Uzun süredir tehdit tespitiyle (örn. UEBA veya UBA) ilişkilendirilen davranışsal analiz, bir rönesans yaşıyor. Bir zamanlar öncelikli olarak şüpheli etkinlikleri tanımlamak için kullanılan bu teknoloji, artık olaylara müdahale süreçlerini geliştiren güçlü bir tespit sonrası teknoloji olarak yeniden tasarlanıyor. SOC’ler, uyarı önceliklendirmesi ve araştırması sırasında davranışsal içgörülerden yararlanarak iş akışlarını daha doğru, verimli ve etkili olacak şekilde dönüştürebilir. Neyse ki, AI SOC analistleri gibi birçok yeni siber güvenlik ürünü bu teknikleri kendi araştırma yeteneklerine dahil edebiliyor ve böylece SOC’lerin bunları yanıt süreçlerinde kullanmalarına olanak tanıyor.
Bu yazı davranış analitiğine kısa bir genel bakış sunacak ve ardından SOC soruşturmasını ve olay müdahale çalışmasını sarsmak için yeniden keşfedilen 5 yolu tartışacak.
Davranış Analizi Geri Döndü, Peki Neden?
Davranışsal analizler 2015’in sıcak konularından biriydi ve “bilinmeyen bilinmeyenleri” ortaya çıkarmak için dinamik anormallik tespiti ile statik SIEM ve SOC tespitlerinde devrim yaratma sözü veriyordu. Bir yıl içinde, kullanıcı davranışı platformları SIEM sağlayıcıları tarafından hızla satın alındı ve kısa sürede güvenlik verilerinde davranışsal mercek kavramı diğer birçok algılama ürünü kategorisine yayıldı.
Peki neden artık dalga yaratmıyor?
Davranış analizi, bazen bir teknolojinin ilk uygulamasının en iyi uygulaması olmaması açısından mikrodalga fırına benzer. Amerikalı mühendis Percy Spencer, bir radyo teknolojisi deneyi sırasında cebindeki çikolatanın eridiğini fark ederek yanlışlıkla mikrodalga teknolojisini keşfettiğinde, bunun dünya çapındaki mutfaklarda devrim yaratacağı konusunda muhtemelen hiçbir fikri yoktu. Başlangıçta, mikrodalgalar yemek pişirmek için tasarlanmamıştı, ancak zamanla yiyecekleri ısıtmak için kullanışlılıkları ortaya çıktı ve bunların kullanımı hakkındaki düşüncelerimizi yeniden şekillendirdi. Benzer şekilde, davranışsal analizler de başlangıçta siber güvenlik alanında tehditleri gerçek zamanlı olarak tespit etmeyi amaçlayan bir tespit aracı olarak tasarlandı. Ancak bu erken kullanım, kapsamlı kurulum ve bakım gerektiriyordu ve çoğu zaman güvenlik ekipleri yanlış tespitlerle bunalıyordu. Artık davranışsal analiz, tespit sonrası analizde çok daha etkili bir rol buldu. Belirli güvenlik uyarıları hakkında öngörü sağlamak için analizin kapsamını daraltarak, daha az yanlış alarmla yüksek değerli bilgiler sunar ve bu da onu sürekli bir gürültü kaynağı olmaktan ziyade olay müdahale sürecinin paha biçilmez bir parçası haline getirir.
Davranış Analitiğinin Olaylara Müdahalede Devrim Yaratmasının 5 Yolu
Davranış analizinin olaylara müdahaleyi geliştirmesinin ve güvenlik ekiplerinin daha hızlı ve hassas bir şekilde müdahale etmesine yardımcı olmasının beş temel yolunu burada bulabilirsiniz.
1. Olay Soruşturmasında Doğruluğu Artırma
Olaylara müdahaledeki en büyük zorluklardan biri, gerçek tehditleri belirlemek için yanlış pozitifleri elemektir. Analistler, tespit sonrası davranışsal analizlerle olay araştırmalarına netlik kazandıracak temel bağlamsal soruları yanıtlayabilir. Bir kullanıcının, varlığın veya sistemin normalde nasıl davrandığını anlamadan, bir uyarının yasal bir aktiviteye mi yoksa potansiyel bir tehdide mi işaret ettiğini ayırt etmek zordur.
Örneğin, sıklıkla hatalı pozitif sonuç veren bir “imkansız seyahat” uyarısı, kısa sürede insan eliyle ulaşılması imkansız olan konumlardan yapılan oturum açma işlemlerini işaretler (örneğin, New York’ta oturum açma ve ardından beş dakika sonra Singapur’da oturum açma). Davranış temelleri ve etkinlik, bu uyarıları etkili bir şekilde değerlendirmek için aşağıdakiler gibi yararlı veriler sağlar:
- Bu konuma seyahat etmek bu kullanıcı için tipik bir durum mu?
- Oturum açma davranışı olağan mı?
- Cihaz tanıdık mı?
- Proxy veya VPN mi kullanıyorlar ve bu normal mi?
Davranışsal analiz, analistlerin beklenen davranışları doğrulayarak yanlış pozitifleri filtrelemesine olanak tanıyan bir bağlam sağlayarak, özellikle kimlik gibi normalde araştırılması zor olan uyarılarla soruşturmada güçlü hale gelir. Bu şekilde SOC ekipleri gerçek pozitiflere daha fazla doğruluk ve güvenle odaklanabilir.
