Dijital adli tıp ve olay müdahalesi (DFIR), işletmenin iyi bir güvenlik duruşuna sahip olmasını sağlamanın rutin bir parçasıdır. Soruşturmalar, mevzuata uygunluğu sağlamaktan veri güvenliğini doğrulamaya veya bir ihlalin nedenini belirlemeye kadar çok sayıda amaç için gerçekleştirilebilir. Ancak uzaktan çalışmaya geçiş, artık süreci elektronik olarak depolanan bilgilere (ESI) erişme ve bunları kurtarma açısından çok daha karmaşık bir girişim haline getirdi.
Ulusal İstatistik Ofisi’nin çalışanların yalnızca yüzde 8’inin ofise tam zamanlı olarak dönmeyi planladığını bildirmesiyle, personelin zamanlarının bir kısmını uzaktan ve bir kısmının ofiste çalıştığı hibrit çalışma hızla norm haline geliyor. Dahası, bilgiye ayrıcalıklı erişimi olan yüksek gelirli kişilerin bu modeli takip etme veya tam zamanlı evden çalışma olasılığı daha yüksektir, bu da uzaktan çalışmanın ESI için gerçek bir risk oluşturduğu anlamına gelir.
Açık bir soruşturma yürütme söz konusu olduğunda, genellikle ESI’yi yakalamak için kullanıcıya gerekli ekipman gönderilir, ancak gizli operasyonlar çok daha sorunludur. Önceden, söz konusu cihaz rutin bir denetim kisvesi altında talep edilmiş olabilir, ancak uzaktan kurulumda cihazı fiziksel olarak edinmenin bir yolu yoktur. Dahası, her zaman kurumsal VPN’e ve hatta internete bağlı olmayabilir.
Uzaktan erişim
Peki işletmeler dijital adli bilişimi uzaktan nasıl yürütebilir? Bu sadece söz konusu makineye uzaktan erişim meselesi değildir. Sürecin, cihazın uzaktan taranmasını kolaylaştırması, bu bilgileri analiz için merkezileştirmesi ve kanıtın kendisinin korunması ve reddedilemez olarak görülmesi için sürecin bütünlüğünü koruması gerekir. Ayrıca, bu verileri analiz için güvenli bir şekilde kullanılabilir hale getirmesi gerekir.
Bunu başarmanın en etkili yolu, ESI’nin toplanmasına ve güvenli bir şekilde doğrulanmış bir sunucuya iletilmesine izin veren cihaza yerel olarak bir aracı yüklemektir. Cihazın ağ dışına çıkması durumunda, aracı veri görüntülemeyi askıya alır ve bağlantı yeniden kurulduğunda bunu devam ettirir. Verilerin merkezileştirilmesi daha sonra yetkili personel tarafından kolayca incelenebilmesini sağlayarak, tüm bilgi ortamında görünürlük sağlar ve araştırmacının herhangi bir yıkıcı faaliyeti izlemesine olanak tanır.
Örneğin, makinelerde uzaktan oturum açmak, belirli dosyaları ve hatta komutları aramak ve bunları yapan kullanıcıları belirlemek mümkündür. Analiz gerçek zamanlı olarak yapıldığından, araştırmacı hiçbir şekilde engellenmez, bu nedenle soruşturma hızlı bir şekilde ilerleyebilir ve hatta yeni bakış açıları açarak genellikle yeni alanları veya potansiyel riskleri ortaya çıkarabilir.
Ancak bu, mevcut uygulamalardan fersah fersah uzakta. Kurumsal DFIR Kıyaslama Raporu 2022, kuruluşların rutin olarak ayda 25-30 cihazı araştırdığını ve bazılarının 350’ye kadar analiz yaptığını ve bunun da DFIR’yi zaman alıcı hale getirdiğini tespit etti. Uzak olaylar, genellikle sabit sürücülerin kullanıcıya gönderildiğini ve ardından ESI toplama sürecinde onlara yol gösteren araştırmacıyla bir ekran paylaşımı gerçekleştirdiğini görür. Şifrelenmiş sabit sürücü daha sonra analiz için araştırmacıya gönderilir. Bu uzun soluklu bir süreçtir ve fidye yazılımı gibi zamana duyarlı istismarlar söz konusu olduğunda, her açıdan son derece maliyetli olabilir.
