[By Avkash Kathiriya, Senior Vice President, Research and Innovation at Cyware]
Yönetilen güvenlik hizmeti sağlayıcılarının (MSSP’ler), herkese uyan tek bir yaklaşımla iç güvenlik ekiplerini değiştirmek veya desteklemek için pahalı dış kaynak seçenekleri olarak algılandığı bir dönem vardı. Neyse ki o günler çoktan geride kaldı. Artık müşterilerin kendi başlarına yönetemedikleri veya yönetmek istemedikleri gelişmiş çözümlere erişim sağlayan, derinlemesine uzmanlıkla desteklenen gelişmiş teknoloji setleri sunuyorlar. Güvenilir, bilgili ortaklar olarak kabul edilen müşteriler, ortaya çıkan güvenlik endişelerini çözmek için tavsiye almak üzere giderek daha fazla onlara yöneliyor. Birçoğu zaten güvenlik duvarları, güvenlik açığı düzeltme eki, uç nokta güvenliği, SIEM ve kimlik yönetimi gibi çok çeşitli seçeneklerden yararlanıyor.
Son zamanlarda MSSP’ler, portföylerine gelişmiş tespit ve yanıt yeteneklerinin yanı sıra hizmet olarak tehdit istihbaratı da eklemeye başladı. Güvenlik uyarılarıyla karşı karşıya kalan ve hangilerinin en büyük riski oluşturduğunu belirlemeye çalışanlar için çok erken değil. Gartner’a göre güvenlik ve risk yöneticileri, hangi tehditlerin kuruluşları için gerçek endişeler oluşturduğunu bilmekte zorlanıyor ve kendi tehdit ortamlarına ilişkin doğru bir görüşe sahip değiller.
Tehdit istihbaratı, saldırıları tanımlamak ve önlemek için temel göstergeler içerse de, bunları bulmak için şaşırtıcı veri dizisini ve hacmini elemek, özellikle küçük kuruluşlardaki birçok güvenlik ekibinin ötesindedir. Daha da kötüsü veriler, raporlar, makaleler, e-postalar, pdf’ler ve belgeler gibi iç ve dış akışlardan her türlü formatta geliyor. Bu bilgiyi özümsemeye ve kullanılabilir formata dönüştürmeye çalışmak başlı başına devasa bir görevdir.
GuidePoint Security’nin dijital adli tıp ve olay müdahalesi ve tehdit istihbaratından sorumlu kıdemli yöneticisi Tony Cook, tehdit istihbaratını yönetmenin küçük ve orta ölçekli güvenlik ekiplerini bunaltabileceğini kabul ediyor ve bunun genellikle yalnızca büyük şirketler için pratik olan bir düzeyde uzmanlık ve karmaşık sistemler gerektirdiğini söylüyor uzman tehdit istihbaratı analistleriyle.
Sonsuz uyarıları en önemli önceliklerle değiştirme
Gelişen gereksinimleri karşılamak için oyunlarını sürekli geliştiren MSSP’ler, hedefe yönelik ve zamanında iyileştirme tavsiyesi sağlama hedefiyle sonsuz güvenlik uyarılarının ve hatalı pozitif sonuçların yükünü azaltmak için çalışıyorlar. Geçmişte bu, giderek artan sayıda yetenekli analistin, belirli ortamlara uygun yanıtları uyarlamadan önce tehditleri değerlendirmek için çok miktarda veri üzerinde çalışmasını gerektirmişti. Oysa günümüzün modern tehdit istihbarat platformları (TIP’ler), eskiden manuel olan ve hataya açık olan bu sıkıcı görevin çoğunu ortadan kaldırabilir.
