Kırmızı-Mavi Rekabetini Gerçek Savunmaya Dönüştürmek

   Kasım 6, 2025  Posted in Bleeping Computer


Mor takım

Yazan: Sıla Özeren Hacıoğlu, Picus Security Güvenlik Araştırma Mühendisi.

Pek çok organizasyonda, kırmızı ve mavi takımlar hâlâ silolar halinde çalışıyor, genellikle birbirleriyle karşı karşıya geliyor; hücum, içeri girmekle gurur duyuyor ve savunma, hattı korumak için elinden geleni yapıyor.

Ancak çoğu zaman çabaları ortada kalmıyor. gürültü yaratmak. Kırmızı takım bir tatbikat yapar, bulguları yayınlar ve yoluna devam ederken mavi takım, doğrulanmamış güvenlik açığı uyarıları ve kurallarıyla dolup taşar. İlerleme gibi görünebilir ama değil. Hücum boşlukları bir kez tanımlar; savunma her gün körü körüne savaşıyor.

Mor takım oluşturma bu denklemi yeniden yazıyor. Kırmızı ile maviyi bir araya getirir, rekabet etmek için değil, işbirliği yapmakTesti ortak bir sürece ve doğrulamayı ölçülebilir kanıtlara dönüştürmek.

Bu iş birliğini çok daha değerli kılmanın anahtarı, gerçek zamanlı, sürekli ve sürekli doğrulamayı mümkün kılan İhlal ve Saldırı Simülasyonu’dur (BAS).

Çünkü gerçek şudur: Saldırganlar, savunmaların koordine edebileceğinden daha hızlı gelişir ve yalnızca sürekli doğrulama yoluyla aradaki farkı kapatabiliriz.

Mor Takım Oluşturma Bir Renk Çarkı Değil, Gerçek Siber Savunmanın Anahtarıdır

Mor takım “daha dost canlısı kırmızı takım” değildir. Bu, her hücum koşusunu sürekli olarak defansif bir gelişmeye dönüştüren, temelde daha etkili bir iş akışıdır. İş akışı şu şekilde ilerliyor:

  • Kırmızı saldırılar. Savunmaların nerede durduğunu veya nerede çöktüğünü ortaya çıkararak rakipleri hassas bir şekilde taklit ederler.

  • Mavi yanıt verir. Hangisinin yangını kontrol ettiğini, hangisinin sessiz kaldığını ve nedenini takip ediyorlar.

  • Sonra ikisi de tekrar giderboşluklar kapanana kadar sabitleme, yeniden çalıştırma ve iyileştirme.

Bir takımı gerçekten mor yapan şey renk değil, bu döngüdür.

SANS Baş Eğitmeni Chris Dale’in son BAS Zirvesi’nde belirttiği gibi:

“Maviye karşı bu kırmızıyı daha az görmek istiyorum. Yakınsama istiyorum. Birbirimizi iyileştirmemizi istiyorum.”

Mor takım çalışması bu yakınlaşmayı gerçeğe dönüştürüyor.

Rekabetin yerine işbirliğiMor ekip oluşturma, testleri devam eden bir doğrulama ve iyileştirme döngüsüne dönüştürür. Risklerin bu kadar yüksek olduğu ve hız ve hassasiyetin hayatta kalmayı tanımlayabildiği bir alanda, bu sadece daha iyi bir zihniyet değil; ilerlemenin tek mantıklı yolu bu.

Artık Kılavuz Yok: BAS Sürekli Mor Ekip Oluşturmayı Nasıl Güçlendiriyor?

Manuel mor ekipleme yavaştır.

Her yeni düşman kampanyası saatlerce senaryo yazma, sahneleme ve ayarlama gerektirir. Bir öldürme zinciri hazır olduğunda, yeni kampanyalar halihazırda başlamış olabilir ve kuruluşunuz zaten kamu raporlarında görünüyor.

Artık geleneksel olarak ilerlemeyi yavaşlatan veya durduran manuel görevleri otomatikleştirerek bu gecikmeyi ortadan kaldırabilirsiniz. BAS:

  • MITRE ATT&CK çerçevesiyle eşlenen TTP’leri kullanarak gerçek dünyadaki düşmanları sürekli olarak simüle eder

  • Simüle edilmiş yükleri canlı kontrollere karşı güvenli bir şekilde yürütür ve

  • Anında puanlarınızı önleme, tespit ve müdahale etkinliği.

