Saldırganlar çok fazla zarar vermeden önce tehditleri belirlemek için proaktif yaklaşımlar kullanmanın avantajları, kurumsal güvenlik ekipleri için açıktır. Bu tür bir yaklaşım olan kimlik tehdidi algılama ve yanıtlama (ITDR), kullanıcı davranışını izleyerek ve anormallikleri saptayarak tehditleri bulmaya ve hafifletmeye odaklanır.
ITDR, bir kuruluşun ağındaki kullanıcı kimliklerinin, etkinliklerinin ve erişim kalıplarının sürekli olarak izlenmesini içerir. Güvenlik ekipleri, potansiyel tehditleri ve yetkisiz erişim girişimlerini gerçek zamanlı olarak tespit etmek ve bunlara yanıt vermek için ITDR araçlarını kullanır.
ITDR tipik olarak aşağıdaki temel bileşenleri içerir:
- Veri toplama: Günlük dosyaları, ağ trafiği ve uygulama kullanımı gibi çeşitli kaynaklardan kullanıcı etkinliği verilerinin toplanması.
- Kullanıcı profili oluşturma: Erişim alışkanlıkları, veri kullanımı ve belirli görevlerde harcanan süre dahil olmak üzere normal kullanıcı davranış kalıplarının temelini oluşturmak.
- Anomali tespiti: Olası tehditleri veya yetkisiz erişim girişimlerini gösterebilecek sapmaları belirlemek için mevcut kullanıcı etkinliklerini yerleşik temelle karşılaştırmak.
- Uyarı ve yanıt: BT güvenlik ekiplerine şüpheli etkinlikleri bildirmek ve tehditleri araştırmak ve düzeltmek için onlara gerekli bilgileri sağlamak.
- Devamlı gelişme: Kullanıcılar ve tehditler geliştikçe kullanıcı davranışı temellerini güncelleme ve tespit algoritmalarını iyileştirme.
ITDR, dolandırıcılık tespiti ve kullanıcı varlık davranış analizi (UEBA) gibi yerleşik metodolojilere dayandığından tamamen yeni bir kavram değildir.
Dolandırıcılık tespiti, bankacılık ve finans gibi sektörlerde yetkisiz işlemler veya hesap devralma gibi hileli faaliyetleri belirleme ve önleme sürecini ifade eder. Dolandırıcılık algılama sistemleri, dolandırıcılığa işaret edebilecek anormallikleri belirlemek için kullanıcı davranışı, işlem kalıpları ve tarihsel eğilimler dahil olmak üzere çok büyük miktarda veriyi analiz eder. Kuruluşlar, potansiyel dolandırıcılığı erken tespit ederek mali kayıpları azaltabilir ve müşterilerinin güvenini koruyabilir.
Benzer şekilde UEBA, bir kuruluşun ağındaki kullanıcı etkinliklerini izleyerek içeriden gelen tehditleri tespit etmeye ve önlemeye odaklanan bir güvenlik yaklaşımıdır. UEBA çözümleri; oturum açma süreleri, veri erişimi ve sistem kullanımı gibi kullanıcı davranış kalıplarını analiz ederek, kötü niyet veya güvenliği ihlal edilmiş hesapları gösterebilecek sapmaları tespit eder. Kuruluşlar, potansiyel içeriden gelen tehditleri erken tespit ederek veri ihlallerini önleyebilir ve itibarlarına gelebilecek zararı en aza indirebilir.
ITDR, Fraud Detection ve UEBA Nasıl Benzer?
Temelde ITDR, dolandırıcılık tespiti ve UEBA, kullanıcı davranışını izleyerek ve anormallikleri tespit ederek potansiyel tehditleri belirleme ve azaltma ortak hedefini paylaşır. Spesifik uygulamaları farklılık gösterse de hepsi bu hedefe ulaşmak için gelişmiş analitik, makine öğrenimi algoritmaları ve sürekli izlemeden yararlanır. Bu yaklaşımlar arasındaki bazı temel benzerlikler şunlardır:
- Veri merkezli: Her üç metodoloji de potansiyel tehditleri tespit etmek için büyük hacimli verilerin toplanmasına ve analizine dayanır. Bu, normal davranış için bir temel oluşturmak ve sapmaları belirlemek için kullanılan kullanıcı etkinliklerini, erişim modellerini ve geçmiş eğilimleri içerir.
