İçeriden tehditler, modern organizasyonların karşılaştığı en zorlu siber güvenlik risklerinden birini temsil eder ve içeriden gelen veri sızıntılarının genellikle dış tehdit aktörleri tarafından yapılan ihlallerden beş kat daha fazla dosya ve kayıt içerdiğini gösterir.
Bu kapsamlı teknik kılavuz, içeriden gelen tehditleri tespit etmek ve azaltmak, gelişmiş analitik, otomasyon ve kanıtlanmış güvenlik çerçevelerini kullanarak ayrıntılı uygulama stratejileri sunar.
İçeriden Tehdit Tespit Metodolojilerini Anlamak
Modern içeriden gelen tehdit tespiti büyük ölçüde Kullanıcı ve Varlık Davranış Analizi (UEBA)tipik sistem, ağ ve program etkinliğinin temel profillerini oluşturan.
.png
)
Önceden belirlenmiş standartlardan ayrılma, önceden tanımlanmış imzalar yerine belirli kullanıcıların veya varlıkların davranışlarına odaklanarak potansiyel olarak kötü niyetli olarak kabul edilir.
Etkili tespitin temeli iki temel metodolojiyi içerir: Davranış temelli anomali tespiti Ve İmza Tabanlı Tespit.
Davranış tabanlı algılama, normal kullanıcı etkinliği ve bayrak sapmalarının taban çizgileri oluştururken, imza tabanlı algılama bilinen kötü niyetli kalıpları tanımlar.
Gelişmiş SIEM çözümleri, davranışsal verilerdeki kalıpları, eğilimleri ve anomalileri tanımlamak için makine öğrenme algoritmalarından yararlanır.
Bu sistemler anormal olaylara risk skorları atar ve yerleşik taban çizgilerinden sapmaları görselleştirir, bu da analistler için daha iyi kapsama alanı ve daha az uyarı yorgunluğu ile sonuçlanır.
Makine öğrenimi tabanlı algılama sistemleri
Etkili içeriden gelen tehdit tespiti uygulamak, sofistike makine öğrenimi yaklaşımları gerektirir.
Araştırmalar, denetimsiz topluluk yöntemlerinin% 0,1’lik bir soruşturma bütçesi altında kötü niyetli içeriden öğrenenlerin% 60’ını tespit edebileceğini ve tüm kötü niyetli içericilerde tespit edilebileceğini göstermektedir. % 5’ten az bir bütçe.
AutoEncoder uygulama örneği:
pythonimport tensorflow as tf
from tensorflow.keras import layers
import numpy as np
import pandas as pd
class InsiderThreatAutoencoder:
def __init__(self, input_dim, encoding_dim=32):
self.input_dim = input_dim
self.encoding_dim = encoding_dim
self.autoencoder = self._build_model()
def _build_model(self):
# Encoder
input_layer = layers.Input(shape=(self.input_dim,))
encoded = layers.Dense(64, activation='relu')(input_layer)
encoded = layers.Dense(32, activation='relu')(encoded)
encoded = layers.Dense(self.encoding_dim, activation='relu')(encoded)
# Decoder
decoded = layers.Dense(32, activation='relu')(encoded)
decoded = layers.Dense(64, activation='relu')(decoded)
decoded = layers.Dense(self.input_dim, activation='sigmoid')(decoded)
autoencoder = tf.keras.Model(input_layer, decoded)
autoencoder.compile(optimizer="adam", loss="mse")
return autoencoder
def train(self, normal_data, epochs=100, batch_size=32):
"""Train autoencoder on normal user behavior data"""
self.autoencoder.fit(normal_data, normal_data,
epochs=epochs,
batch_size=batch_size,
shuffle=True,
validation_split=0.1,
verbose=1)
def detect_anomalies(self, test_data, threshold=None):
"""Detect anomalies based on reconstruction error"""
predictions = self.autoencoder.predict(test_data)
mse = np.mean(np.power(test_data - predictions, 2), axis=1)
if threshold is None:
threshold = np.percentile(mse, 95)
anomalies = mse > threshold
return anomalies, mse
İçeriden Tehdit Tespiti için SIEM yapılandırması
