15 yılı aşkın bir süredir gelişen siber güvenlik endüstrisinin bir incelemesi
James “Jim” McMurry, CEO / Kurucu, Milton Security, Inc.
Siber güvenliğin bugün on beş yıl öncekiyle aynı olduğunu kimse iddia edemez. Son on buçuk yılda gelip geçtiğini gördüğümüz çok sayıda trend ve şirket oldu, ancak en ilgi çekici olan, endüstrinin evrimi ve Dinamik Tehdit Avcılığının (DTH) ortaya çıkışıdır. Dynamic Threat Hunting’in tam olarak ne olduğuna ve endüstri normlarından nasıl farklı olduğuna birazdan değineceğiz, ancak önce, bu noktaya nasıl geldiğimize dair bir zemin sağlamakta fayda var.
Tüm iyi hikaye anlatımlarında olduğu gibi, her şeyi birbirine bağlamamıza ve kilit noktaları daha iyi anlamamıza yardımcı olacak merkezi bir metafora sahip olmak önemlidir. Bu durumda, klasik Truva Atı hikayesini kullanacağız, çünkü birincisi hikaye iyi biliniyor ve ikincisi, gözlemlediğimiz ve vaaz ettiğimiz Dinamik Tehdit Avına evrimi görselleştirmeye yardımcı olan istisnai bir iş yapıyor. yıllarca.
Truva Savaşınız
Yunan mitolojisine bakıldığında, Truva Savaşı, MÖ 13. veya 12. yüzyılda Yunanlılar ve Truva halkı arasında yapıldı. Savaşa yol açan olaylara girmeyeceğiz, çünkü bunlar alakasız, ancak önemli birinin kaçırıldığını bilin – Taken filmini hiç gördünüz mü? Evet, aynen böyle. Yunanlılar umutsuzca şehrin savunmasında herhangi bir zayıflık bulmaya çalışırken, savaş oldukça uzun bir süre devam etti… ta ki bir gün pes edene kadar.
Bu alıştırma için kuruluşunuzun Truva şehri olduğunu varsayalım. Hayır, kimseyi kaçırmadın ve kimseye haksızlık etmedin, sadece kendi işini yapıyorsun, krallık olarak başarılı olmaya çalışıyorsun. Şehri savunmak için bir ekip kurmaya çağrıldınız. Şehrin sorunsuz bir şekilde işlemesini sağlamak için hepsinin kendine özgü görevleri ve görevleri olan binlerce kişinin yaşadığı geniş bir alandır. Şehri çevreleyen, içerideki insanlar ve mallar için ilk savunma ve koruma hattını sağlayan büyük bir kapı var.
Kapının dışında bilinmeyen, şehri kuşatmaya çalışan kötü niyetli tehdit gruplarıyla dolu, korunan bilgiler, zenginlikler ve hatta normal operasyonları bozmak için ellerinden gelen her şeyi ele geçirmeye çalışan, şehrin parasını kana bulayan bir noktaya kadar uzanıyor. Tek yapmaları gereken içeri girmenin tek bir yolunu bulmak.
Truva ordusunun komutanı olarak şehri savunmaya ne dersiniz?
Statik Güvenlik Operasyon Merkezi ile Troya’yı Savunmak
Şehir surunun tepesine, kilometrelerce öteyi görebilen nöbetçiler yerleştirmeye karar veriyorsunuz. Talimatlarınız, gördükleri her şeyi ve her şeyi size rapor edecekleri konusunda açık. Arkanıza yaslanın ve bekleyin ve neredeyse anında bir haberci kapıyı çalar. İçeri girerler ve size Jane’in şehir bahçesine çiçek diktiğini söylerler.
Pekala, bu harika, ama tam olarak aklınızdaki gibi değil.
Haberci çıkarken kapı bir kez daha vurulur. Size birinin at sırtında duvara yaklaştığını söyleyen başka bir haberci. Harika. Aradığınız bilgi türü buydu. Haberciye gidip daha fazlasını öğrenmesini ve rapor vermesini söyle.
Onlar gitmeden önce, bir kez daha vurulur ve kapı açıldığında, koridorda uzanan bir dizi haberciye bir göz atarsınız ve daha fazlası gelir. Her biri size bir parça bilgi sunar ve çoğu rapor şehirdeki günlük olaylarla ilgilidir. Birisi ekmek pişiriyor, demirci at nalı yapıyor ve başka biri süt dağıtıyor.
Gelen o kadar çok veri var ki, risk profilinizle neyin tehdit oluşturduğunu ve neyin normal günlük aktivite olduğunu anlamaya çalışmaktan tamamen bunalmış durumdasınız.
