Etkili bir güvenlik stratejisine katkıda bulunan çeşitli faktörler arasında tehdit istihbaratı iş birliği ve bilgi paylaşımı önemli bir rol oynar. Ancak, son sektör araştırmalarına göre, kuruluşların ezici çoğunluğu bu sorunların önemini kabul etse de, çoğu tehdit istihbaratı içgörülerini ekipler ve güvenlik platformları arasında etkili bir şekilde birleştirmede zorluk çekiyor.
Daha spesifik olarak, katılımcıların %91’i işbirliği ve bilgi paylaşımının siber güvenlik için çok önemli veya kesinlikle hayati olduğunu söylerken, %70’i kuruluşlarının tehdit istihbarat paylaşımını iyileştirebileceğine inanıyor (%19’u önemli ölçüde daha fazla paylaşım yapabileceklerini söyledi). Sorun, araştırma katılımcılarının yarısından fazlasının (%53) kuruluşlarının şu anda bir Bilgi Paylaşımı ve Analiz Merkezi (ISAC) kullanmadığını söylemesi ve bu durumun çoğu güvenlik ekibinin tehdit istihbaratına yaklaşım şeklinin eksikliklerini vurgulamasıdır.
Ayrıca dörtte birinden fazlasının (%28), kuruluşların riskleri yönetmelerini sağlamada sundukları yaygın olarak kabul edilen değere rağmen ISAC’ların varlığından ve rolünden habersiz olduklarını söylemesi de endişe verici.
Siber güvenlik bilgi paylaşımı ve iş birliğine yönelik yaklaşımlarındaki en zayıf halkayı belirlemeleri istendiğinde, altta yatan sorunları daha derinlemesine inceleyerek, yarısından fazlası (%51), iyileştirmenin önündeki en büyük engelin insanlar olduğunu, ardından süreçlerin (%21) ve teknolojilerin (%11) geldiğini söyledi. Tüm bu faktörleri hesaba katarak, katılımcıların neredeyse yarısı (%49), kuruluşlarının tehdit istihbarat platformları, SIEM, varlık yönetimi ve güvenlik açığı yönetim platformları gibi birden fazla güvenlik aracında eyleme dönüştürülebilir içgörüleri birleştirme ve türetme konusunda zorluk çektiğini söyledi.
Bağlantı kopukluğuyla başa çıkmak
Peki bu durum, tehdit istihbaratı paylaşımını ve iş birliğini geliştirmenin gerekliliğini anlayan ancak iyileştirmeler sunmakta zorlanan kuruluşların önemli çoğunluğunu ne durumda bırakıyor?
Genel olarak, bu kopukluğa yol açan çeşitli faktörler vardır ve bunlar bir kuruluştan diğerine değişecektir. Ancak genel anlamda, ekip, teknoloji ve veri silolarının etkili iletişimi ve iş birliğini engelleyebileceği iyi anlaşılmıştır. Bu bağlamda, tehdit istihbaratı da bir istisna değildir ve bunun sonucunda siber tehditleri tespit etme ve bunlara yanıt verme yeteneği önemli ölçüde bozulabilir.
Verinin ortaya koyduklarına bakıldığında; hangi takımların tehdit istihbaratını diğer departmanlarla paylaşma olasılığının en düşük olduğu sorulduğunda, DevOps (%31) en iyi cevap olarak ortaya çıktı, ardından Güvenlik Operasyonları (%17), Tehdit İstihbaratı (%16) ve BT Operasyonları (%15) geldi. Takımların yalnızca %23’ü tehdit istihbaratını günlük olarak, %21’i gerçek zamanlı olarak, %17’si haftalık olarak ve %14’ü aylık olarak paylaşıyor.
Bu zorlukların üstesinden gelmek için önemli bir başlangıç noktası, her kuruluş içinde eyleme dönüştürülebilir tehdit bilgilerinin toplanması, analizi ve yayılmasına açıkça odaklanan ve etkilerini azaltma yöntemleriyle desteklenen etkili bir iş birliği kültürü oluşturmaktır. Tüm bu çalışmalar proaktif koruma ve dayanıklılığı iyileştirmeye yönelik olmalı ve iyi iletişimi ve bilgi ambarlarının ortadan kaldırılmasını teşvik eden süreçler oluşturmaya odaklanmalıdır.
