Yazan: Zac Amos, Özellik Düzenleyicisi, ReHack
Çevrimiçi güvenlik söz konusu olduğunda tehlike her köşede gizleniyor. Bir tehdit avcısının görevi proaktif olarak potansiyel sorunları araştırmak ve bir şirketin ağına zarar verme şansına sahip olmadan onları durdurmaktır. İşletmelerin kendi tehdit avlama programlarını nasıl oluşturabilecekleri ve bunu yapmanın neden önemli olduğu burada açıklanmıştır.
Tehdit Avcılığı Neden Gereklidir?
Siber suçlar katlanarak artıyor. 2023’te Amerikalılar çevrimiçi planlara 10,3 milyar dolar kaybetti; bu, önceki yıla kıyasla kayıplarda %49 gibi şaşırtıcı bir artış anlamına geliyor. İşletmelerin kendilerini ve varlıklarını kötü aktörlere karşı korumak için dikkatli olmaları gerekmektedir. Şirketler, iki faktörlü kimlik doğrulamanın uygulanması, mobil cihazların güvenliğinin sağlanması ve şifrelerin düzenli olarak değiştirilmesi gibi hayati önem taşıyan siber güvenlik önlemlerinin yanı sıra, saldırıları savuşturmak için tehdit avcılığından da yararlanmalıdır.
Tehdit avlama programı, olaylara daha hızlı yanıt verilmesini sağlar. Ayrıca tehdit avına çıkmak, bir güvenlik ihlalinin ardından ortalığı toparlamaktan çok daha kolay ve ucuzdur. Bir işletme için nasıl bir tane oluşturacağınız aşağıda açıklanmıştır.
- Bir Temel Oluşturun
Bir tehdit avcılığı programı oluşturmadan önce işletme sahiplerinin, çalışma ortamlarında neyin tipik olduğu konusunda sağlam bir anlayışa sahip olmaları gerekir. Örneğin, şirket içinde gerçekleşen olağan çalışan davranışlarını, faaliyetlerini ve ağ operasyonlarını anlamalıdırlar. Neyin normal olup olmadığına ilişkin bir temel oluşturmak, aykırı değerleri belirlemeye yönelik ilk adımdır.
- Önemli Varlıkları Belirleyin
Kuruluş bilgisayar korsanlarına neler sunuyor? Bir tehdit aktörünün hedeflemek isteyebileceği en değerli varlıklar nelerdir? Bunlar bir şirketten diğerine farklılık gösterir ancak genellikle para veya müşteri verileri gibi unsurları içerir. Bunları belirlemek, bir tehdit avlama programının neden gerekli olduğunu ve neye odaklanması gerektiğini belirlemeye yardımcı olur.
- Başarıyı Tanımlayın
Bir sonraki önemli adım, programın tam olarak neyi başarması gerektiğini tanımlamaktır. İşletme başarısını ölçmek için hangi temel performans göstergelerini (KPI’ler) kullanabilir?
KPI’ya örnek olarak, ekibin belirli bir zaman dilimi içinde düzelttiği güvenlik açıklarının (özellikle ağa kötü amaçlı yazılım yüklemiş olabileceklerin) sayısı verilebilir. KPI’lar doğrudan tehditleri bulma ve engelleme ana hedefiyle bağlantılı olmalı ve siber güvenlik ekibinin başarıya hazırlanmasına yardımcı olmalıdır.
- Bir Tehdit Avlama Stratejisi Seçin
Her tehdit avcılığı programı aynı görünmüyor. Birkaç yaygın strateji şunları içerir:
- Nereden başlayacağınıza karar vermek için MITRE çerçevesini kullanma
- Bir tehdit aktörünün zaten bir ağın içinde olduğu varsayımıyla mayın tarlası inşa etmek
- Bir duvar inşa ederek erişimi tamamen engellemek, yürütme ve ilk erişimle ilgili her şeyin engellenmesini sağlamak
Farklı stratejiler benzersiz ihtiyaçlara hitap eder, bu nedenle her işletme için doğru stratejiyi bulmak çok önemlidir.
