Merkezi Loglama ve 5651 Çözümleri

> 5651 Nolu Yasa Nedir? 5651 Nolu yasa 4 Mayıs 2007 tarihinde İnternet Suçları ile mücadele için çıkarılmış bir yasadır. Bu yasanın Ekim 2007 ve Kasım 2007 yılında çıkarılmış olan yönetmelikler ile kapsamı genişletilmiş ve İnternet üzerinde suç oluşturabilecek durumlara karşı suçlunun takibi ve bulunması amacı ile Servis Sağlayıcılar ve Tüm Kurumların internet ile ilgili aktivitelerinin loglarının tutulmasını zorunlu hale getirmiştir.

> 5651 Nolu Yasa Kimleri Kapsar? 5651 Nolu kanun, yapılan düzenlemeler sonucu aşağıdaki belirtilen tüm sağlayıcıları kapsamaktadır. 1. Erişim Sağlayıcı: İnternet toplu kullanım sağlayıcılarına ve abone olan kullanıcılarına internet ortamına erişim olanağı sağlayan işletmeciler ile gerçek veya tüzel kişileri ifade eder. 2. Yer Sağlayıcı: İnternet ortamında hizmet ve içerikleri barındıran sistemleri sağlayan, işleten gerçek veya tüzel kişileri 3. İçerik Sağlayıcı: İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri 4. İnternet Toplu Kullanımı Sağlayıcı: Kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayan gerçek ve tüzel kişileri 5. Ticari Amaçla İnternet Toplu Kullanımı Sağlayıcı: İnternet salonu ve benzeri umuma açık yerlerde belirli bir ücret karşılığı internet toplu kullanım sağlayıcılığı hizmeti veren veya bununla beraber bilgisayarlarda bilgi ve beceri artırıcı veya zekâ geliştirici nitelikteki oyunların oynatılmasına imkân sağlayan gerçek ve tüzel kişileri Bu sağlayıcıların kimi kapsadığını da kısa belirtmek gerekirse: Erişim Sağlayıcılar; Telekomünikasyon hizmeti sağlayan tüm kurumlar Yer Sağlayıcılar; HTTP, SMTP ve FTP hizmeti veren tüm Hosting şirketleri ile internete açık bu uygulamaları sunan tüm kurumlar, İçerik Sağlayıcılar; İnternet ortamında hizmet sunan tüm kurumlar, İnternet Toplu Kullanım Sağlayıcılar; Kurum içinden çalışanlarına internet hizmeti veren tüm kurumlar, Ticari Amaçlı İnternet Toplu Kullanım Sağlayıcılar; İnterneti ücret karşılığında kullanıcılarına sunan tüm kurumlar,bu kapsama girmektedir.

> 5651 Nolu Yasa Kapsamında Hangi Logları Tutmamız Gerekli? 5651 Nolu yasa gereğinde internet üzerinden size veya sizin gerçekleştirdiğiniz saldırının kimin tarafından yapıldığını tespit edilebilmesi amacı ile kurumun internet üzerinden bilgi alışverişi yapan veya internet bağlantısı olan tüm sunucu ve kullanıcıların aktivite logları ile kurum içindeki bağlantıyı gerçekleştiren kişinin tespiti için DHCP sunucu logları veya kişi tespit etmekte kullanılacak diğer aktivite loglarının tutulması gerekmektedir.

> Neden Log Tutulmadır? Bilgi Güvenliği yönetiminin yapılabilmesi ve yaşanan herhangi bir olayın aydınlatılabilmesi için kayıtların saklanması gerekmektedir. Bu kayıt tutma işlemi gelecekte olabilecek sıkıntıları ortadan kaldırmak amaçlı merkezi bir sistemde ve değiştirilmezlik ilkesine uygun şekilde gerçekleştirilmelidir. Logların tutulması sadece yaşanan olayları tespit amaçlı değil bir çok önemli raporlarında üretilip sistemin ve işleyişin gözlenmesi konusunda da çok ciddi sonuçlar elde etmemizi sağlamaktadır. Bu amaçla sistemlerin düzenli işlemesi ve bunun belgelendirilmesi konusunda çalışan bir çok standart içinde de logların tutulması zorunlu hale getirilmiştir. ( PCI, SOX, COBIT, 27001 vb. zorunluluklar)

> Nelerin Logunu Tutmalıyız? Genel olarak her standart kendi özel talepleri doğrultusunda loglamayı öngörse de genel olarak; Firewall uygulamaları, Mail sunucular, Dosya sunucuları, Kritik sunucular, Domain sunucu, Database sunucuları, uygulama sunucuları ve kullanıcı web trafik bilgisi ile dışa açık sunucu ve uygulamarın loglarının tutulması gerekmektedir.

> Olay Yönetimi Nedir? Toplanan kayıtların gerek logun ID sine gerekse farklı kaynaklardan alınan logların ilişkilendirilmesi sonucunda belirli bir zaman dilimi içinde yaşanan bir sorunu fark edecek mekanizmanın kurulması ve yönetilmesi genel olarak tanımlanmaktadır. SIEM - Security Information and Event Management veya SEM – Security Event Managent olarak adlandırılan Olay Yönetim çözümü merkezi olarak kayıtların toplanması ve incelenmesini sağlayacak sistemin kurulamasını hedeflemektedir.

> Olay Yönetiminde dikkat edilmesi gereken hususlar nelerdir? Kayıtların merkezi olarak toplanması söz konusu olduğu için kayıtların eksiksiz ve değişmezlik kurallarını bozmayacak şekilde logların üretildiği anda merkezi sisteme iletilmesini sağlayacak şekilde olması gerekmektedir. Kayıtların ne kadar çok olduğu ve ne kadar uzun süre tutulması gerektiği de önemli olan ikinci unsurdur. Burada dikkat edilecek diğer bir unsur logların ne kadar süre aktif olarak yani sistemde erişilebilir olarak tutulacağı ve ne kadar süre de gerekli olması halinde ibraz edileceğinin belirlenmesidir. Standartlar bu konuda farklı yaptırımlar uygulasa da genel kullanım şekli 3 aylık aktif logun tutulması ve 1 yıllık süreçte de logların erişilebilir olmasını öngörmektedir. Bu bilgiler bize kayıtların toplanacağı sistemlerdeki disk kapasitesinin belirlenmesinde önemlidir.

> Olay Yönetim Sistemi ne kazandırır?

Toplanan tüm kayıtlar ile;

- Tanımlanan kurala uygun log oluşturulduğunda uyarı verilmesi

- İlişkilendirilmiş loglara uyan davranış tespiti

- Bağımsız ama ilişkilendirildiğinde anlam kazanan davranışların tespiti

- İstihbarat ve saldırılara yönelik bilgi toplama

- Kullanıcı aktivitelerini takip edebilme

- Güvenlik ile ilgili gözlem yapabilme yeteneği

Güvenlik Zafiyet Tespiti ve Sızma Testleri (Penetration Test)

Güvenlik Standartları ve 27001 Sertifikasyon Hizmetleri​​