CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Eşik Değer ve Frekans Analizi: Siber Güvenlikte Temel Kurallar

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Eşik değer ve frekans analizi, siber güvenlikte olayları anlamak için kritik öneme sahiptir. Bu blogda detayları keşfedin.

Eşik Değer ve Frekans Analizi: Siber Güvenlikte Temel Kurallar

Siber güvenlikte, eşik değer ve frekans analizi, olayları doğru şekilde değerlendirmek için kritik öneme sahiptir. Bu yazıda, bu kavramların detaylarını ve uygulanabilirliklerini ele alacağız.

Giriş ve Konumlandırma

Eşik Değer ve Frekans Analizi: Siber Güvenlikte Temel Kurallar

Siber güvenlik alanında, organizasyonların bilgi altyapılarını korumak için çeşitli önlemler almaları gerekmektedir. Bu önlemlerden biri de, olayların belirli bir zaman aralığında nasıl gerçekleştiğini anlamaya yönelik istatistiksel analiz yöntemleridir. Eşik değer ve frekans analizi, bu bağlamda, siber tehditleri tespit etmeye yönelik etkili teknikler sunar. Bu blog yazısında, bu kavramların temelleri üzerinde durulacak ve neden kritik öneme sahip olduğu ele alınacaktır.

Eşik Değer Kavramı

Eşik değer (threshold), belirli bir olayı tetiklemek için minimum olay sayısını ifade eder. Örneğin, bir sistemde bir kullanıcı belirli bir süre içerisinde beş kez hatalı giriş denemesi yaparsa, bu durum potansiyel bir saldırı olarak değerlendirilebilir. Dolayısıyla, bu tür olayların sayısına takvim veya zaman dilimi gibi faktörleri de ekleyerek durumu analiz etmek kritik bir rol oynar.

Örnek: Bir sistemin güvende olduğunu varsayıyoruz. 
Eğer bir kullanıcı bir saatte 10 kere hatalı giriş yapıyorsa ve bu durum belirli bir eşik değer (örneğin 5) ile sınırlandırılmışsa, sistem otomatik olarak bir alarm üretebilir.

Frekans Tabanlı Tehditler

Frekans analizi, belirli bir olayın (örneğin dosya indirme veya kullanıcı girişi) belirli bir zaman diliminde ne sıklıkta tekrarlandığını ölçer. Bu tür analizler, siber saldırılar için önemli ipuçları sunabilir. Örneğin, bir saldırganın bir ağa başarıyla sızmaya çalıştığında yaptığı hatalı giriş sayısı, frekans analizi yoluyla tespit edilebilir.

Frekans analizi, genellikle iki temel bileşen üzerinden değerlendirilir:

  1. Toplam Sayım (Count): Belirli bir olayın total sayısını ifade eder.
  2. Özgün Sayım (Distinct Count): Farklı olayları, yani tekrar etmeyen değerleri hesaba katar.
Örnek: Bir ağda belirli bir IP adresinden gelen girişlerin analizinde, toplam sayım ile sadece o IP adresinin kaç kez deneme yaptığını görmek yararlıdır. 
Ancak, aynı zamanda kaç farklı IP adresinin (örneğin aynı kullanıcı adıyla) hatalı giriş yaptığına da önem verilmelidir.

Zaman ve Eşik Değer İlişkisi

Zaman, eşik değer belirlemedeki önemli bir faktördür. Eşik değerlerin belirlenmesinde, sistemlerin normal davranışlarını anlamak ve saldırıları tanımlamak için zaman dilimleri kullanılır. Örneğin, bir kullanıcı bir günde yüzlerce kez başarılı giriş yapmışsa, bunun sonucunda düşük bir eşik değer kullanarak alarm vermek yanıltıcı olabilir. Bu tür yanlış pozitif durumlar, sistemin güvenliğini tehdit eder.

Uygulamada Eşik Değer Stratejileri

Eşik değer belirlemek için farklı stratejiler kullanılabilir. Genel olarak statik, dinamik ve risk tabanlı eşik değer belirleme yöntemleri mevcuttur:

  • Statik Eşik: Tüm kullanıcılar için değişmeyen bir değerin kullanılmasıdır. Örneğin, bir sistemde tüm kullanıcılar için belirlenen 5 hatalı giriş eşiği uygulanabilir.

