünkü konumuz bilgi güvenliği değil, genel manada güvenliğin –security- önemli bir kısmı olan log management)
– Bilginin Bütünlüğü ( Integrity )
– Bilginin Erişilebilirliği ( Availability )
– Bilginin Gizliliği ( Confidentiality )
Özelliklerinin her zaman sağlanabilmesi gerekmektedir. Bu süreç bilginin meydana geldiği ilk aşamadan yaşam döngüsünün sona ermesine kadar sağlanabilmelidir. Fiziksel güvenlik, yedekleme, arşivleme gibi konular bu sürece dâhildir. Bunları sağlamak için ise Audit (izleme) dediğimiz sistemin devreye alınması gerekmektedir ( Audit konusu ilerde detaylı olarak anlatılacaktır).
Audit (izleme) kısaca bizim belirlediğimiz nesneler üzerinde (örnek olarak kurumsal bilgilerin bulunduğu bir file server üzerindeki klasörler) ve belirlediğimiz izleme bileşenlerine göre ( erişim, silme, yaratma, göz atma vs..) belirlediğimiz kişilerin ( bu herkes olabileceği gibi sadece belirli kişiler de olabilir) o nesne üzerinde yaptıkları işlemlerin log (iz kayıtları) larının alınmasıdır.
Bu sayede kim o nesneye ne zaman erişmiş, o nesne üzerinde ne gibi işlemler yapmış gibi soruların cevabını verebiliriz. Audit mekanizmasına örnek olarak şöyle bir senaryo düşünebiliriz.
SENARYO:
Bir çok kurumda bilindiği gibi finans (muhasebe) departmanları özelliği olan departmanlardır. Bu departmanlardaki bilgiler özeldir, gizlidir ve sadece yetkili kişiler tarafından erişilebilir olmalıdır. Hatta genel kurum networkünden yalıtılmış ve internet erişimleri kısıtlanmış durumda bile olabilir. Yani bilgi güvenliğinin ortak üç özelliğini bu örneğe uygulayacak olursak:
- Finans departmanındaki bilgiler gizlidir. Bu bilgilere herkes değil sadece yetkili olan kişiler erişebilmelidir (confidentiality).
- Finans departmanındaki bilgilere sürekli ve her yerden erişilebilmelidir ( availability).
- Finans departmanındaki bilgiler her zaman doğruyu ve gerçeği ifade etmelidir. Bilginin doğruluğunun bozacak değişiklikler ve bu değişikliği yapmak isteyen yetkisiz kişilerin erişimleri engellenebilmelidir. (integrity).
Aslında birbirine benzeyen açıklamalar gibi gözükse de birbirine benzemekten çok birbirini tamamlayan bileşenlerdir ve biri olmadan diğeri olmaz.
Peki bizim için önemli olan bu üç temel kriteri nasıl sağlarız. Fiziksel güvenlik, yedekleme (backup) gibi konular şu an bizim ilgilendiğimiz konular değildir. Bizim tarafımızdan bunların sağlanmasını Audit (izleme) mekanizmasını devreye alarak sağlayabiliriz.
Şimdi bizim finans departmanında MAASLAR adında bir klasörümüz (folder) olsun ve bu klasörün altında da
- BT Departmanı
- İnsan Kaynakları Departmanı
- Halkla İlişkiler Departmanı
- Yönetim Departmanı
gibi dosyalarımız olduğunu ve bu dosyalar içinde de ilgili departman çalışanlarının aylık ücretleri, kazanılan primler gelecek ay maaşlara yapılacak zamlar J gibi bilgilerin olduğunu düşünelim.
Maaslar klasörümüz paylaşıma (share) açtık ve muhasebe departmanındaki çalışanların konumuna göre izinleri verdik. Audit mekanizmasını devreye almadık. Bu durumda muhasebe departmanından herhangi birinin bir şekilde yetkisi olmadığı halde BT Departmanı adındaki dosyayı (file) sildiğini yada değiştirdiğini düşünün. Sonuç dosya üzerinde değişiklik yapıldı ve Audit mekanizmasını devreye almadığımız için bu işlemle ilgili log ( iz kaydı) tutulmadı.
Audit mekanizmasını devreye alır isek bu işlemle ilgili log ( iz kaydı) tutuldu ve hatta gerekli log management altyapısı varsa sistem yöneticisine alarm bile verildi.
Yukarıda anlatılan iki durum arasındaki fark çok açık. Birinci durumda Audit mekanizması devreye alınmadı ve dosyaya yetkisiz bir bir erişim yapıldı ( bilginin gizliliği bozuldu), dosya üzerinde değişiklik yapıldı ( bilginin bütünlüğü bozuldu) ve ortada hiçbir kayıt –log- yok. İkinci durum da ( audit mekanizması devrede) bütün bu süreç kayıt altına alındı ve gerekli altyapı var ise sistem yöneticisine alarm bile gönderildi. Böylece muhasebe departmanında çalışan bütün kişiler zan altında kalmaktan kurtuldu ve bizde işimiz iyi yaptığımızı J üstlerimize göstermiş olduk ve olası ihlallerin önüne geçebildik.
O zaman üçüncü sorumuzda şu şekilde olabilir;
3- Audit mekanizması devreye alınarak nesneler üzerinde kim hangi işlemleri yapmış?
Toplayacak olur isek niçin log yönetimi yapmalıyız sorusunun nedenleri yukarıda sorulan üç soruya paralel olarak sistemin bütünlüğünün ve kararlılığının sağlanması, son kullanıcılarımızın ne durumda olduğu ve kimin nereye, ne zaman eriştiği ve neler yaptığı sorularına cevap bulmak için ve tabi ki yasal zorunluluklar ve uluslar arası standartları da bu gerekliliklere ekleyebiliriz.
Daha teknik bir açıklama yaparsak şu an ülkemizde yürürlükte bulunan ( 5651 nolu kanun) ve dünyadaki çeşitli standartlar (COBIT, PCI, SOX), bilgi sızmalarının ve ihlallerin giderek artması ve sistemin bütünlüğünün ve kararlılığının sağlanması açısından (genel manada security) log yönetimi yapılması kurumlar açısından son derece hayatidir ve gereklidir.
Bir sonraki yazımızda görüşmek üzere …