CyberFlow Logo CyberFlow BLOG
Soc L3 Data Hunting

Markov Zincirleri ile Siber Saldırı Yolunu Tahmin Etme

✍️ Ahmet BİRKAN 📂 Soc L3 Data Hunting

Markov zincirleri, siber güvenlikte saldırı yollarını tahmin etmenize yardımcı olan etkili bir araçtır. Bu yazıda kullanımı ve avantajları ele alınıyor.

Markov Zincirleri ile Siber Saldırı Yolunu Tahmin Etme

Markov zincirleri, bir sistemin mevcut durumundan sonraki olası geçişleri tahmin etmede kritik bir rol oynar. Siber güvenlikte bu yöntemle proaktif savunma sağlamak mümkün.

Giriş ve Konumlandırma

Markov Zincirleri Nedir?

Siber güvenlikte, tehditler ve saldırılar sürekli evrim geçirmekte; dolayısıyla bu tehditleri anlamak ve öngörmek için matematiksel ve istatistiksel modellemelere ihtiyaç duyulmaktadır. Bu bağlamda, Markov zincirleri, bir sistemin mevcut durumundan bir sonraki duruma geçiş olasılığını tahmin etmek için kullanılan güçlü bir araçtır. Markov zincirlerinin temel özelliği, bir sistemin gelecekteki durumunun yalnızca mevcut duruma bağlı olmasıdır. Yani, gelecekteki olaylar geçmişte yaşananlardan bağımsız olarak tahmin edilir.

Bir Markov zincirinde üç temel bileşen vardır: durumlar (states), geçişler (transitions) ve olasılıklar (probabilities). Örneğin, bir saldırganın farklı eylemlerini temsil eden durumlar, bir ağdaki çeşitli saldırı aşamalarını gösterebilir. Geçişler, bu durumlar arasındaki geçişleri ifade ederken, olasılıklar ise bu geçişlerin gerçekleşme ihtimalini matematiksel olarak temsil eder.

Hafızasızlık (Memoryless) Özelliği

Markov zincirlerinin en belirgin özelliklerinden biri, hafızasızlık ilkesidir. Bu ilkeye göre, bir sistemin gelecekteki durumu yalnızca mevcut duruma dayanarak tahmin edilir; geçmişte gerçekleşen olayların bu tahminler üzerindeki etkisi yoktur. Örneğin, bir saldırganın ağda belirli bir makineden diğerine geçiş etme olasılığı, sadece şu anda hangi makinede bulunduğuna bağlıdır, geçmişte hangi makineyi kullandığına bağlı değildir. Bu, siber güvenlik analistlerinin mevcut durumu gözlemleyerek hızlı ve etkili tahminler yapabilmesine olanak tanır.

Siber Güvenlikte Kullanım Alanı

Markov zincirleri, özellikle siber güvenlik ve saldırı tespiti alanında çeşitli uygulamalara sahiptir. Örneğin, ağ içinde bir saldırganın ele geçirdiği bir makineden diğerine atlamasını tahmin etmek için bu modeller kullanılmaktadır. Yanal hareket (lateral movement) analizi, saldırganların sistemdeki diğer kaynaklara erişim sağlamak için geçişlerini takip eder. Bu analizler, SOC (Security Operations Center) ekiplerine, olası bir saldırının olası yollarını belirlemede yardımcı olur.

Bu bağlamda, geçiş olasılıkları, çeşitli tehdit senaryolarını değerlendirebilmek için kritik öneme sahiptir. Örneğin, bir saldırganın sızma girişimi sonrasında hangi adımlarla ilerleyeceği, ne kadar olası bir geçiş senaryosudur ve bu bilgi analistlerin hızlı bir yanıt vermesini sağlar.

Geçiş Matrisi (Transition Matrix)

Geçiş matrisleri, Markov zincirlerinin en önemli bileşenlerinden biridir. Bu matris, her durumdan bir diğerine geçiş olasılıklarını gösterir. Geçiş matrisinin anlamı, siber saldırının açığa çıkartılması ve önlenmesi açısından hayati bir rol oynar. Eğer birbiri ardına gelen log dizileri, saldırganların bilinen geçiş matrisleriyle yüksek oranda eşleşiyorsa, bu durum dağınık uyarıları tek bir olayda birleştirmeye imkan tanır. Böylece, analistlerin potansiyel saldırı yollarını daha etkin bir biçimde belirlemeleri sağlanır.

