CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Log Saklama ve Arşivleme Politikaları: Siber Güvenlikte Temel İlkeler

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Log saklama politikaları, siber güvenlikte kritik bir rol oynar. Bu blogda, veri saklama mantığını ve yasal zorunlulukları keşfedin.

Log Saklama ve Arşivleme Politikaları: Siber Güvenlikte Temel İlkeler

Siber güvenlikte log saklama ve arşivleme politikaları, veri bütünlüğünü sağlamak için kritik bir öneme sahiptir. Bu yazıda, depolama katmanları ve yasal zorunlulukları inceliyoruz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik, günümüz dijital dünyasında kuruluşların karşılaştığı en önemli zorluklardan biridir. Bu bağlamda, siber güvenliğin çeşitli bileşenleri arasında log saklama ve arşivleme politikaları kritik bir yere sahiptir. Loglar, bir sistemde meydana gelen olayları ve aktiviteleri kaydeden veri parçalarıdır ve bu verilerin yönetimi, hem güvenlik ihlallerinin önlenmesinde hem de olası saldırıların tespit edilmesinde temel bir rol oynar.

Log Saklama ve Arşivleme Neden Önemlidir?

Log saklama politikaları, kuruluşların logları ne kadar süreyle saklayacaklarını ve nasıl yönetileceklerini belirleyen kurallardır. İyi bir log saklama politikası oluşturmak, bir organizasyonun siber güvenlik duruşunu güçlendirmenin yanı sıra, hukuki yükümlülükleri yerine getirme açısından da önemlidir. Türkiye’de, internet toplu kullanım sağlayıcıları için logların en az iki yıl süreyle saklanması yasal bir zorunluluktur. Bu tür gereklilikler, logların sadece bir güvenlik aracı değil, aynı zamanda hukuki bir zorunluluk olduğunu göstermektedir.

Tehditlere Yanıt Verme ve Pentest Süreci

Siber saldırılar giderek daha karmaşık hale gelirken, logların doğru bir şekilde saklanması, bir olay müdahale sürecinin kritik bir bileşeni haline gelmektedir. Olay müdahalesi sırasında, güvenlik analistleri genellikle sıcak (hot) veriye, yani son günlerde kaydedilen loglara anında erişmek zorundadır. Bu durum, saldırının gerçek zamanlı durdurulmasına olanak sağlar.

Pentest (penetrasyon testi) süreçlerinde de logların analizi son derece önemlidir. Geçmişte gerçekleştirilen testlerden elde edilen log verileri, potansiyel zafiyetleri tespit etmek ve sistemin güvenlik yönlerini geliştirmek için kullanılır. Dolayısıyla, logların etkin bir şekilde saklanması ve yönetilmesi, hem güvenliği sağlamak hem de ileri seviye penetrasyon testlerinin başarısını artırmak açıdan büyük önem taşır.

Veri Yönetimi ve Kaynak Kullanımı

Log saklama politikaları, veri yönetiminde ekonomik bir denge sağlamaktadır. Sınırlı depolama alanları ve maliyet düşünceleri göz önünde bulundurulduğunda, logların saklanma süresi ve hangi tür depolama alanlarının kullanılacağı konuları kritik bir hal alır. Modern SIEM (Security Information and Event Management) sistemleri, logları erişim hızına göre farklı katmanlarda (hot, warm, cold storage) depolar. Bu yapı, hem bütçeyi korur hem de analistlerin hızlı arama yapmasına olanak tanır.

Aşağıdaki örnek, farklı depolama katmanlarının kullanımını göstermektedir:

- Hot Storage (Sıcak): Son 7-30 gün içindeki loglar; anlık aramalar için.
- Warm Storage (Ilık): Son 1-6 ay içindeki loglar; geçmişe dönük analiz için.
- Cold Storage (Soğuk): Yıllık loglar; daha uzun süreli saklama için, erişim zorluğu ile.

