- Üyelik Tarihi
- 17 Ağu 2022
- Konular
- 348
- Mesajlar
- 2,017
- MFC Puanı
- 26,020
Infraskope Server ve Özellikleri
Infraskope Server, tamamı yerli yazılımcılardan oluşan bir takım tarafından tasarlanmış, sistemlerde oluşan güvenlik kayıtlarını toplayan ve bunları anlamlı-eş zamanlı uyarılar haline getirebilen aynı zamanda 5651 – Internet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ile uyumlu en detaylı bilgi elde etmemize yarayan yüzde yüz yerli yazılımdır. Bir SIEM uygulaması olarak Infraskope; Dizüstü, masaüstü, çeşitli işletim sistemlerine sahip sunucuların (Windows, Unix, Linux vb.), ağ cihazlarının, uygulama sunucularının, güvenlik duvarlarının ve diğer tüm sistemler tarafından oluşturulan günlük kayıtların merkezi olarak toplayabilmenizi ve bu kayıtlardan gerçek zamanlı uyarı alabilmenizi sağlar. Infraskope bir SIEM ürünün tüm fonksiyonlarını içerdiği gibi, kurumunuzda bulunan SIEM ürününün etkinliğini arttırmak için de kullanılabilir.
Şekil 1: Infraskope Çalışma Prensibi
Neden Infraskope kullanmalısınız sorusuna verilecek cevaplar ise çok geniş. Güvenlik denetimlerini kolaylaştırması, bir olay gerçekleşmeden önce o olaya bağlı gerçekleşebilecek diğer durumların tespiti (proaktif müdahale), adli soruşturmalarda verilere hızlı ulaşım imkanı gibi kurumlar ve şirketler için geniş yelpazede hizmetler sunmaktadır.
Şekil 2: Tüm gerçekleşen olayları renkli görseller kullanarak hazırlanan Dashboard
Infraskope bu alanda yazılmış diğer uygulamalardan ayıran bir çok özelliği bulunmaktadır. Kayıt altına alınmayan yani işletim sistemi tarafından raporlanmayan(USB cihazlara kopyalanan dosyalar, sistem yöneticilerinin kullanıcı bilgisayarlarına erişim kayıtları ve benzeri) olayları Infraskope Agent sayesinde takip eder ve kayıt altına alır. Bir diğer özelliği ise hem Infraskope Server’ın hem de kullanıcıların bilgisayarlarından veri toplamaya yarayan Agent’ın kolayca kurulması ve bir kaç saat içinde veri toplanamaya hazır hale gelmesidir.Bunun yanında uzun süredir birçok firma ve kurum tarafından kullanılmakta olan Infraskope, kurumların tecrübelerinden elde ettiği iyileştirmeleri, yeni tehdit, uyarı ve raporları sürekli olarak ürüne dahil ederek güncel hizmet sunmaktadır.
Infraskope Server ile veri merkezinizdeki diğer ürünlerin kayıtlarını da toplayabilirsiniz. Linux işletim sistemleri, ağ cihazları, veritabanları ve uygulama sunucularınızda oluşan olayları da Infraskope ile kolayca takip altına alabilirsiniz.Infraskope ajanları tarafından toplanan detaylı yazılım ve donanım envanteri sayesinde kurumunuzdaki tüm yazılımlar ve donanımlar hakkında bilgi sahibi olabilir, donanım ve yazılım güncellemelerinizi bu bilgilere dayanarak planlayabilirsiniz. Böylece kullanıcı bilgisayarlarınızda meydana gelebilecek arızaların (disk bozulması vb.) önceden bildirilmesi sağlanmış olur.
Şekil 3: İstatistik Ekranı
Infraskope’un en önemli özelliklerinden biri de gelen alarmları birbiriyle ilişkilendirip, korelasyon sağlayabiliyor olmasıdır. Kritik olaylar gerçekleştiğinde, SMS, e-mail, uygulama çalıştırma, görsel gibi değişik yöntemlerle sistemi izleyenleri bilgilendirip uyarma özelliği de mevcuttur.Bunların yanı sıra, Infraskope Apptracker ile uygulama kullanımı ve sürelerinin takibi, güvenlik duvarını kullanmadan (cep telefonu,
kurumsal olmayan bir kablosuz erişim noktası vb.) yapılan internet bağlantı (http/https) adreslerinin takibi ve bilgisayarın ne kadar süre kullanılmadığının (inactivity) takibi yapılabilir.
