Güvenlik, ihlal anında başarısız olmaz. Çarpma noktasında başarısız olur.
Bu çizgi bu yılın tonunu belirledi Picus İhlal ve Simülasyon (BAS) ZirvesiAraştırmacıların, uygulayıcıların ve CISO’ların hepsinin aynı temayı tekrarladığı yer: Siber savunma artık tahminle ilgili değil. Kanıtla ilgili.
Yeni bir açıktan yararlanıldığında tarayıcılar dakikalar içinde interneti tarar. Saldırganlar bir yer edindikten sonra yanal hareketler de genellikle aynı hızda gerçekleşir. Kontrolleriniz oyundaki belirli tekniklere göre test edilmediyse, savunma yapmıyorsunuz, işlerin ciddi şekilde armut şeklinde gitmemesini umuyorsunuz.
Bu nedenle bir olay raporu yazılmadan çok önce baskı oluşur. Bir istismarın Twitter’ı vurduğu saatte, bir toplantı odası yanıt istiyor. Bir konuşmacının ifade ettiği gibi, “Kurul’a ‘Gelecek hafta bir cevap alacağım’ diyemezsiniz. Günlerimiz değil saatlerimiz var.”
BAS, uyumluluk köklerini aştı ve siber güvenliğin günlük voltaj testi haline geldi; gerçekte neyin geçerli olduğunu görmek için yığınınızda çalıştırdığınız akım.
Bu makale bir satış konuşması veya bir açıklama değildir. Bu bir sahnede yaşananların özetiözünde, BAS’ın yıllık bir onay kutusu faaliyetinden, savunmanızın gerçekten çalıştığını kanıtlamanın basit ve etkili bir günlük yoluna nasıl dönüştüğü.
Güvenlik tasarımla ilgili değil, reaksiyonla ilgilidir
Onlarca yıldır güvenlik, mimari gibi ele alındı: tasarım, inşa etmek, incelemek, onaylamak. Planlar ve evraklar üzerine kurulu bir kontrol listesi yaklaşımı.
Ancak saldırganlar bu planı hiçbir zaman kabul etmedi. Savunmayı fizik gibi ele alıyorlar, bir şey bükülünceye veya kırılıncaya kadar sürekli baskı uyguluyorlar. Planın ne söylediği umurlarında değil; yapının nerede başarısız olduğunu önemsiyorlar.
Sızma testleri hala önemlidir, ancak bunlar hareket halindeki anlık görüntülerdir.
BAS bu denklemi değiştirdi. Bir tasarımı onaylamaz; reaksiyonu stres testine tabi tutar. Savunmaların gerçekten olması gerektiği gibi tepki verip vermediğini kanıtlamak için canlı ortamlarda güvenli, kontrollü düşmanca davranışlar yürütür.
SANS Baş Eğitmeni Chris Dale’in açıkladığı gibi: Aradaki fark mekaniktir: BAS ölçümleri tepkiOlumsuz potansiyel. Sormuyor, “Güvenlik açıkları nerede?” Ancak “Onlara vurduğumuzda ne olacak?”
Çünkü sonuçta bir ihlal meydana geldiğinde kaybetmezsiniz. bu ihlalin etkisi indiğinde kaybedersiniz.
Gerçek savunma kendini tanımakla başlar
Düşmanı taklit etmeden/simüle etmeden önce kendinizi anlamalısınız. Görmediğiniz şeyleri, yani unutulmuş varlıkları, etiketlenmemiş hesapları, hala alan adı yönetici haklarıyla çalışan eski komut dosyasını savunamazsınız.
sıla-blog-video-1_1920x1080.mp4
Daha sonra bir ihlal olduğunu varsayın ve en çok korktuğunuz sonuçtan geriye doğru çalışın.
Almak AkiraÖrneğin, yedeklemeleri silen, PowerShell’i kötüye kullanan ve ortak sürücüler aracılığıyla yayılan bir fidye yazılımı zinciri. Bu davranışı ortamınızda güvenli bir şekilde tekrarladığınızda, savunmanızın bu davranışı ortasında kırıp kıramayacağını tahmin etmek yerine öğreneceksiniz.
Olgun programları diğerlerinden ayıran iki ilke vardır:
- Önce sonuç: Envanterden değil etkiden başlayın.