Bu katmanlı yapı, kurumların kaynaklarını daha etkin kullanmalarını ve veri yönetimini optimize etmelerini sağlamaktadır.

Sonuç

Çeşitli durumlar için uygun log saklama ve arşivleme politikalarının belirlenmesi, bir organizasyonun siber güvenlik stratejisi açısından son derece önemlidir. Logların uzun süreli saklanması, sadece olası saldırıların tespiti ve müdahalesi için değil, aynı zamanda yasal yükümlülüklerin yerine getirilmesi açısından da kritik rol oynamaktadır. Tüm bu nedenlerden dolayı, organizasyonların log yönetimi konusunda bilinçli ve stratejik adımlar atması gerekmektedir. Siber güvenlik dünyasında sağlam bir temele sahip olmak, her türlü siber saldırıya karşı koruma sağlamak için zaruridir.

Teknik Analiz ve Uygulama

Veri Saklama (Retention) Mantığı

Siber güvenlik alanında veri saklama politikalarının oluşturulması, bilgi güvenliği süreçlerinin ayrılmaz bir parçasını oluşturur. Bu politikalar, sistemde log verilerinin ne kadar süreyle tutulacağını belirler. "Retention" yani saklama süresi, günlük olarak üretilen milyarlarca log kaydının nasıl yönetileceğinin temelini oluşturur. Dolayısıyla, uygun bir saklama politikası belirlemek, hem güvenlik açısından hem de yasal zorunlulukları yerine getirmek açısından önemlidir.

Günlük logların hızla arttığı bir ortamda, tüm logları sonsuza kadar hızlı disklerde tutmak ekonomik olarak mümkün olsa da pratik değildir. Bu nedenle, saklama politikaları oluştururken iki ana faktör üzerinde durulmalıdır: maliyet ve performans. Bu dengeyi sağlamak amacıyla log yaşam döngüsü yönetimi uygulanmalı ve doğru veri katmanları (tiers) belirlenmelidir.

Depolama Katmanları (Tiering)

Modern siber güvenlik mimarilerinde, log verilerinin saklama yöntemleri erişim hızına ve verinin yaşına göre farklı katmanlar altında organize edilir. Bu katmanların özellikleri şöyledir:

  • Hot Storage (Sıcak Depolama): En hızlı disklerin (SSD) kullanıldığı, genellikle son 7-30 gün içinde üretilen verilerin saklandığı katmandır. Anlık aramalar ve alarmlar için kullanılır.

  • Warm Storage (Ilık Depolama): Daha ucuz diskler kullanılarak yapılan bu saklama yöntemi, genellikle son 1-6 aylık verileri içerir. Geçmişe dönük raporlar ve analizler için uygundur.

  • Cold Storage (Soğuk/Arşiv Depolama): En ucuz depolama seçeneğidir ve genellikle bulut servisleri veya manyetik teyp gibi yöntemler kullanılır. Yıllık veriler sıkıştırılmış halde saklanır ve bu verileri aramak zor ve zaman alıcı olabilir.

Bu katmanlar, bütçeyi koruyarak aynı zamanda analistlerin hızlı bir şekilde verilere erişim sağlamasını mümkün kılar. Örneğin, aşağıdaki kod bloğunda bir log saklama politikası örneği bulunmaktadır:

{
  "storage_tiers": {
    "hot": {
      "duration": "30 days",
      "medium": "SSD",
      "use_case": "Real-time alerts and analysis"
    },
    "warm": {
      "duration": "6 months",
      "medium": "HDD",
      "use_case": "Historical reporting"
    },
    "cold": {
      "duration": "1 year",
      "medium": "Cloud or Tape",
      "use_case": "Long-term archiving"
    }
  }
}

Yasal Zorunluluklar ve Mevzuat

Log saklama sadece teknik bir tercihten ibaret değildir; aynı zamanda yasal bir zorunluluktur. Türkiye'de özellikle internet toplu kullanım sağlayıcıları ve yer sağlayıcılar için logların belirli bir süre (genellikle en az 2 yıl) saklanması zorunluluğunu düzenleyen temel kanun 5651 sayılı Kanun’dur. Bu yasal çerçeve, logların saklama sürelerinin belirlenmesi ve gerektiğinde bu verilere erişilmesi açısından kritik bir rol oynamaktadır.

