Siber güvenlik bir paradigma değişiminden geçiyor. Daha önce savunmalar, düşmanları dışarıda tutma varsayımı üzerine kuruluydu; artık ağın içinde olabileceği düşüncesiyle stratejiler oluşturuluyor. Bu modern yaklaşım, “saldırgan zihniyeti” gibi kavramlar getiren ve aldatma teknolojisinden yararlanan, hızlı algılama, anında müdahale ve verimli kurtarmaya öncelik veren gelişmiş yöntemlerin ortaya çıkmasına neden oldu.
Bu Help Net Security röportajında, Lupovis CEO’su Xavier Bellekens, hizmet olarak aldatma uygulamasının potansiyel ihlallere ilişkin erken uyarı göstergeleriyle hem CISO’ya hem de ekibine nasıl yardımcı olduğunu açıklıyor.
Bir rakibin zaten bir ağ içinde varlığını oluşturduğunu varsaymak, siber güvenlik stratejilerinin gelişimini nasıl etkiler?
Bir düşmanın zaten ağın içinde olduğunu varsaymak, siber güvenlik stratejilerini hızlı tespit, anında müdahale ve verimli kurtarmaya öncelik verecek şekilde etkiler. Bu yaklaşım, sürekli izlemeyi, anormallik tespitini ve olay hazırlığını teşvik eder, ancak aynı zamanda verimlilik gerektirir.
Bir “saldırgan zihniyeti” benimsemek, bu yaklaşımın evrimidir. Düşmanların taktiklerini taklit ederek stratejilerini önceden tahmin edebilir, savunmalarımıza meydan okuyabilir ve güvenlik açıklarını proaktif olarak giderebiliriz. İhlal beklentisi ve bir saldırgan gibi düşünmeye yönelik bu ikili yaklaşım, daha dinamik ve sağlam bir stratejiyle sonuçlanır.
Aldatma teknolojisi her iki paradigmayı daha da güçlendirir. Çok düşük bir yanlış pozitif ile verimli bir şekilde tespit etmek ve davetsiz misafirleri yönlendirmek için tuzakları, tuzakları ve yanlış bilgileri kullanır, bir ihlale karşı erken uyarı sağlar ve düşmanın operasyonlarını kesintiye uğratır ve aynı zamanda zihniyet hakkında da bilgi edinir. Böylece aldatma, sürekli gelişen siber tehditleri öngörme, tespit etme ve bunlara yanıt verme döngüsünde güçlü bir araç haline gelir.
CISO’ların bir kuruluşun hassas verilerini ve yüksek değerli fikri mülkiyetini korumak için aldatmacadan yararlanabileceği bazı yollar nelerdir? Bu strateji, saldırganları değerli varlıklardan uzaklaştırmaya nasıl yardımcı olur?
Ana stratejiler, düşmanı gerçek varlıklardan uzaklaştırırken ilerleme kaydettiklerine inandırmayı amaçlar. Bu nedenle, aldatma stratejileri, Taktikler, Teknikler ve Prosedürler (TTP’ler) elde etmeyi veya Güvenlik Operasyonları Merkezi (SOC) için gerçek pozitif erken uyarıları etkinleştirmeyi amaçlıyor olsun, farklı hedeflere ve düşmanlara göre uyarlanabilir.
Amaç, rakiplerin TTP’lerini öğrenmekse, strateji, saldırganları sistemlerle etkileşime girerek daha fazla zaman geçirmeye ikna etmek için kullanılabilecek yüksek etkileşimli tuzaklar kullanmak olacaktır. Bu, SOC ve CTI ekibine, düşmanın yöntemlerini gözlemlemek ve anlamak için daha fazla fırsat sunar.
Öte yandan, amaç erken uyarı tespiti sağlamaksa, ekmek kırıntıları ve düşük asılı meyve tuzakları tıkanma noktalarında konuşlandırılabilir ve taç mücevherlerin tuzağa düşmesine yol açabilir.
