Güvenlik

Log Yönetimi ve Suistimal Analizi

 

image001

 

 

 

Her konuda olduğu gibi, Log Yönetimi konusunda da en büyük sorun temel bilgi eksikliğidir. Öncelikle ortak bir dil ve farkındalık oluşturmak gerekmektedir. Neyin ne olduğunu ve nasıl yapılacağını, yoruma imkan vermeyecek şekilde net ifadelerle açıklamak gerekmektedir.

 

Öncelikle Log Yönetimi ile neler yapılabileceğini netleştirmemiz gerekiyor: Log Yönetimi ile sistemlerin, uygulamaların, kullanıcı işlemlerinin ve bilgi sistem ağındaki veri akışının iz kayıtları tutulur. Bu iz kayıtları ile işlemi gerçekleştiren kişi belirlenebilir (accountability), yetkisiz erişimler belirlenebilir (unauthorized) , anormal işlemler belirlenebilir (abnormal) ve iz kayıtları kullanılarak performansa (sistemlerdeki olası sorunlar iz kayıtları ile önceden belirlenebilir) dair izleme yapılabilir. Bu açıdan bakınca, suistimal analizi Log Yönetimi’nin içinde değerlendirilebilir.

 

Türkiye’deki en büyük sıkıntı, Log Yönetimi sürecinin başlı başlına bir süreç  olarak değerlendirilmeyip başka süreçler (Bilgi Güvenliği, Denetim vb) içinde değerlendirilmesidir. Bunun için farkındalık sağlanması, Log Yönetimi’nin sadece arabaların kaskoları gibi kaza olduğunda kullanılmayıp (reaktif), kaza olmadan belirtilerden yola çıkarak hem suistimali önlemek hem de sistem performansını iyileştirmek için kullanılması (proaktif) gerektiğinin anlatılması gerekmektedir.

 

Herkesin bildiği gibi, Güvenlik önceleri Network içinde bir servisti. Zamanla sadece güvenlik zaafiyetlerinin sadece Firewall/IPS/IDS vb konumlandırılarak giderilemeyeceği, bilgiye erişen her yöntemin (sistem, uygulama, insan) güvenliğinin sağlanması gerektiği ortaya çıkmıştır. Bilginin olduğu her yerde onu kullanan insan, insanın olduğu yerde yönetilen sistemler, sistemlerin olduğu yerde de güvenlik zaafiyetleri her zaman olacaktır. Klişe olarak, “%100 güvenlik için bilgisayarın dış dünya ile bağlantısını kesmek gerekiyor” dense de lokal çalışan o bilgisayarı kullanan insandan kaynaklanabilecek güvenlik zaafiyetlerini de düşünmek gereklidir (Sosyal Mühendislik).

 

 

 

image003

 

 

 

Bişilim suçları için iz kayıtları delil teşkil etmektedir. Ancak, bir iz kaydının kanıt olabilmesi için değiştirilmediğinden (integrity) emin olunması gerekmektedir. Bunun için zaman damgası gibi Hash teknikleri kullanılmaktadır. Bilişim suçları için Emniyet Amiri düzeyinde yöneticiler bulunmaktadır. Fraud (Yolsuzluk) da suç olduğu için, delil teşkil edecek iz kayıtlarının sistem kurulurken belirlenip kayıt altına alınması ve değiştirilmediklerinden de emin olunması gerekmektedir. Ülkemiz, bu konuda hızla yol almaktadır. Öncelikle, teknoloji anlatılarak bunun hayatımızı nasıl kolaylaştıracağı ve beraberinde getirdiği risklerin kontrol altına alınması için gerekli önleyici/düzeltici faaliyetlerin alınması gerekmektedir.

 

 

 

Log Yönetimi’nin olmazsa olmazı Yönetim desteğidir. Yönetim’e Log’un ne olduğunu, nasıl kullanılabileceğini kısaca kuruma yararlarını anlatmak gereklidir.  Yönetim desteği alındıktan sonra yapılması gereken, kurumun nelere sahip olduğunu belirlenmesi (asset), iş sürekliliği ve yasal zorunlulukları göz önünde bulundurarak İş Etki Analizi (Business Impact Analysis, BIA) yapılması, varlıklar için risklerin, bu risklerin etkilerinin ve kontrollerin belirlenmesidir. Bilgi Güvenliği’nin bir parçası da Risk Yönetimi’dir. Risk yönetimi ile varlık-zaafiyet-tehdit-risk-kontrol matrisi oluşturularak mevcut durum daha net ortaya koyulur. Risk = (etki) x (ihtimal) olarak düşünüldüğünde etki ve ihtimali azaltacak/ortadan kaldıracak kontroller uygulanmalıdır. Bu noktada Log Yönetimi, kontrol olarak devreye girer.

 

 

 

image004

 

 

 

Log Yönetimi Uzmanları’nın görevi sadece iz kayıtlarını tuttukları sistemlerden gelen logları  depolamak değil; ilgili sistem yöneticileri ve bilgi güvenliği/risk yönetimi uzmanlarıyla birlikte, yasal zorunlulukları göz önünde bulundurarak gelen logları analiz etmek, gerekli rapor ve alarm mekanizmalarını Yönetim onayı ile BT Yönetimi (IT Governance)’ne dahil etmek olmalıdır.

 

Log Yönetimi Servisi de Güvenlik Servisi gibi kurumların organizasyonel yapılarında ayrı bir servis olarak yerini almalıdır. Log Yönetimi, kritik sistemlerden alınan iz kayıtlarının Data Warehouse gibi merkezi olarak toplanması ve Data Mining mantığı ile konsolide edilmesi olmalıdır. Bu sayede, farklı kaynaklardan gelen iz kayıtları birlikte analiz edilerek sadece Incident Management (Vaka Yönetimi) ve Fraud Monitoring (Suistimal Analizi) değil; sistemlerin performansını iyileştirmek için de kullanılmalıdır. Log Yönetimi, Reaktif olmasının yanında Proaktif olmalıdır.

 

Log Yönetimi’nin Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin önemli bir parçası olduğu, kurum politikası olarak benimsenmelidir. Neyin nasıl loglanacağı, nasıl raporlanacağı ve nasıl aksiyon alınacağı belirlenmelidir. Log Yönetimi, kurumlarda işletilen süreçlere girdi/çıktı olarak entegre olmalıdır. Log Yönetimi konusunda uzman kişiler yetiştirilerek işin sadece depolama ya da raporlama olmamasına yönelik çalışmalar yapılmalıdır. COBIT, ITIL, ISO 27001 vb standartların hepsinde Log Yönetimi’ne önem verilmekte, mevcut süreçlere dahil edilmesi beklenmektedir.

 

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu