Makine Tahsili, Kimlik Avından ve Taşınabilir Tehditlerden Nasıl Korur?

1950’lerden bu yana bilim insanları bilgisayar zekasının yeteneklerini inceliyorlar. Son 70 yılda makine tahsili (ML), teorik bir kavramdan alanda faal olarak kullanılan bir teknolojiye dönüştü. Netflix’teki teklif motorundan kendi kendini süren Tesla otomobillerine, ve Google Çevirideki konuşma tanımadan Salesforce’a kadar. Makine tahsilini kullanmanın en değerli yararı, karar verme sürecinde programa özerklik vererek insanlara düşen iş ölçüsünü azaltmasıdır.

Makine tahsili, başka şeylerin yanı sıra berbat maksatlı yazılım tespitini güçlendirmek ve otomatize etmek için siber güvenlikte de faal olarak kullanılıyor. Bu makalemde siber müdafaa için en farklı ML tekniklerinden kimilerini sizlerle paylaşmak istedim.

Gelişmiş e-postayla kimlik avına karşı makine tahsili

Sofistike ve yanlışsız hazırlanmış bir kimlik avı mektubu, belli bir kuruluşu yahut kullanıcıyı berbat emellerle kandırmanın tesirli bir yolu olabilir. Saldırganlar, tanınan olayları ve hatta koronavirüs pandemisini istismar ederek bildirilerini yeni çevrimiçi hizmetlerden gelen e-postalar biçiminde gizliyor. Örneğin 2020’nin birinci çeyreğinde COVID-19 ile gayrete yardımcı olmak için para transferi vaadiyle ortalıkta dolaşan birçok e-posta vardı. İşletmeye ilişkin e-postaların istismarı (Business E-mail Compromise – BEC) tekniği sayesinde, hatalılar e-posta yazışmaları yoluyla çalışanların itimadını kazanıyor. Kendilerini üçüncü şahıs, müteahhit ve hatta iş arkadaşı kılığına sokup, çalışanlara istediklerini yaptırıyorlar.

Kullanıcıları bu cins güç taarruzlardan korumak için tasarlanan güvenlik tahlili, içeriği ve teknik özellikleri dahil olmak üzere e-postanın tüm parametrelerini süratli bir halde tahlil ederek muteber olup olmadığını tespit etmelidir. Makine tahsili bu işi halledebilir.

Bu durumda iki ML modeli olmalıdır. Birinci model e-postaların teknik parametrelerini (başlıklar gibi) otomatik olarak tahlil eder. Gerçek e-postalardan gelen yüz milyonlarca data kaydı üzerinde eğitim alır ve e-postanın makûs maksatlı olduğunu kanıtlayan teknik izlerin kombinasyonlarını tanımayı öğrenir. Lakin bu karar vermek için kâfi değildir.

İkinci model, içeriğine nazaran bir e-postanın berbat niyetli olup olmadığını tespit eder. Saldırganlar, istenen duygusal etkiyi elde etmek için metinlerinde duygusal lisanın yanı sıra harekete geçirici net bildiriler (örneğin, “paketiniz teslim edilemedi, datalarınızı burada güncelleyin”) kullanır. Model, kimlik avı mektuplarının tipik özelliği olan bu cins sözleri ve cümleleri tanır.

Bu iki model daha sonra her iki sonucu ilişkilendirir ve son kararı verir.

Android için taşınabilir tehditlere karşı makine tahsili

2020’de Kaspersky araştırmacıları 2019’a kıyasla iki milyon daha fazla, toplamda beş milyonun üzerinde taşınabilir tehdit artışı tespit etti[1]. Taşınabilir müdafaa kapsamındaki en kıymetli vazifelerden biri, son vakitlerde alanda ortaya çıkan bilinmeyen makus hedefli tehditlere karşı güvenlik sağlamaktır.

iOS aygıtlarda geniş bir kitleye yönelik uygulamaların yüklenmesi sadece Apple tarafından sıkı bir halde denetlenen App Store üzerinden mümkündür. Android aygıtlarda ise kullanıcılar çeşitli kaynaklardan ve uygulama pazarlarından uygulamalar yükleyebilir. Ne yazık ki, siber hatalılar bazen oyunlar, yararlı yazılımlar ve benzeri kılıklarda uygulamalara makûs hedefli yazılımlar hazırlayarak bu durumdan yararlanır. Bu evrede tehditleri tesirli ve süratli bir biçimde tespit etmek için ML’ye muhtaçlık vardır.

