🚨 Türkiye’nin SIEM Konusunda Gözden Kaçırdığı Gerçekler 🚨
Bugün Prof. Dr. Mahfi Eğilmez’in bir yazısında aşağıdaki satırları okudum. “Çürümüşlük, yolsuzluk, yoksulluk, görgüsüzlük, ahlaksızlık, adam kayırma, kara para aklama, dolandırıcılık, mafya, terör: Cumhuriyetimizin yüzüncü yılını tamamlayıp ikinci yüzyılına geçerken elimizde olanlar ne yazık ki bunlar. Her gün yeni bir faciayla uyanır olduk. Kara para aklayıcıları, uyuşturucu kaçakçıları, fon vurguncuları, din tacirleri ülkenin her yanını sardı. Diyanetinden futboluna, siyasetinden bürokrasisine, eğitiminden denetimine, yargısına kadar her alanda lime lime dökülen bir yapı var karşımızda. İşin en acı yanı bunların hesabı sorulmuyor. Örneğin bütün bu kara para, uyuşturucu işlerine niçin göz yumulduğu sorusunun üzerine gidebilen yok. Hatta bu soruyu basında birkaç kişiden başka soran da yok. [1]”.
Bu satırları okuyunca yine bir şeyler anlatma isteğim kabardı.
Prof. Dr. Arman Kırım’ın “Mor İnek’in Akıllısı” kitabında anlattığı:
“Ben ne zaman konferanslarımda belli tehlikelere işaret etsem, moral bozmak ile itham edilmişimdir. Eğer bu ülkede insanları etkileyen bir konuşmacı olmak istiyorsanız, sadece onların duymak istedikleri güzel şeyleri söyleyeceksiniz.”
tecrübesini binlerce olmasa bile yüzlerce defa yaşamış biri olarak,
İstiklal Marşımızın Yazarı Mehmet Akif Ersoy’a
sorduklarında
“Hep doğruları söylüyorsunuz, Çok cesur muhalefet yapıyorsunuz.
Neye Güveniyorsunuz diyenlere verdiği
“Acı soğan kuru ekmek yemeğe razıyım “
şeklinde verdiği ibretlik cevabını çok iyi bilmeme rağmen, rahmetli Muhsin Yazıcıoğlu’nun “Türk insanı dürüst olanı sevmez, seçmez bir de mezara girmeden dürüstlüğünün faturasını ödetir” sözünü bilen biri olarak yanlışa ve kötüye hiç susmadım. Bundan dolayı ciddi maddi zararlarım da olduğu da doğrudur. Zararın olduğunu nerden biliyorsun diyenlere bir iki kanıt bırakayım
Aynı rahmetli Muhsin Yazıcıoğlu’nun dediğini de yaşadığımı ispat edeyim
Yukarıdaki mesajı atan ABD menşeli milyar dolarlık ve marketing konusunda dünyada söz sahibi bir firmanın Avrupa ofisinde yönetici olarak çalışan bir Türk departman yöneticisinden gelen mesaj.
Türkiye tekrar en azından dünya adalet ve hukuk endeksinde 10 yıl önceki yerine ve inşallah daha üst sıralara gelirse benzeri paylaşacağım yüzlercesi var.
Son 10 yıldır yüzlerce paylaşım ve makale ile Prof. Dr. Mahfi Eğilmez’in tespit ettiği hale geleceğimizi öncesinden uyardım. Hatta testi kırılmadan uyarma riskini aldım çünkü neredeyse kimse Prof. Dr. Mahfi Eğilmez’in şu anda tespit ettiği hale ortamı getiren sosyolojik, siyasi, toplumsal güce söz söyleyemezken ben uyarmaya çalışıyordum. Bu uyarılarımın yüzlercesine kendi blogumdan, medium hesabımdan ve linkedin hesabımdan ulaşabilirsiniz. Yukarıda dediğim gibi bu uyarılardan da payıma düşeni aldım.
