Siber güvenlikte en önemli çözümlerden biri SIEM ve Log Yönetimi

Dijital dönüşümün hızlandığı günümüzde kurum, kuruluş, KOBİ’ler, büyük, orta ve küçük olmak üzere her ölçekteki işletme için siber güvenlik teknolojileri hayati önemde. İnternet kurum, kuruluş ve işletmelerin ciddi anlamda iş süreçlerini kolaylaştırdığı gibi internette iş yürütmenin dezavantajları da sözkonusu. Bunların en önemlisi ise güvenlik problemi. Bir sosyal medya hesabının hacklenmesinden, büyük bir işletmenin veri kaybına uğramasına kadar birçok alanda veri ve dokümanların bir başkasının eline geçmesi, işletmenin itibar, kar, verimlilik, para kaybı gibi ciddi riskler oluşturuyor. Bu riskler, günün sonunda işletmenin sürdürülebilirliğini ve geleceğini tehdit eder hale geliyor.
Güvenlik kaynaklı tehlikelerin önüne geçmek ve kullanıcılara daha emniyetli bir ortam sunmak için geliştirilen ‘log teknolojisi’ gerçekleştirilen tüm eylemleri kayıt altına alan ve erişimin yalnızca yetkili kişide olduğu bir yazılım. Log kaydı, sanal dünyada tıpkı bir koruyucu gibi yerini almış durumda. Bilgisayarın gerçekleştirdiği her etkinliğin kayıt altına alınması demek olan log, yapılan tüm işlemleri denetlemenizi, kritik durumlar ve tanımlanamayan eylemleri tespit etmeyi sağlıyor. Log kaydı, sürekli olarak tutulur, bu sayede sistem yöneticisi gerçekleşen her harekete erişebildiği gibi olası bir siber saldırı hissettiğinde gerekli önlemleri alabilir.
Devletler sanal mecralardan yürütülen işlerin ve anlaşmaların güvenliği için log kaydı tutmayı zorunlu kılmışlardır. Türkiye’de de her kurum ve kuruluş, Dünya’daki diğer ülkelerde olduğu gibi log kaydı tutmak zorundadır. İşletmeler de mevcut olan en az iki yıllık log kayıtlarını arşivlemekle yükümlüdür.
Log aynı zamanda internet hizmeti sağladığınız ağın ve modemin güvenliği için de kullanılır. İnternet hizmeti aldığınız modemin güvenliği bu mecrada iş yapan herkes için çok önemlidir. Tanımlanamayan bir ağ ve IP adresiniz üzerinden gerçekleştirilen bir işlem uzun vadede başınıza işler açabilir. Sahip olduğunuz IP adresi üzerinden gerçekleştirilen eylemlerin kontrolünü de log sayesinde sağlayabilirsiniz. Bu sizi tüm olumsuzluklardan ve olası siber suç tehditlerinden korur. Özetle log hizmeti firmanızın kişisel veya kurumsal internet sitenizin tüm işlemlerini kontrol altına almasını ve güvenliğiniz sağlayan bir yazılım hizmetidir. İşletmenizin başarısı için bu hizmetten en aktif şekilde yararlanmak lehinize sonuç doğuracak, internetin karanlık yüzü ve sorunlarıyla karşılaşmadan işlerinizi kolayca yürütebileceksiniz.
Log Yönetimi; Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) önemli bir parçası. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, COBIT (Control Objectives for Information and Related Technology-Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri), FISMA (Federal Information Security Management Act-Federal Bilgi Güvenliği Yönetim Yasası-ABD Bilgi Güvenliği Federal Yasası), SOX (Sarbanes Oxley Yasası) gibi uluslararası standartlar log yönetimini zorunlu hale getiriyor. Log yönetim sistemleriyle bu loglar toplanabiliyor fakat kurum, kuruluş ve şirketler için bu yeterli olmuyor. Toplanan bu logların birbirleriyle ilişkilendirilmesi ve otomatik olarak analizlerinin yapılması gerekiyor ki tehdit ve zafiyetler tespit edilebilsin bu noktada karşımıza büyük önem taşıyan SIEM çözümleri çıkıyor.
SIEM projeleri ile sistemin ürettiği logların kapsamlı bir şekilde toplanması, birleştirilmesi, saklanması ve doğru analizler gerçekleştirilmesi gibi adımlardan oluşan log yönetimi ise saldırının göstergelerini ve delillerini elde etmeyi ortaya çıkartabilir. Bu projelerin bir diğer adı ise log yönetimidir. Günümüzde ise en dikkat çeken teknolojilerden biri; Bulut Tabanlı SIEM çözümleri. Gelişmiş bulut SIEM Çözümleri, Yapay Zeka (Al) algoritmalarına dayalı güvenlik olaylarının otomatik analizi, otomatik olay yanıtı ve güvenlik düzenlemesi dahil olmak üzere otomasyon yetenekleri sunuyor.

