Siber güvenlik kapsamında kullanıcı erişimi olan tüm cihazlar, programlar, websiteleri, e-posta, doküman ve cloud ortamında depolanan tüm veriler, güvenliği sağlanması gereken fiziki/dijital yapılar olarak ele alınabilir. Tüm bu varlıkların yer aldığı multidisipliner yaklaşımla oluşturulan yapılarda iç ve dış tehditlere karşı zamanı en efektif biçimde kullanarak aksiyon alınabilmesi hedeflenmektedir. Dış tehditlere yönelik onlarca güvenlik aracından oluşan envanterleri yönetirken, olası iç tehditleri de tespit ederek güvenlik kapsamında büyük resimde tam görünürlük sağlamak gerekmektedir. Büyük resimde tüm ayrıntıları dikte edebilmek için korelasyon teknolojisiyle işleyen kural tabanlı güvenlik ürünlerine ek olarak unsupervised machine learning alt yapısına sahip UEBA teknolojilerinden bahsedilebilir.
Bildiğimiz gibi SIEM ürünleri temel olarak input ve output verileri öngörülerek hazırlanan kural/korelasyon teknolojisine dayanmaktadır. Birçok kuruluş bilinen tehditler için verimli bir tespit yöntemi olarak SIEM ürünlerini kullanmaktadır. Ancak sürekli değişen ve ilk tespit anına kadar bilinmeyen saldırılar için davranış analizi teknolojileri de ilave tercih sebebi haline gelmektedir. Kural ve korelasyonların statik yapısı sürekli güncellenmeyi gerekli hale getirirken, makine öğrenimi teknolojisini kullanan UEBA ürünleri dinamik kullanıcı hareketlerini analiz ederek, kullanıcı bazlı bir normal oluşturma ve bu normalin dışında bir durum söz konusu olduğunda tespit ederek potansiyel riskleri analiz etmeyi mümkün kılmaktadır.
Her sistemde faal olan birçok kişi ve cihaz yer almaktadır. Sistemi içeriden ya da dışarıdan birinin tehdit etme ihtimali ise her zaman vardır. Bu durum gerçekleşmeden önce tespit edilmesi için bazı faaliyetlerin normalin dışında seyrettiğini önceden fark etmek gerekmektedir. Örnek olarak oturum açma sıklığındaki ya da saatlerindeki değişimler anormal bir durum olacağı için risk olarak baz alınabilir. Bu doğrultuda kişi ve nesneleri izleyen, ve eylemleri analiz ederek anormallikleri tespit eden bir yapı, güvenlik konseptine ışık tutacaktır.
Bir iş görüşmesine gittiğimizde “Kendinizden biraz bahseder misiniz?” sorusuna cevap verirken genel hatlarıyla bir profil betimleyebiliriz. Anahtarı kapıda unutma gibi bir alışkanlığımız olduğuna değinmeyiz. Ya da uzaktan çalışma sürecinde iş bilgisayarıyla Starbucks’ta wifi’a bağlanıp vpn’de çalışmayı tercih edeceğimiz ayrıntısına girmeyiz. Bu gibi örnekler küçük ayrıntılar olabilir. Ancak kişi/kurum bazlı bazı durumlar stabil ve zararsız olabileceği gibi, dinamik olayların bazen risk barındırabileceğinin de farkında olmamız gerekmektedir. Bu farkındalığı sağlamak davranış analizi alt yapısıyla çalışan ürünler aracılığıyla mümkün olabilmektedir. Bu doğrultuda tüm kullanıcı ve nesneler için bir normal oluşturup bu normalin dışında bir aksiyon gerçekleştiğinde kişi ve nesne profili bazında risk puantajı gerçekleştirerek aksiyon alan UEBA ürünleri kurumlar için risk analizini doğal bir süreç haline getirmektedir.
Günlük yaşamın birçok alanında yer edinmeye devam eden makine öğrenimi teknolojileri UEBA ürünlerinin de altyapısını oluşturmaktadır. Genel olarak makine öğrenimi teknolojileri ağırlıklı olarak supervised ve unsupervised tekniklerini kullanmaktadır. Supervised machine learning algoritması aşağıdaki denklem üzerinden açıklanabilir.
