CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Anomali

Normal Davranış (Baseline) Kavramı: Siber Güvenlikte Anomali Tespiti

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Anomali

Normal davranış kavramı, siber güvenlikte anomalileri tespit etmenin temelini oluşturur. Öğrenin, nasıl kullanılacağını keşfedin.

Normal Davranış (Baseline) Kavramı: Siber Güvenlikte Anomali Tespiti

Bu yazıda, normal davranış (baseline) kavramının siber güvenlikte anomali tespiti konusundaki önemini inceleyeceğiz. Baseline nasıl oluşturulur, avantajları ve zorlukları nelerdir?

Giriş ve Konumlandırma

Normal davranış (baseline) kavramı, siber güvenlik alanında kritik bir rol oynar ve anomali tespitinin temel taşlarından birini oluşturur. Bu kavram, bir sistemdeki normal davranışların oluşturduğu referans çerçevesidir. Siber güvenlik uzmanları için bir sistemin normal davranışını anlamak, anormal veya şüpheli aktiviteleri izlemek için ön koşuldur.

Normal Davranışın Tanımı ve Önemi

Normal davranış, bir sistemin normal işleyişi sırasında gözlemlenen aktivitelerin toplamıdır. Her bir sistemin, kullanıcıların, uygulamaların ve ağların kendine özgü davranış kalıpları vardır. Bu kalıplar, kullanıcıların günlük etkinliklerinden, sistem logs'larına kadar geniş bir yelpazeyi kapsar. Anomaly detection (anomali tespiti) süreçlerinin bu referans çerçevesine dayanması, güvenlik uzmanlarının herhangi bir sapmayı hızlıca tanımlayıp gerekli önlemleri alabilmesi açısından son derece önemlidir.

Günümüzde siber güvenlik tehditleri giderek artmakta ve çeşitlenmektedir. Bu nedenle, organizasyonların güvenlik duruşlarını güçlendirmek için normal davranış süreçlerini anlamaları ve oluşturacakları baseliner ile bu süreçleri izlemeleri hayati önem taşır. Anomali tespiti, bu durumun ortadan kaldırılmasında kullanılacak yöntemler arasında en etkili olanıdır.

Siber Güvenlik Bağlamında Normal Davranış

Siber güvenlik literatüründe "doğru bir baseline", anomali tespitini daha doğru hale getirir. Örneğin, kullanıcı tabanlı bir sistemde bir kullanıcının alışılmadık bir saatte sisteme giriş yapması, bu normal davranışın dışına çıkıldığını gösterir. Ya da ağ trafiğini izlediğinizde, belirli bir süre zarfında beklenenin üzerinde bir veri akışı olduğunda da bir anomaliden bahsetmek mümkündür.

Bir örnek üzerinden durumu netleştirecek olursak, bir şirketin bilgisayar ağını ele alalım. Eğer genel trafik verileri, kullanıcıların iş saatleri içerisinde giriş-çıkış yaptığına göre şekillenmişse, bir kullanıcı tarafından gece geç saatlerde gerçekleşen büyük veri transferleri, izlenmesi gereken bir anomali olarak değerlendirilmelidir. 

# Anomali Tespiti Örneği
Kullanıcı: Ali Yılmaz
Zaman: 03:00
Eylem: 500MB veri transferi
Açıklama: Normal kullanıcı davranışına göre anormal

Normal Davranış Süreci ve Zorlukları

Normal davranışın oluşturulması, belirli adımlar ile gerçekleştirilir. Süreç, kullanılan verilerin doğru şekilde toplanmasını, analiz edilmesini ve nihayetinde normal davranışın belirlenmesini içerir. Bu noktada, doğru verilere ulaşmak için sistem logları, ağ trafiği, kullanıcı aktiviteleri ve sistem olayları gibi çeşitli kaynaklar kullanılabilir.

Ancak normal davranış tanımının güncellenmesi ve sürekliliği zorluklar içerebilir. Dinamik kullanıcı davranışları ya da büyük veri miktarları, normal davranışın belirlenmesini zorlaştırabilir. Bu nedenle, zaman içinde değişen koşullar altında normal davranışı sürekli gözden geçirmek ve güncellemek önemlidir.

