Bu Help Net Security röportajında, Cloud Range CEO’su Debbie Gordon, siber menzil kavramını, bunun gerçek dünyadaki siber tehditlere hazırlanmadaki kritik rolünü ve siber eğitim senaryolarında gerçekçiliğin önemini açıklıyor.
Gordon ayrıca siber menzillerin güvenlik açıklarının tespit edilmesini nasıl kolaylaştırdığını tartışıyor ve siber menzil eğitiminin faydalarını en üst düzeye çıkarmaya yönelik tavsiyeler veriyor. Son olarak, sağlam bir siber menzil ortamı için gereken kaynaklardan ve siber menzil eğitimi ve simülasyonlarının geleceğinden bahsediyor.
Siber menzilin ne olduğunu ve gerçek dünyadaki tehditlere hazırlanmak için nasıl çalıştığını açıklayabilir misiniz?
Siber menzil, gerçek dünyada görülen ağ altyapısını, sistemlerini ve uygulamalarını gerçekçi bir şekilde taklit etmek için kurulmuş kontrollü bir ortamdır. İyi bir platformda ekipler, gerçek sistemleri riske atmadan çeşitli siber saldırıları güvenli ve etkili bir şekilde tespit etmek ve bunlara yanıt vermek için bir grup olarak birlikte çalışabilir. Bu, ekiplerin gerçek hayatta ortaya çıkabilecek çoklu tehditleri ve teknikleri daha iyi anlamasına ve bunlara karşı daha hazırlıklı olmasına olanak tanır.
Siber sınıflar, geleneksel siber eğitimi alır ve onu gerçek hayata, deneyimsel öğrenmeye dönüştürür, böylece öğrenciler bilgi ve becerilerini fiilen uygulayabilir ve bir simülasyon yöntemi kullanarak gerçek deneyim kazanabilirler. Son savunma hattı olan SOC analistlerinin, yeteneklerini güçlendirmek ve “kas hafızası” oluşturmak için sürekli olarak bu simülasyonlara katılmaları gerekir. Gerçek hayattaki saldırılarla devam eden bir siber menzil eğitim programı, sürükleyici deneyimler yoluyla bireysel ve uyumlu bir ekip olarak hazırlıklarını geliştirir.
Unutulmaması gereken bir şey, tüm siber aralıkların birbirine eşit olmadığıdır. Amaçları, karmaşıklıkları ve mevcut özellikleri, araçları ve teknolojileri bakımından farklılık gösterebilirler. Ekibinizin en etkili eğitimi aldığından emin olmak için, daha çok yönlendirilmiş bir laboratuvar ortamı veya ekip üyelerinin paralel olarak yaptığı bireysel egzersizler yerine, tüm ekibin birlikte katılabileceği canlı atış saldırılarıyla dinamik bir aralık kullanmak çok önemlidir.
Farklı antrenman biçimlerini tanımlamak için beyzbolu bir benzetme olarak kullanmayı seviyorum. Beyzbol kurallarını anlamaya ve nasıl atılacağını ya da yakalanacağını öğrenmeye benzer şekilde, siber uygulayıcılar kurslardan ve sertifikalardan edindikleri bilgilere ve geliştirdikleri bireysel, sınırlı becerilere sahiptir. Bunlar hayati derecede önemlidir, ancak gerçek bir oyunda, gerçek bir rakibe karşı beyzbol sahasına çıkabileceğiniz ve baskı altında başarılı olmak için bir takım olarak nasıl birlikte çalışacağınızı bildiğiniz anlamına gelmez.
Bu becerileri ne zaman ve neden kullanacağınızı bilemeyebilirsiniz, bu nedenle ekibin parçalarının toplamından daha büyük bir bütün haline gelmesi için düzenli, gerçek dünya pratiğine ihtiyaç vardır. Siber güvenlikte, bir siber menzil programı gerekli bileşendir: Ekiplerin gerçek dünya siber savunma deneyimi kazanmak için birlikte çalışmasına olanak tanır, bu da sonuçta siber dayanıklılığı artırmaya ve riski azaltmaya yardımcı olur.
Siber alanlarda verilen eğitim senaryolarının gerçekçiliği eğitimin etkinliği açısından ne kadar önemlidir? Belirli örnekler verebilir misiniz?
Gerçekçilik, bir siber menzil programında kritik öneme sahiptir. Kaliteli bir platform, farklı SIEM’leri, güvenlik duvarlarını, EDR’leri, IDS’leri ve daha fazlasını kullanacak şekilde özelleştirilebilir, böylece ekip her gün kullandıkları araçları kullanır. Simüle edilmiş saldırılar, kötü amaçlı yazılım yükleri, kimlik avı stratejileri ve MITRE ATT&CK Çerçevesinden alınan çeşitli diğer teknikler dahil olmak üzere gerçek dünyadaki kötü aktörler tarafından uygulanan taktikleri taklit eder. Ekip, günlük dosyalarını analiz etmek, adli analiz yapmak ve karşı önlemleri uygulamak gibi saldırılara etkili bir şekilde karşı koymak için bir dizi yöntem ve kaynak kullanır.
