Her zaman DNS’dir. Zaten sistem yöneticileri arasında popüler olan ünlü internet meme’i de bunu söylüyor. Bu komik çünkü her ağ sorununun ilginç bir DNS sorununu çözemediği açık, çok sayıda ağ yöneticisi, suçlunun gerçekten bir DNS sorunu olduğunu öğrenmek için saatlerce klavyelerine kafalarını vurmuş durumda.
Evet, sorun her zaman DNS olmayabilir, ancak siber saldırılar söz konusu olduğunda sorun genellikle ağdır.
Örnek: 2020 SolarWinds Tedarik Zinciri Saldırısında kötü amaçlı yazılım, saldırganın sunucularına, tanıdık olmayan etki alanlarına ve hasar meydana gelmeden önce tespit edilemeyen IP adreslerine geri iletişim kurabildi.
2022’de bir saldırgan, Celer Bridge’e karşı BGP saldırısını kullanarak 235.000 dolarlık kripto para birimini çalmayı başardı. Bu saldırı, yalnızca kripto para birimleriyle sınırlı olmayan evrensel sorunlara dikkat çekti ve internette iş yapan herhangi bir kuruluş için uyarıcı bir hikaye olarak hizmet etmelidir.
İşte şu anda CIO’ları korkutan bazı veriler.
- Dünya çapında bir veri ihlalinin ortalama maliyeti 4,35 milyon dolar veya rekor başına 165 dolar. ABD’de bir ihlalin bedeli 2 kat artarak 9,44 milyon dolara yükseldi.
- İlk uzlaşmanın ardından tehdit aktörlerinin ağınızın derinliklerine inmesi ortalama yalnızca 84 dakika sürer. Küçük bir ihlalin milyonlarca dolarlık bir sorumluluğa dönüşmesini önlemek için ilk sızmaya daha hızlı yanıt vermek çok önemlidir.
- Ancak bir ihlalin tespit edilmesi ve kontrol altına alınması ortalama 277 gün sürüyor. Bu neredeyse dokuz ay demek! Bu sürenin büyük kısmı kimlik tespiti aşamasında geçiyor ve ortalama ihlalin tespit edilmesi 207 gün sürüyor.
Açıklığa kavuşturayım. Yeterince kararlı bir saldırgan karşısında hemen hemen her kuruluş risk altındadır. Ancak doğru çerçeveyle Reddit, StackOverflow veya New York Times’ta okuduğumuz ağla ilgili istismarların çoğu önlenebilir veya etkileri önemli ölçüde azaltılabilir.
Ağ güvenliği üçlüsü: Önleyin, tespit edin, yanıt verin
Daha iyi ağ güvenliğinin anahtarının Önleme, Tespit Etme ve Yanıtlama üçlüsünde özetlenebileceğine inanıyorum.
Bu üçlü, bir ons önlemenin bir kilo tedaviye bedel olduğunu, ancak bazen bir saldırının gözden kaçtığını kabul eder. Bu durumlarda, ortalama bir Salı gününü multimilyon dolarlık manşetlere çıkan bir saldırıdan ayıran şey, nasıl tepki verdiğinizdir.
Organizasyon ağ güvenliği üçlüsünü şu şekilde özetliyorum:
- Önlemek: Tam teşekküllü bir saldırı gerçekleşmeden önce olasılığını azaltın
- Tespit etmek: Saldırılar meydana geldiğinde daha hızlı azaltın
- Yanıtlamak: Gelecekteki saldırıları önleyebilmeniz için ne olduğuna dair derinlemesine bir anlayış elde etmeye yönelik veri odaklı hafifletme çabaları ve adli tıp.
Bu konuların her biri bir makalenin tamamına, hatta bir O’Reilly Kitabı’na bedeldir. Ancak çerçeveyi nasıl kullanacağınıza dair size bir fikir vermek için, ağ ekibinizden her alandaki organizasyon olgunluk seviyenizi belirlemesini isteyeceğiniz birkaç soru vereceğim:
Önlemek:
- Ağ izlememiz yalnızca IP, port ve protokol izlemeyi içeriyor mu? Yoksa bu unsurları özel veri kaynaklarıyla zenginleştirebiliyor muyuz?
- Tüm ağ verileri aktif tehdit akışlarıyla otomatik olarak karşılaştırılıyor mu?
- Ağ politikasını izlemek ve uygulamak için bir sürecimiz var mı?
Tespit etmek:
- “Normal” trafik ile anormallik arasındaki farkı nasıl anlarız?
- Ağ izleme araç setimiz SIEM sistemimizle entegre mi?
- Ağ izleme araç setimiz DDOS azaltma sağlayıcımızla entegre mi?
Yanıtlamak:
- Ağ izlememiz, RTBH veya Flowspec gibi ağ tabanlı risk azaltma çözümlerinden otomatik olarak yararlanacak şekilde ayarlandı mı?
- Ağ adli bilişimimiz hangi ayrıntı düzeyinde çalışır? Ağ verileri ne kadar süreyle saklanır?
- Bir varlığın tehlikede olduğunu tespit edersek olayın patlama yarıçapını görselleştirmemiz ne kadar kolay? Varlığın belirli bir dönemde yaptığı her ağ işlemini kolaylıkla görebilir miyiz?
Bu soruların hiçbirinin tek bir doğru cevabı yoktur. Ancak elinizdeki yanıtlarla kuruluşunuzun ağ güvenliği yolculuğunda ne kadar olgun olduğuna dair bir fikir edinebileceksiniz.
Bu makalenin başlığı kolaylıkla “Bir ons önleme, bir kilo tedaviye değerdir” başlığı olabilirdi. Ortalama bir ihlalin tespit edilmesi dokuz ay sürüyorsa ve yaklaşık 5 milyon dolara mal oluyorsa şu soruyu sormakta fayda var: “Kurumum ilk etapta ihlalleri önlemek için yeterince çaba gösteriyor mu?”
Nihai çözümler çok farklı görünse de, önleme, tespit ve müdahale stratejilerinin ortak çabaları sayesinde kuruluşlar yalnızca siber tehditlere karşı savunma yapmakla kalmaz, aynı zamanda dijital altyapılarında esneklik ve uyarlanabilirlik de oluşturabilir. Neden? Çünkü her zaman ağdır.