Davranışsal Analiz (UEBA) ile Siber Güvenlikte Yeni Yaklaşımlar

Davranışsal analiz (UEBA) sistemleri, siber güvenlikte iç tehditleri ve anomalleri tespit etmek için önemli bir rol oynamaktadır. Bu blog yazısında, UEBA'nın temel kavramlarını ve uygulamalarını keşfedin.

Giriş ve Konumlandırma

UEBA Nedir?

Davranışsal Analiz (User and Entity Behavior Analytics - UEBA), makine öğrenimi kullanarak kullanıcıların ve varlıkların normal davranış profillerini belirlemeye ve bu profillerden sapmaları tespit etmeye yönelik bir siber güvenlik teknolojisidir. Geleneksel yöntemlerden farklı olarak, UEBA belirli kurallara dayanmak yerine, kullanıcıların işlemlerini ve davranışlarını zaman içinde analiz ederek anormallikleri tespit eder. Bu, sisteme dahili veya harici sızma girişimlerini belirlemeye yardımcı olur ve saldırganların geçerli kimlik bilgilerini kullanarak gerçekleştirebileceği saldırıları önleyebilir.

Neden Önemlidir?

Siber tehditler giderek daha karmaşık ve sofistike hale gelmektedir. Geleneksel güvenlik çözümleri, önceden tanımlanmış kurallara göre çalışırken, bu yeni nesil tehditlerin çoğu daha yol gösterici yeteneklere ihtiyaç duymaktadır. UEBA'nın sağladığı avantaj, kullanıcıların alışılmış davranışlarını belirleyerek sapmaları gerçek zamanlı olarak tespit etmesidir. Bu, özellikle çalışanların kötü niyetli faaliyetlerini veya ele geçirilmiş hesapların kullanımını tespit etme açısından kritik öneme sahiptir.

Bir örnek vermek gerekirse, bir çalışanın normalde iş saatleri içinde belirli bir veri hacmi ile çalıştığını düşünelim. Eğer çalışanın bir anda hafta sonu yoğun bir veri transferi yaptığı gözlemlenirse, bu anormallik UEBA sistemi tarafından fark edilir. Geleneksel sistemlerin bu tür anormallikleri tespit etme yeteneği sınırlıdır, çünkü sadece belirli ve statik kurallara dayanırlar.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlantı

Siber güvenlik, yalnızca savunma önlemleri almakla ilgili değildir; aynı zamanda bu önlemlerin etkinliğini test etmek (penetrasyon testleri - pentest) için de gereklidir. UEBA, bu bağlamda siber güvenlik stratejilerinin etkinliğini artırmak için kritik bir bileşen haline gelmiştir. Pentest ekipleri, UEBA'nın sağladığı verileri kullanarak sistemin ne kadar güvenli olduğunu değerlendirebilir ve potansiyel zafiyetleri daha doğru bir şekilde tespit edebilirler.

Örneğin, bir pentest ekibi, çalışanların davranışını izlemeden belirli saldırı senaryolarını test ederse, bu testler mevcut kullanıcı davranış kalıplarını göz ardı edebilir. Ancak UEBA ile bu davranışların analizi, olası noktalarıve zayıf halkaları tespit etmeleri için ekiplerin elinde daha güçlü bir veri seti oluşturmaktadır.

Teknik İçeriğe Hazırlık

UEBA'nın derinliklerine inmek, ilk olarak temel kavramları anlamakla başlar. Temel kavramların yanı sıra, UEBA'nın nasıl çalıştığını anlayabilmek için aşağıdaki başlıkların üzerinde durulması gerekecektir:

Kural vs. Davranış: Geleneksel kurallar ile UEBA'nın nasıl farklılık gösterdiği.
Peer Group Analizi: Bir kullanıcının davranışının yalnızca kendi geçmişiyle değil, aynı departmandaki diğerleriyle karşılaştırılması süreci.
Davranışsal Anomaliler: Farklı anomali türlerinin tespit edilmesi.
İç Tehditler: Kurum içinden gelen tehditlerin zekası.
Kişisel Temel Çizgi: Bir kullanıcının normlarını oluşturmak için gereken süre.
Risk Skoru Dinamikleri: Kullanıcıların ve varlıkların risk seviyelerinin belirlenmesi.

Aşağıdaki örnek kod, bir kullanıcının davranışlarını kaydederek normal temel çizgisinin oluşturulması noktasında önem taşır:

import numpy as np

# Kullanıcının günlük işlem hacmini kaydetme
user_daily_activity = np.array([10, 12, 11, 15, 9, 7, 8])

# Temel çizgi hesaplama (ortalama ve standart sapma)
baseline_mean = np.mean(user_daily_activity)
baseline_std = np.std(user_daily_activity)

print(f"Temel Çizgi: Ortalama Hacim = {baseline_mean}, Standart Sapma = {baseline_std}")

Bu gibi basit analizlerle, kullanıcıların davranışlarını incelemek ve anormallikleri tespit etmek mümkündür. Bu yazının ilerleyen bölümlerinde, UEBA'nın sunduğu verilerin siber güvenlikte neden bu kadar büyük bir potansiyel taşıdığına dair daha detaylı bilgiler paylaşılacaktır.

