Yazan: David Monnier, Baş Evangelist, Cymru Ekibi Üyesi
Bugünlerde bir güvenlik ekibinde olmak zor. Kuruluşlar bulut yeteneklerini genişletiyor ancak ihlallerin %45’i bulutta gerçekleşiyor. Çoğu güvenlik ekibi günde 500’den fazla güvenlik uyarısı alır. Ve ortalama bir saldırının tespit edilmesinin 212 gün sürdüğü tahmin ediliyor.
Ortamınızda gizlenen kötü niyetli aktörleri tespit etmek ve bunlara karşı önlem almak için bir tehdit avlama programına sahip olmak, organizasyonlarını güvende tutma konusunda daha proaktif olmayı amaçlayan güvenlik ekipleri için bir zorunluluktur. Doğru araçlar, veriler, görünürlük ve eğitimle güvenlik ekipleri, saldırıları başlamadan önce önlemede etkili olabilir.
Peki ya bu araçlardan, verilerden, görünürlükten ve eğitimden yoksunlarsa? Ne yazık ki bugün pek çok güvenlik ekibi bunu yapıyor ve “Tehdit Avcısının Sesi” hakkındaki son raporumuzda, güvenlik ekiplerinin çoğunluğunun tehdit avlama programlarının yalnızca bir miktar etkili olduğunu veya hiç etkili olmadığını gördük.
Yıllar boyunca tehdit avı programlarını güçlendirmek için birçok şirketle çalıştık. Güvenlik ekiplerinin bugün karşılaştığı üç zorluğu ve daha etkili bir yarın için operasyonlarınızı güçlendirmek üzere atabileceğiniz adımları burada bulabilirsiniz.
Zorluk 1: Tehdit avlama araçlarının eksikliği
Tehdit avcılığı analistlerinin, kötü amaçlı etkinlikleri bulma, güvenlik açıklarını düzeltme ve saldırılara yanıt verecek zekaya sahip olma konusunda etkili olmalarını sağlamak için çeşitli araç ve teknolojilerin desteğine ihtiyaçları vardır.
Ancak güvenlik ekipleri, tehdit avcılığını engelleyen en büyük şeyin araç eksikliği olduğunu söylüyor. Ölçmeye, karşılaştırmaya ve analize yönelik araçlar olmadan, güvenlik ekipleri korumaya çalıştıkları şeyin mevcut durumunu gerçekten anlayacak verilere, içgörülere ve görünürlüğe sahip değildir. Otomasyon sunan araçlara sahip olmamak, güvenlik analistlerinin her gün manuel, tekrarlanan görevleri yerine getirmekten yorulduğu anlamına geliyor.
Çözüm: Çözüm, yeni araçların benimsenmesidir (muhtemelen söylemesi yapmaktan daha kolaydır, özellikle de bunun için bütçeniz yoksa). Tehdit avcıları, uç nokta tespiti ve müdahalesine yönelik araçlardan, verileri daha iyi toplayıp depolayabilen araçlardan ve bulut ortamlarında daha fazla görünürlük sağlayan araçlardan yararlanacaktır. Ek olarak, güvenlik ekiplerinin %88’i mevcut SIEM’leriyle sorun yaşadığından, SOC’lerin güvenlik duruşlarına ve girişimlerine kapsamlı bir bakış sağlamak için güncellenmiş, daha modern araçlara ihtiyacı var.
Hangi araçların sizin için faydalı olacağını nasıl bileceksiniz? Ne türde veya ölçekte veriye ihtiyacınız olduğu ve bu verilere hangi kaynaklardan ihtiyacınız olduğu gibi tehdit avcılığı programınızın ihtiyaçlarını değerlendirerek başlayın. Daha sonra kaynaklarınızı değerlendirmek ve yama gerektiren boşlukları belirlemek için altyapınıza bakın. Kuruluşunuza katacağınız yeni araçları değerlendirirken işlevselliğine, mevcut araçlarınızla nasıl bütünleştiğine, ne kadar iyi ölçeklenebildiğine, performansına ve kullanılabilirliğine bakın. Ayrıca satıcının itibarını ve benimsemeyle ilgili lisans ve bakım maliyetlerini de göz önünde bulundurun.
Zorluk 2: Yeterince anlaşılmamış ve/veya belgelenmemiş temel aktivite
Güvenlik ekipleri aynı zamanda temel faaliyetlerinin ne olduğunu tam olarak anlayamamaları nedeniyle de zorluk yaşıyor. İyi belgelenmiş ve iyi anlaşılmış bir temele sahip olmak, kuruluşunuz için “normal”in ne olduğunu bildiğiniz anlamına gelir ve “normal” kapsamına girmeyen her şeyin araştırılması gerekir.
