Bu Help Net Security röportajında, DVULN Kurucusu Jamieson O’Reilly, insan davranışı, karar verme ve gelişen siber tehditlere verilen tepkilerden kaynaklanan zorluklara ışık tutarak düşman simülasyonlarını tartışıyor.
Kırmızı ve mavi takımlar arasındaki etkileşimi ortaya çıkaran O’Reilly, başarılı simülasyonlar için hayati önem taşıyan temel ölçümlerden, pratik hususlardan ve işbirliğine dayalı stratejilerden bahsediyor.
Rakip simülasyonları yürütürken kuruluşların karşılaştığı en önemli zorluklar nelerdir?
Organizasyonların rakip simülasyonları yürütürken karşılaştığı temel zorluk insan unsurudur.
Düşman simülasyonları yalnızca teknik egzersizler değildir; aynı zamanda insan davranışını, karar verme sürecini ve çeşitli saldırılara verilen yanıtları anlamada derin köklere sahiptir. İnsanların güvenlik ortamlarındaki öngörülemezliği ve çeşitli tepkileri, simülasyonları karmaşık hale getirir.
Kuruluşların, teknik zafiyetler kadar insan zaaflarından da yararlanan gerçek dünyadaki düşmanları simüle etmek için taktiklerini ve yaklaşımlarını sürekli olarak uyarlamaları gerekmektedir.
Genel saldırıları engellemek için bir güvenlik duvarı yapılandırmak bir şeydir; Karışıma insanları eklediğinizde bu tamamen farklı bir oyundur. Kuruluşunuzdaki her kişinin kendine ait değerleri, tercihleri, hobileri ve ideolojileri vardır ve bunların tümü saldırganlar tarafından onlara karşı kullanılabilir; bunun için bir güvenlik duvarı ayarı yoktur.
Rakip simülasyon yeteneklerini başlatmak veya geliştirmek isteyen kuruluşlara ne gibi tavsiyelerde bulunursunuz?
Kuruluşlar, rakip simülasyonlarına başlarken nihai hedefe öncelik vermelidir: rakibin başarısız olmasını sağlamak.
Bu sadece iş dünyasının paydaşlarını etkilemek amacıyla yapılan bir gösteri değil. Bu, kuruluşun savunmasını, gerçek dünyada karşılaşacakları aynı tür yaratıcılığa karşı titizlikle test etmek ve güçlendirmekle ilgilidir.
Bu sürecin kritik bir yönü, güvenlik ekiplerinin korudukları işletmeyi derinlemesine anlamalarıdır. Bu sadece teknik altyapıyı bilmekle ilgili değil, aynı zamanda işletmenin kendine özgü süreçlerini nasıl yürüttüğünü ve yararlanılabilecek ince nüansları tam olarak anlamakla da ilgilidir.
Güvenlik ekipleri genellikle işin satış ve pazarlama gibi insani kısımlarından ayrı bir siloda çalışır ve bu da iş açısından açıkça görülen potansiyel saldırı vektörlerinin gözden kaçırılmasına yol açabilir.
Bu sorunu çözmek için işlevler arası öğrenmenin teşvik edildiği ve kurumsallaştırıldığı bir ortam oluşturmak çok önemlidir. Örneğin satış ekibini güvenlik personelinin eğitimine dahil edin. Satış ekibinin X ürününü nasıl sattıklarına ilişkin içgörüleri, bir rakibin bu iş süreçlerini nasıl hedef alabileceğini veya istismar edebileceğini anlamak açısından çok değerli olabilir.
Bu tür bir bilgi aktarımı, güvenlik ekiplerinin işi yakından tanıyan saldırganlar gibi düşünmesine olanak tanır ve benzersiz tehditleri daha etkili bir şekilde tanımlamalarına ve azaltmalarına olanak tanır.
Temel olarak, işe saldırmak için işi öğrenin.
Kırmızı takım egzersizlerinin pratik ve güvenli olmasını sağlamak için en iyi uygulamaları paylaşabilir misiniz?
Açık sınırlar ve angajman kuralları belirleyin. Bu, hangi sistemlerin hedef alınabileceğini tanımlamayı, kritik operasyonların kesintiye uğramamasını sağlamayı ve önemli olumsuz etki riski anında söz konusu olduğunda tatbikatları durduracak prosedürlere sahip olmayı içerir.
Ayrıca tatbikatlar, gerçekçi saldırı senaryolarını olabildiğince yakından taklit edecek ve zarar vermeden değerli öğrenme deneyimleri sağlayacak şekilde tasarlanmalıdır. Düzenli bilgilendirmeler, kullanılan taktiklerin etkinliğini ve mavi ekibin tepkisini analiz etmek ve güvenlik duruşunda sürekli iyileştirme sağlamak açısından çok önemlidir.
Bu tatbikatların planlanması ve yürütülmesine yasal ve etik hususların dahil edilmesi de önemlidir.
Başarılı bir rakip simülasyonunda kırmızı ve mavi takımlar arasındaki işbirliği ne kadar önemlidir?
Çok yetersiz bir ifadedir. Hiç silah bile ateşlemediğinizi ama bir ay içinde savaşa gitmeniz gerektiğini hayal edin.
Gemiye gönderilmeden önce eğitim almanız için yalnızca bir ay süreniz var, bu nedenle uzun savaş deneyimine sahip ve bazı eğitim silahları verilen özel kuvvetler eğitmeninin eşliğinde bir eğitim bölgesine yerleştirilme şansına sahip oluyorsunuz.
