Röportajın başını Reha Akbaş ; “Ağ Yönetiminde, Riski Minimize Etmek ya da Yönetmek Lazım” başlığı altında okuyabilirsiniz.
Şirketlerin networkleri büyüyüp, karmaşıklaştıkça, hem iş açısından hem de güvenlik açısından yönetimi de önemli hale geliyor. İşte son 1-1,5 yılın yeni trendi, “event management” yani “olay yönetimi” yazılımları. Intellect’ten Reha Akbaş bize “Event Management” yazılımlarını ve Check Point’in bu konuda neler yaptığını anlattı.
Saldırı başlamadan farketmek lazım diyorsunuz. Nasıl yapılabilir bu?
Saldırgan, bir saldırıyı başlatmadan önce sistemi zorlar, boşluklarını bulmaya çalışır. Bu tür aktiviteleri logları tarayarak yakalamak gerekir.
Ancak network’lerde 10’larca cihaz ve her bir cihazın kendisine ait log’u bulunur. Bu logların bazılarında, şirketin ve networkün büyüklüğüne bağlı olarak milyonlarca satır bulunabilir.
Bu satırlar arasında saldırı öncesi hareketleri görmek ve birbiriyle ilişkilendirmek, anlamlı bir sonuç çıkarmak gerekir. Bu da hayli zor bir işlemdir.
İşte bunu yöneten, eyleme geçebilen bir yazılımdan bahsediyoruz. Yapılan şey, farklı kaynaklardaki logları merkezi sisteme toplamak ve birbiri ile ilişkilendirmektir. Binlerce satırdan, önemli ve uyarıcı olan 5-6 satırlık not ayırılıp, sistem yöneticisinin önüne gelir. Sistem yöneticisinin yaptığı sadece bu 5-6 satırın üzerine eğilmektir.
Bugün networklere büyük miktarlarda bilgi yüklemesi oluyor. Mesela şirketin bir portali var diyelim. Her bir kullanıcının eriştiği yerler var. Eğer portalin vermediği bir servis isteniyorsa, ya hata mesajı alır ya da hatayı geri çevirir. Toplamda bakılırsa, her router’a bağlı 4-5 cihaz olur. Bu cihazlara karşı bir saldırı varsa, buna ait kayıtların cımbızla tutulup alınması lazım. İşin önemine göre, kimlik kayıtlarını bulmak lazım.
Mesela bir örnek verelim. Bir şirket çalışanı sabah geldi Windowsx’a logon oldu ve daha sonra da VPN networke logon oldu. Sistem bunu loglarına alır. Sorun olduğunu raporlar. Çünkü 1 çalışan hem ofiste, hem de uzak networkte login olamaz. Ya ofise gelmiştir ve VPN’e onun yerine başkası login olmaktadır. Ya da ofise gelmemiştir ama bir arkadaşı onun yerine login olmuş, kendisi de uzaktan login olmuştur. Sonuçta sistem bunu raporlar.
Aynı olayı, kapıdaki kartlı giriş sistemi ile ilişkilendirmek de mümkün. Windows’a login olan kişi, kapıdan girerken kartını kullanmamışsa, ortada izinsiz erişim olayı söz konusu olabilir.
İşte sistem bunları sorguluyor ve raporluyor. Bu sistem insanı devredışı bırakmıyor ama önüne konsantre – rafine bilgiler koyuyor. Daha sağlıklı kararlar verilmesini sağlıyor. Önceliklendirme yapıyor. Aynı anda 2 durum söz konusu olunca da hangisi öncelikliyse, onu öne getiriyor.
Bu sistemde olay takibi olduğu için diyelim ki bir davranışı gözlemlemek istiyoruz. Bu da mümkün. Mesela elemanlarınız, güvenlik kartı ile içeriye giriyor, sonra bilgisayarından login oluyor. Durum normalde budur değil mi? Ama o eleman güvenlik kartı ile geçiş yapmadan ofisten login olmuşsa ya da tam tersine, güvenlik kartı ile login olmuş ama VPN üzerinden yani dışarıdan bilgisayarına sisteme olmuşsa burada bir terslik vardır. “Ben Bunu Farkedeyim” diyorsunuz, Bunu ve benzeri olayları da görebilirsiniz.
Loglarda ne görürsek onları tanımlayabiliyoruz. Model ve hareketi tanımlıyor ve gerçek zamanlı olarak bu olaydan haberdar olabiliyoruz.
Check Point’in “event management” yazılımı orta ve büyük ölçekli firmalara uygun bir ürün.
Röportajın devamını yarın okuyacaksınız.
Bu röportaj, advertorial olarak Intellect ile birlikte hazırlanmıştır.
Kaynak : 