Bu Help Net Security röportajında, MorganFranklin Consulting’deki Cyber Fusion Center Direktörü Shane Cox, tehdit avcılığındaki gelişen metodolojileri ve stratejileri ele alıyor ve insan liderliğindeki yaklaşımların sağlam bir savunma oluşturmak için birbirini nasıl tamamladığını açıklıyor.
Cox ayrıca, yetenekli tehdit avcılarına olan sürekli ihtiyacı ve insan zekasının gelişmiş otomasyonla bütünleştirilmesindeki gelecekteki zorlukları ve fırsatları da ele alıyor.
Tehdit avında kullanılan birincil metodolojiler nelerdir? Birbirlerini nasıl tamamlarlar?
İnsan liderliğindeki tehdit avcılığı, otomatik araçların tek başına gözden kaçırabileceği karmaşık siber tehditleri tespit etmek ve azaltmak için çeşitli yaklaşımlar kullanır. Bu metodolojiler, kapsamlı bir dedektif stratejisi sağlamak için birbirini tamamlar.
Hipotez odaklı avlanma derinlemesine, proaktif soruşturmaya olanak tanırken, Tehlike Göstergeleri odaklı (IoC) ve varlık odaklı yöntemler belirli ve yüksek değerli tehditlerin göz ardı edilmemesini sağlar. Davranış Göstergeleri’nin (IoB’ler) tanımlanması, bilinen tehditler ile ortaya çıkan taktikler arasındaki boşluğu kapatır ve ortaya çıkan tehditlere yanıt vermek için gereken esnekliği ve hızı sağlar.
Başlıca teknikler şunlardır:
- Hipotez odaklı avcılık: Bu yöntem, bilinen saldırı kalıpları, taktikleri, teknikleri ve prosedürleri (TTP’ler) temelinde hipotezler geliştirir. Kötü amaçlı etkinlik belirtilerini sistematik olarak aramak için MITRE ATT&CK gibi çerçeveleri kullanır ve tehdit tespitinin yapılandırılmış ve proaktif bir biçimini alır.
- IoC odaklı avcılık: Bu reaktif yöntem, bir ihlali işaret edebilecek sıra dışı IP adresleri veya dosya karmaları gibi belirli saldırı göstergelerini hedefler. Bilinen tehditleri belirlemede etkili olsa da, önceden var olan profillere uymayan yeni veya gelişen taktikleri sıklıkla gözden kaçırır.
- Varlık odaklı avcılık: Bu metodoloji, ayrıcalıklı hesaplar veya kritik veritabanları gibi bir organizasyon içindeki yüksek değerli veya yüksek riskli varlıkları korumaya odaklanır. Bu hedeflere öncelik vererek, tehdit avcıları organizasyonun en hayati varlıklarına yönelik içeriden gelen tehditlere veya karmaşık saldırılara karşı savunma sağlayabilir.
- IoB’ler için davranışa dayalı avcılık: IoB’ler, belirli IoC’ler algılanmasa bile sistemde bir tehdit aktörünün mevcut olduğunu ima eden ince eylemler ve kalıpları ifade eder. İnsan liderliğindeki tehdit avcılığı, bu davranış kalıplarını belirlemede anahtar rol oynar, çünkü otomatik araçlar genellikle bu nüansları tespit etmek için bağlamsal anlayıştan yoksundur. Örneğin, alışılmadık bir sırayla veya sıklıkta gerçekleştirilen meşru eylemler dizisi otomasyon tarafından göz ardı edilebilir, ancak yetenekli bir avcı için şüphe uyandırabilir.
Siber güvenlikte otomasyonun artmasıyla birlikte, tehdit avında insan zekasının rolü nedir? İnsan beyni neden hala en etkili tespit motoru olarak kabul ediliyor?
Otomasyon, büyük ölçekli veri analizini ve bilinen tehditlerin hız ve doğrulukla tespitini dönüştürdü. Ancak, tehdit avında insan zekasının rolü, özellikle IoB’leri belirlerken, yeri doldurulamaz olmaya devam ediyor.
IoB’ler, geleneksel IoC’ler mevcut olmasa bile kötü niyetli niyete işaret eden kalıplardır. Bunlar, kural tabanlı algılamanın doğası gereği otomatik sistemlerin gözden kaçırabileceği olağandışı erişim kalıplarını veya normal prosedürlerden ince sapmaları içerebilir. İnsan tehdit avcıları, bu anormallikleri sezgi, deneyim ve bağlam yoluyla tanımada mükemmeldir.
