GİRİŞİMCİLİK OYNAMAK

Silikon vadisi tecrübesi olanlar veya İsrail’i takip edenler, bu ülkeler ile Türkiye’nin GİRİŞİMCİLİK  kültürünün birbiri ile tamamen ters olduğunu ve dolayısı ile birbiri ile tamamen zıt sonuçlar ürettiğini görebilirler.

Örnek vermek gerekirse cesaret, organizasyon, network konularında çok farklı iki kültürüz ama tamamen yanlış anladığımız milli olmak diye bir anlayış da var ortada.  Mesela ABD de eyaletlerin verdiği destekler var, burada şirketin ürünü nerede ürettiği ve hatta ürettirdiği önemli değil. Şirketin o işi ABD de büyütüp büyütemeyeceği önemli. Bizde ise teknopark, AR-Ge merkezlerindeki şirketlerinin %90 ı  devlet desteği olmadan 1 yıl ayakta  kalamaz durumda. (Vergi avantajları vb.. buralarda ofis açmış banka, Telekom operatörleri vb.. şirketleri hesaba katmazsak)

Milli olmak diye bir zorlama yok. Zaten sen ortamı müsait tutarsan herkes sana gelir. Mesela Google ın yarı ortağı Rus, ABD bunu dert etmiyor. Veya bugün dünyada global olmak isteyen herkes kendini ABD ye gitmek zorunda hissediyor. Türkiye ye gelen var mı?

Dolayısı ile ülkende teknoloji üretimi bir sonuç, eğer sen gerekli şartları oluşturursan herkes sana gelir ve dolayısı ile milli olur. Milli olsun diye üretilmiş ama aslında rekabet etme gücü olmayan şeylerle para, vakit ve de bence en önemlisi umut kaybedilmez, çünkü sonunda herkese biz yapamayız fikri kazınıyor.

Sorunları görüş çözemiyor olmanın pek çok sebebi mutlaka vardır. Birkaç tanesini sıralayayım

http://www.sabah.com.tr/yazarlar/oguz/2015/12/28/havanda-su-dovup-elekle-tasimaya-son

http://www.sabah.com.tr/yazarlar/oguz/2016/01/04/ne-teknoloji-ne-kent-iste-size-teknokent

http://www.sabah.com.tr/yazarlar/oguz/2010/04/30/teknopark_modasi

 ama 1941 de hitlerden kaçıp İTU ye gelen Alman profesör 100 yıl önce sanırım en doğru teşhisi koymuş. Türkler negatifte birleşiyor (negatif seleksiyon)

SIEM Korelasyon Çözümlerinde Aktif Kural Sayıları ve Gerekli CPU RAM Kaynakları Nedir?

Bir Korelasyon motorunun performansı kaç adet kuralı kaç EPS için desteklediğine bağlıdır. Eğer ürünü gerçekten güvenlik amaçlı ve oluşan normal dışı durumları tespit ve takip için kullanıyorsak, ortalama bir SIEM projesinde yüzlerce aktif kural olur.

Örnek olarak Sentinel 6.1 ürününü 20 adet korelasyon kuralı için önerdiği fiziksel sunucu özellikleri 2 core 3 Ghz CPU ve 4 GB RAM idi [1]. Bu sunucu ne log toplama ne de normalizasyon işlemi yapmaktadır. Sadece log korelasyon işlemi yapmak üzere kullanılan fiziksel bir sunucudur  [1]. Son sürümünde üretici net 20 rakamı vermek yerine ihtiyaç duydukça yeni bir fiziksel korelasyon sunucusu ekleyin demektedir. [2]

HP,IBM gibi üreticiler de net bir rakam vermek yerine duruma göre fiziksel kaynak ekleyin tarzı öneri ve uyarılarda bulunmaktadır.

Dolayısı ile proje aşamasında ürünü konumlandıran ve bu değerlere karar veren ekiplerin bunu çok doğru yapabilmesi gerekir. Aksi durumda son kullanıcı ne bu parametrelerin doğru olmadığını ne de nasıl ölçeceğini bilemeyebilir. Sadece kritik yani kendinin fark edebileceği bir senaryo oluşursa bir şeylerin ters gittiğini anlayabilir.

Çalıştırılacak korelasyon kuralı adedi ve EPS değerleri ile CPU, RAM, Disk hızı ve kaç adet fiziksel veya sanal korelasyon sunucusu olacağı arasında bir ilişki vardır. [3]

Diğer önemli bir unsur da kuralların karmaşıklığıdır. Bir kullanıcı başarısız oturum açarsa uyar veya 5 dakika 15 tane paket bloklanırsa uyar tarzı basit kurallar ile son 1 aylık kullanıcı başına ortalama download oranlarının %40 üstünde download yapan kullanıcıları bildir gibi karmaşık kurallar aynı CPU ve RAM kullanımına sahip değillerdir.

