Güvenlik Operasyon Merkezi (SOC) ekipleri temelde yeni bir meydan okuma ile karşı karşıya-geleneksel siber güvenlik araçları, uç noktaya dayalı savunma ve imza tabanlı algılama sistemlerinde uzman olan gelişmiş rakipleri tespit edemiyor. Bu “görünmez davetsiz misafirlerin” gerçeği, ağ algılama ve yanıt (NDR) çözümleri de dahil olmak üzere tehditleri tespit etmek için çok katmanlı bir yaklaşıma önemli bir ihtiyaç sağlamaktır.
Görünmez davetsiz misafir problemi
Ağınızın tehlikeye atıldığını düşünün – bugün veya dün değil, aylar önce. 7/24 çalışan güvenlik araçlarına yapılan önemli yatırımlarınız olmasına rağmen, gelişmiş bir düşman sistemlerinizden sessizce hareket ediyor ve tespitten dikkatle kaçınıyor. Kimlik bilgilerini çaldılar, arka fırçalar oluşturdular ve hassas verileri söndürdüler, tüm gösterge tablolarınız yeşilden başka bir şey göstermedi.
Bu senaryo varsayımsal değildir. Saldırganlar için ortalama bekleme süresi – ilk uzlaşma ve tespit arasındaki süre – hala birçok endüstride yaklaşık 21 gün sürüyor ve bazı ihlaller yıllarca keşfedilmiyor.
NDR Solutions’ın en hızlı büyüyen sağlayıcısı Corelight, Vince Stoffer, “Bu hikayeyi güvenlik ekiplerinden tekrar tekrar duyuyoruz” diyor. Diyerek şöyle devam etti: “Bir NDR çözümü kuruyorlar ve aylarca – bazen yıllardır ağlarında keşfedilmemiş temel ağ görünürlüğü sorunlarını veya şüpheli etkinlikleri derhal keşfediyorlar. Düşmanlar keşif yapıyor, kalıcılık oluşturuyor, yanal hareketler yapıyor ve mevcut güvenlik yığınlarının tespit yeteneklerinin altındaki verileri ekspiltrasyon yapıyorlar.”
Sorun, modern saldırganların nasıl işlediğinde yatmaktadır. Bugünün sofistike tehdit aktörleri, uç nokta uyarılarını tetikleyen bilinen imzalar veya davranışlarla kötü amaçlı yazılımlara güvenmiyorlar. Bunun yerine, onlar:
- PowerShell gibi meşru sistem araçlarından yararlanarak, karaya oturma tekniklerini kullanın
- Çalıntı ancak geçerli kimlik bilgilerini kullanarak ağlar boyunca yanal olarak hareket ettirin
- Şifreli kanallardan iletişim kurun
- Normal iş operasyonlarıyla karışmak için faaliyetlerini dikkatlice zamanlayın
- Sistemler arasındaki güvenilir ilişkilerden yararlanmak
Bu teknikler, bilinen uzlaşma göstergelerine odaklanan geleneksel güvenlik yaklaşımlarındaki kör noktaları özellikle hedeflemektedir. İmza tabanlı algılama ve uç nokta izleme, öncelikle meşru süreçler ve kimlik doğrulamalı oturumlar içinde çalışan rakipleri yakalamak için tasarlanmamıştı.
NDR bu görünmez davetsiz misafirleri nasıl ele alabilir ve güvenlik ekiplerinin sistemlerinin kontrolünü yeniden kazanmasına nasıl yardımcı olabilir?
Ağ algılama ve yanıtı nedir?
NDR, geleneksel izinsiz giriş tespit sistemlerinin ötesine geçen ve daha geniş güvenlik yığını tamamlayan ağ güvenliği izlemede bir evrimi temsil eder. NDR Solutions, özünde, diğer güvenlik araçlarının kaçırabileceği kötü niyetli faaliyetler, güvenlik anomalileri ve protokol ihlallerini tespit etmek için ham ağ trafiğini ve meta verileri yakalar ve analiz eder.
