Türkiye’deki Beyin Göçünün SIEM Projelerine Etkisi
SIEM ile iligli negatif pek çok şey söylense de hala daha siber güvenliğin en kritik 5 teknolojisinden biri. Ben negatif yorumların çoğunun yeni ürün ve teknoloji satmakla ilgili olduğunu düşünüyorum. Bana inanmazsanız yapay zekaya sorabilirsiniz. Ben
· ChatGPT-3.5
· ChatGPT-4
· ChatGPT-4o
· Google Gemini
· Deepseek
ile denedim.
Siz de “Act as a CISO of a Fortune 500 company.” sonrasında da “What are the 5 Most Critical Cybersecurity Technologies for a Company?” diye sorarsanız SIEM in ilk 5 te olduğunu görürsünüz.
Beş yıl öncesine kadar Gartner SIEM Magic Quadrant ı hazırlayan ekibin yöneticisi olan ve şimdi Google da olan Anthon Chuvakin in yaptığı bir anketi de paylaşayım
Hal böyle iken neden özellikle Türkiye’de SIEM başarısızlıkları dünyaya göre kıyaslandığında çok daha fazla? Malum dünyada RSA2024 de tekrar milyar dolarlık SIEM firmaları konunun önemine binaen birleşti, market hareketlendi.
Öncelikle eğer open source bir teknoloji baz alınarak SIEM yapılmış ise 100 tane yeni SIEM markası da çıksa kalıtsal olarak hepsi aynı avantaj ve dezavantaja, aynı sağlık ve hastalığa sahip oluyor.
Mesela Elasticsearch alarak bir SIEM geliştirmek istiyoruz. Dolayısı ile eğer arama, raporlama ve korelasyon fonksiyonlarını Elasticsearch üzerine bina ettiysek hızı miras aldığımız gibi çok yüksek sistem kaynağı tüketimi hastalığını da miras alırız.
Bizde sanıyorum SIEM sadece uyum veya yönetmelikler için gerekli görülüyor ve dolayısı ile son kullanıcı nasıl olsa yıllardır ülkemizde SPK, BDDK, TCMB, EPDK denetimlerini, ISO27001 uyum belgelerini, 5651 sayılı kanunla ilgili gereklilikleri Github’dan indirilen, açık kaynak, ücretsiz ve benzeri herhangi bir yöntemle, ekran görüntüsü ile bile geçilebildiğini gördüğü için SIEM seçimini önemsemiyor. Tabi bu ilginç çünkü yönetmelikler çok daha profesyonel ve sıkı hazırlanmış. Mesela SPK, BDDK, TCMB ve EPDK yönetmeliklerinde 3 yıl, 7 yıl denetime hazır (bunu ben canlı olarak değerlendiriyorum) ve 10 yıl loglar tutulur ibareleri var. Ama önemli olan uygulama. Dalından toplanıp kasalara konup ihraç edilen limonu bile Bulgaristan gibi lafa geldiğinde haklı haksız bin bir türlü şey söylediğimiz bir ülke bile zehir dolu diye geri gönderebiliyor.
https://www.milliyet.com.tr/ekonomi/limona-13-kez-pestisit-reddi-7115433
Tabi bu arada biz nadirattan bazı çok sıkı ekiplerle çalışıyoruz. Onlar denetimlerde son 1 yıl içinde işten ayrılan bütün çalışanların bütün aktivitelerini raporlamaktan tutun da son1 yıl içinde firewall anormal trafiklerine kadar analiz ve raporlama şeklinde denetime tabi oluyorlar. Ama çoğu denetim için hafta başında rastgele seçilen 30 günün listesi verilerek bu günlerdeki logların hafta sonuna hazır edilmesi yeterli. Daha da basit denetim olacaksa ekran görüntüleri bile yetiyor. Ama bu yöntem kriz anında veya saldırı anında kullanışsız bir yöntem çünkü saldıranın hangi günlerde olduğu veya olabileceğini bilemeyiz. Solarwinds saldırısından sonra ABD bunu tartıştı
Bunun sonucunda Beyaz Saray bir emir yayınladı. Bu emirin linkini aşağıda bulabilirsiniz.
