Yazan: Denny LeCompte, Portnox CEO’su
Günümüzde kuruluşlar, gelişmiş yapay zeka destekli fidye yazılımlarından denenmiş ve gerçek kaba kuvvet saldırılarına kadar çok sayıda siber tehditle karşı karşıyadır. Bu noktada BT güvenlik ekipleri, siber suçlulardan bir adım önde olmanın önemli olduğunu biliyor ancak çok sayıda engel bu tür olayları engelliyor ve aksi takdirde onların bunu yapmalarını sağlayacak etkili tehdit istihbaratını önlüyor. Tahmin edilebileceği gibi bazı engeller operasyonel, bazıları teknik, bazıları ise insan kaynaklıdır.
Güvenlik açıklarının önceliklendirilmesi, güvenlik eğitimi ve araçlarına yatırım yapılması ve tehdit avlama taktikleri ve stratejilerinin genel olarak yeniden değerlendirilmesi, iyileştirmeye yönelik bariz adımlar gibi görünebilir, ancak bu girişimler çoğu zaman çok güçlü görünebilir. Neyse ki, kısmen bulutta yerleşik güvenlik araçlarının, yapay zekanın, makine öğreniminin ve başkalarının yaptığı hataların ortaya çıkışı sayesinde ileriye dönük açık bir yol var.
Tehdit İstihbaratının Karanlık Suları
Etkili tehdit arayışında kuruluşların karşılaştığı en yaygın zorluklardan biri
İstihbarat, çok çeşitli güvenlik araçları aracılığıyla üretilen veri hacmidir. Bilginin aralıksız çoğalması, sinyali gürültüden ayırmayı giderek zorlaştırıyor. Çok sayıda uyarı ve tehlike göstergesiyle dolup taşan güvenlik ekipleri, çoğu zaman kendilerini bunalmış durumda buluyor ve gerçek tehditleri yanlış pozitiflerden ayırt edemiyor. Bu aşırı bilgi yüklemesi yalnızca değerli zamanı boşa harcamakla kalmıyor, aynı zamanda kaynakları en kritik riskleri ele almaktan uzaklaştırıyor.
Tehdit istihbaratı programlarının güçlendirilmesi söz konusu olduğunda aşırı bilgi yüklemesi belki de en belirgin zorluk olsa da, daha fazla kuruluşun bu alana daha fazla zaman ve enerji yatırımı yapmamasının (ya da yapamamasının) birkaç temel nedeni daha vardır:
- Eldeki bilgilerin bağlamsallaştırılmasında genel bir eksiklik vardır. Ham veriler, uygun bağlam olmadan anlamsız olabilir ve eyleme geçirilebilir bilgiler sağlayamayabilir. A’yı B’den C’ye bağlayamıyorsan kimin umurunda? Bu zihniyet, bağlam eksikliği sorununu devam ettiren güvenlik operasyonlarını silolama eğilimindedir.
- Nitelikli personel eksikliği, etkili tehdit istihbaratının önündeki bir başka engeldir. Siber güvenlikteki yetenek açığı iyi bir şekilde belgelenmiştir ve büyük ölçüde artan sistem ve mimari karmaşıklığından, artan yetenek talebinden, bütçe kısıtlamalarından ve tükenmişlikten kaynaklanmaktadır. Bu faktörler bir araya getirildiğinde kuruluşların vasıflı BT güvenlik uzmanlarını işe almalarını ve elde tutmalarını çok zorlaştırıyor.
- Kuruluşların mevcut güvenlik altyapısındaki birlikte çalışabilirlik sorunları, tehdit istihbaratının uygulanmasında önemli bir engel oluşturmaktadır. Pek çok kuruluş, sorunsuz bir şekilde iletişim kurmayan bir dizi güvenlik aracı ve sistemini çalıştırıyor. Bu silolanmış yaklaşım, bilgi akışını engeller ve tehditlerin zamanında tespit edilmesini ve yanıt verilmesini engeller.
