Batuhan Pekdur tarafından yazılmıştır.
Loglama, bir olay sonrası veya hata tespiti için geri dönüş sağlayan günlüklerdir. Çoğu şirket hacklenme sonrası forensic veya debug işlemleri için log incelenmesine danışır (birçok durumda yanlış loglama tekniğinin kullanılması sonucu eksik kanıtlar ortaya çıksa da). Kullanılan IoT cihazlarının birçoğu, varsayılan olarak log tutma özelliği ile gelir. Bu loglar genellikle üzerine yazma tekniği ile işlese de hiç log tutulmamasından iyidir.
Şirketlerin doğru loglama yapmasının yanı sıra, loglarını koruması da büyük önem taşır. Log dosyaları tüm cihaz işleyişini kayıt aldığı için kötü niyetli kişilerin eline geçmesi sonucu kötüye kullanıma yol açabilir. Şirketin sağlıklı işleyişi için loglar sık incelenmeli, ardından gereksiz olanlar imha edilmeli veya iyi bir şifreleme ile korunmalıdır. Şirket içi hacklenme veya dışarıdan hacklenmelerde çoğu zaman logların değiştirildiği veya silindiğini görebiliriz. Unutmamalıyız ki bazı durumlarda log kaydı insan ve teknoloji arasındaki bir dürüstlük kontrolü belgelendirmesidir. Loglar, bir siber suç durumunda ilk bakmanız ve güvenmeniz gereken kayıtlardır.
Şimdi geçelim düzgün bir loglama için önem verilmesi gereken başlıklara:
Tutulan loglar şirket içi yetkilendirilmelidir. Herhangi bir şirket çalışanı sunucuların tüm loglarına erişmemeli, okuma izni olsa dahi değiştirme ve silme yetkileri kısıtlandırılmalıdır. Bu noktada olay takibi, şirketin siber güvenlik birimine düşmektedir. Şirket içi hacklenme olaylarında, en çok log değişikliği ile karşılaşılmaktadır. Dışarıya data sızdıran bir çalışan, logları silmenin doğru olmadığını, değiştirmesinin daha az şüphe oluşturacağını bilir.
Belirli ve düzenli aralıklarla incelenen loglar şirketin, iş trafiği ve ağ görüşme yoğunluğuna bağlı olarak belirli zamanlarda arşivlenmelidir. Arşivler, bir güvenlik birimi sifreleme yapılmalı ve yetki atanmalıdır. Erişim sık sık takip edilmelidir. Arşivlerin de tek noktada tutulması riskli bir durum oluşturabilir.
Şirketin dosyalarına bulaşabilecek bir zararlı, loglar kontrol edilerek tespit edilir. Olası bir ransomware bulaşması durumunda sirketin proje/projeleri tamamen kaybedilebilir. Bu gibi durumlarda sistemler arası ve dışarıyla olan iletişimler sık kontrol edilmelidir. İç iletişimde pivoting olduğunu da anlamanın en kolay yolu loglardır. Wireshark gibi programlar, ağ log’u tutmasının yanı sıra anlık izleme hizmeti de sunar. Eskiden anlık izleme için şirketlerin birim kurması gerekmekteydi. Artık SIEM sistemleri logları analiz edebilmekte ve siber güvenlik birimini uyarabilmekte.
Loglar incelendikten sonra, önemli olan risk tespiti ve boyutunun belirlenmesidir. Hangi bilgisayar yada cihazlarda anormal hareketliliğin olduğu anlaşılması için de aynı şekilde loglara başvurulması gerekir. Bu noktada hızlı tepki süreci için, otomatize sistemlerin yanında manuel kontrol de gerekmektedir. Gereksiz bilgilerin log tutulması, şirketin alacağı zararı büyütebileceği gibi süreçleri de yavaşlatacaktır.
Tutulan Logların Yedeklenmesi
Bazı logların sık incelenip imha edilmesi gerekirken, bazı logların ise incelense dahi önemli bir durumda tekrardan bakılabilmesi için yedeğinin alınması gereklidir. Alınan yedeklerin, şifrelenerek saklanması daha güvenli olacaktır.
