Savunmanız ne kadar güçlü olursa olsun, kararlı kötü aktörler muhtemelen içeri girmenin bir yolunu bulacaktır. Kuruluşlar, sızmayı önlemenin ötesinde, başarılı bir saldırı sonrasında ağdaki kötü aktörlerin varlığını tespit edebilecek yöntemler de kullanmalıdır.
Modern Siber Saldırılar İlk Erişimin Çok Ötesine Uzanıyor
Geleneksel saldırılar basit ve anlaşılırdı. Tehdit aktörleri, zayıf parola veya yama yapılmamış yazılım gibi bir güvenlik açığından yararlanır. İçeri girdiklerinde ellerine geçen her şeyi parçalayıp kapacaklardı. Bunun aksine, modern siber saldırılar çok daha karmaşık ve çok aşamalıdır. Saldırganlar, kimlik avı ve güvenlik açıklarından yararlanma gibi teknikleri kullanarak ilk erişime ulaştıktan sonra, aşağıdakiler gibi dikkatle düzenlenmiş bir dizi adımı uygularlar:
- Kalıcılığın Korunması: Saldırganlar, kurbanın ortamına erişimi kaybetmemelerini sağlamak için yeni kullanıcı hesapları oluşturur, mevcut hesapların şifrelerini değiştirir, uzaktan erişim araçlarını (Teamviewer veya AnyDesk gibi) kullanır ve yeni planlanmış görevler oluşturur.
- Ayrıcalıkların Yükseltilmesi: Saldırganlar, daha yüksek ayrıcalıklar elde etmek ve daha hassas verilere ve sistemlere erişmek için yama yapılmamış sistemler, yanlış yapılandırılmış izinler veya kullanıcı kimlik bilgileri (kimlik avı veya tuş günlüğü yoluyla) gibi şeyleri arar.
- Savunmalardan Kaçınmak: Bazı kötü niyetli aktörler, tespit edilmekten kaçınmak için uç nokta koruma araçlarını devre dışı bırakır. Bazıları PowerShell, Windows Management Instrumentation veya PSExec gibi meşru sistem araçlarından (diğer adıyla Living off the Land) yararlanacak ve böylece alarm vermeden gizlice çalışabilecekler.
- Yanal Hareketlerin Yapılması: Kötü aktörler, yakın zamanda edinmiş olabilecekleri ayrıcalıklı hesapları kullanarak ağ üzerinde yanal hareket ederek daha fazla sistem ve veriye erişmeye çalışacaklardır.
- Verilerin Süzülmesi: Kötü aktörlerin en büyük hedeflerinden biri, hassas verileri daha sonra paraya dönüştürülebilecek şekilde sızdırmaktır. Saldırganlar normalde, veri sızdırmak için kuruluş tarafından zaten izin verilen önceden var olan araçları kullanır, çünkü bu araçları kullanmak, kötü davranışlarının tespit edilmesini zorlaştırır.
Çok Aşamalı Bir Saldırının Anatomisi
Tehdit aktörleri saldırılarını gerçekleştirirken, saldırı yaşam döngüsünün her aşamasının, özellikle tespit ve yanıt stratejileri yoluyla eylemlerini tespit etme fırsatı olduğunu unutmamak önemlidir.
Kalıcılık aşaması sırasında çalışanlar yeni hesapları veya yetkisiz etkinlikleri gözlemleyebilir. Ayrıca güvenlik ekibinden herhangi bir zamanlanmış görevle veya olağandışı sistem davranışıyla karşılaşıp karşılaşmadıklarını araştırmasını isteyebilirler. Ayrıcalık artışını tespit etmek için kullanıcılar erişim izinlerini periyodik olarak gözden geçirir, böylece yetkisiz değişiklikler veya anormal erişim modelleri proaktif olarak tespit edilebilir. Çalışanlara ayrıca uç nokta güvenliğinin devre dışı bırakılması veya uç noktada anormal süreçlerin çalıştırılması gibi savunmadan kaçınma işaretlerini tanımaları da öğretilebilir. Kullanıcı hesaplarındaki beklenmedik oturum açma işlemleri veya olağandışı etkinlikler (kullanıcıların alışılmadık konumlardan veya tanıdık olmayan cihazlardan oturum açması gibi) da yanal hareketlerin tespit edilmesine yardımcı olabilir. Bir çalışan aniden kendisinin başlatmadığı çok faktörlü bir kimlik doğrulama istemi alırsa bu, bir tehdit aktörünün yanal hareket yapmaya çalıştığının bir göstergesi olabilir. Kullanıcılar olağandışı giden ağ trafiğiyle veya bir bulut hesabına beklenmeyen büyük veri aktarımlarıyla karşılaşırsa, bu aynı zamanda verilerin sızdırıldığının veya çalındığının da bir işareti olabilir.
Tespit ve Yanıt Nasıl Artırılır?
Tespit ve müdahaleyi artırmak için kullanılabilecek birkaç araç ve teknik vardır:
1.İnsan Risk Yönetimi (strateji ve sistemler): HRM, Uç Nokta Tespiti ve Yanıtı (EDR), Güvenlik Bilgileri ve Olay Yönetimi (SIEM) ve diğerleri gibi mevcut siber güvenlik ve BT altyapısıyla entegre olur. Bu platformlar, binlerce güvenlik olayı genelinde şüpheli veya anormal kullanıcı etkinliklerinin tespit edilmesine, ilişkilendirilmesine ve bunlara yanıt verilmesine yardımcı olabilir.
2.Sürekli Güvenlik Farkındalığı Eğitiminin Verilmesi: Çoğu kuruluş insanın sezgisinin ve gözleminin gücünü hafife alıyor. Siber güvenlik araçlarına ve teknolojilerine çok fazla güvenebilirler ve çalışanların siber saldırıları tespit etmede oynayabilecekleri paha biçilmez rolü çoğu zaman göz ardı edebilirler. Çalışanlar iyi eğitilirse ve düzenli olarak eğitilirse, ön saflardan kritik bilgiler sağlayabilirler; bu da etkili bir savunma ve tespit katmanı olarak hizmet edebilir ve kuruluşların olaylara müdahale sürelerini iyileştirmesine olanak tanır.
3. Siber Güvenlik Kültürünün Geliştirilmesi: Siber güvenlik kültürü, çalışanlar arasındaki işbirliğini teşvik eder ve onları tehditler hakkında bilgi paylaşmaya teşvik eder. Tehditlerin erken tespit edilmesine yardımcı olan bir sorumluluk ve hesap verebilirlik duygusu aşılar. Siber güvenlik kültürünün ardındaki fikir, güvenli davranışları işyerinin yapısına veya işyerine entegre etmektir. En iyi uygulamalar arasında siber güvenliğin ürün geliştirme ve günlük karar alma süreçlerine dahil edilmesi; Siber güvenlik girişimlerine örnek olarak liderlik eden ve siber güvenlik konularında açık ve şeffaf diyaloğu teşvik eden liderler.
Bir noktada çoğu kuruluş saldırıya uğrayacak veya tehlikeye girecektir. İnsan risk yönetimi, saldırıların daha fazla maddi hasara yol açmadan önce tespit edilmesi ve engellenmesinde önemli bir rol oynayabilir. Kuruluşlar, sürekli güvenlik eğitimi uygulayarak ve bir siber güvenlik kültürü oluşturarak, tespit ve müdahale yeteneklerini önemli ölçüde artırabilir ve siber güvenlik direncini geliştirebilir.
Reklam