Otomasyon ve insan liderliğindeki tehdit avcılığının birleşimi, tüm temellerin kapsanmasını sağlar. Otomasyon, veri işleme ve bilinen tehditlerin tespiti gibi ağır işleri üstlenirken, insan zekası genellikle büyük güvenlik olaylarını önceden haber veren ince, karmaşık ve bağlama bağlı sinyallere odaklanır. Birlikte, kapsamlı ve uyarlanabilir katmanlı bir savunma stratejisi oluştururlar.
Siber güvenlik ekibinde deneyimli, savaşta deneyimli tehdit avcılarının bulunması ne kadar önemlidir ve kuruluşlar bu tür yetenekleri bulmada hangi zorluklarla karşılaşmaktadır?
Başarılı bir siber güvenlik ekibi için yetenekli tehdit avcıları olmazsa olmazdır. Deneyimleri ve düşmanca taktiklere ilişkin derin anlayışları, aksi takdirde fark edilmeyecek tehditleri belirlemeye ve bunlara yanıt vermeye yardımcı olur. Sezgileri ve yeni bilgilere hızla uyum sağlama yetenekleri de onları paha biçilmez kılar, özellikle de gelişmiş kalıcı tehditlerle (APT’ler) uğraşırken.
Ancak, yetenekli tehdit avcılarına olan talep arzı çok aşıyor. Devam eden siber güvenlik yetenek kıtlığı, kuruluşların bu profesyonelleri bulmasını ve elde tutmasını zorlaştırıyor. Rolün yüksek stresi ve yoğunluğu, elde tutma zorluklarını daha da kötüleştiriyor. Bu sorunları ele almak için kuruluşlar sürekli eğitime yatırım yapmalı, rekabetçi maaşlar sunmalı ve destekleyici ve esnek bir çalışma ortamı yaratmalıdır.
Bir tehdit avlama programının başarısını nasıl ölçersiniz? Hangi ölçümler veya KPI’lar etkili bir tehdit avlama operasyonunun en belirgin göstergesidir?
Bir tehdit avlama programının başarısını ölçmek hem nitel hem de nicel ölçümlerin kullanılmasını içerir:
- Bekleme süresinde azalma: Bu, bir saldırganın bir ağ içinde tespit edilmeden kaldığı zamandır. Kalma süresinde önemli bir azalma, daha etkili bir tehdit avlama operasyonuna işaret eder.
- Tespit edilen olayların sayısı ve geçerliliği: Geçerli tehditlerin, özellikle de gizli IoB’leri içerenlerin daha yüksek tespit oranı, başarılı bir programın göstergesidir.
- Otomasyon sistemlerinde iyileştirme: Etkili tehdit avcılığı genellikle daha iyi ayarlanmış otomatik sistemlere yol açar, yanlış pozitifleri azaltır ve genel güvenlik durumunu iyileştirir.
Genel olarak, insan öncülüğündeki tehdit avcılığının otomasyonla bütünleştirilmesi, avlardan elde edilen içgörülerin otomasyon tespitini geliştirdiği bir geri bildirim döngüsü yaratır ve gelişmiş otomasyon, insan avcıların en zorlu ve belirsiz tehditlere odaklanmasını sağlar.
Tehdit avcılığının geleceğini nasıl görüyorsunuz? Hangi yeni zorluklar ve fırsatlar öngörüyorsunuz?
Gelecekteki tehdit avcılığı otomasyonu insan zekasıyla derinlemesine entegre edecektir. Saldırganlar çabalarını ölçeklendirmek için giderek daha fazla AI kullandıkça, tehdit avcıları önde kalmak için stratejilerini uyarlamalıdır. Bu, gizli tehditleri işaret edebilecek alışılmadık davranışları belirleme gibi yeteneklerini geliştirmek için AI ve makine öğreniminden yararlanmayı içerir.
IoB’lere odaklanmak kritik olmaya devam edecek çünkü bu ince sinyaller genellikle büyük saldırılardan önce gelir. İnsan liderliğindeki tehdit avcılığı, bu işaretleri yorumlamak ve gelişen düşmanca taktiklere uyum sağlamak için olmazsa olmazdır. Bulut bilişim, IoT ve uzaktan çalışma tarafından yönlendirilen BT ortamlarının artan karmaşıklığı, tehdit algılama ve yanıtlamada zorluk katmanları ekleyecektir.
Otomasyon tehdit avında daha büyük bir rol oynayacak olsa da, insanlar karmaşık tehditleri ortaya çıkarma ve bunlara yanıt verme konusunda kilit rol oynamaya devam edecek. Siber güvenliğin geleceği, otomasyonun güçlü yönlerini insan içgörüsüyle birleştiren ve sürekli gelişen siber tehditlere karşı kapsamlı savunma sağlayan dengeli bir yaklaşıma dayanmaktadır.