Aşağıda, basit bir geçiş matrisinin örneği yer almaktadır:

|       | A    | B    | C    |
|-------|------|------|------|
|   A   | 0.2  | 0.5  | 0.3  |
|   B   | 0.1  | 0.7  | 0.2  |
|   C   | 0.3  | 0.4  | 0.3  |

Burada, A durumundan B durumuna geçiş olasılığı 0.5; A'dan C'ye geçiş olasılığı ise 0.3'tür. Analistler, bu matris vasıtasıyla, saldırganların hangi durumdan hangi duruma geçme olasılığının daha yüksek olduğunu değerlendirebilirler.

Tahmin ve Proaktif Savunma

Markov zincirleri, siber güvenlik alanında tahmin ve proaktif savunma için kritik bir rol oynamaktadır. Analistler, olası saldırı yollarını (attack path) belirleyerek bu yollar üzerinde önleyici önlemler alabilir. Örneğin, bir tehdit avcısı, "Phishing > Zararlı Yazılım İndirme > C2 İletişimi" gibi bir grafikten yola çıkarak olası bir saldırı yolunu tahmin edebilir ve buna göre strateji geliştirebilir. Bu tür bir modelleme, saldırıların önlenmesi ve anında müdahale için son derece faydalıdır, çünkü saldırganın atacağı bir sonraki adımı öngörmek, zamanında tepki verilmesini sağlar.

Sonuç

Sonuç olarak, Markov zincirleri, siber saldırıların tahmin edilmesinde güçlü bir araçtır. Bu modellemenin sağladığı analiz ve öngörü becerileri, siber güvenlik uzmanlarının tehditlere karşı daha proaktif bir duruş sergilemelerine olanak tanımaktadır. Analizler, yalnızca saldırıların tespit edilmesi değil, aynı zamanda bunlara karşı stratejik savunmalar geliştirilmesinde de kritik bir rol oynamaktadır. Bu yazının devamında Markov zincirinin diğer bileşenlerine ve daha ileri düzey modellere dair bilgi verilmeye devam edilecektir.

Teknik Analiz ve Uygulama

Markov Zincirleri Nedir?

Markov zincirleri, bir sistemin mevcut durumundan bir sonraki durumuna geçme olasılığını tarihsel verilere dayanarak matematiksel olarak modelleyen yapılar olarak tanımlanır. Bu modeller, özellikle siber güvenlik alanında, saldırganların hareketlerini takip etmek ve bu hareketlerin sonucunda olası saldırı yollarını tahmin etmek için kullanılır.

Markov Modelinin Bileşenleri

Markov modellerinin temel bileşenleri üç ana unsurdan oluşur: durum (State), geçiş (Transition) ve olasılık (Probability).

  • Durum: Sistemin veya saldırganın o anki eylemini temsil eder. Örneğin, "Başarısız Giriş" veya "Port Taraması" gibi durumlar.
  • Geçiş: Saldırganın bir eylemden diğerine doğru ilerleyebilme yeteneği. Örneğin, keşif aşamasından sızma aşamasına geçiş.
  • Olasılık: Mevcut durumdan belirli bir sonraki duruma geçiş yapma olasılığı, sayısal bir değer olarak ifade edilir.

Hafızasızlık (Memoryless) Özelliği

Markov zincirlerinin en vurgun özelliği olan hafızasızlık, sistemin gelecekteki durumunun yalnızca mevcut durumuna bağlı olduğuna işaret eder. Geçmiş olaylardan bağımsız olarak, mevcut durumdan sonraki olasılıklar belirlenir. Bu özellik, siber saldırıları analiz etmekte hayati öneme sahiptir; çünkü saldırganın geçmişteki eylemleri, bir sonraki hamlesi üzerinde etki etmez.

Siber Güvenlikte Kullanım Alanı

Siber güvenlikte Markov zincirleri, özellikle saldırganların "yanal hareket" (Lateral Movement) davranışlarını analiz etmekte sıklıkla kullanılır. Bir saldırganın ele geçirdiği bir makineden diğerine geçişlerini tahmin etmek, büyük ölçüde bu modellerle mümkün hale gelir. Ayrıca, Markov zincirleri saldırı yollarının tahmin edilmesi için kullanılarak, güvenlik analistlerine proaktif savunma imkanları tanır.

