CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Yanlış Pozitif ve Doğru Pozitif: Siber Güvenlikte Kritik Analiz

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Siber güvenlikte yanlış pozitifler ve doğru pozitifler arasındaki farkları öğrenin. Alarm yönetimi ve analiz teknikleri hakkında bilgi edinin.

Yanlış Pozitif ve Doğru Pozitif: Siber Güvenlikte Kritik Analiz

Siber güvenlikte doğru pozitif ve yanlış pozitif analizinin önemi nedir? Alarm yönetimi ve güvenlikte dikkat edilmesi gereken unsurlar hakkında derinlemesine bilgi edinin.

Giriş ve Konumlandırma

Siber güvenlik alanında, doğru bir insiyatif almak için alarm sistemlerinin güvenilirliği son derece önemlidir. Bu bağlamda, iki temel kavram olan "Doğru Pozitif" (True Positive - TP) ve "Yanlış Pozitif" (False Positive - FP) arasında yapılan ayrım, hem savunma stratejileri hem de olay müdahale süreçleri açısından kritik bir öneme sahiptir.

Doğru Pozitif Nedir?

Doğru Pozitif (TP) durumu, güvenlik sistemlerinin gerçek bir tehdit tespit ettiği durumları ifade eder. Yani, sistemin alarm ürettiğinde, bu alarmın aslında gerçekten bir siber saldırının veya ihlalin varlığına işaret etmesi gerekir. Örneğin, bir SIEM (Güvenlik Bilgileri ve Olay Yönetimi) sistemi, ağ trafiğinde anormal bir etkinlik gördüğünde alarm üretir ve bu alarm gerçekten bir saldırıyı gösteriyorsa, bu durumda alarm doğru pozitif olarak sınıflandırılır.

Yanlış Pozitifin Özellikle Belirtilmesi

Diğer yandan, Yanlış Pozitif (FP), sistemin masum bir işlemi siber saldırı olarak algılamasıdır. Örneğin, bir IT yöneticisinin mesai saatleri dışında sisteme erişim sağlaması, sistem tarafından 'Anormal Saatte Sistem Erişimi' alarmı olarak tespit edilebilir. Burada alarm yanlıştır çünkü olay zararsızdır. Yanlış pozitif alarmlar, ajanların gereksiz yere zaman harcamasına neden olur ve görev yükünü artırır.

Siber Güvenlikteki Etkileri

Siber güvenlik alanında yanlış pozitiflerin sayısını en aza indirmek, şirketlerin zaman ve kaynaklarını etkin bir şekilde kullanmalarına yardımcı olur. Yanlış pozitifler analistlerin güvenilirliğini sorgulamalarına ve "alert fatigue" (alarm yorgunluğu) olarak bilinen bir duruma yol açarak dikkatsizliğe neden olabilir. Dikkatin dağıldığı durumlarda ise gerçek tehditler gözden kaçabilir. Bu da şirketin daha büyük siber saldırılarla karşılaşmasına sebep olabilir.

Bu bağlamda, doğru pozitif ve yanlış pozitif kavramlarının anlaşılmasının yanı sıra, doğru bilgi ve verilerin nasıl yorumlanması gerektiği de önemlidir. Güvenlik ekipleri gerekli incelemeleri ve analizleri yapmadan bir alarmın doğası hakkında kesin bir sonuca ulaşamazlar. Örneğin, bir alarmın bağlamını incelemek için analistler, olayın geçmiş kayıtlara ve sistemin normal çalışma düzenine göre değerlendirme yaparlar.

True Positive (TP): Saldırı VAR, Alarm VAR. 
False Positive (FP): Saldırı YOK, Alarm VAR.

