Uzun yıllar boyunca, siber güvenlik profesyonelleri, bir dizi siber tehdide karşı savunmak için IP adresleri, alan adları ve dosya karmalar gibi uzlaşma göstergelerine (IOC’ler) güveniyorlar. Bu teknik eserler değerli veri noktaları sağlarken, birincil savunma mekanizması olarak etkinlikleri giderek daha fazla stratejik rakipler karşısında azalmaktadır. Zaman, düşmanca stratejilerin en az direniş yollarına yöneldiğini göstermiştir.
Geleneksel IOC’lerin sınırlamaları
Saldırganlar, trafik kaynaklarını kolayca toplayabilir ve operasyonel altyapılarını hızla değiştirebilir ve IP adresi engelleme çabalarını nafile gibi teknikler oluşturur. Bugün kötü niyetli olarak tanımlanan bir IP adresi yarın eski olabilir. Ayrıca, tehdit aktörleri, imza tabanlı algılama sistemlerini atlayarak kötü amaçlı yazılım dosyası karmalarını saniyeler içinde manipüle edebilir. Kodunu otomatik olarak değiştiren polimorfik kötü amaçlı yazılımların çoğalması, geleneksel karma tabanlı algılama yöntemlerinin etkinliğini daha da azaltır.
Siber güvenlik ekipleri genellikle tehdit istihbarat beslemelerinden elde edilen veri hacmiyle boğulmuştur, bunların çoğu hızla alakasız hale gelir. IOC’lerin bu büyük “kara listeleri”, saldırgan altyapısının geçici doğası ve kötü amaçlı yazılım imzalarını değiştirme kolaylığı nedeniyle genellikle modası geçmiş. Bu veri yükü, güvenlik analistlerinin gerçek tehditleri tanımlamasını ve etkili proaktif önlemler uygulamasını zorlaştırır. Dahası, geleneksel tehdit zekası genellikle bir saldırının arkasındaki aktörü tanımlamak için gereken bağlamdan yoksundur ve önleyici çabaları engeller.
Kimlik merkezli güvenliğe geçiş
Gerçek şu ki, kullanıcı yürütülmeden önce kötü amaçlı yazılımların tanımlanması giderek daha zorlayıcıdır. Modern güvenlik ihlalleri, geleneksel IOC yemlerinin sıklıkla kaçırdığı bir unsur olan tehlikeye atılmış kimlikleri içerir. Verizon’un 2024 Veri İhlali Araştırmaları Raporu (DBIR), çalınan kimlik bilgilerinin son on yıldaki tüm ihlallerin yaklaşık üçte birinde (%31) bir faktör olduğunu göstermektedir. 2024’te Varonis’ten yapılan araştırmalar, siber saldırıların% 57’sinin tehlikeye atılmış bir kimlikle başladığını ortaya koyuyor. Saldırganlar, geçerli kullanıcı adı ve şifre kombinasyonlarını veya çeşitli yollarla elde edilen açık oturum nesnelerini (örn. Çerezler) kullanan “giriş” yerine giderek daha fazla “giriş yapmayı” seçiyorlar. Bu yaklaşım, meşru kullanıcıları taklit ederek güvenlik kontrollerini atlamalarını sağlar. Çok faktörlü kimlik doğrulama (MFA), değerli olsa da, özellikle Infostealer kötü amaçlı yazılım yoluyla söndürülen oturum nesneleri düşünüldüğünde, tehlikeye atılan kimliklerle ilişkili riskleri tam olarak azaltmaz. Geleneksel savunma stratejileri ve IOC tabanlı savunmalar, kötü niyetli etkinlik meşru kullanıcı davranışı gibi göründüğü için genellikle bu saldırılara kördür.