Geçiş Olasılıkları Senaryosu

Bir saldırganın olası geçişlerini haritalamak için, geçmişteki log verileri kullanılarak çeşitli senaryolar oluşturulabilir. Bu senaryolar, belirli durumların birbirine bağlantılarını matematiksel olarak modellemekte önemlidir. Aşağıda, geçiş olasılıklarını hesaplamak için basit bir Python örneği verilmiştir:

import numpy as np

# Durumlar
states = ['Başarısız Giriş', 'Port Taraması', 'Sızma']

# Geçiş Matrisi
transition_matrix = np.array([[0.1, 0.7, 0.2],
                              [0.3, 0.2, 0.5],
                              [0.0, 0.4, 0.6]])

# Mevcut durum
current_state = 0  # 'Başarısız Giriş'

# Geçiş olasılıklarını hesapla
next_state_probabilities = transition_matrix[current_state]

print("Bir sonraki durum olasılıkları:", next_state_probabilities)

Bu kod örneğinde, sistemin bir durumundan diğerine geçiş olasılıkları hesaplanmıştır ve bu, siber güvenlik alanında saldırının gelecekteki adımlarını tahmin etmek için kritik bir veridir.

Geçiş Matrisi (Transition Matrix)

Geçiş matrisi, belirli bir durumdan diğer durumlara geçiş olasılıklarını içeren bir yapıdır. Her bir satır, mevcut durumdan olası geçişlerin olasılıklarını gösterirken, her bir sütun bir sonraki durumu temsil eder. Bu matris, güvenlik uyarılarının matematiksel olarak analiz edilmesine olanak tanır.

Eğer birbiri ardına gelen log dizileri, saldırganların bilinen geçiş matrisleriyle yüksek oranda eşleşiyorsa, bu durum, dağınık uyarıları tek bir olayda birleştirme olanağı sunar. Böylece analistler, saldırganların davranışlarını daha iyi anlayabilirler.

Korelasyon ve Zincirleme

Saldırganlar bir durumdan diğerine geçerken, bazı eylemlerin birbirine olan bağlantıları önemlidir. Yüksek olasılıklı geçişlerle düşük olasılıklı geçişlerin belirlenmesi, saldırıların analizi için kritik bir adımdır. Örneğin, başarılı bir kimlik doğrulamasından hemen sonra ağ paylaşım klasörlerine erişim yüksek olasılıklı bir geçiş olarak değerlendirilirken, sıradan bir kullanıcının aniden kayıt defterini değiştirmesi düşük olasılıklı bir durumu ifade eder.

İleri Düzey Modeller

Gelişmiş saldırılar analiz edilirken, standart Markov zincirleri yeterli olmayabilir. Bu tür durumlarda, gizli Markov modelleri (Hidden Markov Models - HMM) kullanılarak, saldırganın logları sildiği veya etkisiz hale getirdiği durumlar için tahmin yapılabilir. Bu, görünmeyen adımları kestirme konusunda analistlere yardımcı olur.

Tahmin ve Proaktif Savunma

Bir tehdit avcısı, olası bir saldırı yolunu tahmin etmek için istatistiksel bir grafik çıkardığında örneğin, “Phishing > Zararlı Yazılım İndirme > C2 İletişimi” gibi bir modelleme yapmış olur. Bu tür bir saldırı yolu analizi, SOC (Security Operations Center) ekiplerine daha etkin bir savunma geliştirme şansı sağlar. Saldırı yollarının iyi anlaşılması, önleyici güvenlik önlemlerinin alınmasında kritik rol oynar.

Sonuç olarak, Markov zincirleri, siber güvenlik analistlerine saldırganların davranışlarını anlamada ve olası saldırı yollarını tahmin etmede önemli bir araç sunar. Bu sayede daha bilinçli ve proaktif bir savunma stratejisi geliştirmek mümkün hale gelir.