Böylece Statik Güvenlik Operasyon Merkezi doğar. Tüm ağ verilerinin, neler olup bittiğine dair net bir resmin olmadığı bir yer. Attaki kişi kimdi? İlerlemeye devam mı ettiler yoksa dönüp farklı bir yoldan mı gittiler? Tehdit sayılabilecek bir şey taşıyorlar mıydı? Sadece o haberciyi bulmanız ve başka bir şeyle görevlendirilmediklerini veya yanlış yönlendirilmediklerini ummanız gerekir.
Statik bir SOC oluşturan kuruluşlar, hızla verilerle aşırı yüklendi ve bu veriler etrafında bağlam yoktu. Böylece, talimatlarınızı habercilere ayarlamaya ve onlara sadece şehrin duvarlarının dışında neler olup bittiğini bildirmelerini söylemeye karar veriyorsunuz.
Bağlam Odaklı Güvenlik Operasyonları Merkezi ile Troy’u Savunmak
Ertesi gün, habercilerin sırası çok daha kısadır. En azından bu iyi bir başlangıç. Gözlemlerini girmeye ve raporlamaya başlayana kadar.
Her birinin görünüşte korkutucu bir mesajı var. Surların dışında toplanmaya başlayan gruplar vardı. Her grubun net bir lideri vardı ve bir şeyler planlıyor gibiydiler. Her lider grubuyla konuşuyor, şehri işaret ediyor, bir parşömene, belki bir haritaya bakıyor ve toprağa bir şeyler çiziyordu.
Gün geçtikçe, haberciler gelmeye devam ediyor, aynı miktarlarda değil, ama hepsi aynı raporu veriyor gibi görünüyor. Şehir dışında toplanan bu gruplar hakkında ne yapmanız gerektiğini belirlemenize yardımcı olacak herhangi bir bilgi eklenmeden aynı şeyi tekrar tekrar duyarsınız.
Burası, içeri akan tüm veriler etrafında bağlam sağlamaya yardımcı olan güvenlik araçlarının ve platformlarının ortaya çıktığını görüyoruz. Bu, kuruluşların daha iyi bir resim çizmeye başlamasına yardımcı oldu – belki de dikkat etmemiz gereken bir şeyler oluyor. Tıpkı habercileriniz gibi, göz alabildiğine uyarılarınız var. Ve şimdi, bir şey planladıklarından, hatta daha da kötüsü, zaten savunmaların eline geçmiş bir şey olduğundan ve sadece bir sinyal beklediklerinden endişelenmeye başlıyorsunuz.
Tüm hareketler değil, sadece olağan dışı görünen her şey için duvarların içinde şüpheli hareketler olup olmadığını tekrar izlemeye başlamak çok mantıklı. Ve muhtemelen nöbetçileri olası bir ihlale karşı savunmaya yardımcı olacak zırh ve silahlarla donatmanın zamanı geldi.
Yönetilen Tespit ve Müdahale (MDR) ile Troy’u Savunmak
Ertesi gün yeni talimatları nöbetçilerinize veriyorsunuz ve Troy’un korunmasına yardımcı olmak için erzakların teslim edilmesini sağlıyorsunuz. Haberciler gelmeye başlar ve bir gecede, şehrin dışında uzakta toplanan gruplara odun ve çivi teslimatı yapıldığını size bildirirler. Malzemelerin ne için olduğundan veya kimin teslim ettiğinden emin olmayan gruplar birlikte çalışmaya başlıyor gibi görünüyor. Farklı bölümler arasında, aralarında gidip gelen, yön ve emir veren açık bir lider vardır.
Ara sıra, at sırtında birkaç kişi duvara daha yakın biner ve nöbetçiler tehdidi caydırmak için ok atarlar. Haberciler, her ok atıldığında bu aktiviteyi bildiriyorlar. Her şey çalışıyor gibi görünüyor. Şehri başarıyla savunuyorsunuz ve tehditleri dışarıda tutuyorsunuz.
Planınızdan oldukça emin hissederek, akşam için emekli oluyor ve ertesi günü dört gözle bekliyorsunuz. Umuyoruz ki, çevre güvenliğini aşma yeteneğinin olmaması, duvarın dışındaki grupları hayal kırıklığına uğratır ve sonunda dağılırlar.
Yönetilen Tespit ve Müdahale, bir süredir siber güvenlik endüstrisi için statüko olmuştur. Yine de, MDR’nin yolda olduğu ve kapılarınızın dışında neler olup bittiğine dair daha net bir resim çizme yeteneği nedeniyle Genişletilmiş Tespit ve Yanıtın (XDR) devralacağı bir zaman vardı.
Aynı sürecin yıllarca sürdüğünü hayal edin. Aynı olaylar tekrar tekrar rapor ediliyor. Her gün daha fazla tahta ve çivi teslim ediliyor. Birkaç kişi kapıları kırmaya çalışır, ancak savunmanız tarafından caydırılır. Devam ediyor ve gidiyor. İşte buna olay yorgunluğu diyoruz ve gözlemlediğimiz şey, sonunda ekibinizin ayrıntılara dikkat etmekten bıktığı. Dışarıdan şehir tamamen güvenli görünüyor ve endişelenmenize gerek yok.
