Brett James, Direktör, Zscaler Dönüşüm Stratejisi
Son yıllarda, federal kurumlar uzaktan çalışmayı önemli ölçüde genişletti ve buna karşılık BT ekipleri de uç bilgi işlem dağıtımları için aynısını yaptı. artan bulut bilgi işlem kullanımı ve devam eden diğer önemli devlet BT modernizasyon çabaları. Tüm bunlar ajansların misyonlarını daha etkin bir şekilde yerine getirmelerine yardımcı olan olumlu gelişmelerdir.
Ancak bunların bir bedeli de var – genişletilmiş bir siber saldırı yüzeyi – ve siber saldırganlar avantaj sağlıyor. Örneğin, Microsoft’un Dijital Savunma Raporu, bir yıl içinde ulus-devlet siber saldırılarının yüzde 46’sının ABD hükümetine yönelik olduğunu gösterdi.
Siber ihlallerin fiyat etiketi yükselirken, halkın güveni risk altında. IBM 2021 Bir Veri İhlalinin Maliyeti raporu, veri ihlallerinin 2021’de yüzde 10 daha pahalı hale geldiğini ve kamu sektöründe bir ihlalin ortalama maliyetinin 1,93 milyon dolar olduğunu ortaya koydu. Ayrıca, bir ihlali tespit etmek ve kontrol altına almak için ortalama süre 287 gündü, bu da maliyetleri ve tehlikeyi artırıyordu.
Siber tehditlerin sayısındaki ve ciddiyetindeki artışla birlikte, geleneksel algılama teknolojilerine güvenen devlet kurumları ciddi bir dezavantaja sahip olabilir.
Büyüyen Tehlikeyle Yüzleşmek
Siber saldırganlar, devlet kurumlarının tespit etmesi zor olan, giderek daha karmaşık yöntemler kullanıyor:
- Gizli saldırılar: Gelişmiş düşmanlar, içeri girmek ve gizli kalmak için amaca yönelik oyun kitaplarını ve hedeflerinin ortamına ilişkin derinlemesine bir anlayış kullanır. Sonuç olarak, olayların yüzde 91’i bir güvenlik uyarısı oluşturmuyor ve bu da iyi savunulan ve hazırlıklı kurumlar için bile bir tehdit oluşturuyor.
- İnsan tarafından çalıştırılan: Geleneksel savunmalar, kötü amaçlı kodları tespit etmek için tasarlanmıştır, ancak saldırıların yüzde 68’i kötü amaçlı yazılım kullanmaz. Örneğin fidye yazılımı söz konusu olduğunda, bir ajans yalnızca bir yazılım programıyla mücadele etmez; saldırı bir kişi tarafından yönetilir. Sofistike düşmanlar, geleneksel savunmaları aşmak ve güvenlik ekiplerinin tehditleri avlamak için sınırlı kaynaklarına meydan okumak için meşru kimlik bilgileri veya yerleşik araçlar gibi gelişmiş taktikler kullanır.
- Yanlış pozitiflerde saklanmak: Çoğu kurum güvenlik operasyonu, varsayılan olarak mümkün olduğu kadar çok veriyi bir güvenlik bilgileri ve olay yönetimi (SIEM) sisteminde toplama ve ardından bir saldırının kanıtını aramayı tercih eder. Ortaya çıkan verilerin muazzam hacmi, güvenlik ekiplerini yüzde 45’i yanlış pozitif olan uyarılarla aşırı yüklüyor. Araştırmalar, güvenlik ekiplerinin yüzde 99’unun aşırı uyarı hacminin bir sorun olduğunu söylediğini gösteriyor. Sıklıkla, büyük tehditler işaretlenir, ancak tüm gürültüde gömülürler.
Aktif Savunma Uygulamak
Sıfır güven mimarileri, yetkili kullanıcıları doğrudan izin verilen uygulamalara ve verilere bağlayarak saldırı yüzeyini ve yanal hareketi azaltır. Ama kötü bir oyuncu bu savunmaları aşarsa ne olur? Kurumunuz içeriden gelen tehditlere ve karmaşık ulus-devlet saldırılarına ve fidye yazılımı saldırılarına karşı nasıl savunma yapıyor?
Bu durumlarda en iyi savunma aktiftir ve saldırganların amaçlarına ulaşmasını neredeyse imkansız hale getirir. Aldatma teknolojisinin arkasındaki fikir budur.
Honeypot’ları Dağıtma
Aldatma teknolojisi, davetsiz misafirlere, dikkatlerini hassas verilerden veya sistemlerden uzaklaştırmak için sahte bir saldırı yüzeyi sağlar. Bu saldırı yüzeyi, bir saldırgan onlara dokunduğunda alarm veren bal küplerinden veya sahte varlıklardan oluşur. Bu tuzaklar, üretim varlıklarını taklit eden sahte uç noktalar, dosyalar, hizmetler, veritabanları, veriler, parolalar, kullanıcılar, bilgisayarlar, kullanıcı yolları, OT, IOT ve diğer kaynaklar olabilir.
