CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Anomali

Siber Güvenlikte Baseline Oluşturma Teknikleri

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Anomali

Baseline oluşturma teknikleri ile normal davranışları tespit ederek siber güvenlikte anomali tespit sürecinizi güçlendirin.

Siber Güvenlikte Baseline Oluşturma Teknikleri

Siber güvenlik alanında, normal davranışları tanımlamak ve anomali tespit etmek amacıyla kullanılan baseline oluşturma tekniklerini keşfedin. Detaylı inceleme ile siber saldırılara karşı önlem alabilirsiniz.

Giriş ve Konumlandırma

Siber Güvenlikte Baseline Oluşturma Teknikleri

Siber güvenlik, her geçen gün artan tehditlerle başa çıkabilme yeteneği gerektiren dinamik bir alandır. Kurumlar, bu tehditlere karşı koruma sağlamak için geliştirdikleri stratejilerde, sistemlerinin "normal" davranışlarını anlamak ve değerlendirmek için baseline oluşturma tekniklerini kullanmaktadır. Baseline, sistemdeki normal davranışları temsil eden bir referans modelidir. Bu model, sistemlerin ve kullanıcıların zaman içerisindeki tipik davranışlarını belirlemek amacıyla oluşturulur. Bu bağlamda, güvenlik analistleri, normal dışı aktiviteleri tespit etmek ve bunlara proaktif bir şekilde müdahale etmek için bu tekniklere başvururlar.

Neden Önemli?

Baseline oluşturma, güvenlik stratejilerinin temel bir parçasıdır. Doğru bir baseline tanımlamadan yola çıkarak, anomali tespit süreci büyük ölçüde iyileşir. Normal davranışların anlaşılması, hem iç tehditlere hem de dış tehditlere karşı daha etkili bir savunma geliştirilmesine yardımcı olur. Bir saldırı gerçekleştiğinde, sistemler üzerinde olabilecek sapmalar belirli bir referans noktasına göre analiz edilerek daha hızlı bir müdahale sağlanabilir. Bu, yalnızca bir güvenlik önlemi değil, aynı zamanda organizasyonun tüm bilgi varlıklarını koruma stratejisinin da temelini oluşturur.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlam

Siber güvenlik bağlamında iki önemli uygulama alanı bulunmaktadır: tehdidin önlenmesi ve zafiyetlerin keşfi. Pentest (penetrasyon testi) süreçleri, sistemlerin güvenlik açıklarını tespit etmek için kullanılan tekniklerdir. Ancak, bu testlerin gerçekleştirilmesi sırasında sistemlerin normal davranışlarının bilinmesi, pentest sonuçlarının daha doğru ve anlamlı bir şekilde yorumlanabilmesini sağlar. Anormal davranışların tespiti, güvenlik açıklarının belirlenmesine ve ardından bu açıklara yönelik önlemler geliştirilmesine olanak tanır.

Ayrıca, sistem performansının izlenmesi ve optimize edilmesi açısından da baseline oluşturma kritik bir işlemdir. Özellikle, büyük veri ve gürültülü verinin (data noise) yönetimi, güvenlik analistlerinin karmaşık sistemlerde anomali tespit etme yeteneklerini doğrudan etkiler. Örneğin, aşağıdaki gibi bir yapı kullanılarak gerçek zamanlı verilere dayalı bir baseline oluşturulabilir:

import numpy as np

# Örnek veri
veri = np.random.normal(loc=50, scale=10, size=1000)

# Ortalama ve standart sapma hesaplama
ortalama = np.mean(veri)
standart_sapma = np.std(veri)

print(f'Baseline: Ortalama = {ortalama}, Standart Sapma = {standart_sapma}')

Bu kod örneği, belirli bir veri kümesinden ortalama ve standart sapmayı hesaplayarak baselinenin nasıl elde edileceğine dair teknik bir gösterim sunar. Bu gibi analizler, sistemlerin normal davranışlarının belirlenmesine ve anomalilerin tespit edilmesine yardımcı olur.