Kullanım Alanları ve SONUÇ

Gözden kaçırılmaması gereken bir diğer konu ise normal davranışın kullanım alanlarıdır. Soc L2 analistleri, normal dışı aktiviteleri hızlıca tespit etmek için baseline'ı kullanarak anomaliyi belirleyebilirler. Bu bağlamda, siber güvenlikte anomali tespiti, proaktif bir yaklaşım benimsemek ve potansiyel tehditleri erken aşamada belirlemek açısından kritik öneme sahiptir.

Sonuç olarak, normal davranış kavramı, siber güvenlik alanında anomali tespiti süreçlerinin merkezindedir ve organizasyonların güvenlik stratejilerinin güçlendirilmesine büyük katkıda bulunur. Bu nedenle, bu kavramı anlamak ve uygulamak, güvenlik uzmanları ve organizasyonlar için son derece değerlidir.

Teknik Analiz ve Uygulama

Baseline Tanımı

Normal davranış (baseline) kavramı, bir sistemdeki normal kullanıcı aktiviteleri ile ağ trafik desenlerini ifade eder. Siber güvenlik bağlamında, bir baseline, normal görünüşteki tüm aktivitelerin monitör edilmesi ve bu aktivitelerin özelliklerinin zamanla belirlenmesi amacıyla oluşturulan bir referans modelidir. Örneğin, kullanıcı davranışları (User Baseline), ağ trafiği (Network Baseline) ve sistem aktiviteleri (System Baseline) gibi farklı türlerde baselines oluşturmak mümkündür. Bu modeller, anomali tespitinin en önemli temel taşlarını oluşturur.

Amaç

Baseline oluşturmanın temel amacı, sistemdeki normal davranışları tanımlamak ve bu davranışlardan sapmaları tespit etmektir. Anomaliler, olayların düzensiz veya beklenmeyen bir şekilde gerçekleşmesi durumunda ortaya çıkar. Bu durumlar, potansiyel güvenlik tehditleri ya da sistem hataları olarak yorumlanabilir. Dolayısıyla, doğru bir şekilde tanımlanmış bir baseline, bu anomali tespitini daha etkili hale getirmektedir.

Baseline Süreci

Baseline oluşturma süreci, birkaç adım içerir. İlk olarak, sistemden toplanacak veri kaynaklarının belirlenmesi gereklidir. Aşağıda bu sürecin temel adımları bulunmaktadır:

  1. Veri Toplama: Ağ trafiği, kullanıcı aktiviteleri, sistem olayları gibi farklı veri kaynaklarının toplanması.
  2. Davranış Analizi: Toplanan verilerin analizi yapılarak normal davranış kalıplarının belirlenmesi.
  3. Baseline Tanımlama: Belirlenen davranış kalıplarına dayanarak bir baseline oluşturulması.
  4. Sürekli Güncelleme: Belirli aralıklarla sistemdeki değişiklikler dikkate alınarak baseline'ın güncellenmesi.

Bu süreç boyunca kullanılabilecek örnek bir komut seti aşağıda verilmiştir:

# Log dosyalarından veri toplama
grep "login" /var/log/auth.log | awk '{print $1, $2, $3, $9}' > user_login_logs.txt

# Kullanıcı aktivitelerini analiz etme
cat user_login_logs.txt | sort | uniq -c | sort -nr > user_activity_analysis.txt

Yukarıdaki komut, verilen bir log dosyasından kullanıcı oturum açma aktivitelerini toplar ve analiz eder.

Baseline Türleri

Baseline türleri, güvenlik ihtiyaçlarına göre değişiklik gösterir. Kullanıcı davranışına dayalı bir sistem (User Baseline), ağ trafiği davranışlarını içeren bir model (Network Baseline) ve sistem aktivitelerini analiz eden bir yapı (System Baseline), en yaygın üç baseline türüdür. Bu türlerin tanımlanması, sürekli olarak değişen veri hacmi ve gürültülü veri (noise) problemleri göz önünde bulundurularak yapılmalıdır.