Her iki durumda da, aktivasyonları, SOC’de acil uyarıları tetikleyerek anormal aktivite anlamına gelir. Tuzak türlerinin ve ekmek kırıntılarının konuşlandırılması farklı olabilir, ancak temel kavram aynı kalır: aldatma, düşmanı cezbetmeyi ve kafasını karıştırmayı ve üstünlük sağlamayı amaçlayan psikolojik bir oyundur. Amaç, saldırganları yanıltmak, kaynaklarını boşa harcamak ve istihbarat toplamak veya yanıt için zaman yaratmaktır.
Modern aldatma teknolojisi önemli ölçüde gelişmiştir ve hızla, genellikle birkaç dakika içinde devreye alınabilir. Olası bir ihlale ilişkin erken uyarı işaretleri sunarak hem CISO’ya hem de ekibine yardımcı olan ek bir savunma katmanı sağlar. Bu anında uyarı özelliği, daha hızlı karar verme ve yanıt verme olanağı sağlar.
Kuruluşun olgunluğuna ve hedeflerine bağlı olarak, farklı aldatma stratejileri, aldatıcı hizmetlerin, tuzakların, ağların, sahte ortamların konuşlandırılmasını ve hatta bir dijital ikiz mimarinin oluşturulmasını içerecektir.
Aldatmanın bir servet 500 çözümü olduğu günler çoktan geride kaldı. Bu günlerde, küçük, orta veya büyük herhangi bir güvenlik ekibi, aldatmacayı kendi avantajlarına kullanabilir.
Tarihsel olarak, finansal hizmetler kuruluşları daha çok dış tehditlere karşı korunmaya odaklanmıştır. İçeriden gelen tehditler de önemli bir endişe kaynağı olduğundan, bu kuruluşlar siber güvenliğe yaklaşımlarını nasıl değiştirebilir?
Finans ve diğer sektörler, dış tehditleri savuşturmak için inşa edilen sağlam duvarlarla kaleler inşa etmeye benzer. Ancak bir atasözüne göre, yıllarımızı kale duvarları inşa ederek geçirdik ve içeriden gelen tehditlerin mahzen odasının anahtarlarına sahip olduğunu fark ettik.
Geleneksel olarak odak noktası dış tehditler olsa da, içeriden gelen tehditler artıyor. Meşru erişime sahip güvenilir içeriden gelen bu tehditler benzersiz bir zorluk teşkil eder.
İşte burada aldatma teknolojisi devreye giriyor. Aldatma, içeriden veya dışarıdan gelen bir tehdit arasında ayrım yapmaz. Temel gücü, meşru kullanıcılar tarafından erişilmesi amaçlanmadığından, aldatma sistemiyle herhangi bir etkileşimin kötü niyetli olarak kabul edildiği varsayımında yatmaktadır. Böylece kaynağı ne olursa olsun yetkisiz erişimler için etkin bir erken uyarı sistemi görevi görür.
Hizmet olarak aldatma gibi modern aldatma teknolojisinin avantajı, uyarlanabilirliği ve dağıtım kolaylığıdır. Ağ çevresinin hem içinde hem de dışında hızla kurulabilir ve yanlış pozitiflerde artışa neden olmadan değerli bir güvenlik katmanı ekler. Ayrıca, sıfır güven veya derinlemesine savunma paradigması ile kolayca entegre edilebilir.
ATM ağlarından SWIFT sistemine kadar bir finansal sistemin herhangi bir parçası aldatma ile kopyalanabilir. Bu, kuruluşların içeriden veya dışarıdan potansiyel saldırganları gerçek varlıklardan uzağa ve kontrollü, gözlemlenebilir ortamlara çekmesine olanak tanır.