Burada otomasyon insan yaratıcılığının yerini almıyor; daha hızlı, daha doğru doğrulamayı mümkün kılarak onu güçlendirir.

Picus Kurucu Ortağı ve CTO’su olarak Volkan Ertürk BAS Zirvesi’nde vurgulanan şu ifadelere yer verildi:BAS, modern güvenliğin voltaj testidir; neyin geçerli olduğunu görmek için yığınınızdan geçirdiğiniz akım.

BAS ile mor takım oluşturma tek seferlik bir etkinlik olmaktan çıkıyor ve üretken bir ritim haline geliyor. Saldırı. Gözlemlemek. Düzeltmek. Doğrula. Tekrarlamak.

Picus Güvenlik Doğrulama Platformunun sürekli mor ekip oluşturmanıza nasıl yardımcı olduğunu görün.

Gerçek düşman simülasyonlarını otomatikleştirin, her kontrolü doğrulayın ve kırmızı ve mavi takımlar arasındaki iş birliğini kanıtlanmış bir savunma gücüne dönüştürün.

Demo Alın

Önemli Bir Dövüş Seçin

Bir uyumluluk kontrol listesiyle liderlik etmeyin. Seni gerçekten yakacak olanla başla.

Düşmanın taç mücevherlerinize erişmek için kullanacağı gerçekçi, yüksek etkili saldırı yollarına odaklanın:

  • dahili keşif → ayrıcalık yükseltme → yatay hareket (WMI, PsExec) → kalıcılık (kayıt defteri, zamanlanmış görevler) → veri sızması → şifreleme ve yedeklemeye müdahale (örneğin, gölge kopya silme).

Bu saldırı zincirini durdurmaya veya tespit etmeye yönelik kontrollere, güvenlik duvarlarına, WAF’lara, e-posta ağ geçitlerine, IPS/IDS’ye, EDR/XDR’ye kadar genişletin ve önleme, tespit ve yanıtı ölçmek için senaryoyu BAS’ta güvenli bir şekilde çalıştırın.

Yığını izleyin:

  • Ne ateş etti? — Bu kontroller işe yaradı.

  • Ne sessiz kaldı? — Bunu en büyük iyileştirme önceliğiniz haline getirin.

  • Davranış/teknik yerine imzalarla ilgili ne uyarısı yapıldı? — Bu gürültüdür; tespitlerin tekniğe eşlenmesi için yeniden ayarlayın.

Doğrulanmış Önceliklendirmeye Dayalı Döngüyü Kapatın

BAS tarafından yürütülen her saldırı simülasyonu kanıt üretir ve ortaya çıkan boşluklara anında müdahale etmenize olanak tanır.

Bu şekilde şunları yapabilirsiniz: öncelik vermek hem önleme hem de tespit sürecinden kaçan şeyler; bunlar savunmanızın engelleyemediği veya tespit edemediği gerçek risklerdir.

Benzer şekilde, o zaman önceliklerini düşürmek mevcut kontrollerinizin zaten azalttığı güvenlik açıkları; her biri değil CVSS açısından kritik özellikle telafi edici kontroller zaten mevcutsa ve kötüye kullanımı etkin bir şekilde önlüyorsa, güvenlik açığının yamanması gerekir.

Geriye kalan her boşluğu inceleyin ve üç faktörü kullanarak değerlendirin:

  • Darbe: Kullanılırsa hasar ne kadar önemli olur?

  • Tespit edilebilirlik: Mevcut araçlarla tespit etmek ne kadar kolay?

  • İş İçeriği: Bu risk ortamınızda nerede bulunuyor ve istismar edilmesi durumunda hangi varlıkları etkiler?

Günümüzün karmaşık ortamlarında her şeyi bir anda düzeltmek imkansız olmasa da pratik değildir. Öncelikle en kritik boşluklara odaklanın: gerçek bir ihlale yol açabilecek en yüksek etkili ve en az tespit edilebilir boşluklara.

Bu süreç, maruz kalma ve tepki arasındaki döngüyü kısaltır.

Hacmi Değil Gerçekliği Ölçün

Gerçekten neyin geliştiğine odaklanın:

  • Tespit süresi BAS’ın uygulanmasından önce ve sonra.

  • Bir düzeltmeyi doğrulamak için ortalama süre ve etkinliğini doğrulayın.

  • TTP Yüzdesi (Taktikler, Teknikler ve Prosedürler) tespit edilip engelleniyor.

