Black Hat ağını savunmak kolay bir iş değildir. Black Hat ve ortakları birkaç gün içinde ayağa kalkar; kötü niyetli tehdit aktörlerinin Black Hat’in altyapısına saldırmasını ve katılımcıların konferans deneyimini bozmasını hızlı bir şekilde tespit edip durdurmak için Ağ Operasyon Merkezi’ni çalıştıracak bir dizi araç bir araya getirir, test eder ve entegre eder. Geçtiğimiz yılki etkinlikte yaklaşık bir milyar ayrı tehdit olayı tespit edildi, bu da etkinliğin saldırganları çekmede ne kadar popüler olduğunun bir kanıtıdır. Palo Alto Networks, bir kez daha bu yılki konferans ağını ürünleriyle savunan Ağ Operasyon Merkezi (NOC) ekibinin bir parçasıdır Korteks XSOAR, Korteks XSIAM, Yeni Nesil Güvenlik Duvarları Ve Bulut Tabanlı Güvenlik HizmetleriOrtaklarımız Arista Networks, Cisco, Corelight, Lumen ve RSA/NetWitness ile yakın bir şekilde çalışıyoruz.
NOC’de bu ortak karışımına sahip olmak, yeni ürün entegrasyonları oluşturmak ve uyumsuz veri formatlarını kaldırmak için iş birliği yapabildiğimizden, ürünlerimizi iyileştirmemize ve gerçek müşteri değeri sunmamıza yardımcı oluyor. Örneğin, geçen yılki etkinliklerden birinde, bir tehdit istihbarat akışının XSOAR ile düzgün çalışmadığını tespit ettik. Ürün mühendislerimizden oluşan ekibimiz, sorunu belirleyip etkinlik boyunca düzeltebildi. Ayrıca, bu akışları ortak satıcı ürün hatları arasında daha iyi paylaşabiliyoruz ve bu da daha kapsamlı tehdit araştırması ve analizi sağlıyor.
Ayrıca, katılımcılar tarafından herhangi bir değişiklik yapılması gerekmeden DNS isteklerini sunucularına yeniden yönlendirerek DNS trafiğine ilişkin tam görünürlük sağlamak için Cisco ile çalıştık. Bu, analistlerin konferans ağında görünen AI tarafından oluşturulan trafikten meşru trafiği ayırt etmeye çalıştıkları için özellikle önemli olan DNS’e özgü tehditlerin daha doğru bir şekilde tespit edilmesini sağladı. Bir diğer NOC ortağı da Arista’dır. Ürünlerinin görünürlüğünü XSOAR’daki otomasyon oyun kitapçıklarıyla birleştirerek, bir şüphelinin hangi Wi-Fi erişim noktasını ve ağ adresini kullandığını belirleyebilir ve bir analist kötü niyetli bir durum tespit ederse bu trafiği hızla engelleyebiliriz.
Önceki Black Hat konferanslarında olduğu gibi, bu araçları NOC operasyonlarımızı otomatikleştirmek ve düzenlemek için kullanıyoruz, böylece ekip olayları verimli bir şekilde çözebiliyor. Bu olaylardan bazıları konferansın içeriğinin bir parçası olarak gerçekleşiyor, örneğin bulut altyapısına saldırı ve savunma üzerine planlanmış bir eğitim oturumunun parçası olarak bulut altyapısına yapılan saldırılar gibi. Katılımcılar ve eğitmenler, Black Hat öğrenme deneyimlerinin bir parçası olarak araçlar ve tekniklerle ağı sürekli olarak keşfediyorlar ve bunun olmasını engellemek istemiyoruz.
Ayrıca konferansın beklenen aktivitelerinin bir parçası olarak oluşturulmayan birçok gerçek tehdit de görüyoruz. Geçmiş etkinliklerde katılımcıların bilgisayarlarının tehlikeye atıldığını gördük ve onları enfeksiyon konusunda uyarabildik, böylece olay müdahalesi gerçekleştirebildiler. Katılımcıların büyük dosyaları veya çevrimiçi bir oyunun son sürümünü indirerek bant genişliğini kötüye kullandıkları durumlar oldu. İnsanların dünyanın dört bir yanından konferans altyapısına saldırmaya çalıştığını veya yasa dışı olabilecek başka eylemlerde bulunduğunu gördük, bu nedenle araçlarımızın olayın kaynağını belirleyebilmesi ve gerektiği gibi hızla müdahale edebilmesi yardımcı oluyor.
Elbette, hiç kimse insan hatasına karşı bağışık değildir ve kötü güvenlik uygulamaları veya hatalarından kaynaklanan çok sayıda olay görüyoruz, örneğin yanlış yapılandırılmış VPN istemci uygulamasının farkında olmayan bir katılımcının sızdıran Sanal Özel Ağ’ı gibi. Ayrıca, şifresi kırılmış veya şifresi olmayan uygulamaları kullanan kişileri gözlemledik, bu da gizli verilerin ağ üzerinden açık bir şekilde iletilmesine neden oldu.
Konferans ağını geçen şüpheli trafiğin hacmi nedeniyle operasyonlarımızın hızı çok önemlidir. Etkinliğin altyapısının çalışma süresi ve dayanıklılığı en büyük önceliğimizdir. Etkinliğin içeriğinin çoğu çevrimiçi kaynaklardan yararlanır, bu nedenle İnternet bağlantısı ve diğer çevrimiçi hizmetler her zaman çalışır durumda olmalıdır.
XSOAR’daki otomasyon oyun kitapçıklarımızla, konferans sırasında beklenmeyen değişikliklere uyum sağlamak için güvenlik duvarı kurallarında hızlı değişiklikler yapabiliriz. Ayrıca, bir önceki konferansta mekana zamanında ulaşamayan önemli ekipmanlardaki nakliye gecikmeleri nedeniyle gerekli olan ağ güvenliği yapılandırmasını da hızlı bir şekilde yeniden yapılandırabiliriz. Gecikme, iş yüklerinin anında yeniden sağlanması ve değiştirilen ağı korumak için erişim izinlerinin değiştirilmesi anlamına geliyordu; bu, bir altyapı bileşeni arızalandığında gerçek dünya senaryolarını taklit eder ve ayarlanması gereken çok sayıda hareketli parça vardır.
Otomasyon ayrıca NOC ekibinin zamanını iyi kullanmasına ve operasyonları ölçeklendirmesine yardımcı olur. Güvenlik operasyonları otomasyonunun gücüyle, daha sıradan görevlerden kurtuluruz ve konferansı korumak için daha karmaşık tehdit modellerini inceleyebiliriz.
Palo Alto Networks hakkında daha fazla bilgi edinmek için bizi ziyaret edin Burada.