En kötüsü güvenlik ihlaller nadiren tantanayla başlar. Aksine, en tehlikeli saldırılar, çevreyi sessizce aşan ve savunucular habersizken yayılmaya başlayan saldırılardır. Saldırıyı felakete dönüştüren şey, saldırganların sistem içinde radar altında geçirdikleri zamandır.
Ancak yıllardır önleyici araçlara yapılan yatırımlara rağmen kuruluşların saldırganları içeri girdikten sonra tespit etme ve kontrol altına alma konusunda hâlâ sürekli olarak mücadele ettiğini görüyoruz.
Illumio’da Endüstri Stratejisinden Sorumlu Başkan Yardımcısı.
Çoğu zaman eksiklik, görünürlük veya güvenlik uyarılarının eksikliği değil, netlik eksikliğidir. Günümüzün hibrit ortamlarında esneklik, her tehdidi engellemeye daha az, halihazırda erişilebilen tehditleri tespit etmeye daha fazla bağlıdır.
Algılama ve gerçek görünürlük arasındaki büyüyen uçurum
Güvenlik ekiplerinin giderek daha fazla bunaldığı bir sır değil ve rakamları incelemeye başladığınızda bunun nedenini anlamak kolaydır.
Araştırmamız, tipik bir kuruluşun her gün 2.000’den fazla uyarıyla karşı karşıya olduğunu ve bunların çoğunun gerçek değeri çok az olan gürültüden kaynaklandığını gösteriyor.
Analistler her hafta 14 saatten fazla zamanını hatalı pozitif sonuçların peşinde harcıyor ve liderlerin üçte ikisi ekiplerinin buna ayak uyduramayacağını kabul ediyor. Kaçırılan uyarılar, saldırganların erken durdurulması için hızla kaçırılan fırsatlara dönüşür.
Alet karmaşıklığı soruna katkıda bulunur. Çoğu kuruluş artık birden fazla kullanıyor olsa da bulut Tespit ve müdahale platformlarının neredeyse tamamının (%92) hala önemli yetenek boşlukları bildirdiğini gördük.
Daha veri her zaman daha iyi tespit anlamına gelmez ve örtüşen sistemler parçalanmış görünürlük ve çelişkili bilgiler yaratır. Bu sinyalleri birbirine bağlayacak anlamlı bir bağlam olmadığında, savunucular gerçekten neyin önemli olduğunu görmek yerine hikayenin parçalarını bir araya getirmek zorunda kalıyor.
Yanal hareket neden saldırganın en sevdiği kör nokta olmaya devam ediyor?
Sinyali gürültüden ayırmanın yaygın zorlukları, giderek düşük ve yavaş taktikleri tercih eden tehdit aktörleri için büyük bir nimettir. Bir kuruluşa girdikten sonra hemen harekete geçmek yerine genellikle ağ üzerinden sızarak ayrıcalıkları yükseltir, iş yüklerini araştırır ve hassas sistemleri ararlar.
Bu yanal hareket, küçük ihlallerin büyük operasyonel krizlere dönüştüğü yerdir ve bir saldırının tespit edilmesi en zor aşamalarından biri olmaya devam etmektedir.
Bu, siber saldırganların karşılığını alıyor; yaklaşık 10 kuruluştan 9’u, geçtiğimiz yıl yanal hareketle ilgili bir olay yaşadıklarını söylüyor. Ortalama olarak, bu ihlaller yedi saatten fazla kesinti süresine neden oldu; devam eden operasyonel kesinti ve tam kurtarma süreci daha da uzun sürdü.
Bu olaylar devam ediyor çünkü modern hibrit ortamlardaki doğu-batı trafiği tam olarak anlaşılamıyor. Kuruluşlar öyle olduklarına inansalar bile izleme Dahili iletişim etkili bir şekilde sağlanıyorsa, bu trafiğin neredeyse %40’ı güvenilir analiz için gereken bağlamdan yoksundur.
Saldırganlar, savunucuların aşırı yüklendiği, kararsız olduğu veya meşru faaliyetleri ağ üzerinden yayılan bir izinsiz girişin erken işaretlerinden ayırt edemediği durumlarda başarılı olur.
Gözlemlenebilirliğin önemi
Bu tehditlere karşı etkili savunma, derinlemesine gözlemlenebilirlik gerektirir. Endüstri organlarından bu yönde devam eden bir baskı var; örneğin Birleşik Krallık’ın Ulusal Siber Güvenlik Merkezi (NCSC) yakın zamanda kılavuz yayınladı.
NCSC, kuruluşların göremedikleri tehditleri avlayamayacaklarını ve geleneksel uzlaşma göstergelerinin artık yeterli olmadığını vurguluyor. Bunun yerine savunucuların, saldırganın halihazırda hareket halinde olduğunu ortaya çıkaran ince sinyalleri ortaya çıkarmak için davranışlar, kalıplar, kimlikler, iş yükleri ve doğu-batı trafiği genelinde görünürlüğe ihtiyacı var.
Bu, izleme yeteneklerine olan yaygın güvene rağmen, iç trafik için bağlam eksikliğine ilişkin kendi analizimizle yakından uyumludur.
Gözlemlenebilirlik daha fazla günlük toplamanın ötesine geçmelidir. Sistemlerin zaman içinde nasıl ilişki kurduğunu, nasıl davrandığını ve değiştiğini anlamayı ve bu öngörüleri bir saldırgandan önce bağlamayı gerektirir.
Neden bağlam, korelasyon ve kontrol altına alma uyarı avcılığının yerini almalı?
Yıllardır güvenlik programlarının artan saldırı hacimlerine daha fazla veri toplayarak tepki verdiğini gördük. Ancak bu yaklaşım, ayak uydurmak şöyle dursun, genellikle yalnızca alarm yorgunluğunu yoğunlaştırmaya hizmet eder.
