MITRE ATT&CK'nin Sonraki Aşamalarında Tehditleri Tespit Etmek İçin Doğu-Batı Ağ Görünürlüğünü Kullanmak


Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), “yetersiz dahili ağ izlemeyi” şu sorunlardan biri olarak nitelendiriyor: En yaygın 10 ağ yanlış yapılandırması bu yıl. Aslında, ağ analizi ve görünürlüğü (NAV) daimi bir zorluk olmaya devam ediyor. Geleneksel ağın etrafındaki sınırlar ortadan kalktıkça ve aktif tehdit ortamı daha karmaşık hale geldikçe, işletmelerin performanslarını, güvenliklerini ve sürekliliklerini korumak için yeni yöntemlere ve çözümlere ihtiyaçları var.

İşte burada GÖNYE ATT&CK çerçevesi devreye giriyor. Topladığı düşman taktikleri ve teknikleri, fidye yazılımı gibi siber tehditlerin yanı sıra hedefi bir kuruluşa potansiyel olarak yıkıcı zarar vermek olan gelişmiş kalıcı tehditleri (APT'ler) anlamamıza ve bunlarla mücadele etmemize yardımcı oluyor. Bilinen APT gruplarının bilinen taktik ve tekniklerini arayarak, Siber güvenlik ekipleri tehditleri engelleyebilir Başarılı saldırılara dönüşmeden önce.

Fidye yazılımı tespit edildiğinde normalde hasarı önlemek için çok geç kalınmış olur. Bu, yalnızca veri merkezi ile istemciler arasındaki “kuzey-güney” trafiğini değil aynı zamanda “doğu-batı” trafiğini de kapsayan anormallikleri tespit etmek için ağın tam ve sürekli izlenmesine, önleyici stratejilere ilişkin bir anlayışa ve sınırsız görünürlük yeteneklerine olan ihtiyacın altını çizer sunucular arasında da.

Tehdit Ortamını ve Ağınızı Anlayın

Nihai hedef tam ağ görünürlüğü olsa da, bunu söylemek yapmaktan daha kolaydır. Organizasyonlar gerektirir bütünsel görünürlük hizmet sunma ekosistemi genelinde. Trafiği ve uygulama kullanımını izlemek ve trendlendirmek için ağ etkinliğini izlemek önemlidir. Ayrıca, yalnızca genel merkezleri, uzak ofisleri ve özel veri merkezlerini değil aynı zamanda ortak yerleşim merkezlerini, iletişim merkezlerini, genel bulutları ve SaaS ortamlarını da kapsayan geniş tabanlı bir performans ve kullanılabilirlik stratejisi uygulamak için kurumsal çapta görünürlüğün ötesine geçmelisiniz.

Ayrıca, giderek dağıtılan hibrit bulut ortamlarında yüksek performanslı dijital hizmetlerin sürdürülmesi, kurumsal BT organizasyonları için çok önemlidir. Daha dağıtılmış bir ortam, müşterilere ve hibrit iş gücüne iş uygulamalarına ve hizmetlere güvenli, emniyetli erişim ve kullanılabilirlik sağlama konusunda yeni zorluklar ortaya çıkarıyor. Bazı durumlarda, SD-WAN bağlantıları, önemli İnternet devreleri, VPN ağ geçitleri ve hibrit buluttaki trafik artışının ardından kalite performansını yönetmek, operasyonel bir zorluktan iş açısından kritik bir önceliğe dönüştü.

Örneğin bugün birçok şirket, pandemi sırasında ve sonrasında binlerce çalışanı kalıcı olarak evden çalışma ve hibrit bulut ortamlarına taşıdı. Şirketler geçiş yaptıkça hibrit iş gücüne ve sıfır güven modellerineNetOps ekipleri, SD-WAN bant genişliğinin binlerce uzak kullanıcıyla ilgili uzak ağ trafiğindeki ani artışları yeterince karşılayıp karşılamayacağını belirlemek için daha iyi araçlara ihtiyaç duyduklarını fark etti. Aynı zamanda, SecOps ekiplerinin tehditleri tespit etmek ve sıfır güven ağ politikalarının tasarlandığı gibi çalıştığını doğrulamak için aynı düzeyde görünürlüğe ihtiyacı vardı.

Sonuç olarak, bu durumda ağın tehdit ortamını anlayarak BT yönetimi, anahtar sunucular, uygulamalar ve veritabanları gibi “taç mücevherlerin” nerede bulunduğunu daha iyi anlayabilir ve belirleyebilir. Bu şekilde, tehditler meydana geldiğinde anormal davranışlar NetOps ve SecOps ekipleri için daha net anlaşılır.

Günümüzün genişletilmiş hizmet uç ortamlarında, uzak son kullanıcı deneyiminin çok katmanlı ağ ve satıcı ortamları bağlamında görselleştirilmesi, sorunları hızlı bir şekilde izole etmek ve MITRE ATT&CK'nin tüm aşamalarında görünürlük sağlamak için çok önemlidir.

Ağ Görünürlüğünün Hem Dahili hem de Harici Olduğundan Emin Olun

BT ekiplerinin ihtiyacı var uçtan uca görünürlük SD-WAN ve uzak ofislerden hibrit/çoklu bulut ortamlarına, ortak kullanım merkezlerine ve veri merkezlerine kadar tüm kurumsal ağları boyunca. Görünürlük eksikliği olduğunda SecOps ekipleri, MITRE ATT&CK'nin tüm aşamalarına ilişkin yeterli bilgiye sahip olamaz.

Modern sıfır güven ortamı, ağın zaten ihlal edildiğini varsayar. Yani, MITRE ATT&CK'nin ilk aşamaları (keşif, kaynak geliştirme ve ilk erişim) zaten gerçekleşti. Kuzey-güney ağ görünürlüğü artık tek başına saldırganın iç hareketini takip etmek için yetersiz; saldırgan şu anda daha sonraki yürütme, ısrar, ayrıcalık yükseltme, savunmadan kaçınma, kimlik bilgileri erişimi, keşif, yanal hareket ve toplama aşamalarından geçiyor.

Bu aşamalarda izinsiz girişleri yakalamak için SecOps ekiplerinin doğu-batı trafik görünürlüğüne ihtiyacı var. Sunucu-sunucu iletişiminde bu düzeyde görünürlük sayesinde SecOps ekipleri, en önemli sunucularıyla ilgili anormal trafik davranışlarını tespit edebilir. Bir fidye yazılımı saldırısı durumunda, MITRE ATT&CK taktik ve tekniklerinin çoğu, verilerin gerçek anlamda sızması ve şifrelenmesinden önce gelir.

Bu tür saldırılar, her yönden akan trafiği kapsayan anormallikleri tespit etmek için ağın tam ve sürekli izlenmesi, önleyici stratejilerin anlaşılması ve sınırsız görünürlük yeteneklerinin gerekliliğinin altını çiziyor. BT, NetOps ve SecOps ekipleri, hem dahili hem de harici çözümleri kullanarak her iki dünyanın en iyi performans izlemesini uygulayabilir.

Her iki ağ paketi trafiği türünden elde edilen verilerden yararlanmak, hibrit ve uzak ortamlarda yalıtılması zor sorunların çözülmesine yardımcı olur. MITRE ATT&CK'nin komuta ve kontrol, sızma ve çarpma gibi son aşamaları için kuzey-güney ve doğu-batı ağ görünürlüğünün birleşimi gerekiyor.





Source link