Salam əziz dostlar,
Bu gün sizə kibertəhlükəsizlik sahəsində çox vacib olan iki anlayış – False Positive və False Negative haqqında danışacağıq. Bu anlayışlar təhlükələrin düzgün və ya səhv aşkarlanması ilə bağlıdır. Gəlin onları sadə dildə, real həyatdan misallarla və asan başa düşüləcək şəkildə öyrənək.
False Positive nədir?
False Positive sistemin əslində təhlükəli olmayan bir şeyi təhlükə kimi görməsidir. Bu vəziyyətə yalnış müsbət nəticə deyilir. Məsələn, adi bir fayl virus kimi tanınıb bloklana bilər. Antiviruslar bəzən normal proqramları zərərli kimi təsnif edə bilər. Bu zaman istifadəçi səbəbsiz narahatlıq keçirir. Sistemdə gərəksiz xəbərdarlıqlar yaranır. Bu xəbərdarlıqlar təhlükəsizlik analitiklərinin diqqətini yayındıra bilər. Belə siqnallar SIEM sistemlərində boş yerə log yığılmasına səbəb olur. Əgər çoxlu false positive varsa, analitiklər əsl təhlükəni gözdən qaçıra bilər. False positive təhlükəsizlik sistemlərinin səhvən şübhəli gördüyü hallardır. Əslində bu cür hallar sistem üçün zərərsiz olur. Lakin alarmlar sanki ciddi təhlükə varmış kimi davranır. Bu, insan resurslarına və vaxtına mənfi təsir edir. Gündəlik işlərin axını pozulur. Təhlükəsizlik komandasının məhsuldarlığı azalır. Xəbərdarlıqların sayının artması stress yaradır. İT şöbəsi daima bu siqnalları yoxlamağa məcbur qalır. Ən pisi isə budur ki, istifadəçilər təhlükəsizlik sisteminə inamlarını itirə bilər. Çoxlu yalnış siqnallar gələndə real siqnallar arxa plana keçir. Bu da təhlükələrin gec aşkarlanmasına səbəb ola bilər. False positive-lər SIEM, IDS/IPS və antivirus sistemlərində tez-tez rast gəlinir. E-poçt filtrləri də bəzən normal mesajları spam kimi qəbul edir. Məsələn, müştəridən gələn e-mail sistem tərəfindən bloklana bilər. Bu zaman biznes prosesləri zərər görə bilər. Məlumat itkisi və ya gecikməsi baş verə bilər. Bu isə istifadəçi məmnuniyyətinə birbaşa təsir edir. Yalnış siqnallar həm texniki heyət, həm də rəhbərlik üçün problem yaradır. Resurs itkisinə yol açır. Əgər bu hallar davamlı olarsa, təhlükəsizlik sistemləri deaktiv edilə bilər. Bu isə əsl təhlükələrə qarşı müdafiəni zəiflədir. Bəzi hallarda sistem administratorları belə alarmları tamamilə görməməzliyə vururlar. Bu, son dərəcə risklidir. Məsələn, firewall sistemləri normal trafikə mane ola bilər. Bu, istifadəçilər üçün çətinliklər yaradır. Normal proqramların işləməsi dayanır. Bununla da biznes fasiləyə uğrayır. Müştəri məmnuniyyəti azalır. Yalnış həyəcan siqnalları reputasiyaya da mənfi təsir edir. Məsələn, normal bir istifadəçinin hesabı bloklana bilər. Bu da narazılığa səbəb olur. Sistemdə etibar problemi yaranır. False positive-ləri azaltmaq üçün düzgün qaydalar yazılmalıdır. SIEM qaydaları konkret və məqsədəuyğun olmalıdır. Əlavə olaraq süni intellekt və maşın öyrənmə texnologiyalarından istifadə edilə bilər. Bu sistemlər zamanla özünü öyrədərək yalnış siqnalları azalda bilər. Whitelisting (etibarlı siyahı) metodundan istifadə faydalı ola bilər. Beləliklə, normal davranışlar sistemə tanıdılır. Hər bir qayda kontekstə uyğun şəkildə tənzimlənməlidir. False positive halları təhlil edilməli və səbəbləri müəyyənləşdirilməlidir. Təhlükəsizlik alətləri düzgün