Kullanıcının aygıtındaki ML ortacısı, gerekli erişim müsaadeleri yahut dahili yapıların sayıları ve boyutları üzere makul özellikler için indirilen her uygulamayı tarar. Toplanan meta bilgiler, bu parametre setinin uygulamanın berbat emelli olarak sınıflandırılmasına neden olup olmadığına karar verecek bulut tabanlı ML modeline gönderilir. Akabinde model, belgenin makus gayeli olup olmadığını belirten bir karşılık gönderir ve aygıttaki müdafaa eseri, uygulamanın indirilmesini ve yüklenmesini engellemeye karar verir.

Bu formda yapılacak ML tahlili bir taşınabilir aygıtın sahip olduğundan çok daha fazla bilgi süreç kaynağı gerektirir. Bu nedenle süreç bulutta gerçekleştirilir.

Ekipman arızalarını önlemek için makine tahsili

Ekipman arızaları, yanlış yapılandırmalar, insan kusuru yahut bilgisayar korsanlarının atakları, endüstriyel ekipmanların bozulmasına neden olabilir. Bunlardan rastgele biri meydana gelirse, üretim süreçlerindeki sapmayı en kısa müddette tespit etmek gerekecektir. Aksi takdirde olay denetimden çıkabilir ve en yeterli ihtimalle hizmette aksamaya, en makûs ihtimalle kazaya neden olabilir.

Sorun, bir olayın erken belirtilerinin gerçek operatörler tarafından tespit edilmesinin neredeyse imkansız olmasıdır. Aygıtlardan her saniye binlerce telemetri verisinin aktığı bir ortamda, tecrübeli bir operatör bile sadece birkaç kalıba odaklanarak kalanını gözden kaçırabilir.

Anomali algılamaya yönelik makine tahsili (MLAD) burada devreye girer. Yapay hudut ağı çok büyük ölçüde telemetri verisini tahlil edebilir, makinenin çalışmasına dair tüm nitelikleri denetim altında tutabilir ve makinenin olağan şartlar altında nasıl davrandığını kapsamlı bir halde öğrenebilir.

ML modelinin eğitimi tamamlandığında, model anomali algılama moduna geçer. Daha sonra gerçek vakitli olarak telemetri alır ve model ile müşahede ortasındaki fark muhakkak bir eşiğin üzerine çıktığında, makinenin davranışını olağandışı kabul ederek alarmı tetikler. Bu model, öteki rastgele bir aygıt mümkün sorunu tespit etmeden evvel hücumlar, arızalar yahut yanlış idare konusunda erken ikaz verebilir. Böylelikle hasarı en aza indirmeye ve üretimin durmasını önlemeye yardımcı olur.

Gelişmiş siber taarruzlara karşı makine tahsili

Birtakım durumlarda, yönetilen tehdit algılama ve karşılık (MDR) hizmetleri üzere gelişmiş tehditlere karşı insan zekasını tamamlayacak makine tahsili teknikleri kullanılabilir.

Bir MDR hizmetinde harici bir güvenlik operasyon merkezi (SOC), kurumsal müşterilerin gelişmiş siber akınlara karşılık vermesine yardımcı olur. Müşteri uç noktalardan ikazlar alır, atakların izini sürmek için bunları araştırır ve müşteriye rapor gönderir. SOC uzmanları birtakım tehdit örneklerini manuel olarak tahlil etse de, ölçek göz önüne alındığında fizikî olarak her ikaza bakmaları mümkün olmayabilir.

Makine tahsili bu yükü kaldırabilir. SOC analistlerinin ilgisini çekmeyen ihtarları otomatik olarak filtreler, ikaz değer düzeylerini belirler ve tahlil için ipuçları verir. Bu, kapasitelerini korur ve ortalama karşılık verme mühletini en aza indirir.

Eğitim modu sırasında model ikazları tahlil eder ve puanlar. Puan ne kadar yüksek olursa, ikazın uzmanlar tarafından gözden geçirilmesi mümkünlüğü o kadar yüksek olur. Makul bir eşiğin üzerindeki puana sahip ikazlar, bunları manuel olarak etiketleyen ve ML modeli için eğitim bilgilerini zenginleştiren SOC analistlerine gönderilir.

Çaba modunda model kimi ikazları çözer ve geri kalanı manuel süreç için önceliklendirir. En değerlileri, yani en yüksek puana sahip olanlar işlenmek üzere sıranın başına koyulur. Bu kuyruk stratejisi, ikazların ortalama süreç mühletini azaltır ve âlâ SLA’nın sunulmasına imkan tanır.

Yorum yapın