Kritik altyapı sektörlerindeki kuruluşlar için ürün yelpazesi, sanal PLC’ler ve HMI’lar gibi öğeler içeren bir OT ağı içerebilir, böylece katılımcılar sistemlerin nasıl entegre edildiğini anlayabilir ve farklı saldırı vektörlerinin etkilerini “görebilir”. BT ve OT/ICS ekiplerinin birlikte çalışmasına ve farklı protokollerini, hedeflerini ve güvenlik yöntemlerini anlamalarına yardımcı olur.
Uçuş simülatörleri gibi, gerçek zamanlı saldırı simülasyonları da gerçek hayattaki siber olaylarda veya potansiyel olaylarda görülen karmaşıklığı ve çeşitliliği çoğaltmak için tasarlanmıştır. Siber güvenlik uzmanlarının, olayları güvenli bir ortamda hızlı ve verimli bir şekilde tespit etmek ve bunlara müdahale etmek için gereken becerileri ve yetkinlikleri geliştirmelerine olanak tanır. Eğitim senaryoları, olay müdahalesi sırasında ekip üyelerinin yaşadığı yoğun baskıyı taklit eder. Oturumlar sadece teknik yeterlilikleri geliştirmekle kalmaz, aynı zamanda katılımcıların iletişim becerilerini, problem çözme becerilerini ve ekip çalışmasını geliştirmelerine yardımcı olur.
Bu, nihayetinde, ilgili durumlara, araçlara, teknolojiye ve sistemlere aşinalık duygularını artırmaya yardımcı olur, böylece gelecekte belirli koşulları belirleyip bunlara göre hareket etme konusunda kendilerine güven ve muhakeme sahibi olurlar. Ayrıca ekiplere, gerçek hayattaki durumlarda ortaya çıkabilecek gerçek konuşmaları ve işbirliği stratejilerini gözden geçirme fırsatı verir.
Bu yüzden gerçekçilik önemlidir. Canlı yangın simülasyonları, siber güvenlik uygulayıcılarının olay müdahalesindeki pratik deneyimini hızlandırarak, tehditleri daha hızlı tespit etmelerini ve bunlara yanıt vermelerini sağlayarak sonuçta riski ve maruz kalmayı azaltır.
Bir siber menzil, kontrollü bir laboratuvar ortamında güvenlik açıklarının belirlenmesini nasıl kolaylaştırır?
Bir cankurtaran saldırısı senaryosu, bir kaçış odasına benzer. Katılımcılar neyle karşılaşacaklarını bilmiyorlar ve neler olduğunu anlamak ve saldırıyı tespit edip düzeltmek için ipuçlarını bulmak için birlikte çalışmak zorundalar. Sertifikalı bir Attackmaster uzmanı içeren sürekli bir program, kapsamlı rehberlik, nesnel değerlendirme ve anlayışlı analiz sağlar. Bu destek, ekibin ve liderlerin güvenlik açıklarını belirlemesine, bu boşlukları kapatmak için stratejiler sağlamasına ve zaman içinde sürekli iyileştirme yapmasına yardımcı olur.
Siber aralıklar, genellikle yüksek düzeyde seçilmiş ve yönlendirilmiş gerçek laboratuvar ortamları olabilir veya olmayabilir. “Laboratuvar tatbikatları” faydalıdır ve bireylerin becerilerini geliştirmelerine ve gerçek atışlı ekip senaryolarına hazırlanmalarına yardımcı olabilir. Ancak canlı atış menzilleri gerçek, dinamik, sanallaştırılmış ağlar ve sistemlerdir. Bu, kuruluşun kendi ağında kullanılan gerçek araçların ve güvenlik önlemlerinin test edilmesini sağlayarak, kuruluşun güvenlik duruşunun güvenli ancak daha doğru bir şekilde değerlendirilmesini sağlar. Statik bir “korumalı alan”dan farklı olarak, bu aralıklar genellikle siber güvenlik savunmalarını test etmek ve ölçmek için kullanılır. İdeal olarak, laboratuvarları gerçek zamanlı simülasyonlarla birleştirmek maksimum etkinlik sağlar.
Siber güvenlik ekipleri, siber menzil eğitiminin faydalarını nasıl en üst düzeye çıkarabilir?
Yararları tam olarak en üst düzeye çıkarmak için sürekli bir siber menzil eğitimi programına sahip olmak çok önemlidir. Tek seferlik bir oturum olmamalıdır. Çeşitli tehditler ve saldırı vektörleri vardır ve bunların hepsi tek bir ortamda deneyimlenemez. Pratik anahtardır.
Siber menzil eğitimi, ekibinizin bireysel ve ekip düzeyinde nasıl ilerlediğini ölçmenin ölçülebilir bir yolunu sağlamak için endüstri standardı çerçevelerle de eşleşmelidir. MITRE ATT&CK Çerçevesi ile taktikleri, teknikleri ve prosedürleri (TTP’ler) eşleyen bir program seçin. Ayrıca senaryolar, herkesin rolü için gerekli olan bilgi, beceri ve yetenekleri (veya yetkinlikleri) tam olarak anlamasını sağlamak için her kuruluş için gerektiği şekilde ayarlanarak NICE Çerçevesine eşlenmelidir.
