Kullanıcı ve Varlık Davranış Analizi UEBA Mimarisinin Kapsamlı İncelenmesi
Siber güvenlik dünyası artık sadece duvarları örmekle yetinmiyor çünkü günümüzde saldırganlar kapıyı kırmıyor doğrudan anahtarı ele geçirip içeri giriyor. Geleneksel güvenlik sistemleri içeri sızan ve meşru bir kullanıcı gibi görünen bu hırsızları fark edemiyor. İşte bu noktada kullanıcıların ve sistemdeki varlıkların her hareketini inceleyen UEBA teknolojisi devreye giriyor.
Nesil Teknoloji olarak TSE A Sınıfı Sızma Testi yetkimizle kurumların dijital varlıklarını korurken en ileri teknolojileri kullanıyoruz. Bu içerikte bir siber güvenlik uzmanı gözüyle modern savunma paradigmalarından en önemlisi olan UEBA mimarisini tüm teknik detaylarıyla analiz edeceğiz.
UEBA makine öğrenimi algoritmalarını kullanarak kullanıcıların normal davranış kalıplarını öğrenir ve bu kalıpların dışına çıkan şüpheli hareketleri anında raporlar. Geleneksel SIEM sistemlerinin aksine imza tabanlı değil davranış odaklı bir koruma sağlar.
1. UEBA Nedir ve Neden Gereklidir?
Kullanıcı ve Varlık Davranış Analizi yani UEBA kurumsal bir ağ içerisindeki tüm canlıların ve cihazların ne yaptığını anlamaya çalışan akıllı bir gözlem sistemidir. Bir fabrikayı düşünün. Kapıda bekleyen güvenlik görevlisi kimlik kartı olan herkesi içeri alır. Ancak içeri giren kişinin normalde ofiste çalışması gerekirken üretim bandındaki gizli bir makineyi kurcalamaya başlaması bir sorundur. Geleneksel güvenlik araçları olan Firewall veya Antivirüs yazılımları bu kişinin kimlik kartı olduğu için ona müdahale etmez. UEBA ise bu kişinin normalde ofiste olduğunu bildiği için üretim bandına gitmesini bir anomali olarak işaretler.
Modern tehdit aktörleri artık Metasploit gibi araçlarla doğrudan sunuculara saldırmak yerine oltalama saldırıları ile bir personelin şifresini çalmayı tercih ediyor. Şifre çalındıktan sonra saldırgan sistemde sıradan bir kullanıcı gibi hareket eder. Bu durum siber güvenlik terminolojisinde yanal hareket olarak adlandırılır. Saldırgan Nmap taraması yaparak ağdaki diğer zayıf noktaları bulmaya çalışır. Nesil Teknoloji ekibi olarak yaptığımız sızma testlerinde bu tür yanal hareketlerin ne kadar tehlikeli olduğunu defalarca kanıtladık. UEBA işte bu sessiz ve derinden ilerleyen saldırıları durdurmak için tek etkili çözümdür.
UEBA’nın temel farkı analiz nesnesini genişletmesidir. Sadece insanları değil sunucuları, yazıcıları, IP kameraları ve hatta akıllı üretim cihazlarını da izler. Bir sunucunun normalde saniyede yüz talep alırken aniden binlerce talep almaya başlaması bir varlık anomalisidir. Bu teknolojinin evrimi pazarlama dünyasındaki müşteri eğilimlerini ölçen sistemlerden siber güvenliğe taşınmıştır ve bugün Gartner tarafından modern SOC merkezlerinin vazgeçilmezi olarak tanımlanmaktadır.
2. Teknik Mimari ve Analitik Yöntemler
UEBA sistemleri arka planda devasa bir veri işleme motoru gibi çalışır. Bu mimarinin kalbinde veri toplama katmanı yer alır. Kurumun her noktasından yani Active Directory sisteminden ağ cihazlarına, bulut uygulamalarından kullanıcı bilgisayarlarına kadar her yerden veri akar. Bu veriler TCP IP protokolleri üzerinden güvenli bir şekilde merkezi sisteme iletilir. Toplanan veriler ham haldedir ve sistem bunları anlamlandırabilmek için normalleştirme sürecinden geçirir.
