ŞİRKETİNİZDE SİBER GÜVENLİK İÇİN MACHINE LEARNING KULLANABİLECEĞİNİZ 5 ALAN

ŞİRKETİNİZDE SİBER GÜVENLİK İÇİN MACHINE LEARNING KULLANABİLECEĞİNİZ 5 ALAN

Siber Güvenliğin 5 farklı alanında Machine Learning teknolosi ?

Siber güvenliğin son 5 yıllık dönemindeki dramatik değişikliği gelin hızlıca değerlendirelim.

Hemen hemen tüm Antivirüs üreticileri diyeceğim ama artık öyle demiyoruz biliyorsunuz J uç nokta güvenliği üreticileri Dosya ve URL kontrolü yapan ve bunun bir bulut zekasından istihbarat ile beslendiği altyapısını değiştirmek zorunda kaldı. Neden ? Cevap çok basit ? 10 Yıl önce 10 siber saldırıdan 9’u bilinen biri bilinmeyen (Odaklı) saldırıydı. Günümüzde durum tam tersine döndü. Sadece 2016 yılında tespit edilen 1093 veri sızıntısı (breach) yaşandı

Dünyanın her ülkesinde bilgi toplayabilen uç nokta ve ağ güvenliği çözümlerinizin her biri petabyte’larca veri üretip bunun korelasyonu sonucu üretilen siber istihbaratı 1 saniyenin bile altına indirseniz, yarın yapılacak atak vertörünü tahmin edemiyorsunuz. Bunu anlayan güvenlik üreticileri AI ve ML yani yapay zeka ve Makine öğrenmesi algoritmalarına evrilmek zorunda kaldılar. Benim üniversitedeki bir dostumun konuları arasında olan yakınsak algoritmalardan doğan high fidelity machine learning teknolojisi bugun siber güvenlik üreticilerinin kalbinde çalışıyor. Aslında bu üreticiler için çokta zor olmadı. Zaten ellerinde 25 yılı aşkın süredir tuttukları zararlı dosya, Url ve bunların işletim sistemlerinde çağırdıkları API bilgisi vardı, bunun tam tersi iyi data olarak kabul edilen güvenilir yazılımların bulunduğu veritabanı da sürekli üreticiler tarafından güncellenirken geriye yanlış alarma minumum sebebiyet verebilecek high fidelity machine learning matematiksel algoritmasının konuya dahil olup train süreci olarak tabir edilen iyi ve kötü verinin analiz edilmesi sonucu ilk defa karşılaştığı bir veriyi daha önceden öğrendiği trilyonlarca olasılığın içinden değerlendirmesi ve çıkan ağırlığın ilgili dosyanın riskli olup olmadığını anlayabilecek sistemin oluşturulması kaldı.

Bunu sadece File-Based yani dosya tabanlı bir yapı olarak değerlendirmeyin gelin ML tekolojisi şirketlerin siber güvenliğini kurumunuzun hangi 5 alanında destekliyora beraber bakalım. IT yöneticileri için siber güvenlik politikalarında Makine Öğrenmesini hangi alanlarda kullanılması gerektiği yönünde referans nitelikte bir yazı olmasını diliyorum 😉

 

1 – IoT Güvenliği

IoT saldırılarını gelen olarak incelediğinizde İşletim sistemi, kimlik avı ya da uygulamaya dönük saldırılar olduğunu görüyoruz. IoT sistemlerinin hemen hemen hepsi altyapı öncelikli tasarlanıyor. Bu sebeple güvenlik daha sonra ele alınıyor.

ML teknolojisi ile yapılacak IoT sistemlerine yapılacak bir saldırı tipini ve ortak bir pattern bulabilme çabası yine bu matematiksel algoritma ile tespit edilebiliyor. Özellikle device bazlı saldırılarda ML teknolojisi başarılı sonuçlar çıkardığını bugün sektörde görüyoruz. Aslında bankacılık sektöründe yılardır fraud işlemlerini algılamak için ML kullanılıyor ve kullanımın yavaş yavaş finans’dan aşagiya doğru indiğini görmek güzel. Daha güncel bir örnek verelim.  IoT ortamlarına yapılan saldırıları analiz etmek için üretilen incident log’ların daha akıllı anlamlandırılması ile önünüze düşen logları her gün 1000’den 10’a düşmesi bize zaman kazandırmakla beraber ve daha az insan eforuna sebep olacaktır.

