CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

İstatistiksel Anomali Tespiti ve Temel Çizgi Oluşturma ile Siber Güvenliğinizi Güçlendirin

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

İstatistiksel anomali tespiti ile sistem güvenliğinizi artırın. Temel çizgi oluşturmanın önemini ve yöntemlerini keşfedin.

İstatistiksel Anomali Tespiti ve Temel Çizgi Oluşturma ile Siber Güvenliğinizi Güçlendirin

Bu yazıda, siber güvenlik alanında istatistiksel anomali tespitinin önemini ve temel çizgi oluşturma süreçlerini detaylı bir şekilde ele alıyoruz. Sürekli değişen tehditler karşısında etkili bir savunma için gerekli bilgileri edinin.

Giriş ve Konumlandırma

İstatistiksel Anomali Tespiti ve Temel Çizgi Oluşturma

Siber güvenlik alanında, kuruluşların veri koruma stratejileri sürekli olarak evrilmekte ve gelişmektedir. Bu bağlamda, siber saldırılara karşı koyabilmek ve güvenliği artırmak amacıyla önerilen yöntemlerden biri de istatistiksel anomali tespitidir. Temel çizgi (baseline) oluşturma, bu sürecin bel kemiğini temsil eder ve siber güvenlik uygulamalarında kritik bir rol oynamaktadır.

Temel Çizgi Nedir?

Temel çizgi, bir sistemin, ağın veya kullanıcının geçmiş verileri üzerinden oluşturulan normal davranış profili olarak tanımlanabilir. Bu profil, zaman içinde gerçekleşen faaliyetlerin ve olayların analizi ile elde edilir. Temel çizgi oluşturmak, anormal davranışları (anomali) tespit edebilmek için gereklidir. Örneğin, bir kullanıcı günlük olarak belirli bir sayıda giriş yaparken, bu durumun dışında gerçekleşen giriş denemeleri veya çok yüksek sayıda oturum açma girişimleri, potansiyel bir güvenlik ihlali göstergesi olabilir.

Örnek: Bir kullanıcının haftada 5 kez sisteme girmesi normal kabul ediliyorsa, bu kullanıcının sabah 3'te yapmaya çalıştığı 20 giriş denemesi bir anomali olarak değerlendirilebilir.

Neden Önemlidir?

Siber güvenlikte istatistiksel anomali tespiti, kötü niyetli etkinliklerin, sistem içindeki anormal davranışların ve olası tehditlerin hızlı bir şekilde tanımlanmasını sağlar. Anomalilerin zamanında tespit edilmesi, potansiyel bir siber saldırıyı önlemek için kritik öneme sahiptir. Kuruluşlar için etkili bir tehdit monitörleme sistemi oluşturabilmek adına istatistiksel yöntemler kullanmak, güvenlik seviyelerini önemli ölçüde artırır. Ayrıca, bu yöntemlerin zaman içinde gelişebilmesi ve uygulamaların ihtiyaçlara göre güncellenebilmesi, siber güvenlik stratejilerinin dinamik bir yapıya sahip olmasıyla mümkün olur.

Pentest ve Savunma Açısından Bağlam

Siber güvenlikte, penetrasyon testleri (pentest) aşamasında da temel çizgi analizi önem kazanmaktadır. Penetrasyon testi, bir sistemin zayıf noktalarını tespit edip bu zayıf noktalardan yararlanarak olası saldırıları simüle eden bir yöntemdir. Temel çizgi kullanılarak yapılan analizler, bu zayıf noktaların fark edilmesini sağlarken, bu noktaların nasıl kötüye kullanılabileceğine dair öngörüler sunarak siber güvenlik ekiplerinin saldırılara karşı etkili bir savunma taktiği geliştirmesine yardımcı olur.