Çünkü büyük porsiyonlar ağ Trafik hâlâ anlamlı bir araştırma için gereken bağlamdan yoksun olduğundan analistler, saldırgan davranışına odaklanmak yerine önceliklendirilmemiş uyarıları gözden geçirmek zorunda kalıyor.
Güvenlik ekiplerinin ihtiyaç duyduğu şey, yalıtılmış sinyaller değil, ortamlarının bağlantılı bir görünümüdür. Güvenlik grafikleri gibi bağlamsal modeller iş yükleri, kimlikler, cihazlar ve veri akışları arasındaki ilişkilerin haritalandırılmasına yardımcı olur.
Dağınık göstergeleri tutarlı bir resme dönüştürürler. Bir sistemdeki düşük seviyeli uyarı, başka bir yerdeki şüpheli davranışla ilişkilendirildiğinde aniden anlamlı hale gelebilir ve yalıtılmış anormallikler yerine saldırganın niyetini ortaya çıkarabilir.
Uyarı avcılığından yolları anlamaya doğru olan bu geçiş, ihlallerin kontrol altına alınması için çok önemlidir. Savunmacılar, sistemlerin nasıl etkileşimde bulunduğunu ve en hassas varlıkların nerede bulunduğunu görebildikleri zaman, bir saldırganın izleyebileceği rotaları belirleyebilirler.
Bu netlik, ekiplerin güvenle hareket etmesine, yanal hareketi yayılmadan önce yavaşlatmasına veya durdurmasına olanak tanır.
Yapay zeka, otomasyon ve insan muhakemesini sorumlu bir şekilde ölçeklendirme
Ortamlar genişledikçe, güvenlik verilerinin hacmi ve karmaşıklığı, insan analistlerin tek başına yönetebileceklerini aştı. Yapay zeka ve otomasyonun kritik bir rol oynadığı yer burasıdır.
Pek çok kuruluş, algılama doğruluğunu artırmak ve yanıt sürelerini hızlandırmak için yapay zeka ve makine öğrenimine yöneliyor; bu yetenekleri, yanal hareketleri daha erken tespit etme ve uyarı yorgunluğunun yükünü hafifletme açısından merkezi bir öneme sahip olarak görüyor.
Ancak yapay zekaya yatırım yapmanın her şeyi kendi başına çözeceğine inanmak bir hatadır. Yapay zeka, insan uzmanlığının yerine geçtiğinde değil, onu güçlendirdiğinde en etkilidir. Otomatik sistemler, hibrit ortamlardaki sinyalleri ilişkilendirebilir, bunları bağlamla zenginleştirebilir ve gürültüyü filtreleyebilir, böylece analistlere daha kesin bir başlangıç noktası sunabilir.
Örneğin, bir güvenlik grafiği yaklaşımıyla birleştirildiğinde yapay zeka destekli analiz, her iş yükünü ve bağlantıyı gerçek zamanlı olarak sürekli olarak çizebilir ve manuel olarak ortaya çıkarılması imkansız olan davranış kalıplarını vurgulayabilir.
Bu, daha hızlı, daha güvenli kararlara olanak tanıyan ve modern esnekliğin gerektirdiği hızlı kontrol altına almayı destekleyen bir güç çarpanı yaratır.
Yapay zeka destekli güvenlik grafikleri, görünüşte farklı ağ olaylarının noktalarını birleştirerek meşgul insan analistlerin izole edilmiş uyarıları görebileceği bağlantılı bir anlatı oluşturabilir.
Örneğin, bir iş yüküne erişen veritabanı Daha önce hiç erişilmeyen bir saldırının izi yanlış yapılandırılmış bir kimliğe kadar uzanabilir ve halihazırda istismar edilmekte olan bir saldırı yolunu açığa çıkarabilir.
Bunun iş dünyası ve BT liderleri için anlamı nedir?
Liderler için ileriye giden yol, dayanıklılığın bir saldırgan içeri girdikten sonra ne olacağına bağlı olduğunu kabul etmekle başlar. Bu, yalnızca çevre günlüklerine değil aynı zamanda kimliklere, iş yüklerine, bulut hizmetleri ve saldırıların nasıl gerçekleştiğini ortaya çıkaran doğu-batı trafiği.
Aynı zamanda, tehdit avcılığı ve hipoteze dayalı araştırmalarla desteklenen, tespit stratejilerinin davranışlara ve ilişkilere doğru değiştirilmesini de gerektirir. Otomasyon ve yapay zeka yardımcı olabilir, ancak bu yalnızca yüksek kaliteli, bağlamsallaştırılmış veriler temel alındığında mümkündür.
Son olarak başarı, engellenen tehditlerin sayısıyla değil, kuruluşların bir izinsiz girişi ne kadar hızlı tespit edebildiği, kontrol altına alabildiği ve kurtarabildiğiyle ölçülmelidir.
İhlaller artık hızlı hareket eden hibrit ortamlarda çalışmanın kaçınılmaz bir parçası. Önemli olan, bir kuruluşun bir şeylerin ters gittiğini ne kadar çabuk fark edebildiği ve etkiyi sınırlayabildiğidir.
En iyi şifreleme yazılımını sunduk.
Bu makale, günümüz teknoloji endüstrisindeki en iyi ve en parlak beyinleri öne çıkardığımız TechRadarPro’nun Expert Insights kanalının bir parçası olarak üretildi. Burada ifade edilen görüşler yazara aittir ve mutlaka TechRadarPro veya Future plc’ye ait değildir. Katkıda bulunmak istiyorsanız buradan daha fazla bilgi edinin: https://www.techradar.com/news/submit-your-story-to-techradar-pro