konfiqurasiya edilməlidir. Fərqli mənbələrdən gələn məlumatlar uyğunlaşdırılmalıdır. Məsələn, virus siyahıları, reputasiya xidmətləri və s. False positive-ləri minimuma endirmək üçün real test ssenariləri qurulmalıdır. Təhlükəsizlik sistemlərinin optimallaşdırılması bu işdə mühüm rol oynayır. Analitiklər müntəzəm olaraq qaydaları yeniləməlidirlər. İnfrastrukturdakı dəyişikliklər sistemə əks olunmalıdır. False positive-lər təkcə texniki məsələ deyil, həm də idarəetmə problemidir. Təhlükəsizlik siyasətləri də bu sahədə rola malikdir. İstifadəçilərə düzgün məlumat verilməlidir. Onlar false positive halları barədə məlumatlı olmalıdırlar. Təhlükəsizlik üzrə təlimlər də buna kömək edir. İT komandası bu siqnalların nə olduğunu başa düşməlidir. Gündəlik monitorinq işində filtrləmə vacib rol oynayır. False positive-ləri süzgəcdən keçirmək SIEM alətləri ilə mümkündür. Hər təşkilat öz risk profilinə uyğun şəkildə qaydalarını qurmalıdır. Yəni, hər sistem üçün doğru olan yanaşma fərqli ola bilər. Bəzi hallarda risk almaq daha məqsədəuyğundur. Çünki çoxlu yalnış siqnallar təhlükəsizlik sisteminin işini çətinləşdirir. Balanslı yanaşma vacibdir. Nə çox sərt, nə də çox boş olmamalıdır. Təhlükəsizlik sistemlərinin effektivliyi false positive-lərin azlığı ilə ölçülə bilər. Bunun üçün mütəmadi təhlil və yoxlamalar aparılmalıdır. Geri bildirimlər toplanmalı və sistem təkmilləşdirilməlidir. Təhlükə aşkarlama alqoritmləri təhlil edilməli və lazım gəldikdə yenilənməlidir. Əlavə süzgəclər tətbiq olunmalıdır. Bu, analitiklərin işini asanlaşdırır. False positive-lərin azaldılması sistemin ümumi performansına da müsbət təsir edir. Analitiklər əsl təhdidlərə fokuslana bilir. Sistemdə səmərəli işləmə mühiti yaranır. Təhlükələr daha tez və effektiv aşkarlanır. Təşkilat kibertəhlükələrə qarşı daha dayanıqlı olur. Bu da biznesin davamlılığına töhfə verir. False positive halları idarə oluna bilən səviyyədə saxlanmalıdır. Bu, effektiv təhlükəsizlik üçün əsas şərtlərdən biridir.
2: False Negative nədir?
False Negative – sistemin əsl təhlükəni görməməsi halıdır. Bu vəziyyət yalnış mənfi adlanır. Məsələn, zərərli bir proqram sistemdə işləyir, amma antivirus onu tanımır. Bu zaman sistem təhlükə altında qalır. Hücum real olsa da, sistem heç bir xəbərdarlıq vermir. Bu, çox ciddi təhlükədir. Çünki müdaxilə üçün gec ola bilər. Əgər sistem təhlükəni aşkar etmirsə, zərər daha da böyüyə bilər. Məsələn, bir ransomware hücumu sistemdə yayılır, lakin SIEM sistemi onu görmür. Bu halda bütün fayllar şifrlənə bilər. İstifadəçilər məlumatlarını itirə bilər. Backup yoxdursa, itki daha da ağır olur. False negative halları hücumların gec aşkar edilməsinə səbəb olur. Bu, hücum edənə sistemdə daha uzun qalmaq imkanı verir. Adətən bu zaman hücumçular lateral movement edir. Yəni sistemin digər hissələrinə keçir. Daha çox məlumat toplayır. Sistemə dərinləşir. Administratorlar isə heç bir şübhəli fəaliyyət görmür. Bu, təşkilat üçün böyük risktir. Xüsusilə də bank, hökumət və səhiyyə kimi kritik sahələrdə. False negative halları SIEM, EDR və NDR sistemlərində rast gəlinə bilər. Bəzən qaydalar çox dar yazılır. Bəzən isə təhlil üçün kifayət qədər məlumat