Bu gelişen tehdit manzarası, siber güvenlik profesyonellerini kimlik merkezli siber zekayı benimsemeye yönlendiren proaktif bir yaklaşım gerektirir. Bu yaklaşım, odağı geçici teknik göstergeleri kovalamaktan dijital ekosistemlerdeki insan ve insan olmayan varlıkları izlemeye kaydırır. Siber güvenlik ekipleri yalnızca kötü amaçlı yazılım veya IP adreslerini engellemeye odaklanmak yerine, artık “Hangi kimlikler, kimlik bilgileri, oturum veya kişisel veriler tehlikeye atıldı?” Gibi sorulara öncelik veriyor. Bu gelişmiş strateji, riskli kimlikler ve arkasındaki tehdit aktörleri hakkında kapsamlı bir anlayış geliştirmek için birden fazla veri ihlali ve sızıntı arasında kullanıcı adları, e -posta adresleri ve şifreler gibi çeşitli görünüşte farklı sinyallerin ilişkilendirilmesini içerir. Bu yaklaşımın etkinliği doğrudan analiz edilen verilerin hacmi ve hijyeni ile ilişkilidir; Daha yüksek sadakat verileri daha zengin ve daha doğru zekaya yol açar. Örneğin, kimlik merkezli siber zeka, son veri ihlallerinde bir kullanıcının e-postasının ve şifresinin maruz bırakılıp gösterilmediğini hızlı bir şekilde doğrulayabilir ve kötüye kullanım kalıplarını tanımlamak için geçmiş verileri analiz edebilir. Zamanında ve kapsamlı verilerin ilişkilendirilmesi, geleneksel tehdit istihbaratının eksik olduğu bir bağlamsal farkındalık düzeyi sağlar.
Kimlik sinyallerinin gücü
Kimlik sinyalleri, meşru kullanıcıları imposterlerden veya sentetik kimliklerden ayırmak için çok önemlidir. Uzak ve hibrit çalışma modellerinin, bulut hizmetlerinin ve VPN’lerin yükselişi, saldırganların sentetik kimlikler oluşturmasını veya geçerli kullanıcı kimliklerini tehlikeye atmasını kolaylaştırdı. Kaynak IP adresleri gibi geleneksel göstergeler bir kullanıcının meşruiyetini belirlemek için yetersiz olsa da, bu alanda kimlik merkezli bir yaklaşım mükemmeldir. Kuruluşlar, ihlal edilen verilerin ve hileli kimliklerin kapsamlı veri depolarına karşı bir kimlik ile ilişkili birden fazla niteliği analiz ederek riskli kimlikleri tanımlayabilir. Örneğin, çok sayıda ilgisiz ihlal veri kümesinde aniden ortaya çıkan önceden meşru çevrimiçi varlığı olmayan bir e -posta adresi, sentetik bir profili gösterebilir.
Gelişmiş Tehdit İstihbarat Platformları, gizli bağlantıları ortaya çıkararak görünüşte ilgisiz sinyalleri görsel olarak haritalamak ve ilişkilendirmek için varlık grafiğini kullanır. Bu birbirine bağlı grafikler, belirsiz veri noktaları kullandıklarında bile tehdit aktörleri arasındaki ilişkileri ortaya çıkarabilir. Bu yüksek maddi zeka, sadece izole tehdit eserlerini değil, aynı zamanda kötü niyetli kampanyaları düzenleyen insan rakiplerini de tanımlayabilir. Klavyenin arkasındaki bireyin kimliğini anlamak, taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) anlamak kadar kritiktir.
Tarihsel Bağlam: Signa’nın gücü l Analiz
Tehdit istihbaratı için sinyalleri analiz etme kavramı yeni değildir. Ulusal Güvenlik Ajansı (NSA) Projesi (1990’lar dolaylarında) etiketli proje, potansiyel tehditleri tanımlamak için telefon ve e -posta meta verilerini analiz etmeyi amaçladı. Thinthread, kritik içgörüler kazanmak için görünüşte farklı sinyalleri analiz etme potansiyelini gösterdi. İletişim modellerini analiz etmeye odaklanan Mainway olarak bilinen Thinthread’in temel bileşeni sonunda konuşlandırıldı ve NSA’nın yerel gözetim programının önemli bir parçası oldu. Bu tarihsel örnek, modern kimlik risk zekasının temelini oluşturan bir ilke olan potansiyel tehditler hakkında kritik bilgiler elde etmek için görünüşte farklı sinyalleri analiz etme potansiyelini göstermektedir.
