SIEM Loga Erişim Yanılsamaları
Eski loglara pek çok sebepten erişmek zorunda kalabiliriz veya ihtiyacımız olabilir. Yaptığım anketlere gelen cevaplara, sahada gördüklerime ve ankette geçmiş loglara hızlıca erişebilirim diyenlerle daha sonra yaptığım detaylı konuşmalara bakarak tespit ettiklerim:
1- Zaten insanların neredeyse 2/3 ü canlı loga erişemiyor, ama bunu sorun etmiyor. Etse bile başka bir yada birkaç sebepten bir ürün alınmış oluyor, ya da bütçeler harcandığı için yapacak bir şey kalmıyor.
2- Geri kalan kısmı da kendi içinde ikiye ayrılıyor. Erişebildiğini sananlar ve gerçekten erişenler.
Burada yanılsama şurada başlıyor. Nasıl olsa kimse son 6 ay içinde, son 12 ay içinde olan olayları aramıyor. Çok büyük oranda proje yapılırken, canlı logun değeri, kıymeti ve önemli son kullanıcıya aktarılmıyor. Ayrıca ne kadar sürede canlıda duracak? Ne kadar süre Arşivde kalacak? diye sorulmuyor ve bunun için gereken sistem kaynağı ve disk hesaplamaları yapılmıyor. Bu yanılsamaya düşmemek için proje başlangıcında
1-Logları sıcak, yani canlıda ne kadar süre ve ne kadar disk ile tutuyorsunuz?
2-Logları soğuk, yani arşivde ne kadar süre ve ne kadar disk ile tutuyorsunuz?
diye sormak lazım.
İkinci büyük yanılsama ise eski tarihli aramayı, arşivden dönmeyi küçük bir senaryo içine sığdırmak. Burada “Son 6 ay içerisinde veri ihlalinin gerçekleştiği veri tabanı ya da eğer kişisel veriler dosya olarak duruyorsa dosyaya kimler erişti?” gibi bir sorguya ihtiyaç olacağı akla gelmiyor, sanılıyor ki ihtiyaçlar hep “6 ay önceki salı günü yani 01–04–2021 günü içinde veri ihlalinin gerçekleştiği veri tabanı ya da eğer kişisel veriler dosya olarak duruyorsa dosyaya kimler erişti? ”. Bu büyük bir “YANILSAMA” . Çok büyük olasılıkla hiçbir zaman o günü veya o haftayı hatta o ayı bilemeyeceksiniz. Bu yanılsamanın sebebi sanırım 5651 sayılı yasa alışkanlıkları. Çünkü orada sorular hep şu gün, bu hafta diye bilinen zaman dilimi için geliyordu.
Diğer bir yanılsama da hiç denemeden son 6 ay, son 12 aylık zaman dilimleri içerisindeki verilere makul zamanlarda erişebileceğini varsaymak. Bu bir varsayım. En azından ayda bir kendi kullanıcınızın son 6 aylık firewall aktivitelerinin tamamını almayı deneyip gerçekle yüzleşebilirsiniz.
Son 6 ay, son 12 ayın tamamını tarayacağınız onlarca, yüzlerce durumla karşılaşabilirsiniz. Örnek olarak KVKK yı ilgilendiren veri ihlallerinde bildirim süresi 72 saattir. Kurum bu süreye uymadığı için Facebook ve bir bankaya yüzbinlerce lira ceza vermiştir. Böyle bir durum olduğunda ilk çalıştıracağınız iki sorgu
1- Son 6 ay içerisinde veri ihlalinin gerçekleştiği veri tabanı ya da eğer kişisel veriler dosya olarak duruyorsa dosyaya kimler erişti?
2-Bu erişenlerin son 6 ay içerisinde yaptığı erişimlerin listesi nedir?
ve devamında başka son 6 ay için çalıştıracağınız sorgular vardır.
Bu tarz senaryo örnekleri ile ilgili detayları aşağıdaki makalede bulabilirsiniz.
Bir yıldan daha uzun bir süreyi kapsayan sorgular için son zamanların en meşhur zafiyeti SolarWinds Orion örnek verilebilir. Detayları aşağıdaki makalededir.