Analiz Matrisini Anlamak

Söz konusu alarm değerlendirmeleri için sıkça kullanılan bir araç “Karmaşıklık Matrisi” (Confusion Matrix) olarak bilinir. Bu matris, güvenlik alarmlarının mevcut gerçeklik ile tahmin edilen çıktılar arasındaki ilişkiyi gösterir. Dört temel bileşen üzerinden analiz edilir:

  • Doğru Pozitif (TP): Gerçek bir saldırının tespit edilmesi.
  • Yanlış Pozitif (FP): Masum bir davranışın saldırı olarak algılanması.
  • Doğru Negatif (TN): Gerçek bir saldırının olmadığında alarmın devreye girmemesi.
  • Yanlış Negatif (FN): Bir saldırının gerçekleşmesine rağmen alarmın üretilmemesi.
|                     | Gerçek Saldırı Var | Gerçek Saldırı Yok  |
|---------------------|---------------------|---------------------|
| Alarm Üretildi      | True Positive (TP)  | False Positive (FP) |
| Alarm Üretilmedi    | False Negative (FN) | True Negative (TN)  |

Bu matrisin doğru kullanılması, savunma noktalarında alınacak önlemler hakkında kıymetli geri dönüşler sağlar. Dolayısıyla, yanlış pozitiflerin en aza indirgenmesi için sürekli bir iyileştirme süreci önerilir. SIEM sistemlerinde kuralları düzenlemekte, yetkili IP veya masum personel açısından istisnalar tanımakta kritik rol oynar.

Sonuç olarak, doğru pozitif ve yanlış pozitif kavramlarının net bir şekilde anlaşılması, siber güvenlik analistlerinin olaylara karşı daha etkili önlemler almasına yardımcı olur. Bu güvenilirlik, yalnızca tehdit algılama mekanizmalarının etkinliğini artırmakla kalmaz, aynı zamanda potansiyel saldırganların yapacağı girişimlere karşı savunma yaparken de esnekliği sağlar. Bu nedenle, bu kavramların siber güvenlik bağlamında ele alınması büyük bir gereklilik olarak ortaya çıkmaktadır.

Teknik Analiz ve Uygulama

Gerçek Tehdit: True Positive

Siber güvenlik alanında, alarm durumları kritik bir öneme sahiptir. Bir alarmın Doğru Pozitif (True Positive - TP) olarak tanımlanabilmesi için, sistemin gerçekleştirilen bir siber saldırıyı veya ihlali gerçekten tespit etmesi gerekmektedir. Yani, bir SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sistemi bir alarm ürettiğinde, bu alarm gerçekte mevcut olan bir tehdit ile birebir örtüşmelidir.

SIEM Alarmı ve TP Incelemesi

Bir SOC analisti için bu tür durumlar idealdir. Gerçek bir saldırıyı tespit etmek, analistin başarı ölçütlerinden biridir. Aşağıda örnek bir alarm durumu verilmiştir:

Alarm: Şüpheli Kullanıcı Erişimi
Kaynak IP: 192.168.1.10
Hedef: Veritabanı Sunucusu
Zaman: 14:32:13

Bu alarmın incelenmesi sırasında, analist olayın gerçek bir saldırı durumu olup olmadığını belirler. Eğer olayın arka planında yetkisiz bir erişim girişimi varsa, bu durumda alarm Doğru Pozitif olarak kabul edilir.

Analistin Vaktini Çalan Durum: False Positive

Tespit edilen her alarm bir tehdit anlamına gelmez. Bazen SIEM sistemleri, masum işlemleri saldırı olarak algılayabilir. Örneğin, bir IT yöneticisinin mesai sonrası sunuculara erişim sağlaması durumu, sisteme "Anormal Saatte Sistem Erişimi" alarmı üretebilir. Bu tür durumlara Yanlış Pozitif (False Positive - FP) denir. Yanlış pozitifler, analistlerin zamanını çalar ve dikkatlerini dağıtır.

Yanlış pozitif oranını düşürebilmek için bazen kural düzenlemeleri yapılması gerekebilir. Örneğin, bir kuralda yer alan IP adreslerinin yetkilendirilmesi veya belirli kullanıcıların dışarıda bırakılması gibi ayarlamalar durumun tekrar etmesini önleyebilir.

# Örnek bir Python kodu ile kural iyileştirmesi
def filter_allowed_ips(log_entries, allowed_ips):
    return [entry for entry in log_entries if entry['source_ip'] not in allowed_ips]

log_entries = [
    {'source_ip': '192.168.1.10', 'action': 'login'},
    {'source_ip': '192.168.1.20', 'action': 'access'},
]

allowed_ips = ['192.168.1.20']
filtered_logs = filter_allowed_ips(log_entries, allowed_ips)

Analiz Matrisini (Confusion Matrix) Anlamak

Siber güvenlikte alarm verimliliğini değerlendirmek için kullanılan en önemli araçlardan biri "Karmaşıklık Matrisi" (Confusion Matrix)dir. Bu matris, dördü temel durumdan oluşur: Doğru Pozitif (TP), Yanlış Pozitif (FP), Doğru Negatif (TN) ve Yanlış Negatif (FN). Her bir durum, sistemin gerçekliğe olan tepkisini göstermek için kullanılabilir.