Gerçek Dünya Örneği: Kuzey Kore Siber Casusluk
Son olaylar, kimlik merkezli zeka, özellikle de Kuzey Kore istihbarat operatörlerinin uzaktan BT işçileri olarak poz vererek şirketlere sızan çok sayıda vakasını vurgulamaktadır. Bu yüksek vasıflı ajanlar, istihdamı güvence altına almak için fabrikasyon çevrimiçi varlıklar, sahte özgeçmişler, çalınan kişisel veriler ve AI tarafından üretilen profil resimleri ile ayrıntılı sahte kişiler yaratır. Kullanıldıktan sonra, genellikle verileri püskürtürler. Bazı durumlarda, şüphe önlemek için BT çalışmalarını özenle gerçekleştirirler. ABD’li müfettişler, bu taktiğin yaygın doğasını desteklediler, bu da Kuzey Kore vatandaşlarının kendilerini diğer ülkelerin vatandaşları olarak sunarak hileli bir şekilde istihdam elde ettiklerini ortaya koydular. Bu operatörler, arka plan kontrollerini ve görüşmelerini geçmek için sentetik kimlikler yaratarak, yetkin yazılım geliştiricileri veya BT uzmanları olarak görünecek kişisel bilgileri edinir. Bir Kuzey Koreli hacker, çalıntı bir Amerikan kimliği ve AI tarafından oluşturulan bir profil fotoğrafı, İK ve işe alım görevlilerini kullanarak bir siber güvenlik şirketinde bir yazılım geliştiricisi pozisyonu bile sağladı. Bazı durumlarda, bu aktörler duyarlı verileri istihdamdan sonraki günlerde dışarı atarlar. Bir güvenlik eğitim firması olan KnowBe4, şirket ağına Hacking Araçları indiren Kuzey Koreli bir operatör olan yeni işe alınan bir mühendis keşfetti. Operatif sadece şirketin proaktif izleme sistemleri nedeniyle yakalandı.
Bu örnek, geleneksel güvenlik önlemlerinin, arka plan taramalarının ve ağ izlemenin bu sofistike tehditleri tespit etmek için yetersiz olabileceğini vurgulamaktadır. Bu kötü niyetli aktörlerin sürecin başlarında maskesini kaldırabilecek zeka, kimlik riski zekasının değerini vurgulayarak çok önemlidir. Tarama sürecinin başlarında kimlik risk sinyallerini proaktif olarak dahil etmek, kuruluşların ağ erişimi elde etmeden önce potansiyel itici güçleri belirlemelerine yardımcı olabilir. Örneğin, kimlik merkezli bir yaklaşım, tutarsızlıkları ortaya çıkararak veya kişisel verilerinin önceden maruz kalmasıyla Knowbe4 kiralamasını yüksek riskli olarak işaretlemiş olabilir.
Dezenformasyon güvenliği için kimlik riski zekası
Kimlik Riski İstihbaratı, çeşitli dezenformasyon güvenliği önlemleri sağlar:
- Dijital ayak izi doğrulaması: Siber güvenlik analistleri, ihlal ve darknet veritabanlarından yararlanarak bir iş başvurusu sahibinin iddia edilen kimliğini araştırabilirler. Farklı bireylerle ilişkili ihlal verilerinde görünen bir e-posta adresi veya ad veya yabancı IP adreslerine kadar uzanan sözde ABD merkezli bir mühendis kayıtları gibi tutarsızlıklar endişeleri artırmalıdır. Dezenformasyon güvenliğinde bu, yanlış bilgileri yaymak veya yetkisiz erişim kazanmak için kullanılan fabrikasyon kimlikleri tanımlamaya yardımcı olur. Dijital ayak izi analizi, bir kullanıcının meşruiyetlerini doğrulamak için platformlar arasında çevrimiçi varlığını kapsamlı bir şekilde incelemeyi içerir. Tutarsızlıklar veya gerçek bir çevrimiçi varlığın eksikliği sentetik bir kimliği gösterebilir.
