PCI_DSS ile Log Yönetimi ve SIEM İlişkisi

Bilgi güvenliğini amaçlayan standart, kanun, düzenlemeler ve raporlar incelendiğinde, hemen hepsi loglama konusuna önem vermiş ve bu konuda aksiyonlar alınmasını zorunlu tutmuştur. 

Loglama  konusu önceleri sistem yönetimi ve sorun gidermek için, daha sonra güvenlik amacıyla kullanılmış ise de günümüzde standartlar, kanun ve düzenlemeler için kullanılıyor. Kanun ve standartlar diğer gereksinim ve yaptırımlardan daha güçlü olduğu için loglamanın kullanım amaçları arasında ilk sırayı alıyor.

Loglama konusuna standartların ne kadar önem verdiğine örnek olarak PCI veri güvenliği standardını verebiliriz. 


PCI DSS’in  getirdiği 12 gereksinim, 6 ana başlık altında, aşağıdaki gibi gruplanmaktadır. Bunlardan bir tanesi tamamen loglama ve log yönetimi ile ilgilidir.

Güvenli İletişim Ağının Oluşturulması ve İdamesi
  • Gereksinim 1: Güvenlik duvarının kurulumu ve idamesi; Kart sahibi ortamların iç ve dış ağlardan ve diğer sistemlerden güvenlik duvarı ve sıkı erişim kuralları ile ayrıştırılması. Güvenlik duvarı ve yönlendiricilerin yönetimi ile ilgili süreçlerin tanımlanarak yazılı hale getirilmesi.
  • Gereksinim 2: Üretici tarafından belirlenmiş ön tanımlı kullanıcı kodu/şifrelerin ve güvenlik parametrelerinin kullanılmaması; Tüm sistemlerin kurulum ve yapılandırma süreç ve standartlarının endüstri standartlarına uygun olarak belirlenmesi, uygulanması ve yazılı hale getirilmesi.
Kart Sahibi Bilgilerinin/Verilerinin Korunması
  • Gereksinim 3: Depolanan bilginin korunması; Kart sahibi bilgilerinin güvenli olarak işlenmesi, saklanması ve yok edilmesiyle ilgili süreçlerin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Hassas verilerin doğrulama sonrasında hiçbir şekilde sistemlerde saklanmaması. 16 haneli kart numarasının yetkilendirilmiş kişiler dışında tam olarak okunamaması ve okunamaz formatta saklanması. Kart sahibi verilerinin kriptolu olarak saklandığı durumlarda anahtar yönetimi süreçlerinin belirlenerek yazılı hale getirilmesi.
  • Gereksinim 4: Paylaşılan ağlarda, kart sahibinin bilgilerinin kriptolanarak gönderilmesi; Kart sahibi verilerinin genel ağlar (internet) üzerinden güvenli şekilde iletilmesi için süreçlerin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Son kullanıcı mesajlaşma programlarıyla şifresiz kart sahibi verilerinin iletilmesinin engellenmesi.
Zafiyet Yönetimi Programının Kurulması
  • Gereksinim 5: Anti-virüs yazılımın kullanılması ve sürekli güncellenmesi; Anti-virus yazılımlarının kurulabileceği tüm sistemler üzerine kurulması, otomatik güncelleme, ayarlanmış tarama, merkezi yönetim yapılması ve kayıtların bir yıl süreyle saklanması.
  • Gereksinim 6: Güvenli sistem ve uygulamaların geliştirilmesi ve bakımı; Sistem ve uygulamaların yama yönetim, değişiklik yönetim süreçlerinin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Tüm uygulamalar için geliştirme, test ve değişiklik süreçlerinin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Uygulama ve değişiklikler üzerinde kod analizi yapılması. Web tabanlı uygulamalarda OWASP’a uygun geliştirme ve test süreçlerinin belirlenmesi, uygulanması ve yazılı hale getirilmesi. Internet üzerinden erişilebilen web tabanlı uygulamalara uygulama zafiyet taraması yapılması veya web uygulama firewall ile korunması.
Kuvvetli Erişim Denetimi Önlemlerinin Uygulanması
  • Gereksinim 7: Yalnız iş için gerekli olan bilgiye erişim prensibine göre erişimin kısıtlanması; Kart sahibi bilgisine erişimlerin sadece iş ihtiyacına uygun olarak ve yönetimin imzalı onayıyla verilmesi. Tüm erişimlerin iş gereklilikleri ve ihtiyaçları ile sınırlandırılması. Sınırlandırmada otomatik erişim kontrolü yapılması ve özellikle izin verilmeyen tüm erişimlerin yasaklanması.
  • Gereksinim 8: Her bilgisayar kullanıcısına tek bir kullanıcı ID atanması; Tüm sistemlerdeki kullanıcı hesaplarının yönetim süreçlerinin belirlenmesi, uygulanması ve sorumlulukların yazılı hale getirilmesi. Şifre yönetimi ve erişim yönetimi parametrelerinin uygun şekilde yapılandırılması.
  • Gereksinim 9: Kart sahibi bilgisine fiziksel erişimin kısıtlanması; Kart sahibi bilgisine fiziksel erişimlerin iş ihtiyaçları ile sınırlandırılması. Kart sahibi bilgisine yapılan fiziksel erişimlerin izlenmesi ve raporlanması. Ziyaretçi yönetim sürecinin belirlenmesi, uygulanması ve yazılı hale getirilmesi.