Öncelikle bilinen tehditlerin imzalarına dayanan eski ağ güvenlik araçlarından farklı olarak, Modern NDR çok katmanlı bir algılama stratejisi içerir:
- Ağ trafiğindeki olağandışı kalıpları tanımlamak için davranışsal analitik
- Temel çizgiler ve bayrak sapmaları oluşturan makine öğrenimi modelleri
- Sistemler arasında gerçekleşen “konuşmaları” anlayan protokol analizi
- Bilinen kötü niyetli göstergeleri tanımlamak için tehdit istihbarat entegrasyonu
- Retrospektif tehdit avı için gelişmiş analitik yetenekler
“Yanıt” öğesi eşit derecede önemlidir. NDR platformları, araştırmalar için ayrıntılı adli veriler sağlar ve genellikle tehditleri hızlı bir şekilde içerecek otomatik veya yönlendirilmiş yanıt eylemleri için yetenekleri içerir.
SOC takımları neden NDR’yi kucaklıyor?
NDR’ye doğru geçiş, güvenlik ortamındaki kuruluşların tehdit tespitine yaklaşımlarını dönüştüren birkaç temel değişiklikten kaynaklanmaktadır.
1. Saldırı yüzeylerini hızla genişleten ve çeşitlendirme
Modern işletme ortamları, bulut benimseme, konteynerizasyon, IoT proliferasyonu ve hibrid çalışma modelleri ile katlanarak daha karmaşık hale geldi. Bu genişleme, özellikle geleneksel çevre odaklı araçların kaçırabileceği ortamlardaki (Doğu-Batı trafiği) yanal hareket için kritik görünürlük zorlukları yaratmıştır. NDR, bu farklı ortamlarda kapsamlı ve normalleştirilmiş görünürlük sağlar, tek bir analitik şemsiye altında şirket içi, bulut ve çoklu bulut altyapısının izlenmesini birleştirir.
2. Gizlilik Merkezli Teknoloji Evrimi
Şifrelemenin yaygın olarak benimsenmesi, güvenlik izlemesini temelden değiştirmiştir. Web trafiğinin% 90’ından fazlası artık şifrelenmişken, geleneksel muayene yaklaşımları etkisiz hale geldi. Gelişmiş NDR çözümleri, şifreleme olmadan şifrelenmiş trafik modellerini analiz etmek için gelişti, meta veri analizi, JA3/JA3S parmak izi ve kırılma şifrelemesini gerektirmeyen diğer teknikler yoluyla gizliliğe saygı duyarken güvenlik görünürlüğünü korudu.
3. Yönetilemez cihaz proliferasyonu
Bağlı cihazların patlaması-IoT sensörlerinden operasyonel teknolojiye-geleneksel ajan tabanlı güvenliğin pratik veya imkansız olduğu ortamlar yarattı. NDR’nin ajansız yaklaşımı, uç nokta çözümlerinin dağıtılamayacağı cihazlara görünürlük sağlar ve cihaz türleri güvenlik ekiplerinin yönetebileceğinden daha hızlı çoğaldıkça modern ağlara giderek daha fazla hakim olan güvenlik kör noktalarını ele alır.
4. Tamamlayıcı tespit yaklaşımı
SOC ekipleri, farklı güvenlik teknolojilerinin farklı tehdit türlerini tespit etmede mükemmel olduğunu fark ettiler. EDR, yönetilen uç noktalardaki süreç düzeyi faaliyetlerini tespit etmede mükemmel olsa da, NDR, saldırganların manipüle etmesi veya silmesi zor olan iletişimin objektif bir kaydı için ağ trafiğini izler. Günlükler değiştirilebilir ve uç nokta telemetrisi devre dışı bırakılabilirken, saldırganların hedeflerine ulaşması için ağ iletişimi gerçekleşmelidir. Bu “zemin gerçeği” kalitesi, ağ verilerini tehdit algılama ve adli araştırmalar için özellikle değerli kılar. Bu tamamlayıcı yaklaşım, saldırganların sömürdüğü kritik görünürlük boşluklarını kapatır.