Harika. Bir sabaha kadar dışarıdaki gruplar gitti. Aynen böyle, hepsi ortadan kayboldu ve geriye kalan tek şey, kapının hemen önüne park etmiş ve üzerinde “Sana bir hediye” yazan bir not olan tahta bir at.
Ne yapıyorsun?
Dinamik Tehdit Avcılığı (DTH) ile Truva’yı Savunmak
Bu noktada, hikayeyi hepimiz biliyoruz. Şehir sevinir ve hediye, şüphelenmeyen Truva şehrinin düşmana düştüğü yere getirilir.
Yerel kereste fabrikası işçilerinin son 10 yıldır şehrin ihtiyaç duyduğundan daha fazla odun öğüterek fazla mesai yaptığını bilmek güzel olmaz mıydı? Ya da demircinin fazladan zamanını milyonlarca çivi ve alet yapmak için harcadığını mı?
Gecenin karanlığında şehrin içindeki insanlarla dış tehdit gruplarının liderleri arasında görüşmeler yapıldığını anlamak harika olmaz mıydı? Birlikte, nöbetçileri aldatmak ve fark edilmekten kaçınmak için yaratıcı bir plan mı yapıyorlardı?
Her ihlalin kendi içinde bir tehdit bileşeni yoktur, ancak bazen insanlar, süreçler ve teknoloji kendilerini kolay bir hedef haline getirir. Bir kimlik avı e-postasında bir bağlantı tıklandığında, saldırganın artık o makine üzerinde mutlak kontrole sahip olması için herkese kendi bilgisayarına yerel yönetici hakları atamak gibi.
Dinamik Tehdit Avcılığı, yalnızca verileri toplayan ve analiz eden değil, aynı zamanda gerçek zamanlı olarak veri toplayan ve analiz eden akıllı, bağlama duyarlı ve tam zamanında bir güvenlik operasyonu sağlamak için AI ve ML’nin kablo hızını insan Tehdit Avcılarının yaratıcı anlayışıyla eşleştirdiğiniz zamandır. saldırganlar gibi düşünür ve verilerin, uyarıların ve olayların ötesine bakar.
Eğitimli Tehdit Avcısı için basit bir günlük etkinlik, bir keşif seansını derin bir ava dönüştürmenin anahtarı olabilir. Bunu, dünyada ve ağınızda olup bitenlerle ilgili mesajları işleyen makinelerin ve telemetrinin hızıyla eşleştirerek, kristal netliğinde bir resim ortaya çıkarılabilir. Oradan, saldırıyı gerçekleşmeden önce kesebilir ve kuruluşunuzu güvende tutabilirsiniz.
Troy’u savunmak, tıpkı organizasyonunuzu korumak gibi, muazzam bir görevdir ve hiçbir alet veya platform tek başına bu işi bitirmez. Aynı şekilde, sorunu çözmek için bir sürü ceset de fırlatamazsınız. Dinamik Tehdit Avını başarılı bir şekilde gerçekleştirmek için ikisinin uyum içinde çalışması gerekir.
Tüm gürültüyü görme ve samanlıktaki iğneyi bulma becerisine sahip bir Dinamik Tehdit Avcılığı ekibini ayağa kaldırmak kolay bir iş değil, ancak Milton Security’nin son 15 yıldır üzerinde çalıştığı şey bu. İlk Dinamik Tehdit Avı sağlayıcısıydık ve bunca zamandan sonra hâlâ lideriz.
yazar hakkında
James “Jim” McMurry, Dinamik Tehdit Avcılığında dünya lideri olan Milton Security’nin Kurucusu ve CEO’sudur. Güvenlik, Bilgi Teknolojisi, Telekomünikasyon, Ağ Oluşturma, Yönetim ve Yazılım geliştirme alanlarında 30 yılı aşkın birleşik deneyime sahip olan James, tüm kuruluşların erişebileceği olağanüstü ağ güvenliği sağlama vizyonuyla Milton Security’yi kurdu.
Milton Security’yi 2007’de piyasaya sürmeden önce, Körfez bölgesinde ve çevresinde yeni başlayanlardan Fortune 1000’e kadar geniş bir şirket yelpazesiyle çalıştı. Ayrıca USCGC Taney ve USCGC Morgenthau gemilerinde ABD Sahil Güvenlik üyesi olarak gururla görev yaptı.
McMurry’nin Bourbon’a tutkusu ve pancardan derin bir nefreti var. Her ikisini de açıkça herkesle paylaşır.
Milton Security hakkında daha fazla bilgi için lütfen https://miltonsecurity.com adresini ziyaret edin; James hakkında daha fazla bilgi için onu LinkedIn, Instagram ve heyecan.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.