Dark Reading Haber Masası, Black Hat USA 2023’te Fastly’nin kıdemli müdürü Kelly Shortridge ile sürekli gelişen savunma oyuncuları ve dayanıklılık devrimi hakkındaki araştırması hakkında röportaj yaptı. Haber Masası klibine göz atın Youtube (transkript aşağıdadır).
Karanlık Okuma, Becky Bracken: Dayanıklılık devrimi nedir? Bunu açıklayabilir misin?
Kelly Shortridge: Evet. Bu yüzden bugün siber güvenlikte yaşadığımız sorunla başlayacağım. Ve neden bir devrime ihtiyacımız var? Çok yavaşız. Saldırganlar hızlıdır ve sürekli gelişmektedir. Demek istediğim şu, neden onları biraz taklit etmeye başlamıyoruz? Neden çevik ve meraklı olamıyoruz?
Direnç devrimi temel olarak biraz daha saldırgan olmaya, hızlı olmaya ve sürekli gelişmeye başlayabileceğimiz bir dönüşümdür. Çünkü esneklik, herhangi bir türdeki karmaşık sistemlere bakarsanız, başarısızlığa zarif bir şekilde yanıt verme ve ona uyum sağlama becerisi, saldırganların yapabileceği bir şeydir. Ancak bugün çoğu güvenlik ekibi bu konuda en iyisi değil.
Doktor: Peki bu ne anlama geliyor? Yapabileceğiniz bir oyun kitabı ayarı var mı? Demek istediğim, bu ne anlama geliyor? Bu büyük bir zorluk.
: Bu. Bunu daha çok organizasyonun sosyo-teknik dönüşümü olarak görüyorum. Bence temel temel prensip, başarısızlığı önlemeye çalışmak, saldırıları önlemeye çalışmak yerine nasıl daha iyi yanıt vereceğimizi öğrenmemiz gerektiğidir. Nasıl ki çözülmüş bir ayakkabı bağı kaçınılmazsa, saldırılar da kaçınılmazdır. Dolayısıyla yapmamız gereken şey, etkiyi en aza indirmek ve gelişebilmek için zaman içinde saldırılara daha iyi yanıt verme yeteneğimizi geliştirmektir. Yani bu önemli bir zihniyet değişimi. Ve bunu gerçekten uygulamaya başlamak için pratikte yapabileceğiniz bir sürü fırsat var.
Doktor: Tamam, öyleyse hadi, eğer ben de SOC’mde oturuyorsam, takımımı kurmaya ve onları hücum zihniyetine dönüştürmeye yardımcı olmak için yapacağım ilk şeylerden bazıları nelerdir?
: Bence olaya müdahale tarafındaki en önemli şey, bir olaya katkıda bulunan tüm faktörlere baktığınızdan gerçekten emin olmaktır. Yani burada yerde bile göreceğiz. Bazen insan hatasını suçlarsınız. Ancak insan hatasının pek faydası yoktur. temelde kendimizi her türlü sorumluluktan kurtarmanın ve başkasını suçlamanın bir yolu. Belki de sistemin tasarımı kafa karıştırıcıydı. Ya da belki birbiriyle yarışan öncelikler vardı, bilirsiniz, bir satış elemanı bir anlaşmayı kapatmaya çalıştığı için bağlantıya tıkladı. Bu saldırının başarılı olmasına katkıda bulunan tüm faktörleri anlamaktır. Ve sadece ah, eh, bir insan, bilirsiniz, tembeldi ya da başka bir şeyin kolay cevabıyla yetinmek değil. İnsanlar tembel değil, değil mi? Biraz daha saygılı olmamız ve başarısızlığı mümkün kılan tüm karmaşık komplikasyonları gerçekten derinlemesine incelememiz gerekiyor.
Doktor: Yani ön çalışmanın yanı sıra, gerçekleşmesi gereken bir yanıt da var. Peki bunu nasıl hızlandıracağız?
