Yeni ve kaçamak tehditleri durdurmak, siber güvenlikteki en büyük zorluklardan biridir. Bu, 2022’de küresel siber güvenliğe harcanan tahmini 172 milyar dolara rağmen, saldırıların geçtiğimiz yıl bir kez daha dramatik bir şekilde artmasının en büyük nedenlerinden biri.
Bulut tabanlı araçlarla donatılmış ve gelişmiş bağlı kuruluş ağları tarafından desteklenen tehdit aktörleri, kuruluşların korumalarını güncelleyebildiğinden daha hızlı bir şekilde yeni ve kaçamak amaçlı kötü amaçlı yazılımlar geliştirebilir.
Bu hızla değişen saldırılara karşı kötü amaçlı yazılım imzalarına ve engelleme listelerine güvenmek beyhude hale geldi. Sonuç olarak, SOC araç seti artık büyük ölçüde tehdit algılama ve soruşturma etrafında dönüyor. Bir saldırgan ilk engellemelerinizi atlayabilirse, araçlarınızın saldırı zincirinin bir noktasında onları yakalamasını beklersiniz. Artık her kuruluşun dijital mimarisi, potansiyel olarak kötü niyetli her şeyi günlüğe kaydeden güvenlik denetimleriyle tohumlanmıştır. Güvenlik analistleri bu günlükleri inceler ve daha fazla araştırmak için neleri belirler.
Bu çalışıyor mu? Rakamlara bakalım:
- Güvenlik ekiplerinin %76’sı, yetersiz personel nedeniyle hedeflerine ulaşamadıklarını söylüyor
- Saldırıların %56’sının keşfedilmesi aylar veya daha uzun sürüyor
- Saldırılar artmaya devam ediyor: Siber suçların küresel maliyetinin 2025 yılına kadar 10,5 trilyon dolara ulaşması bekleniyor
Açıkçası, bir şeylerin değişmesi gerekiyor. Tespit teknolojileri önemli bir amaca hizmet eder ve bunlara yatırım yapmak yanlışama kesinlikle fazla vurgulanmıştır.
Kuruluşların her şeyden önce tehdit önleme önceliklendirmesine geri dönmesi gerekir ve bu, temelde önleme kontrollerinizin zaten başarısız olduğunu ve herhangi bir zamanda aktif olarak ihlal edildiğinizi varsayan bir model olan sıfır güvendeki liderden geliyor.
Bitiş noktası sadece başlangıç noktasıdır
Pek çok güvenlik kategorisi, önce algılama güvenlik stratejilerindeki boşlukları örneklendirse de, özellikle popüler bir kategoriye bakalım: uç nokta algılama ve yanıt (EDR).
EDR’nin benimsenmesi orman yangını gibi büyüdü. Halihazırda 2 milyar dolarlık bir endüstri, %25,3’lük bir YBBO ile büyüyor. Mantıklı: çoğu saldırı uç noktada başlar ve saldırı zincirinin başlarında tespit ederseniz etkiyi en aza indirirsiniz. İyi bir EDR çözümü aynı zamanda araştırmalara, uyumluluğa ve güvenlik açıklarını bulup kapatmaya yardımcı olmak için zengin uç nokta telemetrisi sağlar.
Uç nokta güvenliği, yatırım yapmak için değerli bir alandır ve sıfır güvenin kritik bir bileşenidir, ancak resmin tamamı bundan ibaret değildir. Kuruluş genelinde verileri bir araya getiren “genişletilmiş” tespit ve yanıt sağlayıcıların iddialarına rağmen, XDR çözümleri kendi başlarına derinlemesine savunma sağlamaz. EDR’lerde bilinen kötü amaçlı yazılımları durdurmak için antivirüs bulunur, ancak bunlar genellikle diğer tüm trafiğin geçmesine izin verir ve sonunda AV’nin kaçırdığı şeyi tespit etmek için analitiklere güvenirler.
Tüm araçların eksiklikleri vardır ve EDR bir istisna değildir, çünkü:
Tüm saldırılar bitiş noktasında başlamaz. İnternet yeni ağdır ve çoğu kuruluş, çeşitli bulutlarda depolanan çok çeşitli veri ve uygulamalara sahiptir. Ayrıca sık sık internetten yönlendirilebilen VPN’ler ve güvenlik duvarları gibi cihazları kullanırlar. Açığa çıkan her şey bir saldırıya tabidir. Zscaler ThreatLabz, SSL tabanlı saldırıların %30’unun AWS, Google Drive, OneDrive ve Dropbox gibi bulut tabanlı dosya paylaşım hizmetlerinde saklandığını tespit etti.
Tüm uç noktalar yönetilmez. EDR, BT tarafından yönetilen her cihaza yüklenen aracılara dayanır, ancak bu, yönetilmeyen uç noktaların verilerinize veya ağlarınıza dokunabileceği sayısız senaryoyu hesaba katmaz: IoT ve OT cihazları, iş için kullanılan kişisel (BYOD) uç noktaları, üçüncü -verilere erişimi olan taraf ortakları ve yükleniciler, son birleşmeler veya satın almalar, hatta Wi-Fi kullanmak için ofisinize gelen konuklar.
EDR baypas edilebilir. Tüm güvenlik araçlarının zayıf yönleri vardır ve EDR’nin, sistem çağrılarından yararlanmak gibi birkaç yaygın teknik kullanılarak atlatılmasının oldukça kolay olduğu kanıtlanmıştır. Saldırganlar, yeni PDF’leri, Microsoft 365 belgelerini ve kötü amaçlı yazılımın parmak izini değiştirebilen ve geleneksel siber güvenlik modellerini fark edilmeden atlayabilen diğer dosyaları otomatik olarak oluşturmak için şifreleme ve gizleme tekniklerini kullanır.
Modern tehditler gerçekten hızlı hareket ediyor. Günümüzün fidye yazılımı türleri, neredeyse tamamı olası siber suçlular için karanlık ağda satın alınabiliyor ve verileri, algılamaya dayalı teknolojilerin kullanışlı olamayacak kadar hızlı bir şekilde şifreleyebiliyor. LockBit v3.0, dakikada 25.000 dosyayı şifreleyebilir ve piyasadaki en hızlı fidye yazılımı bile değildir. Tersine, bir ihlali tespit etmek ve hafifletmek için ortalama süre 280 gün olarak ölçüldü. Bu, LockBit’in 10 milyardan fazla dosyayı şifrelemesi için yeterli bir süre.
Güvenliğinizi sıraya koyun
İmza tabanlı antivirüs teknolojilerinin artık karmaşık saldırıları durdurmak için yeterli olmadığı doğrudur. Ancak, algılama teknolojilerinin arkasındaki aynı yapay zeka destekli analitiğin, eğer satır içi teslim edilirlerse, yalnızca algılama için değil, önleme için de kullanılabileceği (ve kullanılması gerektiği!) de doğrudur. Bu önleme stratejisinin, yalnızca uç noktalarınızı veya mimarinizin herhangi bir başka parçasını değil, tüm altyapınızı hesaba katması gerekir.
Korumalı alan, bu şekilde dağıtılabilen bir güvenlik aracının önemli bir örneğidir. Korumalı alanlar, şüpheli dosyaları ve URL’leri güvenli, yalıtılmış bir ortamda analiz ederek karmaşık ve bilinmeyen tehditlere karşı gerçek zamanlı koruma sağlar. Bunları satır içinde dağıtmak (geçiş yerine), bir dosyanın çözüm bir karar verene kadar devam etmesine izin verilmediği anlamına gelir.
Zscaler Zero Trust Exchange platformu, güvenli erişim sağlamak için şifreli olsun ya da olmasın tüm trafiği denetleyen, bulutta yerel bir proxy içerir. Bir proxy olarak, platformun katmanlı kontrollerinin (entegre gelişmiş sanal alan dahil) tümü, önce önleme yaklaşımıyla satır içi olarak sunulur.
Algılama teknolojilerinizi Zscaler’ın bulut tabanlı dahili korumalı alanıyla desteklemek size şunları sağlar:
Sıfır gün tehditlerine karşı gerçek zamanlı, yapay zeka destekli koruma
Zscaler, günde 300 milyardan fazla işlemi işleyen dünyanın en büyük güvenlik bulutu tarafından sürekli olarak iyileştirilen gelişmiş makine öğrenimi algoritmalarını kullanır. Bu algoritmalar, şüpheli dosyaları ve URL’leri gerçek zamanlı olarak analiz ederek potansiyel tehditleri hasara yol açmadan önce tespit edip engelliyor.
Bu, dosyanın içeriğini 40’tan fazla tehdit beslemesine, antivirüs imzalarına, hash engelleme listelerine ve bilinen risk göstergeleri (IOC’ler) için YARA kurallarına göre kontrol eden bir ön filtreleme analiziyle başlar. AI/ML modelleri, daha derin analiz için gereken dosya sayısını azaltarak daha verimli çalışır. İlk önceliklendirmeden sonra bir dosya bilinmeyen veya şüpheli kaldığında, Zscaler Sandbox, gelişmiş kaçırma tekniklerini tespit eden kod ve ikincil yük analizi de dahil olmak üzere güçlü statik, dinamik ve ikincil analiz gerçekleştirmek için dosyayı patlatır. Tamamlandığında, tehdit puanı ve eyleme geçirilebilir karar içeren bir rapor oluşturulur ve politika yapılandırmalarına dayalı olarak kötü amaçlı ve şüpheli dosyalar engellenir.
ölçeklenebilirlik
Bulutun en büyük satış noktalarından biri, her büyüklükteki kuruluşun ihtiyaçlarını karşılamak için hızla yukarı veya aşağı ölçeklendirme yeteneğidir. Bulutta devreye alınan güvenlik kontrollerinin sağlanması ve yönetilmesi doğal olarak daha kolaydır ve bu da kuruluşunuza değişen güvenlik gereksinimlerine uyum sağlama esnekliği sağlar.
Düşük maliyetler
Maliyet, birçok güvenlik stratejisini tanımlayan birincil girdilerden biridir ve birçok biçimde gelir: kullanıcı üretkenliği, operasyonel verimlilik, donanım maliyetleri vb. Ancak not almanın en büyük maliyeti, ihlal edilmenin maliyetidir. Saldırıları önleyerek, tek bir saldırı için kolayca yedi rakama kadar eklenebilen kesinti süresini, itibar hasarını, iş kaybını ve düzeltme maliyetlerini ortadan kaldırırsınız. ESG, Zero Trust Exchange kullanan ortalama bir kuruluşun kötü amaçlı yazılımlarda %65, fidye yazılımlarda %85 ve veri ihlallerinde %27 azalma elde ettiğini ve bunun da %139’luk bir genel yatırım getirisine katkıda bulunduğunu tespit etti.
Kapsamlı tehdit koruması
Zero Trust Exchange, kuruluşlara tüm konumlar, kullanıcılar ve cihazlar genelinde tek tip bir güvenlik kontrol stratejisi sağlayarak kapsamlı tehdit önleme, algılama ve analiz yetenekleri sunar. Zscaler Sandbox, dosyaları yalnızca uç noktada değil, her yerde analiz edebilir ve DNS güvenliği, tarayıcı yalıtımı (dosyasız saldırılar için), veri kaybını önleme, uygulama ve iş yükü güvenliği, aldatma ve diğerleri gibi bir dizi ek yetenekle entegre edilmiştir. Bu, kuruluşunuzun güvenlik duruşunun ve güvenlik ekiplerinin ulaşmaya çalıştığı derinlemesine savunmanın eksiksiz bir görünümünü sağlar.
Önleme önce gelir
Saldırganlara karşı silahlanma yarışında, güvenlik ekiplerinin doğrudan geçiş tespit teknolojilerine göre hat içi güvenlik kontrollerine öncelik vermesi gerekir. Zararsız olduklarından emin olmadığınız sürece dosyaların uç noktalara veya ağlara girmesine izin verilmemelidir; çünkü kötü niyetli oldukları ortaya çıkarsa, büyük ihtimalle hasar tamamlanana kadar onlar hakkında bir şey öğrenemezsiniz.
Zscaler Sıfır Güven Değişimi hakkında daha fazla bilgi edinmek isterseniz, zscaler.com adresini ziyaret edin.