Log Güvenliği Hedefte: EDR ve SIEM Saldırıların Önceliği
FİRDEVS BULUT KARTAL - ASIRDX Dijital Bilgi Sistemleri Siber Güvenlik Uzmanı Bünyamin Uysal açıklamasında, kurumların dijital savunmasının "gözleri" niteliğindeki log kayıtlarının artık saldırganların birincil hedefi haline geldiğini vurguladı.
Siber saldırı grupları, kurumların kullandığı EDR, SIEM ve benzeri güvenlik yazılımlarını devre dışı bırakarak izlerini tamamen gizleyebiliyor. Bu durum, savunma ekiplerinin saldırıları fark etmesini engelliyor ve kurumların günlerce, hatta haftalarca tehdit altında kalmasına neden olabiliyor.
Uysal, AA muhabirine yaptığı açıklamada, güvenlik altyapısının omurgasını oluşturan logların saldırganlar tarafından manipüle edilerek güvenlik merkezlerinin (SOC) "kör" edilebildiğini; bunun da tüm savunma zincirinin felç olmasına yol açtığını belirtti. "Firmaların güvenlik önlemleri büyük ölçüde bu ürünlerin logları ve korelasyonları üzerinden şekilleniyor." dedi.
Uysal saldırı örneklerine değinerek, bu tür ihlallerin sadece ürün kurulumuyla önlenemeyeceğini; sistemlerin sürekli izlenmesi ve doğru korelasyon kurallarının devrede olması gerektiğini ifade etti.
Uysal’ın uyarısı: "Microsoft'un driver block list kurallarını domain ortamlarında enforce etmek, expired imzalı sürücülere izin vermemek, kullanıcıların local admin haklarını sınırlandırmak artık zorunluluk haline geldi. Güvenlik ekiplerinin firewall, host dosyaları ve loglama servisleri üzerindeki değişiklikleri sürekli takip etmesi gerekiyor. Bir ürünün sadece aktif olması değil, davranışlarının da analiz edilmesi önemli. Aksi halde saldırganlar bizi izlerken biz hiçbir şey göremiyoruz."
Bünyamin Uysal ayrıca, yapay zekanın hızla hayatımıza girdiğini ve güvenlik tarafının yeterince konuşulmadığını belirterek, "Yapay zeka son iki yılda hayatımıza çok hızlı girdi ama güvenlik tarafı neredeyse hiç konuşulmuyor. Web güvenliği nasıl yıllar içinde geliştiyse, yapay zeka güvenliği de aynı süreçten geçecek." dedi ve yerli-milli ürünlerin geliştirilmesinin önemine dikkat çekti.
EDR, SIEM ve log güvenliği ne anlama geliyor?
Siber güvenlikte kurumların olaylara hızlı tepki verebilmesi, sistemlerden toplanan log kayıtlarının doğru şekilde analiz edilmesine bağlıdır. Bu loglar, kimlerin, hangi cihazlardan, ne zaman hangi işlemleri yaptığını gösteren dijital izlerdir.
SIEM (Security Information and Event Management) sistemleri, firewall, antivirüs, ağ geçidi ve kullanıcı erişim kayıtları gibi farklı bileşenlerden gelen logları merkezi olarak toplar ve olası anormallikleri korele ederek saldırıları tespit etmeye yardımcı olur.
EDR (Endpoint Detection and Response) yazılımları ise bilgisayar, sunucu ve mobil cihaz gibi uç noktalarda şüpheli aktiviteleri izler, saldırı girişimlerini durdurur ve verileri SOC'a iletir.
Saldırganlar EDR veya SIEM gibi sistemleri doğrudan hedef alıp log akışını manipüle ettiğinde, kurumun siber savunma gözleri kararıyor; bu durum "mavi takımın kör edilmesi" olarak tanımlanıyor ve saldırıların uzun süre fark edilmeden ilerlemesine olanak tanıyor.
Son yıllarda özellikle kritik altyapılar, enerji tesisleri ve finans sektörü bu tür log manipülasyonlarına karşı özel koruma stratejileri geliştirmeye başladı. Uzmanlar, siber güvenlik zincirinin en zayıf halkasının artık sadece kullanıcı hatası değil, log güvenliğinin ihlali olduğunu vurguluyor.
Kurumların dijital savunma sistemlerinde "göz" niteliği taşıyan log kayıtları, artık saldırganların ilk hedefi haline geliyor. Siber saldırı grupları, kurumların kullandığı EDR, SIEM ve benzeri güvenlik yazılımlarını devre dışı bırakarak, izlerini tamamen gizleyebiliyor. ASIRDX Dijital Bilgi Sistemleri Siber Güvenlik Uzmanı Bünyamin Uysal, AA muhabirine yaptığı açıklamada, güvenlik altyapısının omurgasını oluşturan logların saldırganlar tarafından manipüle edilerek güvenlik merkezlerinin (SOC) "kör" edilebildiğini, bunun da tüm savunma zincirinin felç olmasına yol açtığını belirtti.
