Yazan: Satnam Narang, Kıdemli Personel Araştırma Mühendisi, Tenable
Hepimiz siber riskin bir sorun olduğunu biliyoruz ancak ölçeği gerçekten kavrayabiliyor muyuz? Dünya genelinde işletmelerin neredeyse üçte ikisi fidye yazılımlarının kurbanı oldu ve kuruluşların yalnızca %30’u siber dirençli olduklarını söylüyor. İşte şaşırtıcı bir gerçek: 2027 yılına kadar siber suçların dünya çapında dudak uçuklatan 23,84 trilyon dolara mal olacağı tahmin ediliyor. Bütün bunlar artan siber güvenlik yatırımlarına rağmen gerçekleşiyor.
Peki neden işler düzelmiyor? Saldırganlar savunmalardan nasıl yararlanacaklarını veya savunmaları nasıl aşacaklarını biliyorlar ve genellikle bir uzlaşma veya ihlal tespit edilmeden önce aylarca bir kuruluşun ağının gölgesinde çalışıyorlar. IBM’e göre, gölge veriler bunda çok büyük bir rol oynuyor; veriler o kadar hızlı çoğalıyor ki, bunların izlenmesi ve korunması Herkül’ün zorlu bir görevi haline geldi.
En üst düzey araçlar ve yetenekli ekiplerle bile tehditleri tespit etmek samanlıkta iğne aramak gibi bir duygu olabilir. Uyarı ve veri seli çok büyük ve çoğu zaman siber güvenlik ekipleri savunmak yerine tepki gösteriyor. Ancak tepki vermek yeterli değil. Organizasyonların oyunda bir adım önde kalabilmesi için reaktif bir savunma stratejisinden proaktif bir savunma stratejisine (tehdit avcılığı) geçmesi gerekiyor; bu, ekiplere siber suçlular saldırmadan önce riskleri belirleme ve etkisiz hale getirme gücü veren önleyici bir yaklaşım.
Neden Proaktif Tehdit Avcılığı Zorlu?
Samanlıkta iğne aradığınızı hayal edin. Şimdi bu iğnelerden bazılarının daha da derinlerde, samanlıkların içindeki samanlıkların içinde gizlendiğini hayal edin. Tehdit avcılarının her gün karşılaştığı şey budur. Modern tehditler son derece karmaşıktır ve şüpheli davranışları tespit etmek için tasarlanan güvenlik araçları çoğu zaman resmin tamamını gözden kaçırır. Kötü amaçlı yazılım analizi, paket analizi ve tehdit istihbaratı gibi birçok ekibin tam olarak sahip olmadığı gelişmiş becerilere ihtiyaç duyarlar.
Üstelik çoğu araç, ağın birleşik bir görünümü yerine silolar oluşturarak yalıtılmış veri noktalarına odaklanır. Her platform ve cihazda kapsamlı ve sürekli izleme yapılmazsa kuruluşlar savunmasız kalır. Daha da kötüsü, uygun bağlam (noktaları birleştirme) olmadan ekipler bir veri dağının altına gömülür ve önemli uzlaşma göstergelerini gözden kaçırır.
Siber suçlular ısrar ve gizlilikle başarılı olurlar. Periyodik taramalar ve kontroller onları yakalamak için yeterli değildir çünkü saldırıları periyodik değildir; süreklidir, gelişmektedir ve sabırlıdır. Bununla mücadele etmek için kuruluşların sürekli izlemeye ve şüpheli faaliyetlere ve uzlaşma işaretlerine karşı dikkatli bir şekilde avlanmaya ihtiyaçları var.
Tehditleri Proaktif Olarak Nasıl Avlayabilirsiniz?
Kurumsal ortamlar büyük ve karmaşıktır ve bir ağın birden fazla bölümünü ve dünya genelindeki siteleri kapsayabilir. Etki alanına özgü güvenlik araçları veya nokta çözümleri, kapsamlı bir varlık envanteri oluşturmayı, güvenlik açığı durumlarını derlemeyi, değişiklikleri tespit etmeyi ve tehditleri değerlendirmeyi çok zorlaştırır. Nokta araçlarından toplanan veriler ve öngörüler, varlığa özgü riskin anlaşılması açısından değerli olsa da, veri siloları oluşturan tehditleri proaktif bir şekilde avlamak yeterli değildir.
Bir kuruluşun ağının çeşitli siber güvenlik katmanları vardır ve tüm saldırı yüzeyi boyunca proaktif bir şekilde arama yapmak çok önemlidir. Yalnızca ilk erişim noktalarına odaklanan ekipler, artan tehditleri gözden kaçırıyor veya gizli bir aktörün algılamayı atlamasına izin veriyor. Bir saldırganın ağdaki yanal hareketinin işaretlerini proaktif bir şekilde aramak, yetkisiz ayrıcalık artışını, erişim haklarının kötüye kullanılmasını ve diğer tehditleri belirlemek, başlangıçta tespit edilemeyecek potansiyel risklerin ortaya çıkarılmasına yardımcı olur.
Etkili tehdit avcılığı üç şeye dayanır: görünürlük, bağlam ve eylem. Bunu başarmak için kuruluşların, güvenlik açıkları, şirket içi ve buluttaki yanlış yapılandırmalar, kullanıcılar, varlıklar ve saldırı yolları dahil olmak üzere tüm saldırı yüzeyini aktif olarak izlemek için doğru araçlara ihtiyacı var. İş zekası ve tehdit istihbaratı bir araya getirildiğinde, güvenlik ekiplerine şüpheli veya kötü amaçlı etkinliklerin belirlenmesine yardımcı olacak bağlam sağlar.
Kaynakları, operasyonlarınızı etkileme potansiyeli en yüksek olan en kritik güvenlik açıklarına odaklamak, hedefe yönelik, etkili çözüm sağlar ve bir güvenlik programının etkinliğini en üst düzeye çıkarır.
Tehditlerin proaktif bir şekilde tespit edilmemesi durumunda kuruluşların, sistemlerinde kötü niyetli bir aktörün gizlenip gizlenmediğini bilmelerinin hiçbir yolu yoktur. Bir kuruluşun sistemlerini ihlal eden siber suçlular, ağda uzun süre kalabilir, veri toplayabilir ve kuruluşun daha derinlerindeki sistemlere erişmelerine olanak sağlayacak hassas bilgi ve kimlik bilgileri arayabilir.
Saldırganların oluşturduğu tehdit, geri dönüşü olmayan mali ve itibarsal sonuçlara yol açabilir. Proaktif tehdit avcılığı, kuruluşların ilk savunmaları aşan kötü niyetli aktörleri tespit edip ortadan kaldırmasına olanak tanır ve daha fazla uzlaşmanın meydana gelmesinden önce önlenmesini sağlar.