Log, bilişim sistemlerinde gerçekleşen her bir olayın kaydı anlamına gelir. Sistemlerinizde bilgi ve isteğiniz dışında çalışan bir program veya daha da kötüsü davetsiz bir misafir olabileceğinden, logların kayıt altında tutuluyor olması sitemleriniz açısından kritik önem arz etmektedir. Eğer log kaydı tutulmazsa sistemlerinize zarar verebilecek bu tür durumlardan yalnızca zarar gördükten sonra haberiniz olur. Bu da kurumunuza maddi ve manevi zararlar verebilir.

Örnek vermek gerekirse; bir internet sayfasına giriş yapan kullanıcının internet sayfasının sunucusunda; kullanıcının IP adresi, konum bilgisi ve yaptığı işlemler gibi bilgilerin logları tutulmalıdır. Çünkü bu kullanıcı sayfa üzerinde normal bir kullanıcının yaptıkları dışında sisteme zarar verecek işlemler yapabilir. Örneğin bir form doldurma yerinde istenilen dışında meta-karakterler girerek sistemi manipüle etmeye çalışabilir ve eğer başarırsa kritik verileri ele geçirebilir. Bu gibi durumlarda internet sayfanızda gerçekleşecek olayların loglarını kayıt altında tutmanız, saldırgan form ekranına istenilen dışında bir giriş yaptığında, veya kötü niyetli başka bir eylem gerçekleştirdiğin bunun farkına önceden vararak saldırganın erişimini kısıtlayabilmenizi sağlayacaktır.

Sunucu Loglarının Kayıt Altına Alınması Tam Anlamıyla Güvenliği Sağlar Mı?

Logların kayıt altına alınıyor olması etkili bir çözüm olabilir fakat tek başına yeterli değildir. Çünkü kayıt altına alınan binlerce log arasından tehdit içeren logları tespit etmek için neredeyse hiçbir şekilde ara vermeden tüm logların incelenmesi gerekir ki, bu mümkün değildir. Bu problemden hareketle konumuz Log Yönetimi’ne geliyor. Log yönetimi tam olarak bu yüzden büyük önem arz etmektedir.

Log yönetimi kısmını daha iyi anlamak için vermiş olduğumuz örnek üzerinden devam edelim. Bir internet sitesine saldırı yapmak isteyen kötü niyetli bir kullanıcı örneğinde, bu kullanıcının site üzerinde gerçekleştirdiği eylemlerin loglarını diğer tüm loglar arasında tespit etmek neredeyse mümkün değildir. Bu sebeple binlerce log arasından istenilenleri görebilmek adına belirli filtrelemeler yapılmalıdır. Örneğin site üzerinde bulunan form alanına istenilenin veya normalin dışında veri girişleri yapan kullanıcıların listesi ya da belirli bir konum veya IP adresinin yapmış olduğu işlemlerin listesi gibi kriterlerle filtrelemeler yapılabilir. Genel mantığı açıklamak adına örneklerimizi basit tuttuk fakat tahmin edebileceğiniz üzere gerçek hayat senaryolarında çok daha ciddi ve detaylı filtreleme metodları kullanılmaktadır ki bu da bir sonraki başlığımız olan Korelasyon Yazımı alanına giriyor.

Korelasyon Yazımları Kullanarak Logları Filtrelemek Tam Anlamıyla Güvenliği Sağlar Mı?

Maalesef güvenliği sağlamak teknoloji ilerledikçe daha da içinden çıkılamaz bir hal alıyor. Sistem logları üzerinde korelasyon yazımları kullanılarak gerekli filtrelemeler yapılması durumunda tehdit içerikli logların tespiti sağlansa bile, sürekli olarak filtrelemelerle logların kontrolünü sağlamak yine mümkün olmayacaktır. Bu problemin asıl çözümü için sistematik bir yapıya ihtiyaç duyulur. SIEM (Security Event Management) yani Güvenlik Olayları Yönetimi sistemi, herhangi bir saldırı durumunda önceden belirlenmiş kişilerin telefonlarına ve mail adreslerine bildirim gönderilmesini sağlar. 7/24 çalışmakta olan bir sistem, önceden yapılandırılmış tüm korelasyon yazımlarını göz önünde bulundurarak logları sürekli kontrol eder. Böylelikle bir taraftan kurum içi işler devam ederken, bir taraftan sürekli olarak log kontrolü yapılmasına gerek kalmaz, olası bir tehdit anında ilgili kişilerin tehditten anında haberdar olması sağlanır ve böylelikle hem verimlilik hem de güvenlik sağlanmış olur.

Güvenli günler dileriz!