Makine Öğrenmesinin XDR Çözümlerindeki Etkisi

Önceki makalemizde “XDR Teknolojilerinin Siber Güvenlikteki Rolü” detaylı olarak XDR’ın ne olduğunu  açıklamıştık, peki yakın zamanda hayatımıza giren bu teknoloji nasıl oluyor da gelişerek ilerliyor ve bizi saldırı  tehditlerine karşı güncel olarak korumayı başarıyor? Bunun temelinde Makine öğrenme sürecinin hayatımıza  girmiş olduğunu söyleyebiliriz. Bu yazımızda Makine öğrenme tekniklerinden bahsederek, XDR üzerindeki  etkilerini açıklayacağız.

XDR çözümleri, güvenlik tehditlerini tespit etmek için güçlü analiz tekniklerine dayanmaktadır. Bu araçlardan  biri de UEBA (User and Entity Behavior Analysis – Kullanıcı ve Varlık Davranış Analizi) teknolojisi. Peki, bu nasıl  çalışıyor? Temelde, bir süre boyunca belirli verileri, yani temel verileri analiz ederek bir temel profil  oluşturuyor. Bu veriler, genellikle cihaz üzerindeki günlükler, ağ aktiviteleri, uygulama verileri ve kullanıcı  bağlamı gibi bilgileri içeriyor. Temel profil, sistemdeki normal davranışı tanımlayıp neyin normal olduğunu  öğreniyor. 

Sonra, sistem gözlemlenen verilerle bu davranış analizi ve anomali tespiti yeteneklerini geliştiriyor. Yani,  sistem neyin normal olduğunu öğrendikçe, normalden sapmalar görüldüğünde bu davranışları şüpheli olarak  işaretliyor. Burada önemli olan nokta, verilerin ne kadar doğru ve gerçekçi olduğudur. Çünkü verilerin doğru  şekilde eğitilmesi, XDR çözümünün ne kadar etkili olduğunu doğrudan etkiler. Eğer eğitim verisi gerçekçi  değilse, çözümün performansında sapmalar olabilir.  

Makine öğrenmesi bazen yanlış sonuçlar verebileceğinden bahsettik, buna önyargı (bias) denir. Bias  genellikle yanlış veri kullanımı veya yanlış parametre seçiminden kaynaklanır. Bias’lardan kaçınmak için XDR  agent’ları temel olarak iki durumla çalışır; Data enrichment ve Anomali tespiti. 

Data Enrichment (Veri Zenginleştirme) 

XDR’ın makine öğrenmesini kullanarak karmaşık veri setlerini analiz edip her bir parçasına daha fazla bağlam  eklemesine data enrichment adını veriyoruz. Kısaca bir senaryoyla açıklamak gerekirse,  Bir dosyanın şüpheli olduğunu fark ettiğimizde, sadece o dosyayı incelemek genellikle yeterli bir bilgi  sağlamaz. Makine öğrenmesiyle beraber XDR, dosyanın IP adresi, dosya hash’leri ve daha önceki saldırılardan  elde edilen tehdit verileri gibi ek bilgileri birleştirirerek bu verileri karşılaştırır ve dosyanın gerçekten bir  tehdit olup olmadığını alarm olarak oluşturabilir.

Anomali Tespiti 

Makine öğrenmesi, aynı zamanda anomalilerin tespitinde de kritik bir rol oynar. XDR sistemleri, normal  davranış verilerini toplayarak bir model oluşturur. Bu modele göre normal olmayan davranışları  inceleyebiliriz. Kısaca bir senaryoyla açıklayacak olursak; 

Örneğin, bir çalışan genellikle ofis saatlerinde çalışırken, aniden gece geç saatlerde veya hafta sonu normalde  girmediği bir IP adresinden sisteme giriş yaparsa, bu durum anormal olarak değerlendirilir. Makine  öğrenmesi, geçmişteki davranışları inceleyerek bu tür alışılmadık hareketleri “yabancı” olarak tanır ve  potansiyel bir güvenlik tehdidi olarak işaretleyip, alarm oluşturabilir. 

Makine Öğrenmesini alınan verilerin değerlendirilip otomatik kararlar alması olarak özetlemiştik, peki biraz  daha derine inersek temelde neler vardır? 

• Denetimli Öğrenme (Supervised Learning): Etiketlenmiş verilerle eğitim alır, giriş ve çıkışlar  arasındaki ilişkiyi öğrenir. İnsan rehberliği ile doğru sonuçlar sınıflandırılır. 
• Denetimsiz Öğrenme (Unsupervised Learning): Etiketlenmemiş verilerle çalışır, veriyi insan  müdahalesi olmadan sınıflandırır ve etiketler. Yeni, karmaşık saldırıları tespit etmek için kullanılır. ∙
• Pekiştirmeli Öğrenme (Reinforcement Learning): Deneme-yanılma ile öğrenir, doğru hareketler  ödüllendirilir, yanlışlar cezalandırılır. Saldırıları tespit etmek ve tekrarlayan görevleri  otomatikleştirmek için kullanılır.

Derin Öğrenme ve Yüzeysel Öğrenme

• Derin Öğrenme: Karmaşık verilerle çalışabilir (örneğin, görüntüler veya sesler) ve genellikle büyük  veri setleri ve yüksek hesaplama gücü gerektirir. Örneğin, bir yüz tanıma sistemi. 
• Yüzeysel Öğrenme: Daha az kaynakla çalışabilir ve basit veri setlerinde etkili olabilir. Örneğin, basit  bir spam filtresi gibi uygulamalarda kullanılabilir. 

Makine Öğrenimi ile Threat Detection (Tehdit Tespiti) 

Siber güvenlik yaşam döngüsü, önleme, tespit ve tepki olmak üzere üç aşamadan oluşur. Tam bir siber  tehdidin önlenmesi imkansızdır, tepki aşaması ise zararın zaten gerçekleştiğini varsayar. Bu nedenle, çoğu  güvenlik mekanizması (ML tabanlı olanlar dahil) threat detection üzerine yoğunlaşır. Örneğin, bir phishing (oltalama) web sayfasının oluşturulması engellenemez; ancak, böyle bir tehdit, web sayfasının zararlı olduğu  tespit edilip kullanıcılar uyarılarak önlenebilir. 

Tehdit tespiti için iki ana yaklaşım vardır: kötüye kullanım (misuse) ve anomalik (anomaly) tabanlı. Kötüye  kullanım tabanlı yöntemler, belirli bir tehdidi tanımlayan “patterns” belirlenmesini gerektirir ve gelecekteki  tehditlerin aynı desenleri göstereceği varsayılır. Anomalik tabanlı yaklaşımlar ise “normal” bir durumu  tanımlar ve normalden sapmaları tespit etmeye çalışır, bu sapmaların güvenlik olaylarını işaret ettiği  varsayılır. Bu iki yaklaşım tamamlayıcıdır: Kötüye kullanım tabanlı yöntemler doğru sonuçlar verir ancak  sadece bilinen tehditleri tespit edebilir; anomalik tabanlı yöntemler daha fazla yanlış alarm verebilir ancak  yeni saldırılara karşı daha başarılıdır. 

Makine öğreniminin öncesinde, tespit mekanizmaları, her iki yaklaşım için gerekli tüm unsurların manuel  olarak tanımlanmasını gerektiriyordu. Bu süreç zaman alıcıydı ve hatalara açıktı, ayrıca modern çevrelerdeki  büyümeyi karşılayamıyordu. Veri analitiği tekniklerinin ilerlemesiyle, tespit sistemleri veri odaklı çözümler  kullanmaya başladı. Bu çözümler, daha az manuel çaba gerektirir ve bazı durumlarda geleneksel  yöntemlerden daha iyi sonuçlar elde edebilir. Makine öğreniminin tespit başarısı, insan operatörlerinin fark  etmediği “zayıf” sinyalleri öğrenme yeteneğinden kaynaklanır.

Makine Öğrenimi ile Malware (Zararlı Yazılım)

Zararlı yazılımlar (malware), siber güvenliğin en önemli zorluklarından biridir. Zararlı yazılım varyantları,  belirli bir işletim sistemi (OS) için özelleştirilmiştir. Örneğin, Windows işletim sisteminin yaygınlığı, onu 20  yıldan fazla bir süredir zararlı yazılımların en yaygın hedefi yapmıştır. Ancak, saldırganlar şimdi Android  işletim sistemli mobil cihazlara da yönelmiştir. 

Zararlı yazılım(Malware) tespiti için iki ana analiz türü vardır: statik ve dinamik analiz. Statik analiz, herhangi  bir kod çalıştırmadan yalnızca dosyayı analiz ederek zararlı yazılımı tespit etmeye çalışır. Dinamik analiz ise  yazılımın çalıştırılması sırasında davranışlarını izler ve kontrol edilen bir ortamda bu aktiviteleri izleyerek  analiz eder. Hem statik hem de dinamik analizler, makine öğrenimi (ML) tekniklerinden faydalanabilir. 

