Daha önceki yıllarda, herkes SOC’ye bağlıdır (güvenlik duvarları, WAF, SIEM, vb. dahil) ve SOC’nin oluşturulmasındaki öncelik, güvenliği sağlar ve CIA korunur.
Ancak, daha sonra saldırıların ve tehdit aktörlerinin ortaya çıkması daha zorlu hale gelir ve mevcut SOC, CIA üzerinde daha iyi güvenlik sağlayamaz. Yalnızca SIEM’e bağlı olduğu mevcut SOC’nin başarısız olmasının birçok nedeni vardır.
Güvenlik Duvarı, Yönlendiriciler, AV ve DB çözümleri gibi tüm güvenlik cihazlarını SIEM’e entegre etmenin ve kullanım durumlarını ilişkilendirmenin onlara CIA üzerinden %100 güvenlik sağlayacağına inanılan birçok kuruluş.
Bu yıllardaki APT saldırıları kasıtlı olarak siber uzayda, kuruluşlar 0 güven savunma modelini uygulamalıdır. Mevcut SOC başarısızlıklarının ana nedenleri, çoğunlukla kaba kuvvet giriş denemeleri, başarısız girişler, başarısız http istekleri ve kötü amaçlı yazılım yayılımlarının kullanım durumlarını önemsiyoruz.
Yine de, defans oyuncuları öğrenmeye başladığında, suçluların da daha iyi bir şekilde geliştiğini anlamalıyız. APT grupları gelişiyor ve sıklıkla kullandığımız orijinal uygulamaları kötüye kullanıyor ve yakalanmadan yıllarca bekleme süresinde kalıyor.
APT’nin ortaya çıkışı
Gelişmiş Kalıcılık Tehdidi, bu gruplar bireysel bir kimlik değildir. Bunlar çoğunlukla uzmanlık ekipleri olan kuruluşlar veya ülkelerdir (gündem/politik nedenlere dayalı). Normal bir uzman değiller, eğitimli profesyoneller ve herhangi bir sistemi kırma ve bir LAN’da yıllarca yakalanmadan yanlamasına hareket etme potansiyeline sahipler.
Virüsten koruma yazılımınız bile bu hareketi algılayamaz çünkü oluşturmazlar.
Bir APT’nin temel bileşenleri, yanal hareket etme, kalıcılık, CnC kanalı oluşturma, yalnızca bir DNS isteği ile yük alma ve daha fazlasıdır. Şimdiye kadar kaydedilen her APT saldırısı, bir ağı yaymanın benzersiz yollarına sahiptir ve açık bağlantı noktalarına, korumasız ağ bölgelerine, güvenlik açığı uygulamalarına, ağ paylaşımlarına vb. Bir kez içeri girdiklerinde, yapmak istediklerini yaparlar.
Proaktif Savunma Modeli
Günümüzün siber saldırılarına ve APT saldırılarına karşı savunmaya yönelik algınız, tam olarak bir “Savunma mekanizması” gibi düşünmeli ve oluşturmalısınız.düşman“.Bir savunma modeli inşa etmek için düşman taktiklerini, nasıl içeri girdiklerini bilmelisiniz? Nasıl yayılırlar? Nasıl sızıyorlar?
Bu sorgular için, Lock Martin’in siber öldürme zinciri ve Mitre ATT&CK, saldırıların daha iyi anlaşılmasını sağlar. Tam olarak bir düşmanın ağınıza nasıl gizlice girdiğini ve yakalanmadan nasıl dışarı çıktığını. Ayrıca, siber saldırılar hakkında size bir fikir verecek olan Cyber Kill zincirinin aşamalarına dayalı olarak mevcut SOC’nizde kullanım senaryoları uygulayabilirsiniz.
Siber Tehdit İstihbaratı
IOC’leri ve Ip’leri engellemek size siber saldırılara karşı %100 güvenlik sağlamaz. Son APT saldırıları, DGA algoritmasını kullanarak çok gelişiyor
Mevcut SOC’mizi varsayalım; koyacak mıyız
İkisi de düşünüldü
APT grupları çeşitli teknikler kullanıyor ve izlerini sonsuza kadar saklıyor, bu yüzden sadece IOC’lere (IP, etki alanı, karmalar, URL’ler) bağlı olarak artık çalışmıyor. hakkında düşünmelisin TTP’ler (Taktikler, Teknikler
Bu TTP’ler, bilgilere dayanarak, düşmanlar tarafından kullanılan işletim sistemi ve ağ yapıtları hakkında bilgi toplamada, belirli bir trafik veya belirli bir şekilde durumlar için bir kullanım senaryosu oluşturmada hayati bir rol oynar.