  • Dinamik Eşik: Kullanıcıların veya sistemlerin bilgi havuzuna göre otomatik olarak ayarlanan oranlardır. Bu yöntem, ağ trafiğinin zaman içinde değişim gösterdiği durumlarda etkilidir.

  • Risk Tabanlı Eşik: Kullanıcıların kritiklik derecesine göre oluşturulan eşik değerleridir. Örneğin, VIP kullanıcıların güvenlik önlemleri daha titiz bir şekilde belirlenirken, sıradan kullanıcılar için daha geniş değerler kullanılabilir.

Yanlış Pozitifler ve Veri Sızıntısı Eşiği

Yanlış pozitif alarmlar, zaman zaman normlara dayalı olarak değerlendirme süreçlerini etkileyebilir. Örneğin, çok düşük bir eşik değeri kullanmak, normal kullanıcı davranışlarını alarm olarak raporlamaya yol açabilir. Bu nedenle, eşik değerlerini oluştururken sistemin doğası ve kullanıcı davranışlarını göz önünde bulundurmak kritik öneme sahiptir.

Aynı zamanda, dışarıya veri sızdırılması gibi durumlarda, yalnızca transfer edilen dosya sayısına odaklanmak yeterli olmayabilir. Bu tür durumlarda, aktarılan verinin toplam boyutu veya hacmi de dikkate alınmalıdır.

Özet

Eşik değer ve frekans analizi, siber güvenlikte olayların değerlendirilmesi ve tehditlerin tespit edilmesi için temel kavramlardır. Bu analizlerin doğru bir şekilde uygulanması, organizasyonların veri koruma stratejilerinin etkinliği açısından hayati öneme sahiptir. İlerleyen bölümlerde, eşik değer ve frekans analizinin daha derinlemesine inceleneceği konuları ele alacağız.

Teknik Analiz ve Uygulama

Eşik Değer (Threshold) Kavramı

Siber güvenlik içinde eşik değer, belirli bir olayın (örneğin bir saldırının) tespit edilmesi ve buna bağlı olarak alarm oluşturulması için o olayın ulaşması gereken minimum sayıdır. Eşik değer belirlenirken dikkat edilmesi gereken en önemli nokta, bu değerin ne kadar düşük veya yüksek belirleneceğidir. Eşit değerin çok düşük olması, sistemin normal davranışını alarm olarak raporlamasına neden olabileceği gibi, çok yüksek belirlenmesi de gerçek tehditlerin gözden kaçmasına neden olabilir.

Zaman ve Eşik Değer İlişkisi

Eşik değer belirlerken, olayların zamana bağlı tekrarını göz önünde bulundurmak gereklidir. Örneğin, belirli bir zaman penceresinde (gün, saat veya dakikalar gibi) meydana gelen olayların sayısı toplanarak, bu olayların sıklığı ölçülebilir. Bu sayım, genellikle aşağıdaki gibi bir mantıkla gerçekleştirilir:

SELECT COUNT(*) 
FROM olaylar 
WHERE zaman BETWEEN '2023-10-01' AND '2023-10-02' 
AND olay_tipi = 'giriş_hatası';

Yukarıdaki SQL sorgusu, belirli bir zaman aralığında gerçekleşen giriş hatalarının sayısını döndürür. Bu tür bir analiz için eşik değer belirlenirken olayın sıklığı oldukça etkili bir belirleyicidir.

Frekans Tabanlı Tehditler

Frekans analizi, belirli bir olay tipinin (örneğin dosya indirme) belirli bir zaman diliminde ne sıklıkla gerçekleştiğini ölçmeyi hedefler. Bu tür bir analiz, siber tehditlerin hızla tespit edilmesi için kritik öneme sahiptir. Örneğin, bir sistemde belirli bir kullanıcı tarafından çok sayıda dosya indirilmesi durumunda, bu kullanıcı üzerinde yapılan frekans analizi sayesinde anormal bir aktivite saptanabilir.

