İster evinizdeki bir hırsız, ister ağınızdaki bir bilgisayar korsanı olsun, fark edilmeden ve raylarında durmadan önce geçen süreyi sınırlayabilirseniz, hedeflerine ulaşmalarını engelleyebilirsiniz.
Bu nedenle, aynı zamanda tespit edilene kadar (MTTD), ortalama yanıt süresi (MTTR) veya her ikisinin bir kombinasyonu olarak da bilinen siber kalma sürelerini azaltabilirsek, siber suçun etkisinin azaltılmasına yardımcı olabilir. Ancak siber tehdit bekleme sürelerini azaltmak her zaman yardımcı olurken, siz onları birkaç saatin veya günün altına indirene kadar birçok siber saldırı başarılı olmaya devam edecektir. Başarılı siber saldırılar genellikle dakikalar veya saatler içinde gerçekleşir. Suçlular hızlı veri parçalamak ve ele geçirmek için gittiğinde bekleme süresi daha az önemlidir.
Bu bir yana, siber tehdidin kalma süresinin zaman içinde nasıl azaldığını ve bunun ne gibi güvenlik faydaları olduğunu analiz etmeye değer.
Bekleme süresi azaldı
Bekleme sürelerindeki azalma, büyük ölçüde EDR, XDR ve SIEM araçları gibi daha iyi dahili algılama ve yanıt kontrollerini kullanan daha fazla kuruluşa bağlıdır. Mandiant’ın 2022 M-Trends raporuna göre, siber tehditler için medyan kalma süresi 2021’de 21 güne düştü. Bu, 2020’nin sonuçlarından yalnızca üç gün daha düşük olsa da, 2014’ün 205 günlük sonucundan 184 gün daha düşük. Bekleme süresini yaklaşık yedi aydan bir aya indirmek kesinlikle bir ilerlemedir.
Bununla birlikte, her grup izleme bekleme süresi böyle pembe sonuçlar göstermez. IBM ve Ponemon Research, uzun bir süre boyunca bekleme süresiyle ilgili ölçümleri izleyerek, Veri İhlalinin Maliyeti Raporu’nu uzun yıllardır yayınlamaktadır. 2022 raporuna göre, bir tehdidi tanımlamanın ortalama süresi 323 gündür, ancak kuruluş bazı otomatik tehdit algılama teknolojilerini devreye soktuysa bu süre 249 güne düşer. Yarım yıldan fazla bekleme sürelerini gösteren birçok raporla birlikte, bazı kuruluşların bir ay içinde tehditleri veya enfeksiyonları tespit ettiğini öne süren en az bir yeni anket görmek sevindirici.
Bununla birlikte, siber saldırıların azaltılması söz konusu olduğunda 200’den fazla günden 21 güne kadar kalma süresi gerçekten bu kadar yardımcı olur mu? Cevap belki biraz, en azından tedarik zinciri saldırıları gibi en karmaşık ve hedefli ihlaller için; ancak dakikalar içinde meydana gelebilecek diğer birçok siber saldırı için çok fazla değil.
İstisnalar olsa da, çoğu ağ veya veri uzlaşması, tehdit aktörü gerçek hedeflerine ulaşmadan önce bir tür yanal hareket gerektirir. Bu, tespit açısından savunucular için iyidir. Saldırganın bulaştığı ve bekleme süresi saatini başlatan ilk bilgisayar, saldırgana gerçek amaçlarına göre ihtiyaç duydukları şeyi nadiren verir.
Örneğin, saldırganın gerçekten istediği bilgilere veya kaynaklara doğrudan erişimi olmayan düşük ayrıcalıklı, düşük rütbeli bir çalışanın cihazına bulaşmış olabilirler. Bu, saldırganı, daha değerli kaynaklara ve çalışanlara erişimlerini döndürmek için ek yollar bulmak için hedefin dahili ağında hareket etmek için daha fazla zaman ve çaba harcamaya zorlar, bu da savunuculara tehdidi keşfetmeleri ve kesintiye uğratmaları için daha fazla zaman verebilir.
