Kullanıcı ve varlık davranış analizi olarak bilinen UEBA aslında kullanıcı ve kimliklerin kullanım modellerini profil analizi ile öğrenip ( makine öğrenme teknolojisi kullanılır, machine learning ) daha sonra anormal davranışların sergilenmesinde durumunda bunların raporlanmasını sağlar. Örnek vermek gerekir ise, siz sürekli Türkiye de kredi kartı ile alış veriş yapıyorken birden amazon.com da birisi kredi kartınızı kullanır ise banka bunun normal bir davranış olmadığını tespit eder ve hemen sizi arayarak bu alış verişin bilginiz dahilinde olup olmadığını doğrular, bu da aslında benzer bir teknolojidir.
İç tehditler, kurumsal ağ içindeki kötü niyetli kullanıcıların yol açtığı güvenlik riskleridir. Bu türden saldırılar, yabancı bir bilgisayar korsanının geçerli çalıntı hesap bilgilerini kullanmak suretiyle kurum personeli kimliğine bürünerek kurum şebekesine erişim
sağladığı gizliliği ifşa edilmiş kriterlerden kaynaklanan saldırılardan farklıdır. Kötü niyetli bir şirket içi kullanıcının söz konusu olduğu durumlarda kullanıcının davranışları kasıtlı olup bilinçli olarak kurum politikalarını ihlal eder ve kanunlara karşı suç işler.
İç tehditler kurumsal ağ içindeki çok farklı pozisyondaki kullanıcılardandan gelebilir. Bunlar arasında:
• Mevcut çalışanlar • Dışarıdan tedarik eden firmalar 
• Eski çalışanlar • Üreticiler
• Yükleniciler • Hizmet sağlayıcılar
• İş ortakları
Çoğu zaman, söz konusu kullanıcılardan herhangi biri uygunsuz erişim haklarına sahip olabilir. Örneğin, çoğu kurumda çalışanların sistem erişimleri çalışanların kurum içindeki rolleri değiştikçe iptal edilmez. Bu çalışanlara verilen erişim hakları zaman
içinde çoğalır ancak nadiren hükümsüz kılınır. Bunun sonucunda da, uzun dönemli kullanıcılar, kurum içindeki mevcut rollerinin gerektirdiği erişim hakkından çok daha fazlasına sahip olarak sistemlere çok daha kolayca erişebilirler. Bazı durumlarda da, iş
akışına yönelik sonlandırma düzgün bir şekilde tamamlanmadığından, eski bir kurum çalışanı hassas uygulamalara hala erişim sağlayabildiği gibi sunuculara da uzaktan müdahalede bulunabilir. Kısacası, potansiyel kötü niyetli iç kullanıcıların sayısı bilişim
daire başkanlarının (CIO’ların) çoğunun düşündüğünden daha fazla olabilir. Ayrıca bu kişilerin tespiti de bir hayli zor olabilir.
Kaldı ki, kurum bünyesindeki kötü niyetli kullanıcıların yarattığı tehdite açık olan hassas verilerin miktarı da oldukça hızlı artma eğilimindedir. Söz konusu hedefler arasında mali raporlamalar için kullanılan veriler (erken erişim bir şirketin hisse senetlerinde
usulsüz alım-satıma imkan tanır), müşterilere ait veriler (rakip firmalar açısından çok değerlidir), ürünlere ilişkin dokümanlar veya teknik dokümanlar (yine rakip firmalar açısından değerlidir), çalışanlara ait bilgiler ve çok daha fazlası yer almaktadır. Söz konusu veri kümeleri, yedekleme, uyumluluk, geliştirme/test etme ve raporlama gibi pek çok farklı maksatla kopyalandığından, kurum şebekesinde pek çok yerde bulunabilir.
Gerçek hayatta yaşanan örnekler gayet olağan olabildiği gibi akla hayale gelmeyecek noktalara doğru da gidebilir:
• Bir satış müdürü, rakip bir firmaya geçmeden önce kurumun mevcut müşterilerinin listesini, satış tanıtım sürecine başlanılan müşterilerin listesi (pipeline) ve satış tahminlerini kopyalayabilir.
• Bir mühendis, çalışanıyla rekabet edebileceği bir ürünün başlangıç lansmanını yapmaya karar verir ve kurumdan ayrılmadan önce ürün planlarıyla tasarım dökümanlarını kopyalayabilir.