5. Siber güvenlik işgücü krizi
Güvenlik uzmanlarının küresel kıtlığı (3,5 milyondan fazla doldurulmamış pozisyonda tahmin edilmektedir), kuruluşları analist etkinliğini en üst düzeye çıkaran teknolojileri benimsemeye itti. NDR, uyarı yorgunluğunu azaltan ve araştırma süreçlerini hızlandıran zengin bağlamla yüksek maddi tespiti sağlayarak bu yetenek boşluğunun ele alınmasına yardımcı olur. NDR, ilgili faaliyetleri pekiştirerek ve potansiyel saldırı dizilerinin kapsamlı görüşlerini sağlayarak, zaten gerilmiş güvenlik ekipleri üzerindeki bilişsel yükü azaltarak mevcut personel ile daha fazla olayla başa çıkmalarını sağlar.
6. Gelişen düzenleyici manzara
Kuruluşlar, daha kısa raporlama zaman dilimleriyle giderek daha katı uyumluluk gereksinimleriyle karşı karşıyadır. GDPR, CCPA, NIS2 ve sektöre özgü çerçeveler gibi düzenlemeler hızlı olay bildirimini (genellikle 72 saat veya daha az içinde) zorunlu kılar ve ayrıntılı adli kanıt gerektirir. NDR Çözümleri, bu gereksinimleri karşılamak için gerekli kapsamlı denetim izlerini ve adli verileri sağlar, bu da kuruluşların gerekli tespiti göstermesini ve düzenleyici raporlama için gerekli belgeleri sağlamasını sağlar. Bu veriler, güvenlik ekibinin tehdidin tam olarak içerdiğini ve hafifletildiğini ve saldırganların ağın içindeyken ne dokunduklarının gerçek kapsamını ve ölçeğini anlamalarına yardımcı olmak için de kritiktir.
NDR’nin geleceği
Daha fazla kuruluş geleneksel güvenlik yaklaşımlarının sınırlamalarını tanıdıkça, NDR benimseme hızlanmaya devam etmektedir. NDR inovasyonu, saldırganların önünde kalmak için hızla hareket ederken, herhangi bir NDR çözümü için kritik yetenekler şunları içermelidir:
- Çoklu bulutlu ortamlarda görünürlük sağlayan bulut-doğal çözümler
- Azallı iş akışları için SOAR (Güvenlik Orkestrası, Otomasyon ve Yanıt) Platformları ile Entegrasyon
- Proaktif tehdit avı için gelişmiş analitik yetenekler
- Daha geniş güvenlik ekosistemleriyle entegrasyonu kolaylaştıran açık mimariler
Giderek karmaşıklaşan tehditlerle uğraşan SOC ekipleri için NDR sadece başka bir güvenlik aracı değil, günümüzün sofistike saldırganlarını tespit etmek ve bunlara yanıt vermek için gereken görünürlüğü sağlayan temel bir yetenek haline geldi. Hiçbir teknoloji tüm güvenlik zorluklarını çözemezken, NDR büyük ihlallerde tekrar tekrar sömürülen kritik kör noktaları ele alır.
Saldırı yüzeyleri genişlemeye devam ettikçe ve rakipler güvenli bir ortama nasıl sızdıkları konusunda daha yaratıcı hale geldikçe, ağ iletişimlerini görme ve anlama yeteneği, güvenlik konusunda ciddi kuruluşlar için gerekli hale gelmiştir. Sonuçta ağ yalan söylemez – ve bu gerçek, aldatmanın bir saldırganın birincil stratejisi olduğu bir dönemde paha biçilmez hale geldi.
Corelight, açık kaynaklı Zeek ağ izleme platformuna dayanarak kapsamlı ağ görünürlüğü ve gelişmiş NDR özellikleri sağlamak için ihtiyaç duydukları araç ve kaynaklarla tüm şekil ve boyutlardan seçkin savunuculara sağlar. Daha fazla bilgi için corelight.com adresini ziyaret edin.