Siber Kümelenme tarafından yerli SIEM üreticilerinin bazıları ile yapılan bir kayıta aşağıdaki linkten erişebilirsiniz.
https://www.youtube.com/watch?v=qYiWp8xrZ-A
Burada yerli üreticilere bazı sorular soruluyor. Bu sorulardan ilki
Ürününüzün avantajları neler? Sorusuna oturuma katılan üreticiler
· Hız
· Cluster
· Yedeklik
cevabını verdi.
ikinci soru yerli ve yabancı rakiplerden farkınız nedir? Bunun cevabı da aşağıdaki gibi:
· Biz içerden saldırganı simüle ediyoruz, saldırganı tespit edecek ekstra log üretiyoruz
· Süreklilik
· Yabancı ürünlerde customization zor, biz kolay yapabiliyoruz
· Destek farkımız var oldu
Üçüncü soru Global rekabet ile ilgili. Global rekabette avantajınız nedir sorusuna verilen cevapların tamamı aşağıda:
· Stable ürün üretmek çok zor çünkü SIEM çok büyük ürün
· Stable ürün yap ve ekosistemi genişlet
· Free ürün yap ve dağıt
Eğer aynı soruları ChatGPT 3.5, ChatGPT 4.0, ChatGPT 4.0.a, Google Gemini, Deepseek ve Claude \ Anthropic e sorsanız alacağınız cevaplar aşağıdaki gibi olacaktır
- Real-time Monitoring and Analysis
- Advanced Threat Detection
- Comprehensive Log Management
- Incident Response and Management
- UEBA
Yerli üreticilerin rekabet ve ürün özellikleri ile ilgili verdiği cevaplar ile AI cevapları arasındaki farklar Türkiye ve Dünya’da SIEM ile ilgili bilgi seviyesi, yaklaşım ve ilgi alaka farkını gösteriyor sanırım. Ayrıca verilen cevapların hepsinin aslında ortak olarak kullandığı bir açık kaynak platforma işaret ettiği de işin uzmanlarınca aşikar ama akıntıya karşı konuşabilecek işin uzmanı alabalık o kadar az ki bu saklı kalabiliyor veya herkesin bildiği bir sır olarak devam edebiliyor ülkemizde.
Diğer bir yaklaşım da Türkiye’de üretilen ürünlerin neredeyse tamamının yukarıda yapay zeka tarafından listelenen en kritik SIEM özellikleri ile ilgili rakip kıyaslamaları, ayırt edici, farklı, rakipleri zorlayacak korelasyon veya UEBA senaryoları ve benzeri kıyas ve dokümanları yayınlama ihtiyacı bile hissetmiyorlar.
Neredeyse tamamı Gartner SIEM Magic Quadrant veya benzeri listelerde olan ürünler şu senaryoları gerçekleyemez, gerçeklemekte zorlanır ama biz yaparız, daha iyisini yaparız gibi bir iddia ortaya koymak ihtiyacı bile hissetmiyor çünkü son kullanıcının böyle bir talebi yok ya da olsa bile aşağıda verdiğim örnekte olduğu gibi zaten bir şekilde ön kabul ile olaya bakıyor. Bir SIEM ürününün satış müdürlüğünü yapmış birisi biz müşteriden randevu alıp gittiğimizde zaten ürün satılmış oluyorsu, bizim yönetim halledemiyordu demişti bana.
Aşağıda ülkemizdeki en önemli regülasyonlardan birkaçına birden tabi bir şirketimizin yaptığı PoC ile iligli attığı maillerden birkaç kesit paylaşacağım
Öncelikle firma mevcutta PoC ye yaptığı ürünle PoC ye aşlarken net bir ön kabulü mevcut onu bize gönderdiği mailde şöyle ifade ediyor “Testlerini yapmaya başladığımız ürünler paket içerisinde öncesinde de belirttiğim gibi, UEBA özelliklidir”
Sonra biz yine mail ile 2 aydır ürünleri PoC yapıyorsunuz hangi UEBA senaryolarını test ettiniz diye sorunca önce bilgi vermeyiz cevabı aldık daha sonra bilgi paylaşmaya ikna ettik ve “ Bize ilettiğiniz UEBA ile ilgili beklentileriniz olan aşağıdaki senaryoların nasıl test edildiği ve tespit edildiği ile ilgili detaylı ekran görüntüleirile birlikte açıklamalar” sorumuza aldığımız cevap aşağıdaki gibi idi
Dikkat edilirse 2 ayda zaten 3 tane senaryo test edilmiş ve senaryoların hiçbiri UEBA değil. UEBA senaryoları neymiş diye merak edenler için aşağıdaki linki paylaşıyorum
Doğal olarak iş geliyor son kullanıcıda bitiyor. Eğer son kullanıcı talep etmezse hiçbir üretici veya satıcı teknolojik rekabet yapmaz. Tabi talepten sonra da talebe verilen cevabın doğruluğunu yanılmadan, kandırılmadan kontrol edecek bilgi ve tecrübeye sahip olmak geliyor.
