Siber tehditlerin yaklaşık% 80’i meşru kullanıcı davranışını taklit ederek, en iyi SOCS meşru trafiğin ne olduğunu ve potansiyel olarak neyin tehlikeli olduğunu nasıl belirliyor?
Güvenlik duvarları ve uç nokta algılama ve yanıt (EDR) kuruluşunuz için en önemli tehditleri tespit etmede yetersiz kaldığında nereye dönüyorsunuz? Verizon’un son Veri ihlali araştırmaları raporuna göre, Edge cihazları ve VPN ağ geçitlerindeki ihlaller% 3’ten% 22’ye yükseldi. EDR çözümleri sıfır gün istismarlarını, karadan geçme tekniklerini ve kötü amaçlı yazılımsız saldırıları yakalamak için mücadele ediyor. Tespit edilen tehditlerin yaklaşık% 80’i, CrowdStrike’ın 2025 küresel tehdit raporunda vurgulandığı gibi normal kullanıcı davranışını taklit eden kötü amaçlı yazılımsız teknikler kullanıyor. Kesin gerçek şu ki, geleneksel algılama yöntemleri, tehdit aktörleri, keşiften kaçınmak için kimlik bilgisi hırsızlığı veya DLL kaçırma gibi akıllı teknikleri kullanarak stratejilerini uyarladıkları için artık yeterli değildir.
Buna karşılık, Güvenlik Operasyon Merkezleri (SOCS) bir çok katmanlı algılama Etkinlik rakiplerini ortaya çıkarmak için ağ verilerini kullanan yaklaşım gizleyemez.
Ağ algılama ve yanıt (NDR) gibi teknolojiler, uç nokta tabanlı çözümler tarafından kaçırılması daha olası davranışları ortaya çıkararak EDR’yi tamamlayan görünürlük sağlamak için benimsenmektedir. EDR’den farklı olarak, NDR aracı dağıtım olmadan çalışır, bu nedenle ortak teknikleri ve meşru araçları kötü niyetli bir şekilde kullanan tehditleri etkili bir şekilde tanımlar. Sonuç olarak, kenar cihazlarına ve EDR’ye karşı çalışan kaçak tekniklerdir, NDR’nin de gözetlediğinde başarılı olma olasılığı daha düşüktür.
Katmanlama: Daha hızlı tehdit tespit stratejisi
Öngörülemeyen hava durumu için katmanlama gibi, Elite SoCs, ağ içgörülere odaklanan çok katmanlı bir algılama stratejisi aracılığıyla esnekliği artırır. Tespitleri tek bir sisteme birleştirerek, NDR yönetimi kolaylaştırır ve ekiplere yüksek öncelikli risklere ve kullanım durumlarına odaklanmaları için güç verir.
Takımlar, gelişen saldırı koşullarına hızlı bir şekilde uyum sağlayabilir, tehditleri daha hızlı tespit edebilir ve hasarı en aza indirebilir. Şimdi, bu dinamik yığın oluşturan katmanlara daha yakından bakalım ve daha yakından bakalım:
Temel katman
Hafif ve hızlı uygulanması, bunlar savunmanın temelini oluşturmak için bilinen tehditleri kolayca yakalar:
- İmza Tabanlı Ağ Tespiti Hafif doğası ve hızlı tepki süreleri nedeniyle ilk koruma katmanı olarak hizmet eder. Suricata motorlarında çalışan Proofpoint ve Pro’dan gelenler gibi endüstri lideri imzalar, bilinen tehditleri ve saldırı modellerini hızla tanımlayabilir.
- Tehdit İstihbaratı– Genellikle uzlaşma göstergelerinden (IOC’ler) oluşur, gerçek saldırılarda gözlenen bilinen ağ varlıklarını (örn. IP adresleri, alan adları, karmalar) arar. İmzalarda olduğu gibi, IOC’lerin paylaşımı kolay, hafif ve konuşlandırılması hızlıdır, daha hızlı algılama sağlar.
Kötü amaçlı yazılım katmanı
Düşünmek kötü amaçlı yazılım algılama Su geçirmez bir bariyer olarak, kötü amaçlı yazılım ailelerini tanımlayarak kötü amaçlı yazılım yüklerinin “düşüşlerine” karşı korunmak. Kötü amaçlı yazılım analiz topluluğunda statik dosya analizi için bir standart olan Yara kuralları gibi tespitler, ortak kod yapılarını paylaşan kötü amaçlı yazılım ailelerini tanımlayabilir. Temel davranışsal özellikleri korurken imzasını değiştiren polimorfik kötü amaçlı yazılımları tespit etmek için çok önemlidir.
