CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Normalizasyon

Log Maskeleme ve Gizleme: Siber Güvenlikte Mahremiyetin Önemi

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Normalizasyon

Log maskeleme ve gizleme, KVKK ve GDPR gibi yasal düzenlemelerin gereği olarak hassas verilerin korunmasında kritik öneme sahiptir.

Log Maskeleme ve Gizleme: Siber Güvenlikte Mahremiyetin Önemi

Siber güvenlik alanında log maskeleme ve gizleme, müşteri verilerinin korunmasını sağlayarak yasal uyumluluğu artırır. KVKK ve GDPR gerekliliklerine uygun uygulamalar hakkında bilgi alın.

Giriş ve Konumlandırma

Siber güvenlik alanında mahremiyet, günümüzde sadece bir gereklilik değil, aynı zamanda en iyi uygulamalardan biri olarak öne çıkmaktadır. Verilerin korunması amacıyla uygulanan çeşitli yöntemler arasında log maskeleme ve gizleme, organizasyonların yasal ve etik yükümlülüklerini yerine getirmelerine yardımcı olan önemli tekniklerdir. Bu bölümde, log maskelemenin ne olduğunu, neden kritik bir gereklilik olduğunu ve siber güvenlik bağlamındaki önemini ele alacağız.

Mahremiyetin Kalkanı

Veri maskeleme, hassas bilgilerin -örneğin kredi kartı numaraları, TC Kimlik numaraları ve parolalar gibi- gizlenmesi işlemidir. Bu gizleme, KVKK (Kişisel Verileri Koruma Kanunu) ve GDPR (Genel Veri Koruma Regülasyonu) gibi yasal düzenlemelerin gerektirdiği bir zorunluluktur. Log içinde yer alan hassas verilerin açık bir biçimde kaydedilmesi, sadece yasal açıdan sorun yaratmakla kalmaz, aynı zamanda veri ihlalleri ve kötü niyetli saldırılar için büyük bir fırsat sunar. Eğer bu veriler yeterince korunmazsa, en basit bir veri erişim aracılığıyla yetkisiz kişilerin eline geçebilir.

Log maskelemenin uygulanmadığı durumlarda, bir SOC (Güvenlik Operasyonları Merkezi) analistinin, şirketlerin kritik verilerine erişimi söz konusu olabilir. Örneğin, bir stajyer analistin, müşteri verilerini içeren bir logu incelemesi durumunda, milyonlarca müşterinin kredi kartı bilgilerini doğrudan görmesi, büyük bir güvenlik açığına yol açar.

Neden Gereklidir?

Log maskelemenin temel önemi, hem yasal gereklilikler hem de veri güvenliği açısından yatmaktadır. Şirketler, hassas verilerin korunmasına yönelik önlemler almak zorundadır. Bunlar arasında logların maskeleme ile korunması, veri sızıntılarının önlenmesine yardımcı olur. Örneğin, bir şirketin yazılım geliştirme ortamının logları, kullanıcı parolalarının veya kredi kartı numaralarının açık bir şekilde kaydedildiği durumlarda büyük riskler barındırır.

Ayrıca, doğru veri maskeleme uygulamaları, analistlerin çağrı geçmişlerini veya izleme verilerini inceleyebilmesine olanak tanırken, asıl verilerin korunmasını sağlar. Duyarlı verilerin korunması, yalnızca güvenlik için değil, geçerli yasal düzenlemelere uyum sağlamak açısından da elzemdir.

Hassas Veri Sınıfları

Siber güvenlikte, hangi verilerin maskeleneceği şirket politikalarına ve yürürlükteki yasalara bağlıdır. Bu nedenle analistlerin, hassas veri sınıflarını iyi tanımlamaları gerekir. PII (Kişisel Tanımlanabilir Bilgi), PCI-DSS verileri ve PHI (Sağlık Bilgisi) gibi veri türleri, özellikle korunması gereken veriler arasında yer alır.

\b\d{16}\b  # 16 haneli kredi kartı numaralarını yakalamak için kullanılan bir düzenli ifade örneği.

