Siber güvenlik bir savunma oyunu değil – bu bir beklenti oyunu. Yine de çok fazla CISO ve güvenlik lideri hala kontroller, uyumluluk ve algılama eşikleri açısından düşünüyor. Bu arada, rakipler avcılar gibi düşünüyorlar. Zihniyet boşluklarını teknik olanlar kadar kullanıyorlar. İhlal boşluğunu kapatmak için Cisos saldırganlar gibi düşünmeye başlamalıdır.
Bir siber tehdit istihbarat analisti ve kırmızı takım stratejisti olarak 20 yılı aşkın bir süredir, bu alanı yöneten bir gerçeği öğrendim: Saldırgan psikolojisini hafife almak çoğu kurumsal güvenlik programındaki en büyük kör nokta.
Tehdit aktörleri sadece teknisyenler değil, stratejistler
İster ulus-devlet veya yetenekli bir fidye yazılım ortaklık grubu tarafından desteklenen bir uygunlukla karşı karşıya olun, başarıları nadiren sıfır günlere bağlıdır. Savunucuların nasıl düşündüğünü ve sonra bir adım önde kalmayı bilmiyor.
Saldırganlar keşif, aldatma ve yanal harekete güvenir çünkü kurumsal güvenlik içindeki insan kalıplarını anlarlar:
– SoC yorgunluğu = daha fazla uyarı gürültüsü = daha kolay kaçış
-İmzalara aşırı bağımlılık = davranışsal anomalilere kör noktalar
– Rijit Playbooks = Öngörülebilir Yanıt Pencereleri
Zihniyetleri: “Alarm zillerini tetiklemeden çevrenin içinde nasıl yaşayabilirim?” Bu hackleme değil – sızma psikolojisi.
Vaka çalışması: Sessiz Kurt Operasyonu
Bir kırmızı takım katılımında liderlik ettim, bir finans firmasına karşı kalıcı bir düşmanı simüle ettik. Brute-Force kimlik avı kampanyası başlatmak yerine sabrı silahlandırdık. İki hafta Profil Yardım Masası davranışını, iç yüklenicileri taklit eden sahte kimlikler inşa ettik. İlk erişim, kötü niyetli bir yük değil, gevşek bir taklitten geldi.
EDR’yi devre dışı bırakarak değil, imzalı ikili dosyaları ve güvenilir yolları kullanarak atladık. Alarmları gezmedik – çünkü mavi takım gibi düşündük ve görünürlüğü etrafında dans ettik.
Ders: Araçlar gelişir, ancak saldırgan psikolojisi – karışma açlığı – tutarlı olur. Ve çoğu savunucu bu disiplin seviyesini tahmin etmek için eğitilmemiştir.
Cisos’un tehdit aktörlerinden ne kabul etmesi gerekiyor
- Asimetrik düşünme: Saldırganlar beklenmeyenleri ararlar. Cisos, takımlarını, sanki düşmanmış gibi kendi sistemlerini tehdit etmeye zorlamalıdır.
- Savunma Olarak Aldatma: Honeypotlar, sahte kimlik bilgileri ve tuzaklar artık isteğe bağlı değil – saldırgan maliyetini artırmak için gereklidir.
- Canlı ateş testi: Yıllık kalem testleri modası geçmiş. MITER ATT & CK gibi düşman emülasyon çerçeveleriyle kırmızı/mor bir ekip kullanarak kalıcı tehditleri simüle edin.
- Duygusal Zeka: Tehdit aktörlerinin genellikle psikoloji üzerinde oynadığını anlayın – acil, güven ve rutin. Savunma farkındalık eğitimi sadece kimlik avı değil, insan davranışını ele almalıdır.
Kırmızı Takım Zihniyeti: CISO Hazırlık Kontrol Listesi
-SOC’umuz düşük ve yavaş TTP’leri tanıyor mu?
-Kimlik tabanlı anormallikleri izliyor muyuz (sadece kötü amaçlı yazılım değil)?
– Sadece EDR’ye güvenmeden yan hareketi tespit edebilir miyiz?
– Kimlik Sağlayıcı Etkinliklerini Girişiyor muyuz?
– Düzenli tehdit emülasyon senaryoları yürütüyor muyuz?
– Tehdit Intel sadece reaktif değil, eyleme geçirilebilir mi?
Son Düşünceler
Savunucuların saldırgan olmalarına gerek yok. Fakat psikolojilerini anlamalılar. Savaş alanı değişti: artık daha yüksek duvarlar inşa etmekle değil, kimin onlara tırmanmaya çalıştığını ve nasıl yapıldığını anlamak.
Bu zihniyeti kucaklayan Cisos’un ihlal edilmesi daha zor olmayacak. Tahmin etmek imkansız olacak.
Yazar hakkında
Nullc0d3 olarak çevrimiçi olarak bilinen Ahmed Awad, saldırgan ve savunma siber güvenliğinde 20 yılı aşkın uygulamalı deneyime sahip kıdemli bir siber tehdit istihbarat analistidir. Hacker Hunter’ın zihninin ve hacker Hunter’ın araç setinin içinde. Ahmed, küresel olarak kırmızı ve mavi takımları eğitmiştir ve rakip öykünme, kötü amaçlı yazılım analizi ve siber savaş stratejisi konusunda uzmanlaşmıştır. Ona LinkedIn, Twitter’da (@nullc0d3r) veya https://ahmediwadnullc0d3.pro adresinden ulaşılabilir.