Türkiye’de SIEM Projeleri Neden İstenilen Faydayı Sağlayamadı?Neden Sağlayamadan Devam Ediyor? Nasıl Ezber Bozulur?

Türkiye tam bir SIEM çöplüğü[1]. Bunun temel nedeni ise bu projelerin eski alışkanlıklar, tecrübeler ve öğrenilmişliklerin devamı şekilde yapılması. Hal böyle olunca SIEM projelerinin çıktısı da benzer oluyor.

Türkiye’de SIEM projeleri neden mi çöp? Müşteri beklentisi gelişmedikçe tedarikçilerin nasıl rekabet ettiğinin de gelişmesini beklemek gerçekçi değil de ondan.

SIEM projelerinde beklenen fayda oluşmuyor [2,3]. SIEM projelerinin başarısı son kullanıcıya kalıyor. Son kullanıcı doğru soruları sormadığı veya soramadığı sürece SIEM projeleri Copy&Paste birbirinin benzeri olarak devam edecektir .

Türkiye şartlarında kullanıcıdan çok derin teknik analizler beklemesek de kullanıcı proje yaparken

1. Ben bu ürünü neden seçiyorum?
2. Sadece yerli diye ürün seçersem ne olur?
3. Çok meşhur markaları seçersem ne olur?
4. Bu projede benim yol göstericim olacak mı?
5. Projeyi yapan ekip profili nasıl?
6. Ekipte ezber bozan kişi ve yaklaşımlar var mı?
7. Açık kaynak bir ürünün üzerine gidecek düzeyde konuya hakim miyim?
8. Açık kaynak çözümleri tamamen outsource edersem beklediğim fayda sağlanır mı?
9. Aldığım referanslar istedikleri faydayı elde etmişler mi? Yoksa verilene razı mı olmuşlar?

Yukarıdaki soruları sormadan zaten en meşhur markalar ve en meşhur entegratörler yaptı yaklaşımı ile gidildiğinde olacak olan geçmişte olan binlerce örnekten biridir. KVKK kurumunun yayınladığı veri ihlali örneklerine bakmak bile yol gösterici olacaktır [4,5].

Son kullanıcı SIEM ürününü ve projeyi yapacak ekibi seçerken kendisi için doğru soruları bulmak zorunda yoksa bu Copy&Paste den kurtulamaz [6].

Son kullanıcıdan üründe “DGA Detection” var mı? Var ise tehdit istihbaratından black list ile mi buluyor? Veya sadece Shanon entropy mi kullanıyor? Yoksa NLP, ML,Alexa ranking, Whois bilgilerine göre karar veren modern bir yöntemle mi karar veriyor diye sormasını ve aldığı cevapları analiz edebilecek derinliği beklemek gerçekçi olmaz.

Böyle sorular olmasa da teknik değerlendirmede kendisine referans alacak aşağıdaki soruları sormalı.

1. Bu ürünle ilgili ne kadar teknik doküman, makale mevcut?
2. Eğer seçilen yerli bir ürün ise ürünün reklam,pazarlama, kullanıcı kılavuzu ve İngilizce kaynaklardan derleme ve çeviri haricinde özgün makale, doküman ve teknik materyalleri yabancı rakipleri ile kıyaslandığında tatmin edici mi?
3. Eğer seçilen yerli bir ürün ise özgün olarak kendi geliştirdiği, yenilik yaptığı ve üstün olduğu konularla ilgili akademik veya o düzeyde ikna edici makaleleri var mı?
4. Ürünle ilgili satış,pazarlama mı ağırlıkta? AR-GE ve teknik mi ön planda?İnternet aramalarında hangisi ön plana çıkıyor?
5. Ekip Copy&Paste bir ekip mi?
6. Ekipte ezber bozabilecek birileri var mı?

Son kullanıcı mutlaka Google un başına oturup ürün, ekip ve ekipteki kritik insanlarla ilgili araştırmalar yapmalı ve teknik derinliğini anlamaya çalışmalı.Özellikle Türkiye’de ve AR-GE merkezlerinde üretilen ürünlerin bolca makale ve teknik doküman yayınlamasının normal olduğu, bulduğu dokümanların çoğunun pazarlama, reklam, röportaj veya ingilizce kaynaklardan derleme dokümanlardan ibaret olmasının ise teknik derinlik olarak anormal olduğunu göz önünde bulundurması projeden istenen faydanın oluşması açısından önemlidir.

Ayrıca son kullanıcı aldığı, duyduğu referansları teknik olarak kontrol edebilmeli. Üst taraftan veya satış kanalı üzerinden yapılan kontroller yanıltıcı olabilir.

Son olarak da senaryolara bakmamak en temel yanlış. Justin HENDERSON ve Ismael VALENZUELA “Your SIEM Questions Answered” [7] adlı makalede bu işin %80 i senaryo diyor.

Son kullanıcı hiç bir şey yapmazsa genelde aşağıdaki senaryolar ortaya çıkıyor.

1-SIEM ürünlerini Log Yönetimi olarak kullanmak ve projeyi o noktada bırakmak. Hem beklenen fayda üretilememiş oluyor hem de log yönetimi ürünü alsa vereceği paraya göre onlarca kat daha fazla para ödemiş oluyor

2-SIEM ürünleri ile gelen hazır kuralların yeterli olduğunu düşünmek

3- Son kullanıcı SIEM teknolojisi bilinmediği ve okumak, öğrenmek, düşünmek, aydınlanarak risklerini azaltacak kararlar almak gibi temel doğruları pek uygulamadığı için herkes ünlü, meşhur, pazarlama ve satış ağırlıklı firmaların ürünlerine yönelmek istiyor. Dolayısı ile kendi ihtiyaçları yerine satıcının elinde ne var ona göre kendini şekillendirmeye çalışıyor ve 1. maddedeki durum oluşuyor.

4- İşini görebilecek çözümleri aramak ve bulmak yerine piyasadaki pahalı ürünlere gidiliyor çünkü bu ürünlerin reklamı çok. Sonunda da bütçesel problemlerden dolayı proje tamama eremiyor ve o anda yerine hızlıca alabilecek ne varsa onu alıyor ve 1. maddedeki durum oluşuyor.

5- Bütçeler doğru oluşmadığı için SIEM diye ürün alsa da aslında 1. maddedeki durum oluşuyor.

Mevlana Celaleddin-i Rûmî “Sen ne söylersen söyle, söylediğin, karşındakinin anladığı kadardır.” der.

Referanslar

1. https://www.linkedin.com/pulse/t%C3%BCrkiye-bir-siem-%C3%A7%C3%B6pl%C3%BC%C4%9F%C3%BC-ertugrul-akbas/
2. https://www.linkedin.com/pulse/t%C3%BCrkiyede-yapilan-siem-projelerinde-memnuniyet-ve-fayda-akbas/
3. https://www.bgasecurity.com/2017/02/siem-urunleri-arastirma-anketi-sonuclari/
4. https://medium.com/%40eakbas/ing-bank-%C3%B6rne%C4%9Finden-%C3%A7%C4%B1karaca%C4%9F%C4%B1m%C4%B1z-kvkk-siem-dersi-nedir-796ec2ca936f
5. https://medium.com/@eakbas/kvkk-ve-siem-a34438bbc3b0
6. https://medium.com/%40eakbas/siem-projeleri-ve-akl%C4%B1mdaki-sorular-4d0e26738a06
7. https://cyber-defense.sans.org/blog/2018/10/24/your-siem-questions-answered