Dünya değişti. Tehdit aktörleri, güvenlik açıklarından yararlanmak ve çalınan kimlik bilgilerini kullanmak için daha fazla zaman geçirerek daha az zaman harcarlar. Bu, siber saldırıları tespit etmeyi ve önlemeyi zorlaştırır. En son Verizon Veri ihlali araştırmaları raporu, saldırının yaklaşık üçte ikisinin içeriden-kötü niyetli veya istenmeyen olduğunu buldu.
.jpg&h=420&w=748&c=0&s=0)
Suçlular hacklemiyor – diyorlar ki Ajay Biyani, Başkan Yardımcısı, Satış – Apmea
“Kimlik bilgileri Brute Force tarafından tahmin edilebilir. Bir içeriden, kimlik bilgilerini kötü niyetli bir şekilde bilerek kullanabilir veya üçüncü taraf ihlalleri sırasında çalınan yeniden kullanılan kimlik bilgilerini alabilir. Sonuçta, birisinin meşru kimlik bilgilerini kullanmak için giriş yaptığı anlamına gelir-yani içeriden bir tehdittir.”
Birçok kuruluş içeriden gelen tehdit riskinin önemini hafife alıyor. Tehdit Oyuncuları Geleneksel SIEM çözümlerinin sahip olmadığı sosyal medya aracılığıyla geniş bir veri trowe ve içeriden gelen tehdidi yönetebilecek çözümler olduğu konusunda farkındalık eksikliği var.
AI’nın tehdit ortamı üzerindeki etkisi
Saldırganlar, daha iyi yazım ve dilbilgisi kullanan kimlik avı saldırıları ve saldırılarının daha güvenilir görünmesini sağlamak için seyahat detayları, doğum günleri ve diğer detaylar gibi kişisel bilgileri oluşturmak için sosyal medyayı kullanıyorlar. Bu, daha hızlı ve daha az uzmanlıkla kötü amaçlı yazılım kodu oluşturma yeteneği ile birleştiğinde, tehdit aktörlerinin emrinde silahları büyük ölçüde artırdı.
Biani, “Geçen yılki Dünya Ekonomik Forumu’nda Securonix’in CEO’sunun davet edildiği özel bir oturum vardı. Büyük endişe duyan şeylerden biri, AI tarafından üretilen yanlış bilgi ve AI tarafından üretilen dezenformasyon idi. Deepfore videolarından yararlanan saldırganlar ve sesler savunucular için daha da zorlaştırıyor” diyor.
İçeriden gelen tehditleri tespit etmek
İçeriden tehditlerin tespit edilmesi karmaşıktır çünkü tehdit aktörleri güvenilir kimlik bilgilerini kullanır. Bu saldırıları tespit etmek için geleneksel yöntemler, tüm aktiviteleri günlüğe kaydetmeye ve anormallikleri işaretlemeye dayanıyordu – Biyani’nin istenen sonuçları vermediği bir yaklaşım.
“Bu yaklaşım karmaşık, pahalı ve kaynak yoğundur. Sürdürülmesi gereken kurallar yaratmaya dayanır. Kullanıcı davranışını anlamanın anahtarıdır. Çok fazla veri indiren bir kişi normal bir davranış olabilir. Ancak son zamanlarda zayıf bir performans değerlendirmesi varsa veya istifalarını sunarlarsa, bu bir tehditin işareti olabilir. “Dünyadaki tüm verileri toplayabilirim, ancak dünyaya nereye uyduğunu anlamıyorsam, bu benim için işe yaramaz.”
Siems bunu düzeltmek için değil miydi?
Siem sözü veremedi. Piyasadaki SIEM’lerin çoğu, manuel olarak oluşturulan ve veri kaynakları değiştikçe manuel olarak güncellenmesi gereken statik kurallara dayanmaktadır. Lisanslama ve depolama maliyetlerinin artmasına yol açan daha fazla veri elde edilerek kaçırılan bir uyarı genellikle düzeltilir. Yeni nesil SIEM’ler bu sorunu ele alıyor ve CISOS’un CROS ve CEO’lardan yönetici satın alabilmeleri için riski ölçmesi gerekiyor.
“Securonix gibi yeni nesil Siem, geleneksel SIEM’lerin içeriden saldırıları tespit etmediği için gelişti. Statik kural tabanlı Siem beklenen değeri sağlayamadı. UEBA var [User and Entity Behaviour Analytics] 30 gün içinde değeri kanıtlayabilen kullanım durumları ile kutudan çıkarma tehdidi tespiti temelli. ”Diyor Biyani.
Yapay zeka ve makine öğrenimi, güvenlik analistlerinin yanlış pozitifleri kovalamak yerine gerçek olayları araştırmak için daha fazla zaman harcamalarını sağlar, çünkü sistem her bir uyarıyla ilişkili bağlamı daha iyi anlar.
Biani, “Bir müşteri ile, SECOPS teklifimizin bir parçası olarak sadece veri boru hattı yöneticisini uygulayarak maliyetin% 30’unu tasarruf edebildik. Her gün saniyede 1 milyon olay ve 30 terabayt alıyorlardı. Veri enjeksiyonunu azaltabildik ve onlara eyleme geçtikleri risk ve tehditleri daha iyi anlayabildik” diyor Biani.
Securonix, pazar lideri çözümlerini iki temel ortak grup aracılığıyla pazara getiriyor-yönetilen güvenlik hizmeti sağlayıcıları ve sistem entegratörleri. Şirket ortaklarla rekabet etmiyor. Diğer çözümlerden farklı olarak, Securonix platformu çok kireçli olacak şekilde oluşturulmuştur ve kuruluşların şirket içi, bulutta veya hibrid altyapı aracılığıyla çalışan bir sistem tasarlamasını sağlar.