TOPIC:

Gerek finansal uygulamalar olsun gerek İnternet üzerinden alışveriş olsun gerekse e-devlet uygulamalarına erişim olsun, İnternet artık günümüzün vazgeçilmez olgularından bir tanesi haline geldi. İnternete erişimi sağlayan bilgi sistemleri de gün geçtikçe daha çok önem kazanmakta. Bilgi sistemlerinin bu kadar önem kazanmasıyla birlikte sistemi kötüye kullanmak ve bu yolla maddi veya manevi fayda sağlamak oldukça yaygınlaşmış durumda. Bu kötüye kullanmaya karşı yapılması gereken, yukarıda bahsedilen ihtiyaçlara erişimi sağlayan sistemlerin güvenliğinin sağlanmasıdır.

Bilgi güvenliği hiç bir zaman %100 sağlanamayacak olan, ancak daima %100’e yaklaşmak için çalışmayı gerektiren önemli bir alan haline gelmiştir. Nasıl ki bir banka şubesinde ne yaparsanız yapın güvenliği %100 sağlayamazsınız ve bu yüzden etrafa kameralar yerleştirerek, saldırı girişimlerini izleyerek engellemeye çalışırsınız veya olayı önleyemiyorsanız olayı gerçekleştireni yakalamanız gerektiğini düşünürsünüz, bilgi sistemlerinde de güvenliği belli bir aşamada sağladıktan sonra, sistemi olası kötüye kullanmalara karşı izlemeniz, önleyebiliyorsanız saldırıları önlemeniz, önleyemiyor iseniz, saldırıyı yapan kişileri sonradan tespit etmeniz gerekecektir. İşte bu yüzden, bilgi sistemlerinde kullanılan kaynakların oluşturduğu güvenlik kayıtları izlenerek, başarılı saldırıları veya başarısız saldırı girişimlerini izlemek önem teşkil eder. Bu işlem için Güvenlik Olayları Kayıt Sistemi (Security Incident and Event Management) kullanılmaktadır.

Güvenlik Olayları Kayıt Sistemi (SIEM) kullanılarak, bilgi sistemlerinin değişik katmanlarında çalışan donanım ve yazılımlara (yazının devamında donanım ve yazılıma bileşen denilecektir) ait güvenlik kayıtlarının izlenmesi sağlanmaktadır. İzlenecek olan bileşenler, kurumun güvenlik ihtiyaçlarına göre çeşitlilik arzedebilir. Örneğin, bir banka açısından, basit bir anahtarlama cihazına ait kayıtların izlenmesi hayati önem oluşturabilir.

Aşağıda verilen şekilde, Güvenlik Olayları Kayıt Sisteminin nasıl çalıştığı ve ne tür kaynaklardan bilgi toplayabileceği gösterilmiştir. Sistem 3 ana bileşenden oluşur: güvenlik kayıtlarını toplayarak belirli bir formata getiren sensör, sensörden gelen formatlı bilgilerin kaydedildiği veritabanı ve veritabanı ile sensörün izlenmesini ve yönetilmesini sağlayan yönetim sunucusu. Bu 3 ana bileşen, ihtiyaca göre tek bir sunucu üzerinde yer alabileceği gibi, farklı sunucular üzerinde de konumlandırılabilir. Sensörün veri toplayabileceği kaynaklar aktif ağ cihazlarından, açık kaynak kodlu yazılımlara, windows tabanlı sunuculardan, veritabanı sunucularına kadar geniş bir yelpazeye yayılabilir.

Kayıt Sistemi kurulumu yapılmadan önce bilgi sistemlerinde yer alan bileşenlerden hangilerinin kayıtlarının izleneceği, izlenecek olan bileşenlerden gelecek kayıtların neler olacağı veya kritiklik seviyesinin (level) ne olacağı belirlenmiş olmalıdır. Bütün bu parametreler belirlenerek bir Kayıt Sistemi politikası oluşturulmalıdır. Örneğin, “güvenlik duvarı kayıtlarından sadece düşürülen paketlere ilişkin kayıtlar izlenecektir” şeklinde bir politika maddesi olabileceği gibi, “güvenlik duvarı kayıtlarının tamamı izlenecektir” şeklinde de bir politika da benimsenebilir. Aşağıda, Kayıt Sistemi için örnek bir kurulum ve işletim modeli verilmiştir.