Kötü haber şu ki, bu yanal hareket, saldırganlar çevre savunmasını geçtikten sonra nispeten kolay oluyor. Çoğu durumda, yanal hareket muhtemelen sadece saatler ila günler sürer. Ancak, segmentasyon ve sıfır güven paradigması gibi iç kontrolleri de kullanan daha güvenli kuruluşları hedefleyen karmaşık saldırılar için yanal hareket daha uzun sürebilir.
Örneğin, bir yazılım tedarik zinciri saldırısında, tehdit aktörünün genellikle kaynak koduna veya yazılım paketleme sunucularına idari erişim sağlaması gerekir. Bunlar genellikle bir organdaki en çok korunan varlıklar arasındadır.ation. Bir kurbanın iyi bir dahili segmentasyona ve güvenliğe sahip olduğu bu tür aşırı durumlarda, saldırganın kurbanın ağındaki amaçlanan kaynak kodu hedeflerine dönmesi haftalar alabilir. Bu durumda, siber tehdit bekleme süresini 21 gün veya daha kısa bir süreye indiren kuruluşlar, nihai saldırıyı önleme şansına sahip olurlar.
Dakikalar veya günler içinde başarılı olun
Sorun şu ki, çoğu siber saldırı 21 günden daha kısa bir sürede tamamlanıyor, bazıları ise sadece birkaç dakika sürüyor. Bekleme süresinin 200 günden 21’e düştüğünü görmek iyi bir ilerleme gösterse de, gerçek şu ki 21 gün hala çok uzun. İhlal tespitinin bize çoğu siber saldırının yansımalarını önleme şansı vermesini istiyorsak, tespit ve müdahalenin en fazla 24 saat ila birkaç gün içinde tamamlanması gerekir.
Örneğin, saldırganların büyük şirketlerden devasa veritabanlarını çaldığı birçok veri ihlali, SQL enjeksiyon saldırıları nedeniyle olmuştur. Saldırgan, kurbanın web sitesinde sömürülebilir bir SQL enjeksiyon kusuru bulduğunda, onu kullanmak kelimenin tam anlamıyla saniyeler sürer. Web sitesinin tüm SQL veritabanını emmek için doğru sorguyu oluşturmak birkaç dakika daha sürebilir, ancak bu noktada, saldırı için kalan süre, veritabanında ne kadar veri depolandığına ve sunucunun hat hızlarına bağlıdır. kurban ve saldırgan. En kötü ihtimalle bir terabaytlık veriyi indirmek yaklaşık iki buçuk saat sürer. Başka bir deyişle, birçok SQL enjeksiyon saldırısı, bir istismardan tüm veritabanı verilerinizi bir saatten kısa bir sürede emmeye kadar gider.
Yanal harekette bile, bir saldırgan ağınızda olduğunda, alan yöneticisi kimlik bilgilerine giden yol genellikle bir günden kısadır. Son zamanlarda, Astrolocker 2.0’ın arkasındakiler gibi fidye yazılımı yazarları, hedeflerinin verileri hızlı bir şekilde çalmak ve şifrelemek olduğu ‘parçala ve kap’ taktiklerini benimsediler ve daha metodik fidye yazılımı kampanyalarının risk alabileceğini tespit etme şansını önlediler.
Kısacası, birçok siber saldırı dakikalar veya saatler içinde gerçekleşir, bu nedenle, bekleme süreleri bu ölçeğe ulaşana kadar, 21 güne düşmesinden memnun olamayız.
Siber algılama alarmlarımız, ev alarmları gibi ilk ihlal olayına önemli ölçüde yaklaşana kadar, daha iyi EDR, XDR ve SIEM algılama ve yanıt araçlarını devreye sokarak tehdit bekleme süresini azaltmaya devam etmemiz gerekiyor.