Bu ölçümler size kırmızı ve mavi ekip işbirliğinin gerçekten ilerlemeyi mi sağladığını, yoksa sadece hareket halinde olup olmadığınızı gösterecektir.

Sutter Health’in Saldırı Güvenliği ve Tehdit İstihbaratı Lideri Jaime Rodriguez’in belirttiği gibi: “Bu, her zaman, her yerde çalıştırabileceğimiz sürekli bir doğrulama döngüsüdür.

Amaç sadece saldırı yapmak değil. Gerçek savunmalarınızın sürekli olarak doğrulanmasını ve güvenlik hedeflerinizle uyumlu olmasını sağlayarak, açığa çıkma ve güvence arasındaki boşluğu kapatmaktır.

Yapay zekadan dikkatli bir şekilde yararlanın

Yapay zeka artık bir tehdit raporunu hızlı bir şekilde okuyabilir ve dakikalar içinde eksiksiz bir öykünme planı oluşturabilir.

Bu ileriye doğru büyük bir adım olsa da önemli riskleri de beraberinde getiriyor. Volkan Ertürk uyardı, “Büyük bir modelden (LLM) yüklerinizi oluşturmasını isteyin; kendinizi gerçekten yanlış şeyi simüle ederken bulabilirsiniz.

Daha akıllıca bir yaklaşım şudur:

  • Tehdit istihbaratını ayrıştırmak ve bunu TTP’lerle eşlemek için yapay zekayı kullanın.

  • Güvenlik ve kalite için seçilmiş bir BAS kitaplığında yükleri koruyun ve güncelleyin.

  • Uygulamadan önce daima ekibinizin planları incelemesini sağlayın.

Yapay zeka, insan yargısının yerine geçmemeli, yardımcı olmalıdır. Planın taslağını hazırlayabilir ancak güvenlik ekibinizin neyin güvenli olduğuna karar vermesi gerekir.

Bunu yaparak yapay zeka, güvenlik ekiplerinin dahil edecekleri tehditleri manuel olarak haritalandırdığı geleneksel 48 saatlik haritalama döngüsüne olan ihtiyacı ortadan kaldırır.

Başarıyı Yeniden Düşünün

Kırmızı ekibiniz hâlâ “alan adı yöneticisine ulaşıldı” ifadesini ölçüyorsa tebrikler, 2015’te takılıp kaldınız.
Eğer mavi takımınız hala ‘uyarıların tetiklenmesini’ kutluyorsa, aynı zamanda tehlikeli bir şekilde geçmişte yaşıyorsunuz demektir.

Günümüzde başarı, her sprintten elde edilen sürekli kanıtlarla ölçülüyor:

  • Hangi TTP’ler taklit edildi?

  • Hangi tespitler ayarlandı?

  • Hangi düzeltmeler yeniden doğrulandı?

Güvenlik olgunluğu, kaç tane araç konuşlandırdığınızla ilgili değildir; onların işe yaradığını ne sıklıkta doğruladığınızdır.

Kazancı: Sürekli Güven

Aylarca süren BAS destekli mor ekip çalışmasının ardından bazı temel, dramatik değişiklikler görüyoruz:

  • Takımlar varsayımsal riskleri tartışmıyor.

  • Yöneticiler, ihtiyaç duydukları verilere zaten sahip oldukları için güvence raporları talep etmiyorlar.

  • Her yamanın, her hafifletmenin, her kuralın somut bir nedeni vardır: test edilmiş, onaylanmış ve kanıtlanmış.

Bu noktada sürekli doğrulama ikinci doğanız haline gelir ve ekiplerinizin güvenlik anlayışında temel bir değişime işaret eder.

Chris Dale’in açılış konuşması güçlü bir açıklama bıraktı: “Güvenlik ihlalde başarısız olmaz; çarpma noktasında başarısız olur.

BAS odaklı mor ekip oluşturma, varsayımlar veya umutlarla değil, savunmalarınızı titizlikle test ederek, gerçeği ortaya çıkararak ve ekibinizi harekete geçme konusunda güçlendirerek bu etkiyi önlemek için oluşturulmuştur.

Demonuzu şimdi isteyin benimsemek Tehdit merkezli mor ekip oluşturma ve gerçekçi düşman davranışlarına karşı hazırlıklı olduğunuzu doğrulayın ve maruz kalma ile güvence arasındaki döngüyü kapatın.

Picus Security’nin sponsorluğunda ve yazılmıştır.



Source link