: Otomasyonun büyük bir hayranıyım. Konuşmamda bahsettiğim şeylerden biri, engellenenler listeleri gibi şeyleri güncelleyebilmek veya talep üzerine yama yapabilmek için kod olarak altyapı gibi şeyleri kullanmaktı. Çünkü siber güvenlikte hala çokça gördüğüm şey hızın düşman olarak görülmesidir ki bu da pek yararlı değil. Ancak hızlı hareket edebilirsek, bu yine güvenlik güncellemelerini ve düzeltmeleri de hızlı bir şekilde yayınlayabileceğimiz anlamına gelir. Ve etkileri en aza indirmek için tekrar tekrar mücadele edebiliriz. Dolayısıyla kesinlikle tepki tarafında, hızı ona direnmeye çalışmaktan daha çok benimsememiz gerekiyor.
Doktor: Peki savunmacılardan çalmamız gereken şeyler neler? Taklit edebileceğimiz ve onlara karşı aynı şekilde kullanabileceğimiz ne yapıyorlar?
: Evet, bence saldırganlarla ilgili bir şey var, aslında bazı konularda oldukça iyiler. Tekrar ediyorum, çok hızlılar, çevik kalıyorlar, otomasyondan yararlanıyorlar. Deney yapma konusunda da oldukça iyidirler. Gerçekten anlamak istedikleri gibi, Saldırım başarılı olacak mı? Bence bu yine bir şey; savunma tarafında pek iyi değiliz; deney yaparken. Bu yüzden, güvenlik kontrollerinin niyet kullanarak çalıştığını doğrulamak için kaos deneylerinin büyük bir hayranıyım.
İlginç olduğunu düşündüğüm diğer şey ve konuşmada bahsettiğim şey, saldırganların bizim bu her zaman doğru varsayımlarımız olacağına meydan okumasıdır; bizim hafife aldığımız şeyler, örneğin bir güvenlik duvarı her zaman yanlış yapılandırılmış bir bağlantı noktasını algılayacaktır, muhtemelen algılamayacaktır. Dolayısıyla saldırganlar bizim de bunu proaktif bir şekilde yapmamız gerektiğini dürtecek ve dürtecekler.
Doktor: Çünkü bir şeyden diğerine geçmemiz gereken bu kurumlardayız. Ve yine (Menkul Kıymetler ve Borsa Komisyonu) SEC düzenlememiz var. Demek istediğim, siber güvenlik endüstrisini çıkmaza sokan şeylerde hiçbir eksiklik yok. Yapılabilir mi?
: Bunun yapılabilir olduğunu düşünüyorum. Güvenliği yazılım kalitesinin bir alt kümesi olarak düşünmeye başladığımızda bunun mümkün olacağını düşünüyorum. Ve CISO’ların bunun hakkında konuştuğunu biliyorum. Tasarım gereği güvenli ile ilgili konuştuklarının büyük bir hayranıyım. Tamam, hayranıyım, temelde hemen hemen aynı şeyi söyleyen bir dondurma COVID güvenlik çözümleri hiyerarşim var, cıvatalı olmayan, politika olmayan çözümlere öncelik vermemiz gerekiyor. Bu zarafeti ve esnekliği elde etmemize ve çok fazla manuel çaba harcamak zorunda kalmadan hızlı hareket etmemize olanak tanıyan sistemin tasarımına gömülüdür, sanırım hepimiz bunu istiyoruz. Biz bu zahmetin azaltılmasını istiyoruz. Ancak sizin de belirttiğiniz gibi yine önemli bir hususun SEC düzenlemesinin etkiyi en aza indirmekle ilgili olduğunu düşünüyorum. Başarısızlığın izole olduğunu, hızlı bir şekilde iyileşebileceğinizi, saldırganların ilk erişime başarılı bir şekilde ulaşsalar bile anlamlı bir şey alamadıklarını bilmenizi sağlar.
Doktor: Peki nereye odaklanacaksınız? Tehdit avcılığı mı? Bu mu? Tehdit avcılığının artık hoş bir şey olmadığı yönünde çok fazla baskı var. Tehdit avcılığına ihtiyaç var, giderek uzmanlaşıyor, farklı alanlarda görünüyor. Peki anahtar bu mu? Yoksa daha önce yapılması gereken başka şeyler var mı?
