Erken tespit, güvenlik ihlalleriyle mücadelenin anahtarıdır

   Ekim 20, 2022  Posted in CyberSecurity-Insiders


Jason Dover, Ürün Stratejisi Başkan Yardımcısı

Modern güvenlik tehditlerinin artan karmaşıklığı ve karmaşıklığı ile kuruluşlar, dijital varlıklarını güvende tutmak için uygun yatırımlar yapmalı ve kapsamlı stratejiler geliştirmelidir. Bu yeni bir zorluk değil, ancak saldırıların sıklığı kesinlikle artıyor.

2022 IBM Veri İhlalinin Maliyeti Raporu, incelenen grupların %83’ünün birden fazla veri ihlali yaşadığını gösterdi. Rapor ayrıca, veri ihlallerinin ortalama maliyetinin 4,35 milyon dolara yükseldiğini tahmin ediyor. İlginç bir şekilde, güvenliği ihlal edilmiş kimlik bilgileri, araştırmaya dayalı olarak tüm ihlallerin yaklaşık %19’unu oluşturan en yaygın faktördür.

Uzak iş gücünün artmasıyla BYOD norm haline geldi ve bulut tabanlı hizmetlerin sürekli artan kullanımı, SecOps’un koruması gereken saldırı yüzeyini artırdı. Yukarıda bahsedilen raporda ayrıca, uzaktan çalışma kaynaklı ihlallerin maliyetinin 600 bin dolardan fazla olduğu ve olay başına ortalama yaklaşık 5 milyon dolar olduğu belirtildi.

Bunu göz önünde bulundurarak, çoğu işletmenin ekosistemleri için güvenlik mekanizmalarına tahsis edilmiş bir seviye yatırımı vardır. Bu, VPN’lerin, güvenlik duvarlarının, uç nokta korumasının ve diğer benzer teknolojilerin kullanımına kadar değişebilir. Bununla birlikte, genellikle yeterince kullanılmayan bir araç, ağın kendisidir.

Bir Saldırının Anatomisi

Tehdit aktörlerinin bir ihlali başarılı bir şekilde gerçekleştirmeleri için, sömürülebilir vektörleri belirlemek için keşif yapmaları gerekir. Hedef varlıkların ve verilerin bulunduğu ortama kalıcı erişim elde etmeleri ve ardından ilk giriş noktasından yanal hareketle birlikte kötü niyetli davranışların yürütülmesini sağlamak için bir tür ayrıcalık yükseltmesi gerekir.

Gelişmiş saldırılar, gerçek niyetin gizlenmesine izin veren yerleşik bir savunma kaçırma düzeyine de sahip olabilir. Her şey yolunda giderse (saldırganların bakış açısından), ortama getirdikleri yük veya program bilgileri yok etmek, sistemlerin komuta ve kontrolünü sağlamak veya kritik verileri rehin tutmak için yürütülebilir.

Kuruluşlarının ortamlarını korumaktan sorumlu güvenlik operasyonları ekipleri için tehdit aktörlerinin önünde olmak, erken tespite bağlıdır. Başarılı ihlaller, günler, haftalar veya bazen aylar boyunca bir dizi küçük kazanım üzerine kuruludur. Bu öncü göstergeleri tanımlayabilecek bir çerçeve oluşturmak için yatırım gerekli olsa da, önleyici koruyucu eylemi otomatikleştiren kuruluşlar uzun vadede milyonlarca kayıptan tasarruf edebilir.

Çok Katmanlı Güvenlik Yaklaşımı

Siber saldırılara karşı mücadelede ivme kazanan özel bir teknoloji, ağ algılama ve yanıttır (NDR). NDR çözümleri, akış analizi ve paket yakalama gibi yöntemleri kullanarak ağdan verileri, meta verileri ve öngörüleri çıkarır. Çözüm daha sonra makine öğrenimi, temel karşılaştırma, imzalar ve şüpheli etkinliği tespit etmek için çeşitli diğer yöntemler dahil olmak üzere bir dizi mekanizma kullanarak ağ trafiğini analiz eder.

Geçmişte bu çözümler ağırlıklı olarak en olgun güvenlik operasyonları ekipleri tarafından dağıtılırken, sektördeki birçok satıcı NDR’yi her büyüklükteki kuruluş için daha erişilebilir hale getirdi. Bunu, kullanım kolaylığına odaklanarak ve toplam sahip olma maliyetini düşürmek için yenilikçi yöntemler kullanarak yaptılar.

NDR’nin arkasındaki konsept, operasyon ekipleri için son tehdit algılama savaş alanını kapatmasıdır. Güvenlik duvarları ve IPS gibi güvenlik çözümleri, çevreyi aşan dikey trafikte (yani kuzey-güney) tespit edilebilecek tehditleri ele almada güçlü araçlardır. Uç nokta koruması, ortamdaki cihazları koruyarak, tehlikeyi belirleyerek ve karantinayı otomatikleştirerek başka bir koruma katmanı sağlar. NDR, ağ iletişimlerinin analizine ekleyerek güvenlik yığınını tamamlar.

