Siber güvenlik o kadar karmaşık bir alandır ki, en iyi eğitimli, en donanımlı ve en deneyimli güvenlik yöneticileri bile bazen birkaç yoldan hangisini seçeceklerine karar vermekte zorlanırlar.
Örneğin, kategorize edilmemiş web trafiğini ele alalım. Bunu genel olarak, henüz sınıflandırılmamış, sınıflandırılamayan (yeni oluşturuldukları veya park edilmiş veya yeni yeniden etkinleştirilen etki alanlarını içerdikleri için) veya (şimdilik) standart alan adı aracılığıyla çözülemeyen siteleri içeren trafik olarak tanımlıyorum. bakmak.
Kullanıcılar web’de uygun gördükleri şekilde dolaşabildikleri ve gezecekleri için, kaçınılmaz olarak kategorize edilmemiş bir siteye göz atacaklardır. Bu nedenle güvenlik yöneticileri, onu işlemek ve güvenceye almak için güvenlik politikaları oluşturmalıdır. Ve bu, ortaya çıkardığı garip soru nedeniyle yapılması kolay bir şey değil: Henüz hakkında hiçbir şey bilmediğiniz ve tanımlayamadığınız bir trafik sınıfını nasıl güvence altına alabilirsiniz?
Dengeye doğru yönlendirme
Tüm kategorilere ayrılmamış sitelere erişimi varsayılan olarak engelleyebilirsiniz. Ancak bu kadar açık sözlü bir politika aracı kullanmak, meşru sitelere erişmeye çalışan kullanıcılar için bir dizi soruna yol açabilir ve iş hızını olumsuz yönde etkileyebilir. Sistem düzeyinde, istisna işleme o kadar yaygın hale gelebilir ki, bir istisna değil, bir norm haline gelebilir ve çeşitli türlerde performans sorunları ve istisna işleme yorgunluğu yaratır.
Öte yandan, kategorize edilmemiş trafiği göz ardı ederseniz, potansiyel olarak ciddi sorunlar ve riskler ortaya çıkarırsınız.
Yönetilmeyen veya doğrudan kötü niyetli siteler tehditlerle yüklenebilir; onları ziyaret eden kullanıcılar yanlışlıkla kötü amaçlı yazılım edinebilir ve yayabilir. Kullanıcıların, sitelerin satış veya hemen sömürü için toplayacağı kimlik bilgilerini isteyerek kandırılma potansiyeli ne kadar kötü veya daha kötüyse.
Yeni kaydedilen alan adları (NRD’ler), bu durumun nasıl sonuçlanabileceğinin iyi bir örneğidir; tam da bu nedenle kötü niyetli aktörler tarafından tercih ediliyorlar. Meşru ve güvenilir etki alanlarının (kullanıcıların varyasyon olduğunu fark etmedikleri) küçük varyasyonları, kullanıcıların kafasında yanlış güven oluşturarak kimlik avı, komut ve kontrol istismarları, veri hırsızlığı ve fidye yazılımı gibi saldırılara yol açabilir.
Bu, güvenlik yöneticileri için kategorize edilmemiş trafiğin zorluğunun uygun bir orta yol bulmak olduğu anlamına gelir: kullanıcı deneyimini en üst düzeye çıkarırken güvenlik risklerini en aza indirmek ve istisnaları işlemek.
Söylemesi yapmaktan daha kolay ama bazı tavsiyelerim var. Ve uygulamanın özellikleri araçlara ve hizmetlere göre açıkça değişeceğinden, bunları genel olarak sunmaya çalışacağım.
Kategorize edilmemiş trafiği işlemek için en iyi uygulamalar
Kategorize edilmemiş tüm trafik, TLS denetimi. Bugün tüm internet trafiğinin %90’ından fazlasının şifreli olduğu göz önüne alındığında, kategorize edilmemiş trafiğin denetlenmesi, potansiyel olarak kötü amaçlı yüklere veya veri hırsızlığına karşı görünürlük sağlamak için çok önemlidir.
Yöneticiler görünürlüğü şu şekilde artırabilir: şüpheli yeni etki alanı aramasını etkinleştirme yeni kaydedilen, yeni gözlemlenen ve yeni yeniden etkinleştirilen etki alanlarını belirlemek için. Bu, yeni bilgisayar tarafından oluşturulan alanlar, güncel olaylardan ilham alan alanlar, yazım hatası yapan alanlar, bir iflastan sonra yeniden canlandırılan alanlar ve bunlar gibi kötü amaçlı yazılım yaymak için kullanılan diğer birçok senaryo üzerinde daha fazla kontrol sağlayacaktır.
kaldıraç dinamik içerik sınıflandırması kategorize edilmemiş trafiği temizlemek için. Tüm güvenli web ağ geçidi (SWG) sağlayıcılarının OEM içerik sınıflandırma hizmeti sağlayıcıları vardır, ancak bulut ölçeği göz önüne alındığında, trafiği tercih ettikleri kategoride dinamik olarak düzgün bir şekilde kategorize etmek için veri göllerinden ve içerik inceleme teknolojilerinden yararlanabilirler. Bu, bir işletmeyi yasal sorumluluk risklerinden korumak için kullanılabilir.