Bu kadar laftan sonra şimdi asıl konumuza geçersek; yukarıdaki tespitler, ne yazık ki pek çok konuda olduğu gibi Türkiye’deki #SIEM konusundaki yaklaşımı da özetliyor. Son 10 yılda, SIEM seçiminde üç kritik özelliğe odaklanılması gerektiğini sürekli vurguladım (Gartner 7 diyor :)):
1-Tehdit Tespiti (Korelasyon ve ML)
2-Canlı Logların Süresi
3-Stabilite ve Sistemin Log Kaçırma Durumu
Ancak, bu önemli özellikler Türkiye’deki projelerin büyük çoğunluğunda göz ardı ediliyor. Dünya çapındaki yönetmelikler ve standartlar, logların en az 1–2 yıl canlı tutulmasının zorunlu olduğunu belirtiyor [2,3,4,5,6].
Uluslararası kabul veya referans olmadan kendilerini SIEM uzmanı olarak lanse edip öğüt veren, danışmanlık yapan insanların logların her an elinizin altında ve canlı tutulması bir SIEM seçimi için önemli bir kriter değildir (Gartner’in aksine[4] ) derken Tehdit Tespiti (Korelasyon ve ML) ve Stabilite ve Sistemin Log Kaçırma Durumu konularında projelerinde neler yaptığı, ne katma değer ortaya koyduğu veya ortaya koydum dediği katma değerin uluslararası ispatı da ayrı bir konu ama bugün buna girmeyeceğim.
Üzücü olan, ABD’den “Genius Visa” veya “Einstein Visa” olarak bilinen yüksek profilli kişilere verilen vizeyi almış bir SIEM uzmanı olarak, turist vizesinden öte vize alamayan kişilerin hala ülkemizde bu alanda etkili ve yönlendirici olmalarıdır.
Tecrübelerimden biri de Sermaye Piyasası Kurulu (SPK) denetimleri ile ilgili [8,9]. 100 civarında aracı kurum var. Bunlardan on civarında kurumun iç denetim veya SPK denetimi süreçlerine yakından şahit oldum. Bir elin parmağı bile olmayan denetimlerde aşağıdaki kontrollerin yapıldığına şahit oldum.
🔵Geçen yıl içinde yetkilendirme sunucularına (Active Directory, LDAP) yapılan yetkisiz erişim girişimleri listesi.
🔵Geçen yıl içinde kritik ağ cihazlarına yapılan yetkisiz erişim girişimleri listesi.
🔵Geçen yıl içinde başarılı ve başarısız SSL VPN giriş kayıtları listesi.
🔵Geçen yıl içinde başarılı ve başarısız veritabanı giriş kayıtları listesi.
🔵Geçen yıl içinde yapılan izin değişiklikleri listesi.
🔵Geçen yıl içinde denetim yılı kapsamındaki uygulamalarla ilgili kullanıcı tanımlama ve yetkilendirme kayıtları listesi.
🔵Geçen yıl içinde denetim yılı kapsamındaki uygulamalarla ilgili dağıtım kayıtları listesi.
🔵Geçen yıl içinde denetim yılı kapsamındaki uygulamalarla ilgili müşteri işlem kayıtları listesi (müşteriler tarafından yapılan işlemlerle ilgili denetim izlerinin kontrolü).
🔵Geçen yıl içinde SIEM uygulaması ile ilgili başarılı ve başarısız giriş kayıtları, yetkilendirme ve günlük işlemleri kayıtları listesi.
🔵Geçen yıl içinde dosya sunucularına yapılan başarılı ve başarısız erişim kayıtları listesi.
🔵Geçen yıl içinde güvenlik duvarı raporları listesi (iç ağdan dış ağa olağandışı saatlerde ve sürelerde erişim raporları).
🔵Geçen yıl içinde posta takip kayıtları listesi.
🔵Geçen yıl içinde hesaplara izin verme kayıtları listesi.
🔵Geçen yıl içinde hesapların izinlerini değiştirme kayıtları listesi.