1-) Statik Analiz: Bu analizler basit olup, özellikle bilinen zararlı yazılımlara karşı etkilidir ve birçok şekilde ML  ile geliştirilebilir. Örneğin, kümeleme (clustering), benzer zararlı yazılımların özelliklerini tanımlamak için  kullanılır. Ancak, statik analizler, zararlı yazılımın kaçma (evasion) yöntemlerine karşı savunmasızdır. Zararlı  yazılımın çalıştırılabilir dosyasının değiştirilmesi, zararlı mantığı değiştirmeden statik tespiti geçirebilir. 

2-) Dinamik Analiz: Dinamik analizlerin, ML teknikleriyle birleşimi, polimorfik zararlı yazılımlara (kendilerini  farklı şekillerde değiştirerek tespit edilmesini zorlaştıran kötü amaçlı yazılımlardır.) karşı etkili önlemler  sağlar. Birçok ML çözümü, kümeleme(Clustering) yöntemi ile benzer davranış sergileyen zararlı yazılımları  gruplayarak daha önce görülmemiş kümelere odaklanır. 

Makine Öğrenmesi ile Phishing Tespiti

Makine Öğrenmesi ile Phishing Tespiti 

Phishing (oltalama), siber güvenlikteki en yaygın saldırı türlerinden biridir ve hedef ağlara sızmanın en yaygın  yollarından biridir. Phishing saldırılarının erken tespiti, özellikle modern organizasyonlar için büyük önem  taşır ve makine öğrenmesinden (ML) büyük ölçüde faydalanılabilir. Phishing saldırılarına karşı ML kullanımı iki  şekilde ayrılabilir: Phishing web sitelerinin tespiti ve phishing e-postalarının tespiti. Web siteleri için genellikle  URL, HTML kodu veya görsel temsili kullanılırken, e-postalar için metin, başlıklar veya ekler analiz edilir. 

Phishing Web Sitesi Tespiti: Phishing web siteleri genellikle kara listelerle(black list) tespit edilmeye çalışılır.  Ancak bu listeler hızla geçerliliğini kaybeder çünkü saldırganlar sıklıkla phishing sitelerini değiştirir. ML,  manuel ve statik kara listelemeye karşı geçerli bir alternatif sunar.  

Phishing E-Posta Tespiti: ML, siber güvenlikteki ilk uygulamalarından biri olarak, istenmeyen e-postaların  (spam) tespitinde kullanılmıştır. ML, özellikle Doğal Dil İşleme (NLP) tekniklerini kullanarak, e-posta içeriğini  analiz eder ve kötü niyetli e-postaları tespit eder. E-posta tespitinde de denetimli ML yaygın olarak kullanılır. 

Ayrıca, belirli bir hedefe yönelik oltalama saldırıları olan spear-phishing tespitinde de ML başarıyla  kullanılmaktadır.

Machine Learning ile Alarm Yönetimi

Mükemmel bir tespit sistemi geliştirmek mümkün değildir. Bu nedenle, tespit sistemlerinin çıktıları genellikle  alarm şeklinde olur. Ancak modern ortamlarda her saat binlerce alarm üretilir, bu da manuel müdahaleyi  imkansız hale getirir. Bu problemi çözmek için ML, alarm filtreleme, önceliklendirme ve hatta birleştirme gibi yöntemlerle kullanılabilir. 

• Alarm Filtreleme: Alarmlar her zaman zararlı olmayabilir ve birçok alarm yanıltıcı olabilir. ML, benzer  alarmları filtreleyerek gereksiz bildirimlerin önüne geçebilir.
• Alarm Önceliklendirme: Çok sayıda alarmla karşılaşıldığında, ML, en kritik alarmları öncelik sırasına  koyabilir. Sonuç olarak, güvenlik yöneticileri yalnızca önemli uyarılara odaklanabilir.
• Alarm Birleştirme: Birçok alarmın yönetilmesinin en mantıklı yolu, benzer alarmları gruplayıp bunlar  arasındaki ilişkiyi belirleyerek güvenlik için anlamlı bağlantılar kurmaktır. Örneğin, ASSERT sistemi,  zararlı etkinlikleri hedefleyen ağ portlarını belirlemek için kümeleme kullanımı

Bu kısmı açıklarken, Cortex XDR’ı kullanarak, nasıl aksiyonlar alınacağını açıklayalım, böylece reel bir ürünle  arasındaki ilişki daha kolay anlaşılacaktır.

