Günümüzde tehditleri tespit etmek için sadece hangi yöntemlerin kullanılacağı değil, aynı zamanda hangi verilerin kullanılacağı da önemlidir. Uç nokta sunucusu ve iş istasyonu günlükleri bir başlangıçtır. Ancak, tehdit algılama görünürlüğü ağ ve bulutu da kapsamadığı sürece önemli kör noktalar mevcuttur. Ekiplerin hangi verilerin kullanılacağına, verilerin şüpheli etkinliği nasıl gösterebileceğine ve ne bekleyeceğine bakması gerekir. Bu makale, üç ana algılama yöntemini (imza, davranışsal ve makine öğrenimi) ve neden hepsinin kurumsal siber güvenlik için kritik öneme sahip olduğunu ele alacaktır.
İmza tabanlı tehdit algılama
İmza tabanlı algılama yöntemleri, kötü niyetli etkinliğin göstergelerini (hash’ler, dosya adları, anahtar adlarının kaydı veya bir dosyada görünen dizeler) aramayı içerir. Örneğin: c gibi bir damlalık kötü amaçlı yazılımıyla ilişkili bilinen bir dosya adı:\windows\system32\bigdrop.exe, veya bilinen kötü amaçlı yazılımla eşleşen karma değerine sahip bir dosya. Ancak, saldırganlar tarafından kalıcılık kazanmak için sıklıkla kullanılan kayıt defteri anahtarlarında görünen yeni değerler, base64 kodlamalı PowerShell betiklerini aramak veya bir PowerShell betiğini başlatan Microsoft Word gibi daha genelleştirilmiş imzalar da vardır.
İmza tabanlı yöntemler uzun süredir kullanılmaktadır ve hem uç nokta hem de ağ tabanlı algılamalar için kullanılabilir. Örneğin, kötü amaçlı ağ etkinliğini saptamak için kurallar kullanan ve analistin gözden geçirmesi için uyarılar oluşturan açık kaynaklı bir izinsiz giriş önleme sistemi (IPS) olan Snort, 20 yıl öncesine dayanan saldırıların tespit edilebildiği mükemmel bir kayıt sistemidir. İmza tabanlı algılama sistemlerindeki geniş kitaplıklar, tehdit avcılarının kötü amaçlı yazılım göstergelerine çapraz referans vermesine olanak tanır.
İmza tabanlı algılama yöntemleri, bilinen saldırıları belirlemek için harikadır, ancak saldırganınız yeni teknikler kullanıyorsa veya eski tekniklerde küçük değişiklikler yapıyorsa size yardımcı olamazlar. Bir otomasyon unsuru ve ek bağlam olmadan, bu tehdit algılama yönteminin yönetilmesi çok zor olabilir.
Davranış tabanlı tehdit algılama
Davranışa dayalı algılama yöntemleri, uç noktalara, cihazlara vb. yönelik kötü niyetli saldırıları gösterebilecek anormal davranışları belirlemenin mükemmel bir yoludur. Güvenlik analisti, kullanıcılar için temeller oluşturmak ve bu normal kalıpları herhangi bir standart olmayan eylemle karşılaştırmak için çeşitli teknikler kullanır. Örneğin, daha önce hiç kullanmadıkları bir uygulamanın kullanımı veya belki de daha önce hiç ziyaret etmedikleri bir konumdan oturum açmaları gibi şeyleri işaretlemek için, bireysel bir kullanıcının uygulama kullanımına ilişkin bir temel oluşturabilir ve bunları kendileriyle karşılaştırabilirsiniz.
Bu algılama yöntemleri, ilgili kalabilmek için mevcut bilgilerle düzenli temel güncellemeler gerektirir. Bu yöntemlerin çoğu, yalnızca bir kez oluşturulan bir temelden oluşturulur, ancak kullanıcı davranışı her zaman değişir, bu nedenle yeni, farklı, şüpheli olmayan davranışları hesaba katmak için temelin düzenli olarak güncellenmesi gerekir. Bazı araçlar otomatik olarak davranış temelleri oluşturabilirken diğerleri manuel müdahale gerektirir.
Makine öğrenimi tabanlı tehdit algılama
Makine öğrenimi, etkileşim kurduğunuz satıcıya veya sektöre bağlı olarak farklı anlamlara gelebilen sektör moda sözcüklerinden biridir. Ancak tehdit tespiti amacıyla makine öğrenimi, kimlik hizmetleri ve bulut hizmetleri gibi şeylerin yanı sıra ağ, uç nokta ve ağ üzerindeki telemetri yoluyla daha fazla ve daha iyi yapılandırılmış verilerden yararlanarak siber güvenlik verimliliğini artırmanın yeni bir yolunu sunar.
Bu büyük veri kümeleri, kötü niyetli etkinliğin göstergesi olabilecek ince değişiklikleri ortaya çıkarmak için denetimli veya denetimsiz öğrenme yaklaşımlarını kullanabilir. Bu son gelişme, büyük veri kümelerinin analizini mümkün kılarak bize bir ana bilgisayar ve diğer varlık davranışları hakkında yeni bilgiler verdi.
Tipik olarak, makine öğrenimi tek başına tehditleri doğrudan ortaya çıkaramayabilir, ancak aslına uygunluğu artırmak ve uyarılara önemli renk katmak için daha belirleyici algılama metodolojileriyle birlikte kullanılabilir. Örneğin, yüksek risk puanına sahip olan ancak aynı zamanda olağandışı ağ trafiği oluşturan bir kullanıcı: Bunlardan herhangi biri kendi başına ilginç olmayabilir, ancak birlikte ele alındığında bir resim oluşturmaya başlar.
Analiz edilen verilerin kalitesi ve temizliği bu yöntemle kritik öneme sahiptir. Bir algoritmadan elde edilen matematiksel bir çıktının bir insan analist tarafından tüketilebilir bir şeye dönüştürülmesi gerektiğinden, sonuçların analiste iletilmesinde nasıl zenginleştirildiği de önemlidir.
Çözüm
Siber tehditlerde süregelen sürekli artışla birlikte, kuruluşların ister şirket içinde, ister bulutta veya her ikisinin bir kombinasyonunda olsun, tüm ortamlarında tam görünürlük sağlayacak bir güvenlik izleme çözümüne sahip olmaları her zamankinden daha önemli. Otomatik yanıt yetenekleri sunan siber güvenlik platformları, müşterilerin ve şirketlerin benzer şekilde korunmalarını sağlarken değerli verileri güvende tutan algılama ve yanıt özelliklerine izin vererek bu tehditleri engellemeye yardımcı olabilir.