Teknik Hazırlık

Temel çizgi ve anomali tespiti konularının detaylı bir şekilde anlaşılması, güvenlik ekiplerinin etkinliğini artırır. Ancak bu süreç, bazı teknik bilgiler ve terminoloji gerektirmektedir. Okuyucuların, standart sapma (standard deviation), spike (sıçrama) gibi kavramlara aşina olması, daha derinlemesine bir anlayış geliştirmelerini sağlar. Örneğin, bir verinin ortalama değerinden ne kadar saptığını anlamak için standart sapmanın nasıl hesaplandığı ve yorumlandığı oldukça önemlidir.

import numpy as np

# Örnek veri seti
data = [5, 6, 7, 8, 9]

# Ortalama ve standart sapmayı hesaplama
mean = np.mean(data)
std_dev = np.std(data)

print(f'Ortalama: {mean}, Standart Sapma: {std_dev}')

Sonuç olarak, siber güvenlikte temel çizgi ve anomali tespit yöntemleri, sadece tehdit tespitine değil, aynı zamanda organizasyonel güvenlik yapısının güçlendirilmesine de katkı sağlar. Gelecek bölümlerde konuya daha da derinlemesine dalış yaparak, temel çizgi oluşturmanın mekanizmalarını ve anomali türlerini inceleyeceğiz.

Teknik Analiz ve Uygulama

Temel Çizgi (Baseline) Tanımı

Temel çizgi (baseline), bir sistemin, ağın veya kullanıcının geçmiş verilerine dayanarak oluşturulan normal davranış profiline verilen isimdir. Güvenlikte, bu profil, anormallikleri tespit etmek için kritik bir temel oluşturur. Temel çizgi oluşturmanın amacı, sistemin normal işleyişini belirlemek ve potansiyel güvenlik tehditlerini zamanında saptamaktır.

Tespit Yöntemleri

İstatistiksel anomali tespiti, genellikle iki temel yöntemle gerçekleştirilir: kural tabanlı ve istatistiksel anomali. Kural tabanlı yöntemde, önceden tanımlanmış kalıplar veya imzalar kullanılırken; istatistiksel anomali yönteminde ortalama, standart sapma gibi matematiksel ölçümlerle normalden sapmalar tespit edilir. Bu nedenle, her iki yöntemi bir arada kullanmak, daha güvenli bir analiz sağlar.

Standart Sapma (Standard Deviation)

İstatistiksel analizde, bir verinin tarihsel ortalamadan ne kadar uzaklaştığını ölçmek için standart sapma kullanılır. Örneğin, günlük oturum sayısının analizini yaparken, bu değerlerin standart sapması alınarak sapmalar belirlenebilir. Aşağıda, Python kullanarak bir veri kümesinin standart sapmasını hesaplayan bir kod örneği verilmiştir:

import numpy as np

# Veri kümesi: günlük oturum sayıları
data = [100, 120, 130, 115, 90, 110, 150]

# Standart sapma hesaplama
std_dev = np.std(data)
print(f"Standart Sapma: {std_dev:.2f}")

Bu kod çalıştırıldığında, basit bir veri kümesinin standart sapmasını hesaplayarak, veri dağılımını anlamaya yardımcı olur.

Baseline Yaşam Döngüsü

Temel çizgi oluşturmanın birkaç aşaması vardır:

  1. Öğrenme (Training): Sistemin belirli bir süre boyunca (örneğin 30 gün) ağı izleyip normal profili çıkarması.
  2. Eşik Belirleme (Tuning): Hesaplanan ortalama değerin üzerine ne kadar bir esneme payı bırakılacağının ayarlanması.
  3. İzleme (Monitoring): Canlı verinin oluşturulan profil ile sürekli karşılaştırılarak ani sapmaların aranması.

Bu aşamalar, temel çizginin oluşturulması ve güncellenmesi için kritik öneme sahiptir.

Mevsimsellik (Seasonality)

Trafik veya veri girişleri belirli dönemlerde değişiklik gösterebilir. Mevsimsellik, bu tür periyodik dalgalanmaları hesaplamak için kullanılmaktadır. Örneğin, tatil dönemlerinde veya belirli günlerde kullanıcı aktivitelerinde artış gözlemlenebilir. Bu gibi durumlar, temel çizgi oluşturma sürecine dâhil edilerek, gerçek anomali tespiti için daha güvenilir bir altyapı sağlanır.

