Siber güvenlik aşırı tepkisel bir endüstridir. Çoğu zaman, yanmayı reddeden ortamlar tasarlayan yangın söndürme uzmanları yerine, yangından yangına koşan, hasarı minimumda tutmayı umarak alevleri söndüren itfaiyeciler gibi davranırız.
Analistler tarafından geliştirilen ve son on yılda şirketler tarafından heyecanla satın alınan “algıla ve yanıt ver” teknolojilerinin tekrarını bir düşünün. Bir özet:
- 2013 – Gartner bu terimi ortaya attı Uç Nokta Tespiti ve Yanıtı (EDR)
- 2016 – Yönetilen Tespit ve Yanıt (MDR) yönetim sorumluluklarının devredilmesini vurgulamak için devreye giriyor
- 2018 – Genişletilmiş Tespit ve Yanıt (XDR), EDR, NDR, SIEM 3.0, SIEM üzerinden soyutlama katmanı, SOAR 2.0 ve ek kaynaklar dahil olmak üzere birçok kaynaktan bilgi toplanmasını iletmek için tanıtıldı.
- 2019 – Ağ Tespiti ve Yanıtı (NDR), algılama yeteneklerini olay müdahale iş akışlarıyla birleştirdi.
Bugün MDR, mXDR ve ITDR’den bahsediliyor… güvenlik ekiplerinin oluşturmak istediği reaktif yeteneklerde herhangi bir eksiklik yok. Ancak daha proaktif risk avcılığı pahasına bu yönde çok ileri gittiğimizi belirtmek isterim. Bizi siber tehditlerden kurtarmak için yalnızca SOC’lerimize güvenemeyiz.
Kanıt olarak, CrowdStrike’ın rakiplerin çıkış zamanları (ilk ihlalden sonra harekete geçmek için geçen süre) hakkında yürüttüğü mükemmel araştırmayı ele alalım. Ortalama olarak siber suçlular 62 dakika içinde ortaya çıkıyor. Şirket, 2023 yılında 2 dakika 7 saniyelik rekor bir kırılma süresi gözlemledi. Ortalama SOC bu hızlara ayak uyduramaz.
Saldırganların yalnızca bir kez başarılı olması gerektiği bir efsanedir. Saldırı zincirinin her aşamasında başarılı olmaları gerekiyor.
Siber güvenlik yatırımlarımızın büyük bir kısmı, halihazırda gerçekleşmiş olan ve ayak uydurmak için son derece yetersiz donanıma sahip olduğumuz izinsiz girişlere odaklanmış görünüyor.
İnisiyatifin geri alınması
Daha proaktif bir yaklaşım, ortamınızın bilinen rakip taktiklere, tekniklere ve prosedürlere (TTP’ler) göre değerlendirilmesini gerektirir. Neyse ki, MITRE ATT&CK çerçevesi bu tür çabaların gerçekleştirilebileceği mükemmel bir iskele sağlıyor.
Güvenilir site (LOTS) saldırılarından yararlanmayı düşünün. MITRE bize siber suçluların GitHub ve OneDrive gibi güvenilir siteler aracılığıyla veri sızdırdığını söylüyor. Siber suçlular günümüzde casusluk yapmak, şirket mücevherlerini bulmak veya hassas verileri sızdırmak için kötü amaçlı yazılımlara daha az ve ele geçirilen kimlik bilgilerine daha fazla güveniyor. Dediği gibi, “Saldırganlar hacklemez. Giriş yaparlar.”
Savunmacılar saldırı yüzeyini azaltmaya, ilk tehlikelere karşı koruma sağlamaya, yanal hareketleri önlemeye ve hassas verilerin sızmasını durdurmaya odaklanmalıdır.
Bu, en önemlisi, rakibinizi ve onun motivasyonlarını anlamanıza bağlıdır. Fikri mülkiyet hırsızlığıyla ilgilenen devlet destekli aktörler, stratejik açıdan önemli verileri sızdırana kadar zamanlarını bekleyecek kaynaklara sahip olacak. Finansal motivasyona sahip siber suçlular, çabalarının parasal açıdan karşılığını alabileceğini kanıtlama konusunda daha fazla baskı hissedebilir. Öte yandan, idealist motivasyona sahip aktörlerin maksimum aksama süresini sağlamak için DDoS saldırılarını takip etme olasılıkları daha yüksek olabilir.
Kuruluşunuzla en çok kim ilgilenir? Savunma stratejiniz cevabı yansıtmalıdır. Daha fazla hasta düşman, daha fazla hasta savunması gerektirir.
Derinlemesine savunma, çeşitli tehdit koruma tekniklerinden oluşmalıdır.
Siber güvenliğe daha proaktif bir yaklaşım benimsemek için şunları göz önünde bulundurun:
- Aldatma/olumsuz güven – Kraliyet mücevherleri arayan saldırganları yakalamak için bal küpleri ve yemlerden yararlanmak, ortamınıza aşina olmayan aktörleri yakalamanın basit bir yoludur.
- Risk yönetimi – Açıktaki saldırı yüzeyine, yanlış yapılandırmaya ve sizinkine benzer ortamlardan yararlanmak için kullanılan yaygın TTP’lere bağlı olarak ortamınızın nerede açığa çıkabileceğini size söylemek için yapay zekayı kullanmak.
- Satır içi korumalı alan oluşturma – Siber güvenlikte yaygın bir prosedür olan şüpheli bir dosyayı kontrollü ve izole edilmiş bir ortamda patlatmak, siber güvenliğe klasik olarak proaktif bir yaklaşımdır.
- Tarayıcı izolasyonu – Uç noktayı kendi sanal alanına yerleştirerek tarayıcı saldırı yüzeyine maruz kalmayı ortadan kaldırın. Sanal ortamda internet erişimini simüle ederek kopyala/yapıştır işlevini devre dışı bırakın, tek tek indirmeleri ve diğer tarayıcı tabanlı saldırıları önleyin.
- Sıfır güven ağ erişimini etkinleştirme – Her kaynak isteği, kimlik doğrulama ve yetkilendirme için bir kullanıcıyı, iş yükünü veya cihazı proaktif olarak araştırmak için yeni bir fırsattır; yani bir varlığın hem kimliğini doğruladığını hem de bir kaynağa erişmesine izin verildiğini doğrulamaya yönelik aktif yöntemlerdir.
Risk avcılığı açısından proaktifliğinizi artırmaya yönelik bu taktiksel girişimlerin yanı sıra, aşağıdaki daha stratejik kaygıları da öneriyorum:
- Hedefe dayalı proaktif savunma – Elde etmek istediğiniz sonuçla başlayın. Bu, doğada istismar edilen herhangi bir güvenlik açığının kapatılmasını veya saldırı yüzeyinizin (internete açık olan varlıklar) yüzde x oranında azaltılmasını gerektirebilir.
- Bir saldırganın zihniyetini benimseyin – Bir ihlali anlatırken duyduğunuz son hikayeyi hatırlayın. Bu, profesyonel bir meslektaştan ya da manşetlerden biri olabilir. Aynısını kendi ortamınızda da başarabilir misiniz? Değilse, rakibin başarıya ulaşmasını ne engelleyebilir? Eğer öyleyse, riskinizin kaynağı nasıl ele alınabilir?
- İhlal saldırı simülasyonu – İhlal saldırısı simülasyonu (BAS) çözümleri, saldırı zincirindeki boşlukları keşfetmenin iyi bir yoludur; böylece gerçek bir olaydan önce bunları azaltabilirsiniz. Masaüstü uygulamalardan daha gerçekçi simülasyonlar arayan kuruluşlar için mevcut penetrasyon testi çabalarına katkıda bulunabilecek çeşitli açık kaynaklı ve özel seçenekler bulunmaktadır.
Bu, EDR veya güvenlik açığı yönetimi gibi daha reaktif taktiklere yer olmadığı anlamına gelmez. Uyarılara yanıt verme ile risk alanlarını proaktif olarak ele alma arasındaki sağlıklı denge pahasına, reaktif yeteneklerimize aşırı derecede takıntılı hale geldik.
Mutlu avlar!