Y = f(x)
Eğer input (x) ve output (y) değişkenleri mevcutsa ve input-output arasında eşleştirmeyi sağlayan bir algoritma kullanılıyorsa bu supervised machine learning çalışma örneği olarak ele alınmaktadır. Örnek olarak plaka tanıma sistemlerini düşündüğümüzde, araçların plakaları okunur (input), dataset ve labellar arasında bu plakaya karşılık gelen bir kayıt olup olmadığı kontrol edilir. Eğer plaka kaydı sistemde yer alıyorsa denklemde girilen input değerine karşılık gelen output yer aldığı anlamına gelir ve işlem tamamlanır. Araç geçişi sağlanır. Ancak bazı durumlarda bilinmeyen çıktılar da söz konusu olabilmektedir. Unsupervised machine learning algoritmalarında ise kümeleme ve ilişkilendirme işlemleri yer almaktadır. İnput değerlerine karşılık gelen output değerleri yerine, input değerlerine bağlı olarak doğal süreçle oluşan algoritma sayesinde output değerleri ilişkilendirme ve gruplama yöntemiyle oluşturulur. Örnek olarak mesai saati başlangıcı için genel tabirle input değeri 08:00 olabilir. Ancak bu değer değişebileceği gibi bu duruma direkt statik bir output değeri atamak mümkün değildir. Bu doğrultuda kişilerin mesaiye başlama saatlerine göre gruplandırma ve normal bir değer aralığı belirleyip normalin dışında kalan kişileri normale uzaklığa göre risk puanlamasına tabi tutmak mümkündür.
İç ve dış riskler baz alındığında bazı tehditlerin, belirli data setleri ve veri kümelerine sahip olmaması nedeniyle tespit işleminin unsupervised machine learning algoritmalarıyla mümkün olacağı görülmektedir. Unsupervised machine learning etiketlenmiş veri kümeleri (belirlenen olası output değerleri) yerine, etiketlenmemiş veri kümelerindeki kalıplara bakarak olası output değerlerini gruplar ve normalin dışında seyreden bir durum gerçekleştiğinde, sistemde bu başlığı kapsayan bir label kümesi yer almamasına rağmen ilgili aksiyonu ilişkendirme ve gruplama prosedürü ile tespit edebilir.
Davranış analizi aktörleri arasında Micro Focus ürün portföyünde yer alan Interset örnek gösterilebilmektedir. Interset, 2015 yılından itibaren güvenlik operasyonlarında davranış analizi tekniğini kullanarak olası iç tehditleri modelleyen ve güncel, karmaşık risk durumlarını tespit eden bir ürün olarak karşımıza çıkmaktadır. 2019 yılı itibariyle MicroFocus ürün ailesine katılan Interset ilave olarak ArcSight envanteri ile entegrasyon sağlayabilmektedir. Bu doğrultuda 0-100 arası risk puanları aracılığı ile iç tehditleri dikte ederek; kendi outputları ile SIEM outputları arasında ilişkilendirme yöntemiyle aksiyonu mümkün kılmaktadır.
Şimdi biraz soru cevap yöntemiyle bizler de Interset ürününün yapı ve davranış modelini analiz etmeye çalışabiliriz.
Interset, çoğunlukla dış tehditlere karşı konfigure edilen SIEM ürünlerinin yanında kuruluş bünyesinde meydana gelen ve varolan en riskli varlık ve davranışları belirleyerek, iç tehditleri tespit etme imkanı sunmaktadır. Değişen çalışma biçimlerine bağlı olarak artık çalışanlar şirket dışında herhangi bir lokasyondan, evden ya da cep telefonundan çalışmaya devam edebilmektedir. Veri/hesap ihlali/hırsızlığı, kullanıcılar tarafından istemli ya da istemsiz etkinliklerle ilişkili olarak gerçekleşebilmektedir. Bu doğrultuda Interset risk durumlarını belirleyerek normalin dışında gerçekleşen durumları monitör imkanı sunmaktadır. Bu sayede kurumlar tarafından olası tehditlerin fark edilerek büyük resmin daha net görülebilmesi, küçük ayrıntıların belirginleştirilmesi ile sağlanmaktadır.
Anomali tespitinde görev alan IntersetAnalytics, tüm verileri monitör etme imkanı sunan Interset UI, verilerin raporlanmasına olanak tanıyan Interset Exports, file server olarak görev yapan ve Spark2 konfigurasyon dosyalarının bulunduğu Interset-spark-config-server ile Interset API bileşenlerinden oluşmaktadır.
Bunların yanında third party bileşenleri aşağıda sıralanmaktadır;
Interset, tehdit olarak gruplayabileceği aksiyonları davranış analizi metodu ile tespit etmektedir. İlk adım olarak kurum için farklı başlıklar bünyesinde normal olan davranışı belirler. Akabinde davranış analitiğini kullanarak potansiyel riskleri gruplar ve puanlar.
Temelde agentlar (smartconnector) aracılığı ile toplanan loglar; vertica altyapısıyla entegre hale getirilir. Logstash-Elasticsearch aracılığıyla indexlenir,anlamlandırılır. Kibana aracılığıyla monitör edilebilir. H2, tüm kullanıcı kimliklerini muhafaza eder. IntersetAnalytics Spark2 desteği ile faaliyet gösterirken, analytics çıktıları HDFS tarafından depolanır.