Spike (Sıçrama)

Ağ trafiğinde ani ve anormal artışlara spike denir. Bu durum, güvenlik olaylarının tespiti açısından oldukça önemlidir. Spike'ların tespiti, sistemin normal davranışlarından önemli ölçüde sapmayı ifade ettiğinden, dikkatle izlenmelidir. Aşağıdaki örnek, bir ağ trafiği izleme komutunu göstermektedir:

# Ağ trafiği izlemek için örnek komut
tcpdump -i eth0 -w traffic.pcap

Bu komut, ağ üzerindeki trafiği izlemek ve sonraki analizler için raw veriyi toplamak için kullanılabilir.

Anomali Türleri

Anomaliler, temel olarak üç türde sınıflandırılabilir:

  1. Hacimsel Anomali (Volume): Normalin üzerinde bir veri aktarımının gerçekleşmesi.
  2. Sıklık Anomalisi (Frequency): Bir kullanıcının normal denemelerinin dışında kalan girişimler.
  3. Zaman Anomalisi (Time): Normal çalışma saatleri dışında gerçekleşen işlemler.

Bu tür anomali tespitleri, güvenlik durumu yönetimini iyileştirmek için önemlidir.

İstatistiksel Hata

İstatistiksel kurallarda yapılan yaygın hatalar, yanlış pozitif (false positive) veya yanlış negatif (false negative) sonuçlara yol açabilir. Eşik değerlerin çok düşük tutulması, yanlış pozitif patlamalarına yol açmakta ve bu durum güvenlik analizi ve karar alma süreçlerini zorlaştırmaktadır.

Outlier (Aykırı Değer)

Bir veri setindeki belirli bir gözlem, diğerlerinden belirgin şekilde farklı olduğunda outlier olarak adlandırılır. Aykırı değerler, genellikle sistemin genel davranışına uymadığından, dikkate alınmalı ve analiz edilmelidir. Python ile basit bir outlier tespiti şu şekilde gerçekleştirilebilir:

import pandas as pd

# Veri seti
data = pd.Series([1, 2, 2, 3, 4, 6, 7, 8, 9, 300])  # 300 burada bir outlier

# Aykırı değerlerin belirlenmesi
outliers = data[data > data.mean() + 3 * data.std()]
print("Aykırı Değerler:", outliers.tolist())

Bu kod, veri setindeki aşırı değerleri tespit etmek için kullanılabilir. Aykırı değerlerin doğru tespiti, sistem güvenliği açısından önem arz etmektedir.

Genel olarak, istatistiksel anomali tespiti ve temel çizgi oluşturma, siber güvenlikte etkin bir yöntemdir. Uygulama aşamalarında dikkatli olunması, güvenlik analizlerinin ve karar alma süreçlerinin daha sağlıklı yürütülmesini sağlar.

Risk, Yorumlama ve Savunma

Siber güvenlik, günümüz teknolojik altyapısında kritik bir öneme sahiptir. İşletmelerin ve bireylerin değerli verilerini koruma ihtiyacı hiç bu kadar belirgin olmamıştı. İstatistiksel anomali tespiti ve temel çizgi oluşturma teknikleri, bu koruma süreçlerinde kullanılan etkili yöntemlerdir. Bu bölümde, bu tekniklerin risk değerlendirmesi, yorumlanması ve savunma açısından nasıl entegre edileceğini ele alacağız.

Elde Edilen Bulguların Güvenlik Anlamı

Siber güvenlikte elde edilen bulgular, genellikle anormal ağ trafiği, beklenmedik kullanıcı davranışları veya sistem hatalarını içerir. Bu bulguların yorumlanması, anomali tespitinin etkili bir şekilde gerçekleştirilmesi için kritik öneme sahiptir. Temel çizgi (baseline) oluşturarak, sistemin normal çalışma düzenini belirlemek mümkündür. Örneğin, bir sunucunun haftalık veri çıkışını izleyerek normal seviyeleri tespit edebiliriz:

# Normal veri çıkış seviyesinin hesaplanması
import numpy as np

def calculate_baseline(data):
    return np.mean(data)

# Örnek veri seti
weekly_data = [100, 120, 110, 130, 115, 125, 140]
baseline = calculate_baseline(weekly_data)
print("Hedef Temel Çizgi:", baseline)

Bu örnekte, haftalık verilerin ortalaması temel çizgi olarak kabul edilir. Eğer veri çıkışı bu çizgiden önemli ölçüde sapıyorsa, bir anomali tespit edilmiş demektir. Bu tür bulgular, güvenlik analistleri tarafından, potansiyel tehditlerin belirlenmesi ve risk analizinin yapılması için kullanılır.

