LAS VEGAS – Kelly Shortridge, savunucuların diğer kuruluşlara karşı uyguladıkları taktiklerin aynısını kullanarak tehdit aktörlerini alt etmelerine yardımcı olmak için kendi tanımladığı şekliyle bir “direnç devrimi” görevi üstleniyor.
“Siber güvenlikte, saldırganların sürekli olarak savunucu olarak bizi geride bıraktığını hissediyoruz. Fastly’deki CTO ofisindeki kıdemli baş mühendis, Çarşamba günü Black Hat USA 2023’teki bir sunum sırasında saldırganların hızlı olduğunu ve sürekli geliştiğini söyledi. “Nasıl ayak uydurabiliriz, değil mi?”
Shortridge, “Yanıt, daha çok saldırganlar gibi olduğumuz, çevik, ampirik ve meraklı hale geldiğimizdir,” dedi.
Shortridge, savunucuların sistem savunmasını dayanıklılık etrafında yeniden yönlendirerek ve saldırgan avantajlarını kendileri için geri alarak bunu başarabileceklerini söyledi.
Bu yeniden düzenlemenin çoğu, modern yazılım mühendisliği uygulamalarına bağlıdır. Günümüzde yazılım üretimine ve yönetimine rehberlik eden geliştirme araçları ve süreçleri de güvenlik hedeflerine fayda sağlayabilir.
“Bir endüstri olarak yapay zekaya o kadar odaklandınız ki, yazılım dünyasının başka yerlerinde olan buna benzer çığır açan şeyleri kaçırdınız. Ve bence bu üzücü, ”dedi Shortridge. “Bu kutsamayı en büyük etkisi için gerçekten kullanmalıyız. Ama bugün yapmıyoruz ve bu beni kesinlikle çıldırtıyor.
Yazılımdaki bu avantajların kökleri hız, tasarım, sistemler ve verilerden kaynaklanmaktadır.
Daha hızlı operasyonel tempo
Shortridge, savunucuların yapılandırma ve altyapıyı CI/CD ardışık düzenleriyle kod olarak benimseyerek operasyonlarını hızlandırabileceğini söyledi.
Kuruluşlar, bildirime dayalı özellikler yoluyla altyapı oluşturup yöneterek ve biçimlendirme yoluyla yazılım değişikliklerini bildirerek manuel süreçleri sınırlayabilir. Shortridge, bunun, süreçleri daha tekrarlanabilir hale getirdiğini ve yanlış yapılandırmalar gibi hatalara daha az eğilimli hale getirdiğini söyledi.
CI/CD ardışık düzenleriyle kod olarak altyapı da yamaları ve güvenlik düzeltmelerini saatler içinde otomatik olarak dağıtabilir.
Bu ortamda, bu değişiklikler otomatik olarak izlenir ve gerektiğinde geri alınabilir. Shortridge, “Bu, saldırganların yapamayacağı bir şey” dedi. “Geri al düğmesi yok.”
Tasarım tabanlı savunma
Shortridge, savunucuların saldırganlarda kıskandığı çevikliği teşvik eden çözümlerin, insan davranışına en az bağımlı olacak şekilde tasarlanması gerektiğini söyledi.
Siber güvenlik uzmanları, güvenli erişim hizmeti uç uygulaması gibi bir güvenlik aracını uygulamak daha kolay olduğu için yalıtım veya modülerlik gibi tasarım tabanlı çözümleri genellikle gözden kaçırır.
Karmaşık sistemlerdeki modülerlik, farklı parçaların stres dönemlerinde özerkliğini korumasına, bağımsız olarak başarısız olmasına ve saldırıların etkisini en aza indirmesine olanak tanır.
Shortridge, “Tecridi benimseyerek, saldırganları yavaşlamaya zorlayabilir, gelişmelerini engelleyebilir, uyum sağlama yeteneklerini zedeleyebiliriz” dedi.
Sistem düşüncesi
Kuruluşların, teknoloji yığınının her bölümünde ortaya çıkan “bu her zaman doğru varsayımlar olacaktır” varsayımlarına meydan okumaları gerekir. Shortridge’e göre saldırganlar kasıtlı olarak bu gizli varsayımları hedef alıyor ve onları kırmaya çalışıyor.
“Sektör olarak giriş ve çıkışa o kadar odaklandık ki, hizmetlerin birbiriyle nasıl konuştuğunu özlüyoruz. Bu arada, saldırganlar bunu gözden kaçırmamıza bayılıyor,” dedi Shortridge.
Bu zihniyet ve stratejik değişim, savunucuların bileşenleri düşünmeyi bırakmasını ve bunun yerine saldırganlar gibi sistemler içinde düşünmesini gerektiriyor.
Shortridge, karar stresi ve dayanıklılık stres testinin, savunucuların bu modelleri sürekli olarak ve saldırganlar onları istismar etmeden önce geliştirmelerine yardımcı olabileceğini söyledi.
Somut ve uygulanabilir başarı ölçütleri
Tehdit aktörleri, eyleme geçirilebilir ve somut yollarla kampanyalarının etkisini fark eder. Erişimleri olup olmadığını, hedeflerine ulaşmak için ne kadar ve nasıl kullanılabileceğini biliyorlar.
Shortridge, kuruluşların daha hızlı savunma eylemleri için bilgi sağlayabilecek sistem sinyallerine ihtiyacı olduğunu ve DevSecOps ve site güvenilirlik mühendisliği ekiplerinden gelen güvenilirlik sinyallerinin bu açıdan çok yararlı olduğunu söyledi.
Kimin neyi ne zaman dağıttığını, kimin neye ve ne zaman erişebileceğini, veritabanı günlüklerini, fatura kayıtlarını ve yüksek CPU kullanımı veya bellek yetersizliği uyarılarını bilmek, bir kuruluşun savunmasını güçlendirebilir.
Shortridge, “Kuruluşunuzun yalnızca güvenlik yığınını değil, gözlemlenebilirlik yığınını da öğrenmeniz gerekiyor,” dedi. “Tıpkı saldırganların kazandığı gibi bize daha hızlı duyusal girdi sağlamak için geri bildirim döngülerine ihtiyacımız var.”
Açıklama: Black Hat ve Cybersecurity Dive’ın her ikisi de Informa’ya aittir. Black Hat’in Cybersecurity Dive’ın kapsamı üzerinde hiçbir etkisi yoktur.