Dışarısı tehlikeli. Siber güvenlik tehditleri çok yaygın ve yeterli korumaya sahip olmayan bir sistem, saldırıları memnuniyetle karşılayan bir sistemdir. Bu, bir bankacılık uygulaması için olduğu kadar bir .
Neyse ki, sistem tehlikelerine karşı mücadelede yardımcı olacak çok sayıda silah var. Siber güvenlik cephaneliğindeki en güçlü olanlardan biri tehdit modellemedir. Bu kadar etkili olmasının nedenlerinden biri, reaktif düzeltmeden ziyade metodik önleme dayalı bir yaklaşım olmasıdır. Bir ons önleme….
Tehdit modelleme nedir?
Tehdit modelleme, siber güvenlik uzmanlarının bir sistemin güvenlik açıklarını ve bunları hedef alabilecek olası tehditleri belirleyebildiği süreçtir. Kimlik avı ve kimlik avı gibi güncel başlıca örneklerle birlikte tehditler sürekli büyüyor. .
Ayrıca, tehdit modelleme, her bir tehdidin ciddiyetinin değerlendirilmesini ve her bir tehdide nasıl karşı konulabileceğinin değerlendirilmesini içerir.
Durumla ilgili birkaç farklı yaklaşım getirilebilir. Bu sayede her türlü tehdidin ve tüm tehlike senaryolarının karşılanabileceği umulmaktadır. Yaklaşımların her birinin ortak noktaları vardır. İlk önce buna bakacağız.
Tüm tehdit modellemelerinde akılda tutulması gereken önemli faktör, bunun yapılandırılmış bir süreç olmasıdır. Tehdit modellemesini yapan BT uzmanı, birkaç temel bileşene sahip sistematik bir yaklaşım benimser.
Genel olarak, bu bileşenler şunlardır:
- Üzerinde çalıştığımız konuyu ele alın. Burada hangi etkinlik yapılıyor? Genel ofis işi mi yoksa daha spesifik bir şey mi? ?
- İşletmenin bu bölümünü hedef alabilecek hangi tehditler var? Bu, sistemin stres noktalarının yanı sıra geliştirilen en son tehditlerin net bir şekilde anlaşılmasını gerektirir.
- Hangi iyileştirici adımlar atılmalıdır? Sistem ve tehdit ortamı hakkında iyi düzeyde bilgi, olası tehditlerle mücadelede etkili yaklaşımlar sağlayacaktır.
- Bir öz-değerlendirme unsuru olmalıdır. BT ekibi tehdide karşı koruma konusunda iyi bir iş çıkardı mı?
Tehditler sürekli olarak gelişmektedir, bu nedenle güvenlik profesyonellerinin görevi, oyunun zirvesinde kalmak için öğrenme modunda kalmaktır. Bu nedenle ticari güvenlik operasyonları ve ve yetkililerin davranışları her zaman gelişmektedir.
Buradan alınacak üç olası geniş yaklaşım vardır. Hangisi seçilirse seçilsin, sistemin ayrışma unsuru olacaktır. Bu, bileşen parçalarının nasıl bir araya geldiğini görmek için organizasyonun yapısökümü anlamına gelir.
Bir BT uzmanı tarafından tercih edilen yaklaşım, muhtemelen aşağıdakilerden ikisinin veya daha fazlasının bir kombinasyonu olacaktır:
- varlık merkezli: Bu, sistemin varlıklarının anlaşılmasını sağlayacaktır. Yani, bir saldırganın elde etmek isteyeceği parçalar. Bu, sektöre duyarlı bilgiler, mali kayıt verileri, güvenlik protokolleri ve daha fazlası olabilir.
- Saldırgan merkezli: Bu, bir saldırganın kim olabileceği ve bir saldırganın nereye erişim sağlayabileceği konusunda bir anlayış oluşturacaktır. Yani, giriş noktaları. Belirli dış organlara verilen güven seviyeleri de takdir edilecektir.
- Yazılım merkezli: Bu, sistemin anlaşılmasını sağlayacak ve böylece mimarisi ve veri akışı daha iyi anlaşılacaktır.
Şimdi bir siber güvenlik uzmanının tehditleri ortadan kaldırmak için kullanabileceği bazı özel yöntemlere bakalım:
1. CVSS
Bu, Ortak Güvenlik Açığı Puanlama Sistemi anlamına gelir. Bir sistemin tüm ana özelliklerini listeleyerek ve saldırıya karşı savunmasızlığına göre birden 10’a kadar bir puan (10 en kötüsüdür) atayarak çalışır. Bu, üç ölçüm seti kullanılarak gerçekleştirilir:
isteyen işletmeler için harika bir tekniktir. tehditleri öncelik sırasına koymak İlk önce neyle ilgilenilmesi gerektiğine dair net bir gösterge verdiği için onlarla yüzleşmek.