Aynı rapor ayrıca, sorgulanan işletmelerin çok azının iyi tanımlanmış, tekrarlanabilir, yönetilen ve optimize edilmiş süreçlere sahip olduğunu da ortaya çıkardı. Bu, her soruşturmanın sıfırdan yürütüldüğü ve zamanında yanıt verilmesini çok daha zorlaştırdığı anlamına geliyordu. Açıkçası bu, dönüşüm için olgunlaşmış bir süreç.
Hızlandırmak için otomatikleştirin
Otomasyon burada yardımcı olabilir. Örneğin, ajanı Güvenlik Bilgisi ve Olay Yönetimi (SIEM) ve/veya Güvenlik Düzenleme, Otomasyon ve Müdahale (SOAR) teknolojisi ile entegre etmek, bir olay tespit edildiği anda uç nokta veri toplamayı tetikleyerek kanıtların anında korunmasına yardımcı olabilir. Bununla birlikte, rapor için ankete katılanların çoğunluğunun bir SIEM veya SOAR’a sahip olmasına rağmen, yalnızca yüzde altısının bunu DFIR çözümüyle entegre ettiğini not etmek hayal kırıklığı yaratıyor.
Verilerin merkezileştirilmesi, verilerin yalnızca uzmanlara değil birden fazla ekibe gönderilmesine de olanak tanır. Raporda yüzde 77’si vakalar üzerinde işbirliği yaptıklarını söyledi (artık İK, hukuk ve uyumluluk gibi işin birden fazla alanının dahil olması giderek yaygınlaşıyor). Ancak yarısından fazlası, davaları hukuk müşaviri veya üçüncü taraflar gibi kuruluşlarının dışındaki inceleme görevlileriyle paylaşma olanağına sahip olduklarını veya sahip olmak istediklerini söyledi.
Bunu kolaylaştırmanın anahtarı, güvenli işbirlikçi çalışmayı destekleyebilen ve böylece gözetim zincirini koruyan uzak DFIR olacaktır. Bunu sağlamak için, bozulmayı veya ESI kaybını önlemek için sistemler arasındaki veri geçişi en aza indirilmelidir, bu da tek bir DFIR çözümünün kullanılmasını tercih edilir hale getirir.
Peki ya sıfır güven?
Uzak DFIR ile ilgili olarak işletmeler için ana engellerden biri, bunun sıfır güven ortamında nasıl yürütüleceğidir. Sıfır Güven Ağ Mimarisi (ZTNA), kullanıcılara yalnızca gereken minimum erişimin verilmesini talep eder, bu da uzak uç noktalara erişimi potansiyel olarak sorunlu hale getirir.
Bu sorunu çözmek için uç noktalarda yalnızca yönetici erişimine sahip kişiler tarafından kurulan ve erişilebilen beyaz listeye alınmış aracıların kullanılması gerekir. Bunlar daha sonra, beyaz listedeki uygulamalara sıfır güven ile uyum içinde izin veren ve harici cihazlara ağ bağlantılarını yönetebilen ZScaler gibi bir hizmet tarafından yönetilir.
Peki ya uzaktaki araştırmacılara bu ESI’ye erişim vermeye ne dersiniz? Tipik olarak, adli tıp araçları
harici cihazlara bağlanmak için kurulum, yönetici erişimi ve izin gerektirir; bunların tümü sıfır güven yaklaşımına aykırıdır. Ancak merkezi bir platforma güvenli bir şekilde bağlanan tarayıcı tabanlı bir inceleme çözümü kullanarak, araştırmacılara merkezi olarak depolanan ESI’ye erişim vermek mümkündür. Kendi kendine yeten, kurulum gerektirmeyen bir istemci, yönetici veya bağımlılıklar olmadan yerel olarak çalıştırılır ve paylaşılan bir bulut bağlantısı aracılığıyla araştırmacıya erişim verilir.
Özetle, evet, çalışma şeklimiz değişti, ancak bu, uzaktan DFIR’ı nasıl yaptığımızı dönüştürmek için bir katalizör görevi görebilir ve görmelidir. Son derece hedefli ve maliyetli saldırıların ve eylemlerini hızla değiştirebilen saldırganların zorluklarını karşılamak için DFIR, aracı tabanlı ve otomatik hale gelmelidir. Ancak o zaman saldırıları anında yakalayabilir, koruyabilir ve iyileştirmeye yardımcı olabilir.
