Olay müdahalesinin (IR) bir kuruluşun siber güvenlik stratejisinin özü olduğunu söylemek adil olmayabilir, ancak diğer her şeyin buna yönelik inşa edildiği şeydir. Ancak IR’nin en büyük rakibi artık eskisi kadar saldırgan değil.
Genellikle makine öğreniminin (özellikle durum aktörü saldırılarında) yardımıyla desteklenen kötü adamlar, ultra odaklıdır. Siber saldırganların bugün kesin bir saldırı planı var. Tipik olarak, birkaç dakika içinde aradıklarını çalmaya veya sistemlere zarar vermeye hazır olacaklar ve ardından hızla sistemden çıkacaklar.
Bazı saldırganlar, kötü amaçlı yazılım yükleyen ve ağ etkinliğini potansiyel olarak aylarca izleyen gizli bir yöntemi tercih etse de, günümüzün en kötü suçlularının çoğu vur-kaç yaklaşımı kullanıyor. Bu, bir IR planının neler olup bittiğini belirlemesi, aşırı duyarlı sistemleri kilitlemesi ve saldırganı saniyeler içinde yakalaması gerektiği anlamına gelir. Hız her şey olmayabilir ama yakındır.
Mevcut IR ortamını karmaşık hale getiren şey, kurumsal tehdit ortamlarının son yıllarda, özellikle gözenekli olması ve kötü adamlara saklanacak çok daha fazla yer sağlaması açısından katlanarak daha karmaşık hale gelmesidir. WAN ve şirket sistemlerinin ötesinde, küçülen – ancak yine de geçerli olan – şirket içi sistemler, çok sayıda bulut ortamı (hem bilinen hem de bilinmeyen), IoT/IIoT, çok daha fazla erişime sahip ortaklar, güvenli olmayan LAN’lara sahip ev ofisler, kendi veri saklama ve IP adreslerine sahip araç filoları, tam kimlik bilgilerine sahip mobil cihazlar (genellikle çalışanlara aittir, bu daha fazla güvenlik endişesi doğurur) ve kendilerine ait bilinmeyen deliklere sahip sistemlerde barındırılan SaaS uygulamaları.
Tüm bunlar olurken, güvenlik operasyonları merkezinin (SOC) bir ihlali tespit etmesi ve bununla ilgilenmesi için yalnızca birkaç dakikası olabilir.
IR ile ilgili en büyük CISO sorunu, hazırlık eksikliğidir ve günümüzün en büyük IR kurumsal zayıflığı temeldir. IR için en iyi süreçler, sağlam bir kurumsal tehdit modeli oluşturarak ve şirketi olumsuz etkileyebilecek şeylerden oluşan tehdit kitaplığını, bu tehdit modelinin saldırı yüzeyine karşı hangi önleyici, tespit edici ve reaktif kontrollerin mevcut olduğuna uyum sağlayarak hazır olmakla başlar. . Güvenlik düzenleme, otomasyon ve yanıt (SOAR) teknolojileri aracılığıyla otomasyon kullanmak, yanıt sürelerini kısaltmada ve teknik ortamda belirli tanımlı koşulların karşılanması üzerine tetiklenen oyun kitaplarından yararlanabilmede oldukça yararlı hale geldi.
Haritayı Kontrol Edin
En kritik temel unsurlardan biri güncel, doğru ve kapsamlı bir veri haritasından çalışmaktır. Sorun şu ki, günümüz ortamları gerçekten eksiksiz bir veri haritasına sahip olmayı imkansız kılıyor.
Yalnızca mobil faktörü düşünün. Çalışanlar ve yükleniciler, mobil cihazlar aracılığıyla sürekli olarak yeni fikri mülkiyet (örneğin, bir satış temsilcisi ile bir müşteri veya potansiyel müşteri arasında bir dizi e-posta veya metin) oluşturuyor ve ardından bu bilgileri BT tarafından kontrol edilen merkezi sistemlerle senkronize etmiyor.