• Bir BT müdürü, çalıştığı kurumun hisse senetlerinde usulsüz alım-satım yapmak niyetiyle kurumun çeyrek dönem kar verilerine rapor tarihinden önce göz atabilir.
• Bir bilim adamı, yabancı bir ülkeye satmak amacıyla binlerce tasarım ve teknik dokümanı kopyalayabilir (Dow Chemical’da çalışan bir bilim adamı 2012 yılında tam da bunu yaptığı için 5 yıl hapisle cezalandırılmıştı).
• Bir istihbarat örgütünün yüklenicisi basına sızdırmak üzere büyük çapta bir dahili program verisini indirebilir…
Yukarda bahsedilen vakaların her birinde, kullanıcı sistemlere alışılmadık şekilde veya yasaklanmış olduğu halde erişim sağlamıştır. Geriye dönüp bakıldığında, gerçekleştirilen ihlallerin hepsinin de çok bariz olduğu ortadaydı. Örneğin, Dow
Chemical’daki bilim adamı, güvenli dosya sunucu sistemlerine kurumdaki bir başka çalışana kıyasla 10 kat daha fazla erişim sağlamıştı. Tehlike sinyalleri pek çok farklı yerde olabildiğinden ve yapbozun parçalarını birleştirmek bir hayli çaba
gerektirdiğinden tehlikenin erken tespit edilmesi zordur.
Dahili Tehdit Risk Sinyallerinin Tespiti
Kötü niyetli bir şirket içi kullanıcıya işaret eden sinyaller pek çok yerde bulunabilir, bunlar arasında:
| Uç Noktada Tespit Söz konusu çalışan dosyaları kendisine ait USB belleğe mi kopyalıyor? Daha öncesinde de böyle bir şey yapmış mıydı? Her seferinde farklı dosya setleri mi kopyalıyor? Bu dosyalar gizli dosyalar mı? Normalde yaptığından çok daha fazla sayıda mı dosya kopyalıyor? |
Kimlik Okuyucuda Tespit Söz konusu yüklenici şu sıralar yüksek güvenlikli yerlere giriş çıkış yapıyor mu? Daha önce bu binaya ya da sunucu odasına giriş yaptığı olmuş muydu? Buralara giriş yapması normal bir durum mu? |
|---|---|
| Dosya Sunucusunda Tespit Söz konusu yüklenici gizli dosyalara erişim sağlayıp bunları kendi kaynaklarına mı kopyalıyor? Kaç adet dosya okuyor? Yaptığı bu şey onun ünvanına sahip diğer kişiler için olağandışı bir durum mu? Yüklenici söz konusu sunucuya daha önce erişim sağladı mı? |
Yazıcıda Tespit Söz konusu çalışan, yazıcıya isimsiz dosyalar mı gönderiyor? (Hassas verileri kopyalayıp yeni ve boş bir Word dosyasına yapıştırmak ve yazıcıya bu şekilde yollamak veri hırsızlığında çok sık rastlanan bir hiledir) Söz konusu çalışan bu yazıcıya gönderme işini diğer çalışanların ofiste olmadığı zamanlarda mı yapıyor? |
| Kimlik Yönetim Sistemi içinde Tespit Söz konusu kullanıcı, kurum çalışanı mı yoksa bir yüklenici mi? Hangi departmanda çalışıyor ve kendisiyle aynı görevi yapan kişiler hangi dosyalara erişim sağlayabiliyor? Bu kullanıcıya tanınan erişim hakları kurum içindeki mevcut rolüyle örtüşüyor mu? |
Bulutta Tespit Söz konusu yüklenici dosyaları Box’a veya OneDrive’a mı taşıyor? Bahse konu dosyalar hassas dosyalar mı? |
| Veri Tabanı Sunucusu İçinde Tespit Bu kişinin söz konusu veritabanına erişim sağlaması uygun mu? Hangi tabloları okuyabiliyor? |
|
Yukarıda bahsedilenlerin her biri veri hırsızlığında denetlenmesi gereken mantıklı yerlerdir. Bununla birlikte, tüm noktalarda gerçekleşen faaliyetlerin okunması, bu bilgilerin DLP sonuçlarıyla birleştirilmesi, dayanaklarının oluşturulması ve söz
konusu faaliyetlerin dayanaklarla karşılaştırılarak gerçek zamanlı olarak değerlendirilmesi belli bir uzmanlık seviyesi ve çok az sistemin karşılayabileceği düzeyde bir işgücü gerektirir, kaldı ki bunun insan gücüyle yerine getirilmesi mümkün değildir.