Yukarıdaki düzenli ifade örneği, log içindeki 16 haneli kredi kartı numaralarını tespit etmeye yöneliktir. Bu tür düzenli ifadeler, maskeleme işlemlerinin bir parçası olarak kullanılmakta ve ilgili verilerin gizlenmesine olanak tanımaktadır.

Yakala ve Gizle

Veri maskelemenin etkili olabilmesi için uygulama zamanlaması kritik öneme sahiptir. Veriler SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sistemine kaydedilmeden hemen önce maskelenmelidir. Aksi takdirde, bir analist veya başka bir yetkilinin, sistemin arka kısmına ulaşarak gizli verilere erişmesi söz konusu olabilir. Bu, logların diske kaydedilmesinin ardından yapılan maskeleme uygulamalarının, gerçek bir koruma sağlamadığını gösterir.

Veri gizleme süreci, yalnızca hassas bilgilerin korunması değil, aynı zamanda analistlerin işlerini yapabilmesi için gerekli olan izlenebilirliği de sağlamalıdır. Tamamıyla gizlenen veriler, analistlerin işlem detaylarını takip etme yeteneklerini zayıflatabilir. Bu noktada, hashing gibi teknikler devreye girmektedir. Hashing, verilerin geri döndürülemez şekilde farklı karakter dizilerine dönüşmesini sağlarken, aynı zamanda veri takibinin yapılmasını da mümkün kılar.

Sonuç olarak, log maskeleme, siber güvenlik uygulamaları arasında 'görünürlük' ve 'mahremiyet' arasında ince bir denge kurarak, organizasyonların verilerini korumalarına yardımcı olan kritik bir mekanizmadır. Bu teknik, sadece yasal uyum açısından değil, aynı zamanda güvenlik ihlallerini önlemek amacıyla da son derece önemlidir. Siber güvenlik alanında, bu kavramları anlayarak ve uygulayarak, organizasyonlar kendilerini daha güvenli bir hale getirebilirler.

Teknik Analiz ve Uygulama

Mahremiyetin Kalkanı

Siber güvenlik alanında veri güvenliği, günümüz teknolojisinde tartışmasız en kritik konular arasında yer almaktadır. Veri maskeleme, siber güvenlik stratejilerinin temel taşlarından biri olarak kabul edilir. Mevzuatların (KVKK, GDPR gibi) gereklilikleri doğrultusunda, sistemdeki hassas bilgilerin doğru bir şekilde korunması ve izole edilmesi elzemdir. Bu bağlamda, veri maskeleme yöntemleri kullanılarak, kişisel bilgilerin (PII), finansal verilerin (PCI-DSS) ve sağlık bilgilerinin (PHI) güvenliğini sağlamak mümkündür.

Neden Gereklidir?

Veri maskeleme uygulanmadığı takdirde, yetkisiz kişiler hassas verilere erişim sağlayabilir ve bu durum büyük bir güvenlik ihlaline sebep olabilir. Özellikle SIEM (Security Information and Event Management) sistemleri, şirketlerin verilerini merkezi bir yerde topladığı için, bu verilerin herhangi bir kişi tarafından kolaylıkla görüntülenebilmesi söz konusu olmaktadır. Örnek olarak, bir stajyer analistin, müşteri verilerini sızdırması, şirket için ciddi yasal sonuçlar doğurabilir.

Hassas Veri Sınıfları

Hangi verilerin maskeleneceği, şirketin politikaları ve tabi olunan yerel yasalar tarafından belirlenir. Kredi kartı numaraları, TC Kimlik numaraları ve parolalar gibi hassas bilgiler, veri maskeleme sürecinin kapsamındadır. Kullanıcı verileri üzerinde gerçekleştirilen doğru sınıflandırmalar, analistlerin bu verileri daha güvenli bir şekilde işlemelerine olanak sağlar.

Aşağıdaki örnek, düzenli ifadeler (regex) kullanarak log dosyalarındaki hassas veri türlerini nasıl yakalayabileceğimizi göstermektedir:

\b\d{16}\b

Yukarıdaki regex ifadesi, 16 haneli bir sayıdan oluşan kredi kartı etiketlerini log kaydında tanımlamak için kullanılabilir. Bu tür ifadeler, log maskeleme işlemi sırasında verilerin gizlenmesi için kritik bir rol üstlenir.