        
         Düzenli Olarak İletişim Ağının İzlenmesi ve Test Edilmesi

  • Gereksinim 10: Ağ kaynaklarına ve kart sahibi bilgisine erişimin takibi ve izlenmesi; Kart sahibi bilgisine yapılan tüm erişim ve sorguların kaydedilmesi. Yapılan erişim ve sorgulardaki kaynak bilgileri ve hangi işlemlerin yapıldığı gibi detayların kaydedilmesi. Sistemler üzerinde gerçekleşen şüpheli işlemleri belirlemek üzere tüm sistem kayıtlarının günlük olarak analiz edilmesi. Tüm kayıtların güvenli ve değiştirilemez olarak 1 yıl süreyle saklanması.
  • Gereksinim 11: Güvenlik sistemlerin ve süreçlerin düzenli olarak test edilmesi; Tüm sistemlerin ve kablosuz ağların periyodik olarak izlenmesi, test edilmesi ve uygunsuzlukların giderilmesi. Tüm sistemlerdeki zafiyetlerin iç ağ ve dış ağdan her 3 ayda bir taranması. Tarama işlemlerinin önemli bulgular giderilene kadar tekrarlanması. Tüm uygulama ve ağlara, iç ve dış ağdan sızma testi yapılması ve önemli bulgulara karşı önlemlerin alınması.
Bilgi Güvenliği Politikasının İşlerliğinin Sağlanması
  • Gereksinim 12: Bilgi güvenliğini adresleyen bir politikanın bulunması; Risk analizi yapılması. Risk analizi sonucuna göre bilgi güvenliği dokümanlarının hazırlanması ve uygulamaya alınması. Tüm operasyonel süreçlerin yazılı hale getirilmesi ve uygulanması. Servis sağlayıcılardan alınan hizmetlerin güvenlik ve kalitelerinin ölçüm metotlarının belirlenmesi ve raporlanması. Acil durum planlarının oluşturulması ve uygulanması.

Bu gereksinimlerin temel amacı; Kart sahibi bilgisi ve kritik doğrulama bilgisinin güvenliğini sağlamaktır.

Bu gereksinimlerden, Gereksinim 10 log yönetimini adreslemektedir . 

Loglama ya da Log Yönetimi’ni daha açık ifade etmek gerekirse, ben loglamayı her zaman uçağın karakutusuna benzetmişimdir. Nasıl ki karakutu uçaktaki tüm sesleri ve bilgileri önemli-önemsiz ayırt etmeksizin kaydediyorsa, loglama da aynı şekilde tüm datayı önemini ayırt etmeksizin kaydeder. Çoğu zaman kaydettiği bilginin %97’si güvenlik açısından önemsiz bilgidir. Fakat oradaki %3 lük kısım çok şey ifade eder.

Nasıl ki uçak düştüğünde, 3-5 saatlik karakutu verisi incelenir fakat işe yarayan ve problemi ortaya çıkaran kayıt 3-5 dakikalık kısmı olur ise log yönetiminde de 3-5 tb lık veri içerisinde problemin ya da suçun kaynağını tespit ettiğiniz bilgi sadece 3-5 satırdır.  Fakat ihtiyaç duyduğunuzda sizin bu 3-5 satır bilgiye ulaşabilmeniz için 3-5 tb veriyi zamanında  kaydetmiş olmanız gerekir.

Loglama birçok uyumluluk ve yönetmelikte zorunlu olsa da tek başına yeterli olmayabilir. 

Ne yazık ki kara kutu genelde, ancak uçakta bir problem olduktan ya da uçak düştükten sonra incelenir ve sorun anlaşılmaya çalışılır. Loglama da aynen böyledir. Bir şuç işlendikten, bir hacker sızdıktan, bir veri kaybolduktan vs. sonra loglar açılıp incelenir. Ama artık çok geç olmuştur.
Fakat problemden önce ya da girişim esnasında olaydan haberdar olabilmek için korelasyon ürünleri ile ilgilenmek gerekir ki konumuz güvenlik ise bu kaçınılmaz bir çözümdür.

Loglanan verilerin izlenmesi ve yorumlanması, kısaca log yönetimi ile birlikte bir değer ifade eder. Bu da sektörel dilde SIM/SEM/SIEM olarak adlandırılır. Burada SIEM (Security Information and Event Management) ve log yönetimi kavramları farklı olarak düşünülse de hedefledikleri amaç benzer olduğundan iç içe geçmiş iki ürün gibidir. Genelde SIEM ürünleri log management ürünlerini kapsar. 

Her standart, loglama açısından farklı şeyler istese de temelde hedef aynı olduğundan tek bir log yönetimi sistemi veya SIEM ile çoğu standarta uyum sağlanılabilir. 

PCI DSS uyumluluğu yukarıda anlatılan gereksinimleri oluşturarak kart bilgisini taşıyan, işleyen ve saklayan kurum ya da kuruluşların bilgi güvenliğine uyum süreçlerinin yönetilmesi ve bu kurum ve kuruluşlarda bilgi güvenliği disiplininin oluşturulmasını sağlamaktadır.


Detaylı bilgi için:
 
Ekrem Musaoğlu, PMP
Teknik Destek Müdürü

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,...
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is...
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değer...
Devamını okuyun