🔵Geçen yıl içinde yeni hesaplar oluşturma kayıtları listesi.
🔵Geçen yıl içinde hesapları silme kayıtları listesi.
🔵Geçen yıl içinde veritabanı yönetici kullanıcılarının kendi günlüklerine müdahale etmelerinin önlenmesi önlemleri listesi (SIEM’e aktarıldı).
🔵Geçen yıl içinde günlük yönetimindeki uyarılar ve örnek uyarılar listesi (kaynak kesintisi, yetkisiz erişim girişimleri, anormal durum alarmları).
🔵Geçen yıl içinde uygulama veya günlük ekranlarına ve faaliyet günlüklerine erişim hakkı olan kullanıcılar (yöneticiler vb.) listesi.
🔵Geçen yıl içinde yapılan sorguların denetim izleri listesi.
🔵Geçen yıl içinde kapsamdaki uygulamalardaki tüm mevcut kullanıcılar listesi (pasif/silinmiş kullanıcılar, denetim dönemini kapsayan yönetici/sistem/danışman hesapları dahil). Kullanıcının adı-soyadı — Kullanıcı Kimliği (kullanıcı adı, kayıt numarası vb.) — Oluşturma/kaldırma tarihi — Son giriş tarihi — Kullanıcı Oluşturucu.
🔵Son 5 yılda eski çalışanlar, devre dışı bırakılan kullanıcılar ve silinmiş kullanıcılar tarafından yapılan tüm başarılı/başarısız erişim girişimleri listesi.
🔵Geçen yıl içinde kritik tablolara yapılan doğrudan müdahalelerin denetim izleri (günlükleri) listesi.
🔵Geçen yıl içinde işletim sisteminde oluşturulan tüm kullanıcı hesapları listesi.
🔵Geçen yıl içinde yapılan tüm izin değişiklikleri listesi.
🔵Geçen yıl içinde yapılan tüm hesap devre dışı bırakmaları listesi.
🔵Geçen yıl içinde yapılan tüm kapanış günlükleri listesi.
🔵Geçen yıl içinde veritabanında oluşturulan tüm kullanıcı hesapları listesi.
🔵Geçen yıl içinde yapılan tüm izin değişiklikleri listesi.
🔵Geçen yıl içinde yapılan tüm hesap devre dışı bırakmaları listesi.
🔵Geçen yıl içinde yapılan tüm kapanış günlükleri listesi.
Yukarıdaki gibi son bir yıl içinde ya da geçen yıl ile başlayan denetim sorularına kaç şirket muhatap oldu ve kaç şirket SPK veya iç denetimlerde makul sürede cevap verebilir acaba?
Aşağıda, logların anında arama veya raporlama yapılabilir yani canlı tutulmasının gerekliliği ile ilgili detayları içeren yukarıda bahsettiğim linkleri bulabilirsiniz:
✅ Beyaz Saray[2,3]
✅ Gartner [4]
✅ MITRE [5]
✅ Chronicle Security [6]
Daha detay listeye [7] numaralı referanstan ulaşabilirsiniz.
Türkiye’nin uluslararası standartlara uyum sağlaması ve siber güvenlikte daha etkili olabilmesi için sadece bu konuda değil, benzeri bütün konularda farkındalık yaratılması ve gerçeklere odaklanılması gerekiyor. Standart, regülasyon, kanun veya pratikte kabul görmüş başarılı uygulamalar yerine, referansı söz, söylem, dedikodu veya “o dedi, bu dedi” olan davranışlardan vaz geçilmelidir, terk edilmelidir.
Referanslar
1. https://www.mahfiegilmez.com/2024/04/yuz-ylda-geldigimiz-yer.html
3. https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf
4. https://www.gartner.com/en/articles/searching-for-a-siem-solution-here-are-7-things-it-likely-needs
6. https://chroniclesec.medium.com/retaining-logs-for-a-year-boring-or-useful-9b04c1e55fba