Uç noktadaki sensörlerin merkezi sistemlere gönderdiği data her iki tarafta da güvenlik kontrollerinden geçmeli. 2020 yılında 1.7 trilyon nesnenin internet ile haberleşeceğini ön görecek olursak buradaki yapılması gereken siber güvenliğin geleneksel metodlarla olmayacağı kesin.

It’s not about replacing humans, but about making them superhumans

— Caleb Barlow, IBM Security

Görsel’de makine öğrenmesinin karar verdiği ve uç nokta da çalışan bir exe’nin daha önceki Cerber.bzc, Cerber.c ve Crypnisca.sm fidye yazılımlarına %95 benzerlik gösterdiği gözüküyor.

Peki bu benzerliği nasıl kuruyor. Yazılım çalışmadan önce (preexecution) ve çalışırken (runtime execution ) safhalarında işletim sisteminde çağrılan API’ların listesi bir drop table’a konuyor ve 27 yıllık zararlı olan malware hareketleri ile karşılıştırılıyor. Örnek bir tabloyu aşagidaki iletiyorum. Bu şekilde yazılımın hash’ine bakmak yerine (eski imza tabanlı yapı) karakterisliğine yani DNA’sına bakılabiliyor. Yukardaki Opcode karşılaştırması makine kodunu temsil ediyor.

2- Veri transferinin tespit edilmesi

Kullanıcıların hareketlerinin ve davranışlarının analiz edilmesi ile normal hareketlerin algılanıp anomalilerin tespit edilmesine fırsat sağlanır. User behaviour Analytics teknolojisne yıllardır yatırım yapan güvenlik üreticileri var ve benim gördüğüm kadarıyla daha yolları var. Yine de önemli bir vizyon. Kullanıcı hareketlerinin takip edilmesi ve öğrenilmesi Kim, Neyi, Nereye, Nasıl gönderiyor soruları ki DLP’nin kalbinde yanıtlanması gereken bu sorular parmak izi teknolojisindeki terabaylarca alınan hash bilgisinin ya da veri sınıflandırma da olası bir danışmanlık hatasını cover edebilir.

3- Exploit Engellemek

Kurumların en büyük sorunlarından birisi yama problemi. Bu sorundan dolayı koltuğundan olan tanıdığım CIO ve IT yöneticisi tanıdıklarım olduğunu iletmem gerekiyor. Burda iki aşamalı bir sorun var. 1. Sorun sıfırıncı gün açığı. Nedir sıfırıncı gün açığı ? Bir yazılım üreticisinin bir zafiyeti duyurduğu andan yama çıkarana kadar ki geçen süredir. Peki bu süreçte çaresiz miyiz ? Hayır…Sanal yama teknolojisi burda devreye giriyor. Güvenlik açığı duyrulduğu andan patch release edilene kadar ki sürede siber güvenlik şirketlerinin yayınlamış olduğu sanal yamalar ile tam korunma sağlanabilir. Biraz daha detaya girelim. Peki yazılım üreticisinin bir güvenlik açığı olduğundan haberi yok ve olası tespit edilen güvenlik açığı birileri taraftan kullanılabiliyorsa. Yani exploit kodları darkweb’in en gizli katmanlarında devletlere ya da özel servislere hizmet ediyor ve bundan kimsenin haberi yoksa. Aslında bana göre sektörün en büyük sorunu bu. Bilinmeyen bir vulnerability’i tespit etmek için binlerce danışmanlık şirketi danışmanlık verdiği şirketin yazılımını delmek için aylarca çalışır durur ve bulduğu açıkları raporlarlar ve yazılım mühendisleri bu açıkları kapatırlar. Güzel…Peki danışmanlık alınan bu firmaların bulamadığı bir açığı siyah şapkalı bir hacker tespit eder ve gizliden exploit kodunu satışa çıkarırsa. Yine aynı yere geldik. Bilinmeyenin analiz edilmesi. Burda machine learning analizleri devreye giriyor ve koddaki zafiyeti anlamak yerine olası exploit girişiminin nedenini ve hangi platforma ya da uygulamaya neden olduğu konusunda topladığı data’nın korele edilmesi sonucu bilinmeyen bir vulnerability’nin tespit edilmesine olanak sağlayabiliyor. Dünya da bu olanakları sağlayan lab şirketleri mevcut. DV LABS bunlardan birisi.