2. MAKARNA
Bu, Saldırı Simülasyonu ve Tehdit Analizi Süreci anlamına gelir. Teknik güvenliğe odaklanmak ve onu iş hedefleriyle eşleştirmek amacıyla yedi adımdan oluşan bir prosedürdür. Atılan adımlar şu şekildedir:
- objektif tanım
- Teknik kapsam tanımı
- Sistem ayrıştırması
- tehdit analizi
- güvenlik açığı analizi
- Saldırı simülasyonu
- risk değerlendirmesi
PASTA yaklaşımının avantajları arasında eksiksizliği ve departmanlar arası işbirliğini teşvik etme şekli yer alır. Ne de olsa yedi adım, bu tür bir ekip yaklaşımı gerektirir, aksi takdirde yalnızca kısmi bilgi elde edilir. Dezavantajları arasında uzun olması, yani pahalı olması yer alır.
3. ADIM
Bu, Microsoft’un 1990’larda ortaya çıkmasından bu yana ortalıkta. Kısaltması, ele aldığı farklı tehditleri ifade eder:
- Kimlik sahtekarlığı: Saldırgan, başka bir kimlik üstlenerek erişim kazanır.
- Kurcalama: Veri ve kötü niyetli bir amaçla değiştirilir.
- Reddetme: Saldırganın suçunu inkar etme yeteneği.
- Bilgi ifşası: Verilerin yetkisiz kuruluşlara ne ölçüde açıklanabileceği.
- Hizmet reddi: Saldırgan, hizmetleri meşru kullanıcılar tarafından kullanılamayacak şekilde tüketmeyi başarır.
- Ayrıcalığın yükseltilmesi: Saldırgan kendisi için daha yüksek bir ayrıcalık sağlamayı başarır.
STRIDE kullanan bir siber güvenlik uzmanı, bir sistemi bu yolların her birinde saldırı altındaymış gibi test eden senaryolar oluşturmaya çalışacaktır. Sonuç, sistem güvenlik açıklarının son derece eksiksiz bir resmidir. Dezavantajı, zaman alıcı olması ve biraz OTT olabilmesidir. Kapsamlı olmak harika. Ancak bazen tüm temelleri kapsamak gereksizdir.
4. Saldırı ağacı
Bu, bir saldırı kavramını ortaya koyan bir diyagramdır. Başka bir deyişle, sisteme olası saldırı yolları şematik olarak gösterilmiştir. Bu, saldırganın beceri seti ve hedefler açısından tanımlandığı, saldırgan merkezli bir yaklaşımdır. Şu şekilde çalışır:
- Başlamak için bir kök düğüm var. Bu, saldırganın hedefini temsil eder.
- Yaprak düğümleri eklenir. Bunlar, bu amaca ulaşmanın olası yollarını temsil eder.
- Her düğüm güvenlik açığı seviyeleri ve etki potansiyeli açısından değerlendirilir.
- Düğüm değerlendirmelerine dayanarak, ihtiyaç duyulan yerlere savunmalar kurulur.
Saldırı ağaçlarının güzel bir avantajı, üzerlerinde bir dizi ortak saldırı dizisini kullanabilmeniz ve tamamen yeni tehdit vektörlerini deneyebilmenizdir. Aynı zamanda iyi bir görsel anlaşılırlığa sahip, kullanımı kolay bir tekniktir.
Dezavantajlar, vasıfsız bir kullanıcının güvenlik açıklarını gözden kaçırabilmesini içerir. Bunun nedeni, tehdit değerlendirmesiyle ilgili somut saldırı ağacı kurallarının bulunmamasıdır. Bu alan alır yetenekli siber güvenlik uzmanı olası sorunları doğru bir şekilde değerlendirmek için.
5. GENİŞ
Bu yaklaşım Görsel, Çevik ve Basit Tehdit modelleme anlamına gelir. Çeşitli ekipler ve alt sistemler genelinde tehdit modellemesi gerektiren büyük kuruluşlar için en iyisidir. İki modelden oluşur:
- Uygulama tehdidi. Bu, kullanıcı-uygulama etkileşimlerinde ve ayrıca dış sistemlerle etkileşimlerde hangi tehditlerin var olduğunu görmek için bir uygulamayı değerlendirmek üzere tasarım düzeyinde mimari bir bakış açısı kullanır.
