Yazan: Vinaya Sheshadri, RiverSafe Siber Güvenlik Uygulama Lideri
İyi bir SIEM aracı, dijital ortamlarını korumak isteyen her kuruluş için bir zorunluluktur. Güvenlik ekiplerinin daha proaktif olmalarına ve operasyonları kesintiye uğratmadan veya hassas verileri açığa çıkarmadan önce potansiyel tehditleri tespit etmelerine yardımcı olurlar.
SIEM çözümleri, sistemleri ve ağları olağandışı etkinliklere karşı izleyerek kuruluşların olası güvenlik sorunlarını veya siber saldırıları hızlı bir şekilde tespit etmesine, araştırmasına ve bunlarla başa çıkmasına olanak tanıyarak bunların neden olabileceği hasarı en aza indirir.
SIEM teknolojisi bir süredir ortalıkta dolaşıyor ve bu süre zarfında bu ürünler önemli ölçüde gelişti; anormal olayları ve davranışları işaretleme yeteneklerini geliştirdiler ve aynı anda ayrıştırabilecekleri veri miktarını artırdılar.
Ancak en önemli yenilikler bulutta yerel SIEM çözümlerinin ortaya çıkışıyla geldi. SaaS ürünlerinin hızlı dağıtım ve ölçeklenebilirlik gibi tüm avantajlarına sahip olan bulut tabanlı SIEM platformları, aynı zamanda şirket içi benzerlerinin sunmadığı birçok avantaj da sunuyor.
Siber saldırıların daha karmaşık ve yaygın hale gelmesiyle birlikte güvenlik yığınınızı güncel tutmak kritik önem taşıyor. Tehdit ortamı sürekli gelişiyor ve dünün güvenlik araçları bugünün siber risklerine karşı koruma sağlayamıyor.
Kuruluşunuz şirket içi SIEM çözümlerine güveniyorsa kendinizi hızla gelişen tehditlere karşı savunmasız bırakıyor olabilirsiniz.
Şirket içi bir SIEM çözümü çalıştırmanın en yaygın dezavantajlarının çoğu, buluttaki benzerleriyle karşılaştırıldığında yalnızca zahmetli olmakla kalmıyor; aynı zamanda güvenlik riskleri de oluşturabilirler. Şirket içi SIEM’lerin bazı önemli tuzaklarına bir göz atalım.
Yüksek (ve yinelenen) maliyetler
Şirket içi SIEM çözümlerinin yalnızca satın alınması değil bakımı da maliyetli olabilir.
Depolama, sunucular, donanım ve yazılım lisansları için gereken ön yatırımın yanı sıra, devam eden bakım veya yükseltmelerin sorumluluğu da kuruluşun omuzlarına düşer. Bir SIEM’in uygun koruma sağlaması için düzenli olarak güncellenmesi, optimize edilmesi ve yamalar uygulanması gerekir; bu da BT ekibinizin önemli ölçüde zaman ve çaba harcamasını gerektirir.
Sınırlı ölçeklenebilirlik
Günümüz ekonomisinde değişmeyen tek şey değişimdir ve sonuç olarak, kaynakları bir kuruluşun ihtiyaçlarına göre esnekleştirme yeteneği, işletmelere avantaj sağlayabilir. Kullanım taleplerini karşılamak için kapasiteyi artırmak veya israfı ve aşırı harcamaları azaltmak için kapasiteyi azaltmak çok önemlidir ve bunu ne kadar hızlı yaparsanız o kadar iyidir.
Şirket içi SIEM dağıtımları genellikle bu esneklikten yoksun olabilir ve değişen gereksinimlere yanıt vermedeki bu yavaşlık, kuruluşunuzu korumasız bırakabilir. Dikkat edilmesi gereken yeni veri akışları veya olay türlerinin eklenmesi, mevcut sistemin ekstra veri hacmini ve işleme gereksinimlerini karşılayamaması durumunda ek donanım veya altyapı yükseltmeleri gerektirebilir.
Karmaşık dağıtım
Her türlü yazılımı şirket içinde dağıtmak karmaşık ve zaman alıcıdır. Alınacak birden fazla veri kaynağı ve uygulamaya konulacak kurallar nedeniyle, SIEM’in uygulanması özellikle zor olabilir. Kullanıma sunulması genellikle aylar süren şirket içi SIEM araçlarının kurulumu genellikle uzman yardımı gerektirir ve bu da maliyetli olabilir. Ayrıca kurulum sırasında meydana gelen herhangi bir hatanın veya yanlış yapılandırmanın potansiyel sonuçları ciddi olabilir.