Bu yaklaşımın iyi tasarlanmış bir güvenlik modelinin bu kadar önemli bir parçası olmasının nedeni, ağın nihai gerçeğin kaynağı olmasıdır. NDR, saldırganlar keşif yaptığında ve zayıf noktalarını bulmak ve tanımlamak için bir ağı taradığında meydana gelen anormal davranışı algılayabilir. Ek olarak, bir saldırının amacını gizlemek için, güvenliği ihlal edilmiş bir uç noktadaki günlükleri bir günlük analiz sistemine gönderilmeden önce temizlemek gibi yöntemler kullanılsa bile, ağ üzerinden gerçek iletişimleri gizlemenin bir yolu yoktur.

Temel Güvenlik İlkeleri

Doğru araçlara ve teknolojilere ek olarak, kuruluşlar, mimari ve güvenlik duruşunu yönlendiren tutarlı bir ilkeler dizisi oluşturmalıdır. Genel olarak konuşursak, bunlar dört temel alanda özetlenebilir:

  1. Önemli olana odaklanın – Veri

Tehdit aktörleri, genellikle zarar vermek için çevrede var olan bilgilere erişmeye çalışırlar. Bu, sistemlerin taviz vermesini, kimlik bilgilerinin çalınmasını ve diğer birçok mekanizmayı gerektirse de, bunlar genellikle ödülün aksine bir sonuca ulaşmanın bir yoludur. Bir güvenlik modeli tasarlarken, güvenlik ekipleri bunu, bu araçların sonunda tehlikeye atabileceği verilerin bakış açısından yapmalıdır. Her operasyon bütçesinin sınırlamaları olduğundan, güvenlik duruşu iyileştirme girişimleri, kuruluşun en kritik verilerine sıçrama tahtası olabilecek ortam alanlarıyla başlamalıdır.

  1. Esnekliği sağlayın

Yanılmaz olan tek bir güvenlik teknolojisi veya çözümü yoktur. Bu nedenle kuruluşlar, tüm ortamdan ödün vermeden bir bileşenin arızalanmasına izin veren çok katmanlı bir güvenlik modeli benimsemelidir. Örnek olarak, VPN kullanımı, anahtar uygulamalar için ek ön kimlik doğrulama yöntemlerine sahip olma ihtiyacını ortadan kaldırmaz, tıpkı ağ çevresinde yeni nesil bir güvenlik duvarına sahip olmanın, içinde güvenlik duvarları uygulamayı daha az önemli hale getirmemesi gibi. yetkisiz yanal hareketi önlemek için veri merkezi.

  1. Tehdit Aktör Erişimi Varsay

Ağ güvenliğine aktörleri tehdit eden perspektiften yaklaşmak NİYET erişim kazanmak, güvenlik operatörlerine kullanılan herhangi bir mekanizmanın tespit edilmesini, kontrol altına alınmasını ve düzeltilmesini sağlamaya odaklanarak bir avantaj sağlar. Çalışanların etkileşimde bulunduğu harici varlıkların ve mantıksal olarak dahili altyapı ile aynı yerde bulunan harici hizmetlerin sayısı, bir noktada bir istismar (küçük de olsa) meydana gelme olasılığının çok yüksek olduğu anlamına gelir. Bu düşünceyi güvenlik ekibinin operasyonlarına dahil etmek, onları katı bir şekilde savunma yapmak yerine düşmanlara karşı saldırıya sokar.

  1. Önleyin, Tespit Edin, Yanıtlayın

Çoğu kuruluş, ortamlarında standart güvenlik tehdidi önleme mekanizmalarına sahip oldukları için geçer not alır. Hem algılama hem de yanıt verme yetenekleri genellikle iyileştirme için yer gösterir. Ağ cihazlarından günlükleri yakalamanın ve analiz etmenin ötesine geçerek, zenginleştirilmiş meta verilerin eklenmesiyle ağ trafiğini analiz etmeye kadar, anormallikleri tahmin eden kuruluşlar, birçok güvenlik tehdidini yaşam döngülerinin başlarında tanımlayabilir. Algılamanın otomatik iyileştirme ile doğrudan bağlantılı olması için güvenlik yığını genelinde entegrasyona yatırım yapmak, kuruluşların güvenlik olaylarının ortalama çözüm sürelerini kısaltmasını ve risk profillerini azaltmasını daha da sağlayacaktır.

Erken Tespit – Tehdit Aktörlerine Karşı Kazanmanın Anahtarı

Tehdit aktörlerine karşı savaşta erken tespit kritik öneme sahiptir ve ağ, güvenlik operatörlerinin bir adım önde olmasına yardımcı olabilecek erken göstergeler sağlama yeteneği açısından hafife alınmamalıdır. Bunu yapmak için kuruluşların doğru araçlara ihtiyacı vardır ve güvenlik yaklaşımlarını geliştirmek isteyen herkes için NDR ve NDR dikkate alınmalıdır.

Bir siber tehdit yolculuğunda ilerledikçe ve bir istismarı başarılı bir şekilde gerçekleştirmek için ihtiyaç duyduğu çeşitli adımları atarken, saldırganları sıfıra geri döndürmek için bu adımlardan yalnızca birinde kazanacağını unutmayın. Doğru araçlarla donatılmış güvenlik ekipleri, kritik verileri ve varlıkları korumak için gereken sürekli çabalarda başarılı olmalarını sağlamak için uzun bir yol kat edecektir.

reklam





Source link