TÜRKİYE BİR SIEM ÇÖPLÜĞÜ

Bu başlığı Cihat Seçgin [1] beyden ödünç aldım. Linkedindeki postunda çok doğru bir tespitte bulunarak “ İnanın 500+ çalışanlı kurumların %90 ı SIEM çöplüğü. Ne kural var ne korelasyon. Ne de diğer sistemlerle ilişki kurma kaygısı.” şeklinde durum tespiti yapmış.

Aslında bu konu öteden beri bilinen bir durum. Özünde aynı eleştiriyi yapan bir yazıyı 2 yıl önce yazmıştım [3].

İş o kadar başka boyutlarda ki “DC loglarını alan success story diye sunum yapıyor “

Türkiye’de özellikle 2013–2017 arasında SIEM a çok para vermiş ve bir şey elde edememiş firmalarla dolu. Şimdi bu firmalar var mı var modunda. Diğerleri de nasıl olsa A şirketi almış şu kadar da para vermiş ama yatıyormuş diyor. Bilmenin veya uygulamanın ederi yok. Know-how değil ürün adına para verdiğinin farkına varmak yerine SIEM i çöp etmiş.

2013 ve 2017 yılları arasında

1. İşini iyi yapan pahalı SIEM ler fiyatlarından dolayı diğer maaliyet kalemleri olan proje ve sistemin ayakta tutulması kısımlarında tasarrufa gidiyorlar ve dolayısı ile proje güdük kalıyor.
2. Aslında ücretsiz açık kaynak ürünler seviyesindeki ürünler eş,dost veya ahbap çavuş ekonomisi motivasyonu ile satılmış, dolayısı ile amaca ulaşılamamış.
3. Ürün doğru seçilmemiş.Doğru teknik sorular son kullanıcılar tarafından sorulamayınca her ürün aynı olmuş. O zaman tanıdığımızdan alalım, yerli — milli alalım kafası ile ürün seçilmiş.
4. Sadece Log yönetimi veya alarm üretebilen ürünler SIEM olarak seçilmiş. Bilinmediğinden dolayı korelasyon seviyesine çıkılamamış.

Daha sonrasında ise gerek bütçesel gerek de faydası anlaşılamadığı için SIEM eğitimleri es geçilmiş.

Kurumun risk/tehdit yönetimi yapmamasından kaynaklan ve SIEM a girdi olacak olan bilgiler kurumda oluşmamış. Bu nedenle SIEM’de hangi tip ataklara karşı mekanizmalar geliştirmesi gerektiği bilinememiş
ya da karar verilememiş.

SIEM dünyasında neler oluyor? Yenilikler neler vs gibi şeyleri takip edilip hem kendimizi hem de SIEM içeriğini güncelleyememişiz.

Güven algısı en yüksek yerlerin başında bankaların geldiğini düşünürüz ki böyledir de. Son 2 yıldır bankaların yaşadığı güvenlik ihlallerine, veri kaybı vak'alarına bakınca bu banklarda SIEM de mi yokmuş? diye sormak geliyor insanın içinden.

Bu işte iyi olan bir teknik arkadaşla satış süreçlerini konuşurken “Ya hoca kimse teknik tarafa bir şey sormuyor” diyerek durumu özetlemişti.

Birkaç yıl önce “SIEM Projeleri ve Sorgulanması Gereken Başarıları” [4] adlı makalede teknik olarak bu projeler neden başarısız oluyor diye irdelemiştim.

Asıl sorun ise kullananın da satanın da bunu önemsememesi. Konuya gerçekten vakıf teknik bilgisi ve yeteneği yüksek birkaç kişi haricinde devranın böyle dönmesi.

Ürün seçerken giriş seviyesi teknik konular haricinde

• Ben bu ürünle data enrichment yapabilir miyim? Ne seviyede yapabilirim?
• Ürün gerçek zamanlı korelasyon yapıyor mu? Satış ekibi yapıyorum diyorsa gerçekten yapıyor mu?
• Normalize edilmiş verilerle ilgili kayıt sayısı, storage boyutu vs. kısıt var mı?
• Ürün alarm mı üretiyor ?Korelasyon mu yapıyor ? UEBA olarak neler yapıyor?

gibi onlarca daha temel konular gündeme bile gelmeyebiliyor. Bir SIEM değerlendirmesi nasıl olmalı? Cevabı bu linkte [5].

Hem son kullanıcı hem de satıcı olarak SIEM nedir bilmiyoruz. Log toplama işini SIEM işi zannediyoruz. Logları toplayan bir sistem kurunca SIEM kurdum sanıyoruz. Use-case/korelasyon/alert/event farkını bile bilmiyoruz ve sonuçta bir SIEM çöplüğü çıkıyor.

Referanslar

1. https://www.linkedin.com/in/cihat-se%C3%A7gin-572928a2/
2. https://www.linkedin.com/feed/update/urn:li:activity:6511882811098701824
3. https://www.linkedin.com/pulse/t%C3%BCrkiyede-yapilan-siem-projelerinde-memnuniyet-ve-fayda-akbas-1/
4. http://www.isaca-istanbul.org/1678-2/
5. https://www.slideshare.net/anetertugrul/siem-korelasyon-motoru-deerlendrme-krterler