Ransomware (Fidye yazılım) Saldırılarının Tespiti 

• Senaryo: Bir çalışan, kötü amaçlı bir e-posta ekini açar ve bu, sistemde ransomware’in yayılmasını  tetikler. 

XDR Rolü: 

• Cortex XDR, davranışsal analiz kullanarak, dosya şifreleme aktivitelerini normal davranış  profillerinden sapmalar olarak tanımlar ve bu aktiviteleri şüpheli olarak işaretler.
• Şifreleme girişimleri tespit edildiğinde, XDR çözümü bu işlemleri otomatik olarak durdurur ve  etkilenen cihazı ağdan izole eder. Bu, fidye yazılımının daha fazla yayılmasını engeller. ∙ Cortex XDR, makine öğrenmesi ile şifreleme aktivitelerinin zamanlamasını, hızını ve kapsamını  inceleyerek, anormal dosya şifreleme işlemleri hakkında erken uyarılar sağlar.

Dosyasız Zararlı Yazılım (Fileless Malware) Tespiti 

• Senaryo: Bir saldırgan, PowerShell komutlarıyla hedef bir sistemde dosyasız zararlı yazılım çalıştırır.

XDR Rolü: 

• Cortex XDR, sistem çağrıları ve hafıza analizleri üzerinde çalışarak, dosyasız zararlı yazılımın izlerini  tespit eder. Özellikle, PowerShell ve diğer komut satırı araçlarının anormal kullanımını izler ve bu  davranışları şüpheli olarak işaretler.
• Hooking mekanizması ile, zararlı yazılımın sisteme entegre olduğu noktaları analiz eder ve potansiyel  tehditleri etkisiz hale getirir. Bu sayede, dosyasız zararlı yazılımlar doğrudan bellek üzerinde  çalışırken bile tespit edilip engellenebilir.

Lateral Movement (Yanal hareket) Tespiti 

• Senaryo: Saldırgan, bir kullanıcının hesabını ele geçirir ve ağda yatay hareketle farklı sistemlere  erişmeye çalışır. 

XDR Rolü: 

• Cortex XDR, anomali tespiti teknolojisi kullanarak, kullanıcının beklenmeyen erişimlerini, alışılmadık  oturum açma davranışlarını ve ağdaki hareketlerini izler. Örneğin, bir kullanıcı normalde erişmediği  sistemlere bağlanmaya çalışıyorsa, bu durum hemen tespit edilir.
• Erişim anomalileri fark edildiğinde, Cortex XDR, etkilenen cihazı ağdan izole eder ve saldırının  yayılmasını engeller. Aynı zamanda saldırganın hareketlerini sınırlayarak daha fazla zarara yol  açmasını engeller.

DDoS Saldırılarının Tespiti 

Senaryo: Bir saldırgan, hedef sistemleri aşırı trafikle doldurarak hizmet kesintisine neden olmaya çalışır. Bu tür  saldırılar genellikle çoklu kaynaklardan gelen yoğun trafikle yapılır (örneğin, botnet’ler). 

XDR’ın Rolü: 

1- Trafik Anomalisi Tespiti: 

• Cortex XDR, ağ trafiğini sürekli izleyerek normal trafik hacmini öğrenir ve bu veriyi referans  alarak anormal bir trafik artışını tespit eder. Örneğin, aynı IP adresinden gelen aşırı sayıda  istek, şüpheli bir durum olarak işaretlenir. 

2- IP ve Domain Analizi: 

• XDR çözümü, şüpheli IP adreslerini kara listeyle karşılaştırır. Eğer bu IP’ler daha önce bilinen  tehditler olarak kaydedilmişse, bu adresler otomatik olarak engellenir.
• Ayrıca, saldırının kaynağını belirlemek için hedeflenen domainleri ve IP’leri analiz eder.

3- Otomatik Yanıt Mekanizması: 

• Cortex XDR, şüpheli trafiği geçici olarak izole eder veya engeller, böylece normal kullanıcı  trafiği korunur.
• Yük dengeleme cihazlarına yönlendirme yaparak, ağ üzerindeki yoğun yükü dağıtır ve  sistemlerin hizmet dışı kalmasını önler.
• XDR, saldırganın kaynaklarını analiz etmek için sandbox ortamında davranışlarını gözlemler  ve bu süreçte, saldırganın kullandığı teknikleri tespit eder.

Uygar Tayan

 - 18 Aralık 2025, Perşembe