Başarısız SIEM Proje Sebepleri ve SIEM Nasıl Seçilir?

Türkiye’de yapılan SIEM projelerinin son kullanıcıyı kabul edilebilir seviyede mutlu edemediğini yıllardır hem gözlemliyorum hem de bunu defalarca yazdım [1,2,3,4].

SIEM projeleri neden başarısız oluyor?

1. Ürünü denetimlerden kurtulmak adına SIEM ürünümüz var demek için alıyor,
2. Herkes SIEM projelerinin anca bu kadar olacağını varsayıyor,
3. SIEM projeleri ile ilgili etrafından da duyduğu memnuniyetsizlik oranı çok yüksek olduğu için kabulleniliyor,
4. İsmi duyulan bir marka alıp, SIEM’i kendi halinde çalıştığını sanmak,
5. Son kullanıcının (müşterinin) ne istediğini bilmediği veya daha kötüsü bildiğini sandığı durum proje başarısını olumsuz yönde çok ciddi etkiliyor,
6. Teknik değerlendirmelerin yapmamak. Benim yazdığım yüzlerce makale var :)
7. Tavsiyeler üzerine ürünü satın almak.
8. Belirli bir olgunluk seviyesine geçmeden son kullanıcının SIEM‘den ne istemesi gerektiği hakkında fikir, daha önemlisi bilgi ve tecrübe sahibi olmaması,’
9. Yüksek bütçe ile yapılan bir proje ise yanılmışım demek herkesin harcı değil, yani harcanan para ile başarısızlığın ifşasını yaşamamak için başarısızlık ve başarısız yöntemler saklanıyor,
10. Düşük bütçe ile yapılan bir projede ikinci bir proje için bütçe şansı olmuyor ve eldeki ile yetiniliyor,
11. Başarısız proje algısının kurumsal kimliğe zarar vermesi korkusu,
12. KVKK dan ceza alana kadar SIEM projesinin etkilerini görememe ya da sahaya yansımaması (Maalesef gerçekten güvenliği düşünmüyoruz, bizi ceza korkutuyor),
13. Başarısız olan SIEM projesinin etkileri görülmüyor ya da sahaya yansımıyor. Dolayısı ile başarısız proje ve ürünleri kimse duymadığı için ve bu ürünler ve proje ekibi yapılageldiği gibi proje yapmaya devam ediyorlar. A. Einstein in dediği gibi “Aynı şeyleri yaparak farklı sonuç beklemek aptallık”,
14. Değişik listelerden veya çokça pazarlanan, reklamı yapılan ürünleri seçmenin yeteri olacağını varsaymak,
15. Ürün yetersizliği,
16. Proje ekibinden (Entegratör, satışçı, uygulayıcı, son kullanıcı) bir kişinin bile aşağıdaki doğru SIEM seçme kriterlerine dikkat etmemesi.

Doğru SIEM i nasıl seçebiliriz? Aşağıdaki testleri yapıp, sonuçlar puanlanmalı ve toplam puana göre ürüne karar verilmeli.

1-Sistem log kaçırıyor mu?
2-Sistem kararlı çalışabiliyor mu?
3-Logları canlıda ne kadar disk ile ne kadar süre tutabiliyor?
4-Canlı logları ve indexleri sıkıştırabiliyor mu?
5-Gerçek zamanlı korelasyon yapabiliyor mu?
6-Korelsyon kuralı geliştirmek kolay mı?
7-Korelasyon tarafında hazır kural kütüphane desteği bilindik kurallardan mı oluşuyor yoksa yeni tip, farklı ve özgün kurallar var mı?
8-Korelasyon motoru yetenekli mi? Standart, her üründe olan bilindik kurallar haricinde tespit yeteneği var mı?
9- Arama ve raporlamalar kolay mı? Ayrı bir dil, yazım formatı, ürüne has kelime ve cümlecikler öğrenmek zorunda kalıyor muyum?
10-Mesela 10 000 EPS ve 200 gerçek zamanlı çalışan ileri seviye tespit senaryoları için sistem kaynağı olarak ne gerekir?
11-Korelasyonu anlamsız hale getirecek kabulleri veya parametreleri var mı? Örnek:
a-Korelasyon kuralı yazarken maksimum log kayıt miktarını sisteme girmek zorunda mıyım?
b-Korelasyon kuralı yazarken maksimum log kayıt miktarını sisteme girmezsem sistem default bir değerle çalışırsa bu değerin bütün olasılıkları kapsadığını garanti edebiliyor mu?

Referanslar

1. https://www2.slideshare.net/anetertugrul/trkyede-yapilan-siem-projelernde-memnuyet-ve-fayda-elks
2. https://www.linkedin.com/pulse/t%C3%BCrkiye-bir-siem-%C3%A7%C3%B6pl%C3%BC%C4%9F%C3%BC-ertugrul-akbas/
3. https://www.linkedin.com/pulse/t%C3%BCrkiyede-yapilan-siem-projelerinde-memnuniyet-ve-fayda-akbas/
4. https://www.bgasecurity.com/2017/02/siem-urunleri-arastirma-anketi-sonuclari/