Siber saldırılar önemli bir risk oluşturur ve yalnızca önlemek yeterli değildir; bu nedenle zamanında tespit edilmesi çok önemlidir. Bu nedenle çoğu kuruluş, izinsiz girişleri tespit etmeye yönelik uzmanlar tarafından yazılan kurallarla güvenlik olaylarını merkezi olarak toplamak ve analiz etmek için SIEM (Güvenlik Bilgileri ve Olay Yönetimi) sistemlerini kullanır.
Kuruluşlar, bilinen saldırılara yönelik kötüye kullanım modellerine odaklanarak izinsiz giriş tespiti için SIEM kural kümelerini kullanır. Etkilidir, basittir ve ayrıntılı uyarılarla araştırmaya yardımcı olur.
Açık kaynaklı bir Uyarlanabilir Kötüye Kullanım Tespit Sistemi olan AMEDES, SIEM kuralları tarafından yakalanmayan saldırı benzeri davranışları tespit eder.
İlgili kuruluşlardan ve üniversitelerden aşağıdaki siber güvenlik araştırmacıları bu yeni tespit sistemini tanıttı: –
- Fraunhofer FKIE’den Rafael Uetz
- Fraunhofer FKIE’den Marco Herzog
- Fraunhofer FKIE’den Louis Hackländer
- Göttingen Üniversitesi’nden Simon Schwarz
- RWTH Aachen Üniversitesi’nden Martin Henze, Fraunhofer FKIE
Denetimli öğrenmeyi kullanarak olayları, manuel olarak kapsamlı bir saldırı setine ihtiyaç duymadan, bilinen-kötü amaçlı veya bilinen-zararsız etkinliklere olan benzerliğe göre sınıflandırır. Bunun yanı sıra, AMIDES potansiyel kaçınmayı tespit eder ve kaçınılması muhtemel SIEM kurallarını önerir.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
AMİDLER
SIEM’ler kaynak sistemlerden Syslog ve Windows Olay Günlüğü formatında veri toplar. Veri hacmi nedeniyle otomatik tehdit analizi önemlidir.
Bir tehdit tespit edilirse güvenlik operasyonları merkezindeki bir insan analisti uyarıyı inceler. Uzmanlar tarafından yazılan kurallar ve imzalar kullanılarak yapılan kötüye kullanım tespiti, SIEM’lerin kötü amaçlı etkinlikleri otomatik olarak tespit etmesinin birincil yöntemidir.
AMIDES, geleneksel kural eşleştirmenin yanı sıra kural kaçırmaları tespit etmek için makine öğrenimi bileşenleri ekleyerek kurumsal ağlarda SIEM kötüye kullanım tespitini geliştirir.
SIEM olayları kural eşleştirme ve özellik çıkarma işlemlerine tabi tutulur. Kötüye kullanım sınıflandırma bileşeni, özellik vektörünü kötü amaçlı veya zararsız olarak sınıflandırır.
Eğitim süreci için bu eksiksiz sistemin aşağıdaki iki temel unsura ihtiyacı vardır: –
- SIEM kuralları
- Zararsız olaylar
Geleneksel kötüye kullanım tespitini kullanan kuruluşlardaki mevcut SIEM kurallarıyla çalışır ve şu anda gelecekte Splunk potansiyeli olan Sigma kurallarını desteklemektedir.
Bu açık kaynaklı tespit sistemine GPLv3 lisansı kapsamında ücretsiz olarak erişilebilir ve aşağıdakiler kullanılarak Python’da uygulanan büyük kurumsal ağlar için performansa öncelik verilir: –
AMIDES, SIEM kuralından kaçınmaları otomatik olarak tespit ederek ağdaki kör noktaları önemli ölçüde azaltır ancak etkili tespit tek başına yeterli değildir.
Bu çalışma, kurumsal ağlarda kritik kör noktalar oluşturan SIEM kural kaçırmalarını hedef alıyor. Açık kaynaklı SIEM kurallarını analiz eden uzmanlar, 292 kuraldan 110’unun tamamen kaçınılabilir ve 19’unun kısmen kaçınılabilir olduğunu ve bunun da ağları tespit edilemeyen saldırılara açık hale getirdiğini buldu.
Bu açık kaynaklı çözüm, kötüye kullanım tespiti için uyarlanabilir olup, kural tabanlı tespitin kapsamını, kaçakları ve atlanan kuralları tespit edecek şekilde genişletir. Bu yaklaşım, mevcut verileri kullanarak kurumsal ağlar için kolaylık sağlar.
StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin, 14 günlük ücretsiz deneme sürümünü deneyin.