[TR] Siber Güvenlik’te Güvenli ve Doğru Loglama
Loglama, bir olay sonrası veya hata tespiti için geri dönüş sağlayan günlüklerdir. Çoğu şirket hacklenme sonrası forensic veya debug işlemleri için log incelenmesine danışır (birçok durumda yanlış loglama tekniğinin kullanılması sonucu eksik kanıtlar ortaya çıksa da). Kullanılan IoT cihazlarının birçoğu, varsayılan olarak log tutma özelliği ile gelir. Bu loglar genellikle üzerine yazma tekniği ile işlese de hiç log tutulmamasından iyidir.
Şirketlerin doğru loglama yapmasının yanı sıra, loglarını koruması da büyük önem taşır. Log dosyaları tüm cihaz işleyişini kayıt aldığı için kötü niyetli kişilerin eline geçmesi sonucu kötüye kullanıma yol açabilir. Şirketin sağlıklı işleyişi için loglar sık incelenmeli, ardından gereksiz olanlar imha edilmeli veya iyi bir şifreleme ile korunmalıdır. Şirket içi hacklenme veya dışarıdan hacklenmelerde çoğu zaman logların değiştirildiği veya silindiğini görebiliriz. Unutmamalıyız ki bazı durumlarda log kaydı insan ve teknoloji arasındaki bir dürüstlük kontrolü belgelendirmesidir. Loglar, bir siber suç durumunda ilk bakmanız ve güvenmeniz gereken kayıtlardır.
Şimdi geçelim düzgün bir loglama için önem verilmesi gereken başlıklara:
Yetkilendirme
Tutulan loglar şirket içi yetkilendirilmelidir. Herhangi bir şirket çalışanı sunucuların tüm loglarına erişmemeli, okuma izni olsa dahi değiştirme ve silme yetkileri kısıtlandırılmalıdır. Bu noktada olay takibi, şirketin siber güvenlik birimine düşmektedir. Şirket içi hacklenme olaylarında, en çok log değişikliği ile karşılaşılmaktadır. Dışarıya data sızdıran bir çalışan, logları silmenin doğru olmadığını, değiştirmesinin daha az şüphe oluşturacağını bilir.
Arşiv Sistemli Loglama
Belirli ve düzenli aralıklarla incelenen loglar şirketin, iş trafiği ve ağ görüşme yoğunluğuna bağlı olarak belirli zamanlarda arşivlenmelidir. Arşivler, bir güvenlik birimi sifreleme yapılmalı ve yetki atanmalıdır. Erişim sık sık takip edilmelidir. Arşivlerin de tek noktada tutulması riskli bir durum oluşturabilir.
Sık Kontrol ve Uyarı Sistemi
Şirketin dosyalarına bulaşabilecek bir zararlı, loglar kontrol edilerek tespit edilir. Olası bir ransomware bulaşması durumunda sirketin proje/projeleri tamamen kaybedilebilir. Bu gibi durumlarda sistemler arası ve dışarıyla olan iletişimler sık kontrol edilmelidir. İç iletişimde pivoting olduğunu da anlamanın en kolay yolu loglardır. Wireshark gibi programlar, ağ log’u tutmasının yanı sıra anlık izleme hizmeti de sunar. Eskiden anlık izleme için şirketlerin birim kurması gerekmekteydi. Artık SIEM sistemleri logları analiz edebilmekte ve siber güvenlik birimini uyarabilmekte.
Şirketin Tepki Süreci
Loglar incelendikten sonra, önemli olan risk tespiti ve boyutunun belirlenmesidir. Hangi bilgisayar yada cihazlarda anormal hareketliliğin olduğu anlaşılması için de aynı şekilde loglara başvurulması gerekir. Bu noktada hızlı tepki süreci için, otomatize sistemlerin yanında manuel kontrol de gerekmektedir. Gereksiz bilgilerin log tutulması, şirketin alacağı zararı büyütebileceği gibi süreçleri de yavaşlatacaktır.
Tutulan Logların Yedeklenmesi
Bazı logların sık incelenip imha edilmesi gerekirken, bazı logların ise incelense dahi önemli bir durumda tekrardan bakılabilmesi için yedeğinin alınması gereklidir. Alınan yedeklerin, şifrelenerek saklanması daha güvenli olacaktır.
Moderatör tarafında düzenlendi: