Kuruluşların güvenlik bilgilerini ve olay yönetimi (SIEM) duruşlarını desteklemeye yönelik en iyi çabalarına rağmen, çoğu platform uygulamasında, tehdit aktörlerinin fidye yazılımı dağıtmak, çalmak için kullandıkları yaygın tekniklerin dörtte üçünden fazlasının kaçırılması da dahil olmak üzere, kapsam açısından büyük boşluklar vardır. hassas veriler ve diğer siber saldırıları gerçekleştirin.
CardinalOps’tan araştırmacılar, Splunk, Microsoft Sentinel, IBM QRadar ve Sumo Logic gibi şirketlerin üretim SIEM platformlarından gelen verileri analiz ettiler ve tüm MITRE ATT&CK tekniklerinin yalnızca %24’ünü tespit edebildiklerini gördüler. Araştırmacılar, bunun, rakiplerin SIEM tespitini atlayabilen yaklaşık 150 farklı teknik uygulayabilecekleri, ancak yalnızca yaklaşık 50 tekniğin tespit edilebileceği anlamına geliyor.
CardinalOps, şirketin bugün yayınlanan “SIEM Tespit Riskinin Durumuna İlişkin Üçüncü Yıllık Raporun” bir parçası olarak, mevcut SIEM sistemlerinin tüm bu tekniklerin potansiyel olarak %94’ünü kapsayacak kadar yeterli veri almasına rağmen bu durumu açıkladı.
Dahası, araştırmacılar raporda, kuruluşların kendi güvenlik duruşları hakkında büyük ölçüde yanıldıklarını ve “sahip olduklarını varsaydıkları teorik güvenlik ile pratikte sahip oldukları gerçek güvenlik arasındaki boşluğun genellikle farkında olmadıklarını” yazdı. Bu, “algılama duruşları hakkında yanlış bir izlenim” yaratır.
MITRE ATT&CK, kuruluşların siber saldırıları tespit etmesine ve hafifletmesine yardımcı olmayı amaçlayan, gerçek dünya gözlemlerine dayanan, düşman taktikleri ve tekniklerinden oluşan küresel bir bilgi tabanıdır. Raporun verileri, bankacılık ve finansal hizmetler, sigorta, üretim, enerji dahil olmak üzere çeşitli sektör dikeylerinde SIEM’de kullanılan 4.000’den fazla algılama kuralının, yaklaşık 1 milyon günlük kaynağının ve yüzlerce benzersiz günlük kaynağı türünün analizinin sonucudur. ve medya ve telekomünikasyon.
Tespit Başarısızlığından Sorumlu SIEM İnce Ayar Eksikliği
SIEM etkinliğinin mevcut durumuna (veya eksikliğine) katkıda bulunan temel sorun, kuruluşların düşmanları ve ortamlarına yönelik potansiyel saldırıları tespit etmek için bilgi, otomasyon ve diğer süreçleri kullanmaları için kaynaklar mevcut olsa da, hala büyük ölçüde güveniyor olmaları gibi görünüyor. Araştırmacılar, yeni tespitler geliştirmek için manuel ve diğer “hataya açık” süreçlerin olduğunu belirtti. Bu, birikmiş işleri azaltmayı ve tespitteki boşlukları doldurmak için hızlı hareket etmeyi zorlaştırır.
Gerçekten de, SIEM’lerin kendileri “sihir değildir” ve kurumsal siber risk iyileştirmesinde hizmet olarak güvenlik sağlayıcısı olan Vulcan Cyber’in kıdemli teknik mühendisi Mike Parkin, SIEM’lerin kendilerinin “sihir olmadığını” ve bunu doğru ve verimli bir şekilde yapmak için onları kullanan kuruluşlara güvendiğini belirtiyor.
“Çoğu araç gibi, konuşlandırıldıkları ortam için en iyi sonuçları sağlamak için ince ayar gerektiriyorlar” diyor. “Bu rapor sonuçları, birçok kuruluşun temelleri çalıştırdığını ancak tespit, yanıt ve risk yönetimi stratejilerini bir sonraki seviyeye taşımak için gerekli ince ayarları yapmadığını gösteriyor.”
Daha fazla algılamayı daha hızlı geliştirmek için algılama mühendisliği süreçlerini ölçeklendirme ihtiyacına ek olarak, kurumsal SIEM dağıtımlarında algılamayı tetikliyor gibi görünen önemli bir sorun, ortalama olarak kuralların %12’sinin çiğnenmiş olmasıdır, bu da ihlal edilecekleri anlamına gelir. Rapora göre, bir şeyler ters gittiğinde asla uyarı vermeyin.
