Bu Help Net Security röportajında, Exeon CEO’su David Gugelmann, mevcut siber tehditlere ve bunların ağ güvenliğindeki zorluklarına ışık tutuyor. Tehdit algılamayı iyileştirmek ve olay yanıtını kolaylaştırmak için makine öğrenimi algoritmalarından yararlanan Ağ Algılama ve Yanıt (NDR) çözümlerinin rolünü tartışıyor.
Röportaj ayrıca siber güvenlikteki yetenek açığını, IoT cihazlarıyla ilişkili riskleri ve şirketlerin reaktif bir güvenlik stratejisinden proaktif bir güvenlik stratejisine geçmesi gerekliliğini de ele alıyor. Gugelmann, 2023’te ağ güvenliğinde yeni paradigmalar belirleyen gelişmekte olan teknolojilerin yanı sıra uyumluluk ihtiyaçlarını pratik güvenlik önlemleriyle dengeleme konusunda CISO’lar için eyleme geçirilebilir tavsiyelerin ana hatlarını çiziyor.
Siber tehditlerin sürekli gelişimi göz önüne alındığında, mevcut manzarayı nasıl görüyorsunuz ve bugün ağ güvenliği için en acil zorlukların neler olduğunu düşünüyorsunuz?
Siber tehditler daha gelişmiş hale geliyor ve fidye yazılımları, sıfır gün istismarları ve APT’lerden içeriden gelen tehditlere kadar uzanıyor. Bu tehditleri hızlı bir şekilde tespit etmek ve bunlara yanıt vermek, bir kuruluşun güvenliği için kritik öneme sahiptir. Etkili tehdit tespiti, ağ etkinliklerine ilişkin kapsamlı görünürlük ve ağdaki olayları sürekli olarak izleme becerisi gerektirir. Tespit edilen tehditlerle ilgili bağlamsal bilgiler, güvenlik ekiplerinin bir olay müdahalesi için bilinçli kararlar almasına yardımcı olur. Ağ Tespiti ve Müdahale çözümleri, olayların hızlı araştırılmasını, kontrol altına alınmasını ve hızlı bir şekilde düzeltilmesini kolaylaştırır. Ek olarak, altta yatan makine öğrenimi (ML) algoritmaları, tehdit algılama doğruluğunu iyileştirmek, yanlış alarmları azaltmak ve hızlı yanıt vermek için kritik öneme sahiptir.
Diğer bir önemli zorluk, gerekli beceri ve uzmanlığa sahip siber güvenlik uzmanlarının eksikliğidir. Tehdit istihbaratını basitleştirdiği ve her düzeyde bilgiye sahip güvenlik ekipleri tarafından erişilebilir olduğu için, otomatik bir NDR’nin azaltabileceği yer burasıdır.
Ayrıca, IoT cihazlarının artan yaygınlığı ve BYOD trendi, ağ uç noktalarının güvenliğini sağlamada yeni güvenlik açıklarına yol açmıştır. Ayrıca kuruluşlar, varsayılan olarak kimsenin güvenilmediği sıfır güven modeline doğru ilerliyor. Ancak, ağ etkinliklerine ilişkin iyi bir görünürlük olmadan, ağ yöneticilerinin katı sıfır güven ilkeleri tanımlaması çok külfetli olacaktır. Kullanımı kolay görünürlük özellikleri sağlayan bir NDR çözümü, güçlü sıfır güven ilkelerinin uygulanmasını büyük ölçüde basitleştirebilir.
Son olarak, uyumluluk düzenlemeleri (örn. NIS2, GDPR veya DORA), hassas verileri korumak ve ulusal ve uluslarüstü düzeyde mevzuat uyumluluğunu sağlamak için güçlü güvenlik önlemleri gerektirir.
Bir NDR, izleme sağlamak ve anında uyarılar ve yanıtlar sağlamak için davranışsal anormallik tespiti için makine öğreniminden yararlanan gelişmiş tehdit algılama ile bu zorlukların üstesinden gelir. Ek olarak NDR’ler, kuruluşların veri koruma ve uyumluluk düzenlemelerini karşılamalarına yardımcı olan yetenekler sağlar.
Kuruluşların genellikle gözden kaçırdığı en yaygın ağ güvenlik açıkları nelerdir?
Ağlarda gördüğümüz büyük bir sorun, gölge BT’dir, yani bir kuruluşun BT altyapısına bağlı hileli veya “unutulmuş” cihazlardır. Gölge BT cihazları genellikle güncellenmez, bu da saldırganların bir cihazın sahip olduğu iyi bilinen bir zayıflıktan faydalanmasını önemsiz hale getirir. Temel olarak, saldırganlar belirli bir cihaz sürümü için hangi yama uygulanmamış güvenlik açıklarının bilindiğini araştırabilir, bu tür bir güvenlik açığının kavram kanıtı istismarını arayabilir ve ardından bu açıktan yararlanmayı cihazı ele geçirmek için kullanabilir. Bu, bir saldırganın bir kuruluşun BT altyapısı içinde kolayca bir yer edinmesine olanak tanır.
Diğer bir önemli sorun, daha büyük kuruluşların sürdürmesi gereken güvenlik duvarı kural setinin karmaşıklığıdır. Kolayca on bin veya daha fazla aktif güvenlik duvarı kuralı vardır. Ortaya çıkan karmaşıklık nedeniyle, güvenlik duvarlarının yanlış yapılandırılması ve erişilmemesi gereken hizmetlere, örneğin dışarıdan erişime izin vermesi sıklıkla meydana gelir. Yine, böyle tek bir yanlış yapılandırma, bir saldırganın ağa kolay bir şekilde girmesini sağlayabilir. Ağda bir dayanak noktası oluşturulduktan sonra, bir saldırgan ağ içinde yanal olarak hareket edebilir ve genellikle haftalar, aylar ve hatta yıllar boyunca devam eden bir saldırı gerçekleştirebilir.