Tehdit istihbaratı, mevcut kaynaklara dayalı olarak küresel tehdit bilgilerini de sağlar. Birçok OEM aynı zamanda çeşitli tehdit matrisi bilgileri, kullanılan araçlar, kullanılan eserler vb. sağlar. Her gün, istihbarat ekibiniz sadece IOC’ler hakkında değil; ortaya çıkan IOA ve IOE’ler hakkında ayrıntılar için çaba sarf etmek zorundalar.
APT grupları, güvenlik açığından yararlanma konusunda iyi eğitilmiştir. Bu nedenle, saldırgan istismarından önce kuruluşlardaki istismar belirtileri için daha fazla bilgi toplamamız ve düzeltilmesini sağlamamız gerekiyor.
Bir siber istihbarat programı, bir siber saldırının arkasında kimin, ne, nerede, ne zaman, neden ve nasıl olduğunu ortaya çıkarmakla ilgilidir. Taktik ve operasyonel istihbarat, bir saldırının ne ve nasıl olduğunu ve bazen nerede ve ne zaman olacağını belirlemeye yardımcı olabilir.
Siber Tehdit Avcılığı
Bilgileri topladıktan sonra avlanmalıyız. Siber tehdit avcılığı, siber öldürme zincirleri veya Gönye Saldırısı hakkında fikir sahibi olmak ve bilinmeyen saldırı türlerini avlamak için modern metodolojidir. LAN’ınızda neler olduğunu bildiğinizde, doğrudan Olay yanıtına gidebilirsiniz.
Ancak, LAN’ınızda bilinmeyen varyantların (APT) izlerini aramak istediğiniz bir olaydan şüphelendiğinizde, tehdit avcılığı devreye girer. Tehdit avcılığı, tehdit vektörleri üzerinde derinlemesine analiz yapmanızı sağlar ve olaylar olay haline gelmeden önce.
Her kuruluşta, tehdit avlama ekipleri işe alınmalı ve proaktif olarak şüpheli olayları araştırır ve olayların veya düşmanın ihlali olmamasını sağlar. APT saldırı geçmişini anlamalı ve ağlarındaki yapıları kontrol etmelidirler. Bilinen IOC’leri aramamak, yaydıkları metodolojileri yıkmak.
Tam olarak ne avlanacak? – Örnekler
- Ağ İşaretleme Avı
- İçeriden Bilgilendirme Ayrıcalığı Yükseltmelerini Avlayın
- Olağandışı DNS isteklerini avla
- Olağandışı Ağ Paylaşımlarını Avlayın
- Ağ Keşfi Avı
- Uyumsuz Windows hizmetleri için arama yapın (üst/alt süreçler)
- Ayrıcalık Yükseltme Avı – Erişim belirteci manipülasyonu
- UAC Baypas için Av
- Kimlik Bilgileri Dampingi için Av
- SMB boruları üzerinde işaret avı yapın
- Gizli Kanalları Avla
- CNC trafiklerini araştırın
- Gölgeleme için avla
- Şüpheli Tüneller Avı
Aynı şekilde, bir LAN’da arama yapmak için birkaç koşul vardır. Mitre ATT&CK çerçevesini ve APT geçmişinin kontrolünü kullanabilir ve anlayabiliriz. Daha iyi anlaşılmasını sağlayacak ve avlanma yöntemlerinin haritasını çıkarabiliriz.
Bekleme süresidüşmanların ağınızda kaldığı ve her bölgeyi, paylaşımı, Veritabanını, ağ protokollerini, haritalamayı, rotaları, savunmasız uç noktaları vb. öğrendiği zaman. Tehdit
Olay Müdahalesi
Ancak olay müdahalecisine ve müdahale ekibine, bulundukları herhangi bir SOC’de kesinlikle ihtiyaç vardır.
