CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Anomali Tespiti ve Davranışsal Analiz ile Güçlü Siber Güvenlik Stratejileri

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Anomali tespiti ve davranışsal analiz temelleri hakkında bilgilendirici bir rehberle, siber güvenlik stratejilerinizi güçlendirin.

Anomali Tespiti ve Davranışsal Analiz ile Güçlü Siber Güvenlik Stratejileri

Anomali tespiti ve davranışsal analiz, siber güvenlikte kritik öneme sahiptir. Kullanıcı davranışlarını anlamak ve riskleri değerlendirmek için temel bilgileri öğrenin.

Giriş ve Konumlandırma

Siber güvenlik alanında, tehditlerin sürekli evrildiği ve giderek daha karmaşık hale geldiği bir dönemde yaşıyoruz. Geleneksel savunma yöntemlerinin yetersiz kaldığı bu ortamda, anomali tespiti ve davranışsal analiz yöntemleri öne çıkmaktadır. Bu yazıda, bu yöntemlerin temel kavramlarını ve önemini ele alacağız.

Anomali Tespitinin Temel İlkeleri

Anomali tespiti, bir sistemin veya kullanıcının geçmişteki normal davranışlarından sapan, alışılmadık hareketleri belirleme sürecidir. Geleneksel güvenlik sistemleri, genellikle "Eğer A ve B gerçekleşirse alarm üret" şeklinde çalışan kural tabanlı yaklaşımı benimsemektedir. Ancak, saldırganlar çoğu zaman bu kuralların etrafında dolaşabilmektedir. Dolayısıyla, anomali tespiti, güvenlik takımları için kritik bir gereklilik haline gelmiştir. Bu işlevselliğin temelini oluşturan "Baseline" kavramı, bir kullanıcının veya cihazın normalde ne tür aktiviteler gerçekleştirdiğini belirlemek için kullanılan bir referans noktasıdır. Sistemin geçmiş loglarını inceleyerek oluşturulan bu temel çizgi, anormalliklerin tespitinde kritik bir öneme sahiptir.

Anomali Tespiti Süreci:
1. Geçmiş verilerin analizi.
2. Normal davranışın tanımlanması (Baseline).
3. Anormal davranışların izlenmesi.

Davranışsal Analizin Rolü

Kullanıcı ve varlık davranış analitiği (User and Entity Behavior Analytics - UEBA), anomali tespitinin yanı sıra, kullanıcılar ve diğer varlıklar (sunucular, uygulamalar vb.) üzerinde sürekli bir gözetim yaparak potansiyel tehditleri belirlemeye yardımcı olur. UEBA sistemleri, kullanıcıların günlük rutinlerinden gelen sapmaları yakalayarak, çalınmış hesapları veya içeriden gelen tehditleri (insider threat) tespit edebilir. Örneğin, bir kullanıcının daha önce hiç erişmediği kritik bir finansal klasöre erişim talep etmesi, güvenlik analistleri için bir alarm oluşturabilir.

# Örnek bir kullanıcı davranış analizi
def user_behavior_analysis(user_actions):
    normal_actions = get_user_normal_actions(user_id)
    anomalies = []
    
    for action in user_actions:
        if action not in normal_actions:
            anomalies.append(action)
    
    return anomalies

Risk Puanlama ve Skorlama

UEBA sistemlerinin en güçlü yanlarından biri, her şüpheli harekete bir puan atamasıdır. Örneğin, kullanıcının geç saatte sisteme giriş yapması tek başına bir alarm oluşturmayabilir; ancak, bu durum başka anormal eylemlerle birleştirildiğinde (olağandışı IP adresi kullanımı veya yüksek veri transferi gibi) kullanıcının toplam risk puanı artar. Böylece, analistler daha kapsamlı bir değerlendirme yaparak siber tehditleri daha etkili bir biçimde yönetebilirler.

Varlık Davranış Analizi

Yalnızca bireysel kullanıcıların değil, aynı zamanda sistem varlıklarının da anomali gösterebildiği açıktır. Örneğin, bir web sunucusunun normalde yalnızca önceden belirlenmiş portlar üzerinden trafik alması gerekirken, aniden başka bir port üzerinden dışarıya trafik yollaması, sunucunun kötü niyetli bir saldırgan tarafından ele geçirildiğini gösterebilir. Bu tür durumlar, tahtlarında kullanıcı ve varlık davranış analizi için önemli bir yer teşkil eder.

SONUÇ

Sonuç olarak, anomali tespiti ve davranışsal analiz, günümüzün siber güvenlik mücadelesinde kritik bir yer tutmaktadır. Geleneksel yöntemlerin yetersiz kaldığı durumlarda, bu teknikler sayesinde daha proaktif bir güvenlik yaklaşımı benimsenebilir. Siber güvenlik profesyonellerinin bu alanlardaki bilgi ve becerilerini artırmaları, tehditleri daha doğru bir şekilde değerlendirmeleri için hayati öneme sahiptir. Bu yazı dizisinin devamında, konuya daha derinlemesine bir bakış sunarak, uygulama örnekleri ve stratejiler üzerine odaklanacağız.

Teknik Analiz ve Uygulama

Kuralların Ötesi: Anomali Tespiti

Geleneksel güvenlik sistemleri genellikle imza tabanlı alarmlara dayanır. "Eğer A ve B gerçekleşirse alarm üret" mantığıyla çalışan bu sistemler, saldırganların kuralların dışına çıkmasına olanak tanır. Bu durumda, bir sistemin veya kullanıcının geçmişteki alışkanlıklarından sapmaları tespit etme yaklaşımına anomali tespiti (Anomaly Detection) denir. Anomali tespiti, güvenlik uzmanlarına davranışları daha dinamik bir şekilde izleme ve potansiyel tehditleri hızlı bir şekilde belirleme olanağı sunar.

Anomali tespiti, iki ana bileşene dayanır: normal davranışların tanımlanması ve bu normlardan sapmaların algılanması. Bu noktada önemli bir kavram olan baseline (temel çizgi) devreye girer. Kullanıcılara ya da sistemlere ait geçmiş logların incelenmesiyle oluşturulan bu temel çizgi, normal davranışları belirler.

Baseline: Kullanıcının veya varlığın genel alışkanlıkları, etkileşimleri ve davranışları

Normali Tanımlamak: Baseline Kavramı

Bir anomaliyi tespit edebilmek için öncelikle bir referans noktasına ihtiyaç vardır. Baseline, sistemin geçmişteki etkinlikleriyle oluşturulur ve bu referans, gerçek zamanlı analiz için kritik öneme sahiptir. Ancak, bu referans sürekli değişim gösterir. Sistem, zamanla kullanıcıların veya varlıkların davranışlarını öğrenerek baselinedeki güncellemeleri otomatik hale getirmelidir.

Örneğin, bir kullanıcının bir ay boyunca belirli saat dilimlerinde sisteme giriş yaptığını varsayalım. Eğer bu kullanıcı, bu saat diliminde daha önce hiç olmadığı bir süre zarfında sisteme erişim sağlarsa, bu durum bir anomali olarak dikkat çeker.

Kullanıcı A için Baselinedeki giriş zamanları:
- 08:00 - 17:00 günlük saatleri içermekte
- Anormal giriş: 01:00

Akıllı Analiz: UEBA Nedir?

User and Entity Behavior Analytics (UEBA), kullanıcı ve varlık davranışlarını analiz eden bir teknolojidir. Geleneksel SIEM sistemlerinden farklı olarak, UEBA yalnızca insanları değil, aynı zamanda sunucuları ve diğer varlıkları da sürekli izler. Bu sistemler, risk puanlama mekanizması ile çalışarak, her bir sapmayı otomatik olarak değerlendirir.

UEBA'nın en güçlü özelliklerinden biri, her şüpheli davranışa bir puan vermesidir. Örneğin, bir kullanıcının geç saatlerde hesabına giriş yapması gibi tek bir olay, kendi başına belirgin bir risk oluşturmayabilir. Ancak, bu olayın başka anomalilerle birleştirilmesi durumu, risk puanını artırarak daha kapsamlı bir tehdit tespitine yardımcı olur.

def risk_scoring(time, ip, data_transfer):
    risk_score = 0
    if time > "22:00":  # Geç saat giriş
        risk_score += 5
    if ip not in trusted_ips:  # Olağandışı IP
        risk_score += 10
    if data_transfer > threshold:  # Yüksek veri transferi
        risk_score += 15
    return risk_score

Kullanıcı Davranış Analizi Örnekleri

Kullanıcı davranış analizinde birkaç farklı anomali örneği vardır:

  • Konum Anomalisi: Daha önce hiç bağlanmadığı bir ülkeden aniden başarılı bir giriş.
  • Zaman Anomalisi: Mesai saatleri dışındaki bir zamanda sistemde oturum açma.
  • Erişim Anomalisi: Kullanıcının daha önce erişmediği kritik bir kaynağa erişim talep etmesi.

Bu tür anomaliler, kullanıcıların güvenlik açıklarını belirlemek ve iç tehditleri tespit etmek için kullanılabilir.

Varlık (Entity) Davranış Analizi

Varlık davranışları analizi, sadece insan kullanıcılar üzerinde değil, aynı zamanda sunucular ve diğer cihazlar üzerinde de uygulanır. Örneğin, bir web sunucusunun normalde port 80 ve 443 üzerinden trafik alması beklenirken, aniden dış IP adreslerine port 445 üzerinden erişim sağlaması dikkat çekici bir durumdur. Bu tür davranışlar, sunucunun ele geçirilmesi ve hedefi hedef alarak genişlemesi (lateral movement) olasılığını gösterir.

Sistem tarafından üretilen alarmlar:
- Port 445 üzerinden anormal trafik
- 80 ve 443 dışındaki bağlantı talepleri

Analist Yaklaşımı: UEBA Alarmlarını Yönetmek

UEBA alarmlarının yönetimi, analistlerin güvenlik olaylarını analiz etme yaklaşımlarında farklılık gösterir. Geleneksel SIEM sistemlerinin sunduğu verilerin ötesinde, UEBA analistlere her alarmla birlikte "neden" sorusunu yanıtlayacak bağlamı sunar.

Bu bağlamda, davranış değişiklikleri meşru bir iş değişikliği, tatil gibi sebeplerle ortaya çıkabileceğinden, analistler, inceleme süreçlerinde bağlamsal analiz ve peer group analizi gibi yöntemleri kullanır. Böylece, bir alarmın gerçek bir tehdit mi yoksa meşru bir değişim mi olduğu belirlenebilir.

İnceleme stratejileri:
- Bağlamsal analiz
- Peer group analizi
- İnceleme kapatma kriterleri

Sonuç olarak, anomali tespiti ve davranışsal analiz, siber güvenlik alanında kritik öneme sahiptir. Kullanıcı ve varlık davranışlarının sürekli izlenmesiyle, anormal durumlar hızlı bir şekilde tespit edilebilir ve güvenlik ihlalleri önlenebilir. Bu kapsamda, UEBA sistemleri, hem kullanıcıların hem de varlıkların davranışlarını analiz ederek güçlü bir güvenlik stratejisi sunar.

Risk, Yorumlama ve Savunma

Siber güvenlik süreçlerinde, tehditlerin doğru bir şekilde belirlenmesi ve yönetilmesi için risk değerlendirmesi kritik bir öneme sahiptir. Anomali tespiti ve davranışsal analiz, bu sürecin temellerini oluşturur ve güvenlik durumunun yorumlanmasında önemli bir rol oynar.