Şekil 4: Infraskope Elementleri
Infraskope ile işletim sistemi olay kayıtları tarafından kaydedilen bir çok olay anlamlandırılabilir. Etkileşimli olarak kullanılmaması gereken servis hesaplarınızın başka amaçlar için kullanılıp kullanılmadığının tespiti, tüm sunucularda gerçekleşen başarılı / başarısız oturum açma işlemleri, kullanıcı hesaplarında yapılan işlemleri (şifre sıfırlama, kullanıcı yaratma, silme vb.), grup hesaplarında yapılan işlemler (yeni grup yaratma, grup üyelerinin değiştirilmesi vb.), dosya sunucularında gerçekleşen olaylar (dosya silme, değiştirme, yaratma vb.), kullanıcıların oturum işlemleri (oturum açma, kapatma, kilitleme, ekran koruyucu devreye girmesi / çıkması), Active Directory’de yapılan değişikliklerin takibi (Group Policy, OU vb.), yazıcı işlemlerinin takibi, uygulama yüklemelerinin takibi gibi bunlara verilebilecek örnekler arasındadır.
Gönderilen/alınan epostaların kayıtları, güvenlik duvarları ve aktif ağ cihazlarının erişim kayıtları, kritik uygulamaların erişim ve operasyonel kayıtlarının toplanması (SAP, SQL Server, Oracle, Exchange Server, vb.), web/FTP/SMTP ve benzeri Internet servis sunucu kayıtlarının toplanması ise kolektörler tarafından ile izlenebilen olaylara örnek olabilir.
Bunların yanında, Infraskope Agent ile tespit edilebilen olaylara örnekler vermek gerekirse; sistem yöneticilerinin makinelere (haber vermeden) erişimlerinin takibi, hacker uygulamalarının kullanımı, donanımsal keylogger cihazlarının tespiti, network dinleme olaylarının tespiti, kablosuz-USB/Bluetooth ile internet bağlantılarının tespiti, paylaşıma açılan dizinlerin takibi, en çok ağ trafiği yaratan makinelerin tespiti, kullanıcı bilgisayarlarına yapılan saldırılar, ileri şifre kırma tekniklerinin tespiti, kullanıcı bilgisayarlarına takılan her türlü cihazın tespiti, kullanıcıların yapmış olduğu / yapabileceği saldırılar, USB depolama aygıtlarının takibi ve yapılan işlemlerin kaydedilmesi (kopyalama, silme vb.), PrintScreen veya başka bir uygulama ile ekrandaki görüntünün başka bir ortama aktarılması, bilgisayarlardaki yazılım ve donanım envanteri, bilgisayarlarda çalıştırılabilecek zararlı uygulamaların takibi ve engellenmesi (şifre kırma, keylogger vb.), Microsoft Office uygulamalarına yüklenen plugin’lerinin kaldırılması, devre dışı bırakılması, etkinleştirilmesi gibi olayların tespiti, registry anahtar ve değerlerinin takibi, hosts dosyasında yapılan değişikliklerin takibidir.
Infraskope Agent - Son Kullanıcı Denetimi ve Güvenliği
Güvende olabilmek için önce tehlikenin ne olduğunu bilmeniz gerekir. Bilmediğiniz bir tehdit karşısında önlem alamazsınız. Infraskope bu prensiple geliştirilen bir üründür. Infraskope Agent’ı tek bir cümle ile özetlersek; “Karanlıkta yolunuzu bulmaya çalışırken birinin ışığı açması gibidir.”