Sonuç olarak, vereceğimiz bilgilere ve anlatıma uygun bir temel oluşturarak, okuyucuların siber güvenlikte baseline oluşturma süreçlerini anlamalarına yardımcı olmayı hedefliyoruz. Bu temel bilgiler, okuyucuların hem siber güvenlik alanındaki genel anlayışlarını derinleştirecek hem de uygulamalarda karşılaşabilecekleri zorlukların üstesinden gelmelerini sağlayacak bir bakış açısı kazandıracaktır. Başarılı bir baseline oluşturulması için gereksinim duyulan yöntemlerin ve karşılaşılabilecek zorlukların derinlemesine incelenmesi, bu sürecin etkinliğini artırmak adına elzemdir. Bu nedenle, gelecekteki bölümlerde bu yöntemler ve bunların süreçleri üzerine daha detaylı bilgi sağlanacaktır.

Teknik Analiz ve Uygulama

Baseline Tanımı

Siber güvenlikte "baseline", bir sistemdeki normal davranışı temsil eden referans modelidir. Bu referans modeli, sistemin belirli bir zaman dilimindeki aktivitelerini ve kullanım kalıplarını içermekte olup, anormal veya şüpheli aktiviteleri tespit etmek için önemli bir temel oluşturur. Baseline mantığı, sistemdeki normal kullanıcı davranışlarının belirlenmesi ve bu davranışlardan sapmaların izlenmesi üzerine kuruludur.

Amaç

Baseline oluşturmanın temel amacı, normal davranışları tanımlamak ve bu davranışlardan sapmaları tespit ederek olası tehditleri ortaya çıkarmaktır. Anomali tespiti, bu referans noktası kullanılarak gerçekleştirilir; böylece saldırı ve güvenlik ihlalleri gibi durumlar daha hızlı ve etkili bir biçimde önlenebilir.

Statistical Baseline

İstatistiksel bir baseline oluşturmak için, belirli ölçümler ve metrikler üzerinden analiz yapılır. Bu süreçte genellikle ortalama, medyan ve standart sapma gibi istatistiksel veriler kullanılır. Bu metrikler, kullanıcı veya sistem aktivitelerinin genel seyrini anlamak için kritik öneme sahiptir.

Aşağıda, belirli metrikleri kullanarak bir baseline oluşturma sürecinin örneği verilmiştir:

import numpy as np

# Kullanıcı aktiviteleri verileri
user_activities = np.array([10, 12, 13, 11, 10, 15, 14, 9, 11, 12])

# Ortalama ve standart sapma hesaplama
mean_activity = np.mean(user_activities)
std_dev_activity = np.std(user_activities)

print(f"Ortalama Aktivite: {mean_activity}")
print(f"Standart Sapma: {std_dev_activity}")

Bu temel veriler, gelecekteki aktivitelerin değerlendirilmesi için referans noktaları oluşturur.

Time-Based Baseline

Zaman bazlı bir baseline, davranışları belirli zaman aralıklarına göre analiz eder. Kullanıcı aktiviteleri, günün belirli saatlerindeki tipik davranışlarla karşılaştırılarak anomali tespiti yapılabilir. Örneğin, bir kullanıcının çalışma saati dışında giriş yapması, zaman bazlı bir sapma olarak değerlendirilir.

from datetime import datetime

# Aktivitelerin zaman damgaları
activities_with_timestamps = [
    {"timestamp": "2023-10-01 08:00", "activity": "login"},
    {"timestamp": "2023-10-01 08:30", "activity": "file_access"},
    {"timestamp": "2023-10-01 18:00", "activity": "logout"},
]

# Zaman damgalarını analiz etme
for entry in activities_with_timestamps:
    entry_time = datetime.strptime(entry["timestamp"], "%Y-%m-%d %H:%M")
    if entry_time.hour < 9 or entry_time.hour > 17:
        print(f"Anomalous activity detected: {entry}")

Peer Group Baseline

Peer group baseline, benzer kullanıcı veya sistem gruplarının davranışlarını analiz ederek referans oluşturur. Bu yöntem, bireysel bir kullanıcının davranışlarını daha geniş bir bağlama yerleştirir ve bu sayede daha güvenilir anomali tespiti yapılmasını sağlar.

