Siber saldırı grupları, kurumların kullandığı EDR, SIEM ve benzeri güvenlik yazılımlarını devre dışı bırakarak, izlerini tamamen gizleyebiliyor. Uzmanlara göre bu durum, "mavi takım" olarak bilinen savunma ekiplerinin saldırıları fark edememesine ve kurumların günlerce, hatta haftalarca siber tehditler altında kaldığını fark etmemesine yol açıyor.
ASIRDX Dijital Bilgi Sistemleri Siber Güvenlik Uzmanı Bünyamin Uysal, AA muhabirine yaptığı açıklamada, güvenlik altyapısının omurgasını oluşturan logların saldırganlar tarafından manipüle edilerek güvenlik merkezlerinin (SOC) "kör" edilebildiğini, bunun da tüm savunma zincirinin felç olmasına yol açtığını belirtti.
"Firmaların güvenlik önlemleri büyük ölçüde bu ürünlerin logları ve korelasyonları üzerinden şekilleniyor." diyen Uysal, bir güvenlik ürünündeki tek bir zafiyetin bile bütün sistemi savunmasız bırakabileceğini vurguladı.
Log akışının kaybolmasına ya da koordinasyonun kopmasına yol açan saldırılardan örnekler sunan Uysal, bu tür saldırıların önlenebilmesi için yalnızca ürün kurulumunun yeterli olmadığını, sistemin sürekli izlenmesi ve doğru korelasyon kurallarının devrede olması gerektiğini dile getirdi.
Uysal, "Microsoft'un driver block list kurallarını domain ortamlarında enforce etmek, expired imzalı sürücülere izin vermemek, kullanıcıların local admin haklarını sınırlandırmak artık zorunluluk haline geldi. Güvenlik ekiplerinin firewall, host dosyaları ve loglama servisleri üzerindeki değişiklikleri sürekli takip etmesi gerekiyor. Bir ürünün sadece aktif olması değil, davranışlarının da analiz edilmesi önemli. Aksi halde saldırganlar bizi izlerken biz hiçbir şey göremiyoruz." dedi.
Bünyamin Uysal, yakın gelecekte yapay zeka güvenliği alanında da benzer risklerin doğabileceğini ifade ederek, "Yapay zeka son iki yılda hayatımıza çok hızlı girdi ama güvenlik tarafı neredeyse hiç konuşulmuyor. Web güvenliği nasıl yıllar içinde geliştiyse, yapay zeka güvenliği de aynı süreçten geçecek." diye konuştu.
Uysal, yapay zeka güvenliği konusunda da yerli ve milli ürünler geliştirilmesinin önemini vurguladı.
EDR, SIEM ve log güvenliği ne anlama geliyor?
Siber güvenlikte kurumların olaylara hızlı tepki verebilmesi, sistemlerden toplanan log kayıtlarının doğru şekilde analiz edilmesine bağlı bulunuyor. Bu loglar, kimlerin, hangi cihazlardan, ne zaman hangi işlemleri yaptığını gösteren dijital izler olarak değerlendiriliyor.
SIEM (Security Information and Event Management) sistemleri, farklı güvenlik bileşenlerinden (örneğin firewall, antivirüs, ağ geçidi, kullanıcı erişim kayıtları gibi) gelen bu logları tek bir merkezde topluyor ve olası anormallikleri korele ederek saldırıları tespit etmeye yarıyor.
EDR (Endpoint Detection and Response) yazılımları ise bilgisayar, sunucu ve mobil cihaz gibi uç noktalarda şüpheli aktiviteleri izliyor, saldırı girişimlerini durduruyor ve verileri SOC'a (Security Operation Center - Güvenlik Operasyon Merkezi) iletiyor.
Saldırganlar, EDR veya SIEM gibi sistemleri doğrudan hedef alarak bu log akışını manipüle ettiğinde, kurumun siber savunma gözleri kararıyor. Bu durum "mavi takımın kör edilmesi" olarak tanımlanıyor ve saldırıların uzun süre fark edilmeden ilerlemesine yol açıyor.
Son yıllarda özellikle kritik altyapılar, enerji tesisleri ve finans sektörü bu tür log manipülasyonlarına karşı özel koruma stratejileri geliştirmeye başladı. Uzmanlara göre, siber güvenlik zincirinin en zayıf halkasını artık sadece kullanıcı hatası değil, log güvenliğinin ihlali oluşturuyor.