Bu çerçeveler ve senaryolar güçlü bir Performans Portalına entegre edildiğinde, güvenlik liderleri her ekip üyesi için, her kişi ve kuruluş için hedeflerle uyumlu özelleştirilmiş öğrenme planları oluşturabilir.
Gerekli desteği ve rehberliği almalarını sağlayan, ekipler için uzman liderliğindeki eğitim misyonları sağlayan kapsamlı bir siber menzil çözümü kullanmak çok önemlidir. Ek olarak, siber saldırıları tespit etme ve bunlara yanıt verme becerilerinde gelişme gösteren ölçümler sağlamalıdır. İnsanlar, güvenlik yığınınızın çok önemli bir parçasıdır ve güvenlik liderlerinin siber saldırılarda insan faktörüne ilişkin verileri görmesi gerekir. Güvenlik ekibindeki güvenlik açıklarını ve boşlukları ölçebildiğiniz ve nasıl iyileştireceğiniz konusunda rehberlik alabileceğiniz zaman, siber riskleri proaktif ve etkili bir şekilde azaltmak, güçlü bir güvenlik duruşu geliştirmek daha kolaydır.
Sağlam bir siber menzil ortamını desteklemek için genellikle hangi kaynaklara ihtiyaç vardır?
Bir siber menzil oluşturuyorsanız, menzili etkili bir şekilde tasarlamak, inşa etmek ve yönetmek için teknik uzmanlığa ihtiyacınız olacaktır. Ve bu size sadece altyapıyı verir. Menzilde yaptıklarınız en önemli kısımdır, bu nedenle canlı trafikle canlı ateş saldırıları tasarlamak, geliştirmek ve başlatmak gereklidir. Objektif uzman eğitmenlere sahip olmak da çok önemlidir. Egzersizler sırasında performansı değerlendirerek takım liderine değerli geri bildirimler sağlayabilirler.
Alternatif olarak, çoğu kuruluş, aralık özelleştirme, senaryo geliştirme ve yönetim dahil olmak üzere tüm yönetim ve kolaylaştırma işlemlerini sizin yerinize üstlenecek bir siber hizmet olarak hizmet platformunu tercih ediyor. Bu yaklaşım, menzili kendi başınıza yönetme yükü olmadan kuruluşun siber direncini artırmaya odaklanmanıza olanak tanır.
Siber menzil eğitimi ve simülasyonlarında ne gibi eğilimler veya gelişmeler öngörüyorsunuz?
Sadece saldırı ve müdahaleyi değil, üçüncü taraf hizmetler ve dış satıcılar gibi diğer unsurları da simüle ederek siber menzillerin daha gerçekçi ve doğru hale geldiğini görmeyi umuyorum. Ayrıca daha sorunsuz bir süreç için AI ve ML gibi daha yeni teknolojilerin ürün yelpazesine dahil edildiğini görmeyi bekleyebiliriz.
Kuruluşlar ayrıca işe alıma yardımcı olmak için siber aralıkları kullanıyor, bu da değer elde etme süresini ve çalışanların elde tutulmasını geliştiriyor. Bilişsel değerlendirmeler, insanların hangi siber güvenlik rollerine uygun olduklarını bilmelerine ve siber güvenlik kariyerlerine başlayabilmeleri için özelleştirilmiş öğrenme yolları oluşturmalarına yardımcı olabilir. Birinin potansiyel işini simüle eden işe alım değerlendirmeleri, işe alım yöneticilerine kişinin gerçek becerilerini ve yeteneklerini göstermek için özgeçmişlerin ve sertifikaların ötesinde içgörü sağlar.
Ayrıca kuruluşların kendi yeteneklerini geliştirmeyi giderek daha fazla tercih ettiğini görüyorum. Doğru deneyime, sertifikalara, eğitime ve diğer niteliklere sahip ideal adayı bulmak zor olabilir. Bu nedenle CISO’lar, Başkan Yardımcıları ve güvenlik liderleri problem çözme, liderlik ve çeviklik gibi ileri görüşlü yeteneklere sahip bireyler bulmaya öncelik veriyor. Daha sonra, ekip üyelerinin büyümesini, gelişmesini ve gerçek dünya deneyimini hızlandırmak için gerçek zamanlı siber menzil eğitiminden yararlanırlar.
Bu gelişmeleri anlamak önemlidir ve bunları 25-27 Ağustos tarihlerinde Fairmont Hotel Chicago’da gerçekleşecek olan Blue Team Con’daki sunumumda daha ayrıntılı olarak tartışacağım. Siber menziller kesinlikle SOC eğitimi için idealdir, ancak güvenlik liderlerinin bunları ilgili çeşitli şeyler için de kullandıklarını görüyorum. Kapsamlı bir siber menzil ve simülasyon çözümü, bir kuruluşun güvenlik duruşunu ölçülebilir şekilde iyileştirmek için hayati önem taşır.