yoxdur. Nəticədə sistem riskləri gözdən qaçırır. Bu hallarda hadisələr sonradan audit zamanı aşkarlanır. Lakin bu çox gec olur. Zərərlər artıq baş vermiş olur. Məsələn, məlumat sızması baş verir və istifadəçi məlumatları oğurlanır. Bu da hüquqi və maliyyə problemlərinə yol açır. False negative hallarını azaltmaq üçün qaydalar daha geniş yazılmalıdır. Hər bir anomaliya diqqətlə təhlil edilməlidir. Təkcə signature əsaslı yanaşma kifayət etmir. Heuristik və davranış əsaslı analizlər də tətbiq olunmalıdır. Süni intellekt bu sahədə dəstək ola bilər. Davamlı şəkildə loglar analiz olunmalıdır. Anormal fəaliyyətlər seçilməli və yoxlanılmalıdır. Təhlükə kəşfi üçün təlim keçmiş komandalar olmalıdır. Hücum simulyasiyaları false negative hallarını tapmağa kömək edə bilər. Bu metod Red Team testləri ilə həyata keçirilir. Sistem real ssenarilər altında yoxlanılır. False negative aşkarlanan kimi qaydalar yenilənməlidir. Ən təhlükəli hücumlar false negative nəticəsində baş verir. Çünki sistem heç nə demədiyi üçün müdaxilə də olmur. Bu, təşkilatın reputasiyasına böyük zərbə vura bilər. Məsələn, müştəri məlumatları sızır və bu mətbuata çıxır. Bu cür hallarda cərimələr və müştəri itkisi baş verir. False negative halları təkcə texniki deyil, idarəetmə problemi də yaradır. Təhlükəsizlik komandaları cavab verməkdə çətinlik çəkir. Təhlükənin mənbəyi uzun müddət tapılmır. Sistemdə gizli qapılar qala bilər. Hücumçu bu qapılardan təkrar girə bilər. Qayda və siyasətlərin qeyri-kafi olması bu hallara səbəb olur. False negative riskini azaltmaq üçün tədbirlər görülməlidir. Monitorinq alətləri daha effektiv istifadə olunmalıdır. Logların vizuallaşdırılması təhlili asanlaşdırır. Qaydalarda elastiklik olmalıdır. Konteksdən asılı təhlil aparılmalıdır. Fərqli təhlükə mənbələri müqayisə olunmalıdır. Reputasiya xidmətləri istifadə edilməlidir. Təhlükə səviyyəsi yüksək olan fəaliyyətlər dərhal yoxlanmalıdır. Bütün şəbəkə trafiki təhlil edilməlidir. Təhlükələrə qarşı avtomatik cavab mexanizmləri qurulmalıdır. Təhlükə yarandıqda sistem özünü qoruya bilməlidir. Hər bir insidentdən sonra dərs çıxarılmalıdır. Təhlillər nəticəsində qaydalar daha da təkmilləşdirilməlidir. Komanda üzvləri mütəmadi təlim keçməlidir. Təşkilatda təhlükəsizlik mədəniyyəti formalaşdırılmalıdır. False negative-lər yalnız texnologiya ilə deyil, insan təcrübəsi ilə də aşkarlana bilər. Təhlükəsizlik mütəxəssisləri fərqli düşünməlidir. Anormallıqları hiss etmək üçün təcrübə vacibdir. Logların dərindən təhlili bu halları üzə çıxarır. Təhlükə modelləri qurulmalıdır. Hücum zənciri analiz edilməlidir. Anomaliyalar müəyyən edilməlidir. Davranış əsaslı profil sistemi qurulmalıdır. False negative-lər sistemin zəif yerlərini göstərir. Bu zəifliklər aradan qaldırılmalıdır. Test ssenariləri ilə sistem davamlı yoxlanmalıdır. Qaydalarda düzəlişlər edilməlidir. Müşahidə edilən bütün nəticələr qeydə alınmalıdır. Təhlükəsizlik sistemlərinin gücü false negative-ləri azalda bilməsi ilə ölçülür. Əgər sistem əsl təhlükəni görmürsə, deməli o sistem effektiv deyil. Yekun olaraq false negative – görünməyən təhlükədir. Onu tapmaq üçün həm texnologiya, həm də insan resursları birlikdə çalışmalıdır.