Yakala ve Gizle

Maskeleme işlemi, genellikle toplayıcı (collector) motorlarda uygulanır ve veriyi diske kaydetmeden hemen önce gerçekleştirilmelidir. Aksi takdirde, sistemin diskten okuma yapan herhangi bir kullanıcısı, log kayıtlarındaki hassas bilgilere ulaşabilir. Zamanlama bu noktada önem taşır; logların inmeden önce maskelenmesi sağlanmalıdır. 

def mask_credit_card(card_number):
    return '****' + card_number[-4:]

# Örnek kullanım
masked_card = mask_credit_card("4543-1234-5678-9010")
print(masked_card)  # Çıktı: ****9010

Yukarıdaki Python fonksiyonu, bir kredi kartı numarasının son dört hanesini saklayarak, geri kalanını maskeler. Bu sayede, analistler verilerin bütünlüğünü sağlamış olurken, aynı zamanda gizlilik de korunur.

Altın Kural: Zamanlama

Veri maskelemenin başarısı, öncelikle zamanlamasına bağlıdır. Veriler, SIEM sistemine (yani diske) kaydedilmeden maskelenmelidir. Bu, verilerin arka planda çalışılabilir olmasını sağlarken, aynı zamanda güvenlik açığı da minimize eder.

İzlenebilir Gizlilik

Tamamen verileri yıldızlamak (maskelemek), analistlerin işlemleri takip etmesini imkansız hale getirebilir. Bu nedenle, alternatif yöntemler tercih edilmelidir. Örneğin, TC Kimlik numaraları bir hash algoritması kullanarak gizlenebilir. 

import hashlib

def hash_tc(tc_number):
    return hashlib.sha256(tc_number.encode()).hexdigest()

# Örnek kullanım
hashed_tc = hash_tc("12345678901")
print(hashed_tc)  # Çıktı: A1B2C3... (örnek)

Yukarıdaki örnek, TC Kimlik numarasının SHA-256 algoritmasıyla nasıl hash'lendiğini göstermektedir. Bu yöntem sayesinde analistler, kullanıcının kimliğini bilmeden, diğer işlemleri takip edebilirler.

Büyük Final: Gizlilik Seviyeleri

Sonuç olarak, veri maskeleme, siber güvenlikte 'görünürlük' (visibility) ile 'mahremiyet' (privacy) arasındaki dengeyi kuran en önemli mekanizmadır. Verilerin sadece bir kısmını gizlemek, gereksiz yasal riskleri azaltırken, aynı zamanda analistlerin en kritik veriler üzerinde de çalışmasına olanak tanır. Veri gizleme türlerinin doğru bir şekilde uygulanması, sisteminizin güvenliğini artırmanın yanı sıra, yasaların gerekliliklerine de uymanızı sağlar.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, verilerin güvende tutulması yalnızca bir zorunluluk değil, aynı zamanda bir stratejik gerekliliktir. Verilerin yanlış yapılandırılması ya da maskeleme eksikliği, ciddi yasal ve operasyonel sorunlara yol açabilir. Veri maskeleme, hassas verilerin korunmasında kritik bir rol oynar; bu nedenle, logların güvenli bir şekilde işlenmesi ve saklanması için risklerin doğru bir şekilde değerlendirilmesi ve gereken önlemlerin alınması önemlidir.

Elde Edilen Bulguların Güvenlik Anlamının Yorumu

Log kayıtlarındaki hassas verilerin korunması, veri güvenliğinin temel taşlarından biridir. Kayıt altına alınan bilgiler, genellikle PCI-DSS, PII ve PHI gibi hassas veri kategorilerine ait bilgiler içerebilir. Bu tür verilerin maskeleme yapılmadan saklanması, siber saldırganların erişimine açık hale gelir ve bu da itibar kaybı, yasal yaptırımlar ve finansal kayıplara neden olabilir. Örneğin, bir siber saldırı sonucunda gizli kredi kartı bilgileri ifşa edilirse, yalnızca kullanıcıların mali durumu değil, aynı zamanda işletmenin itibarını da zedeleyebilir.