Türkiye’de yüzlerce enterprise SIEM projesi yapmış bir bilişim firmasının sahibinin sene 2018 lerde bana dediği bir sözünü hiç unutamıyorum. Bana demişti ki “benim müşterim bir karış b*k olsa benim sattığım SIEM i alır.”
Aşağıda başka bir bilişim firmasının bana attığı bir mail var. Net olarak “Alacağımız ürün kalitesiz de olabilir” diyebiliyor. Burada oyunu onların kurallarına göre oynamadığımız için müşterinin daha önce denediği ve memnun olmadığı ve bizim çözdüğümüz SIEM problemlerine rağmen müşteriye sonraki sene sorununu çözdüğümüz kendi SIEM çözümümüzün yenilemesini yaptırmadılar.
Başarı veya başarısızlık arz ve talepte yatıyor. Mesela Türkiye’de SIEM olarak kullanılan ürünlerin yarısından fazlası yerli ve milli ama 1 tanesi hariç hiç birisinin kendi ürününün adı ile ve özelliklerini içeren uluslararası, hakemli bir araştırma makalesi yok. Yok çünkü zaten son kullanıcıdan da böyle bir talep yok. Yine bir anket sonucu paylaşayım. Burada SIEM i sadece uyum (regülasyon) için mi kullanıyorsunuz sorusuna %65 hayır demiş. Yani sadece uyum için değil gerçekten siber güvenlikte tahditlerinin tespiti ve olay müdahale için de kullanıyorum demek bu. Sanırım Türkiye’deki SIEM kullanımı ile dünyanın ayrıştığı kırılma noktası burası.
Projelerde gerçekten başarı kriteri olarak ne belirleniyor?
Bir de Türkiye’de sadece SIEM değil bütün projelerde ana karar verici olan sosyolojik ve Politik Psikoloji ve Toplumsal Psikoloji kriterler var. Onların detayına girmeden birkaç söz paylaşacağım.
Bu ülkede dürüst olmak başa beladır ama o bela başımızın tacıdır.
Muhsin Yazıcıoğlu.
Tersine elek (negatif seleksiyon) Türkiye’nin değişmez kuralı oldu. Hırsızlar namus vaazı veriyor, üçkağıtçılar “ahlâk da ahlâk!” diye bağırıyor.
Zülfü Livaneli
Adalet nedir? — Ağaçları sulamak. Zulüm nedir? — Dikene su vermek.
Mevlana
Beyin göçünün ve dolayısı ile Prof. Dr. M. Murat Erdoğan belirttiği kaliteli personeli kaybetmenin devreye girdiği noktalardan birisi de burası.
2023 yılı Yolsuzluk Algı Endeksi’nde Türkiye, 180 ülke arasında 34 puanla 115. sırada yer aldı.
Türkiye 2023 Hukukun Üstünlüğü Endeksinde 173 ülke arasında 148. sırada bulunuyor. Avrupa’da ise Rusya’nın gerisinde olan Türkiye sadece Belarus’tan daha iyi durumda.
Onlarca, belki yüzlerce endeksteki durumu da aşağıdaki gibi
Beyin göçünün devreye girdiği noktalardan bazıları ile ilgili birkaç örnek daha paylaşayım.
Zülfü Livaneli — Müzikal sanatçı, yazar ve siyasi aktivist, 1971'de hapse atıldı ve daha sonra ülkesini terk etti. 1984'te vatandaşlığı geri alındı.