4- Tarihsel Verilere Dayalı Tehditleri Tespit Etme

Ağ içerisindeki raporlanan tüm olayların (incident) ve şuanda raporlanan tüm olayların bir biri ile korele edilmesi yani geçmiş ile şuanın korelasyonunun yapılması gerektiği ve bu korelasyonların belli kurallara bağlı olmayacağı, bu sebeple tarihsel verilere dayalı bir karşılaştırma ve bunun ML ile entegre edilmesi bilgi güvenliği yöneticilerinin düşünmesi gereken diğer maddesidir. Özetle data analytic çözümlerinin korelasyon ve kurallara (rule) bağımlı kalmaması. Bu iki yapının hala imza tabanlı destek veren IPS ve AV ürecitilerinden bir farkı olmadığını görmemiz gerekiyor. Bu sebeple geçmişe dayalı inciden analizinin yapacağınız çözüm her ne ise ML destekliyor olması geleceğin değil günümüzün en önemli yatırımlarından. Bu arada birçok üretici bunu destekliyor artık.

5-  Siber Güvenlik Ekosistemi

 

Uç nokta, Tüm Ağlar, Tüm Cihazlar, Sunucu Katmanı ve bulutun birbiri ile haberleştiği bir dünya hayal edin. Uçnoktada X siber güvenlik üreticisini, çevresel güvenlik için Y siber güvenlik üreticisini ve bulut güvenliği için Z siber güvenlik üreticisini kullanan bir şirketin önümüzdeki yıllarda bütün bu sistemlerin içeride ve dışarıda kavramının sıfırlandığı ve her bir platformdan veri paylaşımı yapıldığı, paylaşılan tüm verilerin ML ile daha akıllı sonuçlara çevrildiği ya da yanlış alarmların elendiği bir dünya.

Aslında bu dünyanın evrimindeyiz. Şuanda siber güvenlik üreticileri kendi ağ katmanlarındaki tüm güvenlik çözümleri içerisinde File Hash, URL, Domain ve IP ya IOC bilgisi paylaşabiliyor. Üretilen bilgiler SIEM ya da Endpoint Detection Response çözümleri ile aksiyon aldırılabiliyor. Her ne kadar güvenlik üreticileri arasındaki API’ların sayısı artsada kısa bir zamanda ilk paragrafta yazdığım noktaya gelinmesi kaçınılmaz. Lokal network içerisinde aylarca uyuyan odaklı saldırıların tespiti kendi başına çevresel ya da uç nokta güvenlik birimleri ile tespit edilemez. Güvenliğin geldiği nokta bütün sistemlerin ve platformların siber istihbarat üretebilmesi için beraber çalışmak zorunda olduğu bir ekosistem kurma zorunluluğudur. Bugün tüm IT ve bilgi güvenliği yöneticilerinin ele alması gereken en elzem konu bu ekositemi kurumlarına kurmaları, teknolojilerini yükseltmeleri ve ilgili danışmanlığı almalarıdır.