Araştırmacılar raporda, “Bu genellikle BT altyapısında devam eden değişiklikler, satıcı günlüğü biçimindeki değişiklikler ve bir kural yazarken mantıksal veya kazara yapılan hatalar nedeniyle oluşur.” “Düşmanlar, kuruluşları başarılı bir şekilde ihlal etmek için bozuk algılamaların yarattığı boşluklardan yararlanabilir.”
MITRE ATT&CK Neden Önemlidir?
Araştırmacılar, 2013 yılında oluşturulan MITRE ATT&CK’nin artık “düşmanın oyun kitaplarını ve davranışlarını anlamak için standart çerçeve haline geldiğini” belirtti. Tehdit istihbaratı geliştikçe, şu anda APT28, Lazarus Group, FIN7 ve Lapsus$ gibi tehdit grupları tarafından kullanılan 500’den fazla teknik ve alt tekniği açıklayan çerçevenin sağladığı bilgi zenginliği de artıyor.
“MITRE ATT&CK tarafından sunulan en büyük yenilik, bilinen tüm düşman oyun kitaplarını ve davranışlarını (TTP’ler) kataloglamak için geleneksel saldırı öldürme zinciri modelini, uzlaşmanın statik göstergelerinin (saldırganların sürekli değiştirebileceği IP adresleri gibi) ötesine geçecek şekilde genişletmesidir.” CardinalOps araştırmacıları yazdı.
Kuruluşlar, güvenlik çabalarında kendilerine yardımcı olması için MITRE ATT&CK’yi kullanmanın değerini açıkça görüyorlar; şu anda %89’u, algılama mühendisliği için önceliklerin belirlenmesi, uyarı önceliğine tehdit istihbaratının uygulanması, ve düşman TTP’leri daha iyi anlayan araştırmacılar, çevre, sosyal ve yönetişim (ESG) araştırmasına atıfta bulunarak belirtti.
Ancak rapora göre, çerçeveyi SIEM çabalarını desteklemek için kullanmak ve onu iyi kullanmak çok farklı iki senaryo gibi görünüyor.
SIEM Açığının Kapatılması
Araştırmacılar ve güvenlik uzmanları, kuruluşların SIEM’in siber saldırı tespiti açısından yapabilecekleri ile şu anda bunu nasıl kullandıkları arasındaki boşluğu kapatmaya yardımcı olmak için atabilecekleri adımlar olduğunu söyledi.
Anahtar stratejilerden biri, otomasyon kullanarak daha hızlı daha fazla algılama geliştirmek için SIEM algılama mühendisliği süreçlerini ölçeklendirmek olacaktır; bu, şirketlerin zaten “anomali algılama ve olay yanıtı gibi SOC’nin birden çok alanında” büyük etki yaratmak için yaygın olarak kullandıkları bir şeydir, ancak çok fazla değildir. tespitte, raporda not ettiler.
Araştırmacılar, “Algılama mühendisliği işlevi inatla manuel olmaya devam ediyor ve tipik olarak özel uzmanlığa sahip ‘ninjalara’ bağlı” diye yazdı.
Bir güvenlik uzmanı, gerçekten de otomasyona odaklanmanın, sınırlı insan ve mali kaynaklarla hedeflere ulaşmak için kritik öneme sahip olduğunu kabul ediyor.
Viakoo’daki Viakoo Labs başkan yardımcısı John Gallagher, “Bu, nesnelerin İnterneti (IoT) ve operasyonel teknoloji (OT) saldırı vektörlerini içerecek şekilde otomatik algılamanın genişletilmesinin yanı sıra otomatik tehdit düzeltme için halihazırda yürürlükte olan planlara sahip olmayı içerir” diyor.
Kuruluşların karşı karşıya kalmaya devam ettiği temel zorluklardan biri, artık çok sayıda savunmasız ağa bağlı cihazı ve tipik kurumsal ağı içeren mevcut saldırı yüzeyinin, BT kuruluşunun şu anda destekleyebildiği veya yönetebildiğinin çok ötesine geçmiş olmasıdır. Gallagher diyor.
“Bu varlıkların bütünlüğünü savunmak ve sürdürmek, BT’nin bu varlıkların görünür, çalışır durumda ve güvenli olmasını sağlamak için kuruluşun diğer bölümleriyle yakın bir şekilde çalışmasını gerektirir” diyor.
Parkin, gerçekten de, kuruluşların tehdit yüzeylerinin net bir resmini elde edinceye, risklerini yönetinceye ve en önemli şeylere odaklanmak için olaylara öncelik verene kadar sorunların olacağını gözlemliyor.
“Bunu gerçekleştirecek araçlarımız var” diyor. “Ancak en iyi etki için onları konuşlandırmak ve yapılandırmak zor olabilir.”