Cem Karaca — Ünlü rock müzik sanatçısı ve söz yazarı, 1980'lerde siyasi baskılar nedeniyle ülkesini terk etti ve daha sonra vatandaşlığı geri alındı.
Selda Bağcan — Ünlü folk müzik sanatçısı, 1980'lerde siyasi baskılar nedeniyle hapse atıldı ve daha sonra ülkesini terk etme tehlikesiyle karşı karşıya kaldı.
Ahmet Kaya — Ünlü Türk pop müzik sanatçısı, 1990'larda siyasi ifadeleri nedeniyle baskı altında kaldı ve 2000'de Fransa’ya göç etti.
Aziz Nesin — Edebiyatçı ve gazeteci, 1940'larda basın tarihçesi olarak yayınlanan bir makalesi nedeniyle bir süre hapse atıldı ve daha sonra vatandaşlığından men edildi.
Nazım Hikmet — Ünlü şair, birçok kez hapse atıldı ve sonunda 1950'lerde Sovyetler Birliği’ne sığınarak Türkiye’yi terk etti.
İlhan Selçuk — Gazeteci ve yazar, 1980'lerde bir dönem vatandaşlığından men edildi ve daha sonra ülkesini bir süreliğine terk etti.
Beyin göçünün devreye girdiği diğer bir hususu Prof. Dr. Mahfi Eğilmez aşağıdaki videonun 09.00 dakikasında “Ahbap-Çavuş Kapitalizmi” olarak anlatmış
İhale yapacak devlet kurumu, iktidara yakın olanlara veriyor. Halbuki hak eden başkaları var.”
“Atama yapacak, liyakata göre değil sadakate göre atama yapıyor.”
Eğer bir toplumda işleyen Politik Psikoloji, Toplumsal Psikoloji ve değer yargıları yukarıda örnekleriyle anlatmaya çalıştığım hale gelmişse, toplum, insanlar, firmalar ve devlet kurumları da dahil herkes ağız birliği etmişçesine: güçlüyü eleştirenden korkar, liyakatlinin değil güçlünün yanında olur, “Bana dokunmayan yılan bin yaşasın” moduna girer, etliye sütlüye karışmamaya gayret eder, sermaye sahibi ve güçlüye göre konum belirler ya da en azından susar (Bilgisizlik sözleşmesi). ABD’ye gider ona göre konuşur, davranır; Avrupa’ya gider ona göre konuşur, davranır. Mesela Avrupa’da hukukun üstünlüğü ile ilgili sunum yapar ama Türkiye’ye gelince oradaki uluslararası kriterleri unutur ve yine güçlünün gözüne girmeye veya en azından rahatsız etmemeye çalışır. Yüzbinlerce şirket sahibi, şirket kurucusu, sermaye sahibinden bu profile uymayanlar bir elin parmağını geçmez. Yine milyonlarca çalışandan bu profile uymayanların sayısı istatistiksel olarak ihmal edilecek kadar azdır. Kimse dünyada suç olmayan şeyin bizde nasıl suç olduğunu ya da tam tersi dünyada suç olanın bizde nasıl suç olmadığını önemsemiyor, düşünmüyor, aklına bile getirmiyor. Gelse bile susuyor, unutmaya çalışıyor, unutuyor. Eleştiriyormuş gibi yapanlarla ilgili de Prof. Dr. Acar Baltaş’ın şu tespiti geçerlidir: “Türkiye’de rüşvetin yaygın olduğu bilinir ve herkes bundan şikayetçidir. Ancak şikayet edenlerin büyük çoğunluğunun esas rahatsızlığı, kendilerinin de bu çarka dahil olmamasından kaynaklanır.”
Sanırım SIEM dahil bütün projelerin başarısında ana etkenlerden biri de budur.
