By Orhan Solak

IBM QRadar UBA’NIN ETKİNLİĞİNİ GELİŞTİRME

IBM QRadar User Behaviour Analytics (UBA) uygulamasının asıl hedeflerinden biri, kullanıcılarını enine boyuna analiz ederek, tehlike oluşturabilecek kullanıcıları tespit etmek veya sistemdeki kullanıcılara ait paylaşılmaması gereken bilgilerin ifşa olup olmadığını saptamaktır. Bir diğer temel hedefi ise, edindiği kullanıcı bilgileri ile diğer log kaynaklarından gelen bilgilerin korelasyonunu sağlayıp, atakları daha çabuk ve doğru bir şekilde tespit etmektir.

Siber saldırganların bir an bile boş durmadıkları bir zaman diliminde yaşadığımız için, atakların daha çabuk ve doğru bir şekilde tespit edilebilmesi hayati önem arz etmektedir. Dolayısıyla, IBM QRadar UBA uygulaması, analistlerin saldırıları tespit ederken en önemli yardımcılarından biri olmuştur.

Saldırı tespiti konusunda kullanılan hiçbir ürün ya da yazılım, ilk başlatıldığı anda yeterli verimliliği sağlayamamaktadır. Çünkü ürün ya da yazılımların, kurumun siber güvenlik mimarisine uygun bir şekilde ayarlanması ve geliştirilmesi gerekmektedir. Örneğin; herhangi bir sunucuya sadece bir kere bile hatalı giriş (login) denemesi yapılmasının oldukça kritik olduğu bir kurumda, en az 3 hatalı login denemesinden sonra alarm üretilmesi doğal olarak bu kurumda bir zafiyet yaratacaktır. IBM QRadar kullanılan kurumlarda bu gibi durumların önüne geçmek için, IBM QRadar UBA uygulamasının da kuruma özel bir şekilde geliştirilmesi gerekmektedir.

IBM QRadar UBA uygulamasının daha başarılı bir şekilde çalışması için yapılması gereken geliştirmeleri iki ana başlık altında inceleyebiliriz;

1.            Kullanıcı Erişimleri

1.1)        Anormal Erişimler Yapılması kurum tarafından onaylanmayan erişimlerin kontrolünü takip ederek istenmeyen olayların önüne geçilebilir. Ayrıca, kullanıcıların giriş hareketlerini takip ederek aktif olmayan kullanıcı isimleri ile olan işlemleri, şifre çalma ya da şifre kırma olayları tespit edilebilir, hatta yerel networkte cihazdan cihaza atlayama çalışan kullanıcılar da tespit edilebilir.

1.2)        Kritik Varlıklar ve Kritik Kullanıcılar

Çok kritik ve sadece belirli kullanıcıların girişinin izinli olduğu cihazlara, yetkisi olmadan erişmeye çalışan kullanıcılar tespit edilebilir. Daha önce kritik işleri yapacak yetkisi olmayan kullanıcıların ilk defa bu tarz aktivitelerde bulunması da takip edilmesi gereken hareketlerden biri.

1.3)        Olağandışı Aktiviteler

IBM QRadar’ın sahip olduğu ADE (Anomaly Detection Engine) kuralları yardımı ile birtakım alarmlar oluşturarak, bir kullanıcının her zaman kullandığı IP adresinin değişmesi, genellikle oluşturmadığı event logları oluşturması, her zaman bulunduğu konum dışında bir konumdan bağlantı sağlaması ya da mesaiye kalmayan bir kullanıcının mesai saatleri dışında event logu oluşturması gibi olağandışı aktiviteler tespit edilebilir.

Birinci görselde bir kullanıcının günlük çalışma saatlerindeki konumu mavi ile gösterilirken, yıldız ile işaretlenmiş konumlar bu kullanıcının normal çalışma konumunun dışında bir alanda bulunduğunu göstermektedir.

İkinci görselde ise; bir kullanıcının belli bir zaman içerisinde oluşturduğu network hareketleri bulunmaktadır. Mavi ile gösterilenler olağan trafik miktarını, kırmızılar ise anomali durumunu (oluşturulan olağan dışı trafik miktarı) temsil etmektedir.

2.            Network Aktiviteleri

Network harekeleri ile kullanıcı bilgilerini korele edip, bu bilgiler ışığında kuruma uygun kurallar yazmak, kullanıcı anomalilerini tespit etmede oldukça yardımcı bir konumdadır.

Takip edilebilecek network hareketlerine aşağıdaki örnekler verilebilir:

  • Uzun zaman boyunca (örnek olarak 10 saat) SSH bağlantısında bulunan kullanıcı olması,

  • Bir kullanıcının DoS ya da DDoS atağında bulunması,

  • Network analizi ya da dinlemesi yapan kullanıcıların olması,

  • SSL/TLS oturumunda, tarihi geçmiş ya da geçersiz bir sertifika kullanılması,

  • Zararlı yazılım aracığıyla ya da zararlı yazılım içeren bir alan adıyla trafik oluşturulması,

  • Sistemde bulunmayan bir kullanıcıya gelen maillerin görülmesi,

  • Sürekli spam ya da muhtemel oltalama mailleri alan kullanıcıların bulunması,

  • IBM X-Force Exchange TI veri tabanında bulunan IP’ler ile iletişime geçen kullanıcıların tespit edilmesi.

IBM QRadar UBA ara yüzünün bir örneği aşağıdaki görselde verilmiştir. Yukarıda verdiğimiz anomali tespit yöntemleri başarılı bir şekilde uygulandığında, IBM QRadar UBA anormal hareketleri inceleyerek aşağıdaki gibi riskli kullanıcıları belirleyebilir, yapılan tehlikeli hareketleri yakalayabilir ve daha detaylı raporlar oluşturabilir.

Bu iki temel UBA geliştirme alanlarında kuruma uygun gerekli iyileştirmeler yapıldıktan sonra, IBM QRadar ürünü analistlere daha çabuk ve daha başarılı alarmlar üretecek ve oluşacak false-positive sayısını gözle görülür biçimde azaltacaktır.