Bu nedenle, organizasyonlar saklama sürelerini belirlerken hem yasal gereklilikleri göz önünde bulundurmalı hem de bu yasal süreler dolarken verinin nasıl yönetileceğini planlamalıdır.

Veri Bütünlüğü ve Değişmezlik

Arşivlenen logların mahkemede delil olarak geçerliliği için, oluşturuldukları anda dijital bir mühür ile korunmaları gerekmektedir. Bu işlem, logların bütünlüğünü ve değişmezliğini sağlamak amacıyla gerçekleştirilir. Hash tabanlı zaman damgası uygulamaları, bu noktada kritik bir araçtır. Aşağıda bir hash işlemi örneği bulunmaktadır:

import hashlib
import time

def generate_hash(log_entry):
    log_data = log_entry + str(time.time()).encode()
    return hashlib.sha256(log_data).hexdigest()

log_entry = "Log message here"
log_hash = generate_hash(log_entry)
print(f"Log Hash: {log_hash}")

Bu işlem sayesinde loglar, saklandıkları süre boyunca değişemediklerinin kanıtı olarak dijital olarak mühürlenir. Bu da hem yasal süreçlerde hem de veri güvenliği uygulamalarında büyük önem taşır.

Logların Vedası: Purging

Saklama süresi dolmuş verilerin sistemden kalıcı olarak silinmesi işlemi "purging" olarak adlandırılır. Bu işlem, disk alanını boşaltmak ve kişisel verilerin korunması (KVKK/GDPR) kapsamında veriyi gereğinden fazla tutmamak için otomatik olarak gerçekleştirilmelidir. Bu otomasyon sürecinin sağlanması, organizasyonların veri yönetim stratejilerinin etkinliğini artırır.

Operasyonel ve Hukuki Etkiler

Bir SOC analisti için doğru bir log saklama politikası oluşturulması, uzun vadede siber saldırıların izlenmesine ve güvenlik zafiyetlerinin tespit edilmesine olanak sağlar. Özellikle saldırıların aylar sonra fark edildiği durumlarda, geçmiş verilerin elde edilebilir olması, adli analiz (forensics) süreçlerinde hayati bir rol oynar. Doğru saklama süreleri ve politikaları, hem operasyonel hem de hukuki etkileri beraberinde getirir ve siber güvenlik stratejilerinin etkinliğini büyük ölçüde yükseltir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında log saklama ve arşivleme politikaları, kuruluşların güvenliğini sağlamak için kritik bir öneme sahiptir. Loglar, siber saldırıların tespiti, olaylara müdahale ve adli analiz süreçlerinde büyük rol oynar. Ancak bu logların saklanması ve yönetilmesi esnasında söz konusu olan riskler, doğru yorumlama ile savunma stratejilerinin belirlenmesini gerektirir.

Elde Edilen Bulguların Güvenlik Anlamı

Birçok siber güvenlik olayı, log kayıtları üzerinden analiz edilerek anlaşılabilir. Bu bağlamda loglar, yalnızca sistemi izlemek için değil; aynı zamanda potansiyel tehditlerin tespit edilmesi için hayati öneme sahiptir. Örneğin, bir hizmetin sızmasına dair log kayıtları, saldırganın hangi noktadan sisteme girdiğine dair bilgiler içerebilir. Ancak, doğru yorumlama yapılmadığı takdirde, bu bulgular yanıltıcı olabilir.

Bir örnek üzerinden açıklamak gerekirse, bir kullanıcının sisteme aşırı sayıda hatalı giriş denemesi yaptığını varsayalım. Bu durumda, durumun sadece bir zafiyet olduğu düşünülürse, bu durum göz ardı edilir. Ancak analistler, bu davranışı bir siber saldırmanın belirtisi olarak değerlendirmeye almalıdır.