Baseline Süreci

Baseline oluşturma süreci, belirli adımlar izlerek gerçekleştirilir:

  1. Veri Toplama: Sistemden veya kullanıcılardan gelen aktiviteler hakkında verilerin toplanması.
  2. Veri Analizi: Toplanan verilerin analizi yoluyla normal davranışların belirlenmesi.
  3. Baseline Tanımlama: Normal davranışların referans modeli olarak kaydedilmesi.
  4. Sürekli İyileştirme: Zamanla değişen kullanıcı davranışları ve yeni verilerle baseline'ın güncellenmesi.
def update_baseline(existing_baseline, new_data):
    # Yeni verilerle standart sapma ve ortalama güncelleyebiliriz
    updated_baseline = np.concatenate((existing_baseline, new_data))
    return np.mean(updated_baseline), np.std(updated_baseline)

Avantaj

Doğru şekilde oluşturulmuş bir baseline, anomali tespitinin doğruluğunu artırır. Güvenlik analistleri, bu baseline’ı kullanarak sistemdeki olası tehditleri daha hızlı bir şekilde tespit edebilir. Ayrıca, zamanla elde edilen verilerden öğrenme imkanı sağlar ve sistemin dinamik doğasına uygun hale getirir.

Zorluklar

Her ne kadar baseline oluşturma süreci yararlı olsa da, çeşitli zorluklar da içermektedir. Veri gürültüsü, dinamik davranışlar ve büyük veri hacmi gibi sorunlar, doğru ve güvenilir bir baseline oluşturma çabalarını zorlaştırabilir. Bu nedenle, sürekli güncellemeler ve iyileştirmeler yapılması gerekmektedir.

İyileştirme

Baseline süreci, sürekli geliştirilmelidir. Yeni verilerle güncellenen bir model, sistemin değişen koşullarına daha iyi adapte olmasını sağlar. Kullanıcı davranışlarındaki değişiklikler anında yansıtılmalı ve güvenlik önlemleri buna göre ayarlanmalıdır.

SOC L2 Final Süreci

SOC L2 analistleri, oluşturulan baseline tekniklerini kullanarak normal dışı aktiviteleri tespit eder. Bu, siber güvenlik tahminlerinin daha etkin bir şekilde yapılmasını ve sistemin genel güvenliğinin artırılmasını sağlamaktadır. Baseline'ların gözden geçirilmesi ve güncellenmesi, bir SOC'nın başarısının temel taşlarından biridir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında risk değerlendirme, elde edilen bulguların güvenlik anlamının yorumlanması, yanlış yapılandırmaların veya zafiyetlerin etkilerinin anlaşılması, sızan verilerin, topolojinin ve servis tespitinin doğru bir şekilde sistematik olarak ele alınmasını gerektirir. Bu süreçte yapılan her değerlendirme, işletmenin savunma stratejilerinin geliştirilmesine katkıda bulunur.

Güvenlik Bulgularının Yorumlanması

Öncelikle, güvenlik bulgularının doğru bir şekilde yorumlanması kritik bir adımdır. Sistem üzerindeki anormal davranışlar, bazen yalnızca geçici bir durum olabilirken, bazen de ciddi bir siber tehditin işareti olabilir. Örneğin, bir ağ üzerinde aniden artan veri akışları, bir veri sızıntısının belirtisi olabilir. 