: Sıcak bir şeyler alacağım. Tehdit avcılığının bu konuda pek yararlı olduğunu düşünmüyorum. Vay, biliyorum. Eğlenceli. Eğlenceli. Tehdit avcılığı, PTS hakkında konuşmak çok eğlenceli ve her şey çok eğlenceli. Ama yine asıl ihtiyacımız olan şey, tasarım hakkında düşünmemiz gerektiği gibi, zamanla saldırıya karşı dayanıklılığımızı neyin artıracağını da düşünmemiz gerekiyor. Dolayısıyla, belirli saldırı tarzı hakkında daha fazla şey öğrenebileceğimizden emin olarak aynı şeylerle karşılaşmıyoruz. Ancak aslında izolasyon gibi tasarıma dayalı pek çok hafifletme yöntemi var ve hatta konuşmamda çeşitli saldırılara karşı bize yardımcı olabilecek mesaj aracılarından ve kuyruklardan bahsetmiştim. Yani gerçekte, saldırının ayrıntıları, yine tasarımımıza dayanarak tehlikeleri ortadan kaldırdığımızdan veya azalttığımızdan emin olmaktan daha az önem taşıyor. Tekrar ediyorum, ben buna devrim diyorum çünkü bu, burada duyduğumuz her şeye göre çok büyük bir zihin değişimi.
Doktor: Ve elbette, bir iş bölümünün söyleyeceği ilk şey, bu eski sistemlere o kadar çok yatırım yaptık ki, sanki hepsini söküp yerine kod koymayacakmışız gibi. Argüman nedir? Veya oraya ulaşmanın yolu nedir?
: Yine birçok yol var mı, bu, güvenlik yazılımı mühendisliği ekipleri arasında daha fazla işbirliği olmasını istediğim bir şey çünkü hangi yazılım mühendisliği ekipleri de eski şeylerden hoşlanmaz. Güvenilirlik için, para kazandıran şeyler için sık sık işleri modernleştirmeye çalışıyorlar ve güvenlik bunu daha güvenli bir şekilde inşa etmek için biraz ümit verici olabilir.
Aslında, örneğin üretim ortamlarına bakarsanız, hiç kimsenin benim web sitelerinin “para yazıcısı” dediğim şeyin veya uygulamalarının çökmesini istemediğini düşünüyorum. Güvenlik araçları bunu riske atabilir. Güvenlik araçları bu kesintiye neden olabilir.
Bunun yerine tasarımı değiştirmek bir anlamda çok daha fazla, duruma bağlı olarak bir çeşit cıvatalı alet satın almaktan daha az riskli bir teklif. Bu yüzden yine de bunun düşündüğünüzden daha az bir artış olduğunu düşünüyorum. Sistemlerinizde bir gecede devrim yapmanıza gerek yok. Devrim yaratan zihniyetinizde devrim yapmanız gerekiyor. Ve yine bu tasarım tabanlı çözümü düşünmeye başlayın.
Doktor: İlginç. Belki de bize son bir fikir vermek için: Diğer otomasyon araçları nerede? Nereye gitmeleri gerekiyor?
: Tekrar düşünüyorum, yazılım mühendisliğinde çok sayıda araç ve yaklaşım var, altyapı gibi şeyleri kod olarak yeniden benimsememiz gerekiyor. Konuşmamda yamaları daha hızlı düzeltme, olaylara daha hızlı tepki verme, daha güçlü değişim, kontrol, yanlış yapılandırmaları en aza indirme, çevresel sürüklenmeyi en aza indirme konularında en az yedi veya sekiz fayda elde ettiğimi düşünüyorum. Bana göre asıl aranacak araç kod olarak altyapıdır. Bu beyan niteliğindedir. Gerçekten nasıl kodlanacağını bilmenize gerek yok. Ancak bu, sistemimizde istediğimiz belirli özellikleri kodlayabileceğimiz anlamına gelir ki bu, bir güvenlik aracı olarak muhteşemdir.