KVKK Projeleri İçin SIEM İpuçları -1
KVKK açısından en kritik maddelerden biri yetki matrisi ve kontrolü. Ayrıca buradan yola çıkarak saldırı tespiti ve veri kaybının önlenmesi bu işin merkezine oturmakta.
KVKK veri ihlali ve saldırı tespitinde sonuca bakar. Size yazacağınız SIEM kurallarını söyleyecek değil. Yetki matrisine göre çalışma yapılmalı. Bu senaryoların ne kadar kritik olduğunun ispatı kurumun veri ihlali bildirimleridir [1].
Bir Kullanıcı 20 dakikada 2 defa yetkisi olmayan ve kişisel veri içeren sunucu veya DB ye oturum açmayı dener ise bu ikinci denemeden önceki 20 dakika içinde de internetten bir şey download etmiş ise uyar.
Yukarıdaki gibi senaryolar için öncelikle seçtiğiniz SIEM de önce operatörü olması lazım. Tabi daha önce sizin “önce” operatörüne ihtiyacınız olabileceğini bilmeniz ve eğer siz bunu bilip de sorabilirseniz size SIEM satan, projelendiren firmanın bu soruya doğru cevabı verebilmesi gerekir.
Siz sormadan size söylemezler ülkesi burası!!!
Bizim güzel bir atasözümüz da var. Kimse ayranım ekşi demez
Ve buna benzer hangi operatör, özellik, yetenek, modül lazım acaba?
İşte bu ve benzeri sebeplerden KVKK için SIEM seçimi basit bir şey değildir. Veya hangisi olursa olsun dememek lazım. Neden böyle olduğunu biraz irdeleyelim. Mesela:
Bazılarını ben yukarıdaki senaryoyu listeler ile çözerim diyebilir. O zaman da 20 dakikada 2 veya daha fazla kişisel veri içeren sunucu/DB ye başarısız login olanları bir listeye atar sonra da bu listedekilerden herhangi biri internetten bir şey download ederse uyar derim derseniz eğer standart Türkiye ‘de yaşanan problemlerden birini takılırsınız. Aslında 2 senaryo birbirinin yanından bile geçmez.
- Öncelikle listeye 2. başarısız denemden sonra atacaksınız ve bundan sonra internet erişimine bakmaya başlayacaksınız ama biz 2.yi yapınca bu hareketten önceki 20 dakikada ne olmuş onu istiyoruz
- Ayrıca kullanıcı 2. denemeyi yaptıktan sonra ortamda bir log toplama/SIEM varsa yaptığı hareketin çok bildik kurallarla tespit edileceğini bildiği için 2. başarısız denemeden sonra uzun bir süre uyumaya gidebilir. O zaman hiçbir şeyden haberiniz olmayacaktır.
Diğer bir yöntem bütün log trafiğini 20 dakika listelerde tutarım olabilir. Bunun için gerekli sistem kaynağı ve bunu destekleyebilecek altyapıya sahip SIEM i bulmak da başka bir soru işareti olarak önümüze çıkacaktır.
Yukarıdaki yorumlar çok teknik gelmiş olabilir ama işini doğru yapmak için detaylar önemli.
Referanslar