Risk, Yorumlama ve Savunma

Siber saldırıların hedeflediği sistemler, günümüzün karmaşık ağ yapılarında geniş bir yelpazeye yayılabilmektedir. Bu bağlamda, Markov zincirleri, bir sistemin mevcut durumundan bir sonraki duruma geçiş olasılıklarını matematiksel olarak modelleyip analiz etme yeteneği sunar. Siber güvenlik alanında bu yaklaşım, saldırı yollarının tahmin edilmesine ve olası zayıflıkların belirlenmesine yardımcı olur.

Elde Edilen Bulguların Güvenlik Anlamı

Siber güvenlikte Markov zincirlerinin kullanımı, elde edilen verilerin yorumlanmasında önemli bir rol oynamaktadır. Bir sistemdeki olayların geçiş olasılıklarını belirlemek, güvenlik analistlerine potansiyel tehditlerin nereden gelebileceğine dair önemli bilgiler sağlar. Örneğin, bir sistemde "Başarısız Giriş" durumunun "Port Taraması" durumuna geçiş olasılığı yüksekse, bu bir saldırganın ağda gezinmeye başladığı anlamına gelebilir.

Yanlış Yapılandırma veya Zafiyetin Etkisi

Yanlış yapılandırmalar, sistemlerin güvenlik açığını artırabilir. Örneğin, ağ paylaşım klasörlerinin yanlış bir şekilde yapılandırılması, bir saldırganın bu geçmiş olayları kullanarak "Yüksek Olasılıklı Geçiş" gerçekleştirip, ağ kaynaklarına kolayca erişebilmesine neden olabilir. Eğer log dizileri, saldırganların bilinen geçiş matrisleriyle yüksek oranda eşleşiyorsa, bu durum sistem genelindeki zafiyetin büyüklüğünü gözler önüne serer.

# Geçiş Matrisi Örneği
transition_matrix = {
    "Başarısız Giriş": {"Port Taraması": 0.8, "Başarı": 0.2},
    "Port Taraması": {"Yedekleme": 0.6, "Sızma": 0.4},
    "Sızma": {"Veri Sızdırma": 1.0},
}

for current_state, transitions in transition_matrix.items():
    for next_state, probability in transitions.items():
        print(f"{current_state} --> {next_state}: {probability}")

Sızan Veri, Topoloji ve Servis Tespiti

Saldırı yollarının analizi, sızan verilerin türünü belirlemek için de kritik öneme sahiptir. Örneğin, saldırganın "Zararlı Yazılım İndirme" durumundan sonra "C2 İletişimi" kurması durumunda, bu iki durum arasındaki geçiş olasılığının yüksek olması, sızan veri tipini ve saldırı topolojisini işaret eder. Ayrıca, hangi servislerin hedef alındığı ve bu hizmetlerin nasıl korunduğu konuları da değerlendirilmelidir.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik risklerinin minimize edilmesi için şu önlemler alınmalıdır:

  1. Güvenlik Duvarı ve IDS/IPS Kullanımı: Ağ trafiğini izleyen güvenlik duvarları, şüpheli aktiviteleri tespit edebilir.
  2. Güçlü Kimlik Doğrulama Mekanizmaları: Çift faktörlü kimlik doğrulama (2FA) gibi yöntemler ile girişlerin güvenliği artırılmalıdır.
  3. Düzenli Güvenlik Testleri: Ağ ve uygulama seviyesindeki zafiyetlerin tespiti için sık sık penetrasyon testleri yapılmalıdır.
  4. Log Yönetimi ve Analiz: Belirli aralıklarla loglar üzerinde analiz yaparak, geçmiş saldırı yolları ortaya konabilir.
# Log Analizi için Temel Bir Komut
grep "Başarısız Giriş" /var/log/auth.log | wc -l

Sonuç

Markov zincirleri, siber saldırıların tahmin edilmesi ve risklerin yönetilmesi konusunda önemli bir yöntem sunmaktadır. Güvenlik analistleri, elde ettikleri bulguları yorumlayarak, olası zafiyetler ve sızan veriler üzerinden etkin savunma stratejileri geliştirebilirler. Yanlış yapılandırmaların neden olabileceği riskleri göz önünde bulundurarak alınacak önlemler, sistemlerin güvenliğini artırma açısından kritik öneme sahiptir. Bu sayede, olası siber saldırıları önceden tahmin etmek ve önlemek mümkün hale gelir.