Analitik katmanında devreye giren makine öğrenimi algoritmaları UEBA’nın beynini oluşturur. Burada üç temel öğrenme türü kullanılır. Denetimli öğrenme ile sisteme daha önceden bilinen kötü davranış modelleri öğretilir. Örneğin bir brute force yani kaba kuvvet saldırısının nasıl göründüğünü sistem bilir. Denetimsiz öğrenme ise en güçlü yanıdır. Sistem verilerdeki gizli desenleri bulur. Hiçbir kural girilmeden bir kullanıcının normalden çok farklı bir saatte sisteme giriş yaptığını bu yöntemle anlar. Yarı denetimli öğrenme ise her iki yöntemin avantajlarını birleştirerek yanlış alarm oranını düşürür.
| Özellik | Geleneksel SIEM | Modern UEBA |
|---|---|---|
| Tespit Yöntemi | Kural ve İmza Tabanlı | Davranış ve ML Tabanlı |
| Veri Odağı | Log Kayıtları | Kullanıcı ve Varlık Hareketleri |
| Zeka Seviyesi | Statik Eşik Değerler | Dinamik Temel Çizgiler |
| Yanlış Alarm Oranı | Yüksek | Düşük ve Önceliklendirilmiş |
UEBA mimarisi aynı zamanda zaman serisi analizlerini de içerir. Bir saldırganın eylemlerini aylara yaydığı durumlarda sistem geçmişe dönük verileri saklayarak küçük değişimleri birleştirir. Örneğin bir çalışan her gün bir adet gizli dosyayı kişisel bulutuna yüklüyorsa bu durum anlık olarak fark edilmeyebilir. Ancak otuz günün sonunda toplam otuz dosyanın dışarı çıkarılması UEBA tarafından bir veri sızıntısı operasyonu olarak nitelendirilir. Nesil Teknoloji olarak kurduğumuz sistemlerde bu tür sinsi sızıntıların tespiti için özel korelasyon modelleri uyguluyoruz.
3. Risk Puanlama ve Anomali Tespiti
Bir kurumda her gün binlerce küçük tuhaflık olabilir. Bir personelin şifresini unutup üç kez yanlış girmesi mutlaka bir siber saldırı olduğu anlamına gelmez. Eğer güvenlik ekibi her küçük olayda alarm alsaydı bir süre sonra hiçbir alarmı ciddiye almaz hale gelirdi. UEBA bu sorunu dinamik risk puanlama sistemiyle çözer. Her kullanıcıya ve varlığa sıfır ile yüz arasında bir puan verilir. Bir anomali gerçekleştiğinde puan artar. Eğer bu anomali kritik bir varlık üzerinde yani ana veritabanı sunucusu üzerinde gerçekleşiyorsa puan artış hızı çok daha yüksektir.
Akran grubu analizi risk puanlamasının en akıllıca parçalarından biridir. Sisteme yeni katılan birinin davranışlarını kıyaslayacak bir geçmişi yoktur. Bu durumda UEBA o kişinin aynı departmandaki diğer iş arkadaşlarına bakar. Eğer departmandaki herkes genellikle PDF dosyalarıyla çalışıyorsa ancak yeni gelen kişi sürekli olarak kaynak kod dosyalarını inceliyorsa bu bir sapmadır. Bu matematiksel olarak bir gözlemin öğrenilen olasılık dağılımından ne kadar uzak olduğuyla ifade edilir. Eğer bir hareketin gerçekleşme ihtimali belirlenen kritik eşiğin altındaysa o hareket bir tehlike olarak tanımlanır.
