Crypttech - CryptoSIM

Güvenlik Olay ve Kayıt Yönetimi (SIEM)

Günümüzde firmalara, kamu kurumlarına özel Truva Atları, Solucanlar, Virüsler geliştirilmektedir. Başka bir yerde örneği olmayan bu zararlı kodlar, imza tabanlı çalışan tehdit önleme ve anti virüs sistemleri tarafından algılanamamaktadır. Tehditler her geçen gün daha karmaşık yapılara dönüşmekte, mevcut güvenlik sistemleri bu tehditleri fark etmek ve önlemekte yetersiz kalmaktadır.
Tehditlerin bu kadar karmaşık olduğu, akıllı cihazların da günlük hayatımıza girmesi ile beraber daha kaotik bir yapıya dönüşen bilgi ağında SIEM ürünleri hayati önem kazanmıştır. Tüm sunucular, uygulamalar, mobil cihazlar, network cihazları vs loglarının toplanarak ilişkilendirilmesi, analiz edilmesi, davranış farkları ve anormalliklerin incelenmesi gerekmektedir.

CRYPTOSIM

CRYPTOSIM, tüm logları toplayarak otomatik olarak ilişkilendirir, davranış farklarını ve anormallikleri algılar. APT adı verilen gelişmiş kalıcı tehditleri algılayabilir. CryptoSIM Kural ve Makine öğrenmesi yöntemleri ile çalışan benzersiz korelasyon özellikleri ile tehditlerin algılanması için en stratejik ürünlerden biri haline gelmiştir.
CryptoSIM yaptığı ilişkilendirmeler sonucunda varlık, öncelik ve güvenilirlik değerlerini hesaplayarak toplam olaylar ve vakalar için toplam risk değeri oluşturmakta buna göre güvenlik birimlerine bildirimler yapmaktadır.
IT ve Bilgi Güvenliği birimleri yasal uyumluluk ve risk analizi süreçlerinde, uyum sürecini kolaylaştırmak için CryptoSIM’i kullanabilmekte ve otomatik uyumluluk raporları ile seviyelerini sınayabilmektedirler.
CryptoSIM audit/izkayıtları üzerinde her türlü analiz ve raporlama imkanı sunduğu için güvenlik birimleri ve denetçiler için ilk elden durum analizi yapmalarını sağlar.

Olay ilişkilendirme (Korelasyon)


Korelasyon farkı kaynaklardan gelen farklı özelliklerde kayıtlar arasındaki ilişkileri ortaya çıkarma yeteneğidir. Korelasyon olaylar arasındaki eğilimleri örüntüleri ortaya çıkarır. Bunun anlamı, sıradan bir güvenlik duvarı logunun, başka uygulamalardan alınan loglar ile değerlendirildiğinde tamamen farklı anlamlar içerebileceğidir.
CRYPTOSIM çok sayıda ileri korelasyon kuralıyla sadece milyonlarca olay dosyası arasında benzer saldırı kalıplarını keşfetmekle kalmayarak politika ihlallerini tespit eder ve IDS ve güvenlik duvarı verimliliğini gösterir.
CRYPTOSIM korelasyonunun desteklediği bazı korelasyon tipleri aşağıdaki şekilde listelenmiştir:

Basit korelasyon
Bir kaynaktan gelen loglar arasındaki ilişkiyi inceler.

Mantıksal korelasyon
Mantıksal koşul düğümleri ağacını kullanan korelasyon direktifleri tarafından uygulanmaktadır. Bir düğüm koşulu örtüştüğünde motor alt düşümlere yönelecektir. VE/VEYA bağlaçları ile düğümler istenilen adet ve derinlikte tasarlanabilir.

Bağlamsal korelasyon
Bu korelasyon varlık değeri ve hedef tipleri ile olay raporları hakkında bilinen bilgilere dayalıdır.Varlık değer düzeyine dayalı olarak, güvenlik olayı ihtimali değerlendirilerek gereken uyarılar oluşturulacaktır.

Çapraz korelasyon
CRYPTOSIM işletmedekiağların çeşitli kısımlarında yer alancihazlar ve uygulamalara ait logları, olaylar ve vakaların önceliğini doğrulamak için eşleştirir.Bir başka deyişle, güvenlik açıklarına ait loglar ile Saldırı Tespit Sistemlerinin logları eşleştirilerek bir olaya dair öncelik değerinin yükseltilmesi veya düşürülmesini sağlar.

Geriye dönük (Tarihsel) korelasyon
CryptoSIM gerçek zamanlı olarak sunucu hafızasında korelasyon yapabildiği gibi, aynı örüntünün/kalıbın geçmiş loglar içerisinde oluşup oluşmadığı ile ilgili kural çalıştırabilir.

Hiyerarşik korelasyon
CryptoSIM ilişkilendirdiği kayıtları bir üst korelasyon motoruna gönderebilir. Dolayısı ile önceki motorda ilişkilendirilen kayıtlar sonraki motorda farklı kurallara göre yeniden ilişkilendirilebilir. Aynı zamanda üretilen alarmlar da aynı motorda yada bir üst motorda tekrar ilişkilendirilebilir.

Normalizasyon
CryptoSIM farklı kaynaklardan gelen logları normalleştirerek var olan veri yapısına uygun şekile çevirebilir.

Kategorizasyon
Logları sınıflandırmak için kullanılan bir yöntemdir. Böylece loglar ortak bir dile (taxonomy) çevrilmiş olur.

Risk Değerlendirme ve Olay Yönetimi
CRYPTOSIM güvenlik olaylarına öncelik vererek iz kayıtlarının korelasyonu için tüm işletmeden imzaya dayalı anomali tespitinden Gelişmiş Kalıcı Tehdit (APT) kalıplarına ve davranış tespitine kadar kendi gelişmiş korelasyon motorlarını kullanmak suretiyle risk yüzdesini tespit eder.Tespitin yanı sıra, yöneticiye tespit edilen olaya uygun yanıt vermek için anında uyarılar ve komut ve betik çalıştırma imkanları sağlar. Aynı zamanda kendi iç olay yönetimi sistemine seviyesine göre bilet oluşturur.