- Gerçek zamanlı izleme ve algılama: ITDR, dolandırıcılık tespiti ve UEBA çözümleri, potansiyel tehditleri ortaya çıktıkça tespit etmek için kullanıcı aktivitelerini sürekli olarak izler ve verileri gerçek zamanlı olarak analiz eder. Bu, kuruluşların olaylara hızlı bir şekilde yanıt vermesini ve hasarı en aza indirmesini sağlar.
- Anormallik algılama ve uyarı: Bu metodolojiler, potansiyel tehditlere işaret edebilecek anormallikleri belirlemek için gelişmiş analitik ve makine öğrenimi algoritmaları kullanır. Tespit edildiğinde, BT güvenlik ekipleri uyarılarak olayları araştırmaları ve düzeltmeleri sağlanır.
- Uyum sağlama ve gelişme vurgusu: ITDR, dolandırıcılık tespiti ve UEBA çözümleri, kullanıcı davranışı ve tehdit ortamları değiştikçe uyum sağlamak ve gelişmek üzere tasarlanmıştır. Davranış temellerini sürekli olarak güncelleyerek ve algılama algoritmalarını iyileştirerek, bu sistemler yeni ve gelişmekte olan tehditleri algılamada etkili olmaya devam eder.
- Önlemeye odaklanın: Bu yaklaşımlar, potansiyel olayları önemli zararlara yol açmadan önce belirlemeyi amaçlayan proaktif tehdit algılama ve müdahaleyi vurgular. Kuruluşlar, önlemeye odaklanarak güvenlik ihlallerinin etkisini azaltabilir ve değerli varlıklarını koruyabilir.
ITDR’ye Geçmenin Riskleri ve Kazançları
Siber güvenlik ortamı gelişmeye devam ettikçe, yenilikçi ve proaktif güvenlik çözümlerine duyulan ihtiyaç giderek daha belirgin hale geliyor. Forrester Research’ün baş analisti Heidi Shey, CISO’ların ITDR’yi uygularken karşılaşacakları iki ciddi risk öngördü. Birincisi, şirketlerinin GDPR gibi veri koruma yasalarını ihlal edebilecek çalışan izlemeyi kullanması nedeniyle kovulacak C düzeyinde bir yönetici. İkinci olarak, bir Global 500 firmasının, büyük olaylarda 7/24 ulaşılabilir olması, her türlü riskin üstesinden gelmesi ve sınırlı zaman dilimlerinde sonuç vermesi beklenen siber güvenlik çalışanlarını tüketmesi açığa çıkacaktır.
Son olarak Shey, en az üç siber sigorta sağlayıcısının 2023’te bir yönetilen algılama ve yanıt (MDR) sağlayıcısı alacağını ve Acrisure’un 2022’de başlattığı eğilimi sürdüreceğini tahmin etti. sigortalama yönergeleri, poliçe sahibi ortamlarında benzersiz görünürlük ve tasdik doğrulama yeteneği. Bu tür hamleler, ITDR gibi güvenlik önlemlerinin ortak kullanıma girmesine yardımcı olması gereken siber sigorta pazarı dinamiklerini ve kapsam ve fiyatlandırma gereksinimlerini değiştirecektir.
ITDR, yerleşik siber güvenlik metodolojilerinden radikal bir ayrılma değil, mevcut uygulamaların genişletilmesi ve iyileştirilmesidir. Kuruluşlar, ITDR, dolandırıcılık tespiti ve UEBA arasındaki ortak konuları tanıyarak, daha kapsamlı ve sağlam bir güvenlik duruşu oluşturmak için mevcut güvenlik yatırımlarını ve uzmanlıklarını geliştirebilir.