Vaka Analizi Bir enerji üretim tesisinde çalışan bir mühendisin bilgisayarı ele geçiriliyor. Saldırgan gece yarısı sisteme girip Modbus protokolü üzerinden türbinlerin hızını değiştirmeye çalışıyor. Geleneksel sistemler mühendisin şifresi doğru olduğu için izin verir. Ancak UEBA sistemi o mühendisin hayatı boyunca gece yarısı bu komutları göndermediğini ve normalde türbin ayarlarıyla ilgilenmediğini bildiği için saniyeler içinde müdahale eder. Nesil Teknoloji olarak endüstriyel kontrol sistemleri güvenliğinde bu tür davranış tabanlı savunma mekanizmalarını kritik altyapı projelerimizde başarıyla hayata geçiriyoruz.
4. Regülasyonlar ve Sektörel Uygulamalar
UEBA teknolojisi sadece teknik bir ihtiyaç değil aynı zamanda yasal bir zorunluluk haline gelmektedir. Özellikle Türkiye’de 6698 sayılı KVKK kapsamında kişisel verilerin korunması büyük önem arz eder. Kurumların veriyi kimin nasıl kullandığını denetlemesi gerekir. UEBA veri sızıntılarını önleyerek kurumları devasa cezalardan korur. Aynı zamanda ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasyon süreçlerinde sürekli izleme ve olay yönetimi maddelerinin karşılanmasında kilit rol oynar.
NIST siber güvenlik çerçevesi içerisinde yer alan tespit ve müdahale fonksiyonları UEBA ile tam kapasite çalışır. Kamu kurumlarında ve kritik üretim tesislerinde kullanılan DNP3 gibi özel protokollerin izlenmesi bu sistemlerin ne kadar hayati olduğunu göstermektedir. Nesil Teknoloji TSE A Sınıfı yetkisiyle gerçekleştirdiği denetimlerde kurumların sadece dışarıdan değil içeriden gelecek tehditlere karşı da ne kadar hazırlıklı olduğunu ölçmektedir. UEBA kurulumları sırasında maskeleme ve anonimleştirme teknikleri kullanılarak çalışanların özel hayatının gizliliği ile güvenlik arasındaki hassas denge titizlikle kurulmalıdır.
Gelecekte bizi bekleyen Agentic AI yani otonom yapay zeka ajanları dünyasında saldırganlar çok daha hızlı hareket edecektir. Bu durumda insan hızında savunma yapmak imkansız hale gelecektir. UEBA sistemleri SOAR platformları ile entegre edilerek tespit edilen bir tehdide karşı otomatik aksiyon alabilir. Örneğin bir veri sızıntısı fark edildiğinde kullanıcının oturumu otomatik olarak sonlandırılabilir ve cihaz ağdan izole edilebilir. Bu otonom savunma mimarisi Nesil Teknoloji’nin vizyonunda yer alan en önemli unsurlardan biridir.
Sık Sorulan Sorular
UEBA ve SIEM arasındaki fark nedir?
SIEM temel olarak log kayıtlarını toplar ve belirli kurallara göre uyarı üretir. UEBA ise makine öğrenimi kullanarak kullanıcı davranışlarını öğrenir ve kural yazılmamış olsa bile şüpheli hareketleri yakalar.
İç tehdit nedir ve neden tehlikelidir?
İç tehdit kurum içerisinde çalışan veya sisteme erişim hakkı olan birinin kötü niyetle veya dikkatsizlikle sisteme zarar vermesidir. Güvenlik duvarlarının içinde oldukları için tespit edilmeleri çok zordur.
Nesil Teknoloji UEBA konusunda nasıl destek verir?
Nesil Teknoloji TSE A Sınıfı uzman kadrosuyla kurumunuzun risk analizini yapar, uygun UEBA mimarisini tasarlar ve sistemin KVKK uyumlu bir şekilde devreye alınmasını sağlar.
