2022’de kuruluşların %83’ü birden fazla veri ihlali yaşadı. Ancak Exabeam’e göre, yanıt verenlerin %97’si izinsiz girişleri veya ihlalleri önlemek ve tespit etmek için gereken araç ve süreçlerle iyi donanımlı olduklarından emin.
.jpg "Güvenlik ekiplerinin %65'i, en önemli güvenlik hedefleri olarak algılama, inceleme ve müdahale yerine önlemeyi hâlâ önceliklendiriyor")
“Bulgular, piyasa vaatleri ile ekip algıları arasında büyük bir kopukluğa işaret ediyor. Sonuç olarak, ekipler, büyük olayların ve ihlallerin nedenlerini belirlemek için düşman davranışına odaklanacak bütüncül görünürlükten ve bağlamdan yoksundur. Sonuç olarak, büyük ölçekli veri ihlalleri ve multi-milyon dolarlık düzeltme çabaları, kuruluşların markalarına, müşterilerini elde tutmalarına zarar veriyor ve iş ivmesi ile bütçelerinde dikkat dağıtıcı bir unsur olarak hareket ediyor,” dedi Exabeam Baş Güvenlik Stratejisti Steve Moore. .
ABD kuruluşlarında SIEM’in mevcut durumu
Tüm yanıtlayanların %46’sı birden fazla bulut veya şirket içi SIEM platformu kullanıyor. SIEM araçlarına sahip olanlar arasında:
- Bir platforma sahip olanların %64’ü siber saldırıları yalnızca düşman davranışına dayalı olarak tespit edebileceklerinden çok eminken, iki veya daha fazla platforma sahip olanların %59’u kendinden çok emin.
- Ayrıca, ABD güvenlik uzmanlarının %4’ü bir SIEM platformu kullanmadığını bildirdi ve bu yanıt verenlerin %81’i kendinden emindi.
Ancak, tüm yanıtlayanların yalnızca %17’si ağlarının %81-100’ünü görebilir. Pek çok analist tam görünürlükten yoksun olduğundan, rakiplerin karanlık köşelerde pusuya yatma olasılığı her geçen gün artıyor.
Önleme, tehdit algılama, inceleme ve yanıttan (TDIR) daha yüksek bir önceliğe sahiptir
Güvenlik ekiplerinin ihlalleri önlemek için mücadele etmesinin bir nedeni, düşmanların genellikle zaten ağda ve fark edilmeden bulunmasıdır. Bu gerçeğe rağmen:
- %65’i hâlâ en önemli güvenlik hedefi olarak tespit, soruşturma ve müdahale yerine önlemeyi önceliklendiriyor.
- Sadece %33’ü tespitin en yüksek önceliğe sahip olduğunu söyledi.
Güvenlik yatırımları bu düşünceyi yansıtır:
- %71’i güvenlik bütçelerinin %21-50’sini önleme için harcıyor.
- %59’u aynı oranda TDIR’ye yatırım yapıyor.
Moore, “Yaygın olarak bilindiği üzere asıl soru, saldırganların ağda olup olmadığı değil, kaç tane olduğu, ne kadar süredir erişime sahip oldukları ve ne kadar ileri gittikleridir” diye devam etti. “Ekiplerin bu soruyu toplumsallaştırması ve bunu, düşman uyumuna ve olay müdahalesine gerekli odağı vererek, yatırımlarını yeniden düzenlemek ve üzerinde performans gösterecekleri yazılı olmayan bir beklenti olarak ele alması gerekiyor. Önleme başarısız oldu.”
Ekipler saldırıları önleme yeteneğine aşırı güveniyor
Yanıt verenlerin neredeyse tamamı saldırıları önleyebileceklerinden emin olsa da, bu güven sorgulandığında düşüyor. Bir yöneticiye veya yönetim kuruluna, o sırada ağı hiçbir rakibin ihlal etmediğini söylemek konusunda kendilerini güvende hissedip hissetmeyecekleri sorulduğunda, yalnızca %62’si evet diyerek, üçte birinden fazlasını şüphe içinde bırakıyor.
“İş dünyası liderleri ‘Neden kötü şeyler olmaya devam ediyor?’ diye soruyor. Yanıt, güvenlik ekiplerinin kendilerine aşırı güvendiğidir,” dedi Exabeam CISO’su Tyler Farrar. “Pek çok sağlayıcı, kuruluşları normal davranışı gerçekten temellendiremeyen etkisiz bir SIEM ile bırakarak aşırı vaatlerde bulunuyor ve verilerin gösterdiği gibi, bazılarında SIEM tamamen yok. Ekipler anormallikleri tespit edemediği veya saldırıları önleyemediği için bu durum tükenmişliğe yol açıyor.”
Personel tükenmişliğini artıran platform ve süreç sorunları
Saldırılar arttıkça, güvenlik işleri her zamankinden daha talepkar hale geliyor. Ankete katılanların yaklaşık %43’ü, kötü şeylerin olmasını engelleyememeyi işlerinin en kötü yanı olarak belirtmiş ve ardından:
- Güvenlik ürünü entegrasyon sorunları nedeniyle tam görünürlük eksikliği (%41)
- Bir olayın veya hadisenin tüm kapsamını merkezileştirememe ve anlayamama (%39)
- Çok fazla yanlış pozitif (%29) ile tespit uyarılarının hacmini yönetememek
- Ağdaki tüm sorunları çözdüklerinden emin olmama (%29)
Güvenliği ihlal edilmiş kimlik bilgileri önde gelen bir saldırı vektörüdür
Exabeam, olay tespitinin karmaşıklığına ek olarak, güvenlik uzmanlarının %90’ından fazlasının güvenliği ihlal edilmiş kimlik bilgileri vakalarıyla mücadele ettiğini tespit etti. Bazı SIEM’lerin davranışsal analitiği kullanmadığını ve meşru kullanıcı eylemlerini yanlış bir şekilde kötü amaçlı olarak işaretleyebileceğini, ekiplerin önceliklendirmesi gereken yanlış pozitif uyarıların sayısını artırarak zihinsel yorgunluklarını artırabileceğini not etmek çok önemlidir.
Kör noktalar ve gürültülü uyarılarla, güvenlik ekiplerinin rakiplerin hızına yetişememesi şaşırtıcı değil:
- Sadece %11’i, tespit edilen kötü niyetli davranışların genel etkisini bir saatten daha kısa sürede ölçebilir.
- %52’si bir ila dört saat içinde analiz edebildiklerini bildiriyor.
- %34’ünün yüksek öncelikli anomalileri belirlemesi beş ila 24 saat sürüyor.
Bununla birlikte, veri hırsızlığı genellikle bir saldırının dakikalar içinde başlar ve saldırganlar yalnızca birkaç saat içinde önemli hasarlar verebilir.
Exabeam, EMEA Güvenlik Stratejisi Başkanı Sam Humphries, “Önleme araçlarına yapılan önemli harcamalara rağmen, saldırganlar hala güvenliği ihlal edilmiş kimlik bilgilerini kullanarak kuruluşlara giriyor – önleme çözümlerinin tespit edemediği” dedi.
“Güvenlik piyasasının önde olduğu ABD’de gördüğümüz modeller bunlarsa, muhtemelen EMEA ve APAC gibi diğer bölgelerde daha kötü. Neyse ki, kuruluşlar otomatik içgörüler, davranışsal analitik ve platformlar tarafından sağlanan süreçlerle tespit araçlarına yatırım yaptığında, güvenlik uygulayıcıları düşmanları tespit etmek, araştırmak ve bunlara yanıt vermek için daha iyi bir konuma sahip oluyor.”