PCI_DSS ile Log Yönetimi ve SIEM İlişkisi

Bilgi güvenliğini amaçlayan standart, kanun, düzenlemeler ve raporlar incelendiğinde, hemen hepsi loglama konusuna önem vermiş ve bu konuda aksiyonlar alınmasını zorunlu tutmuştur. 

Loglama  konusu önceleri sistem yönetimi ve sorun gidermek için, daha sonra güvenlik amacıyla kullanılmış ise de günümüzde standartlar, kanun ve düzenlemeler için kullanılıyor. Kanun ve standartlar diğer gereksinim ve yaptırımlardan daha güçlü olduğu için loglamanın kullanım amaçları arasında ilk sırayı alıyor.

Loglama konusuna standartların ne kadar önem verdiğine örnek olarak PCI veri güvenliği standardını verebiliriz. 


PCI DSS’in  getirdiği 12 gereksinim, 6 ana başlık altında, aşağıdaki gibi gruplanmaktadır. Bunlardan bir tanesi tamamen loglama ve log yönetimi ile ilgilidir.

Güvenli İletişim Ağının Oluşturulması ve İdamesi
  • Gereksinim 1: Güvenlik duvarının kurulumu ve idamesi; Kart sahibi ortamların iç ve dış ağlardan ve diğer sistemlerden güvenlik duvarı ve sıkı erişim kuralları ile ayrıştırılması. Güvenlik duvarı ve yönlendiricilerin yönetimi ile ilgili süreçlerin tanımlanarak yazılı hale getirilmesi.
  • Gereksinim 2: Üretici tarafından belirlenmiş ön tanımlı kullanıcı kodu/şifrelerin ve güvenlik parametrelerinin kullanılmaması; Tüm sistemlerin kurulum ve yapılandırma süreç ve standartlarının endüstri standartlarına uygun olarak belirlenmesi, uygulanması ve yazılı hale getirilmesi.
Kart Sahibi Bilgilerinin/Verilerinin Korunması
  • Gereksinim 3: Depolanan bilginin korunması; Kart sahibi bilgilerinin güvenli olarak işlenmesi, saklanması ve yok edilmesiyle ilgili süreçlerin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Hassas verilerin doğrulama sonrasında hiçbir şekilde sistemlerde saklanmaması. 16 haneli kart numarasının yetkilendirilmiş kişiler dışında tam olarak okunamaması ve okunamaz formatta saklanması. Kart sahibi verilerinin kriptolu olarak saklandığı durumlarda anahtar yönetimi süreçlerinin belirlenerek yazılı hale getirilmesi.
  • Gereksinim 4: Paylaşılan ağlarda, kart sahibinin bilgilerinin kriptolanarak gönderilmesi; Kart sahibi verilerinin genel ağlar (internet) üzerinden güvenli şekilde iletilmesi için süreçlerin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Son kullanıcı mesajlaşma programlarıyla şifresiz kart sahibi verilerinin iletilmesinin engellenmesi.
Zafiyet Yönetimi Programının Kurulması
  • Gereksinim 5: Anti-virüs yazılımın kullanılması ve sürekli güncellenmesi; Anti-virus yazılımlarının kurulabileceği tüm sistemler üzerine kurulması, otomatik güncelleme, ayarlanmış tarama, merkezi yönetim yapılması ve kayıtların bir yıl süreyle saklanması.
  • Gereksinim 6: Güvenli sistem ve uygulamaların geliştirilmesi ve bakımı; Sistem ve uygulamaların yama yönetim, değişiklik yönetim süreçlerinin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Tüm uygulamalar için geliştirme, test ve değişiklik süreçlerinin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Uygulama ve değişiklikler üzerinde kod analizi yapılması. Web tabanlı uygulamalarda OWASP’a uygun geliştirme ve test süreçlerinin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Internet üzerinden erişilebilen web tabanlı uygulamalara uygulama zafiyet taraması yapılması veya web uygulama firewall ile korunması.
Kuvvetli Erişim Denetimi Önlemlerinin Uygulanması
  • Gereksinim 7: Yalnız iş için gerekli olan bilgiye erişim prensibine göre erişimin kısıtlanması; Kart sahibi bilgisine erişimlerin sadece iş ihtiyacına uygun olarak ve yönetimin imzalı onayıyla verilmesi. Tüm erişimlerin iş gereklilikleri ve ihtiyaçları ile sınırlandırılması. Sınırlandırmada otomatik erişim kontrolü yapılması ve özellikle izin verilmeyen tüm erişimlerin yasaklanması.
  • Gereksinim 8: Her bilgisayar kullanıcısına tek bir kullanıcı ID atanması; Tüm sistemlerdeki kullanıcı hesaplarının yönetim süreçlerinin belirlenmesi, uygulanması ve sorumlulukların yazılı hale getirilmesi. Şifre yönetimi ve erişim yönetimi parametrelerinin uygun şekilde yapılandırılması.
  • Gereksinim 9: Kart sahibi bilgisine fiziksel erişimin kısıtlanması; Kart sahibi bilgisine fiziksel erişimlerin iş ihtiyaçları ile sınırlandırılması. Kart sahibi bilgisine yapılan fiziksel erişimlerin izlenmesi ve raporlanması. Ziyaretçi yönetim sürecinin belirlenmesi, uygulanması ve yazılı hale getirilmesi.

