Gizli Tehditler: Log’ların Söylemediği Sır

BT ekipleri için log’lar genelde “olanı gösteren” bir kayıt defteri gibi görülür. Sunucu çökerse bakılır, uygulama hata verirse açılır, kullanıcı giriş yapamazsa incelenir. Fakat siber güvenlik perspektifinden log’lar çoğu zaman olanı değil, saldırganın görünmesine izin verdiği kısmı gösterir. Gerçek tehditler ise günlüklerin satır aralarında değil, söylemediği boşluklarda gizlenir.

Günümüzde saldırıların önemli bir kısmı log üretmeden ya da üretilen log’ları gürültü içinde kaybettirerek ilerler. Saldırganlar önce sistemi devirmeye değil, iz bırakma mekanizmasını devre dışı bırakmaya odaklanır. Bir endpoint’e sızıldığında, yetki yükseltme denemeleri bazen Event Viewer’a “olağan servis davranışı” gibi düşer. Linux tarafında ise auth.log ya da syslog’a bakıldığında görülen başarısız girişler genelde otomatik bot denemeleri sanılır; oysa bu denemelerin arasında doğru parola keşif saldırıları da olabilir. Asıl tehlike, 200 başarısız denemenin değil; bu 200 denemenin zamanlamasının, kaynağının ve bağlamının kimse tarafından korele edilmemesidir.

Bir diğer yaygın kör nokta log manipülasyonu. Zaman senkronizasyonu (NTP) kasıtlı olarak bozulduğunda, log’lardaki zaman damgaları tutarsızlaşır ve olaylar yanlış sırada okunur. Böyle bir durumda saldırının başlangıcı “sistem saati hatası” diye raporlanır, veri sızıntısının gerçekleştiği saat ise “bilinmiyor” olarak kalır. Ayrıca bazı gelişmiş tehditlerde saldırganlar log’ları silmek yerine daha akıllıca davranır: Gerçek saldırı izlerini sahte pozitiflerle boğar. Örneğin; PowerShell komut geçmişini temizlemez, yüzlerce zararsız komut çalıştırıp arasına kötü niyetli olanı gömer. Analiz eden kişi “manuel tarama yapıyorum” diye düşünebilir ama korelasyon yoksa o tek zararlı komut asla alarm üretmez.

Peki BT ekipleri bu çorbayı nasıl berraklaştırır?

1. Log’a değil, davranışa odaklanın. Log üretmeyen saldırılar, sistem davranışlarında mutlaka anormallik yaratır: CPU’nun beklenmedik sıçraması, yetki isteyen servislerin artışı, oturum süresinin olağan dışı uzaması ya da servis hesaplarının gece yarısı aktif olması gibi…

2. Korelasyon her şeydir. Tek bir log dosyasına bakmak, tek karelik bir film izlemek gibidir. SIEM, ELK Stack ya da basit log toplama sistemleriyle bile çapraz analiz yapılmadıkça saldırı tespit edilemez.

3. Log’ların bütünlüğünü izleyin. Log silinmiş mi, format değişmiş mi, zaman damgaları tutarlı mı, NTP doğru mu, yetkilendirme denemeleri hangi IP’den geliyor? Bunları da “log gibi” izlemek gerekir.

4. Gürültü filtrelenmeli ama bağlam korunmalı. Etkin log yönetimi; log’ları azaltmak değil, anlamlandırmak demektir.

Sonuç olarak: Log’lar bize sadece “olanı” anlatmaz, bazen gerçeği gizlemek için de vardır. BT’nin yeni sorumluluğu, log’ların söylediklerini okumaktan bir adım öteye gidip, söylemediklerini tespit edebilme yeteneğini geliştirmektir.