SIEM Log(Günlük) Yönetimi Güvenliği
Son yıllardaki siber güvenlik camiasının parlayan yıldızı olan SIEM ürünlerinin veya SIEM yaklaşımlarının önemi artmaktadır. Dolayısıyla buna paralel olarak SIEM log yönetimi de her geçen gün önem kazanmaktadır.
Açık kaynak veya özgür yazılımlarının artması, enterprise(kurumsal) SIEM yazılımlarının da devamlı gelişmesiyle SIEM’i anlamak kurumlar için artık kritik önem taşımaktadır. Öncelikle SIEM’in en temelinde ürün, yazılım ya da cihazdan daha farklı olarak, kurumların güvenlik stratejileri doğrultusunda bir güvenlik yaklaşımı olduğunu belirtmekte fayda vardır. SIEM, elde edilen logların yorumlanıp aksiyon alınmasına dayalıdır. Bilinenin aksine asıl amacı sürekli log toplanması kesinlikle değildir.
Tanımlandığı üzere kurumların güvenlik yaklaşımları doğrultusunda elde edilen logların(günlükler) sağlıklı yorumlanmasına ek olarak elzem durumlar içinde doğru kullanılmalıdır. Elzem durumlar(KVKK) ve güvenlik durumları şeklinde Log Yönetiminin nasıl olması gerektiğini 2 başlık altında incelenebilir.
KVKK, ISO 27001, 5651 Sayılı Kanun Gereği Log Tutulması
Hukuki zorunluluklara karşı SIEM log yönetimi ve yapılandırması mümkündür. SIEM’de bu tarz esneklikler mevcuttur. Bu işlemlerin doğru bir şekilde nasıl olması gerektiğine dair bazı önemli detaylar aşağıda belirtilmiştir.
- 5651 sayılı kanun gereği SIEM ürünlerindeki loglar iki yıl süreyle saklanmalıdır. Bankalar gibi finansal faaliyet yürüten ve elektronik ödeme sistemlerine sahip kuruluşlar ise üç yıl süreyle logları saklamalıdırlar.
- Elde edilen log türleri ISO 270001 güvenlik standartlarına uyumlu olmalıdır.
- Gizlilik ilkesine göre loglar şifreli olarak tutulmalıdır.
- Bütünlük ilkesine göre log kayıtları zaman damgası kullanılarak tutulmalıdır.
- Kurumlar SOX, HIPAA, PCI DSS gibi tabi oldukları uluslararası standartlar kapsamına göre loglama işlemini yapılarak takip edilmelidir.
Güvenlik Yönetimine Göre Log Tutulması
SIEM’in sadece bir güvenlik ürünü olmadığı, maksimum fayda sağlamak adına log yönetiminde düzenli olarak iyileştirmeler yapılması son derece kritiktir. Bu başlık altında SIEM’i daha efektif kullanmak adına log yönetimlerinin nasıl şekillendirilebileceğinden bahsedilecektir. Buradaki iyileştirmeler sürekli olarak, oluşabilecek saldırılara göre logların yönetimine dayanır.
- Açığa çıkan Zero-Day zafiyetlerinden etkilenmemek için anlık olarak loglar SIEM’e korelasyon olarak tanımlanmalıdır.
- Düzenli aralıklarla SIEM Hardening(sıkılaştırma) işlemi yapılmalıdır. Bu sayede saldırgan bakış açısı kazanılarak loglar daha efektif rol oynayacaktır.
- Eğer bir siber istihbarat ürün yazılımı mevcut ise elde edilen istihbarat bilgileri (IOC), SIEM logları tarafından yorumlanmalı ve buna göre kurallar oluşturulmalıdır.
- Saldırganlar sızdıkları sistemdeki logları silerek veya değiştirerek kendini gizleyebilirler. Bu tarz durumların yaşanmaması için log’un kendi güvenliği de temin edilmelidir.
- Saldırıya maruz kalan kurumlar log analizi incelemesi yaptıktan sonra saldırgan(lar) hakkında tespitler yaparak, gerçekleştirebileceği bir sonraki saldırı senaryosuna göre log düzenlemesi yapmalıdırlar. Sadece bu durum için değil bütün yapılacak iyileştirmeler için de MITRE ATT&CK framework’üne sadık kalınmalıdır.
- SIEM’de taksonomi yapıları oluşturulmalıdır. Yani saldırı belirtisi oluşturabilecek loglar bir arada yorumlanıp, saldırılar tanımlandırılarak alarm oluşturulmalıdır.
- Kimlik doğrulaması için parola ve 2FA(ikili kimlik doğrulama) tarafından oluşan loglar yorumlanabilecek şekilde eksiksiz toplanmalıdır.
Kısaca; SIEM log yönetimi firmaların üzerinde durmaya başladığı bir konu olarak hayatımızdaki önemini artırmaktadır.