Türkiye’deki Siber Güvenlik ve Özellikle SIEM Uzmanlarından Beni Ayıran Nedir?
Tabii önce acaba gerçekten farklı, ilk ve tek neler yapıyor bu kişi Türkiye’de diye akla gelebilir. Gerçekten de beni ayıran neler yapıyorum acaba? Bu soruya cevap vermeye başlayayım. Öncelikli olarak, benim odaklandığım ve önemsediğim konulardan biri, dünyadaki akademik, standartlar ve kanunlarla ilgili güncel gelişmeleri takip ederek bunları herkesin anlayabileceği şekilde paylaşmaktır. Suyun akışına kapılmadan, kolaya kaçmadan, herkes öyle diyor ben de deyip geçeyim demeden, görmezden gelmeden araştırmalarımı paylaşıyorum.
Örneğin, Amerika Birleşik Devletleri’nde devletin en üst makamı olan başkanlık ofisi tarafından bir emir yayınlandı ve logların 1 yıl canlıda,
1.5 yıl da arşivde tutulması ABD’deki bütün devlet kurum ve kuruluşlarına emredildi [1]. Ancak bu emri benim dışımda Türkiye’de kimse ne paylaştı, ne dile getirdi, ne de gündeme taşıdı. Türkiye’de kimse ABD devletinin siber güvenlikle ilgili politika ve stratejilerini ya okumadı, ya da okuduğu halde gizledi veya başka bir şeyler oldu.
Bütün dünyadan kopuk bir şekilde siber güvenlik ürünlerini alıp satmaktayız.
Benzer şekilde, MITRE tarafından yayınlanan bir kitap [2], yurt dışında yüzlerce beğeni ve paylaşım aldı. Bu kitapta, bir SOC için logları 2 yıla kadar canlıda tutmanın önemi vurgulanmaktadır. Ancak bu bilgileri okuyup da, düzgün bir SOC hizmeti için MITRE’nin belirttiği şekilde hareket etmek gerektiğini Türkiye’de benden başka dile getiren kimse olmadı. MITRE Türkiye’de oldukça popülerdir, ancak ne yazık ki bu kitap Türkiye’deki insanlara benim dışımda hiç kimse tarafından anlatılmadı, ya da okunmadı, ya da anlaşılmadı, ya da anlamadığım şeyler oluyor.
Benzer şekilde, Kanada devletinin canlı loglarla ilgili kanunları vardır, ancak kimse memleketimizde bunları paylaşmadı [3].
Google’ın Medium hesabında, logları 1 yıl canlıda tutmanın önemini vurgulayan bir makale 2019'dan beri durmaktadır [4]. Eğer logları 1 yıl canlıda tutmayı sıkıcı buluyorsanız, başınıza bir şey geldiğinde faydasını anlarsınız mealinde bir makale bu.
Bizim halk olarak duruma çıkar odaklı adapte olma hızımız muhteşemdir. Durumun dünyadaki karşılığı veya ileride nelere mal olacağını umursamaz ve o anlık bireysel veya grup çıkarımıza odaklanırız. Binlerce örnek verebiliriz ama imar affı ve sonuçları veya dünya ile rekabet edecek ekonomi yerine emlak gibi diyerek konuyu burada kapatıyorum.
Türkiye’de kimsenin ABD’deki hükümet ve devlet nezdinde belirlenen siber güvenlik standartlarını, MITRE’yi, Google’ı ve SANS gibi kurumların dokümanlarını ve standartlarını okumamış olması inanılmaz.
Bu durumda insanlar dünyayı nasıl takip ediyor, ya da ne kadar takip ediyor? Eğer okudu ve gizlediyse, bu ne anlama geliyor?
Dahası, olay inceleme (adli veya değil) yapan insan veya şirketlerin dünyanın en büyük hack vakalarından biri olan SolarWinds hack olayının detaylarını okumamış veya incelememiş olmaları mümkün mü?
Yukarıda bahsedilen kanun ve standartlar, bu süreçlerde gündeme gelen, üzerinde durulan ve önemine dikkat çekilen konulardır.
Hatta herhangi bir sebepten dolayı derin ve detaylı araştırma yapma imkanı olmayan kişi veya kuruluşlar için bu konular hap şeklinde yayınlandı [6]. Bu haberi bile benden başka Türkiye’de yayınlayan olmadı.
Aşağıda bu konu bağlamında 2022 yılı içinde yaptığım bir anketi paylaşayım.
Sanırım yukarıda anlattığım şekilde bilgileri hap haline getirip, yereldeki popüler kültür, toplumun talebi veya ekonomik çıkarlar gibi zorlayıcı etmenlere rağmen olması gerekeni, dünyadaki gelişme ve standartları Türkiye’ye yansıtmaya çalışmam beni Türkiye’deki siber güvenlik ve SIEM uzmanlarından farklı kılan özelliklerimdendir. Katılıyor musunuz? Umarım yanılmıyorumdur.
Referanslar:
4. https://chroniclesec.medium.com/retaining-logs-for-a-year-boring-or-useful-9b04c1e55fba
5. https://www.sans.org/media/vendor/evaluator-039-s-guide-nextgen-siem-38720.pdf
6. http://vadodarasmartcity.in/vscdl/assets/tenders/17.09.2020/2021_499-1.pdf
7. http://vadodarasmartcity.in/vscdl/assets/tenders/17.09.2020/2021_499-1.pdf