- Yaşam kanıtı / sentetik kimlik tespiti: Gelişmiş platformlar, bir kimliğin fabrikasyona karşı gerçek olma olasılığını belirlemek için kişisel olarak tanımlanabilir bilgi kombinasyonlarını (PII) analiz edebilir. Var olmayan sosyal medya varlığı veya AI tarafından üretilen profil fotoğrafları, sentetik bir kişiliğin güçlü göstergeleridir. Tehdit aktörleri genellikle inandırıcı sahte kimlikler yaratmak için AI tarafından üretilen profiller kullandığından, bu dezenformasyon güvenliği için çok önemlidir. AI algoritmaları ve makine öğrenme teknikleri, bu anomalileri büyük veri kümelerinde tespit etmek için gereklidir. Benzersiz kullanıcı etkileşim modellerini analiz eden davranışsal biyometri, gerçek ve sentetik kimlikleri ayırt etmeye daha fazla yardımcı olabilir.
- Sürekli Kimlik İzleme: İzleme etkinliği ve kimlik bilgileri, bir kişi işe alındıktan sonra bile anomalileri ortaya çıkarabilir. Örneğin, bir yüklenicinin hesabı çevrimiçi bir kimlik bilgisi düşüşünde görünürse bir uyarı oluşturulabilir. Dezenformasyon güvenliği için bu, kötü niyetli içerik veya propaganda yaymak için kullanılan uzlaşmış hesapların tespit edilmesine izin verir.
Sofistike dezenformasyon kampanyaları, siber tehditleri kimlik riski zekasına bağlamanın önemini vurgulamaktadır. Statik IOC’ler, düşmanca bir aktöre ait görünüşte “normal” bir kullanıcı hesabının tehlikesini ortaya çıkaramaz; Ayrıca, “normal” bir kullanıcının verilerinin hain bir aktör tarafından aktif olarak kullanıldığını da ortaya koyamaz. Bununla birlikte, kimlik merkezli analiz, bireyin gerçek kimliğini titizlikle inceleyerek ve dijital kişilerinin bilinen tehdit faaliyetine bağlanıp bağlanmadığını belirleyerek erken uyarılar sağlayabilir. Bu, tehdit ilişkilendirmesinin eylemdir: Kimlik sinyallerine öncelik vermek, şüpheli etkinliği gerçek tehdit aktörüne atfetmeyi mümkün kılar. Örneğin Lazarus Grubu, kötü amaçlı yazılım dağıtmak ve kimlik bilgilerini çalmak için LinkedIn gibi platformlarda sosyal mühendislik taktiklerini kullanır ve profesyonel ağlarda bile kimlik odaklı izleme ihtiyacını vurgular. Benzer şekilde, APT29 (Cozy Bear), bireylerin meşruiyetini ve dijital ayak izlerini doğrulamanın öneminin altını çizen gelişmiş mızrak avı kampanyaları kullanır.
Yazar hakkında
Andres Andreu, Constella Intelligence’ta hem Baş İşletme Görevlisi (COO) hem de Baş Bilgi Güvenliği Görevlisi (CISO) olarak görev yapıyor. CISSP, ISSAP ve Yönetim Kurulu Sertifikalı Nitelikli Teknoloji Uzmanı (QTE) dahil olmak üzere kimlik bilgilerine sahip 4x CISO ve seçkin siber güvenlik lideridir. Çeşitli kariyeri, yasal kesişme teknolojisine katkılar için üç ABD Adalet Bakanlığı Ödülü kazandığı federal kolluk kuvvetlerini kapsamaktadır – Hearst, Ogilvy & Mather ve 2U, Inc./EDX’te kurumsal liderlik ve Bayshore Networks’te kurucu yönetici olarak girişimci başarıyı (2021’de OPSWAT tarafından satın alınmıştır). En iyi 100 CISO (C100) ve ilk 50 bilgi güvenliği uzmanı olarak tanınan saldırgan ve savunma siber güvenlik stratejilerini yönetici ve çalışan hedeflerini hizalayan bir liderlik felsefesi ile dengeler. Ünlü bir yazar Ciso oyun kitabı Ve Profesyonel Kalem Testi Web Uygulamalarıayrıca siber güvenlik yeniliklerinde patentler düzenler ve ForgePoint Capital’in Siber Güvenlik Danışma Konseyi’ne tavsiyelerde bulunur.
Andres’e çevrimiçi olarak LinkedIn ve şirket web sitemizde https://constella.ai/ adresinden ulaşılabilir.