Tekrar beyin göçüne gelirsek:
Ankara Üniversitesi SBF Mülkiye Göç Araştırmaları Merkezi Müdürü Prof. Dr. M. Murat Erdoğan, “Türkiye’nin aldığı düzensiz göç ve iltica, düzenli göç gibi ülke kalkınmasına katkı sunabilecek nitelikte değil. Verdiği göç ise ne yazık ki en niteliklilerin göçü” dedi
Prof. Dr. Mahfi Eğilmez’in yukarıda anlattığı sistemden memnun olanlar, zaten itirazsız olarak sistemi canla başla yaşatmak için mücadele ediyor. Bir şekilde konuya uzak olanlar ise, herkesin söylediğinin veya sustuğunun tersine, birisi var ve alabalık gibi akıntıya karşı yüzüyor ve bir şeyler söylüyor. Bu alabalık, dünyada en prestijli mühendislik organizasyonlarından ödüller alıyor; siber güvenlik alanında dünyanın bir numarası olan ABD’den uluslararası alanda önemli başarı ve tanınma göstergesi olan ödüllere sahip ve benzeri uluslararası tanınmışlıklara sahip. Diğer tarafta ise, susan veya konuşsa bile bu alabalığın söylediklerine reddiye düzenlerin uluslararası herhangi bir ayak izi yok şeklinde bir değerlendirmeyi o veya bu sebepten yapamıyor. Sanırım bu yapılmaması yine beyin göçü ile alakalı.
Kim bir kötülük görürse (İşi ehline vermeme, adam kayırma, torpil, rüşvet, uluslararası hukuku hiçe sayma, devlet imkanlarını kendisi, ailesi veya kendi ve çevresinin seçtiği kişi ve kurumlara kullandırma, zülüm, çalma, çırpma, yağma, yalan söyleme, kandırma vb..) , onu eliyle değiştirsin. Şayet eliyle değiştirmeye gücü yetmezse, diliyle değiştirsin. Diliyle değiştirmeye de gücü yetmezse, kalbiyle düzeltme cihetine gitsin ki, bu imanın en zayıf derecesidir.
Hz. Muhammed (SAV)
Tahmin edileceği üzere beyin göçünün SIEM ile birlikte her projeye, her şeye etkisi var ve maalesef durum Prof. Dr. M. Murat Erdoğan’ın resmettiği gibi.
Bir de yüzyıllardır birikerek gelen “Negatif seleksiyon” meselesi var var. Prof. Dr. Eser Karakaş anlatıyor: Mesleğe asistan olarak başladığım İstanbul Üniversitesi İktisat Fakültesi Maliye Bölümü’nün, eski adıyla kürsüsünün kurucusu Hitler iktidara geldikten sonra Hitler Almanya’sından kaçıp Boğaziçi’ne sığınan alman öğretim üyelerinden biri olan Prof. Fritz Neumark’tır.
https://de.wikipedia.org/wiki/Fritz_Neumark
Prof. Neumark seneler sonra, Almanya Hitler faşizminden kurtulduktan sonra, ülkesine dönüyor ve dönerken de bizim gazetecilerle bir sohbet toplantısı gerçekleştiriyor. Bu toplantıda bir gazeteci de Neumark’a “bunca sene Türkiye’de kaldıktan sonra bu ülkeyi nasıl özetlersiniz?” gibi bir soru yöneltiyor.
Neumark’ın yanıtı son derece kısadır: “Negatif seleksiyon”.
https://www.star.com.tr/yazar/drogba-ve-negatif-secisler-yazi-918599
Çetin Altan “Halk yolsuzluğu piyango gibi görüyor. Bana da çıkabilir diye… Yolsuzluğun bitmesini istemiyor, yolsuzluktan pay almak istiyor.”
Türkiye’de hem gördüğü kötülüğü eliyle, diliyle düzeltmeye çalışacak hem de bunu yapmaya çalışanları takdir edecek kişiler beyaz atlara bindiler. Kalanlar ya sisteme dahil olanlar, ya sistemi kızdırmamaya çalışanlar, ya etliye sütlüye karışmayanlar, ya anı yaşayıp her şeyi görmezden gelenler veya maddi/manevi faydaları için 3 maymunu oynayanlar ya da korktukları için stabil kalanlar. Burada tekrar Prof. Dr. M. Murat Erdoğan’ın sözünü hatırlayabiliriz.
Türkiye uluslararası hukuk, adalet, yolsuzluk, özgürlük gibi bir toplumun can damarı olan endesklerde en sonlara doğru ilerlerken çırpınan, twitlerle, sosyal medya paylaşımları ile makaleler ile imkanı varsa televizyon programları, youtube programları ile ortalığı ayağa kaldırmaya çalışan kaç kişi tanıyoruz? Yoksa bunlar Prof. Dr. M. Murat Erdoğan’ın “verdiği göç ise ne yazık ki en niteliklilerin göçü” dediği insanlardan mı? Bunlar neden gitmeyi seçti? Kalsa ne olurdu acaba?