Zaman Faktörü

Bir baseline’ın zaman içinde değişebileceği ve sürekli olarak güncellenmesi gerektiği önemli bir gerçektir. Kullanıcılar zamanla farklı davranış kalıpları sergileyebilir, bu nedenle sistemdeki standartları belirlemek için bu durumu dikkate almak gerekmektedir. Örnek olarak, mevsimsel dalgalanmalar veya iş yükündeki değişiklikler, kullanıcının normal davranışını etkileyebilir.

# Baseline güncelleme
def update_baseline(current_baseline, new_data):
    # Yeni verilerle mevcut baseline'ı güncelleme işlemi
    updated_baseline = current_baseline + new_data
    return updated_baseline

Yukarıdaki Python fonksiyonu, mevcut bir baseline'ı yeni veriler ile güncelleyerek sürekli gelişen bir referans modeli oluşturmanızı sağlar.

Veri Kaynakları

Baseline oluştururken farklı veri kaynakları kullanılmalıdır. Ağ trafiği, kullanıcı aktiviteleri, sistem olayları gibi çeşitli loglar, dinamik bir baseline tanımlamak için kritik öneme sahiptir. Örneğin, ağ trafiği saldırı tespit sistemleri (IDS) ile analiz edilerek daha güvenilir bir baseline oluşturulabilir.

-- SQL sorgusu ile ağ trafiği verilerini toplama
SELECT src_ip, COUNT(*) as request_count
FROM network_logs
GROUP BY src_ip
ORDER BY request_count DESC;

Yukarıdaki sorgu, ağ loglarından en sık kaynak IP adreslerini belirleyerek normal kullanıcı davranışlarını anlamak için oluşturabileceğiniz bir veri seti sunar.

Avantaj ve Zorluklar

Doğru bir baseline oluşturmak, anomali tespitinin doğruluğunu artırmasının yanı sıra, potansiyel tehditlerin hızlı bir şekilde belirlenmesine olanak tanır. Ancak, bu sürecin zorlukları da vardır. Büyük veri hacmi, değişken kullanıcı davranışları ve gürültülü veriler, doğru bir baseline oluşturma sürecini karmaşıklaştırabilir. Dolayısıyla, SOC L2 analistleri bu tür sorunlarla başa çıkabilmek için çeşitli algoritmalar ve senaryolar geliştirmektedir.

Kullanım Alanları

Baseline, birçok güvenlik sürecinde kullanılmakta olup, anomali tespitinde kritik bir rol oynamaktadır. SOC L2 analistlerinin baselinedan yararlanarak normal dışı aktiviteleri hızlıca tespit edebilmesi için, bu kavramın entegrasyonu önem kazanmaktadır. Ayrıca, bir baseline kullanarak zaman içinde güvenlik ihlalleri, sistem hataları ve diğer potansiyel sorunlar daha etkin bir şekilde izlenebilir. Bu bağlamda, bilinçli bir yaklaşımla düzenlenen bir baseline, siber güvenlik stratejilerinin başarılı uygulanması için gereklidir.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Savunma

Siber güvenlikte risk değerlendirmesi, bir organizasyonun bilgi sistemlerine yönelik mevcut tehditleri tanımlamak ve bu tehditlerin olası etkilerini analiz etmek için kritik bir süreçtir. Normal davranış (baseline) kavramının etkin bir şekilde kullanılması, bu sürecin önemli bir parçasıdır. Organizasyonlar, sistemlerinin normal davranışlarını tanımlayarak anomali tespiti gerçekleştirebilir ve olası saldırılara karşı daha etkili bir savunma mekanizması oluşturabilir.

Elde Edilen Bulguların Yorumlanması

Bir organizasyon, normal davranışını belirledikten sonra, bu referans noktası ile gerçek zamanlı verileri karşılaştırarak davranış sapmalarını tespit edebilir. Örneğin, belirli bir kullanıcı için tanımlanmış olan davranışın (User Baseline) dışına çıkması, potansiyel bir güvenlik tehdidinin varlığına işaret edebilir. 