Aldatmanın çok yönlülüğü, onu tüm sektörlerde ve tüm ağlarda uygulanabilir kılar ve gelişen bir tehdit ortamını cezbetmek için dinamik bir çözüm sunar. Aldatma teknolojisini siber güvenlik stratejilerine entegre eden kuruluşlar, yalnızca kale duvarlarını korumaktan, hem kale alanlarını hem de içerideki kasa odasını ihtiyatlı bir şekilde izlemeye geçebilirler.
Üretim süreçlerinin dijital dönüşümü sırasında büyüyen tehdit ortamını ele almak için güvenlik çözümleri nasıl gelişiyor? Bu önlemler sektörü endüstriyel casusluktan, devlet destekli saldırılardan ve fidye yazılımı saldırılarından korumaya nasıl yardımcı oluyor?
Üretimde herhangi bir kesintinin maliyetli bir etkisi olabilir. Neyse ki, Purdue modeli izlenerek internet DMZ, Enterprise Zone ve SCADA ağları da dahil olmak üzere operasyonel ortamlarda tuzaklar kurulabilir.
Aldatma teknolojisinin güzelliği çok yönlülüğündedir. Farklı düşmanların farklı becerileri ve ilgi alanları vardır ve tuzaklar çeşitli tehdit türlerine göre uyarlanabilir. Gelişmiş Kalıcı Tehditlerden (APT’ler) endüstriyel casusluk ve fidye yazılımı gruplarına.
Tuzaklar, rakipler için çekici hedefler olacak şekilde tasarlanmıştır ve sahte patent veri tabanı, gizli e-postalar ve hatta “kötü hizmetçi” saldırısı veya PLC’ler gibi tehditlerle mücadele etmek için cep telefonları ve dizüstü bilgisayarlar gibi fiziksel tuzaklar gibi çeşitli biçimler alabilir.
Spesifik olarak, fidye yazılımı için, saldırganları tespit etmek ve dikkatini dağıtmak için çok sayıda tuzak kullanılabilir ve yanıt için değerli zaman kazanılır. Bu, verilerin fidye yazılımı dağıtılmadan önce sızdırıldığı çifte fidye saldırılarının artan eğilimi göz önüne alındığında özellikle önemlidir. Aldatıcı tuzaklardan yararlanan kuruluşlar, hem operasyonlarını koruyabilir hem de rakiplerinin görevlerini daha zor hale getirebilir.
Siber güvenlikte “saldırganın maliyetini artırmanın” rolü nedir? Güvenlik ekipleri bunu nasıl etkili bir şekilde uygulayabilir?
Aldatma teknolojisi, bir saldırganın maliyetini artırmak için önemli bir araçtır. Saldırganları gerçek varlıklardan uzaklaştıran, zamanlarını ve kaynaklarını boşa harcayan sahte sistemler ve veriler oluşturur.
“Saldırganın maliyetini artırma” stratejisini destekleyen bir diğer trend ise, aldatmanın Otomatik Hareketli Hedef Savunması (AMTD) ile yakınsamasıdır. Bu yaklaşım içinde aldatma, saldırı yüzeyini sürekli değiştirerek, rakiplerin sistemde gezinmesini veya bir dayanak noktası bulmasını zorlaştırır. Aldatmayla, saldırganın kaydettiğini sandığı herhangi bir ilerleme, aslında onları tuzağın daha derinlerine götürüyor.
Geçmişte, aldatmanın kurulması ve devreye alınması zorlayıcıydı. Ancak Deception as a Service’in ortaya çıkmasıyla bu süreç çok daha hızlı ve kolay hale geldi. Artık güvenlik ekipleri, dakikalar içinde yanıltıcı ortamları geniş ölçekte uygulayabilir ve kaynakları tüketmeden savunma/saldırı ve aktif yeteneklerini geliştirerek aldatmanın AMTD yönünü otomatikleştirebilir.
Hizmet olarak aldatmayı uygulayan güvenlik ekipleri, sistemlerine saldırmayı tüm rakipler için maliyetli ve sinir bozucu hale getirebilir ve üstünlüğü elinde tutabilir.