SIEM (Security Incident and Event Management) araçları çoğu kuruluşta tehdit aktörlerini izlemek, analiz etmek ve önlemek için kullanılmaktadır.
Kuruluşlar, fidye yazılımı saldırılarına, veri ihlallerine ve diğer birçok siber suç faaliyetine karşı koruma sağlamak için güvenlik açısından giderek daha fazlasını oluşturmaya çalışıyor.
Ancak, Güvenlik sürekli bir süreçtir. Bu SIEM araçları, tehdit aktörlerini yalnızca belirli bir ölçüde önlemeye yardımcı olabilir.
SIEM’lerin algılama mekanizmaları, tehdit aktörlerinin kuruluşlara sızmak için kullandıkları karmaşık saldırılara kıyasla çok daha azdır.
MITRE ATT&CK & SIEM’ler
MITRE, çerçevesinde SIEM araçları oluşturmak için temel alınan yaklaşık 194 tekniğe sahiptir.
Cardinalops’un raporuna göre Enterprise SIEM’ler, genel MITRE saldırı tekniklerinin tespitlerinin yalnızca %24’ünü kapsıyor.
Kurumsal SIEM’ler şu anda bu teknikleri kapsayacak kadar yeterli veriye sahiptir ve bu, yalnızca çok daha hızlı ve daha verimli algılama için bir ölçeklendirmeye ihtiyaç duyan tüm MITRE ATT&CK tekniklerinin yaklaşık %94’ünü oluşturur.
Rapor ayrıca, şu anda oluşturulmuş olan tüm SIEM kurallarının %12’sinin yanlış yapılandırılmış veri kaynakları ve eksik alan öğeleri nedeniyle bozulduğunu belirtti.
RedHat raporlarına göre, kapsayıcı kullanan kuruluşlar %68’den fazlasını oluşturuyor. Ancak, kapsayıcı güvenliği algılamada yalnızca %32 ile çok geride kalıyor.
Ortak Güvenlik Katmanları
SIEM tarafından kapsanan yaygın güvenlik katmanlarının çoğu,
- Windows – %96
- Ağ – %96
- IAM – %96
- Linux/Mac – %87
- Bulut – %83
- E-posta – %78
- Üretkenlik Paketleri – %63
- Konteyner – %32
En sık kullanılan SIEM’ler Splunk, IBM QRadar, Sentinel ve Sumologic idi. Bu araçların analizi, SIEM’lerde 4000’den fazla kural sağladı ve en büyük SIEM’de 600’den fazla kural vardı.
Analiz edilen sektörler arasında finansal hizmetler, bankacılık, sigorta, enerji, medya ve telekomünikasyon, profesyonel ve yasal hizmetler ve MSSP (Yönetilen Güvenlik Hizmeti Sağlayıcı) / MDR (Yönetilen Tespit ve Müdahale) bulunmaktadır.
SIEM için öneriler
Kuruluşlara mevcut SIEM sürecini gözden geçirmeleri ve şu anda eksik olan tehditleri ve teknikleri veya davranışları kontrol etmeleri önerilir.
Kullanım durumu yönetiminin geçici kombinasyonu, manuel sızma testi, kırmızı ekip oluşturma, ihlal ve saldırı simülasyon araçları (BAS), tehdit istihbaratı ve çok daha fazlasını içermelidir.
Kuruluşların güvenlik tarafına katkıda bulunan BT yönetimi, DevOps, SOC ve diğer kalite metrikleri açısından çeşitli algılama mühendisliği süreci yaklaşımlarıyla SIEM’i ölçün ve iyileştirin.
Her geçen gün artan tehditler ile kuruluşların güvenliğin her alanında tehditleri etkin bir şekilde yönetmesi ve izlemesi gerekmektedir. Tek bir boşluk tüm organizasyonu çökertebilir.
Bu nedenle, Güvenlik uzmanlarına tehdit aktörlerine karşı korunmak için gerekli güvenlik önlemlerini almaları önerilir.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.