Aşağıdaki senaryoyu hayal edin:
En son tehdit raporu, dikeyinizi hedefleyen bir grupta ortaya çıkıyor. SOC raporu hızla yayar ve taktik, teknik ve prosedürleri (TTP’ler) aramaya başlar. Her şey açık, sonuç bulunmadı. İki ay sonra aynı saldırgan çalınan verilerle şirketinize şantaj yapar.
Ne oldu? SOC TTP’leri aradı ve hiçbir şey bulunamadı. Basitçe, SOC, korumaları gereken çevre ve birlikte çalışmak zorunda oldukları veriler hakkında birçok varsayım yaptı.
2025 yılında, hem artan güvenlik talepleri hem de modern BT ortamlarının artan karmaşıklığı nedeniyle güvenlik ekiplerinin rolü gelişmelidir. Güvenlik ekiplerinin kuruluşlarını savunmada hem proaktif hem de etkili olması gerekir. Aşağıdaki dört alan esastır, ancak çoğu zaman unutulur. Magic 8 Ball’u sallamak ve güvenlik bilgileri ve etkinlik yönetiminin (SIEM) güvenilir bilgiler bildirdiğini varsaymak yerine, güvenlik ekiplerinin güvenlik stratejisi temellerine geri dönmeleri gerekiyor.
Ev Sahası Avantajını Geri Alın
Genellikle SOC’ler sadece aldıkları uyarılar ve verilerle uğraşma duruşunu almıştır. Unutulan şey, düşmana düşmanca bir ortam yaratmaktır. Bu sadece aldatma ile değil, bir saldırganın bir dayanak kazanma, erişimi genişletme veya bunları günlüğe kaydedilen bir etkinlik yapmaya zorlama yeteneğini sınırlamak için yapılabilecek temel yapılandırma değişiklikleri ile ilgilidir. Bu, ana bilgisayarların ötesine geçer, aynı zamanda ağa da uzanır. Bu, uç nokta algılama ve yanıtı (EDR) veya güvenlik araçlarını yapılandırmakla ilgili değildir, ancak işletim sistemini ve uygulamasını yapılandırmak ve güvence altına almak için BT ekibiyle çalışmakla ilgilidir. Öğeler SOC’ye ait olmasa da, şirketin güvenliği ve SOC’nin aldığı verilerin kalitesi üzerinde doğrudan bir etkisi vardır. Hizmet hesapları genellikle yüksek ayrıcalıklara sahiptir. Bu hesapların hangi sistemlerde kullanılması gerektiğini veya bu hesap kapsamında hangi faaliyetlerin olduğunu biliyor musunuz? Kullanımlarını anlamak için bu hesapların sahipleriyle birlikte çalışmak (sistemler, günün saatleri, haftanın günleri vb.) Bu hesapların kötüye kullanılması için algılamaların yazılmasına yardımcı olacaktır.
Veri hijyeni önceliklendirin
Hangi varlıkların var olduğunu, nerede var olduklarını ve soruşturmalarda yardımcı olmak için ne tür veriler üretebileceklerini bilmek çok önemlidir. Görünürlük boşluğu olup olmadığını görmek için şu anda üretebileceklerine karşı ne üretebileceklerini anlamak, araştırmalar ve analitiklere yardımcı olacaktır. Hangi günlüklerin gelmesi gerektiğini anladıktan sonra yapılandırmayı belgeleyin. Bu, kütük akışı durduğunda veya değiştiğinde yardımcı olacaktır. Ayrıca her türlü düzenleyici uyumluluk gereksinimi veya denetimlerine yardımcı olacaktır.
Hangi cihazlara ve hangi cihazlardan gelenleri anladıktan sonra, verileri arayabilir ve sonuçların doğru olmasını bekleyebilirsiniz. Örneğin, süreçle ilgili verileri toplamıyorsanız, bu tespitlerin ve süreç adlarını aramaların yararlı olmayacağını bilirsiniz.