- Varsayılan olarak mor: BAS kırmızıya karşı mavi bir tiyatro değil; istihbarat, mühendislik ve operasyonlar bu şekilde birleşiyor – simüle et → gözlemle → ayarla → yeniden simüle et.
Texas Mutual Insurance’ın CISO’su John Sapp’ın belirttiği gibi, “doğrulamayı haftalık bir ritim haline getiren ekipler, eskiden varsayım gördükleri yerde kanıt görmeye başlıyor.”
Yapay zekanın asıl işi yaratmak değil, küratörlüktür
Yapay zeka bu yıl her yerdeydi ama en değerli içgörü güçle ilgili değil, kısıtlamayla ilgiliydi. Hız önemlidir, ancak kaynak daha önemlidir. Kimse yükleri doğaçlama yapan bir Yüksek Lisans modeli istemez veya saldırı davranışı hakkında varsayımlarda bulunmak.
En azından şimdilik en kullanışlı yapay zeka türü, yaratırbu o organize ederDağınık, yapılandırılmamış tehdit istihbaratını alıp onu savunucuların gerçekten kullanabileceği bir şeye dönüştürüyoruz.
sıla-blog-video-2_1920x1080.mp4
Yapay zeka artık tek bir modelden ziyade bir model gibi davranıyor uzmanların aktarılmasıher birinin belirli bir işi ve arada bir kontrol noktası vardır:
- Planlayıcı — nelerin toplanması gerektiğini tanımlar.
- Araştırmacı — Tehdit verilerini doğrular ve zenginleştirir.
- İnşaatçı — bilgileri güvenli bir emülasyon planına göre yapılandırır.
- Doğrulayıcı — herhangi bir şey çalıştırılmadan önce aslına uygunluğu kontrol eder.
Her temsilci sonuncuyu gözden geçirerek doğruluğu yüksek ve riski düşük tutar.
Bir örnek bunu mükemmel bir şekilde özetledi:
“Bana Fin8 kampanyasının bağlantısını verin, ben de size günler değil, saatler içinde eşleştiği MITRE tekniklerini göstereyim.”
Bu artık arzu edilen bir şey değil, operasyonel. Eskiden bir hafta süren manuel çapraz referanslama, komut dosyası oluşturma ve doğrulama işlemleri artık tek bir iş gününe sığıyor.
Başlık → Emülasyon planı → Güvenli çalışma. Gösterişli değil, sadece daha hızlı. Tekrar, günler değil saatler.
Sahadan elde edilen kanıtlar BAS’ın çalıştığını gösteriyor
Etkinliğin en çok beklenen oturumlarından biri BAS’ın gerçek ortamlarda canlı gösterimiydi. Teori değildi operasyonel kanıttı.
Bir sağlık ekibi, sektör tehdit istihbaratıyla uyumlu fidye yazılımı zincirleri çalıştırarak ölçüm yaptı. tespit zamanı Ve yanıt verme zamanızincir erken kırılana kadar kaçırılan tespitleri SIEM ve EDR kurallarına geri besliyor.
Bir sigorta sağlayıcısı, uç nokta karantinalarının gerçekten tetiklenip tetiklenmediğini doğrulamak için hafta sonu BAS pilotlarını gösterdi. Bu çalıştırmalar, sessiz yanlış yapılandırmaları saldırganların ortaya çıkarmasından çok önce ortaya çıkardı.
Paket servisi açıktı:
BAS zaten günlük güvenlik operasyonlarının bir parçası. laboratuvar deneyi değil. Liderlik sorduğunda, “Buna karşı korunuyor muyuz?” Cevap artık görüşlerden değil, kanıtlardan geliyor.
Doğrulama “her şeyi yama”yı “önemli olanı yama”ya dönüştürür
Zirvenin en keskin anlarından biri, yönetim kurulunun tanıdık sorusunun su yüzüne çıkmasıyla yaşandı: “Her şeyi yamalamamız gerekiyor mu?”
Cevap özür dilemeyecek kadar açıktı, HAYIR.
sıla-blog-video-3_1920x1080.mp4
BAS odaklı doğrulama şunu kanıtladı: her şeyi yamalamak sadece gerçekçi değil; gereksiz.
Önemli olan hangi güvenlik açıklarının olduğunu bilmek aslında sömürülebilir sizin ortamınızda. Güvenlik ekipleri, güvenlik açığı verilerini canlı kontrol performansıyla birleştirerek, puanlama sisteminin nerede olması gerektiğini söylediği yerde değil, gerçek riskin nerede yoğunlaştığını görebilir.