Varlığından haberdar olmadığınız bir şeyi korumak imkansız olduğundan, olabildiğince doğru bir veri haritası oluşturmak çok önemlidir. Ayrıca tüm araçların, platformların, donanımların/cihazların (özellikle IoT) ve bir saldırganın bozabileceği diğer her şeyin görünürlüğünü artırmaktan zarar gelmez.
Sürekli saldırı yüzeyi yönetimi (CASM), şirketlerin uç cihazların, özellikle uç ağ geçidine doğrudan erişimi olabilecek IoT cihazları olanların, dedektif kontrollerle yeterince korunduğundan emin olmak için olgunlaşması gereken gelişen bir güvenlik faaliyetleri alanı olmuştur.
İster bir rafta ister bir kolokasyonda olsun, tüm bileşenleri tanımlayarak ve tüm varlıkları takip ederek geleneksel varlık yönetimi stratejileriyle başlamanız gerekir. Çok fazla işletme için kapsamlılık ve uygun yönetişim yoktur. Söz konusu iş kolu için sürdürülebilirliği planlamak üzere varlıkları ve verileri her bir iş koluyla eşleştirmeleri gerekir. IoT cihazlarından üçüncü taraf satıcı yazılımlarına kadar her şeyi çözmeleri gerekiyor. Genellikle radarın altında var olan pek çok şey var. Her bir ürün grubu için ekosistem nedir?
Dikey Boyut
Bunun ötesinde, makinenin çalıştığı tüm dikeyler için saldırı yüzeyi ve tehdit ortamı tanımlanmalı ve genellikle tüm alt sektörleri delmek zorundadır. Bu, hangi tehdit istihbaratının kullanıldığına dair katı bir değerlendirmeyi zorunlu kılar.
Sektörel/dikey veriler için bu, bilgi paylaşım ve analiz merkezlerinin (ISAC’ler) yanı sıra açık kaynak uyarıları, satıcı bildirimleri, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve (Ulusal Güvenlik Açığı Veritabanı (NVD) ve diğerleri ile şarkının entegre edilmesi anlamına gelir. dahili SIEM verileri.
Ancak tüm bu tehdit istihbaratı, bir olaydan önce güçlüdür. Bir saldırı başladığında ve SOC ekibi aktif olarak kendini savunurken, tehdit istihbaratı bazen yardımdan çok dikkat dağıtıcı olabilir. Saldırıdan önce olduğu kadar sonra da harika, ama sırasında değil.
Şirketler, SOC ekibine yeterli erişimin yanı sıra bilgi vermeyerek genellikle IR hızlarını ve etkinliklerini baltalar. Örneğin, denetim günlükleri genellikle etkilenen cihazların IP adreslerini içerir, ancak bazı günlükler yalnızca dahili bir NAT adresi gösterir ve SOC personeli, genel IP adreslerini NAT IP adresleriyle kolay ve hızlı bir şekilde eşleyemez. Bu, acil bir durumda SOC ekibini ağ altyapısı ekibine ulaşmaya zorladı.
SOC ekibinin tüm bulut ortamlarına erişimi var mı? Tüm ortak yerleşim ve bulut destek personeli için ilgili kişiler olarak listeleniyorlar mı?
Güvenlik çalışanlarının, olay müdahale stratejilerini tanımlarken askeri benzetmeler – özellikle savaş referansları – kullanması yaygın bir durumdur. Ne yazık ki, bu benzetmeler dilediğimden daha uygun. Günümüzde saldırganlar, en üst düzey makine öğrenimi sistemlerini kullanıyor ve bazen finansal olarak ulus devletler tarafından destekleniyor. Sistemleri genellikle işletmelerin savunma için kullandıklarından daha sağlam ve moderndir. Bu, günümüzün IR stratejilerinin ayak uydurmak için makine öğrenimi araçlarını kullanması gerektiği anlamına gelir. Saldırganların yöntemleri saniyesine kadar zamanlanmıştır ve içeri girmeleri, zarar vermeleri, dosyalarına sızmaları ve hızla çıkmaları gerektiğini bilirler. Bugün CISO’lar daha da kısa sürede algılamalı ve engellemelidir.