Modern SIEM çözümleri, gelişmiş korelasyon kuralları ve UEBA entegrasyonu aracılığıyla kapsamlı içeriden gelen tehdit tespit yetenekleri sağlar. İşte Splunk kullanan pratik bir uygulama yaklaşımı:
İçeriden Tehdit Tespiti için Splunk Arama Sorguları:
text# Detect unusual file access patterns
index=file_access user=*
| stats count by user, file
| where count > 100
| sort - count
| eval risk_score=case(
count>500, "HIGH",
count>200, "MEDIUM",
count>100, "LOW"
)
# Monitor after-hours access anomalies
index=authentication earliest=-24h@h latest=now
| eval hour=strftime(_time, "%H")
| where hour<6 OR hour>22
| stats count by user, src_ip, hour
| where count>5
| eval anomaly_type="after_hours_access"
Gelişmiş Davranış Analiz Sorgusu:
text# Detect lateral movement patterns
index=network_logs OR index=authentication
| eval src_category=case(
cidrmatch("10.0.0.0/8", src_ip), "internal",
cidrmatch("172.16.0.0/12", src_ip), "internal",
cidrmatch("192.168.0.0/16", src_ip), "internal",
1=1, "external"
)
| where src_category="internal"
| stats dc(dest_ip) as unique_destinations,
dc(dest_port) as unique_ports,
count as total_connections
by user, src_ip
| where unique_destinations>20 OR unique_ports>10
| eval risk_score=((unique_destinations*0.6)+(unique_ports*0.4))
Microsoft Sentinel uygulaması
Microsoft Sentinel kullanan kuruluşlar için, UEBA özelliklerini uygulamak kapsamlı bir içeriden gelen tehdit tespiti sağlar. Platform, kullanıcı profilleri oluşturmak ve anormal etkinlikleri tespit etmek için Microsoft Entra Kimliği ile senkronize olur.
Davranışsal analiz için KQL sorgusu:
text// Query suspicious sign-in attempts from new locations
BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
| extend RiskScore = case(
ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True and
ActivityInsights.FirstTimeUserConnectedFromCountry == True, 90,
ActivityInsights.FirstTimeUserConnectedFromCountry == True, 70,
50
)
| project TimeGenerated, UserName, SourceIPAddress, Country, RiskScore
Veri kaybı önleme ve erişim kontrolü yapılandırması
Sıfır güven yaklaşımı uygulamak, içeriden gelen tehdit azaltma için çok önemlidir. Bu model, “asla güvenme, her zaman doğrulayın” ilkesi üzerinde çalışır ve tehditlerin ağın dışında ve içinde bulunduğunu varsayar.
Koşullu Erişim İlkesi Yapılandırması (Azure AD):
json{
"displayName": "Insider Threat Mitigation - High Risk Users",
"state": "enabled",
"conditions": {
"userRiskLevels": ["high"],
"applications": {
"includeApplications": ["All"]
},
"locations": {
"includeLocations": ["All"]
}
},
"grantControls": {
"operator": "AND",
"builtInControls": [
"mfa",
"passwordChange"
],
"customAuthenticationFactors": [],
"termsOfUse": []
},
"sessionControls": {
"signInFrequency": {
"value": 1,
"type": "hours"
},
"persistentBrowser": {
"mode": "never"
}
}
}
Dosya Etkinliği İzleme Yapılandırması
Kapsamlı dosya etkinlik izlemesi uygulanması, veri açığa çıkma girişimlerinin tespit edilmesine yardımcı olur:
Dosya Erişim İzleme için PowerShell Script:
powershell# Configure audit policies for file access monitoring
auditpol /set /subcategory:"File System" /success:enable /failure:enable
auditpol /set /subcategory:"Handle Manipulation" /success:enable /failure:enable
# Create file system watcher for sensitive directories
$watcher = New-Object System.IO.FileSystemWatcher
$watcher.Path = "C:\SensitiveData"
$watcher.Filter = "*.*"
$watcher.IncludeSubdirectories = $true
$watcher.EnableRaisingEvents = $true