Bu tehditleri azaltmak için kuruluşların BT faaliyetlerini izlemesi önemlidir. Çünkü, örneğin, yanal hareket için hazırlık adımları ve yanal hareketin kendisi, ağda bir NDR çözümü tarafından genellikle kolaylıkla tespit edilebilir.
Kuruluşlar, ağlarını otomatik tehditlere karşı korumak için otomasyondan nasıl daha iyi yararlanabilir?
Saldırganlar potansiyel olarak her gün ağlardaki milyarlarca iletişim arasında saklanabileceğinden, ağları saldırılara karşı korumak için otomasyon son derece önemlidir. Makine öğrenimi tabanlı tehdit algılama algoritmaları, ağ trafiğini, protokolleri ve davranışları sürekli olarak analiz eder ve anormallikleri belirler. Bu algılama modelleri, davranış değişikliklerine dayalı tehditleri belirlemek için sürekli olarak geçmiş verilerden öğrenir. Potansiyel tehditler tespit edildikten sonra, sistem şüpheli faaliyetleri ilişkilendirir ve tehdidin alakalı olduğu düşünüldüğünde güvenlik ekiplerini bilgilendirmek için uyarılar oluşturur. Bu değerlendirme, iyi bilinen tehditlerin kara listeleri gibi statik bilgilere değil, davranış analizine dayandığından, henüz bilinmeyen sıfır gün saldırılarını da tespit edebilir.
Uyarılar, karar vermeyi hızlandırmak için tehdit hakkında ilgili bağlamsal bilgileri içerir.
Uyumluluk ihtiyaçları ile belirli BT güvenlik uygulamalarını uygulamanın pratikliği arasında denge kurarken CISO’lara ne gibi tavsiyeler verebilirsiniz?
Başlamak için, yasal gerekliliklerin ve ilgili sektöre uygulanan kuralların kapsamlı bir şekilde anlaşılması zorunludur. Düzenleyici gerekliliklere ek olarak, her CISO’nun kuruluşun özel güvenlik ihtiyaçlarını da karşılayan bir güvenlik stratejisi geliştirmesi gerekir. Bununla, etkili ve yönetilebilir önlemler tanımlanabilir ve uygulanabilir.
Otomatik önlemler, uyumluluk ve uygulanabilirlik gerekliliklerini eşit şekilde yerine getirmenin çok önemli bir yönüdür çünkü bunları çalıştırmak için yalnızca çok sınırlı personel kaynaklarına ihtiyaç vardır. Örnek olarak, makine öğrenimi tabanlı ağ tespiti ve yanıtı, insan kaynaklarının müdahalesi olmadan ağın sürekli olarak izlenmesine, güvenlik açıklarının ve tehditlerin belirlenmesine ve uyumluluk düzenlemelerini karşılamak için uyarıların tetiklenmesine yardımcı olur.
Kuruluşlar, yalnızca dış tehditlere tepki vermek yerine ağlarının doğasında bulunan güvenlik açıklarını güçlendirmeye odaklanan proaktif bir stratejiyi nasıl oluşturabilir?
Kurumsal ağları proaktif olarak güçlendirmek için çeşitli önlemler öneriyoruz. İlk olarak, olası zayıf noktaları ortadan kaldırmak için sistemlerin sık sık güncellenmesi ve yamaları çok önemlidir. İkinci olarak, istenmeyen veri akışı olmadığından emin olmak için tüm ağ etkinliklerine ilişkin bütüncül bir genel bakışa sahip olmak çok önemlidir. Bir NDR çözümü, bu görünürlüğü oluşturmaya yardımcı olabilir. Saldırganlar tarafından istismar edilebilecek güvenlik açıklarını, yanlış yapılandırmaları ve eski sistemleri belirlemek ve ele almak için düzenli ağ denetimleri gerçekleştirmenizi de öneririz. Ve son olarak, NDR sistemlerinin işlevselliği, tehditlere tepki vermek yerine tehditleri oluşmadan önce önlemeyi amaçlayan ağ trafiğini sürekli olarak izledikleri için onları doğaları gereği proaktif hale getirir.
Hangi ağ güvenliği çözümleri ve teknolojileri 2023’te oyunun kurallarını değiştirecek?
Ağ güvenliğini güçlendirmek ve kuruluşlara gelişen siber tehditlere karşı güçlü araçlar sağlamak için pek çok fırsat var. Aslında, ağ algılama ve yanıt teknolojisinde de çok şey oluyor. Bu yeni teknolojiler, ağ trafiğine ilişkin derin içgörüler sağlar ve davranış modellerinin analizine dayalı olarak anormal davranışları ve potansiyel tehditleri belirler. Gelişmiş makine öğrenimi teknikleri, büyük hacimli şirket içi ve bulut ağ verilerini anormallikler ve saldırılara işaret eden modeller için analiz ederek NDR’nin tehdit algılama doğruluğunu artırır. İstemci etkileşimlerinde de gördüğümüz şey, modern NDR çözümlerinin yüksek düzeyde mimari esneklik sağlaması ve mevcut izleme altyapısında sorunsuz bir entegrasyon sağlamasıdır.
Bununla birlikte, bunların tamamen yeni kurallar olmadığını, daha çok birkaç yıl önce çeşitli araştırma makalelerinde neyse ki önceden tahmin edebildiğimiz devam eden evrimler olduğunu belirtmek de önemlidir.