1950'lerden bu yana bilim insanları bilgisayar zekasının yeteneklerini inceliyorlar. Son 70 yılda makine öğrenimi (ML), teorik bir kavramdan sahada aktif olarak kullanılan bir teknolojiye dönüştü. Netflix'teki öneri motorundan kendi kendini süren Tesla arabalarına, ve Google Çevirideki konuşma tanımadan Salesforce'a kadar. Makine öğrenimini kullanmanın en önemli faydası, karar verme sürecinde programa özerklik vererek insanlara düşen iş miktarını azaltmasıdır.
Makine öğrenimi, diğer şeylerin yanı sıra kötü amaçlı yazılım tespitini güçlendirmek ve otomatize etmek için siber güvenlikte de aktif olarak kullanılıyor. Bu makalemde siber koruma için en ilginç ML tekniklerinden bazılarını sizlerle paylaşmak istedim.
Gelişmiş e-postayla kimlik avına karşı makine öğrenimi
Sofistike ve doğru hazırlanmış bir kimlik avı mektubu, belirli bir kuruluşu veya kullanıcıyı kötü amaçlarla kandırmanın etkili bir yolu olabilir. Saldırganlar, popüler olayları ve hatta koronavirüs pandemisini istismar ederek mesajlarını yeni çevrimiçi hizmetlerden gelen e-postalar şeklinde gizliyor. Örneğin 2020'nin ilk çeyreğinde COVID-19 ile mücadeleye yardımcı olmak için para transferi vaadiyle ortalıkta dolaşan birçok e-posta vardı. İşletmeye ait e-postaların istismarı (Business E-mail Compromise - BEC) tekniği sayesinde, suçlular e-posta yazışmaları yoluyla çalışanların güvenini kazanıyor. Kendilerini üçüncü şahıs, müteahhit ve hatta iş arkadaşı kılığına sokup, çalışanlara istediklerini yaptırıyorlar.
Kullanıcıları bu tür zor saldırılardan korumak için tasarlanan güvenlik çözümü, içeriği ve teknik özellikleri dahil olmak üzere e-postanın tüm parametrelerini hızlı bir şekilde analiz ederek güvenilir olup olmadığını tespit etmelidir. Makine öğrenimi bu işi halledebilir.
Bu durumda iki ML modeli olmalıdır. Birinci model e-postaların teknik parametrelerini (başlıklar gibi) otomatik olarak analiz eder. Gerçek e-postalardan gelen yüz milyonlarca veri kaydı üzerinde eğitim alır ve e-postanın kötü amaçlı olduğunu kanıtlayan teknik izlerin kombinasyonlarını tanımayı öğrenir. Ama bu karar vermek için yeterli değildir.
İkinci model, içeriğine göre bir e-postanın kötü niyetli olup olmadığını tespit eder. Saldırganlar, istenen duygusal etkiyi elde etmek için metinlerinde duygusal dilin yanı sıra harekete geçirici net mesajlar (örneğin, "paketiniz teslim edilemedi, verilerinizi burada güncelleyin") kullanır. Model, kimlik avı mektuplarının tipik özelliği olan bu tür kelimeleri ve cümleleri tanır.
Bu iki model daha sonra her iki sonucu ilişkilendirir ve nihai kararı verir.
Android için mobil tehditlere karşı makine öğrenimi
2020'de Kaspersky araştırmacıları 2019'a kıyasla iki milyon daha fazla, toplamda beş milyonun üzerinde mobil tehdit artışı tespit etti[1]. Mobil koruma kapsamındaki en önemli görevlerden biri, son zamanlarda sahada ortaya çıkan bilinmeyen kötü amaçlı tehditlere karşı güvenlik sağlamaktır.
iOS cihazlarda geniş bir kitleye yönelik uygulamaların yüklenmesi yalnızca Apple tarafından sıkı bir şekilde denetlenen App Store üzerinden mümkündür. Android cihazlarda ise kullanıcılar çeşitli kaynaklardan ve uygulama pazarlarından uygulamalar yükleyebilir. Ne yazık ki, siber suçlular bazen oyunlar, faydalı yazılımlar ve benzer kılıklarda uygulamalara kötü amaçlı yazılımlar hazırlayarak bu durumdan yararlanır. Bu aşamada tehditleri etkili ve hızlı bir şekilde tespit etmek için ML'ye ihtiyaç vardır.