Mantıklı bir sonraki adım, bu tür sitelere trafiği sınırlamak muhafazakar politikalar aracılığıyla Örneğin, kategorize edilmemiş bir sitenin güvenilmeyen bir sunucu sertifikası varsa, yöneticiler bununla herhangi bir trafiği engelleyebilir. Kategorize olmayan trafik herhangi bir nedenle denetlenemiyorsa o trafiğin de engellenmesi gerekir. Yöneticiler ayrıca hem istemciler hem de sunucular için minimum Aktarım Katmanı Güvenliği (TLS) sürümleri talep edebilir ve bu gereksinimlere uymayan herhangi bir işlemi reddedebilir.
Sadece tehdit analizi değil, aynı zamanda akıllı sanal alan yöneticilere daha ayrıntılı bir güç verir. Kategorize edilmemiş sitelerden dosya indirme işlemleri daha titiz bir incelemeye tabi tutulmalıdır. Hem kötü amaçlı dosya indirmelerini hem de birinci aşama silah haline getirilmiş bir yükü olmayan şüpheli dosya indirmelerini karantinaya alma özelliğinin, içerik istisnası işleme yoluyla iş hızını etkilemesi pek olası değildir, ancak daha fazla risk azaltma sağlayacaktır.
İkaz uyarıları kategorize edilmemiş trafik durumlarında genellikle yararlıdır. Belirli bir web işlemini tamamlamadan önce kullanıcılardan CAPTCHA benzeri bir sorgulamaya yanıt vermelerini istemek, uyanıklıklarını artırır ve onları bu işlemin meşruiyeti hakkında eleştirel düşünmeye zorlar (hatta aksi takdirde daha fazla talimat için bir botnet kanalına yayınlanacak olan kötü amaçlı kodu potansiyel olarak engeller). ).
Dosya tipi güvenlik kontrolleri üç alanda noktadayız: uç nokta koruması (esas olarak yürütülebilir dosyaların/ikili dosyaların indirilmesini kısıtlayarak), veri kaybını önleme (sitelere yüklemeleri kısıtlayarak) ve son kullanıcı uyanıklığını artırma (kıymetli bir kaynak).
Veri kaybını önleme açısından, güvenlik yöneticileri, şifrelenmiş dosyaların (iş amaçları için bilinen ve gerekli olanlar dışında) yüklenmesini ve dosyanın belirli bir boyutu aştığı tüm yüklemelerin engellenmesini göz önünde bulundurmalıdır. Bu önlemler, kategorize edilmemiş siteler için iki kat önemlidir.
Alan adı hizmeti (DNS) analizi ve kontrolü da önemlidir. Yeni kaydedilen veya yeniden canlandırılan bir etki alanında barındırılan, görev açısından kritik bir uygulamaya yönelik bir iş gereksinimini nadiren görürsünüz. Bu etki alanları genellikle, DNS tüneli hırsızlığı veya kötü amaçlı yazılım barındırma için sonlandırma noktaları biçimindeki saldırı zincirlerinin parçasıdır. Tüm DNS istekleri ve yanıtları için kategorize edilmemiş trafiği engellemenizi öneririm.
Uzak tarayıcı izolasyonu (RBI) riskini de azaltabilir. Bir kullanıcı potansiyel olarak sorunlu bir web sitesine erişmeye çalıştığında, RBI o kullanıcıya o sitenin dijital bir sunumunu sunar. Siteyi temsil eden pikseller daha sonra kullanıcıya aktarılır – sitenin HTML/JavaScript/CSS dosyalarına değil. İzolasyon, tehlikeye ve hırsızlığa karşı koruma sağlayabilir ve çeşitli izolasyon profillerinin iş kullanım modelleri ve riskle uyumlu ayrıntılı yapılandırmasına izin vermelidir.
Son olarak, okuyuculara etkinleştirmelerini hatırlatırım akıllı izolasyon/öngörülü kontrol eğer mevcutsa Bunun gibi makine içgörüsü, büyük ve uygun bir veri kümesi üzerinde eğitildikten sonra otomatik ve sürekli olarak çalışır. Ve zamanla, daha fazla veriyi analiz ettikçe, giderek daha doğru hale geliyor. AI/ML, ekibinizin kimlik bilgileri toplama kampanyalarından kaçınmasına yardımcı olma konusunda özellikle iyidir, çünkü benzer bir alanda barındırılan, ustalıkla oluşturulmuş sahte siteleri tanımada insanlara göre çok daha hızlı ve daha iyidir.
Kategorize edilmemiş web trafiğine birçok ve çeşitli yaklaşımlar vardır. Güvenlik liderleri olarak, kullanıcılara mümkün olan en yüksek düzeyde olanak sağlarken her zaman riski en aza indirmeye çalışmalıyız. Künt-kuvvet, izin verme/reddetme ikilemleri sorunlu ve modası geçmiş. Umarız yukarıdakiler, daha ayrıntılı politika uygulamasına ulaşmak için eyleme geçirilebilir adımlar olarak hizmet eder.