Security Logging and Monitoring Failures Nedir 
Görünmeyen Saldırıların Asıl Nedeni
“Görmediğin saldırıdan korunamazsın; fark etmediğin ihlal seni içeriden çökertir.”
— Ersan Karavelioğlu
Security Logging and Monitoring Failures Nedir
Security Logging and Monitoring Failures, sistemlerde gerçekleşen güvenlik olaylarının
yeterince kaydedilmemesi, izlenmemesi veya zamanında uyarı üretilmemesi durumudur.
Saldırı vardır ama kayıt yoktur.
Kayıt yoksa farkındalık yoktur.
OWASP’ta Yeri Nedir
OWASP Top 10 – A09
Bir saldırının
aylarca fark edilmemesine yol açan ana sebeptir.
Birçok büyük ihlal, log eksikliği yüzünden geç fark edilmiştir.
Neden Bu Kadar Tehlikelidir
Sistem ele geçirilir ama çalışmaya devam eder.
Saldırgan içeride serbestçe dolaşır.
Asıl hasar, fark edilmeden geçen sürede oluşur.
“Saldırı Olmadı” Yanılgısı
Log yoksa saldırı yok sanılır.
Oysa saldırı
görünmüyordur.
Sessizlik güvenlik değildir.
Hangi Olaylar Loglanmalıdır
Başarısız ve başarılı login denemeleri
Yetki değişiklikleri
Hassas veri erişimleri
Güvenlikle ilgili her kritik adım.
Yetersiz Loglama Nasıl Olur
Sadece hata loglamak
Kimlik bilgisi olmadan kayıt tutmak
“Bir şey oldu” ama “kim yaptı” bilinmez.
Log Var Ama İzlenmiyorsa
Diskte biriken dosyalar
Kimse bakmıyor
Bu da fiilen
logging failure’dır.
Monitoring Nedir
Logların
anlamlandırılması ve izlenmesi sürecidir.
Sadece kayıt tutmak yetmez.
Desenleri görmek gerekir.
Alarm ve Uyarı Eksikliği
Anormal durum var ama bildirim yok.
Müdahale gecikir.
Dakikalar saatlere, saatler aylara döner.
Gerçek Hayat Senaryosu
Brute force denemeleri yapılır.
Log vardır ama alarm yoktur.
Hesap bir gün mutlaka kırılır.
Logların Bütünlüğü Neden Önemlidir
Saldırgan logları silebilir.
Merkezi ve değiştirilemez loglama şarttır.
Delil korunmazsa saldırı inkâr edilir.
Zaman Senkronizasyonu Olmazsa
Saatler farklıysa olay sırası karışır.
Adli analiz imkânsızlaşır.
NTP bile bir güvenlik unsurudur.
Bulut Ortamlarında Logging Failures
Servis logları kapalı bırakılır.
API çağrıları izlenmez.
Bulutta görünmezlik daha tehlikelidir.
SIEM Neden Kullanılır
Farklı sistemlerden logları toplar.
Korelasyon yapar.
“Tekil olay” yerine “saldırı zinciri” görür.
Log Fazlalığı da Risk midir
Evet.
Gürültü içinde sinyal kaybolur.
Log da
tasarlanmalıdır.
WAF, IDS, Firewall Logları
Hepsi ayrı ayrı değil,
birlikte izlenmelidir.
Tek parça resim yanıltır.
Bütünsel görünüm savunmadır.
Neden Fark Edilmez
Sistem çalışıyordur.
Performans normaldir.
Güvenlik sessizce erir.
Nasıl Önlenir
Kritik olayları belirle
Merkezi loglama kur
Anlamlı alarmlar tanımla
“Oldu mu?” değil, “oluyor mu?” sor.
Son Söz Görünmeyen Tehdit, Gerçek Tehdittir
Security Logging and Monitoring Failures, saldırının nedeni değil
uzamasının sebebidir.
Güvenlik sadece engellemek değil,
görmek ve anlamaktır.
Görmeyen sistem, savunamaz.
“Güvenlik kamerası olmayan bir kasanın kapalı olması kimseyi kurtarmaz.”
— Ersan Karavelioğlu