Kişisel verilerin korunması, KVKK, SIEM ve Log Yönetimi
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) işletmelerin güvenlik altyapılarında bir takım teknik tedbirleri alması zorunluluk haline geldi. 5651 İnternet Yasası ile loglamanın zorunlu olduğu işletmelerde KVKK ile loglama artık kaçınılmaz bir hal aldı. Bir loglamadan çok daha fazlası olan ve SIEM (Security Information and Event Management-Bilgi Güvenliği Tehdit ve Olay Yönetimi) ile daha güçlü bir önleyici mekanizmanın işletmede kurulması mümkün olabiliyor.
KVKK çerçevesinde kişisel verilerin envanterinin çıkarılması ve erişimlerin yetki matrisiyle kontrol altına alınması bekleniyor. Bu nedenle kişisel veriler üzerinde erişim loglamasının yapılması ve özetle; ‘SIEM ve Log Yönetimi’ önemli hale geliyor. Bu logların önleyici olarak değerlendirilmesi ve gerekli aksiyonları alınması içinse yöneticileri uyaran sistemlerin kurulması da gerekiyor. SIEM tarzı ürünler güçlü korelasyon özelliğiyle loglardan anlamlar üreten ürünler.
KVKK kapsamında kanun, yönetmelikler, kurul kararları hatta yayınlanmış teknik rehberler göz önüne alınması gereken kaynaklar. İlgili teknik rehberlerde log yönetiminin yapılması teknik tedbirlerin başında gelen başlıklardan biri. SIEM, sistem odasındaki bütün cihazlardan (Firewall, IDS, IPS, aktif cihaz logları, Sistem logları, uygulama logları vb) toplanmış loglar üzerinden tanımlanmış kurallara göre loglar arasında anlamlı ilişkiler kurarak bilgi sistem yöneticilerini uyaran, yönlendiren pasif önleyici sistemlerdir.
Saldırı Tespit Sistemleri (Intrusion Detection System-IDS) yalnızca Paketleri, Protokolleri ve IP Adreslerini anlar. Son kullanıcı güvenlik sistemleri (Endpoint Security) dosyaları, kullanıcı adlarını ve ana bilgisayarları görür. Servis logları, kullanıcı girişlerini, servis aktivitesini ve yapılandırma değişikliklerini gösterir. Varlık Yönetim sistemleri uygulamaları, iş süreçlerini ve sahiplerini görür. Ancak bu sistemlerin hiçbiri kendi başınıza iş süreçlerinizin sürekliliğini sağlamak açısından işinizde neler olduğunu anlatamaz. Ama bu toplanan loglar birlikte SIEM ile anlamlandırılır.
Bir log kaydı ile SIEM ilişki analizi farkı çok belirgindir. Örneğin; şöyle bir log kaydı: “16:19 8/7/2018 User JaneDoe Successful Auth to 10.10.20.109 from 10.10.8.212” ancak SIEM ile şu şekilde anlamlandırılabilir: “Ofiste kimsenin bulunmaması gereken bir günde bir Ofis Sistemine Pazarlama Departmanına ait bir Hesap bağlantı kurdu.”

Log nedir?
Kelime olarak kütük ve kayıt defleri anlamlarını taşıyan ‘Log’, şöyle tanımlanıyor: “Bilişim dünyası için log, bilgisayarın gerçekleştirdiği her etkinliğin kayıt altına alınması demek. Gerçekleştirilen tüm işlemleri denetlemeyi, kritik durumlar ve tanımlanamayan eylemleri tespit etmeyi sağlıyor.”

SIEM nedir?
SIEM (Security Information and Event Management-Bilgi Güvenliği Tehdit ve Olay Yönetimi); “Log izleme. Sistemde bulunan tüm kritik ağlar ve cihazları kapsayan log yönetimi ve analizine SIEM projesi deniliyor. Sistemin ürettiği olay kayıtlarının belirlenen kurallara göre analiz edilmesi.” olarak tanımlanıyor. Bir başka tanıma göre; “SIEM, SIM ve SEM’in tüm yapabildiklerini tek bir yerde toplamaktadır. Örneğin; evinizde bilgisiyar başında oturuyorsunuz, ağınızda olası bir güvenlik tehdidi oluştu, SIEM sistemiyle ağ cihazlarından toplanan loglar bu tehditi tespit eder ve engeller. Böylelikle sisteminize herhangi bir zarar verilmesi önlenmiş olur.”

SIEM ve Log Yönetimi’nde öne çıkan teknolojiler
Yapay Zeka (Al), Büyük Veri (Big Data), Bulut Bilişim (Cloud) Teknolojileri, Siber Güvenlik ve Siber Güvenlik Teknolojileri, Log Teknolojisi, Log Kaydı, Aktif Cihaz Logları, Sistem Logları, Uygulama Loglar, Servis Logları, Log Yönetimi, Ağ Güvenliği, Firewall, IDS (Intrusion Detection System- Saldırı Tespit Sistemleri), IPS (Intrusion Prevention System-Saldırı Önleme Sistemi), Mail ve Web Güvenliği, DNS Güvenliği, Paketler, Protokoller ve IP Adresleri, Endpoint Security (Son Kullanıcı Güvenlik Sistemleri), Varlık Yönetim Sistemleri Uygulaması, Bilgi Güvenliği İhlal Olaylarının İyileştirilmelerinin Yönetimi-İhlal Bildirimi, Tedarikçi İlişkilerinde Bilgi Güvenliği, KVKK, KVKK’ya Uyumluluk, Veri Koruma, Risk Değerlendirme, Veri Güvenliği, DLP, Veri Sınıflandırma Hassas Veri Keşfi, Kimlik ve Erişim Yönetimi, Kimlik Doğrulama 2FA (İkili Kimlik Doğrulama-İki Faktörlü Kimlik Doğrulama), Çok Faktörlü Kimlik Doğrulama, Kimlik ve Erişim Yönetimi, Parola ve Oturum Yönetimi, KVKK GAP Analizi, Penetrasyon (Sızma) Testi, OSSTMM (The Open Source Security Testing Methodology Manual-Açık Kaynak Güvenlik Testi Metodolojisi), BlackBox Pentest (Siyah Kutu Penetrasyon Testi), WhiteBox Pentest (Beyaz Kutu Penetrasyon Testi), GreyBox Pentest (Gri Kutu Penetrasyon Testi), İç Sızma Testi, Ağ Sızma Testi, Fiziksel Sızma Testi, Web Uygulama Sızma Testi, KVKK Sızma Testi, Dış Ağ Güvenlik Testleri, İç Ağ Güvenlik Testleri, Web Uygulama Güvenlik Testleri, Kullanıcı ve Varlık Davranış Analizi, Atak Simülasyon, SOAR (Security Orchestration Automation and Responce-Güvenlik Orkestrasyon, Otomasyon ve Olaylara Müdahale) Çözümleri, SIEM ve Log Yönetimi, SIEM (Security Information and Event Management-Bilgi Güvenliği Tehdit ve Olay Yönetimi), Bulut SIEM (Cloud SIEM) / Hizmet Olarak SIEM (SIEM as a Service) / Bulut Tabanlı SIEM, Bulut SIEM Platformları, Alerting, Güvenlik Bilgileri Yönetimi (SIM), Güvenlik Olayı Yönetimi (SEM)