Gelişen teknoloji ve dijital veri devriminden yararlanmak, günümüzde her işletme için harika bir fırsat. Ama bunu hakkıyla yapabilmek o kadar da kolay değil. Casus yazılımlar (spyware) üzerinden siber saldırılar giderek yaygınlaşıyor ve kuruluşlar için tehlikeli hale geliyor. Evet, biz insanlar olarak mükemmeliz(!) ama gerçekten bu siber saldırıları tespit edip hemen harekete geçebiliyor muyuz? Bu noktada biraz mütevazi olup işi Makine Öğreniminin (Machine Learning) yeteneklerine bırakmamız gerekiyor.
Şirketlere, Nesnelerin İnterneti’nin (Internet of Things / IoT) ürettiği veriye ek olarak bir gün içinde üretilen binlerce yüksek güvenlik uyarısı ulaşıyor. Ve sunuculardan biri aracılığıyla şirketlerin sistemleriyle sıra dışı iletişim kurabiliyor. Ancak binlerce sunucu olduğunda olağan dışı etkinlikleri bulmak ne kadar mümkün oluyor? Her ne kadar şirketler sunucularını izleyebilme özelliğine sahip olsalar da bazı saldırılar herhangi bir alarm tetiklemeyecek kadar akıllı olabiliyor. Endişe edilecek bir sürü şey var değil mi? Korkmayın çünkü bu gibi saldırılarla başa çıkmak için anomali tespit yöntemleri (anomaly detection methods) geliştiriliyor.
Anomali tespiti, temel olarak beklenen davranışa uymayan verilerdeki kalıpları ve paternleri buluyor. Anomali tespitinde makine öğreniminin ana amacı ise; dolandırıcılığı tespit etmek, alışılmayan işlemleri yakalamak, şüpheli faaliyetleri keşfetmek ve bağlantı kurmak. Yani aslında bir dedektif gibi çalıştığını söyleyebiliriz. Makine öğrenimi algoritmaları; IDS uyarıları, Ağ Trafiği, Proxy ve Kimlik Doğrulama Kayıtları gibi büyük miktarda veriyi izleyebiliyor – daha şimdiden, insanlardan daha iyi olduklarını düşünmüyor musunuz?
Anomali Tespiti Kullanımları
İşletmelerde Anomali Tespiti için Makine Öğrenimi kullanımının, aşağıdaki gibi pek çok kullanışlı uygulamasını listeleyebiliriz;
- Uyarlanabilir eşik (adaptive treshold) ile hangi verilerin normal aralığın dışında olduğunu belirleme ve karmaşık sinyallerde normal dalgalanmalar oluşturma,
- Olay akışlarındaki (event stream) anormallikleri keşfetmek için geçmiş verileri kullanma (ör. Web trafiği),
- Önemli aykırılıkları tespit etmek için işe yaramayan uyarıları otomatik olarak reddetme,
- Herhangi bir veri kaynağını (ağ, cihaz, sunucu, kullanıcı kayıtları vb.) izleyebilme,
- Verilerin farklı özelliklerini (yanıt süreleri veya sayımları, kullanıcılardan, ana makinelerden (hosts) ve aracılardan (agents) gelen bilgiler v.b) analiz edebilme,
- Geleneksel güvenlik denetimlerinin yakalayamadığı çoklu veri kaynakları arasındaki alışılmadık davranışları bulmak için çapraz korelasyon yapabilme,
- Hileli kullanıcıları ve davranışları “normal davranış” temeliyle karşılaştırarak tespit etme. Örneğin, yüksek ayrıcalıklı bir hesap (HPA) kullanıcısı bir sahtekarlık yaptığında, bu kullanıcı; rollerini yerine getirmek için doğru ayrıntılarla ve erişim izinleriyle çalıştığı için geleneksel güvenlik kontrolleri tehdit olarak algılayamayabiliyor. Anomali saldırı tespiti araçları; olağan dışı hesap etkinliğini otomatik olarak anında tespit edebiliyor ve kullanıcı, ağ, sistem ve fiziksel verilerini IK ipuçları ile ilişkilendiren içeriğe dayalı zeka (context-rich intelligence) ile riske göre sıralıyor.
- Bilinmeyen güvenlik tehditlerini ve sıfır gün (zero-day) saldırılarını hızlıca tespit etme,
- Kötü amaçlı yazılım (malware) saldırılarını tanımlama**
** Techbeacon.com‘a göre, işletmeler haftada ortalama 17.000 kötü amaçlı yazılım uyarısı (malware alert) alıyorlar ve yanlış/ hatalı olay verisine yanıt verirken zaman ve kaynaklar için yıllık ortalama 1.27 milyon dolar harcıyorlar.
Makine öğrenimi, güvenlik analistlerinin bilinmeyenleri tespit etmelerine, önemini ilişkilendirmelerine ve daha sonra verinin olasılık skoruna dayalı en önemli öğeleri belirlemelerine yardımcı olur. Ayrıca verilerdeki paternleri, anormallikleri tanımlayabilir ve anlayabilir ve her vakadan normal davranışın ne olduğunu ve aykırılıkların nerede olduğunu öğrenebilirler.