Anlaşılmış bir temele sahip olmamak nedeniyle kuruluş, çevresine ilişkin yeterli görünürlüğe sahip değildir veya durumu hakkında kesin bir fikir sahibi olmak için yeterli istihbarat toplamamaktadır. Ayrıca normal için bir temele sahip olmamak, analistlerin hangi davranışın kabul edilebilir olduğunu ve neyin kabul edilemez olduğunu ölçememeleri anlamına gelir ve bu da kuruluşu standart olarak kabul edilen kötü niyetli faaliyetlere karşı savunmasız bırakır.
Çözüm: Temel faaliyetinizin ne olduğunu bilmek, kuruluşunuzda normal faaliyetin nasıl görünmesi gerektiğini size söyleyecek verilerin zaman içinde elde edilmesiyle başlar. Bu, ortamınıza görünürlük kazandıracak doğru araç ve teknolojilerin mevcut olması ve sisteminize kimin eriştiği konusunda size daha fazla bilgi verebilecek uç nokta kaynaklarından gereken doğru verilerin toplanmasıyla gerçekleştirilebilir.
Yalnızca “normal”in neye benzediğini bilmenin ötesine geçen güvenlik ekipleri, yalnızca kuruluş genelinde yapılandırma ayarları ve kimlik ve erişim yönetimi gibi şeyleri tanımlamakla kalmayıp aynı zamanda şüpheli etkinliğe verilecek yanıtı da tanımlayan standartlaştırılmış politikalara ve protokollere sahip olmanın avantajlarından yararlanabilir. Raporumuzdaki güvenlik uygulayıcılarının %35’inin, tehdit avlama programlarının etkinliğini, tehdit avının yürütülmesine yönelik resmileştirilmiş süreçlere ve prosedürlere sahip olmasına bağladığı göz önüne alındığında, bu özellikle önemlidir.
Zorluk 3: Tehdit avı programına yönetici düzeyinde destek yok
Son olarak birçok güvenlik ekibi, tehdit avlama programları konusunda liderlikten destek alamadıklarını söylüyor. Üst düzey yöneticiler ve yönetim kurulu yöneticileri, kuruluşun güvenli ve korunaklı olduğundan emin olmak isterler, ancak muhtemelen bir tehdit avlama programının ne olduğunu ve neden gerekli olduğunu kavrayacak anlayışa sahip değillerdir.
Benzer şekilde, güvenlik ekibi liderleri, organizasyonu güvende tutmak için günlük olarak gerçekleştirdikleri eylemleri çok iyi biliyorlar, ancak yönetim kurulunun veya üst düzey yöneticilerin sorabileceği sorulara genellikle basit yanıtlar vermiyorlar. Ya da şirketlerin %56’sında olduğu gibi, çalışmaları hakkındaki belgeleri üst düzey yöneticileriyle paylaşmıyorlar. Sonuçta bu, güvenlik ekibinin organizasyonel ve mali desteğini etkileyebilecek bir kopukluğa yol açabilir.
Çözüm: Buradaki çözüm iletişimi geliştirmeye odaklanmak, güvenlik girişimlerini ve başarılarını basitleştirilmiş terimlerle nasıl ileteceğinizi uygulamak ve güvenlik jargonunu ortadan kaldırmaktır. Yalnızca güvenlik çabalarınız hakkında bilgi vermeyin, aynı zamanda ortaya çıkan tehditler ve bunların tespit edilmemesi durumunda şirket üzerindeki etkileri hakkında yönetici dostu bir formatta yazın. İdeal durumda, güvenlik çabalarınızı zaten ölçüyorsunuz ve bu ölçümler, güvenlik çabalarınızın öyküsünü de anlatmanıza yardımcı olabilir.
Tehdit Avcılığı Programınızı Genişletme ve Güçlendirme
Güvenlik ekipleri, tehditleri saldırıya dönüşmeden durdurmak ve kuruluşlarını proaktif bir şekilde korumak isterler, ancak çoğunlukla bunu etkili bir şekilde yapabilecek araçlardan, istihbarattan, eğitimden ve destekten yoksundurlar. 2023 yılı güvenlik ekibinizin tehdit avcılığı programını güçlendirip genişlettiği yıl olsun.
DAVID MONNIER HAKKINDA
David Monnier, Cymru Takımının CIO’su, Baş Evangelisti ve Üyesidir; siber istihbaratta 20 yıldan fazla deneyime sahiptir ve 30’dan fazla ülkede 100’den fazla kez açılış konuşmaları sunmuştur.
[Image by DCStudio on Freepik]
Reklam