Bir güvenlik analisti, loglar üzerinde sorgulama yaparken açık bir veriyi gözlemleme riskine karşı sürekli olarak dikkatli olmalıdır. Özellikle bir SIEM (Security Information and Event Management) sisteminde bu durum büyük bir sorun teşkil eder. Eğer maskeleme işlemi yapılmazsa, stajyer bir analistin bile milyonlarca müşteri verisine erişim sağlaması ve bu verilerin kötüye kullanılma ihtimali ortaya çıkar.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, siber güvenlikte göz ardı edilmemesi gereken ciddi tehditlerdir. Logların doğru bir şekilde maskelememesi, veri ihlalleri için bir kapı aralayarak, yetkisiz erişimlerin önünü açar. Bu boşluklar, saldırganların kötü niyetli yazılımlar kullanarak sistemde erişim sağlamasına yardımcı olabilir.

Örnek vermek gerekirse, aşağıdaki gibi bir log kaydı, veri maskelemesi yapılmadan yer aldıysa, herhangi birinin bu verilere erişimi doğrudan mümkün hale gelir:

User Login: 123-45-6789; Credit Card: 4111-1111-1111-1111

Bu kayıttaki TC Kimlik No ve kredi kartı numarası, verilerin gizliliğini tehlikeye atmaktadır. Maskeleme uygulanmadığında, yetkisiz bir kullanıcı bu verileri kolaylıkla görebilir. Bu tür durumlar, yalnızca bireylerin gizliliğini değil, aynı zamanda şirketin hukuki yükümlülüklerini de ihlal eder.

Sızan Veri ve Diğer Güvenlik Sonuçları

Log kayıtlarından elde edilen bilgiler, sistem topolojisi ve sunucu hizmetlerinin belirlenmesi gibi kritik süreçlerde kullanılabilir. Eğer bu veriler ele geçirilirse, saldırganlar, ağın bellek haritasını çıkararak, daha karmaşık saldırılar için zemin hazırlayabilir. Örneğin, belirli bir IP adresinin hangi sunuculara erişim sağladığını ortaya çıkarmak, ağın zayıf noktalarını hedef alan daha son derece sofistike saldırılara kapı açabilir.

Profesyonel Önlemler ve Hardening Önerileri

Veri maskeleme uygulamaları, kullanılmakta olan SIEM sistemleri ile entegre edilmelidir. Maskeleme işlemleri, log kayıtlarının diske yazılmadan hemen önce uygulanmalıdır ki, diske yazılan veriler asla açık halde saklanmasın. Bunun için kullanılabilecek bir yöntem, düzenli ifadeler (regex) kullanarak verileri yüzeysel olarak düzgün bir biçimde gizlemektir. Örneğin, kredi kartı sayılarını bulmak için aşağıdaki düzenli ifadeyi kullanabilirsiniz:

\b\d{16}\b

Bu ifade, 16 haneli Visa ya da Mastercard kredi kartı numaralarını tanıyarak, maskelenmesine olanak tanır.

Ek olarak, logmaskeleme yanı sıra, diğer veri koruma yöntemleri de göz önünde bulundurulmalıdır. Hash algoritmaları (örneğin, SHA-256) kullanarak, ham verinin dönüştürülmesi sağlanabilir. Bu durumda, veriler geri döndürülemez şekilde şifrelenmiş olur ancak izlenebilirlik sağlanır. Örneğin, TC Kimlik numarası şu şekilde gizlenebilir:

MD5("12345678901") → A1B2C3D4E5F6G7H8

Bu sayede, analistler verinin kaynağını bilmeden bu kişiye ait işlemleri takip edebilir.

Sonuç

Veri maskeleme, siber güvenlikte görünürlük ile mahremiyet arasında kritik bir denge kurar. Risklerin doğru bir şekilde değerlendirilmesi, yanlış yapılandırmaların etkilerinin belirlenmesi ve etkili savunma stratejilerinin uygulanması, bir organizasyonun veri mahremiyetini korumanın en önemli bileşenleridir. Özellikle günümüzde giderek artan veri ihlalleri göz önünde bulundurulduğunda, yeterli önlemler alınmadığı takdirde ağır sonuçların doğabileceği unutulmamalıdır. Verilere doğru bir şekilde erişimi kontrol etmek ve koruma önlemlerini zamanında almak, her organizasyonun öncelikli hedeflerinden biri olmalıdır.