Canlı Logların Siber Tehditlerle Mücadelede Önemini Dünyada İlk Duyurmanın Mutluluğu: SureLog SIEM Kurucusu Olarak Paylaştığım Kavramların White House, NSA, MITRE, Gartner, Google ve Kanada Hükümeti Tarafından Benimsenmesi Beni Daha Çok Çalışmaya Teşvik Ediyor
Dünya genelinde siber tehditler giderek daha karmaşık hale geliyor ve her geçen gün yeni saldırı teknikleri gelişiyor. Bu bağlamda, logların sadece depolanması değil, canlı ve anında erişilebilir olması, saldırıları tespit etmek ve hızlı müdahale etmek açısından kritik bir rol oynuyor. Siber güvenlik dünyasında 2012 yılında [1] canlı logların önemini ilk kez duyurduğumda, bu kavram birçok uzman tarafından göz ardı ediliyordu. Ancak yıllar içinde, canlı logların siber tehditlere karşı en güçlü savunma mekanizmalarından biri olduğu anlaşıldı. Bugün ise bu kavram, White House, NSA, MITRE, Gartner, Google ve Kanada Hükümeti gibi dünya devleri tarafından benimsenmiş durumda.
Siber güvenlik dünyasında pek çok uzmanın göz ardı ettiği canlı loglar, günümüzde en önemli savunma mekanizmalarından biri haline geldi. Bu dönüşüme katkı sağlamış olmaktan gurur duyuyorum
Canlı Logların Tarihçesi: İlk Adımlar
Siber güvenlik dünyasında, log saklama süreleri çeşitli regülasyonlar ve standartlar (HIPAA, PCI DSS, SOX, ISO 27001 gibi) tarafından belirlenmiştir. Ancak bu logların canlı mı yoksa arşivde mi tutulacağı genellikle net bir şekilde ifade edilmez. Sadece PCI DSS, 90 gün boyunca canlı log saklama gerekliliğini açıkça belirtir. 2012 yılından itibaren, SureLog SIEM kurucusu olarak bu boşluğu fark ettim ve canlı logların siber tehditlerle mücadeledeki önemini vurgulamaya başladım.
İlk makalelerimde, kritik sistemlerde logların en az bir yıl canlı tutulması gerektiğini belirtmiştim [1]. Bu yazılar, özellikle LinkedIn ve Medium gibi platformlarda geniş kitlelere ulaştı. O dönemde, logların sadece raporlama değil, aynı zamanda tehdit tespiti için anında erişilebilir olması gerektiğini defalarca kez dile getirdim. Bu konuyu işlediğim bazı önemli makaleler:
- SureLog Disk Kullanım Avantajları (2019) [2]
- SIEM İçin Canlıda Log Tutma ve Gerçek Zamanlı Aramanın Önemi (2020) [3]
- SIEM Ürünlerinde Arşiv Log Kapasitesini Canlı Log Olarak Algılamak (2020) [4]
Bu makalelerde canlı log kavramını detaylıca işleyerek, SIEM teknolojilerinde log saklama anlayışına yeni bir perspektif kazandırdım.
SureLog SIEM: Disk Kullanımı ve İnovasyonlar
SureLog SIEM olarak, canlı logları uzun süre tutabilen ve bu süreçte disk kullanımını optimize eden yenilikçi bir altyapı geliştirdik. Diğer birçok üretici, yaygın kullanılan Elasticsearch gibi çözümler üzerine yoğunlaşırken, biz disk kullanımını minimize eden bir yapı inşa ettik. Bu yapı, logları sadece depolamakla kalmıyor, aynı zamanda gerçek zamanlı analiz ve tehdit tespiti için canlıda tutuyor. Bu teknoloji sayesinde, RAM ve disk kullanımı ciddi anlamda optimize edilerek büyük veri merkezlerine ve kurumsal yapılara önemli avantajlar sağlandı.