Örneğin:

                   | Gerçek Tehdit Var | Gerçek Tehdit Yok
-------------------|-------------------|-------------------
Alarm Var          | TP                | FP
Alarm Yok          | FN                | TN

Bu matris yardımıyla, analistler karar almada daha bilinçli hareket edebilir. Örneğin, yüksek sayıda FP durumu, kuralın etkinliğini sorgular hale getirebilir.

En Tehlikeli Durum: Kaçırılan Tehdit (False Negative)

Bir çok güvenlik uzmanı tarafından dikkate alınması gereken en ciddi durum ise Kaçırılan Tehdit (False Negative - FN)dir. Bu, sisteme gelen bir saldırının görünmemesi durumunu ifade eder. Örneğin, sıfırıncı gün (zero-day) bir zararlının, sistemin algılayamadığı bir şekilde verileri çalması. Bu tür durumlar, güvenlik zafiyeti oluşturduğu için kritik öneme sahiptir.

False Positive Oranını Düşürmek: Tuning

Yanlış pozitif oranını azaltmak için SIEM üzerindeki kuralların sürekli olarak gözden geçirilmesi gerekmektedir. Analistler, gereksiz alarmları minimize etmek amacıyla kural yapısını sürekli güncelleyebilir. Çoğu zaman, belirli bir kullanıcı grubuna veya IP adresine istisna eklemek yerinde bir çözüm olur.

Senaryolar Üzerinden TP ve FP Değerlendirmesi

Pratikte TP ve FP durumlarına dair bir senaryo üzerinde değerlendirme yapmak yararlıdır. Örneğin, veri tabanı yöneticisi (DBA) bakım saatinde tablo taşıması yapıyorsa, bu durum SIEM tarafından "Veri Sızdırma" alarmı olarak algılanabilir. Bu, tipik bir Yanlış Pozitif örneğidir.

Diğer yandan, pazarlama departmanından bir çalışanın bilgisayarından gizlice veritabanına SQL komutları gönderilmesi ise Doğru Pozitif bir senaryodur.

İncelemenin Sonucu: Alarmın İhlale (Incident) Dönüşmesi

Sonuç olarak, alarm durumu incelendiğinde, analistin yaptığı değerlendirmeye göre alarm, ya zararsız bir durum (False Positive) ya da gerçek bir saldırı (True Positive) olarak sınıflandırılabilir. Eğer alarmın gerçek bir saldırı olduğuna karar verilirse, durumu onaylanmış bir güvenlik ihlali (Incident) olarak kaydedilir.

Bu inceleme süreci, analistin zamanını etkin kullanmasını ve gerçek tehditleri öncelikli olarak ele almasını sağlar. Özensiz bir süreçte, sistemin güvenliğini riske atmak mümkündür. Dolayısıyla, etkili bir siber güvenlik yönetimi için bu durumların dikkatlice izlenmesi gerekir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında yapılan tespitler ve analizler, organizasyonlar için oldukça kritik bir öneme sahiptir. Ancak bu tespitlerin doğru yorumlanması ve etkin bir savunma stratejisinin oluşturulması, siber güvenlik uzmanlarının en önemli görevlerinden biridir. Yanlış pozitif (False Positive) ve doğru pozitif (True Positive) kavramları, güvenlik ekiplerinin karşılaştığı temel zorluklardan bazılarıdır. Her bir tespitin güvenlik anlamını yorumlayabilmek, bu iki terim arasındaki farkı net bir şekilde ortaya koymak için şarttır.

Doğru Pozitif (True Positive) ve Yanlış Pozitif (False Positive)

Doğru pozitif (TP), bir alarmın gerçek bir tehdidi doğru bir şekilde tespit etmesi durumudur. Bu durumda sistem bir siber saldırıyı veya bir güvenlik ihlalini uygun bir şekilde algılamış olur. Örneğin, bir çalışanın bilgisayarından veri sızdırma girişimi tespit edildiğinde bu, sistemin başarılı bir şekilde görevini yerine getirdiğini gösterir. Analistin bu durumu tespit etmesi, ona anında müdahale etme fırsatı sunar ve potansiyel veri kaybını engeller.

