CyberFlow Logo CyberFlow BLOG
Owasp Logging & Alerting Failures

Anomali Tespiti ve Davranış Bazlı Alarm Yaklaşımı

✍️ Ahmet BİRKAN 📂 Owasp Logging & Alerting Failures

Davranış bazlı alarm sistemleri ile olası güvenlik tehditlerini daha hızlı tespit edin. Detaylarla dolu bu yazımızı keşfedin!

Anomali Tespiti ve Davranış Bazlı Alarm Yaklaşımı

Güvenlik alanında değişen tehditleri anlamak için anomali tespiti ve davranış bazlı alarm kavramlarını öğrenin. Kullanıcı davranışları üzerindeki etkilerini, analiz sürecini ve bu yaklaşımın önemini keşfedin.

Giriş ve Konumlandırma

Siber güvenlik, günümüzün dijital dünyasında her geçen gün daha kritik bir hale geliyor. İnternetin sağladığı kolaylıklar ve fırsatlar, aynı zamanda siber tehditleri de beraberinde getiriyor. Bu bağlamda, "Anomali Tespiti ve Davranış Bazlı Alarm Yaklaşımı" siber güvenlik stratejilerinin vazgeçilmez bir parçası olarak öne çıkıyor.

Anomali Tespiti Nedir?

Anomali tespiti, bir sistemde veya kullanıcı davranışında beklenmeyen, olağandışı hareketlerin tespit edilmesi sürecidir. Bu süreç, güvenlik tehditlerinin belirlenmesi, ağ saldırılarının önlenmesi ve genel siber güvenliğin artırılması açısından hayati bir rol oynar. Örneğin, bir kullanıcının normalde her gün sabah 9'da giriş yaptığı bir sisteme, birdenbire gece yarısı farklı bir lokasyondan giriş yapmaya çalışması, anomali tespitinin bir örneğidir.

Anomalilerin tespit edilmesi, yalnızca bir olayın kötü görünmesi ile ilgili değildir. Aksine, olayın beklenen davranış kalıplarından ne kadar uzaklaştığına odaklanır. Bu bağlamda, davranış bazlı alarm yaklaşımı, siber güvenlik alanında kritik bir yöntem olarak öne çıkmaktadır. Kullanıcı veya sistem davranışında oluşan sapmalar, güvenlik alarmlarının oluşturulmasında önemli bir temel teşkil eder.

Davranış Bazlı Alarm Yaklaşımı

Bu yaklaşım, sabit eşiklerin ötesine geçerek, bir kullanıcının veya sistemin normal örüntüsünden sapan hareketleri dikkate alır. Davranış bazlı alarm mantığının temelinde "normal" olarak tanımlanmış davranış kalıpları yer alır. Örneğin, herhangi bir kullanıcının alışık olduğu bir sistemde belirli bir işlem sıklığı, zaman dilimi ve kaynak kombinasyonunun olması beklenir. Eğer bu kalıplarda bir sapma gözlemlenirse, bu durum alarm verir.

Aşağıda, davranış bazlı alarm üretiminde kritik olan unsurlar sıralanmaktadır:

  • Kullanıcı Davranışları: Kullanıcının belirli bir zamanda, belirli bir cihazdan giriş yapması beklenirken, aniden farklı cihazlardan veya farklı zaman dilimlerinden giriş denemeleri alarmı tetikleyebilir.
  • Olay Yoğunluğu: Aynı kullanıcıdan kısa zaman dilimlerinde yoğun giriş denemeleri gelmesi, sistemin saldırıya uğrayabileceğini gösterir.
  • Kaynak Anomalileri: Kullanıcının alışık olmadığı IP adreslerinden veya coğrafi bölgelerden gelen erişimler, anomali tespiti için önemli sinyallerdir.

Anomali Tespitinin Boyutları

Anomali tespiti, farklı boyutlarda ve çeşitli senaryolar altında gerçekleştirilebilir. Örneğin:

  • Zamansal Anomali: Kullanıcının olağan giriş saatine göre davranış göstermezse (örneğin, gece yarısı giriş denemeleri).
  • Kaynak Anomalisi: Kullanıcının normalde kullandığı IP adresi dışında bir yerden giriş yapmak istemesi.
  • Davranışsal Akış Anomalisi: Normal iş akışında beklenmeyen işlem sırası veya yoğunluğunun gözlemlenmesi.

Bu boyutlar, anomali tespitinin kapsamını genişletir ve birden fazla açıdan değerlendirme yapma imkanı sağlar. Yani, yalnızca login denemelerini değil, MFA (Multi-Factor Authentication) ve diğer güvenlik mekanizmalarını da göz önünde bulundurmak gerekir.

