Otomatik ilerlemelerin modern tehdit avı süreçlerimize sızdığına hepimiz tanık olduk – ve bunun iyi bir nedeni var. Siber saldırıların oranı istikrarlı bir şekilde arttıkça, daha hızlı güvenlik içgörüleri, daha verimli operasyonlar ve insan hatası azaltımı sağlayarak gelgiti durdurmaya yardımcı olmak için otomatik tehdit avlama süreçleri entegre ediliyor.
Ama gerçekten daha iyiye mi gidiyoruz yoksa yanlış şeyleri daha hızlı mı yapıyoruz? Birçok korumanın gerçek zamanlı olarak gerçekleşmesi için hangi şeyler otomatikleştirilebilir? Asıl amaç, insanları bazı döngülerden tamamen çıkararak, sadece insanların yapabileceği şeyleri yapmaya konsantre olmalarını sağlamaktır.
Tehdit avcılığı durumu
Siber güvenlik uzmanları, kötüleşen tehdit ortamı ve BT ortamlarını etkili bir şekilde korumak için sınırlı kaynaklar sayesinde artan zorluklarla karşı karşıya. Siber güvenlik uzmanlarının %52’si, gelişmiş tehditlerin tespit edilmesinin SOC’lerinin karşı karşıya olduğu en büyük zorluk olduğunu düşündüklerini söyledi. Tehditlerin hafifletilmesine yardımcı olacak uzman güvenlik personelinin olmaması hemen ardından geliyor (%47), ardından yanlış pozitif uyarılar için çok fazla zaman harcanıyor (%40).
Yeni başlayanlar için, tehdit avcılığının kişinin ağı hakkında derin bilgi gerektirdiğini ve her bir sürecin benzersiz olduğunu not etmek önemlidir. Tehdit avcılarının kuruluşlarının zayıf yönlerini bilmeleri gerekir, ancak ne yazık ki pek çok şirket gerçekten nitelikli tehdit avcılarının nadir olduğunu fark etmeye başlıyor. Mevcut tehdit avlama süreçlerinin çoğu, bir tür insan eylemi gerektiren sistem tarafından oluşturulan uyarılar tarafından başlatılır. Konuştuğum tehdit avcılarının çoğu, bu uyarıların belki %7-8’ini incelemeye çalıştıklarını söylüyor, ancak gerçekçi konuşursak, yalnızca %1-3’ü ele alınıyor.
TSA asla silah için işaretlenmiş çantaların sadece %3’ünü açmayacak, her birini tek tek inceleyecekti. Tehdit avcılığı neden farklı olsun ki? Nasıl bir uçağı düşürmek için bir bomba yeterliyse, şirketinizi sonsuza dek yok etmek için de tek bir taviz yeterlidir.
İnsanlar, tehdit avlama sürecini etkili bir şekilde yavaşlatıyor. Tamamen sınırların dışında kalan her şeyin otomatik olarak tespit edilip öldürüldüğü bir yere güvenli bir şekilde ulaşmalıyız, bu da gerçek tehdit avcılarına döngüde bir insan gerektiren derinlemesine siber güvenlik görevlerini yapmaları için bant genişliği veriyor.
Tehdit avcılığı yapılmalı mı? tamamen otomatik?
Tehdit avlama süreçlerinizin düşük maliyetli meyvelerini otomatikleştirmek, şirketinizin sürekli gelişen saldırı ortamına ayak uydurması için daha iyi bir donanıma sahip olmasını sağlayacak ve tehdit avcılarınızın kaynaklarını daha verimli kullanmalarını sağlayacaktır.
“Düşük asılı meyve” ile ne demek istiyorum? Örneğin, yalnızca ABD ve Kanada’daki müşterilere satış yapan küçük bir şirkette çalıştığınızı varsayalım – neden Brezilya’ya büyük bant genişliği gönderesiniz ki? Bilmediğiniz bir dilde yazılmış bir web sitesine bağlanırsanız, bu ilginçtir ve olası bir uzlaşma göstergesidir. Ancak her durumda, ona veri göndermemelisiniz – verileri ondan çekmelisiniz. Manuel çözüm, güvenlik duvarı kurallarınızı yüklemek veya güncellemek olacaktır, ancak kötü adamlar aptal değildir ve yavaş değildirler. Gizli ağlarındaki bir düğüm engellendiğinde otomatik olarak yeniden yönlendirilirler, bu nedenle siz bir kuralı kodladığınızda, bu, kötü adamların bir daha asla kullanması gerekmeyecekleri bir kaynaktır. Otomatik artıklık ve otomatik esnekliğe sahiptirler.
Tehdit avı stratejilerinizi otomatikleştirirken bekleyebileceğiniz diğer avantajlar şunları içerir:
- Veri toplama için gereken süreyi en aza indirin
- Tehdit düzeylerini hızla sıralayarak tehdit gürültüsünü azaltın
- Otomatik yanıtlarla birçok saldırıyla kolayca mücadele edin
Nihai hedefi gözden kaçırmayın
Otomasyonun inanılmaz derecede faydalı olabileceğine şüphe yok, ancak onu yanlış şeyi daha hızlı yapmak için kullanmamaya dikkat etmeliyiz. Günün sonunda tehdit avcılığı, gerçek zamanlı otomatikleştirilmiş korumaları gerçeğe dönüştürmek için her konuşmayı, her bağlantıyı, her cihazın rolünü ve etkileşimi gerçekten anlamakla ilgilidir.
Ayrıca, otomatikleştirilmiş güvenlik kontrollerinin rolü, insanları zaman içinde giderek daha fazla boşaltmak. Ancak kritik olarak, işler kontrolden çıktığında bir insanı ne zaman uyandıracağını bilmekte giderek daha iyi hale gelmek sistemin rolüdür. Tüm kötü adamları anlamanıza gerek yok; yalnızca verilerinize dokunmalarını, onları kontrol etmelerini, izlemelerini, çalmalarını veya manipüle etmelerini veya sistemlerinizin arka kapılarını korumalarını önlemeniz yeterlidir.