IR ekibi, CIA’nın ihlal edilmediğinden ve hiçbir
Bir olay müdahale planı, bir güvenlik olayının süresinin ve bundan kaynaklanan hasarın nasıl en aza indirileceğini ana hatlarıyla belirterek, katılan paydaşları belirleyerek, adli analizleri düzene sokarak, kurtarma süresini hızlandırarak, olumsuz tanıtımları azaltarak ve nihayetinde şirket yöneticilerinin, sahiplerinin güvenini artırarak bir kuruluşa fayda sağlayabilir.
Modern SOC ve Uzmanlık becerileri
Çeşitli APT saldırılarını ve günümüzün siber casusluklarını gördüğümüz ve deneyimlediğimiz için, gelişmeli ve gelişmiş bir siber güvenlik stratejisi oluşturmalıyız. Bu model, siber saldırılar hakkında bilgi sağlar, bu nedenle çeşitli becerilere sahip uzman ekiplere ihtiyacımız var.
Tehdit avcılığı, açık kaynak tehdit istihbaratı ve DarkNet istihbaratı, Proaktif olay işleyicileri ve ilk müdahaleci, kötü amaçlı yazılım araştırmacıları ve Windows mimarisini ve kötü amaçlı yazılım davranışlarını anlayabilecek özel beceri setleri. Bu beceri setlerine çoğunlukla bir ağı günümüzün siber saldırılarına karşı savunmak için ihtiyaç duyulur.
Modern bir CyberSOC ekibinin nasıl planlanması gerektiğine bir örnek.
Çözüm
Siber dayanıklılık, hızla kabul gören gelişen bir bakış açısıdır. Konsept temelde bilgi güvenliği, iş sürekliliği ve (organizasyonel) dayanıklılık alanlarını bir araya getiriyor.
Tehdit Bilgisini getirme, avlanma, yanıt verme gibi kavramsal bir fikre sahip olan bu model
Bu model, “Uyarlanabilir yanıt, Analitik izleme, Aldatma, İstihbarat, Çeşitlilik, Dinamik konumlandırma, mevcut politikalara dayalı ayrıcalık kısıtlaması, kritik ve kritik olmayan hizmetlerin/sunucuların yeniden düzenlenmesi, olayların korelasyonu ve hızlı yanıtlar”ın temel unsurlarını içerir. Esas olarak APT tehditlerini ele alır ve saldırı ve olası vektörler hakkında derinlemesine bilgi sağlar.
Unutma,
Daha erken: “Kötü Amaçlı Yazılım veya Kötü Amaçlı”, bir şeyler yapmayı amaçlayan komut dosyaları olarak sınıflandırıldı. Ancak bir APT’nin veya rakiplerinin bakış açısında, mevcut antivirüs işlevlerinin ve savunma mekanizmalarının çok iyi farkındalar. Bu nedenle, komut dosyalarına veya kötü amaçlı yazılımlara fazla güvenmezler, bunun yerine orijinal programları kötüye kullanırlar ve algılanmadan yanlamasına hareket ederler.
Siber Tehdit Avcısı POV – Bir kişi için herhangi bir uç noktada veya bir kuruluşta ihtiyaç duyulmayan her ne olursa olsun, bu savunmasız anahtarlar bir APT’nin kritik varlıklarıdır. Dolayısıyla bunlar tehdit avcısı algısında kötü amaçlı yazılım olarak kabul edilir. Eski: “PowerShell, sunucularda yönetici tarafından gerekmedikçe herkes tarafından kullanılmaz. Bu nedenle, uç noktalarda güç kabuklarının yürütülmesini devre dışı bırakmamak bir boşluktur ve düşmanlar bundan yararlanabilir.
Bu model beş noktalı bir görünüme sahiptir.
Bunlar CyberSOC’nin temel direkleridir ve ayrı olarak muhafaza edilebilir veya bir organizasyon politikasına göre kullanılabilir. Ancak, her şey mantıksal olarak senkronize edilmeli ve her birini kullanmalıdır.
İndirin: Ücretsiz GDPR Çizgi Roman Kitabı – Şirket Verilerinizi ve kullanıcı gizliliğinizi korumak için Genel Veri Koruma Yönetmeliği’ne (GDPR) Uymanın Önemi
Bizi Linkedin’den takip edebilirsiniz, heyecan, Facebook Günlük Siber Güvenlik güncellemeleri için, kendinizi güncel tutmak için En İyi Siber Güvenlik kursunu çevrimiçi olarak da alabilirsiniz..