- Otomatikleştirilip Otomatikleştirilmeyeceğine Karar Verin
Tehdit avcılığı için otomasyon gerekli olmasa da birçok şirket, özellikle yerleşik, gelişmiş siber güvenlik programlarına sahip olanlar, hataları azaltmak ve üretkenliği artırmak için sürecin bir kısmını otomatikleştiriyor. Otomasyon yolunu izleyen işletmeler için yazılımı geliştirecek ve bakımını yapacak doğru personele sahip olmak çok önemlidir. Otomasyon sürecinin güncel kalması için yakından izlenmesi de hayati önem taşıyor.
- Resmi Güvenlik Operasyon Merkezi (SOC) oluşturun
Tehdit avcılığı programı oluşturmanın bir diğer önemli adımı bir SOC oluşturmaktır. Bu süreç şunları içerir:
- Ana bilgisayar uç noktası uyarıları, olay günlükleri, AD günlükleri, yönlendiriciler ve anahtarlar gibi veri toplama günlüklerine yönelik merkezi bir günlük kaydı sistemi oluşturma
- İstenirse IDS veya SIEM gibi otomatik bir algılama sistemi kurma
- Otomatik tespit sistemini tamamlamak için harici imza ve bilgi akışının alınması
- Uyarıları çözmek ve olayları araştırmak için bir olay müdahale ekibinin işe alınması
- Test Edilebilir Hipotezler Oluşturun
Tehdit avcılığını reaktif siber güvenlikten ayıran temel özellik, uyarılara dayalı olmaması, proaktif olmasıdır. Tehdit avcıları, alarm çalmadan çok önce sorunları ararlar. Bunu yapmak için hipotezler kurarlar ve ardından bunları test etmeye başlarlar.
Örneğin, bir hipotez, bilgisayar korsanlarının şirket ağında belirli bir kötü amaçlı yazılım türünü çalıştırması durumunda, kötü amaçlı yazılımın sistemde olduğunu kanıtlayacak çok spesifik kanıtların mevcut olacağını belirtebilir. Temel olarak, eğer kötü amaçlı yazılım mevcutsa, tespit edilebilir bir imza bırakacaktır.
Tehdit avcıları daha sonra bu teoriyi, kötü amaçlı yazılım arayışında yinelenen av kampanyaları yürütmek için kullanacak. Bunu tespit etmeye çalışmak için hipotezlerinde belirtilen spesifik kanıtları arayacaklar.
- Bir Hacker Gibi Düşünün
Son olarak, bir tehdit avcılığı programı oluşturmak, reaktif olmaktan ziyade proaktif düşünmek anlamına gelir. Her zaman kuruluşun ağındaki güvenlik açıklarını aramayı ve bunlardan en iyi şekilde nasıl yararlanılacağını merak etmeyi gerektirir.
Tehdit avcıları, proaktif düşüncelerini geliştirmek amacıyla test amacıyla mor ekip çalışmasını kullanabilir. Bu strateji, güvenlik ekiplerinin kuruluşun ağına yönelik kötü niyetli saldırıları simüle etmesini ve ardından bunları çözmek için birlikte çalışmasını içerir.
Hazırlıklı Kalmak
Siber suçlar yaygınlaştıkça, bunu öngörmek her zamankinden daha önemli hale geliyor. İyi bir tehdit avlama programı, bir kuruluşun zamanını, parasını ve verilerini korumaya başlamadan önce saldırıları savuşturur. Bir şirketin tehdit aktörlerine karşı cephaneliğindeki değerli bir araçtır ve zaman geçtikçe önemi daha da artacaktır. Bilgisayar korsanları bilgili olabilir ancak tehdit avcıları her zaman bir adım öndedir.
yazar hakkında
Zac Amos, ReHack’te Özellik Editörüdür ve burada siber güvenlik ve teknoloji endüstrisini ele almaktadır. İçeriğinin daha fazlası için onu takip edin heyecan veya LinkedIn.