Günümüzün standart siber güvenlik araçlarından biri, sürekli olarak kontrol etmektir. Karanlık Ağ — dünya çapında kötü adamların tercih ettiği iş yeri — işletmenizin sırlarının ve diğer bilgilerin açığa çıktığına dair ipuçları için fikri mülkiyet sızdırıldı.
Sorun şu ki, çok fazla bilgi güvenliği şefi (CISO) ve güvenlik operasyon merkezi (SOC) yöneticisi, herhangi bir hassas şirket bilgisi bulduklarında, bunun açıkça kurumsal sistemlerine başarılı bir saldırı yapıldığı anlamına geldiğine dair düşünmeden bir varsayımda bulunuyorlar. Çok iyi olabilir bu demek oluyor ama aynı zamanda yüzlerce başka anlama da gelebilir. Veriler kurumsal bir bulut sitesinden, gölge bulut sitesinden, bir çalışanın evdeki dizüstü bilgisayarından, kurumsal bir yedekleme şirketinden, kurumsal bir felaket kurtarma firmasından, bir akıllı telefondan, bir tedarik zinciri ortağından veya hatta bir flash sürücüden alınmış olabilir. bir arabadan çalındı.
Rutinle uğraşırken fikri mülkiyet Müşterinin kişisel bilgileri (PII), sağlık verileri, ödeme kartı kimlik bilgileri veya askeri silah sistemi planları da dahil olmak üzere bunların bir versiyonunun ele geçirildiğini öğrenmek faydalıdır. Ancak hırsızlığın nerede, ne zaman ve nasıl gerçekleştiği belirleninceye kadar bu konuda ne yapılacağını bilmek neredeyse imkansızdır.
Bazı durumlarda cevap “hiçbir şey” olabilir. Sisteminizdeki en hassas dosyalardan bazılarını göz önünde bulundurun: API anahtarları, erişim belirteçleri, parolalar, şifreleme/şifre çözme anahtarları ve erişim kimlik bilgileri gibi sırlar.
Her şey düzgün bir şekilde izleniyor ve günlüğe kaydediliyorsa ekibiniz, bulunan Dark Web sırlarının zaten rutin olarak devre dışı bırakıldığını keşfedebilir. Bu nedenle başka bir işlem yapılmasına gerek kalmayacaktır.
Bununla birlikte, çoğu kuruluş, bir şey bulduklarında uygun sonraki adımları etkili bir şekilde belirleyebilmek için yeterli kodlama veya diğer izleme ayrıntıları olmadan Dark Web'i takip ediyor.
Ayrıntıları Doğru Anlamak
Çoğu CISO, Karanlık Web'deki sırları keşfetmenin, bunların ele geçirildiği anlamına geldiğini biliyor. Ancak uygun ayrıntılardan yoksun oldukları için sıklıkla aşırı tepki verirler veya uygunsuz tepki verirler ve aslında tamamen gereksiz olabilecek pahalı ve yıkıcı değişiklikler yaparlar.
Bu, Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) ve Menkul Kıymetler ve Borsa Komisyonu(SEC'in) siber güvenlik gereklilikleri — hatalı varsayımlara dayanmaktadır. Bu durum, işletmeyi gerekli olmadığında stok düşüşlerine ve uyum cezalarına maruz bırakma potansiyeline sahiptir.
Karanlık Web'deki bir sırrın yaşam döngüsü (değeri, kullanımı ve alaka düzeyi) zamanla değişir. Bu yaşam döngüsünü anlamak, CISO'ların rotasyon veya ek koruma için hangi gizli dizilere öncelik vereceği konusunda bilinçli kararlar almasına yardımcı olabilir. Örneğin geçici projelerle ilgili sırlar, uzun süredir devam eden altyapıya bağlı olanlardan daha hızlı bir şekilde ilgisiz hale gelebilir. Dark Web'i izlemek, sırlarınızın orada olup olmadığını anlamak ve bu sırların üzerine meta veriler ve bağlam eklemek, hangi sırların şu anda saldırganlar için değerli olduğunu ve acil eylem gerektirdiğini anlamanın anahtarıdır.
