Yazar: Venkat Thummisi, Kurucu Ortak ve CTO –
Siber güvenlik ekipleri, korudukları karmaşık bilgisayar ağlarında neler olup bittiğini gözlemleme becerileri kadar başarılıdır.
Gartner, 2026 yılına kadar gözlemlenebilirliği başarıyla uygulayan kuruluşların yüzde 70’inin karar vermede daha kısa gecikme süresi elde ederek hedef iş veya BT süreçleri için rekabet avantajı sağlamasını bekliyor. Bunun nedeni, gözlemlenebilirliğin bir tahmin veya tahmin aracı değil, karar verme için gerekli olan gerçekten kanıta dayalı bir veri kaynağı olmasıdır.
Gözlemlenebilirlik, BT’de yeni bir terim olabilir, ancak fizikte onlarca yıllık bir terimdir. Sadece o sistemin çıktılarını gözlemleyerek karmaşık bir sistemin durumunu anlamak anlamına gelir. Uygulama performansı izleme (APM) veya ağ performansı yönetimi (NPM) ile aynı şey değildir. Bazıları gözlemlenebilirliğin APM’den sonraki adım olduğunu söylüyor, ancak gözlemlenebilirliğin izlemenin yerini almadığını anlamak çok önemli.
Güvenlik ve olay yönetimi sistemleri (SIEM), güvenlik olayı verilerini zaman içinde analiz eden ve ardından bir soruna karşı uyarı veren toplama araçlarıdır. Benzer etkinlikleri gerçekleştiren birkaç güvenlik gözlemlenebilirliği aracı vardır.
Denetimler de benzer şekilde çalışır – sorunlar ortaya çıktıktan haftalar veya aylar sonra sizi uyarır. Erişim yönetimi dünyasında bir dakika sonrası çok geç.
Gözlemlenebilirlik, mevcut siber güvenlik uygulamalarını tamamlar.
Ayrıntılı gözlemlenebilirlik, BT ekibinin dışarıdan gelen kötü aktörler veya içeride faaliyet gösteren meşru gibi görünen kullanıcılar tarafından yapılan yetkisiz erişimleri hızlı bir şekilde tespit edip çözmesini sağlar.
Son birkaç yılda, platformlar ve sistemler arasında karmaşık olmayan erişime yönelik bir zorlama da dahil olmak üzere, bulutta yerel mimariler, BT ayarlarına yeni karmaşıklıklar ekledi. Proaktif bir siber güvenlik sisteminin bu dinamik ortamında gözlemlenebilirlik daha da kritik hale geldi.
Ayrıcalıklı erişim izleme, daha fazla önem kazanmaya devam eden bir gözlemlenebilirlik alanıdır. Siber suçlular, üst düzey erişim kimlik bilgileri aracılığıyla daha derin erişim elde edeceklerini bildikleri için sıklıkla ayrıcalıklı kullanıcı hesaplarını ve ilgili erişim kimlik bilgilerini hedefler. Ve sistemin içine girdikten sonra başlattıkları herhangi bir faaliyetin şüphe uyandırma olasılığı daha düşüktür.
Kuruluşlar, ayrıcalıklı erişim hesaplarını yalnızca amaçlanan amaçlar için kullanıldıklarından ve kullanıcının gerçekten de iddia ettikleri kişi olduğundan emin olmak için düzenli olarak izlemelidir. Gözlemlenebilirlik, siber güvenlik alanında çok dikkat çekti. Çeşitli türlerdeki güvenlik olaylarını toplamada ve derinlemesine analiz ve içgörüler sunmada çok başarılı olduğunu kanıtladı.
Ayrıcalıklı erişim izlemede başarılı olmak için gözlemlenebilirliğin acil bir düzeltmeye sahip olması gerekir.
Ayrıcalıklı erişim izleme söz konusu olduğunda gözlemlenebilirliğin tek başına yeterli olmamasının birkaç nedeni vardır.
- Canlı ve gerçek zamanlı olmayabilir. Çoğu yazılım çözümünün gözlemlenebilirliği, proaktif olmaktan çok reaktiftir. Bir BT güvenlik ortamında neler olabileceğine dair doğru ve ayrıntılı bilgi sunmaya çalışır, ancak sorunları önlemez veya çözmez. Ayrıcalıklı erişim sorunları, şimdi ve burada sorunlardır ve ortaya çıktıkları anda ele alınmalıdır.
- Gözlemlenebilirlik aşırı gürültü üretebilir: Diğer gözlemlenebilirlik araçlarının yanı sıra çeşitli PAM ve SIEM çözümleri, BT personelini geniş önerilerle bombardıman ederek gerçek güvenlik sorunlarının tespit edilmesini ve ele alınmasını zorlaştırır.
- Gözlemlenebilirlik araçlarından sürekli uyarı çıktısının BT ekiplerinde uyarı yorgunluğuna neden olduğu bir gerçektir. Sonuç olarak, uyarılar gerçek güvenlik tehlikeleri içerse bile, göz ardı edilme olasılığı daha yüksektir ve bu da bir ihlalin fark edilmeme olasılığını artırır.
- Gözlemlenebilirlik, ayrıcalık erişiminin kötüye kullanılması veya kötüye kullanılmasının altında yatan kaynağı ele almaz. Kuruluşlar, bu sorunların üstesinden gelmek için gözlemlenebilirliği proaktif güvenlik sorunu önleme stratejileriyle birleştirmelidir. Bu, siber güvenlik sorunlarını saptamak ve düzeltmek için araçların devreye alınmasını ve BT güvenlik personelinin ayrıcalıklı erişimi verimli bir şekilde yönetmesini ve izlemesini içerir.
- Ayrıcalık erişiminin kötüye kullanılmasına karşı koruma sağlamak, kötüye kullanım amaçlı erişim davranış kalıplarını belirlemek için kurumsal ve düzenleyici zorunluluklara göre doğrulanan ilgili kullanıcı davranışlarının daha derin bir incelemesini ve analizini gerektirir. Modern tehditler çok karmaşıktır ve statik tehdit imzalarını algılamak için özel olarak üretildiklerinden, mevcut güvenlik tarayıcılarından sorunsuz bir şekilde geçerler. Örn: Bir AWS S3 klasöründe yapılandırmaları indiren veya değişiklikler yapan bir yönetici kullanıcı, faaliyetlerine devam eden gerçek yetkili kullanıcı olarak geçer. Ancak, kullanıcının diğer ortamlardaki dağıtılmış etkinlik setinin daha geniş bir şekilde desteklenmesi, kullanıcının AWS ortamındaki belirli etkinlikleri hakkında farklı bir hikaye anlatabilir.
Gözlenebilirlik, özellikle ayrıcalıklı erişim izleme olmak üzere BT güvenlik operasyonları için çok önemli bir araçtır, ancak ayrıcalıklı güvenliğin verimli kontrolünü sağlamak için yetersizdir. Ayrıcalıklı erişimi izlemek için değerli bir tekniktir. BT ekipleri, ayrıcalıklı kullanıcıların ve hesapların etkinliklerini izleyerek olası güvenlik endişelerini hızlı bir şekilde belirleyebilir ve ele alabilir. Ancak, tek başına gözlemlenebilirlik, verimli ayrıcalıklı erişim izlemeyi garanti etmez.
reklam