Veri Kaybının Önlenmesi ve UBA
Yukarıda bahsedilen örneklerin pek çoğunda anahtar soru “bilgi hassas mı?” sorusudur. Bu, öyle kolaylıkla yanıt verilebilecek bir soru değildir ancak DLP ürünleri bu soruya yanıt verilmesini kolaylaştırmaktadır. DLP ürünleri, ister kullanımda olsun ister
bir köşede atıl dursun, verileri hassasiyet açısından tarayıp değerlendirir, sonuç olarak, DLP günlükleri kullanıcı davranış analitikleriyle birleştirilerek oldukça kullanışlı bir gizli-varlık modeli oluşturulur: Hassas bilgi içerikleri nedeniyle hangi sistemlerin
potansiyel olarak riskli olduğunu, bunlara normalde kimlerin ne sıklıkta eriştiği ortaya çıkartılır.
Exabeam Yapbozun Parçalarını Birleştirir
Şu ana dek, hassas bilgilerin bulunduğu yerlerin tamamını, bu bilgilere kimlerin erişebildiğini, bunları nerelere kopyaladıklarını ve bu sürecin akla uygun veya olağandışı olup olmadığını tespit edebilen analitik bir sisteme yönelik girdilerden bahsettik. Yapbozun parçalarını oluşturan tüm bu tespitlerin gerçek zamanlı olarak birleştirilmesi esasen bir kişinin yapabileceği türden bir analiz değildir, söz konusu analiz otomasyon ve otomatik öğrenme gerektirir. İşte bu yapbozun eksik parçası, Exabeam’in UBA
platformudur. UBA platform bahsedilen bu süreci çok çeşitli varlık türleri ve kimlik verilerini sınıflandırma verileri ve etkinlik verileriyle birleştirmek suretiyle gerçekleştirmektedir. Örneğin, Exabeam, uç noktayı ve diğer veri günlüklerini DLP kullanarak
otomatik bir şekilde modeller:
| • Hassas verilerin kurumsal ağda nerede olduğu | • Hangi verilere dokundukları, hangilerini kendi kaynaklarına kopyaladıkları veya bulut vasıtasıyla kopyaladıkları |
|---|---|
| • Söz konusu sistemlere normalde kimlerin erişimi olduğu |
• Hangi davranışın normal, hangisinin olağandışı olduğu |
| • Her bir şahsın ne sıklıkta erişim sağladığı, bu kişilerin normalde ne kadarlık bir veriye erişim sağladığı |
• Olağandışı olarak görülen bir şeyin neden olağandışı olduğu |
| • Bir şahıs olağandışı bir şeyler yapıyorsa, bunların sıraya tabi sonlandırma işlemleri mi olduğu yoksa önceden bildirimde bulunup bulunmadıkları otomatik olarak modellenmektedir. |
Çalışma Prensibi
Exabeam, dahili tehditleri dört aşamalı bir süreçten geçirerek tespit eder.
1. Seçip Çıkartma ve Zenginleştirme
Exabeam, SIEM’den gelen veri günlüğü, Active Directory veya LDAP’den gelen kimlik bilgileri ve DLP tarama sonuçları gibi diğer içerik verileri de dahil olmak üzere, çok çeşitli türde veriyi içeriye alarak işe koyulur. Temel aktivite verileri, IP
adresi gibi sadece minimal birtakım kimlik bilgilerini içeriyor olabilir. Söz konusu veri, kimlik ve içerik bilgileriyle otomatik olarak zenginleştirilebilir. İşte bu noktada, Exabeam otomatik öğrenme için kullanılacak ham petrolü ele geçirmiş olur.
2. Durum Denetlemeli Kullanıcı İzleme ™
Söz konusu süreç, Exabeam’in bir kullanıcı tarafından gerçekleştirilen faaliyetlerin tamamını çok çeşitli hesaplar ve aygıtlar üzerinde otomatik olarak birleştirip kolayca anlaşılabilir oturumlar haline getirdiği bir süreçtir. Sonuç olarak ortaya
çıkan oturum verileri, verilere erişim amaçlı karmaşık girişimlerin tespit edilmesini garantilemenin yanı sıra, vaka müdahalesinde bulunan tarafa eksiksiz bir saldırı raporu temin etmektedir.