Uyarlanabilir katman
Hava koşullarına dayanan koşullar için inşa edilen en sofistike katmanlar, bilinen, bilinmeyen ve kaçınma tehditlerini tanımlayan davranışsal algılama ve makine öğrenme algoritmaları kullanır:
- Davranışsal tespit Etki alanı oluşturma algoritmaları (DGA’lar), komut ve kontrol iletişimi ve olağandışı veri pessfiltrasyon kalıpları gibi tehlikeli etkinlikleri tanımlar. Saldırganlar IOC’lerini (hatta saldırının bileşenlerini) değiştirdiğinde bile etkili olmaya devam ediyor, çünkü temeldeki davranışlar değişmiyor ve bilinmeyen tehditlerin daha hızlı tespitini sağlıyor.
- Ml Hem denetimli hem de denetimsiz modeller, hem bilinen saldırı modellerini hem de yeni tehditleri gösterebilecek anormal davranışları tespit edebilir. Davranışsal tespitlerden daha fazla zaman ve karmaşıklığı kapsayan saldırıları hedefleyebilirler.
- Anomali tespiti Temel ağ davranışından sapmaları tespit etmek için denetimsiz makine öğrenimini kullanır. Bu, beklenmedik hizmetler, olağandışı müşteri yazılımı, şüpheli girişler ve kötü amaçlı yönetim trafiği gibi anormalliklere karşı SOSS’leri uyarır. Kuruluşların normal ağ etkinliğinde saklanan tehditleri ortaya çıkarmasına ve saldırgan bekleme süresini en aza indirmelerine yardımcı olur.
Sorgu katmanı
Son olarak, bazı durumlarda, bir uyarı oluşturmanın mevcut ağ verilerini sorgulamaktan daha hızlı bir yolu yoktur. Arama tabanlı algılama – Uyarılar ve algılamalar oluşturan günlük arama sorguları-kısa vadeli, hızlı yanıt için hazır olan bir snap-on katman gibi işlev görür.
NDR ile Tehdit Tespit Katmanlarını Birleştirme
Çok katmanlı tespitlerde gerçek güç, birlikte nasıl çalıştıklarıdır. Üst düzey SOC’ler, ağ genelinde tehditlerin birleşik bir görünümünü sağlamak için ağ algılama ve yanıtı (NDR) dağıtıyor. NDR, tam bir tehdit görüşü, merkezi ağ görünürlüğü ve gerçek zamanlı olay tepkisini güçlendiren bağlam sağlamak için çoklu motorlardan algılamaları ilişkilendirir.
Katmanlı tespitlerin ötesinde, Gelişmiş NDR çözümleri Ayrıca, genel tehdit tepkisi yeteneklerini artıran birkaç temel avantaj sunabilir:
- Gelişen saldırı vektörlerinin ve henüz geleneksel EDR imza tabanlı algılama sistemlerine dahil edilmemiş yeni tekniklerin tespit edilmesi.
- Bir 2022 FireEye raporuna göre, yanlış pozitif oranların ~%25 azaltılması
- AI güdümlü triyaj ve otomatik iş akışları ile olay tepkisi sürelerini kesmek
- MITER ATT & CK Ağ Tabanlı Araçlar, Teknikler ve Prosedürlerin (TTPS) kapsamlı kapsamı
- Paylaşılan istihbarat ve topluluk güdümlü tespitlerden yararlanmak (açık kaynaklı çözümler)
Modern SoC’ler için ileriye giden yol
Giderek artan sofistike saldırıların, saldırı yüzeylerinin genişletilmesi ve ek kaynak kısıtlamalarının birleşimi, çok katmanlı algılama stratejilerine doğru bir kayma gerektirir. Saldırıların saniyeler içinde başarılı olduğu bir ortamda, NDR çözümü olmadan etkili siber güvenlik sağlama penceresi hızla kapanıyor. Elite SoC takımları bunu anlıyor ve zaten katmanladım. Soru, çok katmanlı tespitin uygulanıp uygulanmayacağı değil, kuruluşların bu geçişi ne kadar hızlı yapabileceği.
Corelight Ağ Tespiti ve Yanıt
Corelight’ın entegre Open NDR platformu, yukarıda belirtilen ağ algılama türlerinin yedi’sini birleştirir ve topluluk güdümlü algılama zekasının gücünden yararlanmanıza olanak tanıyan Zeek® gibi açık kaynaklı bir yazılımın temelini oluşturur. Daha fazla bilgi için: Corelight.