Bu Help Net Security röportajında, Splunk SURGe Personel Güvenliği Stratejisti Mick Baccio, siber güvenliğin geleceğini tartışıyor ve gelişen tehditlerle mücadelede veri analitiği ve otomasyonun önemini vurguluyor.
Tehdit taktiklerindeki değişikliklere, insan hatasını azaltmada otomasyonun önemine, veri analitiğini uygulamadaki zorluklara dikkat çekiyor ve yapay zeka asistanlarının siber güvenlik operasyonlarını dönüştürdüğü bir gelecek öngörüyor.
Siber güvenlik tehditleri son yıllarda nasıl gelişti ve veri analitiği ve otomasyon, bu gelişen tehditlerle mücadelede nasıl bir rol oynuyor?
Son yıllarda siber güvenlik tehditleri, artık analiz için daha az eser bırakan olgun tehdit aktörlerinin daha kurnaz taktikleriyle belirgin bir evrim geçirdi. Eski ‘samanlıkta iğne aramak’ metaforu (kötü niyetli faaliyetlerin tespitini tanımlamak için) artık ‘iğne yığınında iğne aramaya’ daha çok benziyor.
Bu değişim, meşru faaliyetleri gayri meşru faaliyetlerden etkili bir şekilde ayırt etmek için şüpheli olaylar etrafında ek bağlam oluşturulmasını gerektirmektedir. Otomasyon, bu bağlamsal zenginleştirmeyi sağlamada çok önemli bir unsur olarak ortaya çıkıyor ve analistlerin modern işletmelerin hızlı ve geniş ortamında ilgili koşulları ayırt edebilmelerini sağlıyor.
Siber tehditlerin manzarası daha da gelişmeye devam ediyor ve yakın zamandaki yüksek profilli veri ihlalleri (MoveIT, accelion, goanywhere, vb.) değişimin ciddiyetini vurguluyor. Bu zorluklara yanıt olarak veri analitiği ve otomasyon, özellikle tehdit aktörlerinin bir ortama girmek için sıfır gün güvenlik açıklarından yararlandığı durumlarda yanal hareket, ayrıcalık artışı ve sızmanın tespit edilmesinde önemli bir rol oynuyor.
Dahası, AI ve LLM’lerin konuşlandırılması siber güvenlik alanında oyunun kurallarını değiştiren bir hale geldi. Tehdit aktörleri, GenAI gibi araçları kullanarak daha ikna edici kimlik avı e-postalarının oluşturulmasında da görüldüğü gibi, saldırılarının hızını ve etkinliğini artırmak için giderek daha fazla yapay zeka ve LLM’lerden yararlanıyor. Bu gelişen taktiklere etkili bir şekilde karşı koymak için ağ savunucularının, dinamik tehdit manzarasının önünde kalmak ve karmaşık siber tehditlere karşı korunmak için otomasyonu benimsemesi gerekiyor.
Otomasyon, siber güvenlikte insan hatasıyla ilişkili risklerin azaltılmasına nasıl yardımcı olabilir?
Otomasyon, siber güvenlikte insan hatasıyla ilişkili risklerin azaltılmasında değerli bir varlık olarak hizmet vermektedir. Robotlara kıyasla insanların hatalara karşı doğal duyarlılığı göz önüne alındığında, stratejik bir yaklaşım, analistlerin yanlış sınıflandırmasının maliyetli olabileceği veya meydana gelme ihtimalinin olduğu alanların belirlenmesini içerir. Bu tür hassas noktaları tespit ederek otomasyon, bilişsel önyargı ve karar yorgunluğunun potansiyel olarak hatalara neden olabileceği görevlerin yerine etkili bir şekilde kullanılabilir.
Örneğin, bir ana bilgisayarı karantinaya almak, bir göstergeyi engellemek ve güvenliği ihlal edilmiş ek varlıkları aramak gibi karmaşık, çok adımlı olay müdahale iş akışları, maliyetli gözetim veya atlanan adımların olasılığını en aza indirmek için otomatikleştirilebilir. Otomasyonun bu hedefe yönelik uygulaması, siber güvenlik süreçlerinin doğruluğunu ve verimliliğini artırmayı amaçlamaktadır.
Otomasyonun, görev ve sorumlulukların tamamen yerini almak yerine, insan iş akışlarını artıracak bir araç olarak kullanıldığında en etkili yöntem olduğunu anlamak çok önemlidir. Karar yorgunluğunu ve önyargıyı ortadan kaldıran otomasyon, destekleyici bir güç haline gelir ve güvenlik analistlerinin otomatik araçlarla sorunsuz bir şekilde işbirliği yapmasına olanak tanır. Bu işbirliğine dayalı yaklaşım, operasyonları hızlandırıp ölçeklendirirken aynı zamanda insan hatası olasılığını da azaltır. Bu şekilde otomasyon, siber güvenlik direncini artırmada önemli bir müttefik haline gelir.