Şimdi, inatçı olduğunuzu ve onun tavsiyesine uymak istemediğinizi, bu yüzden de ortalıkta dolaşıp gerçekçi olmayan şeyler yaptığınızı, savaş alanında işinize asla yaramayacak şeyler yaptığınızı hayal edin.
Ayın sonunda hayatta kalma konusunda biraz daha iyi olabilirsiniz. Ama nedenini bile bilmiyorsun. Şimdi bunu, eğitmeni dinleseniz, alıştırmaları yapsanız ve sonunda oturup sonuçlar üzerinde birlikte çalışsanız ne kadar öğreneceğinizle karşılaştırın.
Aynı şey kırmızı takım angajmanları için de geçerlidir. Bu iki yönlü bir yol, sidik testi değil.
Rakip simülasyon uygulamalarının başarısını ölçmek için hangi ölçümler veya KPI’lar çok önemlidir?
Bu nedenle birçok kişi heyecanlanıyor ve rakip simülasyon egzersizlerinin temel amacının saldırı yollarını belirlemek ve en aza indirmek olduğunu unutuyor. Bu nedenle, bu alıştırmalara ilişkin KPI’lar, simülasyonun bu yolları ne kadar etkili bir şekilde ortaya çıkardığını ve azalttığını değerlendirecek şekilde seçilmelidir.
Bu, yalnızca güvenlik açıklarını tanımlamayı değil, aynı zamanda bir saldırganın gerçekleştirebileceği eylem dizilerini anlamayı ve azaltmayı da içerir. Örneğin:
Saldırı yollarının belirlenmesi
Kırmızı ekip tarafından belirlenen potansiyel saldırı yollarının sayısını ve niteliğini ölçün. Bu, sosyal mühendislik gibi hem teknik hem de insani güvenlik açıklarından geçen yolları içerir.
Kullanılan yolların derinliği ve karmaşıklığı
Başarıyla yararlanılan saldırı yollarının derinliğini ve karmaşıklığını değerlendirin. Bu, kaç güvenlik katmanının atlandığını ve bunun için gereken karmaşıklığı içerir.
İstismar edilen yollara yanıt
Mavi ekibin istismar edilen bu yolları ne kadar hızlı ve etkili bir şekilde tespit edip hafiflettiğini değerlendirin.
Bu, ihlali tespit etmek için geçen süreyi, olaya müdahalenin doğruluğunu ve kontrol altına alma ve iyileştirme tedbirlerinin etkinliğini ölçmeyi içerir.
Saldırı yüzeyinde azalma
Egzersiz sonrası organizasyonun saldırı yüzeyindeki azalmayı ölçün.
Bu, belirlenen güvenlik açıklarının nasıl ele alındığını ve gelecekte benzer saldırı yollarını önlemek için uygulanan yeni güvenlik önlemlerinin etkinliğini değerlendirmeyi içerir.
Simülasyon başarı oranını tekrarla
Sonraki simülasyonlarda, önceden belirlenen ve hafifletildiği varsayılan yollara saldırmanın başarı oranını ölçün. Buradaki başarı oranlarındaki azalma, bu saldırı yollarının etkili bir şekilde en aza indirildiğini gösterir.
Saldırı yolunun en aza indirilmesine odaklanmak, düşman simülasyonlarının teorik güvenlik açıklarının ötesine geçmesini ve bir kuruluşun güvenlik duruşunun pratik yönlerini ele almasını sağlar.
Bu KPI’lara dayalı sürekli değerlendirme ve uyarlama, herhangi bir işletmenin karmaşık ve sürekli değişen tehditlere karşı savunmasını etkili bir şekilde geliştirmesi için çok önemlidir.
Güvenlik stratejilerini etkili bir şekilde bilgilendirmek için kırmızı takım tatbikatlarından elde edilen bulgular nasıl raporlanmalıdır?
İnsanlar hikayeleri sever. Yalnızca kullanılan yöntemlere ve hedeflenen güvenlik açıklarına değil, aynı zamanda belirli eylemlerin neden yapıldığına ve bunların kuruluş üzerindeki etkilerine de değinerek, kırmızı ekibin hayata geçirdiği her saldırı senaryosunun anlatımını belgeleyin ve sunun.
Ayrıca raporunuzun birçok farklı tablodan geçeceğini unutmamak önemlidir. Bunu okuyan her kişinin, çıkarması gereken farklı değerleri ve sahip olduğu farklı teknik altyapı düzeyleri olacaktır.
Bunu göz önünde bulundurarak, bulgularınızı tüm hedef kitlenize hitap edebilecek şekilde yapılandırdığınızdan emin olun.
Burada önemli olan hedef kitlenizi tanımaktır. Her şirket arasında kopyala-yapıştır değil; araştırmanız gerekiyor. Aksi takdirde, bazı dosya paylaşımlarında arşivde toz toplayarak duracaktır. Ayrıca sadece kötüyü gösterme. Mavi takımın tepkisinin dürüst ve eleştirel bir değerlendirmesi esastır.
Bu sadece onların neyi doğru ya da yanlış yaptıklarıyla ilgili değil; bu, kuruluşun güvenlik önlemlerinin ve yanıt protokollerinin etkililiğinin anlaşılmasıyla ilgilidir. Bu, mavi takımın eylemlerinin hızına ve doğruluğuna ve bunların nasıl iyileştirilebileceğine ışık tutmalıdır.
Bu yaklaşımın benimsenmesiyle rapor, stratejik değişimi yönlendiren kusurlara işaret eden ve güvenlik uygulamalarında sürekli iyileştirme kültürünü teşvik eden bir araç haline gelir.