# Define event handler for file access
$action = {
$path = $Event.SourceEventArgs.FullPath
$changeType = $Event.SourceEventArgs.ChangeType
$logline = "$(Get-Date), $changeType, $path, $($env:USERNAME)"
Add-Content "C:\Logs\FileAccess.log" -Value $logline
# Check for suspicious patterns
if ($changeType -eq "Created" -and $path -like "*.zip") {
Write-EventLog -LogName "Security" -Source "InsiderThreat" -EventID 4001 -Message "Suspicious file compression detected: $path by $($env:USERNAME)"
}
}
Register-ObjectEvent -InputObject $watcher -EventName "Created" -Action $action
Register-ObjectEvent -InputObject $watcher -EventName "Changed" -Action $action
Register-ObjectEvent -InputObject $watcher -EventName "Deleted" -Action $action
Kapsamlı Azaltma Stratejisi Uygulaması
Otomatik yanıt yeteneklerinin geliştirilmesi, tespit ve hafifletme arasındaki süreyi azaltır. Kuruluşlar, risk puanlarına ve tehdit göstergelerine dayalı olarak derecelendirilmiş yanıt mekanizmaları uygulamalıdır:
pythonclass InsiderThreatResponseFramework:
def __init__(self):
self.risk_thresholds = {
'low': 30,
'medium': 60,
'high': 85
}
def calculate_risk_score(self, user_activities):
"""Calculate composite risk score from multiple indicators"""
base_score = 0
# File access anomalies
if user_activities.get('unusual_file_access', False):
base_score += 25
# After-hours activity
if user_activities.get('after_hours_activity', False):
base_score += 20
# Privilege escalation attempts
if user_activities.get('privilege_escalation', False):
base_score += 35
# Data exfiltration indicators
if user_activities.get('large_data_transfer', False):
base_score += 40
return min(base_score, 100)
def automated_response(self, user_id, risk_score):
"""Execute automated response based on risk level"""
if risk_score >= self.risk_thresholds['high']:
return self._high_risk_response(user_id)
elif risk_score >= self.risk_thresholds['medium']:
return self._medium_risk_response(user_id)
elif risk_score >= self.risk_thresholds['low']:
return self._low_risk_response(user_id)
def _high_risk_response(self, user_id):
"""Immediate containment actions"""
actions = [
f"Disable user account: {user_id}",
f"Revoke all active sessions for: {user_id}",
f"Alert security team immediately",
f"Initiate forensic data collection"
]
return actions
def _medium_risk_response(self, user_id):
"""Enhanced monitoring and restrictions"""
actions = [
f"Require additional authentication for: {user_id}",
f"Enable enhanced activity logging",
f"Restrict file download permissions",
f"Schedule security interview"
]
return actions
Çözüm
Etkili içeriden gelen tehdit tespiti ve hafifletme, gelişmiş davranışsal analizleri, makine öğrenme algoritmalarını ve otomatik yanıt özelliklerini birleştiren kapsamlı bir yaklaşım gerektirir.
Kuruluşlar, davranışsal taban çizgileri kuran, sofistike korelasyon kuralları aracılığıyla anomalileri tespit eden ve potansiyel tehditlere hızla yanıt veren sürekli izleme sistemleri uygulamalıdır.
UEBA teknolojilerinin SIEM platformlarıyla entegrasyonu, sıfır tröst güvenlik modelleri ve otomatik olay müdahale çerçeveleri ile birleştiğinde, hem kötü niyetli hem de yanlışlıkla içeriden gelen tehditlere karşı korunmak için gerekli çok katmanlı savunmayı sağlar.
Başarı, teknolojik çözümleri BT, İK, yasal ve güvenlik ekipleri genelinde uygun yönetişim, eğitim ve çapraz fonksiyonel işbirliği ile birleştirmeye bağlıdır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!