Infraskope Agent
İnsan faktörü güvenlikteki en zayıf halkadır. Saldırı vektörlerinin hepsi insan hatasını kullanır. Sosyal mühendislik, intikam duygusu, espiyonaj, yanlış yazılan bir kod parçacığı… Hepsi insan ve zaaflarını hedef alır.Biz ürünü geliştirirken “ben kötü niyetli olsaydım…” cümlesiyle hareket ettik. “Bu sistemden nasıl bilgi çalarım? “, “Bu sisteme nasıl zarar verebilirim? “, “Sistem yöneticisinin önlem almadığı alanlar hangileri?” sorularını sorduk. Ülkemizde ve müşterilerimizde yaşanan olaylardan ders alarak ürünümüzü şekillendirdik.
Güvenlik Farkındalıkla Başlar™
Güvende olabilmek için önce tehlikenin ne olduğunu bilmeniz gerekir. Bilmediğiniz bir tehdit karşısında önlem alamazsınız. Infraskope bu prensiple geliştirilen bir üründür. Infraskope Agent’ı tek bir cümle ile özetlersek; “Karanlıkta yolunuzu bulmaya çalışırken birinin ışığı açması gibidir.” Internet bir silah olarak kullanılabiliyorsa bir şekilde denetlenmesi gerekir. Infraskope kuruluşunuzda çalışan tüm sistemleri izleyen bir güvenlik kamerası gibi çalışır. Olaylara müdahale etmez sadece merkezi olarak kayıt altına alınmasını sağlar. Önemli olaylar sunucu tarafında işlenir ve gerçek zamanlı olarak ilgili kişilere uyarı mesajı gönderilir.Infraskope Neleri Kayıt Altına Alır?
Şirket bilgilerinizin bulunduğu sunucular, ağ cihazları, kullanıcı bilgisayaları ve bu sistemlerde çalışan uygulamalar tarafından bildirilen tüm olaylar kayıt altına alınabilir. Örneğin lisanssız bir uygulamanın kurum bilgisayarlarından birine yüklenmesi, kullanıcının oturum açması… Ama bu yeterli olsaydı NSA, Sony, WikiLeaks gibi olaylar yaşanmazdı. Bir an düşünün; NSA gibi bir kurumdan 1.8 Milyon gizli doküman sızdırılıyor ve kimsenin haberi olmuyor! Sizce de yanlış yapılan birşey yok mu?“Biz Kullanıcıları Kayıt Altına Almak İstemiyoruz”
İşte yanlış yapılan şey bu! Sistem odasındaki sunucuları, klimaları, network cihazlarını izlemek operasyonel problemlere karşı önlem almanızı sağlar. Bilgi sistem odasını terkettiğinde – yani kullanıcı bilgisayarına alındığında – yapabileceğiniz birşey kalmaz. Bu hatayı yapan kuruluşlar önünde sonunda NSA ve benzeri kurumlarla aynı kaderi paylaşacaktır.
Kullanıcıların Kayıt Altına Alınması
Sistem odasını, içindeki sunucu ve cihazları izlemek tek başına yeterli değildir. Kullanıcıların da izlenmesi gerekir. Infraskope mikro ajan mimarisi ile kullanıcı bilgisayarları da kayıt altına alır. Infraskope sadece işletim sistemi tarafından bildirilen olayları kayıt altına almaz, çok daha önemli bilgi çıkış noktalarını da izleyerek olası bilgi sızdırma girişimlerini tespit eder. Örneğin:
- Kullanıcılarınızın USB sürücüsüne kopyaladığı dosyalar,
- Ekranda bulunan önemli bir görüntünün kopyalanması,
- Bir sistem yöneticisinin veritabanında izinsiz olarak gerçekleştirdiği aktiviteler,
- Cep telefonunu bilgisayarına bağlayıp kurumsal güvenlik politikalarını aşmaya çalışan kullanıcılar,
- Sistem yöneticisinin erişmemesi gereken bir bilgisayarlara (örn. İK, ARGE, Yöneticler) erişmesi,
- Bulut tabanlı sistemlere kaydedilen dosyalar,
- KonBoot, ERDCommander veya diğer şifre kırıcılarla bilgisayarınızın ele geçirilmesi
KAYNAK : KARMASİS