Kuruluşların siber güvenlik protokollerinde veri analitiğini uygularken karşılaştıkları en belirgin zorluklar nelerdir?
Siber güvenlik protokollerinde veri analitiğinin uygulanması, kuruluşlara bazı önemli zorluklar sunar. En önemli zorluklardan biri, tehditleri etkili bir şekilde önceliklendirme ikilemidir. Kuruluşlar, çok çeşitli potansiyel riskler arasında hangi tehditlere öncelik verilmesi gerektiği sorusuyla boğuşuyor. Bu karar verme süreci, farklı tehditlerin kritikliğinin belirlenmesini ve kaynakların buna göre tahsis edilmesini içerir.
Bir diğer önemli zorluk, hem ürünlerde hem de açık kaynak depolarında bulunan çok sayıda güvenlik algılama içeriğinin yönetilmesiyle ilgilidir. Kuruluşların, kendi özel siber güvenlik ihtiyaçlarına yönelik ilgili ve etkili güvenlik önlemlerini belirlemek için bu bilgi bolluğu içinde gezinmeleri gerekir.
Analist kaynaklarının disiplinler arasında tahsis edilmesi başka bir zorluğu da beraberinde getiriyor. Siber güvenlik analistlerinin uzmanlığının verimli bir şekilde nasıl dağıtılacağını ve kullanılacağını belirlemek çok önemli bir husustur. Kuruluşların siber güvenliğin çeşitli yönlerini etkili bir şekilde ele almak için kaynak tahsisinde bir denge kurması gerekiyor.
Üstelik kuruluşlar, özellikle MITRE ATT&CK TTP’ler (Taktikler, Teknikler ve Prosedürler) gibi çerçevelerle ilgili olarak kapsamlarını nitelendirme ve nicelikselleştirme zorluğuyla karşı karşıyadır. Kapsamın kapsamını anlamak ve bu çerçeveler dahilinde potansiyel tehditlere karşı kapsamlı koruma sağlamak, dikkatli bir değerlendirme ve stratejik planlama gerektirir.
Ek olarak, veri analitiğinde zaman içinde ince ayar yapılması, deneme yanılmayı içeren bir zorluğu da beraberinde getirir. Verileri önceliklendirme sanatını öğrenmek ve mükemmelleştirmek, sorgular ve kontrol panelleri aracılığıyla en iyi içgörüleri elde etmek için araçlardan yararlanmak ve analitik süreçlerini iyileştirmek, önemli miktarda zaman ve çaba yatırımı gerektirir. Bu yinelenen süreç, kuruluşların siber güvenlik protokollerini güçlendirmede veri analitiğinin etkinliğini artırmaları için gereklidir.
Veri analitiği ve otomasyon teknolojilerinin gelişmesiyle siber güvenliğin geleceğini nasıl görüyorsunuz?
Gelişen veri analitiği ve otomasyon teknolojileri ışığında siber güvenliğin geleceğini tasavvur etmek, dönüştürücü bir manzara ortaya koyuyor. Yakın vadede yapay zeka asistanlarının entegrasyonu, analistlerin verileri araştırma ve yorumlama biçiminde devrim yaratmaya hazırlanıyor. Bu yapay zeka araçları, analitik süreci kolaylaştırarak ve siber güvenlik operasyonlarının verimliliğini artırarak paha biçilmez yardımlar olarak hizmet edecek.
Daha ileriye baktığımda, yapay zeka asistanlarının bağımsız olarak uyarıları önceliklendirmek ve araştırmak üzere geliştiği bir başka değişim öngörüyorum. Analistler öncelikle nihai sınıflandırma kararlarına ve iyileştirme eylemlerine odaklanan rollere geçiş yapabilirler.
Veri analitiği ve otomasyon becerilerini geliştirmek isteyen siber güvenlik profesyonellerine ne gibi tavsiyelerde bulunursunuz?
Ted Lasso’dan bir satır çalmak – “Meraklı ol.” Kariyerimi bu alanda geçirmiş biri olarak, başarılı olmamı sağlayan şeyin merakım olduğunu düşünüyorum. Deney. Siber güvenliğin büyük bir kısmı ‘yaparak öğrenme’ esasına dayanıyor ve teknolojideki hızlı büyümeyle birlikte teknik merak, yalnızca siber güvenliği geliştirmekle kalmayıp, kuruluşların küresel anlamda güvenlik duruşunu yükseltmeye yardımcı olan çözümlere de yol açacak.