Buna karşın, yanlış pozitif (FP) durumunda sistem, tehlike içermeyen bir durumu yanlış bir alarm olarak değerlendirmiş olur. Örneğin, bir sistem yöneticisinin bakım amacıyla bir sunucuya erişimi, güvenlik sistemi tarafından potansiyel bir saldırı olarak algılanabilir. Bu tür durumlar, analistin zamanını boşa harcamasına neden olur ve dikkatinin dağılmasına yol açar.

True Positive (TP): Saldırı VAR, Alarm VAR (Başarılı Tespit)
False Positive (FP): Saldırı YOK, Alarm VAR (Yanlış Tespit)

Analiz Matrisini Anlamak

Güvenlik sistemlerinin başarısını değerlendirmek için Confusion Matrix (Karmaşıklık Matrisi) kullanılır. Bu matris, dört temel durumu içerir: doğru pozitif, yanlış pozitif, doğru negatif ve yanlış negatif. Matrisin yapısı, güvenlik olaylarına verilen tepkinin kesişim noktalarını oluşturarak, sistemin genel etkinliğini değerlendirmeye yardımcı olur. 

Confusion Matrix:
|                 | Alarm Var         | Alarm Yok         |
|-----------------|------------------|------------------|
| Saldırı Var     | True Positive (TP)| False Negative (FN)|
| Saldırı Yok     | False Positive (FP)| True Negative (TN) |

Yanlış Pozitif Oranını Düşürmek

Yanlış pozitif oranını (FP Rate) düşürmek, siber güvenlik ekiplerinin en büyük hedeflerinden biridir. Analistler, yetkili IP adresleri ve masum aktiviteleri göz önünde bulundurarak kural ayarlamaları yapmak zorundadır. Bu tür iyileştirmeler, güvenlik sisteminin daha az asılsız alarm üretmesini sağlar ve analistlerin dikkatini daha kritik durumlara yönlendirebilir.

Örneğin, aşağıdaki Python kodu, bir SIEM sistemi üzerinde alarm filtreleme işlemi yapmak için kullanılabilir:

def filter_alerts(alerts, excluded_ips):
    filtered_alerts = []
    for alert in alerts:
        if alert.source_ip not in excluded_ips:
            filtered_alerts.append(alert)
    return filtered_alerts

Bu kod, belirli IP adreslerini hariç tutarak sadece önemli uyarıları listelemeye yarar. Hem kaynak IP'leri hem de alarm türlerini değerlendirerek analiz sürecini hızlandırır.

Önerilen Profesyonel Önlemler ve Hardening Stratejileri

  1. Kural İyileştirme: SIEM kurallarını düzenli olarak gözden geçirip güncellemek, yanlış pozitif oranını minimize eder.
  2. Alarm Yönetimi: Alarm sınıflandırması yaparak, her bir alarmın önem derecesine göre işlem önceliği belirlemek.
  3. Hedefli Eğitim: Analistlere sıkça karşılaşılan yanlış pozitif durumları hakkında eğitimler vermek, onların bu tür durumlarla başa çıkma yeteneklerini artırır.
  4. Gözlem Süresi Artışı: Kritik olaylar için gözlem sürelerini artırarak daha fazla veri toplayıp daha kesin sonuçlar elde etmek.

Sonuç

Siber güvenlikte risk analizi, yorumlama ve savunma süreci, doğru gösterimler ile yanılgılardan kaçınmak adına her zaman önem taşır. Doğru pozitifler güvenliğinizi artırırken, yanlış pozitifler analistlerin zamanını boşa harcamasına neden olur. Bu nedenle, sistemlerin yapılandırılması ve izlenmesi noktasında proaktif yaklaşımlar benimsemek, organizasyonların siber tehditlere karşı dayanıklılığını artırır. Sadece güvenlik sisteminin etkinliğini artırmakla kalmayacak, aynı zamanda siber güvenlik uzmanlarının iş yükünü de hafifletecektir.