Kütüphaneci Hortlaklar olarak bilinen grup, Rusya, Beyaz Rusya ve Kazakistan’daki teknik üniversiteler ve endüstriyel kuruluşların ağlarına, anında alarm vermeden sızdı. Bunu, iç ağlarda yanal olarak hareket etmek için meşru oturum açma bilgilerinden yararlanarak, geçerli kimlik bilgilerini kullanarak ve uyarı tetikleyicilerinden kaçınarak başardılar.
Diğer birçok APT grubunun aksine, Kütüphaneci Ghoul’lar özel kötü amaçlı yazılımlara güvenmez. Bunun yerine, parola korumalı dosyalar ve gerçek zamanlı olarak uyum sağlayan çok biçimli kötü amaçlı yazılımlar da dahil olmak üzere mükemmele yakın kimlik avı kampanyaları oluşturmak için uzaktan erişim yazılımı, arşivleyiciler ve SMTP yardımcı programları gibi meşru üçüncü taraf araçlarından yararlanırlar. Bu taktikler, saldırganların geleneksel tespit kontrollerini neredeyse fark edilmeden geçmelerine olanak tanır.
Bu olay, siber güvenlik araçlarının silolar halinde çalıştığı ve saldırganların bu araçlar arasındaki boşluklardan yararlandığı daha geniş ve büyüyen bir zorluğun parçası. Uç nokta algılama ve yanıt (EDR), güvenlik duvarları ve kimlik doğrulama sistemlerinin her biri önemli bir rol oynar, ancak entegrasyon olmadan yalnızca kısmi görünürlük sunarlar.
Örneğin bir EDR çözümü, açıkça kötü niyetli davranışlar sergilemedikleri takdirde yasal yönetim araçlarını gözden kaçırabilir. Güvenlik duvarı, anormal giden bağlantıları işaretler ancak genellikle kaynak kullanıcıyı veya uç noktayı belirleyecek bağlamdan yoksundur. Kimlik doğrulama günlükleri, yanal hareket modelini tanımadan bir dizi geçerli oturum açma bilgisini yakalayabilir.
Bundan alınacak ders açıktır; güvenlik katmanları arasında entegre görünürlük kritik öneme sahiptir. Birden fazla araçtan gelen sinyallerin ilişkilendirilmesi, hiçbir çözümün tek başına tam olarak ortaya çıkaramayacağı karmaşık, çok aşamalı saldırıları tespit etmek için önemlidir. Bu birleşik bakış açısı olmadan kuruluşlar çok geç olana kadar büyük resmi kaçırma riskiyle karşı karşıya kalır.
Uyarı üreten birden fazla güvenlik çözümüyle birçok kuruluş, yanlış bir güvenlik anlayışıyla faaliyet gösteriyor. Entegrasyon olmadan güvenlik parçalanır ve karmaşık saldırıların yararlanabileceği, bazen haftalarca veya aylarca sürecek boşluklar kalır.
Tespitten kaçan tehditlere karşı nasıl korunulur?
Kuruluşların, çevrelerine ilişkin birleşik bir görüşe ve gerçek zamanlı yanıt verme becerisine ihtiyaçları vardır. Yönetilen Algılama ve Yanıtın (MDR) devreye girdiği yer burasıdır. MDR, tehditleri 7/24 izlemek, araştırmak ve bunlara yanıt vermek için gelişmiş tehdit algılamayı, analitiği ve insan uzmanlığını birleştirir. MDR, ayrı ayrı çalışan geleneksel araçların aksine, uç noktalar, ağlar, bulut ortamları ve kimlik sistemleri arasındaki sinyalleri ilişkilendirerek şüpheli etkinliklerin daha hızlı ve daha doğru şekilde algılanmasını sağlar.
Stratejik bir MDR yaklaşımı, kuruluşlara, izole edilmiş araçların ulaşamayacağı bir hız ve doğruluk düzeyinde tehditleri tespit etme ve bunlara yanıt verme yeteneği sağlar. Güvenlik duvarları olağandışı bağlantıları engelleyebilir ve EDR’ler anormal davranışları tespit edebilir ancak bu sinyaller bağımsız olarak çalıştığında kritik modeller gözden kaçabilir. MDR, bu farklı uyarıları birbirine bağlamak için yapay zeka ve otomasyondan yararlanarak gerçek tehditlerin dakikalar içinde tanımlanmasına olanak tanır. Saldırganların faaliyetlerini kasıtlı olarak normal operasyonlarla harmanladığı durumlarda bile etkilidir.
Gerçek bir tehdit tespit edildiğinde tepki verme hızı çok önemlidir. MDR, ağ, uç nokta ve kimlik katmanları genelinde birleşik bir görünüm sağlayarak araştırmaları hızlandırır, operasyonel kesintileri azaltır ve bir kuruluşun itibarını korurken iş sürekliliğinin korunmasına yardımcı olur. Aynı zamanda yapay zeka destekli korelasyon, gürültüyü ve hatalı pozitifleri filtreleyerek yalnızca en alakalı uyarıları vurguluyor ve bağlam güvenliği ekiplerinin kararlı bir şekilde hareket etmesi için gereken ortamı sağlıyor. Bu odaklanma, her saniyenin önemli olduğu ve uyarı yorgunluğunun etkinliği zayıflatabileceği kaynakların kısıtlı olduğu ortamlarda özellikle değerlidir.
Kütüphaneci Ghoul’ların ihlali, çözümler koordine olmadığında saldırganların savunmaları atlatabileceğini gösterdi. Samanlıkta iğne aramaya benzer. MDR, farklı sinyalleri ilişkilendirerek, yanlış pozitifleri filtreleyerek ve birleşik bir altyapı görünümü sağlayarak bu zorluğun üstesinden gelir. Bunu yaparak her güvenlik katmanının değerini artırır. EDR’ler anormallikleri tespit edecek bağlamı kazanır, güvenlik duvarları ağ bağlantılarını daha iyi yorumlar ve kimlik sistemleri şüpheli erişimi daha doğru bir şekilde işaretler.
Güvenlik duvarınızın gördüğü şey, EDR’nizin IT Security Guru’da ilk olarak görünmediği yazısı.