Aldatma teknolojisi, bulut tabanlı teslimattan yararlanabilir ve olası her kimlik sistemine genişletilebilir. 10 saldırıdan dokuzu bir Active Directory altyapısını içerdiğinden, sahte ama izlemek için çekici nesneler oluşturmak, başlamak için iyi bir yerdir ve ardından ağa bağlı sahte kaynaklar gelir.
Bir uyarı tetiklendiğinde savunucular, saldırganların hareketlerini güvenli, yalıtılmış bir ortamda izleyebilir, saldırganların ilgilendiği varlıkları belirleyebilir, onları yavaşlatabilir ve taktiklerini, tekniklerini ve prosedürlerini izleyebilir.
Aldatma teknolojisi şunları sağlar:
- İhlal öncesi uyarılar: Çevre tuzakları, genellikle fark edilmeyen gizli ihlal öncesi faaliyetleri tespit eder.
- Yanal hareket algılama: Uygulama tuzakları ve uç nokta tuzakları, çevreye dayalı savunmaları atlayan ve manevra yapma ve tespit edilmeden hedefleri bulma yeteneklerini sınırlayan rakipleri yakalar.
- Fidye yazılımlara karşı savunma: Buluttaki, ağdaki, uç noktalardaki ve Active Directory’deki tuzaklar, fidye yazılımlarını her aşamada tespit etmek için kara mayınları görevi görür. Ortamınızda tuzaklara sahip olmak, erken uyarı sağlayarak fidye yazılımının yayılma yeteneğini engeller.
- Gerçek zamanlı tehdit koruması: En iyi aldatma teknolojisi, güvenlik olayı olay yönetimi (SIEM), güvenlik orkestrasyon otomasyonu ve yanıtı (SOAR) ve diğer güvenlik operasyon merkezi (SOC) çözümleri gibi üçüncü taraf güvenlik araçları ekosisteminizle sorunsuz bir şekilde bütünleşerek aktif saldırganları devre dışı bırakır. otomatik hızlı yanıt eylemleri.
Sıfır Güvenle Entegrasyon
Siber güvenliğe yönelik en güçlü yaklaşımlardan biri, aldatma teknolojisini sıfır güven sistemine entegre etmektir. Saldırganları durdurmada tek bir güvenlik tekniği yüzde 100 etkili değildir; maksimum koruma için birden çok teknolojinin birlikte çalışması ve bilgi paylaşması gerekir.
Sıfır güvenin özünde bir tehdit algılama bileşeni bulunmamakla birlikte, aldatma teknolojisinin sıfır güven mimarisine dahil edilmesi güçlü bir yetenek katar. Aldatma tuzakları, sıfır güven ortamında, ele geçirilmiş kullanıcıları veya ağ boyunca yanal hareketleri tespit ederek tuzak telleri görevi görür.
Zamandan ve Paradan Tasarruf
Aldatma teknolojisi, devlet kurumları için zamandan tasarruf sağlayabilen ve maliyetleri azaltabilen çok verimli bir tehdit algılama biçimidir. Ajans personeli, yüksek operasyonel yük olmadan gelişmiş saldırıları tespit ederek bal küplerini kurabilir ve bekleyebilir. Meşru kullanıcıların sahte varlıklara dokunmak için hiçbir nedenleri olmadığından, ajanslar yanlış pozitif oranını büyük ölçüde azaltır ve kuruluş genelinde güçlü bir tehdit algılama katmanı ekler.
yazar hakkında
Brett, altı kıtadaki operasyonları kapsayan 20 yıllık deneyime sahip bir BT altyapısı ve güvenlik lideridir. Brett, Zscaler’a katılmadan önce Bechtel Corporation’ın Sıfır Güven yolculuğuna liderlik ederken dünya çapında çok disiplinli ekipleri yönetti. Brett’in kariyeri, yardım masası desteği, sunucu ve veri merkezi operasyonlarından operasyonlar, mühendislik tasarımı ve mimari disiplinlerinde sorumluluklara sahip lider bölgesel ve küresel ekiplere doğru evrildi. Bu geniş deneyim, ona çeşitli teknolojiler ve disiplinler hakkında derinlemesine bilgi ve bunları yöneten ekipleri yönetme yeteneği sağladı.
Brett James, Zscaler’ın Dönüşüm Stratejisi Direktörüdür. Kendisine çevrimiçi olarak [email protected], LinkedIn ve şirketimizin web sitesi https://www.zscaler.com/ adresinden ulaşılabilir.