Yanlış Yapılandırma veya Zafiyetin Etkisi

Yanlış yapılandırmalar ve sistem zafiyetleri, saldırganlar için açık kapılar oluşturarak ciddi güvenlik riskleri yaratır. Hatalı erişim kontrolü veya güncellenmemiş yazılımlar gibi durumlar, siber saldırılara davetiye çıkarabilir. Örneğin, bir ağdaki bir sunucunun hatalı yapılandırılması, dışarıdan gelen isteklerin kabul edilmesine yol açabilir:

# Hatalı bir yapılandırmanın örneği (iptables)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT  # 22. port (SSH) dışarıdan erişime açılıyor

Bu tür bir yapılandırma, sistemin kötü niyetli kullanıcılar tarafından hedef alınmasına neden olabilir. Bu nedenle, sistem yöneticilerinin güvenlik kontrollerini ve yapılandırmaları düzenli aralıklarla gözden geçirmesi kritik bir öneme sahiptir.

Sızan Veri ve Servis Tespiti

Ağ güvenliği ihlalleri genellikle sistemin kritik dosyalarına veya kullanıcı verilerine izinsiz erişim ile sonuçlanır. Elde edilen verilerin analizi, potansiyel veri sızıntılarını ve yanlış yapılandırmaları ortaya koyabilir. Aylık verilerin izlenmesi, örneğin, kullanıcıların veri ihlali ile karşılaşıp karşılaşmadığını değerlendirmeye yardımcı olabilir.

Bir örnek üzerinden gidersek, bir kullanıcının bir gün içinde sistemine normalden çok daha fazla giriş yapması, büyük bir risk faktörü oluşturabilir:

# Kullanıcı giriş sayılarının izlenmesi
user_logins = [1, 2, 1, 5, 1, 100]  # 100 ile insert edilen anomali
outlier_value = np.max(user_logins)

print("Aykırı değer tespiti:", outlier_value)

Bu durumda, 100 giriş denemesi bir anomali teşkil ediyor ve bir ihlal veya saldırının belirtisi olabilir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenliği artırmak için uygulayabileceğiniz birkaç önlem bulunmaktadır:

  1. Sistem ve Ağ İzleme: Sürekli izleme ile anormal davranışlar tespit edilmeli ve raporlanmalıdır.
  2. Eşik Belirleme: Temel çizgide esneklik sağlamak için doğru bir tolerans aralığı belirleyin. Yanlış pozitiflerin önüne geçmek için bu değerler titizlikle ayarlanmalıdır.
  3. Güncellemeler ve Yamanmalar: Yazılım ve sistem güncellemeleri düzenli olarak yapılmalı, güvenlik açıkları kapatılmalıdır.
  4. Erişim Kontrolleri: Kullanıcı rol ve izinleri sıkı bir şekilde kontrol edilmelidir. Gereksiz yetkilerin azaltılması, güvenlik ihlali riskini minimize eder.
  5. Eğitim: Çalışanların siber güvenlik konusunda eğitilmesi, insan faktöründen kaynaklanan hata payını azaltır.

Sonuç

İstatistiksel anomali tespiti ve temel çizgi oluşturma, siber güvenlik stratejilerinin ayrılmaz parçalarıdır. Elde edilen bulgular, güvenlik risklerinin etkin bir şekilde değerlendirilmesine yardımcı olurken, yanlış yapılandırmalar ve zafiyetler sisteminiz üzerinde ciddi tehditler oluşturabilir. Bu nedenle, güvenlik önlemlerinin sürekli olarak gözden geçirilmesi ve güncellenmesi, siber güvenliğinizin güçlendirilmesi açısından kritik bir önem taşımaktadır.