1.      http://www.slideshare.net/NOVL/how-to-architect-a-novell-sentinel-implementation   

2.      https://www.netiq.com/documentation/sentinel-73/s73_install/data/b19meos5.html#b12e1bcy

3.      http://www.slideshare.net/anetertugrul/siem-surelog-arcsight-qradar-logrhythm-alienvault-solarwinds-lem-performance-comparison

Türkiye'ye Yapılan DDOS Saldırısının Hatırlattıkları

Türkiye'ye Yapılan DDOS Saldırısının Hatırlattıkları

Türkiye saldırı boyutu ve teknikleri olarak çok ta ileri olmayan hatta Savunma Sanayii Müsteşarlığı’nın iştiraklerinden biri olan Savunma Teknolojileri Mühendislik ve Ticaret A.Ş'nin (STM) Genel Müdürü Davut Yılmaz'ın tepitlerine göre: "Bugünlerde DDOS için 400 Gbps büyüklüğündeki saldırılar bile normal karşılanırken, 40 Gbps büyüklüğündeki bir saldırıyla tüm ülke trafiğinin durma noktasına gelmesi, ülkemiz adına hiç iyi bir durum değil. İleride daha büyük sorunların yaşanmaması için ilgili uzmanların da yakından bildiği birtakım sorunların acilen çözülmesi gerekiyor"

Ama yine de ülke olarak ciddi etkilendik. İş işten geçtikten sonra da Güvenlik Uzmanları! ve Danışmanlar çıktı medyada şöyle oldu böyle oldu dediler.

Tamam F1 plotundan ders alıyorsunuz diye onun gibi süremeyebilirsiniz hatta F1 arabasını satın alsanız da F1 plotu kadar hızlı süremeyebilirsiniz ama konu can alıcı ise ya sürücüyü ya da eğiticiyi değiştirirsiniz, olduğu kadar demezsiniz herhalde.

Bütün bu yaşananlar uzmanı olduğum SIEM konusunun Türkiye'deki durumunu aklıma getirdi. Çünkü bu saldırıya uğrayan bu kurumların hepsinde KORELASYON yapan bir log yönetimi ürünü (Özellikle SIEM demiyorum)
var. SIEM olarak kullanan yok gibi zaten. Çoğunluk log search etmek için veya kim logon olmuş, hangi dosyaya erişmiş vb.. uyumluluk raporlarını görse yetiyor.
Günlük milyarlarca logun içinde kayda değer veya kritik bir şeyi search ederek bulmak imkansız zaten.

Sektörü algılar ve reklam yönlendiriyor. Jeff Bezos: ”Eski dünyada zamanın %30'unu harika bir hizmet sunmaya %70'ini de onun reklamına harcardık. Yeni dünyada hepsi tersine döndü.” demiş ama bizde sanırım daha dönmedi.

Örnek vereyim. Aşağıda bir Firewall logu var.

Feb 15 22:01:35 [xx] aaaaa: NetScreen device_id=aaaaa [Root]system-alert-00016: user=erugrul.akbas From X.Y.Z.W:ABCD to E.F.G.H:KLM, proto TCP (zone Untrust, int untrust). Occurred 1 times. (2015-02-15 22:09:03)

Türkiye'deki projelerde bu logunu kaynak IP si şu, Hedef IP bu, hedef ve kaynak portlar da bunalar, kullanıcı da bu şeklinde ayırmak ve istendiğinde bunun üzerinde arama (search) yapabilmek yeterli.

Ama aslında bu bir tarama logu ve örnek olarak SureLog bun logu " Reconnaissance->Scan->Host " şeklinde kategorize edip bunu gösterebiliyor ve 
kullanıcıya tarama yapan varsa haber ver diyebiliyor. Ama kaynak IP , Hedef IP , hedef ve kaynak portlar ve kullanıcı ya bakarak veya search ederek sisteminize bir tarama yapıldığını bulamazsınız.

Bugüne kadar yaklaşık 500 projede bu ayrımı soran 2-3 tane kişi dışında kimseyle karşılaşmadığım gibi anlatmaya çalışınca da bir fark oluşturmuyor veya hatta size rakipte olmayan şeyleri şartnameye yazdırmaya çalışan uyanıklar olarak ta görebiliyorlar ki bu özellikler global ürünlerde mevcut olan şeyler. Sadece algılar ve reklam yön veriyor piyasaya. Ayrıca biz Türklerin egosu çok çok yüksek. Her şeyi en iyi biz biliyoruz ama adam 40 Gbps DDOS ile ülkeyi kitliyor .

Tekrar DDOS saldırısına dönersek; bu saldırıyı engelleyemeyen kişi veya kurumlar bir bedel öder mi? Sanmıyorum. Türk toplumunda böyle bir olgu yok.

"Neyse! kış geldi hiç yağmur yağmadı kuraklık olmasa bari. Hem sonra her gün zirai don oluyor. Umarım ağaçlar zarar görmez.  Patates tarlada 30 kuruşa düşmüş..." (Alıntıdır)