Başlangıçta toplama, çok sayıda kaynaktan gelen ham verileri alan TIP tarafından otomatik olarak gerçekleştirilir. Gelen verinin makine tarafından okunabilir bir formatta yapılandırılmış olması ya da belgeler ve metinler gibi yapılandırılmamış olması fark etmez, hepsi bir normalizasyon sürecinden geçer. Her türlü kopya, tutarsızlık ve fazlalık temizlenir ve tehdit bilgilerinin her bir parçasına ilgili özellikler ve bağlam verilir. TIP daha sonra, tek başına bakıldığında bağlantısız gibi görünebilecek ancak çok yönlü saldırıların göstergesi olabilecek faktörleri bir araya getirerek zenginleştirilmiş verileri ilişkilendirir. Bu analize dayanarak, güvenlik analistleri tarafından daha ayrıntılı olarak incelenmek üzere en ciddi tehditlere öncelik verilir. İPUÇLARI ayrıca, tehditleri daha fazla zarara yol açmadan önce bastırmak için otomatik yanıtları ve iyileştirme eylemlerini önceliklendirecek şekilde de yapılandırılabilir.
Güvenlik analistleri, bir veri denizinde gezinmek ve değerli zamanlarını yanlış pozitiflerle harcamak yerine, çeşitli güvenlik ihtiyaçları olan müşterilere hizmet veren MSSP’ler için gerekli olan saldırıları önlemek için zamanında, eyleme dönüştürülebilir istihbarata erişebilir.
Cook, bu ileri düzey hizmet olarak tehdit istihbaratının MSSP’ler tarafından coşkuyla karşılanacağını düşünüyor ve bunun, müşterilerin ağlarını bozabilecek veya çökertebilecek yeni ortaya çıkan tehditleri ve güvenlik açıklarını tespit etmelerine ve azaltmalarına yardımcı olmanın çok önemli bir parçası olacağını açıklıyor. Şöyle ekliyor: “İşletmeler, tam ölçekli bir saldırı gerçekleşmeden önce tehlike göstergelerini belirleyerek, ciddi güvenlik olaylarının olasılığını ve bununla bağlantılı mali, operasyonel ve itibar zararlarını en aza indirebilir.”
Paylaşılan hizmetler modeline çok uygun olan TIP, aynı zamanda çok çeşitli güvenlik araçlarıyla entegrasyonu da destekleyerek MSSP’lerin yanıtları düzene koymasına ve düzenlemesine yardımcı olur. Bu, tüm istemciler genelinde daha verimli ve tutarlı tehdit yönetimi süreçlerine olanak tanırken, yine de kapsamlı korumanın her birinin bireysel gereksinimlerine ve istenen güvenlik duruşuna göre özelleştirilebilmesini sağlar.
İstihbarat paylaşımı değerli sinerjiler sunuyor
Cook, tehdit istihbaratının amacını, kuruluşların zamanında analize ve bağlamsal verilere dayanarak daha iyi ve daha hızlı kararlar almasına yardımcı olmak olarak görüyor. Kendisi şöyle devam ediyor: “Bu teknolojiyi daha geniş bir pazarın kullanımına sunan MSSP’ler, işletmelerin siber güvenliği güçlendirmelerine, varlıklarını korumalarına ve yeni tehditlerle karşı karşıya kaldıklarında genel dayanıklılıklarını artırmalarına yardımcı olabilir.”
Sektöre özgü bilgi paylaşım ve analiz merkezleri (ISAC’ler) ve diğer türdeki paylaşım merkezleri de hayati tehdit bilgilerini derleme ve üyelerine dağıtma görevini üstlendi. Finansal hizmetler, sağlık hizmetleri, enerji, üretim ve eğitim dahil olmak üzere çok çeşitli sektörleri kapsayan bazı topluluklar, üyelerin daha geniş bir gruba yardımcı olmak için gerçek dünya istihbaratını hızlı bir şekilde geri bildirimde bulunabilmesi için iki yönlü iletişimi de başlatıyor.
MSSP’ler, eyleme dönüştürülebilir tehdit istihbaratı almak isteyen bu toplulukların çoğu için teknik platformların sağlanmasına yardımcı olarak ve aynı zamanda birbirlerini destekleyen ve koruyan kolektif bir güvenlik modeline bilgi katkıda bulunarak burada da kendi rollerini oynayabilirler.
ISAC’a benzer şekilde MSSP’lerin, gelişmiş Threat Intel Exchange platformu gibi teknolojileri kullanarak MSSP müşterileri arasında gerçek zamanlı tehdit verilerini paylaşmak için kendi müşteriye özel bilgi paylaşım ve işbirliği topluluklarını da oluşturabileceklerini ekleyebilir miyiz?
Reklam