“Her şeyi yamamamalısın” Picus Kurucu Ortağı ve CTO’su Volkan Ertürk şunları söyledi: “Öncelikli bir maruziyet listesi elde etmek ve sizin için gerçekten istismar edilebilir olana odaklanmak için kontrol doğrulamasından yararlanın.”
Doğrulanmış önleme ve tespitle korunan bir CVSS 9.8 çok az tehlike taşıyabilirken, açığa çıkan bir sistemdeki orta şiddette bir kusur, canlı bir saldırı yolu açabilir.
Bu değişim, varsayım üzerine yama yapmaktan kanıt üzerine yama yapmaya kadaretkinliğin belirleyici anlarından biriydi. BAS sana söylemiyor her yerde sorun ne; sana söyler burada seni ne incitebilirSürekli Tehdit Maruziyeti Yönetimini (CTEM) teoriden stratejiye dönüştürüyoruz.
Başlamak için ay atışına ihtiyacınız yok
Picus güvenlik mimarisi liderleri Gürsel Arıcı ve Autumn Stambaugh’un oturumundan çıkan bir diğer önemli sonuç da şuydu: BAS büyük bir kullanıma sunulmasını gerektirmez; sadece başlaması gerekiyor.
Takımlar yaygara ya da tantana olmadan başladı ve değerlerini çeyrek dönemler değil haftalar içinde kanıtladı.
- Çoğu bir veya iki kapsam, finans uç noktası veya bir üretim kümesi seçti ve bunları koruyan kontrollerin haritasını çıkardı.
- Daha sonra veri şifreleme gibi gerçekçi bir sonuç seçtiler ve bunu gerçekleştirebilecek en küçük TTP zincirini kurdular.
- Güvenli bir şekilde çalıştırın, önleme veya tespitin nerede başarısız olduğunu görün, önemli olanı düzeltin ve tekrar çalıştırın.
Uygulamada bu döngü hızla hızlandı.
Üçüncü haftaya kadarYapay zeka destekli iş akışları zaten tehdit istihbaratını yeniliyor ve güvenli eylemleri yeniden oluşturuyordu. Dördüncü haftaya gelindiğinde, doğrulanmış kontrol verileri ve güvenlik açığı bulguları, yöneticilerin bir bakışta okuyabileceği risk puan kartlarıyla birleştirildi.
Bir ekibin simüle edilmiş bir öldürme zincirinin koşunun ortasında durduğunu izlediği an bir gün önce gönderilen bir kural nedeniyleher şey tıklandı, BAS bir proje olmaktan çıktı ve günlük güvenlik uygulamalarının bir parçası haline geldi.
BAS, CTEM’in içindeki fiil olarak çalışır
Gartner’ın Sürekli Tehdit Maruziyeti Yönetimi (CTEM) modeli: “Değerlendir, doğrula, harekete geçir” yalnızca doğrulama sürekli, bağlamsal ve eyleme bağlı olduğunda işe yarar.
Burası artık BAS’ın yaşadığı yer.
Bu, bağımsız bir araç değildir; CTEM’i dürüst tutan, maruz kalma puanlarını besleyen, kontrol mühendisliğine rehberlik eden ve hem teknoloji yığınınız hem de tehdit yüzeyi değişirken çevikliği sürdüren motordur.
En iyi takımlar doğrulamayı kalp atışı gibi yürütürler. Her değişiklik, her yama, her yeni CVE başka bir darbeyi tetikler. Sürekli doğrulamanın gerçekte anlamı budur.
Gelecek kanıtta yatıyor
Güvenlik eskiden inançla yürütülürdü. BAS, devrenin nerede arızalandığını görmek için savunmalarınızdan elektrik akımı geçirerek inancın yerine kanıtı koyar.
Yapay zeka hız getirir. Otomasyon ölçek getirir. Doğrulama gerçeği getirir. BAS artık güvenlikten bahsetme şekli değil. Bunu nasıl kanıtlayacaksın.
Yapay zeka destekli tehdit istihbaratını ilk deneyimleyenler arasında olun. Erken erişiminizi hemen alın!
Not: Bu makale Picus Security Güvenlik Araştırma Mühendisi Sıla Özeren Hacıoğlu tarafından ustalıkla yazılmış ve katkıda bulunulmuştur.