3. Davranış Analizi
Davranışla ilgili motor her bir kullanıcı için normal davranışa ait bir referans değeri oluşturur. Bu durum, dahili tehditte bulunan kullanıcının faaliyetlerinin değerlendirilmesine yönelik kullanışlı bir içerik sağlamaktadır. Örneğin, bu şahıs normalde bu
sisteme ya da bu verilere erişim sağlıyor mu? Erişimde şu veya bu şekilde bir değişiklik göze çarpıyor mu?
4. Risk Skorlama
En son noktada, risk skorlama süreci devreye girerek, bir kullanıcıya ait referans değerlerinin; kurallar, korrelasyonlar ve diğer teknikler kullanılarak durum denetleyici oturumlar ve faaliyetlerle karşılaştırılıp değerlendirilmesi yapılmaktadır.
Ortaya çıkan son ürün, dahili tehditten kaynaklanan potansiyel veri kaybı riskini kullanıcı başına olmak üzere gösteren net bir resim olmaktadır.
Veri Bilimi Dahili Tehdit Değerlendirmesi
Exabeam, kimlik bilgileri, IPler ve cihazlar üzerinde dahili tehditlerin değerlendirilmesine yönelik olarak gücünü Durum Denetlemeli Kullanıcı İzleme™’den alan çok çeşitli otomatik öğrenme teknikleri içermektedir. Exabeam platform bünyesinde yer
alan yaygın teknikler arasında:
• Davranışsal temellendirme: Exabeam, normal davranışlara ilişkin referans değerlerini kullanıcı başına ve sistem
başına olmak üzere oluşturur. Söz konusu referans değerler yeni aktivitenin kuraldışı ve potansiyel olarak riskli olup
olmadığını tespit etmek üzere risk skorlama motoru tarafından kullanılır.
• Kullanıcı grubu analizi: Exabeam, her bir kullanıcının davranışını ve erişim biçimlerini, kurum içinde aynı rolü
üstlenmiş olan diğer kullanıcıların davranış ve erişim biçimleriyle otomatik olarak karşılaştırır.
• Ayrıcalıklı hesap analizi: Sistem yöneticilerinin erişim hakları genellikle yükseltilmiş durumdadır, dolayısıyla bu tür kullanıcıların önemli boyutta hassas veriye erişim potansiyeli bulunmaktadır. Exabeam gerçekleştirdiği risk analizine
ayrıcalıklı hakları da dahil etmektedir.
• Paylaşımlı hesap analizi: Paylaşımlı hesaplar, riskli faaliyetleri bizzat gerçekleştiren kullanıcının kim olduğunun belirlenmesini bir hayli zorlaştırdıklarından genellikle kurumların endişe duyduğu bir alandır. Kurum, çoğu zaman paylaşılmakta olan kimlik bilgilerinin neler olduğunun dahi farkında olmayabilir. Exabeam, paylaşımlı hesapları tespit edebilir, bu türden hesapları kullanan belli birtakım kişilere birtakım faaliyetler verebilir ve bu aktivitelere isteğe göre düzenlenebilen bir risk skorlaması uygulayabilir.
• Kilitli hesap analizi: Hesap kilitlemeleri, yararlı ve zararlı olmak üzere pek çok farklı sebepten kaynaklanabilir. Dahili tehdit analizi yapılmasını teminen Exabeam, bir hesaba ilk kez oturum açma girişiminde bulunan kullanıcıyı tespit etmenin yanı sıra önceki iş rolü gereği tanımlanan hesaplara erişimin girişimlerini de yespit edebilir. Exabeam, kilitli hesaplar etrafında seyreden olağandışı faaliyetleri tespit edebildiğinden SOC analistlerinin potansiyel dahili tehditlerle özel olarak ilgilenmeleri mümkün olmaktadır.
Exabeam Dahili Tehdit Değerlendirmesine Yönelik Yaygın Veri Kaynakları
• Yerinde ve Uzaktan Erişim Günlükleri: VPN, Etki Alanı denetleyicisi ve Wi-Fi erişim noktası günlükleri riskli faaliyetlere ilişkin sağlam sinyaller verebilir.
