Ontoloji: Bu Yeni Yaklaşım CISO'ların Ebedi Sorunlarını Çözmeye Yardımcı Olabilir mi?

Ontoloji: Bu Yeni Yaklaşım CISO'ların Ebedi Sorunlarını Çözmeye Yardımcı Olabilir mi?

Kaspersky Ticari Faaliyetlerden Sorumlu Başkan (CBO)- Alexander Moiseev

Büyük bir organizasyonun CISO'sunu hayal edin. Görevleri şirketin altyapısını korumanın en iyi yolunu bulmak, verimliliği ve yatırımı dengelemek ve aynı zamanda mevzuata uygunluğu sağlamaktır. Bu tür görevler genellikle birkaç aşamada çözülür ve deneyime, iç ve dış uzmanlığa, belirli hizmetlerde korumanın önceliklendirilmesine vb. dayanır. Bu geleneksel olarak uygulanan bir yöntemdir. Peki başka bir yol var mı?

Kaspersky’de sürekli olarak teknolojileri analiz ediyoruz ve bunları siber güvenlik alanında kullanmak için fırsatlar arıyoruz. Bu makalede hakkında sıkça konuşulmayan, ancak müşterilerin acil sorularını yanıtlamalarına yardımcı olabilecek “ontoloji” adlı yeni bir tür yaklaşımdan bahsedeceğiz.

Ontoloji neyin gizli olduğunu ortaya çıkarır

Bilimsel tanımıyla ontoloji nesnelerin belirli bir alanının, özelliklerinin ve aralarındaki ilişkilerin sistematik olarak açıklanmasıdır. Örneğin bu 'Game of Thrones' veya 'Star Wars' evrenindeki tüm kahramanların, süper güçlerin, silahların ve diğer niteliklerin yanı sıra aralarındaki mantıksal ilişkilerin, kimin kimi nasıl etkilediğinin bir listesi olabilir.

Ontoloji her şeyi tanımlayabilir. Örneğin hayvanlar aleminin tamamını kapsayabileceği gibi, yalnızca memelileri veya yalnızca Amazon Nehri'nde yaşayanları ele alabilir. Alternatif olarak farklı şaraplara veya enerji türlerine de odaklanabilir.

Bu neden gerekli? Yaklaşıma ve kullanılan dile bağlı olarak (OWL web ontoloji dili gibi) gizli bağlantıları, eksik ayrıntıları ve görülmesi zor olan diğer gerçekleri hızlı bir şekilde ortaya çıkarmak için ontolojik tanımlama yapabilen ve analiz edebilen araçlar geliştirmek mümkündür. Örneğin bir çizgi roman süper kahraman evreninin ontolojisini böyle bir araç yardımıyla analiz edersek, belirli bir antagonisti minimum çabayla yenebilecek en iyi kahramanları bulabiliriz.

Bu araçlardan biri Stanford Üniversitesi'nde geliştirilen ve başlangıçta biyomedikal verileri analiz etmek için tasarlanan Protégé platformudur. Bu ontoloji oluşturma için faydalanılabilecek ücretsiz bir açık kaynaklı projedir.

Ontolojiyi kullanarak en iyiyi belirlemek

Siber güvenliğe geri dönersek, gizli içgörüleri ortaya çıkarmak için de aynı yaklaşımı kullanabiliriz. Bu kavram ilk bakışta makine öğrenimi yeteneklerine benzer görünebilir, ancak farklılıklar vardır. Makine öğrenimi modelleri çok büyük miktarda veriyi analiz eder ve buna dayanarak yepyeni bir nesne hakkında bir tahmin yapar. Örneğin bir model 100 kötü amaçlı e-postayı inceleyebilir ve belirli parametrelerini öğrenebilir. Model, bu parametrelerden bazılarına sahip yeni bir e-posta gördüğünde bunun da kötü amaçlı olduğu sonucuna varır.

Ontoloji de büyük miktarda veriyi analiz etmekle birlikte, verilen parametrelerin mantıksal olarak izlenmesiyle görünür olmayan bilgileri ortaya çıkarır. Elde edilen ön bilgiler yeni nesneye aktarmaz. Ontolojide A e-postasının kimlik avı olduğunu ve tüm kimlik avı e-postalarının kötü amaçlı olduğunu belirtirsek, ardından B e-postasının da kimlik avı olduğunu belirtirsek, ontoloji bize B e-postasının kötü amaçlı olduğu mantıklı sonucunu verir. Buna bir C e-postası eklersek, ancak herhangi bir özellik eklemezsek elimizde bir sonuç olmaz.

Örneğin belirli bir şirketin BT güvenlik mimarisini, fidye yazılımı gibi belirli bir siber tehditten korunma açısından analiz edebiliriz. Bunu yapmak için fidye yazılımı koruma önlemlerinin ontolojisini bir platforma ekler ve şirketin mevcut fidye yazılımı önleme önlemlerinin listesiyle birleştiririz. Bu, çizgi roman süper kahramanlarının analizine benzer şekilde korumanın yeterli olup olmadığını veya bazı yönlerden eksik olup olmadığını ortaya çıkarır. Bu analiz BT güvenlik ekibinin savunma planını ayarlamasına yardımcı olacaktır.

Endüstriyel ağlardaki bir BT güvenlik sisteminin belirli bir standarda (IEC, NIST veya başka herhangi biri gibi) ne ölçüde uyumlu olduğunu anlamak için pratik bir örnek daha verelim. Bunu başarmak için standardın (ontoloji) ayrıntılı açıklamasına ihtiyaç vardır. Ardından müşteri, korunacak nesneleri tanımlayan ve güvenlik çözümlerini içeren koruma ontolojisiyle eşleştirilmesi gereken OT güvenlik şemasını araca yükler. Araç koruma sisteminin bu standarda ne ölçüde uyduğunu, neyin gözden kaçırıldığını veya neyin daha etkili bir şekilde yapılabileceğini hesaplar.

Bu elbette manuel olarak da yapılabilir. Ancak çağdaş yaklaşımlar süreci hızlandırır, maliyeti düşürür ve hata olasılığını ortadan kaldırır. Tüm tehditlerin ontolojisi söz konusu olduğunda aynı yöntem kuruluşların nasıl hedeflediklerini anlamak ve tehdit modellemesi yapmak için kullanılabilir.

Gerçekten de işe yarıyor mu?

Ontoloji henüz moda bir sözcük haline gelmedi, ancak bazı BT hizmetlerinde zaten kullanımı var. Bu yaklaşıma kişiler, yerler ve koşullar arasındaki mantıksal bağlantıları ortaya çıkarmak ve analiz etmek için adli tıpta sıkça başvuruluyor. Palantir, ABD'deki güvenlik ekiplerine yardımcı olmak için böyle bir sistem geliştirdi.

Ontoloji ayrıca kalıpları ortaya çıkarmak için kullanıcı davranışını da tanımlayabilir. Sosyal medya ve paylaşım hizmeti Pinterest, kullanıcılarının tepkilerini ve eylemlerini analiz eden bir mekanizma kullanır. Bu veriler daha sonra daha iyi içerik önerileri ve hedeflenen reklamlar için kullanılır.

Bunlar sadece birkaç örnek. Bu yaklaşım pek çok özel görev için kullanılabilir. Biz Kaspersky'de bu kavramın siber güvenlik ve ötesinde birçok potansiyeli olduğunu görüyoruz. Tabii ki yapılacak çok iş var. Ancak bu tür projeler tüm güvenlik sektörü için büyük bir itici güç olmak adına öncü ve girişimci ruhu destekliyor.