SELECT kullanıcı_adı, COUNT(*) AS indirme_sayısı 
FROM dosya_indirmeleri 
WHERE zaman BETWEEN '2023-10-01' AND '2023-10-02' 
GROUP BY kullanıcı_adı 
HAVING COUNT(*) > 10;

Yukarıdaki SQL sorgusu, belirli bir tarihler arasında bir kullanıcının yaptığı dosya indirme sayısını döndürmekte ve eğer bu sayı 10'dan fazla ise sonuçlar listesini sunmaktadır.

Özgün Sayım (Distinct Count)

Özgün sayım, belirli bir alandaki yalnızca benzersiz değerlerin sayısını hesaplar. Bu sayım yöntemi, bir eşik değeri belirlerken son derece yararlı olabilir çünkü çoğu zaman olayların toplam sayısı değil, farklı hedeflerin veya kullanıcının sayısı önemlidir.

SELECT COUNT(DISTINCT hedef_ip) 
FROM giriş_denemeleri 
WHERE zaman BETWEEN '2023-10-01' AND '2023-10-02' 
AND durum = 'başarısız';

Bu SQL sorgusu, belirli bir zaman diliminde farklı IP adreslerinden yapılan başarısız giriş denemelerinin sayısını döndürmektedir. Bu tür bir bilgi, birden fazla hesap üzerinde yapılan saldırıların tespit edilmesine yardımcı olabilir.

Eşik Değer Stratejileri

Eşik değer belirlemek için birkaç farklı strateji uygulanabilir:

  1. Statik Eşik: Tüm sistem kullanıcıları için değişmeyen sabit bir sayı belirlenir. Örneğin, 5 başarısız giriş girişimi sonrasında alarm oluşturmak gibi.

  2. Dinamik Eşik: Sistemlerin toplam aktivite hacmine veya ağ trafiğine bağlı olarak otomatik olarak esneyen bir oran belirlenir. Örneğin, yoğun trafiğin olduğu saatlerde daha yüksek bir eşik belirlenebilir.

  3. Risk Tabanlı Eşik: Kullanıcıların veya varlıkların kritiklik seviyesine göre belirlenen eşik değerleri. Örneğin, VIP kullanıcılar için daha düşük eşik değerleri belirlenebilir.

Yanlış Pozitif ve Eşik Değer

Yanlış pozitifler, sistemin normal davranış biçimlerini alarm olarak raporlaması sonucu ortaya çıkar. Eşik değerlerin çok düşük belirlenmesi, aslında zararsız olan olayların yüksek sayıda alarmlar üretmesine yol açabilir, bu da güvenlik ekiplerinin dikkatlerini dağıtır.

Veri Sızıntısı (Exfiltration) Eşiği

Veri sızıntılarını tespit etmek için, aktarılan veri miktarına göre eşik değer belirlenmesi önerilir. Örneğin, yalnızca dosya sayısını değil, aktarım sırasında gönderilen toplam bayt miktarını da dikkate almak önemlidir.

SELECT SUM(boyut) 
FROM veri_aktarımları 
WHERE zaman BETWEEN '2023-10-01' AND '2023-10-02';

Bu sorgu, belirli bir tarih aralığında aktarılan toplam veri boyutunu verir. Belirli bir eşik değerinin üzerine çıkılması durumunda, bir alarm oluşturulması önerilebilir. Bu yaklaşım, veri güvenliği için kritik bir rol oynamaktadır.

Risk, Yorumlama ve Savunma

Siber güvenlikte, riskin doğru bir şekilde değerlendirilmesi, sistemlerin ve verilerin güvenliğini sağlamak açısından kritik bir öneme sahiptir. Risk analizi, olası tehditleri tanımlamak, bunların olasılıklarını ve sonuçlarını değerlendirmek için kullanılır. Bu süreçte, elde edilen bulguların güvenlik bağlamında yorumlanması ve önlemlerin alınması gerekmektedir.