Özellikle Soalrwinds olayından sonra [5], 2021 yılında Beyaz Saray tarafından yayınlanan bir emir ile tüm devlet kurumlarına logları en az bir yıl canlı tutma zorunluluğu getirildi [6]. Bu gelişme, canlı logların ne kadar kritik olduğunun en somut göstergelerinden biri oldu ve benim ne kadar yaklaşık 9 yıl önce ne kadar kritik bir noktya parmak bastığımı kanıtladı. Bir yıl sonra, MITRE tarafından yayınlanan “11 Strategies of a World-Class Cybersecurity Operations Center” [7] adlı kitapta SureLog SIEM’in benimsenen canlı log stratejisi ile uyumlu olarak, 2 yıl boyunca canlı log tutmanın önemi vurgulanmıştır.
Dünyada Tanınma: White House, NSA ve Diğer Kurumların Benimsemesi
Canlı logların önemini dünyada ilk kez dile getiren kişi olmaktan duyduğum gurur, bu kavramın White House, NSA, MITRE, Gartner ve Google gibi kurumlarca benimsenmesiyle daha da perçinlendi. Özellikle NSA’nın 2024 yılında yayınladığı iyi uygulama kılavuzu, siber tehditlerin (APT) tespiti için varsayılan log saklama sürelerinin yetersiz olduğunu vurguladı. Bu kılavuzda, logların daha uzun süre canlı tutulmasının, siber saldırılara karşı daha güçlü bir savunma sağladığı ifade ediliyordu [8]. Bu gelişmeler, SureLog SIEM olarak doğru yolda olduğumuzu bir kez daha kanıtladı.
Gelecek Vizyonu: Daha Fazlası İçin Motive Olmak
Bu alanda başlarken birçok zorlukla karşılaştım. Canlı logların önemi özellikle ülkemizde ben hariç hiç kimse tarafında ya bilinmiyor veya bilinse bile gündeme getirmiyordu. Bütün sektöre karşı tek başıma bie savaş verdim. Ancak ısrarla savunduğum bu kavramın, bugün White House ve NSA gibi büyük kurumlar tarafından benimsenmiş olması, yıllar süren çalışmamın ne kadar doğru olduğunu kanıtlıyor.
Bu kabul ve başarılar, yalnızca bir başlangıç. Canlı loglar, sadece geçmiş olayları incelemek için değil, aynı zamanda gelecekteki siber tehditleri önceden tespit etmek için de hayati bir öneme sahip. SureLog SIEM olarak, bu alanda yenilikçi çözümler sunmaya devam edeceğiz.
Canlı logların siber güvenlikteki rolü daha da önem kazanacak. SureLog SIEM olarak bu alanda daha fazla yenilik sunmak için çalışmalarımızı sürdürüyoruz ve gelecekte daha büyük başarılar hedefliyoruz.
Bütün bu gelişmeler, beni ve SureLog ekibini daha fazla çalışmaya teşvik ediyor. İlk günden itibaren canlı logların önemini dile getirdik ve bu konuda dünya genelinde farkındalık yarattık. White House, NSA, MITRE gibi otoritelerin bu vizyonu benimsemiş olması, SureLog SIEM’in teknolojik lider konumunu pekiştiriyor ve gelecekteki projelerimiz için bize büyük bir motivasyon sağlıyor.
Tek başımıza ve yalnız olarak herkesten önce önemine parmak bastığımı ve özüm geliştirdiğimiz bu konu bizim öngörü, uzmanlık ve tecrübemizi kanıtlayıp bize daha da cesaret vermekte.
Bu başarıların özellikle siber güvenliğe yeni başlayanlar için bir motivasyon ve yol gösterici olmasını umuyorum. Motivasyon ve şevklerini kırıcı her neyle karşılaşırlarsa karşılaşsınlar vaz geçmesinler. Unutmasınlar
“Aptalca bir şeyi 50 milyon kişi de söylese, o hala aptalca bir şeydir.”
Anatole Franc
Referanslar:
1. https://www.slideshare.net/slideshow/log-ynetimi-ve-siem/11449561
2. SureLog Disk Kullanım Avantajları
3. SIEM İçin Canlıda Log Tutma ve Gerçek Zamanlı Aramanın Önemi
4. SIEM Ürünlerinde Arşiv Log Kapasitesini Canlı Log Olarak Algılamak
5. https://www.wired.com/story/the-untold-story-of-solarwinds-the-boldest-supply-chain-hack-ever/
6. Beyaz Saray Emri: Logların Canlı Tutulması
7. MITRE — 11 Strategies of a World-Class Cybersecurity Operations Center