Cihazlardan veri hacminin büyük ölçüde değişmediğini doğrulayın. Bunun nedeni, günlük ayarlarındaki bir değişiklik, bir yükseltme, sorun giderme veya sadece yapılandırmadaki bir hata olabilir. Bu sadece yeterli veri almamakla değil, bu bir sorun olsa da, çok fazla veri almanın kendi dezavantajları var. En büyüğü, SIEM mimarilerinin çoğunun, alınan belirli miktarda veriye dayanarak inşa edilmesidir. Özellikle, herhangi bir uyumluluk gereksinimlerini veya kullanım durumlarını karşılamak için depolama gereksinimleri bu varsayıma göre oluşturulmuştur. Veri hacmi artar, ancak depolama boyutu artmazsa, verilerin zaman aralığı kısaltılır.
Siber güvenlik eğitimine yatırım yapın
Genel olarak, yüksek bir değişim oranına sahiptir. Yeni teknolojiler, farklı mimari metodolojiler ve yazılım, şirketlerin iş sorunlarını çözme şeklini değiştiriyor. Saldırganların bu yeni yetenekleri nasıl kötüye kullandığına ve onlara karşı nasıl doğru savunulacağına ayak uydurmak, sürekli eğitim gerektirir. SOC için sadece sertifikalar değil, teknik kurslar alması ve uygulamalı bir öğrenme ortamına sahip olmaması için bir bütçeye sahip olmamak, SOC’nin etkili bir şekilde işlev görme yeteneğine zarar verecektir. Analistler ayrıca, bir şeyleri nasıl kuracaklarını ve korkmadan nasıl kırılacağını öğrenebilecekleri bir laboratuvar ortamına erişmeye ihtiyaç duyarlar. Bu teknolojilerin nasıl çalıştığını ve bunları savunmaya nasıl yardımcı olacaklarını daha iyi anlayabilmeleri için işletmenin kullandığı teknolojilere sahip bir laboratuvar ortamına sahip olmalıdırlar.
Arıza İç Departman Siloları
Daha fazla insan uzaktan çalışırken, kendi ekibinizde bile başkalarını tanımak zor. Harici (BT) ekipler ve iş birimleri ile ilişkiler kurmaya çalıştığınızda bu daha da zorlaşır. Çoğu zaman, bir olay şirketin birçok bölümünü etkileyecek ve bu gruplarla mevcut, olumlu, ilişkilere sahip olmak, olay müdahale sürecini daha hızlı ve daha pürüzsüz hale getirecektir. Bu ilişkiyi kuramayacaksınız ve olayın ortasına güvenmeyeceksiniz. SOC, hemen ekibinin dışındaki herhangi biriyle temasa geçtiğinde, bu takım kim olduğunuzu ve durumu düzeltmeye yardımcı olmak için ne yapacağınızı bilmelidir.
Tehditler gelişirken, saldırganların çoğu zaman sofistike saldırılar yapmak zorunda değiller. Onları içeri sokan ve hareket etmelerine izin veren basit şeyler. Hayatlarını daha da zorlaştırın. Ev sahası avantajını geri alarak, veri hijyenine öncelik vererek, eğitime yatırım yaparak ve iç departman silolarını kırarak, uygulayıcılar saldırganları yavaşlatabilir ve faaliyet göstermeleri için maliyeti artırabilir. Temeller göz ardı edilebilirken, onlara hakim olmak, siber tehditlerin patlama yarıçapını önemli zararlara neden olmadan tespit etmenin ve sınırlandırmanın anahtarıdır.
__
Neil Desai Hakkında
Siber güvenlik konusunda 25 yıllık deneyime sahip olan Neil, kariyerini örgütleri gelişen tehditlere karşı savunmaya adadı. İlk 11 yılını ABD finansal kurumlarını güvence altına alarak, esnek, izlenebilir güvenlik mimarileri tasarladı. Danışmanlığa geçiş yapan Neil, Güvenlik Operasyon Merkezleri (SOCS) ve Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) sistemlerini oluşturma ve optimize etme konusunda çok sayıda kuruluşu yönlendirdi. Son yedi yılda, müşterileri güvenlik duruşlarını geliştirmeleri için güçlendiren çözümleri şekillendirerek ürün tarafına odaklandı. Uzmanlığı, yapılandırma ve mimariden sürekli izlemeye kadar tüm savunma spektrumunu kapsamaktadır.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!