Sistem üzerindeki normal davranış aralıklarından sapmalar tespit edildiğinde, bunun olası nedenleri arasında şunlar bulunabilir:
- Yanlış yapılandırma (örn. yanlış izin ayarları)
- Zafiyetlerin sömürülmesi (örn. güncellenmemiş yazılımlar)
- Dışarıdan gelen tehditler (örn. DDoS saldırıları)

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, siber güvenlikte en yaygın zafiyetlerden biridir. Örneğin, bir ağ cihazında varsayılan şifreler kullanılmaya devam ediliyorsa, bu durum kötü niyetli kişiler tarafından kolaylıkla istismar edilebilir. Kullanıcıların yanlış izin setleri ile donatılması, iç tehditlere açık bir kapı aralar. Böyle bir durumda, yalnızca sistemin güvenliği değil, aynı zamanda itibar ve finansal durum da ciddi şekilde tehdit altına girmiş olacaktır.

Bir saldırının etkilerini daha iyi analiz etmek için zafiyetlerin sistem üzerindeki topolojik etkilerini değerlendirmek önemlidir. Eğer bir sistem bileşeni tehlikeye girerse, bu durum diğer bileşenler üzerinde domino etkisi yaratabilir. Özellikle büyük ve karmaşık ağ yapılarında, tek bir zafiyet tüm sistemi tehlikeye atabilir.

Sızan Veri ve Servis Tespiti

Sızan verilerin tespiti, güvenlik yöneticilerinin en kritik görevlerinden biridir. Veri sızıntısı, yalnızca kullanıcı bilgileri ile sınırlı kalmayıp, aynı zamanda sistemin çalışma şeklini de tehdit edebilir. Verilerin sızması sonucunda, tehdit aktörleri sistemin zayıf noktalarını belirleyebilir.

Ayrıca, sızan verilerin türlerine göre analiz yapmak önemlidir. Örneğin, finansal verilerin sızması ciddi mali kayıplara neden olabilirken, müşteri kişisel bilgilerinin sızması itibar kaybıyla sonuçlanacaktır. Örnek olarak, bir müşteri veri tabanının sızması sonrasında yaşanan durum şu şekilde olabilir:

- Kayıtların sızması: 
  - İsim
  - Adres 
  - Kredi kartı bilgileri
- Benzeri durumlar yanında:
  - İtibar kaybı
  - Yasal yaptırımlar

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlikte iyi bir savunma mekanizması oluşturmak için sistem hardening süreçleri büyük öneme sahiptir. İşletmeler aşağıdaki profesyonel önlemleri alarak sistemlerini koruyabilir:

  1. Güncellemelerin Yapılması: Yazılım ve donanım güncellemelerinin düzenli olarak yapılması, bilinen zafiyetlerin ortadan kaldırılmasına yardımcı olur.

  2. Ağ Segmentasyonu: Ağın farklı bölümlere ayrılması, bir bileşende yaşanan sorunun diğerlerini etkilemesini önleyebilir.

  3. Şifreleme: Veri aktarımında ve dinlenirken veri şifreleme yöntemlerinin kullanılması, hassas bilgilerin korunmasında etkilidir.

  4. Erişim Kontrolü: Kullanıcıların, yalnızca ihtiyaç duydukları verilere erişim hakkına sahip olmalarını sağlamak.

  5. Ağ İzleme: Sürekli ağ izleme, anomali tespiti konusunda kritik bir rol oynar. Olası saldırılar veya zafiyetler hemen tespit edilmelidir.

Sonuç

Risk, yorumlama ve savunma süreci, siber güvenlik stratejilerinin temel yapı taşlarını oluşturur. Yanlış yapılandırmalar ve zafiyetlere karşı etkili farkındalık ve önlemler, sistemin güvenliğini artırır. Doğru bir savunma stratejisi geliştirmek için, elde edilen verilerin anlamını analiz etmek ve sürekli olarak sistem hardening süreçlerini güncellemek kritik öneme sahiptir. Sonuç olarak, siber güvenlikte oluşturulan bir baseline, anomali tespitinin doğruluğunu destekleyerek, işletmenin uzun vadeli güvenliğine katkıda bulunur.