Normal Davranışın Tanımlanması

Anomali tespitinin temeli, normal davranışın doğru bir şekilde tanımlanmasında yatar. Kullanıcıların alışık olduğu giriş saatleri, sık kullandığı kaynaklar ve işlem akışları, anomali tespitinin sıhhati için kritik öneme sahiptir. Bir davranışın "anormal" olup olmadığını belirlemek için, önce "normal" kabul edilen davranışların net bir şekilde tanımlanması gerekir. Bunun için güvenlik sistemlerinin loglama mekanizmaları en doğru referansları sağlar.

grep -i failed login auth.log

Yukarıdaki komut, auth.log dosyasında büyük-küçük harf duyarsız bir şekilde "failed login" ifadesini aramak için kullanılabilir. Bu tür kayıtlar, normal davranış kalıplarının oluşturmasına yardımcı olurken, sapmaların belirlenmesine olanak tanır.

Sonuç

Sonuç olarak, anomali tespiti ve davranış bazlı alarm yaklaşımı, siber güvenlik stratejileri içerisinde merkezi bir rol üstlenmektedir. Kullanıcı ve sistem davranışlarının sürekli izlenmesi, normal örüntülerin oluşturulması ve bu örüntülerden sapmaların alarm olarak değerlendirilmesi, günümüz dijital ortamında güvenliğin sağlanmasının olmazsa olmazları arasında yer alır. Bu blogda, anomali tespiti ve davranış bazlı alarm yaklaşımının çeşitli boyutları ve uygulama alanları derinlemesine incelenecektir.

Teknik Analiz ve Uygulama

Davranış Analizinin Dayandığı Temel Olay Kalıbını Tanımak

Siber güvenlik alanında anomali tespiti, genel olarak sistemlerin ve kullanıcıların olağan davranış kalıplarından sapmaları tespit etmek üzere geliştirilmiş bir yaklaşımdır. Başarılı bir davranış analizi için, öncelikle sistemin kayıtları üzerinde dikkatli bir şekilde inceleme yapılması gerekmektedir. Bunun için, auth.log dosyasındaki giriş denemeleri gibi temel olayları analiz etmeye başlamak önemlidir. Örneğin, başarısız giriş denemelerini tespit etmek için aşağıdaki komutu kullanabiliriz:

grep -i "failed login" auth.log

Bu komut, auth.log dosyasında büyük-küçük harf duyarsız bir şekilde "failed login" ifadesini arar ve bu tür olayların sıklığını belirlemeye yardımcı olur.

Davranış Bazlı Alarm Mantığının Temel Kavramını Anlamak

Davranış bazlı alarm sistemi, yalnızca belirli bir olayın kötü görünmesinden ziyade, kullanıcının veya sistemin beklenen davranış kalıplarına göre hareket etmesini öngörmektedir. Örneğin, bir kullanıcının her gün belirli bir cihazdan giriş yaparken, aniden farklı bir ülkeden veya alışılmadık bir zamanda oturum açma denemeleri yapması durumunda, bu davranış anormal olarak değerlendirilebilir. Bu durum, güvenlik açısından dikkate alınması gereken bir risk faktörüdür.

Davranış Bazlı Alarmın Hangi Eksende Çalışabileceğini Ayırmak

Anomali tespiti, farklı boyutlar üzerinden gerçekleştirilebilir. Örneğin, bazı anomali türleri zamansal davranışlarla ilgilidir. Kullanıcının normalde giriş yaptığı saatlerin dışında bir giriş denemesi, zaman anomalisi olarak tanımlanır. Diğer bir örnek ise, aynı kullanıcının kısa bir süre içerisinde farklı IP adreslerinden giriş yapma girişimleridir. Bu gibi durumlar, sistemlerin tehlikeye girdiğini gösteren potansiyel sinyallerdir.

Anomali Analizinin Sadece Login ile Sınırlı Olmadığını Görmek

Sadece oturum açma denemeleri değil, çok faktörlü kimlik doğrulama (MFA) gibi diğer güvenlik süreçleri de anomali analizi kapsamına alınmalıdır. Kullanıcının, alışılmadık bir yoğunlukta başarısız MFA denemeleri yapması, bir saldırı hazırlığına işaret edebilir. Bu tür durumların gözlemlenmesi, güvenlik ekiplerinin proaktif önlemler almasına olanak tanır.

Sapmayı Ölçebilmek İçin Önce Referans Davranışın Gerektiğini Anlamak

Anomali tespiti, öncelikle neyin normal kabul edildiğinin tanımlanmasını gerektirir. Kullanıcının tipik giriş saatleri, sık kullanılan kaynaklar ve genel işlem akışları, normal davranış kalıbını oluşturur. Bu veriler, davranış bazlı alarm üretimi için temel referans noktasını sağlamaktadır. Örneğin, normal bir kullanıcının haftada ortalama 15 defa giriş yaptığını varsayalım; ani bir şekilde giriş sayısının 50'ye çıkması, dikkate alınması gereken bir anomali olarak yorumlanabilir.

Normal Davranıştan Sapmanın Nasıl Güvenlik Alarmına Dönüştüğünü Parçalamak

Tüm bu süreçler sonucunda anomali tespiti ve alarm üretim süreçleri, bir zincir olarak değerlendirilmelidir. İlk olarak, kullanıcıların ve servislerin davranışları loglar üzerinden gözlemlenir. Ardından elde edilen veriler, normal bir örüntü oluşturmak için analiz edilir. Nihayetinde, bu örüntüden sapmalar, güvenlik alarmı veya inceleme nedeni haline gelir. İşte bu zincir, neden alerting sistemlerinin yalnızca eşiklerin değil, aynı zamanda bağlam ve örüntü analizinin de önemli olduğunu ortaya koymaktadır.

Bu kapsamlı yaklaşım, siber güvenlik profesyonellerinin tehditleri anında tespit etmesine yardımcı olur ve kurumların güvenlik duruşlarını önemli ölçüde güçlendirir. Bu nedenle, anomali tespitine yönelik uygulamaların başarılı bir şekilde entegre edilmesi, güvenlik altyapıları için kritik bir adım olarak öne çıkmaktadır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında risk değerlendirmesi, kaynakların ve sistemlerin güvenliğini sağlamak için kritik bir adımdır. Anomali tespiti ve davranış bazlı alarm uygulamaları, bu değerlendirme üzerine daha derinlemesine bir perspektif sunmaktadır. Bu bağlamda, elde edilen bulguların güvenlik anlamında ne ifade ettiğini yorumlamak, zafiyetlerin etkilerini anlamak ve uygun savunma önlemlerini belirlemek önemlidir.

Elde Edilen Bulguların Güvenlik Anlamı

Anomali tespitinde, sistemlerden elde edilen verilerin analizi, belirli bir davranış kalıbının dışına çıkılması durumlarını gün yüzüne çıkarır. Örneğin, bir kullanıcının normalde belirli bir lokasyondan giriş yaparken, aniden farklı ülkelerden veya saat dilimlerinden giriş denemeleri yapması dikkat çekici bir durumdur. Bu tür durumları tespit etmek, olası bir hesap ihlali veya yetkisiz erişim girişimlerinin önlenmesine katkı sağlar. 

grep -i failed login auth.log

Yukarıdaki komut, auth.log dosyasındaki başarısız giriş denemelerini sıralamak için kullanılır. Bu veri, kullanıcıların alışılmadık giriş denemeleri gibi, kritik bir anomali kaynağı oluşturmaktadır.

Yanlış Yapılandırma ve Zafiyetler

Sistemin yanlış yapılandırılması veya var olan zafiyetler, siber saldırganlar tarafından istismar edilebilir. Örneğin, bir sunucunun zayıf parola ilkeleri ya da güncel olmayan yazılımlar, sızma girişimlerinde kolay hedefler oluşturur. Sızan veri türleri arasında, kullanıcı adı, şifreler ya da hassas bilgiler bulunabilir. Özellikle bu bilgilerin başkalarıyla paylaşılması durumunda, etkilerinin geniş bir yelpazeye yayılması kaçınılmazdır.

Anomali Tespiti Boyutları

Davranış bazlı alarm sistemleri, bir dizi olay kalıbına dayanarak çalışır. Örneğin, kullanıcıların giriş saatlerinin düzensizleşmesi veya alışılmadık kaynaklardan gelen uğraşlar, potansiyel tehditlerin belirtisi olabilir. Anomaliler, farklı boyutlarda tespit edilebilir:

  • Zamansal Anomali: Kullanıcının normal çalışma saatinin dışındaki giriş denemeleri.
  • Kaynak Anomalisi: Alışılmadık IP adresleri veya ülkelerden gelen giriş istekleri.
  • Davranışsal Akış Anomalisi: Beklenmeyen işlem sıraları veya yoğunluğu.

Bu tür anomali tespitleri, siber güvenlik ekiplerine hızlı bir şekilde harekete geçme fırsatı sağlar.

Profesyonel Önlemler ve Hardening Önerileri

Anomali tespit sistemlerinin etkinliğini artırmak için, organizasyonların belirli güvenlik önlemleri alması gerekir. Bunlar arasında:

  1. Güçlü Parola Politikaları: Kullanıcıların güvenli parolalar oluşturup düzenli olarak değiştirmesi sağlanmalıdır.
  2. İki Faktörlü Kimlik Doğrulama (MFA): Sisteme erişim için birden fazla doğrulama katmanı eklenmelidir.
  3. Sürekli İzleme ve Analiz: Davranış bazlı izleme sistemleri, düzenli olarak güncellenmeli ve verimli bir şekilde yönlendirilmelidir.
  4. Eğitim ve Bilinçlendirme: Kullanıcılara güvenlik bilinci aşılanmalı, olası tehditlerle ilgili eğitimler verilmelidir.

Sonuç Özeti

Anomali tespiti ve davranış bazlı alarm sistemleri, siber güvenlik faaliyetlerinin önemli bir parçasıdır. Eksikliklerin olmadığı bir yapı, hem maliyet açısından hem de güvenlik açısından daha az risk taşır. Yanlış yapılandırmalar sadece sistem zayıflıklarına neden olmaz; aynı zamanda veri sızıntılarına ve güvenlik ihlallerine kapı aralar. Organizasyonların, belirtilen önlemleri alarak ve sürekli bir risk değerlendirmesi yaparak, güvenlik seviyelerini yükseltmeleri kritik öneme sahiptir.