Modern saldırganlarla mücadele etmek, sağlam ve kapsamlı bir tespit ve yanıt programı gerektirir; ancak uyarı yorgunluğu, maliyetli araçlar, yetenek edinme zorlukları ve aşırı çalışan bir ekip gibi zorluklar ilerlemeyi engeller.
Bu yılki Black Hat Avrupa’da Airbnb’nin kıdemli personel mühendisi Allyn Stott, olayların aralıksız arttığı ve zorlu programların olduğu bir ortamda uygun bir çerçevenin BT güvenlik liderlerinin modern bir programın temel yeteneklerini geliştirmesine nasıl yardımcı olabileceğini tartışacak.
Reaktiften Proaktife
Stott şöyle açıklıyor: “Geçmişte tespit ve müdahale programları çok reaktifti ve zaten kötü bir şeyin gerçekleştiğini gösteren uyarılara odaklanıyordu.” “Daha fazla proaktif olmak ve yalnızca tehdit avcılığı yapmak değil, aynı zamanda tehditleri bir saldırıda mümkün olduğu kadar erken tespit etmeye odaklanan bir tespit felsefesi benimsemek istiyorsunuz.”
Pek çok eski sistemde, güvenlik ekibinin sahip olduğu yeteneklerin aksine odak noktasının genellikle teknoloji araçları ve sağlayıcılar olduğunu ekliyor ve bu sistemlerin çoğunun organizasyonun geri kalanından tamamen izole edildiğine dikkat çekiyor.
“Tamamen sessiz ve kopuk bir şekilde çalıştığınızda, bu ekiplerinizin kuruluşunuzla tamamen iletişimden kopmasına neden olur ve ortak ekiplerle yan yana çalışma becerilerini engeller” diyor. “Algılama yeteneği ölçeklenmiyor. Kuruluşun geri kalanının bizimle aynı doğrultuda hareket etmesine ve bizimle birlikte çalışmasına ihtiyacımız var; modern bir algılama ve yanıt yaklaşımını tanımlayan şey budur.”
Stott, programın mevcut durumunun değerlendirilmesinden başlayarak, tehdit tespiti ve müdahale modernizasyonunun uygulanmasını dört aşamaya ayırıyor.
“Bu, kuruluşunuzun veya teknolojik zorlukların ve çalışanlarınızın karşılaştığı zorlukları öğrendiğiniz zamandır” diyor. “Kuruluşunuzun paydaşları kimlerdir ve kimlerin dahil olması gerekiyor?”
Tespit müdahalesinde bulunmanın en sevdiği şeylerden biri, diğer paydaş ekiplerinin çekirdek güvenlik ekibine dahil edilmesinin otomatik bir yolunun bulunmasıdır çünkü kuruluş bir noktada bir güvenlik olayı yaşayacaktır.
Stott, “Bir olay olduğunda herkesin olaya müdahale ekibinde yer alması fikri gerçekten doğru geliyor” diyor. “Bu ilk aşamada bir adım geriye gitmeniz ve kuruluşun tespit ve müdahale konusunda gerçekte neye ihtiyacı olduğunu görmeniz gerekiyor.”
Beceri Setlerini Anlamak, Hizalamak
Tasarım ve geliştirme aşamasında, ekibin yeteneklerinin ötesinde araçlar geliştirmekten kaçınmak için beceri setlerini anlamak ve uyumlu hale getirmek çok önemlidir.
“Tehdit istihbaratı toplamanız, tehdit avcılığı veya tespit mühendisliği ile nasıl etkileşime giriyor ve daha klasik olay müdahalesi öğeleriyle (triyaj, analiz, müdahale, adli tıp) nasıl bir araya geliyor?” Stott diyor.
Belirli yeteneklere (örneğin, ana bilgisayar izolasyonu veya bellek adli bilişimi veya anormallik tespiti yapma yeteneği) odaklanmak önemlidir.
“Bu süreçlerin her biri için ihtiyaç duyacağınız farklı teknik yetenekleri düşünün ve ardından bunların nasıl etkileşime gireceğini belirleyin” diyor.
Satın Alma ve Ürün Oluşturma
Üçüncü aşamada, ürün satın alma ve ürün oluşturma, planlama ve süreçlerin nasıl uygulamaya konulacağını belirler.
Stott, “Gerçek şu ki, tespit müdahalesinde olduğunuzda yeni bir şey inşa ediyorsunuz, hâlâ çalışır durumda olmanız gerekiyor, hâlâ uyarılarınız var, hâlâ olaylar oluyor” diyor. “Üçüncü taraf bir SOC getirmeyi düşünebilirsiniz [give] Programı oluşturmak için kendinize biraz nefes alma alanı açın.”
İyi bir satıcı çözümünün sizi bu noktaya %65 oranında ulaştıracağını söylüyor ve herhangi bir platformda önemli olan şeyin, güvenlik ekiplerinin otomasyon değişikliklerini uygun gördükleri şekilde oluşturmalarına olanak tanıyan modern ilkelerin birleştirilmesi olduğunu ekliyor.
“Çünkü ben bir mühendisim, inşa etmeyi seviyorum; bazen gerçekten yapmak istediğim şey bu” diye itiraf ediyor. “Mühendislere ve ekibimde çalışan insanlara güzel bir hatırlatma, ‘Evet satın alacağız ama çok fazla bina olacak’ demek.”
Bir Hikaye Anlatan Metrikler
Son aşama, programın nasıl performans gösterdiğine dair bir hikaye anlatan metriklerin kullanılması yoluyla değerlendirme ve raporlama süreçlerinin iyileştirilmesini içerir.
Stott, “Tespit edebileceğiniz ve tespit edemediğiniz farklı türdeki tehdit tekniklerine ilişkin tam bir resme sahip olmak önemlidir” diyor. “Hatta belki daha da önemli olan, hangi ortamları tespit edip tespit edemeyeceğinizi bilmektir. Belki bir kuruluşun uç nokta kapsamı iyi olabilir, ancak üretim kapsamı iyi değildir.”
Onun bakış açısına göre, bu hikayeyi anlatabilmek, daha fazla finansman veya ek personel sayısı çağrılarının desteklenmesine de yardımcı olacak.
“Bütün bu uyarılara sahip olmak ve bunlar hakkında pek fazla anlam vermek yerine, farklı ortamlardaki tehditleri görebileceğiniz ve nerede boşluklarınız olduğunu keşfedebileceğiniz gözlemlenebilirlik ölçümleri sağlıyorsunuz” diyor.
Bu hikayeyi anlatmanın bir kısmı, tüm bu ölçümleri gözlemlenen en önemli tehditlere, risk altındaki en yüksek ortamlara ve şu anda gözlemlenen en önemli olay eğilimlerine bağlamaktır.
“Görebildiğinizi bildiğiniz, göremediğiniz şeylerin bir yol haritasını oluşturmak ve bunu teknik olarak nasıl başaracağınıza dair bir vizyon geliştirmek için ihtiyacınız olan şey budur” diyor. “İşte bunu finanse etmek için ihtiyacımız olan şey, işte sahip olmamız gereken belge öğeleri ve işte bunu inşa edebilmek için ihtiyacımız olan şey. Bu her şeyi özetliyor.”