- Siber tehditlerin sürekli gelişen doğası belki de en öngörülemeyen zorluğu ortaya koyuyor. Siber suçlular, tespit edilmekten kaçınmak için sürekli olarak yeni taktikler, teknikler ve prosedürler geliştiriyor; bu da BT güvenlik ekiplerinin tehditleri tespit edip harekete geçmesini son derece zorlaştırıyor.
Bu engellerden sadece biri bile kuruluşları daha fazla zaman ve yatırım yapmaktan caydırmak için yeterlidir.
Enerjiyi tehdit profilleri, caydırıcılık taktikleri ve hatta iyileştirme planları geliştirmeye harcıyoruz. Yol
ileriye doğru belirli bir derecede iç gözlem gerektirir. Operasyonel eksikliklere eleştirel bir gözle bakma ve daha iyi tehdit istihbaratına katkıda bulunabilecek iyileştirme alanlarına öncelik verme isteği, ilk önce bazı rahatsız edici gerçekleri kabul etmek anlamına gelse bile, sonuçta işe yarayabilir.
Tehdit Avcılığı Programınızı Yeniden Değerlendirmenin Zamanı Geldi mi?
Çoğu kuruluş için bu sorunun cevabı kesinlikle evettir. Yukarıdaki zorluklarla doğrudan mücadele etmek göz korkutucudur ancak başarılabilir. Aşağıda, her bir sorun noktasında göz önünde bulundurulması gereken birkaç faktör vardır:
- Tehdit verilerinin bağlamsallaştırılması ve bir kuruluşun benzersiz risk profilinin, iş hedeflerinin ve sektöre özgü tehditlerin belirlenmesiyle başlar. Örneğin bir banka için bu, müşteri verileri, şirket mali bilgileri, tüm işlem sistemleri ve hatta ödeme işleme altyapısı gibi en kritik varlıklarının tanımlanması anlamına gelecektir. Banka daha sonra benzer kurumlara yönelik en yaygın saldırı türlerine dayalı olarak, bu saldırganların sahip olduğu çeşitli nihai hedeflere odaklanarak tehdit profilleri oluşturmak isteyecektir. Tamamen maddi kazanç için mi? Devlet destekli mi? Saldırı içeriden mi geliyor? Tehdit istihbaratını belirli ihtiyaçlara göre uyarlamak, kuruluşların en alakalı tehditlere odaklanmasına ve kaynakları etkili bir şekilde tahsis etmesine olanak tanır.
- Beceri açığını gidermek zaman ve para gerektirir. Bundan kaçınmanın gerçekten hiçbir yolu yok. Beceri eksikliğini gidermek için işletmeler, mevcut işgücüne beceri kazandıracak ve sürekli öğrenme kültürünü teşvik edecek eğitim ve geliştirme programları geliştirmelidir. Ayrıca, üçüncü taraf yönetilen güvenlik hizmeti sağlayıcılarıyla ortaklık kurmak, şirket içi uzmanlığın artırılmasına ve daha geniş bir yetenek havuzuna erişim sağlanmasına yardımcı olabilir. Bu girişimlerin zaman ufku uzun veya pahalı gibi görünse de, bir fidye yazılımı saldırısının ortalama maliyetinin milyonlarca dolar olduğunu unutmamak önemlidir.
- Birlikte çalışabilirlik sorunlarını çözmek için buluta bakın. Eski sistem ve donanım birlikte çalışabilirlik sorunlarının üstesinden gelmek için kuruluşların buluta yönelmesi gerekiyor. Özellikle şirketlerin birbirleriyle kolayca entegre edilebilecek, kesintisiz veri paylaşımına ve orkestrasyona olanak tanıyan bulutta yerel güvenlik çözümlerini benimsemeleri gerekiyor. Bu, yalnızca güvenlik durumu verilerinin bağlamsallaştırılmasına yönelik değil, aynı zamanda tehditleri proaktif olarak azaltan ve ortadan kaldıran politikaları tanımlayıp uygulayabilmeye yönelik kritik bir adımdır. Son yıllarda ağ erişim kontrolü (NAC), güvenlik bilgileri ve olay yönetimi (SIEM), uç nokta algılama ve yanıt (EDR) ve diğerleri gibi temel güvenlik teknolojileri şirket içinden buluta geçti.