Log Kayıt Örneği:
2023-10-05 14:32:11 ERROR: Kullanıcı [user123] 5 başarısız giriş denemesi yaptı.

Buradaki log kaydı incelendiğinde, kullanıcı [user123] ile ilgili bu saldırgan davranış tespit edilmelidir. Eğer bu durum gözden kaçarsa, sistem uzun vadede daha büyük zararlara maruz kalabilir.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, logların güvenilirliğini ciddi şekilde etkileme potansiyeline sahiptir. Özellikle güvenlik duvarı ya da sistem izinleri gibi bileşenlerde yapılan hatalar, loglamanın yetersiz veya yanlış bilgi vermesine neden olabilir. Bu durum, analistlerin doğru tehditleri zamanında tespit etmesini engeller.

Örneğin, bir güvenlik duvarı üzerinde tanımlanan kuralların yanlış yapılandırılması, belirli IP adreslerinden gelen trafiğin tamamen göz ardı edilmesine yol açabilir. Bu durumda, bir tehditin meydana gelmesi durumunda, ilgili loglar analiz edilse bile gerçek durumu yansıtmayacaktır.

Sızan Veri ve Topoloji

Bir başka önemli nokta, sızan verilerin analizi ve sistem topolojisinin doğru bir şekilde haritalanmasıdır. Verilerin sızması durumunda, hangi bilgilere ulaşılması gerektiği kadar, bu bilgilerin nerede saklandığı da önemlidir. Sızan verilerin izini sürmek, genellikle log kayıtlarından mümkün olmaktadır.

Loglarda bulunan IP adresi verileri ve kullanıcı hareketleri, bir saldırının hangi yapıdan kaynaklanabileceğini A/B testi ile analiz edebilir. Genellikle, 

SELECT user_id, COUNT(*) as attempts
FROM login_attempts
WHERE timestamp >= NOW() - INTERVAL '1 day'
GROUP BY user_id
ORDER BY attempts DESC
LIMIT 5;

gibi sorgular kullanarak hangi kullanıcıların olağandışı faaliyet gösterdiğini belirlemekte kullanılabilir.

Profesyonel Önlemler ve Hardening Önerileri

Kuruluşlar, log saklama politikalarını belirlerken güvenlik zafiyetlerini minimize etmeye odaklanmalıdır. Bunun için önerilen bazı hardening önlemleri şunlardır:

  1. Erişim Kontrolü: Log dosyalarına erişim yalnızca yetkili kullanıcılar tarafından sağlanmalıdır. Böylece veri manipülasyonunun önüne geçilebilir.

  2. Veri Şifreleme: Saklanan logların şifrelenmesi, verilerin bir siber saldırgan tarafından ele geçirilse bile okunamaz hale gelmesini sağlar.

  3. Güçlü Saklama Politikaları: Logların hangi sürelerde tutulacağına ilişkin politikalar oluşturulmalıdır. Bu genellikle yasal düzenlemelere ve organizasyonun ihtiyaçlarına göre şekillenir.

  4. Düzenli İnceleme: Log kayıtlarının düzenli olarak incelenmesi, potansiyel tehditlerin zamanında tespitini sağlar.

Sonuç Özeti

Log saklama ve arşivleme süreçlerinin düzgün yürütülmesi, siber güvenlik stratejilerinin temel taşlarındandır. Elde edilen bulguların doğru yorumlanması, yanlış yapılandırmaların etkilerinin anlaşılması ve sızan verilerin tespiti, bu politikalarda öne çıkmaktadır. Güçlü bir savunma stratejisi oluşturmak için, profesyonel önlemlerin alınması ve sürekli güncellemeler yapılması gereklidir. Bu bağlamda, log kayıtlarının düzenli olarak gözden geçirilmesi ve yenilikçi yaklaşımlar benimsenmesi önem kazanmaktadır.