Kullanıcı Davranış Mantıksal Analizi (UBA) milyonlarca vak’ayı halihazırda riskli davranışlarda bulunan bir avuç kullanıcıya dönüştürmek bilgisayarla machine learning’e bel bağlamış durumdadır. UBA, esas itibariyle makinenin güvenlik analistine nereye odaklanacağını söylemesinden ibarettir. Tehdit avcılığı, güvenlik analistlerinin belli bir kriter setine uyum sağlayan kullanıcıları bulmak üzere olay verilerini (event data) sorgulamasına olanak tanıyan bütünleyici bir tekniktir. Tehdit avcılığı, analistin makineye X,Y ve Z parametrelerine uyan kullanıcıları bulma talimatı vermesinden ibarettir.
Exabeam, hem sunduğu güçlü UBA becerileri hem de şimdilerde Exabeam Threat Hunter vasıtasıyla ulaştığı kullanıcılar nazarında tehdit avcılığı işlevselliği anlamında sahip olduğu piyasa lideri konumuyla, sektörün tek güvenlik istihbarat sağlayıcısıdır.
Exabeam platformu, bireysel kullanıcı faaliyetlerini bir oturum verisi modeline bağlamak için Stateful User Tracking TM kullanır. Tehdit Avcısı güvenlik profesyonellerine, oturumları belirli faaliyetleri ya da özellikleri ihtiva eden veya faaliyet veya özelliklerin herhangi birleşimini ihtiva eden tüm kullanıcıları bulmaları için platformu sorgulama imkanı tanır. Örneğin, bir analist, kullanıcının VPN’de ilk olarak yabancı bir ülkeden oturum açtığı tüm kullanıcı oturumlarını sorgulayabilir, ardından ilk olarak bir sunucuya bağlanan kullanıcıları sorgulamak suretiyle bir önceki sonuçları kırpabilir, bunun arkasından da kötü niyetli yazılım önler bir yazılım söz konusu sunucu üzerinde bir soruna işaret edebilir. Bu faaliyetlerin her biri ötekinden bağımsız olmakla birlikte, bunları basit ve sadece üzerine tıklama yoluyla gerçekleştirilen bir arama şeklinde birleştirebilme imkanı, tecrübesiz bir analistin dahi gücüne güç katmaktadır.
UBA motoru, birden çok faaliyette bulunmuş olan ve bir araya gelen bu faaliyetleri, halihazırda artmış durumdaki bir risk skoruna eklenen kullanıcıları bulmak üzere tasarlanmışken, Tehdit Avcısı özellikle fark edilmemesi için gayret gösterilen faaliyetlerin izini takip etmek üzere “ipin ucunu yakalamaya imkan veren” araçları analistlere sunar. UBA’in bir saldırıyı tespit etmek için kullanılmasının ardından tehdit avcılığı oldukça etkin bir şekilde devreye girebilir. UBA’in belirli bir saldırıyı tespit edebildiği durumlarda, Tehdit Avcısı, söz konusu saldırının görünüşüne benzeyen faaliyet gruplarını proaktif bir şekilde aratabilir.
Proaktif Güvenlik İstihbaratı
Burada gösterilen örnekte, bir analist, pazarlama departmanında baş gösteren ve bilgisayar korsanlarının şebekeye sızmalarına imkan veren kötü niyetli bir yazılımın ardından, söz konusu kötü niyetli yazılımı temizlemek için Tehdit Avcısı’nı kullanır.
Analist, ilk olarak Pazarlama departmanındaki herhangi bir kullanıcının hesap yönetimi (account management) ( yani yeni bir hesap yaratma veya ayrıcalık yükseltme/privilige escalation) gerçekleştirdiği ama aynı zamanda oturum açmada başarısız olduğu tüm oturumları aramakla işe koyulur. Analistin, ne kullanılabilir sistem günlüklerinin sıralı kayıtların yapısını (applicable logs) ne de altta yatan sistem günlüğü yönetim sisteminin arama dilini biliyor olmasına gerek yoktur. Analistin yapacağı tek şey birkaç alanın üzerini tıklamak ve “Ara” komutu vermektir.
Filtreleme ve Detaydan Özete İnme
Analist, elde etmiş olduğu sonuç setini, olay türünün “Hesap parolası değiştirilmiştir”e karşılık geldiği bir parametre daha eklemek suretiyle, bir aşama daha filtreler. Tehdit Avcısı, varsayılan bir zaman aralığında,
pazarlama departmanında ve hesap yönetimi gerçekleştirmek için kullanılmış olan referanslara haiz olan, oturum açmada başarısız olmuş olan ve ardından da hesap parolasını değiştirmiş olan tüm kullanıcıların bir listesiyle yanıt verir.
Listenin en tepesine yakın bir yerlerde Angella French adında bir kullanıcı görürüz, bu kullanıcı Exabeam UBA tarafından alışılagelmişin dışında bir hesap kilitleme faaliyetinde bulunmuş olarak işaretlenmiştir.
Analist Angella üzerine tıklar ve Exabeam kullanıcı kimliğiyle ilgili detayların yanı sıra söz konusu hesap kilitlenmesiyle ilgili olayları gösterir.
On üç farklı sistem üzerinde oldukça yüksek sayıda başarısız oturum faaliyeti görürüz. Hesap kilitlenmeleri, bir hesabın gizliliğinin ifşa edilmiş ve bir bilgisayar korsanının geçerli bir dahili kullanıcının kimliğine bürünmüş olduğu yönünde güçlü bir işaret olarak görülebileceğinden, daha ileri düzeyde bir soruşturma yapılması yerinde olur.
Analistin, pazarlama departmanı bünyesinde vuku bulan kötü niyetli bir yazılım istilası ve hesap ele geçirme anlamında elinde artık ilave bir aday daha olduğundan buna uygun yanıt verebilir.
Herhangi Sistem Günlüğü veya SIEM Sistemiyle Birlikte Çalışabilir
Exabeam UBA ve Tehdit Avcısı’nın ihtiva ettiği önceden tasarlanmış entegrasyonlar, aşağıda listelenenler de dahil olmak üzere önde gelen tüm sistem günlüğü yönetim ürünleriyle çalışır:
• IBM QRadar
• Splunk
• HP ArcSight
• McAfee ESM
• RSA Security Analytics
Tehdit Avcısı ve UBA tüm bunlara ilaveten, syslog yönlendirme vasıtasıyla herhangi bir sistem günlüğü/log sistemiyle entegre olabilir. Data Loss Prevention gibi ürünlerden, uç-nokta güvenliği, bulut güvenliği ve diğerlerinden gelen ilave yayınlar kolaylıkla entegre edilip tehdit avcılığında kullanılabilir.