2. Son Kullanıcılarla İletişime Geçme İhtiyacının Ortadan Kaldırılması
Bazı uyarılar, özellikle de kullanıcı davranışıyla ilgili olanlar, SOC analistlerinin ek bilgi için son kullanıcılara ulaşmasını gerektirir. Kullanıcılar yanıt vermekte tereddüt ederse veya ne sorulduğu konusunda net değilse, bu etkileşimler yavaş, sinir bozucu ve bazen sonuçsuz olabilir. Yapay zeka destekli SOC araçları, tipik kalıpları yakalayan davranış modellerini kullanarak bu bağlamsal soruların çoğunu otomatik olarak yanıtlayabilir. Kullanıcılara “Şu anda Fransa’ya mı seyahat ediyorsunuz?” sorusunu sormak için beklemek yerine. veya “Chrome kullanıyor musunuz?” sistem zaten biliyor ve analistlerin son kullanıcı kesintisi olmadan ilerlemesine olanak tanıyor ve bu da soruşturmayı kolaylaştırıyor.
3. Daha Hızlı Ortalama Yanıt Süresi (MTTR)
Bir olaya müdahalenin hızı süreçteki en yavaş göreve göre belirlenir. Geleneksel iş akışları genellikle her uyarı için geçmiş verileri incelemek, normal kalıpları doğrulamak veya son kullanıcılarla iletişim kurmak gibi tekrarlayan, manuel görevleri içerir. Tespit sonrası davranış analizi gerçekleştirebilen yapay zeka araçları sayesinde bu sorgular ve kontroller otomatik hale getiriliyor; bu da analistlerin artık davranış kalıplarını anlamak için yavaş, manuel sorgular çalıştırmalarına gerek olmadığı anlamına geliyor. Sonuç olarak, SOC ekipleri uyarıları daha kısa sürede önceliklendirip araştırabilir ve Ortalama Yanıt Süresini (MTTR) günlerden yalnızca dakikalara indirebilir.
4. Daha Derin Soruşturma için Geliştirilmiş Bilgiler
Davranışsal analiz, SOC’lerin aksi takdirde keşfedilmemiş olabilecek çok çeşitli içgörüleri yakalamasına olanak tanır. Örneğin, uygulama davranışını, süreç yürütme kalıplarını (örneğin, firefox.exe’yi belirli bir konumdan çalıştırmanın yaygın olup olmadığı) veya kullanıcı etkileşimlerini anlamak, incelemeler sırasında değerli bağlam sağlayabilir. Bu içgörülerin manuel olarak toplanması genellikle zor veya zaman alıcı olsa da, yerleşik tespit sonrası davranışsal analizlere sahip SOC araçları, bu bilgileri otomatik olarak analiz edebilir ve araştırmalara dahil edebilir. Bu, analistlere normalde sahip olamayacakları içgörüler sağlayarak uyarı önceliklendirmesi ve olay müdahalesi sırasında daha bilinçli karar alma olanağı sağlar.
5. Geliştirilmiş Kaynak Kullanımı
Davranışsal modellerin oluşturulması ve sürdürülmesi, kaynak yoğun bir süreçtir ve genellikle önemli miktarda veri depolama, işlem gücü ve analist zamanı gerektirir. Çoğu SOC, tespit sonrası görevler için davranışsal öngörülerden yararlanacak uzmanlığa, kaynaklara veya kapasiteye sahip değildir. Bununla birlikte, otomatikleştirilmiş davranış analitiğiyle donatılmış AI SOC çözümleri, kuruluşların altyapı maliyetlerini veya insan iş yükünü artırmadan bu avantajlara erişmesine olanak tanır. Bu özellik, ek depolama ve karmaşık sorgu ihtiyacını ortadan kaldırarak her uyarı için dakikalar içinde davranışsal öngörüler sağlar ve analistlere daha yüksek değerli görevlere odaklanma olanağı tanır.
 |
| Şekil 1- Kullanıcıların satış departmanı ile birlikte kullandığı ülkeleri temel alan ve anormallikleri bulan örnek bir Splunk sorgusu. |
Davranışsal analizler ve analizler, SOC’lerin olaylara müdahaleye yaklaşma şeklini yeniden tanımlıyor. Davranışsal analiz, ön saflarda yer alan bir tespit aracından tespit sonrası bir güç merkezine geçiş yaparak, gerçek tehditleri gürültüden ayırmak, son kullanıcı kesintilerini önlemek ve yanıt sürelerini hızlandırmak için gereken bağlamı sağlar. SOC ekipleri, tehdit tespitinde proaktif bir avantaj elde ederken, daha hızlı, daha doğru araştırmalardan, gelişmiş içgörülerden ve optimize edilmiş kaynak tahsisinden yararlanır. SOC’ler yapay zeka odaklı davranış analitiğini benimsemeye devam ettikçe olaylara müdahale, günümüzün dinamik tehdit ortamı karşısında yalnızca daha etkili, dayanıklı ve etkili hale gelecektir.
SOC’yi nasıl daha verimli hale getirebileceğinizi öğrenmek için bu kılavuzu indirin veya AI SOC analistleri hakkında daha fazla bilgi edinmek için etkileşimli bir ürün turuna katılın.