Eski SIEM çözümleri, diğer güvenlik araçlarıyla entegrasyon açısından da sınırlı olabilir ve ortamınızda izlenmeyen zayıf noktalarla karşı karşıya kalmanıza neden olabilir. Kaçırılan bağlantı güncellemeleri entegrasyonların bozulmasına ve olayların kaçırılmasına yol açabileceğinden, sahip olduğunuz tüm entegrasyonlar dikkatle izlenmelidir.
Kapsamlı veri depolama
SIEM’in tüm amacı şüpheli olaylara ilişkin verileri toplamak ve analiz etmektir. Uygulamalarınızı, altyapınızı ve ağlarınızı korumak için gereken derin, gerçek zamanlı görünürlüğü elde etmek, incelenebilmesi ve raporlanabilmesi için günlüklerin ve denetim izlerinin toplanması anlamına gelir.
SIEM’iniz ne kadar çok veri alırsa o kadar korunursunuz; ancak bu verilerin bir yere gitmesi gerekir ve şirket içi veri depolama ucuz değildir.
Uyumluluk zorlukları
Verileri kendi şirket içi sunucularınızda yerel olarak depolamak yalnızca maliyetli olmakla kalmaz, aynı zamanda çok fazla veriye sahipseniz düzenlemesi ve bakımı da zor olabilir.
Belirli verilere ve gizlilik düzenlemelerine uymak çoğu zaman verileri belirli bir şekilde ve genellikle belirli süreler boyunca saklamanızı gerektirir; bu da muhtemelen bu verileri yönetme konusunda uygulamalı olmanız gerekeceği anlamına gelir.
Hareketlerini takip edebilmeniz ve geçmişine erişebilmeniz de gerekecek; Örneğin, GDPR ve CCPA gibi veri gizliliği kanunları, verilerin uluslararası sınırları veya eyalet sınırlarını aşması durumunda uyulması gereken katı düzenlemelere sahiptir. Verileriniz yerel depolama alanında izole edildiğinde bu daha zor olabilir.
Kilitlenme dönemleri
Kullanıcıların, veri akışlarının veya kaynakların esnekliği söz konusu olduğunda şirket içi SIEM’lerin ne kadar sınırlı olduğundan daha önce bahsetmiştik. Ürünün kendisini lisanslamak da istediğinizden daha kısıtlayıcı olabilir. SIEM uygulandıktan sonra, daha uygun bir platforma geçiş yapmak (ve tüm günlük verilerinizi onunla birlikte taşımak) zor olabilir, hatta aşırı derecede pahalı olabilir. Bu harcama ve sıklıkla onunla birlikte gelen batık maliyet yanılgısı, kuruluşların diğer güvenlik araçlarına yönelmesini ve en iyi performansı veya özellikleri sunmayan bir SIEM ile uğraşmasını engelleyebilir.
Yeni nesil SIEM, zengin, yapay zeka destekli işlevsellik ve her zaman güncel tehdit istihbaratından özelleştirme olanaklarına ve azaltılmış hatalı tespitlere kadar birçok avantaj sunar. Ancak bulut tabanlı bir SIEM’e geçme konusundaki birincil motivasyonunuz ne olursa olsun, bu avantajların nihai sonucu, siber saldırı tehditlerinin ve içeriden gelen tehditlerin etkisinin arttığı bir dönemde kuruluşunuz için daha iyi korumadır.
yazar hakkında
Vinaya, SIEM, SOAR, EDR ve Güvenlik Açığı Yönetimi gibi çeşitli güvenlik teknolojilerini yönetmede 8 yılı aşkın deneyime sahip, Splunk, McAfee, IBM ve daha birçok sertifikaya sahip, son derece deneyimli bir güvenlik mühendisidir.
RiverSafe’te Vinaya, Siber Güvenlik Uygulama Lideridir. Bu görevinde, ekibin RiverSafe müşterilerine mümkün olan en iyi sonuçları vermesini sağlayarak işletme içindeki diğer danışmanlara liderlik eder ve rehberlik eder. Vinaya ayrıca bir organizasyon olarak RiverSafe’in iş geliştirme sürecine de yoğun bir şekilde katılmaktadır.
Vinaya, Salford Üniversitesi’nden Veri Telekomünikasyon Ağları alanında yüksek lisans derecesine sahiptir ve Caretower, Happiest Minds Technologies ve Paladion Networks gibi şirketlerde hem BT danışmanı hem de güvenlik mühendisi olarak çalışmıştır.
Kariyeri boyunca edindiği tüm bilgiler artık RiverSafe çözümlerinin ve hizmetlerinin olabilecek en iyi olmasını sağlamak ve müşterilerinin ağlarını güvende tutmak için kullanılıyor.
Vinaya çalışmadığı zamanlarda seyahat etmekten, yemek yapmaktan ve fotoğraf çekmekten hoşlanıyor.
Vinaya’ya RiverSafe’in şirket web sitesinden ulaşılabilir: https://riversafe.co.uk/