        
         Düzenli Olarak İletişim Ağının İzlenmesi ve Test Edilmesi

  • Gereksinim 10: Ağ kaynaklarına ve kart sahibi bilgisine erişimin takibi ve izlenmesi; Kart sahibi bilgisine yapılan tüm erişim ve sorguların kaydedilmesi. Yapılan erişim ve sorgulardaki kaynak bilgileri ve hangi işlemlerin yapıldığı gibi detayların kaydedilmesi. Sistemler üzerinde gerçekleşen şüpheli işlemleri belirlemek üzere tüm sistem kayıtlarının günlük olarak analiz edilmesi. Tüm kayıtların güvenli ve değiştirilemez olarak 1 yıl süreyle saklanması.
  • Gereksinim 11: Güvenlik sistemlerin ve süreçlerin düzenli olarak test edilmesi; Tüm sistemlerin ve kablosuz ağların periyodik olarak izlenmesi, test edilmesi ve uygunsuzlukların giderilmesi. Tüm sistemlerdeki zafiyetlerin iç ağ ve dış ağdan her 3 ayda bir taranması. Tarama işlemlerinin önemli bulgular giderilene kadar tekrarlanması. Tüm uygulama ve ağlara, iç ve dış ağdan sızma testi yapılması ve önemli bulgulara karşı önlemlerin alınması.
Bilgi Güvenliği Politikasının İşlerliğinin Sağlanması
  • Gereksinim 12: Bilgi güvenliğini adresleyen bir politikanın bulunması; Risk analizi yapılması. Risk analizi sonucuna göre bilgi güvenliği dokümanlarının hazırlanması ve uygulamaya alınması. Tüm operasyonel süreçlerin yazılı hale getirilmesi ve uygulanması. Servis sağlayıcılardan alınan hizmetlerin güvenlik ve kalitelerinin ölçüm metotlarının belirlenmesi ve raporlanması. Acil durum planlarının oluşturulması ve uygulanması.

Bu gereksinimlerin temel amacı; Kart sahibi bilgisi ve kritik doğrulama bilgisinin güvenliğini sağlamaktır.

Bu gereksinimlerden, Gereksinim 10 log yönetimini adreslemektedir . 

Loglama ya da Log Yönetimi’ni daha açık ifade etmek gerekirse, ben loglamayı her zaman uçağın karakutusuna benzetmişimdir. Nasıl ki karakutu uçaktaki tüm sesleri ve bilgileri önemli-önemsiz ayırt etmeksizin kaydediyorsa, loglama da aynı şekilde tüm datayı önemini ayırt etmeksizin kaydeder. Çoğu zaman kaydettiği bilginin %97’si güvenlik açısından önemsiz bilgidir. Fakat oradaki %3 lük kısım çok şey ifade eder.

Nasıl ki uçak düştüğünde, 3-5 saatlik karakutu verisi incelenir fakat işe yarayan ve problemi ortaya çıkaran kayıt 3-5 dakikalık kısmı olur ise log yönetiminde de 3-5 tb lık veri içerisinde problemin ya da suçun kaynağını tespit ettiğiniz bilgi sadece 3-5 satırdır.  Fakat ihtiyaç duyduğunuzda sizin bu 3-5 satır bilgiye ulaşabilmeniz için 3-5 tb veriyi zamanında  kaydetmiş olmanız gerekir.

Loglama birçok uyumluluk ve yönetmelikte zorunlu olsa da tek başına yeterli olmayabilir. 

Ne yazık ki kara kutu genelde, ancak uçakta bir problem olduktan ya da uçak düştükten sonra incelenir ve sorun anlaşılmaya çalışılır. Loglama da aynen böyledir. Bir şuç işlendikten, bir hacker sızdıktan, bir veri kaybolduktan vs. sonra loglar açılıp incelenir. Ama artık çok geç olmuştur.
Fakat problemden önce ya da girişim esnasında olaydan haberdar olabilmek için korelasyon ürünleri ile ilgilenmek gerekir ki konumuz güvenlik ise bu kaçınılmaz bir çözümdür.

Loglanan verilerin izlenmesi ve yorumlanması, kısaca log yönetimi ile birlikte bir değer ifade eder. Bu da sektörel dilde SIM/SEM/SIEM olarak adlandırılır. Burada SIEM (Security Information and Event Management) ve log yönetimi kavramları farklı olarak düşünülse de hedefledikleri amaç benzer olduğundan iç içe geçmiş iki ürün gibidir. Genelde SIEM ürünleri log management ürünlerini kapsar. 

Her standart, loglama açısından farklı şeyler istese de temelde hedef aynı olduğundan tek bir log yönetimi sistemi veya SIEM ile çoğu standarta uyum sağlanılabilir. 

PCI DSS uyumluluğu yukarıda anlatılan gereksinimleri oluşturarak kart bilgisini taşıyan, işleyen ve saklayan kurum ya da kuruluşların bilgi güvenliğine uyum süreçlerinin yönetilmesi ve bu kurum ve kuruluşlarda bilgi güvenliği disiplininin oluşturulmasını sağlamaktadır.


Detaylı bilgi için:
 
Ekrem Musaoğlu, PMP
Teknik Destek Müdürü

Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

ARP Poisoning ile Browser Exploitation - MITMf + BeEF + Metasploit