Son bir örnekle noktalamak isterim. Yıllardır mobil cihaz güvenliğini anlattığımız kurumlar her nedense yeterli ilgiyi görmüyor. Sebebini bildiğim ama anlamak istemediğim MDM çözümlerinin mobile security’den öncelikli değerlendirilmesi ülkemizde verilen en yanlış kararlardandır. Security olmadan yönetimin olmayacağını hepimiz biliriz. Sektördeki sorun MDM çözümlerinin katı güvenlik politikalarına sahip olmaması ve mobile security çözümlerinin MDM kural setlerine sahip olmamasıdır. Fakat sektör bu alanda evrilmiştir ve artık bir çok MDM çözümü geliştirilen API’lar vasıtasıyla mobil cihaz güvenliği çözümleri ile direk konuşabilmektedir. Bu ve bunun benzeri entegrasyonları önümüzdeki yıllarda çok daha fazla göreceğiz.

Share

Mersin’de doğdu. 2000 yılında Mersin Eskrim Kulübünde, ‘eskrim sporuna’ başladı. Türkiye 2.’si olarak Türkiye Milli Takımı’na seçildi. 4 yıl boyunca Türkiye’yi eskrim sporunda uluslararası arenada temsil etti. Bu süreçte Balkan 3.’sü oldu. Girne Amerikan Üniversitesi Bilgisayar Mühendisliği’nden mezun oldu. Kuzey Kıbrıs Türk Cumhuriyeti’nde çeşitli kurumlara üç yıl boyunca masaüstü yazılım geliştirdi. Nethouse firmasında “Network Uzmanı” olarak görev aldı. Bilişim dünyasındaki kariyerine Türkiye’nin ağ güvenliği distribütörlerinden İnfonet’te “Bilgi Güvenliği Uzmanı” olarak devam etti. “Web – Data – Email Güvenliği” konularında çeşitli kurum ve kuruluşlara eğitimler verdi. 2013 Mart ayı itibari ile “Sistem Mühendisi” olarak Trend Micro’da göreve başladı. Halen Trend Micro Kanal Geliştirme Müdürü olarak görev yapmaktadır. Ayrıca; Çözümpark ve Trend Micro blog sayfalarında teknoloji yazarlığı yapmaktadır. Genç Girişimciler Derneği’nin Yönetim Kurulu’nda 2 yıldır ‘Girişimcilik ve Sosyal Sorumluluk Projeleri’nde yeralmaktadır. Bilgi Güvenliği Uzmanı olan Dağdevirentürk, Milli Eskrim Sporcusu olarak da birebir eskrim dersi vermeye devam etmektedir. SUBSCRIBE NEWSLETTER Siteme Abone Olmak İsterseniz, E-mail Adresinizi Yazabilirsiniz SUBSCRIBE Mersin’de doğdu. 2000 yılında Mersin Eskrim Kulübünde, ‘eskrim sporuna’ başladı. Türkiye 2.’si olarak Türkiye Milli Takımı’na seçildi. 4 yıl boyunca Türkiye’yi eskrim sporunda uluslararası arenada temsil etti. Bu süreçte Balkan 3.’sü oldu. Girne Amerikan Üniversitesi Bilgisayar Mühendisliği’nden mezun oldu. Kuzey Kıbrıs Türk Cumhuriyeti’nde çeşitli kurumlara üç yıl boyunca masaüstü yazılım geliştirdi. Nethouse firmasında “Network Uzmanı” olarak görev aldı. Bilişim dünyasındaki kariyerine Türkiye’nin ağ güvenliği distribütörlerinden İnfonet’te “Bilgi Güvenliği Uzmanı” olarak devam etti. “Web – Data – Email Güvenliği” konularında çeşitli kurum ve kuruluşlara eğitimler verdi. 2013 Mart ayı itibari ile “Sistem Mühendisi” olarak Trend Micro’da göreve başladı. Halen Trend Micro Kanal Geliştirme Müdürü olarak görev yapmaktadır. Ayrıca; Çözümpark ve Trend Micro blog sayfalarında teknoloji yazarlığı yapmaktadır. Genç Girişimciler Derneği’nin Yönetim Kurulu’nda 3 yıldır ‘Girişimcilik ve Sosyal Sorumluluk Projeleri’nde yeralmaktadır. Bilgi Güvenliği Uzmanı olan Dağdevirentürk, Milli Eskrim Sporcusu olarak da birebir eskrim dersi vermeye devam etmektedir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir