Sürekli değişen dijital ortamla birlikte işletmeler tehditleri uzak tutmakta zorlanıyor. Burada tek bir suçlu yok; Gelişen tehdit aktörleri, sınırlı BT personeli ve uzun çözüm süreleri, kuruluşların her gün engellenmesine neden oluyor.
Bunlar, IDC’nin, Orta Doğu’daki çeşitli sektörlerdeki şirketlerin DFIR ile uğraşırken karşılaştıkları zorluklardan bazılarını öğrenmek için anket yaptığı en son dijital adli tıp ve olay müdahale (DFIR) raporunda vurgulanan eksikliklerden sadece birkaçı.
Sonuçlar çoğu güvenlik raporunda olduğu gibi endişe verici. Çoğu şirket basit olaylarla hızlı bir şekilde başa çıkma konusunda uzman olsa da, daha karmaşık saldırılar bu tür sorunların tespit edilmesi, raporlanması ve çözülmesi için gereken süreyi büyük ölçüde uzatır.
Kalıcı Sorunlar Kalıcı Sorunlar Yaratır
Ortalama olarak, bir olayın düzgün bir şekilde soruşturulması yaklaşık 26 gün sürdü ve sorunun çözülmesi de 17 gün daha sürdü. Bağlam açısından bu, büyük olasılıkla bir saldırının birden fazla makineye yayıldığı ve dolayısıyla yayılmasının önlenmesinin zorlaştığı senaryolar için geçerlidir. Daha uzun çözüm süreleri, şirketlerin kritik sistemleri veya iş süreçlerini hızla çevrimdışına almasına neden olur ve bu da daha fazla hasara neden olur.
Araştırma süresini kısaltmak sandığınız kadar kolay değil. Daha iyi analitik ve tespit araçlarına sahip olmak basit bir çözümdür, ancak bu karmaşık araçları kullanmak, uzman eğitimi ve özel personel gerektirir; bu, tüm işletmelerin yatırım yapamayacağı bir lükstür. Daha uygun maliyetli bir çözüm, bu emek yoğun görevleri dışarıdan temin etmek olabilir. Gerektiğinde özel becerilere sahip dış uzmanlardan faydalanılması.
Bunu tekrarlayarak, IDC’nin anketine katılanların yaklaşık %65’i, dijital kanıtları analiz ederken dış desteğe ihtiyaç duyduklarını ifade etti; bu oran, bu uzmanlara olan talep arttıkça büyüyecek.
Ayrıca şirket içi, bulut ve hibrit ortamları birleştiren kuruluşlardan veri toplamanın da zorlukları vardır, bu da verilerin verimli bir şekilde toplanmasını ve izlenmesini zorlaştırır.
Otomasyon ve Yapay Zeka Yardımcı Olabilir
Otomasyon, araştırma sürelerinin azaltılmasında önemli bir rol oynayabilir. Otomatik iş akışları ve üst kademeye yükseltme süreçleri, özellikle normal çalışma saatleri dışında DFIR analistleri arasında daha sıkı bir işbirliği sağlayabilir.
Bu otomasyon aynı zamanda konuşlandırılan soruşturma araçlarının sayısını da büyük ölçüde azaltır ve DFIR personelinin bunun yerine daha kritik görevlere odaklanmasına olanak tanır. Belki de saldırı düzenlerini yayılmadan önce tanımak için yapay zekadan (AI) faydalanılabilir, böylece bir saldırıyı mümkün olduğu kadar çabuk durdurarak hasarı azaltabiliriz. Ancak bunlar bile bir gecede çözülecek çözümler değildir, çünkü en eksiksiz koruma, otomasyon ile insan müdahalesi arasında doğru dengenin bulunmasına bağlıdır.
En Büyük Tehditlere Cevap Vermek
Fidye yazılımları ve kötü amaçlı yazılımlar çoğu kuruluşun başına bela olmaya devam ediyor ve bu eğilim yavaşlamayacak. Daha karmaşık saldırılar ortaya çıkmaya başladıkça, bir saldırıyı araştırmak ve saldırıdan kurtulmak için gereken süre katlanarak artıyor ve işleri yoluna koymak için daha fazla iş kaynağı gerekiyor.
Ankete katılanların çoğunluğu, daha deneyimli siber güvenlik bireylerini işe almanın büyük fayda sağlayacağı konusunda hemfikir olsa da gerçek şu ki, talep şu anda arzdan çok daha fazla. Piyasada işe alınabilecek yeterli sayıda vasıflı profesyonel bulunmuyor, bu nedenle kuruluşların yetenek edinme, geliştirme ve personeli elde tutma konularına önemli miktarda zaman harcaması zorunludur.
Durumu Daha İyi Hale Getirmek
DFIR’ın gelişmesi için birkaç önemli noktanın ele alınması gerekir. Öncelikle kuruluşların verimli süreçlere odaklanarak ve ortak görevleri kolaylaştırmak için otomasyon ve yapay zekayı kullanarak olay çözümü ile soruşturma arasındaki süreyi önemli ölçüde azaltması gerekiyor.
Daha sonra, DFIR’a yönelik artan talep, kuruluşların başlangıçtan itibaren doğru prosedürleri ve ekipleri işe almak için önemli miktarda sermaye yatırımı yapmaları gerektiği anlamına geliyor. Herhangi bir siber güvenlik ekibinin verimliliği, vasıflı profesyonellerin işe alınmasına, işte tutulmasına ve sürekli eğitime bağlı olduğundan, bu ekipleri yerinde tutmak ve sorunsuz bir şekilde çalışmak, sürekli yatırım gerektirecektir. Maliyetleri ne olursa olsun, DFIR, herhangi bir siber güvenlik ekibinin olası tehditleri derhal ele alması için önemli bir odak noktası olmalıdır.