- Operasyonel tehdit: Bu bir sistem altyapısına bakan yaklaşım.
İki model çoğu sisteme eklenebilir, bu da VAST’ın çok yönlü olduğu anlamına gelir. Diğer avantajlar arasında ölçeklenebilir ve otomasyon dostu olması yer alır. Ayrıca özel güvenlik uzmanlığı gerektirmez. Dezavantajları tazeliğini içerir. Hâlâ oldukça yeni olduğundan, diğer yaklaşımlarla ortak olan belge hacmi yoktur.
6. Üç tekerlekli bisiklet
Trike, standart risk değerlendirme teknikleriyle daha çok ortak noktası olan bir yaklaşımdır. Kabul edilebilir risk seviyeleri (paydaşlardan gelen girdilerle tanımlanır) hesaba katılır, böylece tehdit modellemesi tamamen ortadan kaldırmaktan çok yönetilebilirlik hakkında olur.
Bazen bir kuruluşun denetim gerekliliklerini karşılamak için yerleşik belirli bir güvenlik düzeyine sahip olması gerekir, ancak her zaman var olan gerçek tehlike açısından, taşıdıkları risk oldukça küçüktür. Bu durumlarda Trike idealdir.
Trike’ın ana avantajı, organizasyonun doğasına çok duyarlı olmasıdır. Paydaşlar, işin belirli bir alanının gerçekten bir güvenlik sorunu olmadığını bilirlerse, Trike yalnızca endişe yaratan alanlarla ilgilenecek şekilde uyarlanabilir. Aynı zamanda açık kaynaktır.
Tehdit modelleme en iyi uygulamaları
Hangi tehdit modelleme yaklaşımını benimserseniz benimseyin, geçerli olan bazı en iyi uygulamaları listeleyerek bitireceğiz.
- Her zaman tamamen tehdit modellemeye odaklanın. Uygulama gerektirir, bu da kaynakları üzerinde yoğunlaştırmanız gerektiği anlamına gelir. katıldığınızdan emin olun .
- Bir projenin başlangıcında yapın. Bu, daha sonra hemen çözülmesi gereken güvenlik açıklarınız olduğunu fark ettiğinizde size çok fazla zaman kazandıracak ve başınızı ağrıtacaktır.
- Bağlantılı düşünün. En savunmasız noktalardan bazılarının sistemlerin birleştiği yer olduğunu unutmayın. Sonuç olarak, sistemleri ayrık bileşen koleksiyonları olarak düşünmeyin. Bir bütünün parçasını oluştururlar. Dolayısıyla, bir sistemi kavramsallaştırırken, bir sistemin dijital eşdeğerini düşünün. bağlantılarını nerede kurduğunu düşünmek.
- Başlıklarla dikkatinizi dağıtmayın. En büyük tehditleriniz, kullanıcıların dikkatsiz olması ve Parola vb. Uluslararası üst düzey bilgisayar korsanlarının oluşturduğu tehditleri tamamen göz ardı etmeyin, ancak bu tür tehlikelerin medyanın dikkatini çekme olasılığının, çalışanların oturumu kapatmaması nedeniyle ortaya çıkan çok daha gerçek tehditten daha fazla olduğunu unutmayın.
- Tehdit modelleme operasyonu sona ererse ve ardından gelen her şeyden yasal olarak ayrı kaldığınızdan emin olmak istiyorsanız, bunu yazılı olarak aldığınızdan emin olun. Bunu dene .
Çözüm
Bu nedenle, bir dizi iyi tehdit modelleme tekniği vardır ve hangisini seçerseniz seçin, her zaman gözlemlemeniz gereken bazı öncelikler vardır.
Son bir öneri şudur: İyi bir tehdit modellemesi, sistemle bağlantısı olan herkesten girdi gerektirir. Asla sadece BT’nin tek başına yürütebileceği bir proje olmamalıdır. Hiçbir erkek ya da kadın (ya da sistem, buna gelin) bir ada değildir.
biyografi:
Tanhaz Kamaly – Ortaklık Yöneticisi, BK, Dialpad BK
gibi özellikler aracılığıyla sohbetleri hem işletmeler hem de müşteriler için en iyi fırsatlara dönüştüren, bulutta barındırılan modern bir iş iletişimi platformu olan Dialpad’de bir Ortaklık Yöneticisidir. . Şirketlerin sürekli gelişen bağlamlarda, her yerde, her zaman çalışmasına yardımcı olma konusunda bilgili ve tutkulu. Tanhaz ayrıca aşağıdakiler gibi başka alanlar için de yazmıştır: ve . kontrol et onun profil.
reklam