• Kimlik Hizmetleri: Active Directory, LDAP, PeopleSoft ve diğer hizmetler, konum, roller ve aynı rolde çalışanlara vb. ilişkin faydalı bilgiler sağlayabilir.
• DLP Taramaları: Symantec Vontu gibi DLP ürünleri, sistemlerin içinde yerleşik olan ve ağ boyunca ilerleyen gizli verilerin belirlenmesi için çok çeşitli yöntemler kullanmaktadır.
• Uç Nokta Kaynakları: Bit9+Carbon Black gibi PC/dizüstü bilgisayar güvenlik çözümleri, sistem yapılandırmasının yanı sıra kullanıcı dosya faaliyetleri konusunda da yararlı içerik sağlamaktadır.
• Ağ Kaynakları: Netflow verileri daha zayıf davranışsal sinyaller sağlarken SIEM ve uç nokta çözümlerinden gelen verilerin sayısını artırır.
• Veri Tabanı Aktiviteleri: İster veritabanı günlüklerinden doğrudan çekilmiş olsun, ister Imperva gibi veri tabanı güvenlik duvarları vasıtasıyla çekilmiş olsun veri tabanı aktiviteleri hassas tablolara erişim konusunda faydalı bir bilgi sağlar.
• Uygulama Aktiviteleri: Uygulama aktiviteleri erişim-bağlantılı günlüklerin yanı sıra, eğer varsa, fonksiyonel aktiviteleri içerir.
• Bulut Aktiviteleri: Çoğu kurumun mimari yapısına entegre bulut hizmetleri bulunmaktadır, Exabeam, hizmetlerden doğrudan çekebildiği gibi (örneğin, Salesforce.com ELF) veya CASB çözümlerinden de (örneğin Skyhigh Networks) doğrudan çekebilmektedir.
• USB Thumbdrive Erişimi: Genellikle bir USB flash sürücüye yapılan yerinde dosya kopyalama, özellikle DLP dosya tarama ile birleştiğinde, önemli bulgular sağlamaktadır.
• Yazıcı Sunucuları: Kurum içindeki kötü niyetli kullanıcılar, diğer tarama tekniklerinden uzak durmak adına tabloları basma yoluna gidebilir.
• Fiziksel Güvenlik: Kimlik okuyucular giriş ve çıkış zamanlarına dair içerik sağlayabildiği gibi, yeni binalara ve sunucu odalarına giriş konusunda bilgi verebilir. Tüm bu kaynakları bütünleştiren Exabeam, üstelik söz konusu bütünleştirmeyi müşterinin mahalinde gerçekleştirmektedir.
Otomatikleştirilmiş Müdahale
Exabeam, olağandışı davranış sergileyen kullanıcıların sayısını tespit ederken, geniş bir yelpazeye yayılan her türlü gerekli adımı da atabilir; bu adımlar, güvenlik analistine bildirimde bulunmak gibi en pasif adımdan tutun da, bizzat kurum çalışanına
gizlilikle ilgili görevlerini hatırlatan bir e-posta göndermek gibi bilgilendirme amaçlı olabilir ya da daha ileri noktada, kullanıcının erişimini engelleyerek bir müdahale başlatmak olabilir. Exabeam’i kurumdaki iş akışı ve kurum bünyesinde halihazırda kullanılmakta olan güvenlik çözümleriyle komut dizisi oluşturmak yoluyla entegre olabilir ve bu sayede gelişmiş bir istihbarat elde etmenin yanı sıra kurum güvenliği ve uyumluluk programlarına yönelik içerik sağlayabilir.
İlave Davranışsal Senaryolar
Kurum içindeki tehditler, çoğu Bilgi Güvenliği Başkanı’nın (CISO) gündemindeki en önemli endişe kaynağı iken, Exabeam UBA geniş bir yelpazeye yayılmış güvenlik suistimali vakalarını destekleyebilir. Bunlar arasında:
• Gizliliği ifşa edilmiş kimlik bilgilerinin (kullanıcının taklit edilmesi) tespiti
• Uykudaki hesapların tespiti
• Paylaşımlı hesap kullanımı
• Üst düzey varlıklara erişim
• Güvenlik uyarısı soruşturması
• İhlal soruşturması
• Kırmızı ekip desteği
• Ve çok daha fazlası yer almaktadır.