Elde Edilen Bulguların Güvenlik Anlamı

Risk değerlendirme süreci, toplanan verilerin doğru yorumlanmasını içerir. Örneğin, bir kullanıcı birden fazla yerden (coğrafik olarak uzak bölgelerden) sisteme erişim sağlıyorsa, bu durum potansiyel bir güvenlik ihlali olarak değerlendirilebilir. Aşağıda verilmiş olan örnek, bu tür bir durumun nasıl ele alınabileceğini göstermektedir:

Kullanıcı: john.doe@example.com
Lokasyon: ABD (Normal), Rusya (Anomalik, daha önce erişim yok), Çin (Anomalik, daha önce erişim yok)
Sonuç: Potansiyel hesap çalma durumu

Bu tür bir anomali, kullanıcıya ait hesap bilgilerinin sızdırılmış olabileceğini veya hesabın ele geçirildiğini işaret edebilir. Bu noktada, riskin ne kadar ciddi olduğu ve olayın nasıl yönetileceği konusundaki kararlar, yorumlama sürecinin bir parçası olarak ortaya çıkar.

Yanlış Yapılandırma ve Zafiyet

Bazen sistemlerin yanlış yapılandırılması, ciddi güvenlik açıklarına yol açabilir. Örneğin, bir sunucunun izinleri yeterince sıkı ayarlanmamışsa, yetkisiz bir kullanıcının kritik verilere erişmesi mümkündür. Bu durum, veri kaybı ve organizasyonel zarara neden olabilir. Yanlış yapılandırmalar üzerinde açıkça durmak, bütün sistem güvenliğinin sağlanmasında önemli bir adımdır.

Açıklama: Çalışanların yalnızca kendi departmanı içerisindeki verilere erişim izni varken, yanlış yapılandırma nedeniyle tüm şirket verilerine erişim izni verilmesi.
Sonuç: Yüksek risk.

Bu gibi zafiyetler, belirli güvenlik politikalarıyla belirlenmeli ve bu süreçlerin tekrar gözden geçirilmesi sağlanmalıdır.

Sızan Veri ve Topoloji Tespiti

Elde edilen veriler sadece kullanıcı davranışlarıyla sınırlı kalmaz; sistem topolojisinin de sürekli izlenmesi gerekir. Örneğin, bir sunucunun önceki yıllarda sadece belirli portlardan (HTTP ve HTTPS) gelen trafiği kabul ederken, ani bir şekilde yeni bir port (örneğin 445 – SMB) üzerinden dışarı ya da içeriye trafik göndermesi, ciddi bir güvenlik tehdidi olabilir. Bu durum, sunucunun ele geçirildiğini ve kötü niyetli bir aktör tarafından kullanıldığını gösterebilir.

Durum: Web sunucusu aniden başka bir port üzerinden veri akışı başlattı.
Analiz: Potansiyel lateral movement (yana yayılma) tehdidi.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik açıklarının en aza indirilmesi ve sistemlerin güçlendirilmesi için belirli önlemler alınmalıdır. İşte bazı yanıtlar ve hardening önerileri:

  1. Yapılandırma Yönetimi: Tüm sistem konfigürasyonlarını düzenli olarak gözden geçirin ve ihlallere yol açabilecek yanlış yapılandırmaları düzeltin.
  2. Düzenli İzleme: Tüm sistemlerin sürekli izlenmesi, olağan dışı aktiviteleri anında tespit etme imkanını artırır. UEBA sistemleri gibi teknoloji kullanmak önemlidir.
  3. Erişim Kontrolleri: Kullanıcıların veri erişim izinlerini sıkı bir şekilde yönetin. Bir kullanıcının erişimi yalnızca görev tanımına bağlı olmalıdır.
  4. Eğitim ve Bilinçlendirme: Çalışanlarınızı siber güvenlik tehditleri hakkında bilinçlendirin ve düzenli eğitimlerle farkındalıklarını artırın.

Kısa Sonuç Özeti

Güvenlik risklerini anlamak, anomali tespiti ve davranışsal analiz gibi tekniklerle başlamaktadır. Yanlış yapılandırmalar ve zafiyetler, sızan bilgiler ve sunucu topolojisi analizinin titizlikle yapılması gerekir. Sadece verilerin toplanması değil, bu verilerin anlamlı bir şekilde yorumlanması da çok önemlidir. Alınacak profesyonel önlemler ise organizasyonel güvenliği artırarak, bu tür tehditlerin etkisini azaltmaya yardımcı olacaktır.