Teknik Analiz ve Uygulama

UEBA Nedir?

Kullanıcı ve Varlık Davranış Analitiği (User and Entity Behavior Analytics - UEBA), siber güvenlik alanında önemli bir yere sahip olan bir teknolojidir. Bu teknoloji, kullanıcıların ve cihazların normal davranış profillerini belirleme amacıyla makine öğrenimi (ML) tekniklerini kullanır. Kullanıcıların ya da varlıkların davranışları izlenerek, bu davranışlardan sapmalar tespit edilmeye çalışılır. UEBA'nın temelinde yatan mantık, bilinmeyen tehditleri (zero-day) ve kötü niyetli iç tehditleri (insider threat) anormallikler üzerinden tespit etmektir.

Kural vs. Davranış

Geleneksel siber güvenlik yaklaşımları genellikle belirli kurallara dayanmaktadır. Örneğin, bir kullanıcının 5 kez yanlış giriş yapması gibi kesin bir eşik belirlemek sıkça kullanılan bir yöntemdir. Buna karşılık, UEBA, davranışsal aşırılıkları belirler ve daha karmaşık bir yaklaşım sunar. Burada önemli olan, kullanıcıların davranışlarının yalnızca kendi geçmişleriyle değil, aynı departmandaki veya aynı roldeki diğer çalışma arkadaşlarıyla karşılaştırılmasıdır. Bu işlem "Peer Group" analizi olarak adlandırılır ve anormal davranışları tespit etmede etkili bir yöntemdir.

Peer Group Analizi

Peer Group analizi, bir kullanıcının davranışlarının benzer pozisyondaki diğer kullanıcılarla karşılaştırılmasıdır. Bu analiz kullanıcılara ait normal davranış profillerini belirlemek için kritik öneme sahiptir. Örneğin, finans departmanında çalışan bir kullanıcının normalde haftada 5 gün saat 09:00 - 18:00 arası çalıştığını varsayalım. Eğer bu kullanıcı bir Pazar gecesi saat 03:00'te kritik bir veritabanına erişmeye çalışırsa, bu durum anormal bir davranış gösterir ve sistem bu durumu tespit edebilir.

# Örnek bir veri yapısı (JSON) ile UEBA sistemi için kullanıcı davranışlarını göstermek
user_activity = {
    "username": "johndoe",
    "department": "finance",
    "last_access_time": "2023-10-15T03:00:00",
    "accessed_resources": ["database_server", "confidential_files"],
    "normal_work_hours": ["09:00", "18:00"]
}

Davranışsal Anomali Türleri

Davranışsal anomali türleri, kullanıcıların beklenmedik şekilde davranış sergilemesiyle ilişkilidir. Bu anomaliler arasında:

İlk Kez Görülme: Kullanıcının daha önce bağlanmadığı kritik kaynaklara erişim sağlaması.
Sıra Dışı Saatler: Kullanıcının alışılmış çalışma saatleri dışında eylemlerde bulunması.
Veri Hacmi: Kullanıcının, normalde indirdiği veri miktarının çok üzerinde veri indirmesi.

Bu tür anomalilerin sistem tarafından tespit edilmesi, potansiyel tehditlerin önlenmesi açısından önemlidir.

Kişisel Baseline (Temel Çizgi)

UEBA'nın etkin çalışabilmesi için her kullanıcının normal davranış profilinin (baseline) belirlenmesi gerekir. Bu süreç, kullanıcının davranışlarının belirli bir süre boyunca izlenmesini gerektirir. Yeteri kadar veri toplandığında, makine öğrenimi algoritmaları bu verileri analiz ederek kullanıcıya özgü davranış profillerini oluşturur. Temel çizgi belirlendikten sonra, bu profil üzerinden sapmalar tespit edilmeye başlanabilir.

Zenginleştirme Bağlamı

Davranışsal profilleri güçlendirmek için kullanılabilecek birçok bağlam (context) kaynağı vardır. Örneğin, kullanıcının departman bilgisi, erişim tarihleri, yaklaşan istifa veya kovulma durumu gibi veriler, kullanıcının potansiyel tehdit altında olup olmadığını anlamak için kritik bilgiler sunar.

{
  "user_context": {
    "HR_info": {
      "department": "finance",
      "hire_date": "2020-01-15",
      "termination_date": "N/A"
    },
    "access_history": ["2023-09-01", "2023-09-15"]
  }
}

Risk Skoru Dinamikleri

UEBA sistemleri, kullanıcı ve varlıkların her birine zamanla değişen bir "risk skoru" atar. Bu skor, anormalliklerin sayısına, türlerine ve ciddiyetine bağlı olarak artıp azalır. Örneğin, bir kullanıcı birden fazla küçük anomali sergiliyorsa, bu durum risk skorunu kritik seviyelere çıkarır. Böylece potansiyel tehditler daha hızlı tespit edilebilir.

Makine Öğrenimi (ML)

Makine öğrenimi, UEBA'nın kalbinde yer alır. UEBA sistemleri, eğitim verileri üzerinden öğrenerek gizli örüntüleri keşfeder ve daha sonra bu öğrenimlerle yeni verileri değerlendirir. Bu süreç, manuel kural yazımına göre çok daha dinamik ve etkilidir.