Bu yaklaşım, güvenlik ekipleri birlikte çalışacakları doğru ISAC’ı bulduklarında daha da etkili bir şekilde çalışır. Bunlar, doğası gereği önemli ölçüde farklılık gösterebilir ve uluslararası odaklı, ülke veya sektöre özgü olabilir ve farklı yönetişim yapıları ve iş birliği stillerine göre çalışabilir ve çeşitli finansman modelleriyle desteklenebilir.
Ek olarak, kamu ve özel sektörlerden paydaşları içerebilirler, her ISAC’ın temel hedefleri dahil olan organizasyonların türüne ve geniş veya niş önceliklere ve ilgi alanlarına sahip olup olmadığına bağlı olacaktır. Ancak hemen hemen hepsinin ortak noktası, öngörücü siber savunmayı iyileştirme, sektöre özgü tehditler hakkında tehdit azaltma istihbaratını paylaşma ve üye altyapısını ve varlıklarını güvence altına alma isteğidir. En etkili olanlar, manuel süreçleri ortadan kaldırarak, analist verimliliğini artırarak ve genel güvenlik iş birliğini artırarak daha iyi güvenlik sonuçları elde eder.
Yapay zeka ve otomasyonun rolü
Yetersiz tehdit istihbaratı iş birliğinin sunduğu zorlukların ele alınmasında, AI halihazırda önemli ve büyüyen bir rol oynamaktadır. Bunun merkezinde, büyük miktarda tehdit verisinin ve düzeltme içgörüsünün otomatik olarak tanımlanması, işlenmesi ve yayılması yer almaktadır.
Yapay zeka, tespit ve yanıt teknolojilerine de entegre ediliyor ve aynı zamanda öngörücü güvenlik çözümleri, ekiplere gerçek zamanlı tehdit ve davranış analizi de dahil olmak üzere siber tehditlerin hacmi ve karmaşıklığıyla başa çıkmak için ihtiyaç duydukları oyun değiştirici, proaktif yetenekleri sağlıyor. Buradaki önemli nokta, yapay zekanın yalnızca tehdit istihbarat bilgilerinin kalitesini ve zamanlamasını iyileştirmek için değil, aynı zamanda iletişim ve iş birliği süreçlerini artırmakla ilgili olarak da büyük bir katalizör görevi görebilmesidir. Bunu yaparken, özellikle kuruluşların yalnızca beşte birinin şu anda tehdit istihbaratını gerçek zamanlı olarak paylaştığı düşünüldüğünde, değişim hızını artırmaya yardımcı olabilir.
Şu anda, ekipler arasındaki kopukluk ve güvenlik araçlarının kullanımı etrafında benimsenen silo yaklaşımı, tehdit istihbaratının sunulması için ciddi bir tehdit oluşturmaktadır. Bunun yerine ihtiyaç duyulan şey, geleneksel olarak silolanmış güvenlik işlevlerinin ölçeklenebilir ve entegre olduğu, yüksek doğruluklu tehdit istihbaratını hızlı tehdit yanıtı için tehdit operasyonlarıyla birleştiren birleşik ve proaktif bir yaklaşımdır. Örneğin, bir Sanal Siber Füzyon Merkezi (vCFC) platformu kullanmak, kuruluşları siber tehditlere karşı proaktif bir şekilde savunmalarına yardımcı olmak için farklı güvenlik işlevlerini bir araya getirerek güvenlik silolarını ortadan kaldırır. Bir vCFC platformu, istihbarat ve yanıt, orkestrasyon ve durum farkındalığı yeteneklerini entegre eder, böylece ekipler nerede bulunursa bulunsun, araçların, veri toplamanın ve çabanın tekrarlanmasına gerek kalmadan özgürce işbirliği yapabilir ve bilgi paylaşabilirler.
Bu yeteneklerle donatılan güvenlik ekipleri, daha proaktif bir tehdit yanıtı verebilir, olaylar ortaya çıktığında onları daha hızlı kontrol altına alabilir ve ihtiyaç duydukları iş birliği ve bilgi paylaşımı verimliliğini sağlayabilir.
