Saldırganlar log kayıtlarını hedef alıyor
FİRDEVS BULUT KARTAL - Kurumların dijital savunmasında "göz" işlevi gören log kayıtları, siber saldırganların öncelikli hedefi haline geldi. Uzmanlar, EDR, SIEM ve benzeri güvenlik yazılımlarının devre dışı bırakılmasıyla izlerin saklanabildiğini ve bunun tespit süreçlerini uzattığını belirtiyor.
ASIRDX uzmanı Bünyamin Uysal'ın değerlendirmesi
ASIRDX Dijital Bilgi Sistemleri Siber Güvenlik Uzmanı Bünyamin Uysal, AA muhabirine yaptığı açıklamada, güvenlik altyapısının omurgasını oluşturan logların saldırganlar tarafından manipüle edilerek güvenlik merkezlerinin (SOC) "kör" edilebildiğini, bunun da tüm savunma zincirinin felç olmasına yol açtığını söyledi. Uysal, "Firmaların güvenlik önlemleri büyük ölçüde bu ürünlerin logları ve korelasyonları üzerinden şekilleniyor" uyarısında bulundu.
Nasıl bir risk oluşuyor?
Saldırganlar, EDR veya SIEM gibi sistemleri doğrudan hedef alarak log akışını manipüle ettiğinde kurumların siber savunma "gözleri" kararabiliyor. Bu durum, savunma ekiplerinin ("mavi takım") saldırıları fark edememesiyle sonuçlanıyor ve tehditlerin günlerce veya haftalarca fark edilmeden sürmesine yol açabiliyor.
Uysal'ın örnekler ve önerileri
Uysal, log akışının kaybolmasına veya koordinasyonun kopmasına yol açan saldırılara dikkat çekerek, tek başına ürün kurulumunun yeterli olmadığını; sistemin sürekli izlenmesi ve doğru korelasyon kurallarının devrede olması gerektiğini vurguladı. Uysal şöyle dedi:
"Microsoft'un driver block list kurallarını domain ortamlarında enforce etmek, expired imzalı sürücülere izin vermemek, kullanıcıların local admin haklarını sınırlandırmak artık zorunluluk haline geldi. Güvenlik ekiplerinin firewall, host dosyaları ve loglama servisleri üzerindeki değişiklikleri sürekli takip etmesi gerekiyor. Bir ürünün sadece aktif olması değil, davranışlarının da analiz edilmesi önemli. Aksi halde saldırganlar bizi izlerken biz hiçbir şey göremiyoruz."
EDR, SIEM ve log güvenliğinin işlevi
Siber güvenlikte kurumların olaylara hızlı tepki verebilmesi, sistemlerden toplanan log kayıtlarının doğru şekilde analiz edilmesine bağlıdır. Bu loglar, kimlerin, hangi cihazlardan, ne zaman hangi işlemleri yaptığını gösteren dijital izler olarak değerlendiriliyor.
SIEM (Security Information and Event Management) sistemleri, firewall, antivirüs, ağ geçidi ve kullanıcı erişim kayıtları gibi farklı bileşenlerden gelen logları tek bir merkezde toplayıp anormallikleri korele ederek saldırıları tespit etmeye yarıyor. EDR (Endpoint Detection and Response) yazılımları ise uç noktalarda şüpheli aktiviteleri izliyor, saldırı girişimlerini durduruyor ve verileri SOC'a iletiyor.
Sektörel etkiler ve gelecek riskler
Son yıllarda özellikle kritik altyapılar, enerji tesisleri ve finans sektörü, log manipülasyonlarına karşı özel koruma stratejileri geliştirmeye başladı. Uysal, yakın gelecekte yapay zeka güvenliği alanında da benzer risklerin doğabileceğini belirterek, "Yapay zeka son iki yılda hayatımıza çok hızlı girdi ama güvenlik tarafı neredeyse hiç konuşulmuyor. Web güvenliği nasıl yıllar içinde geliştiyse, yapay zeka güvenliği de aynı süreçten geçecek" değerlendirmesinde bulundu. Ayrıca yerli ve milli ürünlerin geliştirilmesinin önemine dikkat çekti.
Uzman görüşü: Siber güvenlik zincirinin en zayıf halkası artık yalnızca kullanıcı hatası değil; log güvenliğinin ihlali, tespit ve yanıt süreçlerini doğrudan etkileyen kritik bir tehdit haline gelmiştir.
Kurumların dijital savunma sistemlerinde "göz" niteliği taşıyan log kayıtları, artık saldırganların ilk hedefi haline geliyor. Siber saldırı grupları, kurumların kullandığı EDR, SIEM ve benzeri güvenlik yazılımlarını devre dışı bırakarak, izlerini tamamen gizleyebiliyor. ASIRDX Dijital Bilgi Sistemleri Siber Güvenlik Uzmanı Bünyamin Uysal, AA muhabirine yaptığı açıklamada, güvenlik altyapısının omurgasını oluşturan logların saldırganlar tarafından manipüle edilerek güvenlik merkezlerinin (SOC) "kör" edilebildiğini, bunun da tüm savunma zincirinin felç olmasına yol açtığını belirtti.