Önceki başlıklarda da değindiğimiz gibi tüm kullanıcılar, hesaplar ve nesneler birer iç tehdit haline getirilebilir. Ya da kullanıcıların istemsiz aldığı birkaç aksiyon bir kurum bünyesindeki bir hesap ya da nesne için tehdit haline gelebilir. Kurum bünyesinde çalışanlar en zayıf halka olarak öngörülmekle birlikte kullandıkları fiziki ve dijital araçlarında (e-posta, bilgisayar, telefon) kurum güvenliği ihlaline sebep olmayacak biçimde stabil/olağan bir işleyişte ikame ettirilmesi gerekmektedir. Bu doğrultuda davranış analizi teknolojisi ile kurum içinde güvenlik duvarını daha sağlam hale getirmek için aşağıdaki use case lerden bahsedilebilmektedir.
Bu ve benzeri tüm durumlar için Interset, rastgele gibi görünen tüm verileri, büyük veri kümeleri halinde gruplandırarak, gerçekleşen her olay karşılığında risk durumunu işaret ederek modellerle eşleştirme sağlamaktadır.
Örnek olarak shela kullanıcısı ele alınabilir. Kullanıcının tüm aksiyonları kullanıcı bazlı normalize edilirken eş zamanlı diğer tüm kullanıcıların toplam aksiyonları da normalize edilmektedir. Bu doğrultuda kullanıcı hareketlerine ilişkin loglar aracılığı ile, kullanıcı ve kurum normali dışında bir faaliyet gerçekleştiğinde Interset Explore sekmesinde detaylı olarak söz konusu faaliyetleri incelenebilmektedir.
Shela kullanıcısının diğer kullanıcılara oranla hangi aktiviteyi, hangi düzeyde, ne zaman gerçekleştirdiğine ait detaylar aşağıda yer almaktadır.
İlave olarak grafik üzerinde ya da kronolojik olarak sıralı liste içerisinde ilgili event açıldığında kullanıcının ilgili aktivite için tespit edilen normal değeri ve diğer ayrıntılar da görülebilmektedir. Joshua adlı kullanıcının normalde ortalama saatte 1.5 kez FLARE.Interset.int’e login işlemi yaptığı, ancak kendi normalini değiştirdiği aktiviteye ait detaylar aşağıda yer almaktadır.
Diğer yandan kullanıcı aktivitesi kendi normalinin dışında ancak kurum bilgisi dahilinde bir faaliyet olabilir. False positive leri en aza indirmek için anomali tespiti ve risk puantaj sistemine müdahale imkanı da yer almaktadır. Tuning ve view events alanlarında ilgili loglar görüntülenerek export edilebilmekte ve arka planda koşan analitiğin söz konusu eventin risk değerini nasıl puanlayacağını belirlemek için önem derecesi değiştirilebilmektedir.
Özetle teknolojik gelişmeler hayatı kolaylaştırırken diğer yandan daha fazla veri ve daha fazla tehdit olarak dönüş sağlayabilmektedir. Nicel olarak artan verilerin paralelinde tehditlerin tespit edilmesi de her geçen gün daha fazla zaman gerekmektedir. Bu durumda UEBA teknolojileri kullanıcı ve nesne bazlı analizler aracılığı ile zamanı efektif kullanarak, güvenlik konseptine içeriden dışarıya doğru yeni bakış açıları sağlamaktadır.
Veri keşfi konusu 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile hayatımıza girdi. Bu kanunla beraber bu zamana kadar dağınık olan verilerimizin nerede tutulduğunun ve ne derece kritik olduğunun önemi giderek artmaktadır.
SIEM ürünlerinin en önemli özelliği korelasyon yapabilmesidir. ESM de correlation engine sayesinde verileri işler ve korelasyon yapabilme yeteneği kazanır.
Happy Place to Work tarafından gerçekleştirilen uluslararası standartlara uygun değerlendirme sonrası sektöründe “En Mutlu İşyeri” seçilmiş olmamız başarımızı taçlandıran bir ödül oldu. Ofisimizde düzenlediğimiz bir etkinlik ile ödülümüzü alırken, değerlendirmeye katılan ve bizi bu ödüle layık gören ekip arkadaşlarımızla kutlama yaptık.
Full Stabil yapılardan söz etmek mümkün mü? Dosya içeriği değişmiyor belki ama dosya sistemi, formatı ihtiyaçlarla paralel olarak değişebiliyor. Neden bu konuya girdim peki? Çünkü alışkın olduğumuz FAT32 ya da NTFS dosya sistemlerinin yanında artık sıklıkla duyulmaya başlanan ReFS dosya sistemi de yerini almaya başladı.