Yanlış Varsayım Tehlikesi
Keşfedilen materyal hassas veri dosyaları, özellikle de kişisel olarak tanımlanabilir bilgiler (PII), sağlık hizmetleri ve finansal veriler gibi yüksek düzeyde düzenlemeye tabi veriler olduğunda durum biraz farklıdır. Ancak keşif ek araştırmayı tetiklemelidir. Bir sonraki adım eylemse, ekibiniz hatalı varsayımlara dayanarak yanlış eylemde bulunabilir.
Öncelikle ne kadar veri bulundu? Bu verilerin bulunabileceği tek yer şirketiniz mi? Bu veriler ilgili şirketlerin sistemlerinde de mevcut olabilir mi? İhlal edilenler onlar mıydı? Her şeyin tam olarak kodlanması ve etiketlenmesinin temel nedenlerinden biri de budur.
Verilerin gerçekten bir şekilde şirketinizin sistemlerinden alındığı belirlendikten sonra kodlamaya geri dönmemiz gerekiyor. Şirket içi operasyonlarınızda bulunan dosya mı çalındı? Bir bulutun üzerinde mi? Bulut ise hangi bulut? Bu, analiz için bir ay önce pazarlama ekibinize verilen veriler mi?
Veriler her kopyalandığında ve paylaşıldığında, nasıl, neden ve ne zaman çalındığını belirlemek için günlükler ve meta veri zenginleştirmeleri kullanılarak geriye doğru takip edilebilir. İdeal olarak bu, ekibinize ele alınması gereken bir açığın nerede olduğunu söyleyecektir.
Gizli araçlara geri dönelim. Bu anahtarın süresi zaten dolmuşsa, muhtemelen Dark Web'de olup olmadığını umursamazsınız. (Muhtemelen bilmek istiyorsunuz çünkü bu henüz keşfedilmemiş bir ihlal hakkında bir ipucu olabilir, ancak yanıt çok daha az rahatsız edicidir.) Bulunan makine anahtarlarının hala aktif olduğunu varsayalım. Bu açıkça bir sorundur. Çözüm – bu konuda ne yapılacağı – açık olmaktan çok uzaktır. Programatik erişim anahtarları, altyapınızın büyük bir kısmına erişim sağlayabilir. Hırsızın bakış açısından bu mümkün olan en değerli veridir. Bunlar krallığınızın meşhur anahtarları. Düzgün ve hızlı bir şekilde ele alınmazsa oyun bitebilir.
Amaç ne? Çalınan verileri veya anahtarları keşfettiğinizde artık çok geç. Kritik bağlam, oluşturulduğu anda oluşturulmuyor ve her anahtara eklenmiyorsa ve herhangi biri tarafından herhangi bir yere taşındığı anda değiştirilmiyorsa, ihlal ayrıntılarını daha sonra keşfetmek çok daha zor bir görevle karşı karşıya kalır. Dünyanın en iyi adli tıp ekiplerinin, en başta eklenmemişse bir anahtarın geçmişini takip etmesi uzun yıllar alacaktır.
En İyi Uygulamaların Oluşturulması
Tüm kullanım ve etkinlikleri takip etmek için ayrıntılı ve titiz karma mekanizmaları da dahil olmak üzere, tüm sırlarınızın sıkı bir şekilde kontrol edilen bir envanterini tutmanız gerekir. Bu, makine kimlik bilgilerinizin tüm etkinliklerini gerçek zamanlı olarak izlemenin tek geçerli yoludur. Bunu agresif bir şekilde yaparsanız, çalınan bir makinenin kimlik bilgisinin Dark Web'e ulaşmadan ve en yüksek teklifi verene satılmadan çok önce haberdar olmanız gerekir.
Bir başka en iyi uygulama da, denklemi daha da fazla gürültüye sokmak için Dark Web'i ve diğer kötülük yapanları sahte dosyalarla düzenli olarak bombalamaktır. Bu, bazı ayrımcı kötü adamların, verilerinizin geçerli olup olmadığından emin olmadıklarında verilerinizden tamamen kaçınmalarına neden olabilir.
Sonuç olarak: Dark Web'deki her şeyi takip etmek kritik bir görevdir. Ancak tüm hassas verilerinizi önceden etiketlemediyseniz ekibiniz olması gerekenin tam tersi kararlar alabilir. Dark Web'de çalınan sırlar düşmanınız, tonlarca içerik ise dostunuzdur.