Pat McGarry, CTO, ThreatBlockr tarafından
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kısa süre önce, Rus devlet destekli bir tehdit aktörüyle bağlantılı saldırılarda yararlanılan WatchGuard güvenlik duvarı güvenlik açığı da dahil olmak üzere, istismar edildiği bilinen güvenlik açıkları listesine 66 güvenlik açığı ekledi. CISA’nın bu güvenlik açığını düzeltme çağrısı, geçen yılki Colonial Pipeline saldırısının yanı sıra güvenlik duvarlarının ihlal edildiği diğer siber güvenlik olaylarının hemen ardından geldi. Tehdit ön kapıdan gelsin ya da gelmesin, her başarılı siber saldırı bir noktada bir güvenlik duvarını aşmıştır.
Siber suçluların giderek daha karmaşık hale geldiğini inkar etmek mümkün değil – sadece son yılların manşetlerine bakın. Ne yazık ki, sektördeki yeniliklere ve hükümet rehberliğine rağmen, kuruluşların kendilerini korumak için yaptıkları büyük ölçüde aynı kaldı. Bunu gitgide daha fazla görüyoruz: Güvenlik duvarları, siber suçlular tarafından kullanılan karmaşık teknolojilerle karşılaştırıldığında modası geçmiş hale geliyor. Kuruluşların güvenlik duvarı boşluklarını kabul etmelerinin ve daha sağlam siber güvenlik savunmaları oluşturmak için adımlar atmasının tam zamanı.
Güvenlik duvarları bir kuruluşun ağındaki saldırıları algılayabilirken, saldırgan zaten içerideyken çalışmaz. Gelişmiş güvenlik duvarı çözümleri, olağandışı davranışları belirleyebilir, ancak yetkili hesaptan hesap verilerinin sızmasını engelleyemez. Güvenlik duvarları yalnızca sınırlı miktarda siber istihbarat kullanır ve ek siber istihbarat kaynaklarını işleme konusunda sınırlı bir yeteneğe sahiptir ve bu da tehditlerin gizlice geçmesine izin verir. Ayrıca, bir güvenlik duvarına ekleyebileceğiniz küçük miktardaki tehdit istihbaratını yönetmek, manuel yapısı nedeniyle yavaştır. Bu “güvenlik duvarı boşluğu” sorunu, siber güvenlik savunmalarını güncellemek ve ağlarını güvence altına almak söz konusu olduğunda kuruluşlar için zorluklar yaratır.
- 1. boşluk: Güvenlik duvarları, tehdit ortamının dar bir görünümünü temsil eden kendi özel tehdit istihbaratını kullanarak tehditleri algılar ve engeller. Tehditlere karşı savunma, birden fazla kaynaktan büyük miktarda siber istihbarat gerektiren hacimli bir oyun olduğunda, tek bir tehdit istihbaratı kaynağı veya mevcut güvenlik kontrolü, tehdit ortamının tamamını tek başına kapsayamaz. Etkili tehdit tespiti için kuruluşların birden fazla kaynaktan gelen tehdit istihbaratına ihtiyacı vardır.
- 2. boşluk: Güvenlik duvarlarının tehdit istihbaratı ekleme yeteneği sınırlıdır ve bu güvenlik duvarı boşluğunu kapatmak için ek tehdit beslemeleri eklemek teoride harika olsa da, pratikte önemli ölçüde daha zordur. Güvenlik duvarlarının ayrıca verileri onlara entegre etmenin sınırlı yolları vardır. Güvenlik duvarları, büyük hacimli üçüncü taraf tehdit akışlarıyla çalışmak üzere tasarlanmamıştır ve bugün, tümü önemli kaynaklar gerektiren çeşitli farklı şeyler (çoğu başlangıçta yapmak için tasarlanmamıştır) yapmaktadır.