Sonuç olarak, davranışsal analiz (UEBA), siber güvenlikte yeni bir yaklaşım sunarak kullanıcı ve varlıkların davranışlarını derinlemesine inceleyip potansiyel tehditleri çok daha verimli bir şekilde tespit etmemizi sağlar.

Risk, Yorumlama ve Savunma

Davranışsal analiz (UEBA), siber güvenliği sağlamada önemli bir rol oynamaktadır. UEBA’nın etkili bir şekilde kullanılabilmesi için, elde edilen bulguların güvenlik anlamının yorumlanması büyük bir önem taşır. Bu bölümde, kullanıcı davranışları üzerindeki riskler, bu riski etkileyen faktörler ve bu risklerin nasıl yönetilebileceği üzerine odaklanacağız.

Elde Edilen Bulguların Güvenlik Anlamı

UEBA sistemleri, kullanıcıların ve varlıkların normal davranış profillerini tanımlamak için makine öğrenimi tekniklerini kullanır. Bu profillerin oluşturulmasını takiben, davranışsal anomaliler tespit edilir. Örneğin, daha önce hiç erişilmemiş bir veritabanı sunucusuna erişim sağlanması gibi durumlar (ilk kez görülme) bu anomali türlerinden biri olarak değerlendirilebilir. Bu tür bir erişim, sistemin güvenliği açısından potansiyel bir risk oluşturur.

# Normal kullanıcı erişimi hesaplama örneği
def normal_access(user):
    return user.daily_access_history.mean() <= 10  # Günde ortalama 10 erişim

Yukarıdaki örnekte, günlük erişim miktarı üzerinden bir kullanıcının normal davranışı tanımlanmakta ve herhangi bir sapma durumunda alarm durumu belirlenmektedir.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar ve sistemdeki zafiyetler, siber güvenlik açısından ciddi tehditler oluşturmaktadır. Örneğin, bir kullanıcının normalden çok daha büyük bir veri hacmiyle (örneğin 10 MB'den 5 GB'a çıkması) veri kopyalama işlemi gerçekleştirmesi, kullanıcı hesabının ele geçirilmiş olabileceğine ve ciddi bir güvenlik zafiyetinin mevcut olduğuna işaret edebilir.

Yanlış yapılandırmalar genellikle görünmezdir ve bu nedenle sistem yöneticileri tarafından zor tespit edilir. UEBA sistemleri, kullanıcıların davranışını izleyerek bu tür durumları daha kolay tespit eder ve gerekli önlemlerin alınmasını sağlar.

Sızan Veri, Topoloji ve Servis Tespiti

UEBA sistemleri, sızan veriler ve hizmetlerin tespit edilmesinde büyük bir avantaj sunmaktadır. Örneğin, bir kullanıcının sabah saatlerinde erişim sağladığı bir veritabanının, akşam saatlerinde de benzer bir erişim sağlaması alarmlara neden olmalıdır. Bu tür sapmalar, kötü niyetli bir kullanıcının faaliyetlerini ortaya çıkarabilir.

{
  "event": {
    "user": "user123",
    "access_time": "23:00",
    "resource": "financial_database",
    "anomaly": true
  }
}

Yukarıda gösterilen JSON yapısı, kritik bir veritabanına akşam saatlerinde yapılan izinsiz erişimlerin izlenmesine olanak tanımaktadır.

Profesyonel Önlemler ve Hardening Önerileri

Davranışsal analiz kullanılarak tespit edilen risklerin yönetilmesi için çeşitli önlemler alınabilir:

Erişim Kontrol Listelerinin Güncellenmesi: Kullanıcıların hangi verilere erişmesi gerektiğini net bir şekilde tanımlamak gerekmektedir.
İki Faktörlü Kimlik Doğrulama (2FA): Özellikle kritik sistemlere erişimde, iki faktörlü kimlik doğrulamayı zorunlu kılmak gereklidir.
Log Yönetimi ve İzleme: Tüm erişim ve işlem loglarının düzenli aralıklarla incelenmesi, şüpheli davranışların zamanında tespit edilmesi için elzemdir.
Regüler Güvenlik Eğitimi: Çalışanların siber güvenlik farkındalıklarını arttırmak, iç tehditlerin önüne geçilmesine yardımcı olabilir.

Sonuç

UEBA, siber güvenlik alanında tehditleri gidermede devrim niteliğinde bir yaklaşım sunmaktadır. Kullanıcı davranış analizi ile yapılan risk değerlendirme süreci, yalnızca güvenlik zafiyetlerini ortaya çıkarmakla kalmaz, aynı zamanda gelecekte olası tehlikeleri önceden de tespit etme imkanını sağlar. Davranışsal anomalilerin izlenmesi, yanlış yapılandırmaların ve iç tehditlerin tespitinde kritik bir rol oynamaktadır. Bu nedenle, etkili bir risk yönetimi ve ihtiyati tedbirlerin alınması, güvenli bir siber ortam sağlamanın anahtarıdır.