- Yeni tehditlere ayak uydurmak, bir kuruluşun güvenlik duruşu genelinde çeviklik ve uyarlanabilirlik gerektirir. Düzenli tehdit istihbaratı güncellemeleri, tehdit avlama çalışmaları ve kırmızı ekip çalışmaları, kuruluşların güvenlik açıklarını proaktif bir şekilde tespit etmelerine ve savunma yeteneklerini geliştirmelerine yardımcı olabilir. Beceri açığını doldurmadan ve güvenlik ekibi genelinde sürekli öğrenmeye odaklanmadan ve yeni bulut tabanlı teknolojilere yatırım yapmayarak şirketlerin, bırakın başarılı olmayı, tehditleri ele almak için ihtiyaç duydukları bağlamı elde etme konusunda bile mücadele etmeye devam edeceklerini belirtmek önemlidir. yenilerini takip etmek için.
Tehdit İstihbaratını Yapay Zeka ve Öğrenim ile Aşılamayı Beklemeyin
Yukarıda ele alınan her şey hala bir dereceye kadar insan müdahalesini gerektiriyor. Bu değişiyor. İnsanlar belki de kabul etmek istediğimizden daha fazla yanılabilir. Otomasyon olsa bile bazı şeyleri gözden kaçırma, gözden kaçırma ve hatta görmezden gelme eğilimindeyiz. Bu siber güvenlik fonksiyonu için de geçerli ancak bir fark var: riskler çok yüksek.
Tehdit tespitini, müdahalesini ve genel siber güvenlik çabalarını geliştirmek için yapay zeka ve makine öğrenimi günümüzde halihazırda kullanılıyor. Büyük hacimli ağ ve sistem verilerini analiz etme yeteneği sayesinde yapay zeka ve makine öğrenimi, normal kullanıcı davranışı için temel oluşturmak amacıyla kullanılıyor ve anormallikleri ortaya çıktıklarında tespit etmek daha kolay hale geliyor. AI ve ML, saldırı modellerini tanıyarak kuruluşların izinsiz giriş tespit sistemlerinin doğruluğunu artırmasına ve tehditlerin ilerlemesini önlemesine olanak tanıyor.
Bu teknolojiler derin öğrenme, sinir ağları ve diğer teknikler yoluyla daha karmaşık hale geldikçe, tehdit istihbaratı, avlanma ve önleme konusunda giderek daha fazla taktik ve yaklaşım ortaya çıkacak. Günümüzde şirketler, tahmine dayalı ve uyarlanabilir tehdit yeteneklerini açığa çıkarmak için bu yeni ortaya çıkan teknolojilerden yararlanarak nihayet siber suçlulara karşı üstünlük kazanabilir ve etkili tehdit istihbarat programları oluşturabilir. Geriye bir soru kalıyor: Bunu yapmayı taahhüt edecekler mi?
yazar hakkında
Denny LeCompete, Portnox’un CEO’sudur. Şirketin günlük operasyonlarını ve stratejik yönünü denetlemekten sorumludur. Denny, BT altyapısı ve siber güvenlik alanında 20 yılı aşkın deneyime sahiptir. Portnox’a katılmadan önce Denny, SolarWinds ve AlienVault dahil önde gelen BT yönetimi ve güvenlik firmalarında yönetici liderlik görevlerinde bulundu. Denny’nin doktora derecesi vardır. Rice Üniversitesi’nden bilişsel psikoloji alanında.
Denny’ye çevrimiçi olarak [email protected] adresinden ve şirketimizin web sitesi https://www.portnox.com/ adresinden ulaşılabilir.