Elde Edilen Bulguların Yorumlanması

Elde edilen güvenlik bulguları, farklı türde tehditler ve zafiyetler hakkında önemli bilgiler sunar. Örneğin, bir sızma tespit sistemi (IDS) tarafından tespit edilen belirli bir olgunun -örneğin, bir IP adresinden gelen çok sayıda başarısız giriş denemesi- güvenlik açısından ciddiyetini değerlendirmek üzere aşağıdaki gibi analiz yapılabilir:

1. Belirli bir IP adresinin, kullanıcı adı ve şifresi ile yapılan başarıya ulaşmamış giriş denemeleri sayısı.
2. Bu etkinliklerin belirli bir zaman diliminde ne kadar sık gerçekleştiği (frekans analizi).
3. Elde edilen bu bulguların önceden tanımlanmış eşik değerlerini aşması durumunda alarmın tetiklenmesi.

Saldırılara yönelik yapılan bu tür analizler, sistem yöneticilerinin hangi durumların risk oluşturduğunu belirlemelerine yardımcı olur.

Yanlış Yapılandırma ve Zafiyet Etkisi

Yanlış yapılandırmalar, siber güvenlik açıklarına neden olabilir. Örneğin, bir web sunucusunun, düzgün yapılandırılmamış bir güvenlik duvarı nedeniyle dışarıdan gerçekleştirilen saldırılara açık hale gelmesi mümkündür. Bu tür durumlarda, güvenlik önlemleri yanıltıcı olabilir ve sistemin özensiz bir şekilde yapılandırılması ciddi veri kayıplarına yol açabilir.

Yanlış yapılandırmayı tespit etmek için aşağıdaki yöntemleri kullanabiliriz:

  • Port Tarama: Ağ üzerindeki açık portların taranması, potansiyel zafiyetlerin belirlenmesine yardımcı olur.
  • Hatalı Eşik Değerler: Eğer bir eşik değeri çok düşük belirlenirse, normal sistem davranışları alarm durumu olarak rapor edilebilir. Bu durum alarmların gereksiz yere tetiklenmesine ve dolayısıyla gerçek tehditlerin gözden kaçmasına sebep olabilir.

Sızma ve Veri Sızıntısı

Veri sızıntısı (exfiltration) gibi durumları tespit etmek, sistemlerin güvenliğini sağlamak için kritik bir öneme sahiptir. Dışarıya veri aktarımını izlemek için, transfer edilen dosya sayısının yanı sıra, aktarılan verinin boyutu da dikkate alınmalıdır. Örneğin, belirli bir zaman diliminde 1 MB'dan fazla veri aktarımı tespit edilirse, bu durum olası bir veri sızıntısının belirtisi kabul edilebilir.

Aşağıdaki kod, veri sızıntısını tespit etmek amacıyla monitoring sistemimize entegre edilebilecek basit bir örnek analizi göstermektedir:

threshold = 1024 * 1024  # 1 MB
data_transferred = get_data_transfer_volume()

if data_transferred > threshold:
    trigger_alert("Veri sızıntısı tespit edildi!")

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlikte risklerin minimize edilmesi için uygulanabilecek çeşitli hardening yöntemleri bulunmaktadır. Bunlar arasında:

  • Düzenli Güvenlik Tarama ve Penetrasyon Testleri: Sistemlerin periyodik olarak test edilmesi, potansiyel zafiyetlerin belirlenmesini sağlar.
  • Güvenlik Eşik Değerlerinin Gözden Geçirilmesi: Eşik değerler, sistemin normal davranışlarına göre ayarlanmalı; statik ve dinamik eşik değerleri kullanılmalıdır.
  • Kullanıcı Erişim Kontrolleri: Kullanıcıların sadece ihtiyaç duyduğu verilere erişimi sağlanmalı; kritik kullanıcılar için risk tabanlı eşik değerleri belirlenmelidir.

Sonuç Özeti

Sonuç olarak, siber güvenlikte risk değerlendirme ve yorumlama süreçleri, tehditlerin ve zafiyetlerin belirlenmesi açısından hayati bir rol oynamaktadır. Yanlış yapılandırmalar ve eşik değerlerin yanlış belirlenmesi, ciddi güvenlik açıklarına yol açabilir. Bu nedenle, sistemlerin düzenli olarak gözden geçirilmesi, tehditlerin proaktif bir şekilde ele alınması ve uygun güvenlik önlemlerinin alınması büyük önem taşımaktadır. Hardening önerileri ile sistemlerin güvenliğinin artırılabileceği unutulmamalıdır.