Kullanıcının cihazındaki ML aracısı, gerekli erişim izinleri veya dahili yapıların sayıları ve boyutları gibi belirli özellikler için indirilen her uygulamayı tarar. Toplanan meta veriler, bu parametre setinin uygulamanın kötü amaçlı olarak sınıflandırılmasına neden olup olmadığına karar verecek bulut tabanlı ML modeline gönderilir. Ardından model, dosyanın kötü amaçlı olup olmadığını belirten bir yanıt gönderir ve cihazdaki koruma ürünü, uygulamanın indirilmesini ve yüklenmesini engellemeye karar verir.
Bu şekilde yapılacak ML analizi bir mobil cihazın sahip olduğundan çok daha fazla bilgi işlem kaynağı gerektirir. Bu nedenle işlem bulutta gerçekleştirilir.
Ekipman arızalarını önlemek için makine öğrenimi
Ekipman arızaları, yanlış yapılandırmalar, insan hatası veya bilgisayar korsanlarının saldırıları, endüstriyel ekipmanların bozulmasına neden olabilir. Bunlardan herhangi biri meydana gelirse, üretim süreçlerindeki sapmayı en kısa sürede tespit etmek gerekecektir. Aksi takdirde olay kontrolden çıkabilir ve en iyi ihtimalle hizmette aksamaya, en kötü ihtimalle kazaya neden olabilir.
Sorun, bir olayın erken belirtilerinin gerçek operatörler tarafından tespit edilmesinin neredeyse imkansız olmasıdır. Cihazlardan her saniye binlerce telemetri verisinin aktığı bir ortamda, deneyimli bir operatör bile yalnızca birkaç kalıba odaklanarak kalanını gözden kaçırabilir.
Anomali algılamaya yönelik makine öğrenimi (MLAD) burada devreye girer. Yapay sinir ağı çok büyük miktarda telemetri verisini analiz edebilir, makinenin çalışmasına dair tüm nitelikleri kontrol altında tutabilir ve makinenin normal koşullar altında nasıl davrandığını kapsamlı bir şekilde öğrenebilir.
ML modelinin eğitimi tamamlandığında, model anomali algılama moduna geçer. Daha sonra gerçek zamanlı olarak telemetri alır ve model ile gözlem arasındaki fark belirli bir eşiğin üzerine çıktığında, makinenin davranışını anormal kabul ederek alarmı tetikler. Bu model, başka herhangi bir cihaz olası sorunu tespit etmeden önce saldırılar, arızalar veya yanlış yönetim konusunda erken uyarı verebilir. Böylece hasarı en aza indirmeye ve üretimin durmasını önlemeye yardımcı olur.
Gelişmiş siber saldırılara karşı makine öğrenimi
Bazı durumlarda, yönetilen tehdit algılama ve yanıt (MDR) hizmetleri gibi gelişmiş tehditlere karşı insan zekasını tamamlayacak makine öğrenimi teknikleri kullanılabilir.
Bir MDR hizmetinde harici bir güvenlik operasyon merkezi (SOC), kurumsal müşterilerin gelişmiş siber saldırılara yanıt vermesine yardımcı olur. Müşteri uç noktalardan uyarılar alır, saldırıların izini sürmek için bunları araştırır ve müşteriye rapor gönderir. SOC uzmanları bazı tehdit örneklerini manuel olarak analiz etse de, ölçek göz önüne alındığında fiziksel olarak her uyarıya bakmaları mümkün olmayabilir.
Makine öğrenimi bu yükü kaldırabilir. SOC analistlerinin ilgisini çekmeyen uyarıları otomatik olarak filtreler, uyarı önem seviyelerini belirler ve analiz için ipuçları verir. Bu, kapasitelerini korur ve ortalama yanıt verme süresini en aza indirir.
Eğitim modu sırasında model uyarıları analiz eder ve puanlar. Puan ne kadar yüksek olursa, uyarının uzmanlar tarafından gözden geçirilmesi olasılığı o kadar yüksek olur. Belirli bir eşiğin üzerindeki puana sahip uyarılar, bunları manuel olarak etiketleyen ve ML modeli için eğitim verilerini zenginleştiren SOC analistlerine gönderilir.
Mücadele modunda model bazı uyarıları çözer ve geri kalanı manuel işlem için önceliklendirir. En önemlileri, yani en yüksek puana sahip olanlar işlenmek üzere sıranın başına koyulur. Bu kuyruk stratejisi, uyarıların ortalama işlem süresini azaltır ve iyi SLA'nın sunulmasına olanak tanır.