- Boşluk #3: Son olarak, çoğu kuruluş için güvenlik duvarlarında tehdit istihbaratını yönetme süreci manueldir ve harici engelleme listelerini doğrudan güvenlik duvarında güncellemeyi içerir. Otomatik engelleme listesi yeteneklerine sahip olsa bile, birçok kuruluş, engellenen listeleri güncellemek için ek süre ekleyen uyumluluk gereksinimleri tarafından yönlendirilen bir değişiklik yönetimi sürecinden geçmek için güvenlik duvarı değişikliklerini hesaba katmalıdır.
Güvenlik duvarlarının tehdit istihbaratı limitlerinin hacmi, tehdit istihbaratının dinamik doğası ile birleştiğinde bu sorunları büyütmektedir. Tehditler hızla değişiyor ve dinamik yapısı manuel olarak yönetilmesini neredeyse imkansız ve pratik olmayan tehdit istihbaratı da öyle. Çok kaynaklı siber istihbarat, kuruluşların tehditleri etkili bir şekilde tespit etmesine ve engellemesine yardımcı olmak için ticari tehdit istihbarat sağlayıcılarını, açık kaynak istihbaratını (OSINT), devlet siber istihbaratını ve endüstri tehdit istihbaratını içermelidir. Mevcut bu geniş siber istihbarat yelpazesi ile kuruluşların kendi değerli istihbaratlarını üretmeleri gerçeğiyle birleştiğinde, daha fazla istihbarat kaynağı ekleme esnekliğine ve bir kuruluşun tehditlere hızla yanıt verme yeteneğini geciktirmeyen bir entegrasyon sürecine sahip olmak kritik önem taşır. .
Colonial Pipeline, JBS, Volkswagen ve ParkMobile olaylarının hepsinin ortak bir yanı var: Hepsinin ağlarını koruyan güvenlik duvarları vardı ama yine de ihlal ediliyorlardı. Güvenlik duvarları önemli bir ağ koruması katmanı sağlamaya devam ederken, bir ağı kendi başlarına koruyamazlar. Güvenlik duvarlarının tehditleri tespit etmek ve engellemek için kullandığı sınırlı tehdit istihbaratı görünümü ve güvenlik duvarınızın zekasını önemli ölçüde artırmaya yönelik sınırlı bir yetenek gibi boşluklarla, ağınız günümüzün siber tehditlerinden yalnızca kısmen korunur.
Siber suçlular giderek daha karmaşık hale geldikçe ve saldırı vektörleri geliştikçe, biz de yapmalıyız. Kuruluşlar artık reaktif eski çözümlere dayalı bir yaklaşımla gerçek zamanlı veri tehditlerine karşı koruma sağlayamaz. Bugünün ve yarının siber tehditlerine ayak uydurmak için kuruluşlar, ağlarını her an savunmak için birden fazla kaynaktan gerçek zamanlı tehdit istihbaratına ve otomatik korumaya ihtiyaç duyar.
yazar hakkında
Pat McGarry, yinelemeli gereksinim analizi, mimari, mühendislik, test, yönetim ve liderlik rolleri dahil olmak üzere donanım ve yazılım geliştirmenin tüm yönlerinde 25 yıldan fazla uygulamalı deneyime sahiptir. Becerileri, gömülü sistem tasarımı, ağ sistemleri analizi ve tasarımı, gelişmiş ağ testi, siber güvenlik, konuşlandırılabilir makine öğrenimi ve yapay zeka, nesnelerin interneti, büyük veri, gelişmiş veri analitiği dahil olmak üzere teknolojiyle ilgili çok çeşitli disiplinlerde uygulanmaya başlandı. ve yüksek performanslı heterojen bilgi işlem. Kendisine üç ABD patenti verilmiştir ve çeşitli kullanıcı ve endüstri konferanslarında konuşmalar yapmıştır. Tamamı Virginia Tech’den olmak üzere Bilgisayar Bilimleri (BSCS, ’93) ve Elektrik Mühendisliği (BSEE, ’94) alanlarında lisans dereceleri ve Matematik alanında yan dal diploması aldı.
Pat bulunabilir LinkedIn ve ThreatBlockr web sitesinde ThreatBlockr.com.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.