Aşağıdaki paylaşımda Adnan beyin belirttiği gibi vasıfsız, niteliksiz, kabiliyetsiz, eğitimsiz kitlelerin kendilerini iyi, güvende hissetmelerini sağlarsanız çok kolay kendi gibi olmayanı asar, keser, dışlar, afaroz eder. Hatta bir Havelsan çalışanından kendim duymuştum. Havelsan’ın 2 defa boşalmasından kalanlar ve şimdiki çalışanlar çok mutlu çünkü onlar gitmese idi biz bu işi alamaz, bu terfii ve pozisyonu kazanamazdık diye seviniyorlar.
Nasıl olsa ülke sınırları içinde her şey istediği gibidir. Ülke sınırları içinde söylediği, paylaştığı veya yaptığı şeylerin bazıları gelişmiş toplumlarda veya hukuk endeksinde ilk 50 de olan ülkelerde suç bile teşkil eder ama olsun. Onlar rahattır. Aynen Adnan beye katılıyorum. O da çevresinde yaşadıklarını paylaşıyor, ben de.
Zülfü Livaneli’nin dediği gibi toplum ahlak, ahlak diyen, liyakat liyakat diye bağıran, hukuk hukuk diye çığıran, yolsuzluklara savaş açtım diyen ama aslında tam tersini yapan insanların peşinden gidiyor. Bunu Çetin Altan ve Prof. Fritz Neumark’in tespitleri ile birlikte okumanızı öneririm.
Hal böyleyken, Türkiye’de yapılan SIEM projelerinin en az %51'inde, ama bana sorarsanız %80'inde aşağıdaki gibi bir soru sorsanız ya cevap bile alamazsınız ya da sizi savuşturmaya çalışırlar. Mesela, 9 aydan beri aslında zararlı ve saldırılarda kullanılan, ancak 9 ay sonra (bazı vakalarda bu süre çok daha uzun, ama IBM raporunu baz aldım) tespit edilen X diye bir domain olsun. Siz de bunu öğrendikten sonra ilk yapacağınız iş, son 9 ay içinde bu X sitesine erişen kullanıcı ve IP’lerin listesini çıkarmak olacaktır. Bunu sorduğunuzda, ülkenin yarısından çoğu buna cevap veremez. Gelen cevaplar arasında ‘Buna ne gerek var’, ‘Çok farazi’ (dünyada binlerce örneğine rağmen), ‘Biz SOC hizmeti alıyoruz, istersek verirler’ ve benzeri baştan savmak için verilen cevaplar veya hiç oralı olmayan kapı duvar davranışlar çokça karşılaşacağınız tepkilerdir. Ama bakın, ABD’de yasa var, Belçika ve Singapur’da yönetmeliklerde var, hani size reklam için devamlı adını zikrettikleri MITRE, ‘9 ay için değil 2 yıl bu sorunun cevabını veremiyorsanız bir SOC hizmeti veriyorum demeyin’ diyor. Derseniz de bir şey değişmez.
Yine benzer şekilde son 1 yıl içerisinde firewall ve diğer güvenlik çözümleri tarafından bloklanmayan temiz domainler dışında bir domain erişimi olursa anında bunu bloklayabilir ve haberdar olabilir misiniz? diye sorsanız ne gerek var, bunu zaten XDR yapar (Aslında yapmaz ama cevap vermiş oldu), bize bu kadar ileri seviye kural lazım değil, bizim danışmanımız var o bakıyor ve benzeri yanıtlar alırsınız. Artık bu noktadan sonra dünya standardında bir UEBA nasıl olur beden çok faydalıdır a girmeyin bile.
Aşağıda 2021 yılında bir bakanlıktan gelen 2 adet mailin isimler töhmet altında kalmasın diye kapatılmış halinin ekran görüntülerini paylaşıyorum
Bu maillerdeki kurum bu mailleşmeden 6 ay sonra bu kullandığı SIEM e ödül verdi,1 yıl sonra ise Amerikan bir SIEM ürününe geçiş yaptı.
