Uzun yıllar boyunca, güvenlik izleme, NetFlow gibi veri türleri aracılığıyla OSI modelinin 4. katmanından veri toplamaya dayanıyordu. 4. katman verileri taşıma katmanıyla ilgilendiğinden, en bilgilendirici değildir – ancak bir süre için güvenlik ekiplerinin güvenilir bir şekilde erişebildiği ve verimli bir şekilde sorgulayabildiği şey buydu. Ardından, teknoloji geliştikçe, güvenlik ekipleri kendilerini çok daha zengin bir veri kümesine erişirken buldular: 7. katman verisi. Proxy günlükleri, DNS günlükleri, paket yakalama (PCAP) ve diğer katman 7 veri kaynakları kullanılabilir hale geldi ve bu, güvenlik ekipleri için oyunun kurallarını değiştirdi.
Katman 7 verileri, uygulama katmanını sorgulamamızı sağlar. Özellikle, Web ve mobil gibi dijital kanallarla ilgili olduğu için, katman 7 verileri, son kullanıcı uygulama oturumunda neler olduğunu anlamamızı sağlar. Bu bize son kullanıcının etkinliğiyle ilgili temel bağlamı verir. Ne yazık ki, 7. katman verileri olan bitenin “nasıl” olduğunu anlamamıza izin vermiyor. “Son kullanıcı nasıl davranıyor?”, “Son kullanıcının amacı nedir?” ve “Bu son kullanıcı etkinliği meşru mu?” gibi sorular. ancak 7. katmanın ötesine bakılarak yanıtlanabilir.
“Ne”nin arkasındaki “nasıl” amacını anlamak için, oturumdaki son kullanıcının davranışını yakından incelememiz gerekir. Bu ek davranışsal içgörü, bir kuruluşun meşru trafiği dolandırıcılıktan ayırma yeteneği için kritik öneme sahiptir. Başka bir deyişle, bir uygulamanın meşru kullanımı ile o uygulamanın kötüye kullanılması (yani dolandırıcılık) arasındaki fark, etkinlikten sorumlu son kullanıcının amacıdır. Dolandırıcılık kavramına bu şekilde baktığımızda, son kullanıcının uygulama oturumu içinde “ne” yaptığına ilişkin görünürlüğün yeterli olmadığını görmek kolaydır. Ayrıca bunu “nasıl” yaptıklarına dair görünürlüğe ihtiyacımız var.
Hileli Kullanım İşareti Verebilecek Davranışlar
Bazı insanlar, OSI modelinin 7. katmanının üzerindeki bu son kullanıcı katmanına şu şekilde atıfta bulunur: katman 8. ve olarak susam sokağı şarkısı sekiz harika diyor. Şimdi, 8. katman verilerinin dolandırıcılığı daha iyi tespit etmemize yardımcı olabileceği bazı yöntemlere bir göz atalım.
Optimize edilmiş fare hareketleri. Meşru kullanıcılar, bir uygulamayla etkileşime girerken çok rastgele fare hareketlerine sahip olma eğilimindedir. Nedeni basit: Meşru kullanıcılar uygulama ile “profesyonel olarak” etkileşimde bulunmuyorlar ve bu nedenle fare hareketlerini optimize etmek için herhangi bir ihtiyaç veya teşvike sahip değiller. Öte yandan, onlarca, yüzlerce veya binlerce hesaba hileli olarak erişmeye çalışan dolandırıcılar, zaman kazanmak için fare hareketlerini optimize etmek için her türlü motivasyona sahiptir.
Yapıştırma. Sizi bilmem ama ben sık sık kullanıcı adımı ve parolamı veya ad ve soyadımı bir metin dosyasından kesip yapıştırmam. Görünüşe göre, çoğu meşru kullanıcı da yok. Dolandırıcılar, tahmin edebileceğiniz gibi, özellikle hesap devralma (ATO) söz konusu olduğunda bunu oldukça sık yaparlar.
Garip anahtarlar. Meşru bir kullanıcıysanız, bir uygulamayla etkileşim kurarken oldukça standart bir harf, sayı ve özel karakter seti kullanma ihtimaliniz vardır. İşlev tuşlarını, klavye kısayollarını veya diğer olağandışı kombinasyonları kullanmanız pek olası değildir. Ancak zaman kazanmak isteyen dolandırıcılar genellikle tam olarak bunu yaparlar.
Bir imza cihazı. Dolandırıcıların genellikle tam istedikleri gibi yapılandırdıkları bir veya birkaç favori cihazı vardır. Dolandırıcılar, aynı uygulamada nispeten çok sayıda hesapta oturum açmak için genellikle aynı cihazları kullanır. Bu nedenle, doğru ve güvenilir cihaz tanımlamasına yatırım yaparsak ve cihaz bazında oturum açma işlemlerini izlersek, bu bilgiyi genellikle ne zaman bir dolandırıcılık oturumuyla karşı karşıya olabileceğimizi anlamak için kullanabiliriz.
Diğer hileler.
Sahtekarlar, meşru kullanıcılar gibi görünmeye çalışmak için genellikle ortam sahtekarlığına, VPN’ye ve diğer hilelere güvenir. Meşru kullanıcılar bunu çok daha az sıklıkla yapıyor, ancak yine de oluyor.
Yukarıdaki kullanıcı davranışları, meşru kullanıcılar ve dolandırıcılar arasındaki davranış farklılıklarına birkaç örnektir. Bu davranışların hiçbiri tek başına bize belirli bir oturumun meşru mu yoksa hileli mi olduğunu %100 kesin olarak söyleyemez. Bununla birlikte, bize “ne”nin arkasındaki “nasıl” konusunda değerli bilgiler sağlayabilirler. Bu da dolandırıcılığın ne olduğu konusunda çok daha doğru değerlendirmeler yapmamıza yardımcı olabilir. Son kullanıcı davranışını anlamak (katman 8 verileri), algılama oranlarımızı artırmamıza ve aynı zamanda yanlış pozitif oranlarımızı düşürmemize olanak tanır.