User: Ali Yılmaz
Normal Davranış:
- Giriş saatleri: 09:00 - 17:00
- Akses edilen kaynaklar: HR veri tabanı, proje dökümanları
- Ağ trafiği: Günlük 500 MB

Sapma: 
- Giriş saati: 02:00
- Akses edilen kaynaklar: Finans veri tabanı
- Ağ trafiği: Günlük 5 GB

Yukarıdaki örnekte, Ali Yılmaz'ın davranışı normalin dışında bir zamanda ve beklenmeyen kaynaklarda gerçekleştiği için gelecekteki siber saldırılara dair bir risk işareti olarak değerlendirilmelidir.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar, sistemin normal davranışını etkileyen önemli risk faktörlerindendir. Örneğin, bir ağ cihazının yanlış yapılandırılması, içerikler arasında istenmeyen trafiğin artmasına sebep olabilir. Bu yanlış ayarlar, özellikle ağ trafiği davranışlarının (Network Baseline) analizinde hatalı sonuçlar doğurabilir.

Diyelim ki bir güvenlik duvarı, yanlış bir kuralla belirli IP adreslerinden gelen trafiği engellemiyor. Bu durumda, potansiyel olarak kötü niyetli bir kullanıcının sisteme erişimi kolaylaşabilir. Zafiyet ve yanlış yapılandırmaların etkileri hızla büyüyebilir; bu sebeple, sistemlerin düzenli bir şekilde hardening (sıkılaştırma) süreçlerinden geçirilmesi gerekmektedir.

Analiz Sonuçlarına Erişim

Sızan verilerin analizi, risk değerlendirmesinin kritik bir parçasıdır. Saldırganlar, hedef sistemlere sızarak önemli verilere ulaşabilir. Bu tür bir durum, veri sızıntısı olarak adlandırılır ve mali, yasal ve itibar açısından ciddi sonuçlar doğurabilir. Örneğin, bir veri sızıntısı sonrası organizasyon, kaybettiği müşteri bilgilerinin geri kazanılması için ek maliyetler üstlenmek zorunda kalabilir.

Profesyonel Önlemler ve Hardening Önerileri

Etkili bir siber güvenlik politikası, organizasyonların mevcut zafiyetlerini minimize etmek için aşağıdaki önlemleri almasını gerektirir:

  1. Düzenli Güvenlik Denetimleri: Sistemlerin periyodik olarak gözden geçirilmesi, zafiyetleri belirlemenin en etkili yoludur.
  2. Güvenlik Duvarı ve IDS/IPS Kullanımı: Ağ trafiğinin izlenmesi ve tehditlerin otomatik olarak tespit edilmesi, anomali tespitinde kritik bir rol oynar.
  3. Erişim Kontrolleri: Kullanıcıların sisteme erişim izinlerinin düzenli olarak gözden geçirilmesi ve gereksiz erişim haklarının kaldırılması önemlidir.
  4. Eğitim ve Farkındalık Programları: Çalışanların siber güvenlik konusundaki farkındalığını artırmak, potansiyel tehditlere karşı bir güvenlik duvarı oluşturur.
  5. Veri Şifreleme: Hassas verilerin şifrelenmesi, veri sızıntısı durumunda bilgilerin güvenliğini artırır.

Sonuç Özeti

Siber güvenlikte risk değerlendirmesi, normal davranış kavramının kritik bir uygulaması olarak ortaya çıkmaktadır. Bu yaklaşım, anomali tespitine imkan tanırken, sisteme yönelik olası tehditlerin önlenmesine yardımcı olur. Yanlış yapılandırmalar ve zafiyetlerin analizi ile sızan verilerin incelenmesi, etkili bir savunma mekanizması oluşturmak için gereklidir. Sistemlerin güvenliğini sağlamak adına profesyonel önlemler ve sürekli bir hardening süreci, siber saldırılara karşı dayanıklılığı artıracaktır.